Обработка риска включает циклический процесс:

а)      Оценка обработки риска: определение и оценка вариантов обработки риска;

б)      Планирование обработки риска: подготовка графика обработки риска и плана действий;

в)      Мониторинг эффективности такой обработки (см. Главу 5);

г)       Измерение остаточного риска: принятие решения о том, является ли остаточный риск допустимым;

Обратная связь: если остаточный риск не является допустимым, выполнение новой обработки риска (обратно к шагу a) и повтор процесса.

 a) Оценка обработки риска: организация должна выбрать наилучший имеющийся вариант. Такой вариант предполагает сбалансирование затрат на осуществление каждого варианта относительно выгод, получаемых в результате, с учетом правовых, нормативных и других требований, например, социальная ответственность. Как правило, затраты на управление рисками необходимо сбалансировать с полученными выгодами. При вынесении таких суждений о затратах относительно выгод, необходимо учитывать контекст. Важно учитывать все прямые и косвенные затраты и выгоды, будь то материального или нематериального характера, и измерять их с финансовой или другой перспективы.

  b)  План обработки риска: Обработка должна включать в себя на оперативном уровне подготовку и осуществление соответствующего плана. Он показывает, как будут реализованы выбранные варианты и как они должны интегрироваться с управленческими и бюджетными процессами. В частности, информация, представленная в плане обработки, должна включать следующее:

а.    Причины выбора вариантов обработки, включая ожидаемые выгоды;

б.    Сторона, несущая ответственность за утверждение плана, и сторона, ответственная за его реализацию;

в.    Предложенные действия;

г.     Требования к ресурсам, включая резервы на непредвиденные затраты;

д.   Показатели работы и ограничивающие условия;

е.    Требования к отчетности и мониторингу;

ж.  Сроки и график.

И, наконец, ответственности, связанные с фазой обработки, должны устанавливаться четким образом, при этом, необходимо указать сторону, ответственную за управление определенными рисками (или категориями рисков), за реализацию стратегий обработки, а также за осуществление мер контроля рисков. Для этого, совет должен гарантировать, что руководство учитывает и осуществляет соответствующие меры реагирования на риски: ответственность за обработку, как правило, несет руководство (генеральные директоры, руководители подразделений, руководители проектов) и в соответствующих случаях персонал. Руководство должно определить и записать в «регистре рисков» те действия, которые выбраны в качестве обработки, и показать совету, как такие ответные меры на риски повышают эффективность организации. Для создания планов обработки риска указываются владельцы риска в соответствии со своими функциями в проекте или процессе, даже если на этом этапе ответственности варьируются по виду рисков (корпоративные или операционные). Например, старшие менеджеры ответственны за корпоративные риски, стратегии их смягчения и планы действий. Ответственность за операционные риски возлагается на уровне подразделений, за которым закреплена программа.

c)  Мониторинг обработки риска: при разработке ответных мер, важно, чтобы введенные в действие меры контроля были пропорциональны рискам. Анализ рисков помогает такому процессу, определяя те риски, которые требуют внимания со стороны руководства. Приоритетность действий по контролю риска будет назначаться в соответствии с их потенциалом представления выгод для организации. Эффективность внутреннего контроля определяется тем, насколько риск будет устранен или снижен с помощью предлагаемых мер контроля. Если действие не предпринимается, такие меры необходимо измерять с точки зрения потенциального экономического эффекта относительно затрат на предложенные меры, и такие меры неизменно требуют более подробной информации и допущений, доступных в кратчайшие сроки. Каждая ответная мера предполагает соответствующие затраты, и важно, чтобы обработка предлагала качество по разумной цене по отношению к контролируемому риску. В этой связи, варианты устранения риска («ОБРАБАТЫВАТЬ») могут в дальнейшем анализироваться с точки зрения четырех разных видов соответствующих/сопутствующих мер контроля:

  • МЕРЫ ПРОФИЛАКТИЧЕСКОГО КОНТРОЛЯ. Предназначаются для ограничения нежелательных результатов. Чем больше следует избегать нежелательного результата, тем больше соответствующих мер профилактического контроля необходимо выполнять[1]. Большинство мер контроля, внедренные в организации, принадлежат этой категории.
  • МЕРЫ КОРРЕКТИРУЮЩЕГО КОНТРОЛЯ. Предназначаются для корректировки возникших нежелательных результатов, и предусматривают способ восстановления от потерь или ущерба[2]. Планирование на случай чрезвычайных обстоятельств является важным компонентом меры корректирующего контроля.
  • МЕРЫ ДИРЕКТИВНОГО КОНТРОЛЯ. Предназначаются для достижения определенного результата, особенно важны при избегании нежелательного события, как правило, связанного с охраной здоровья и труда или безопасностью, что является критически важным условием[3].
  • МЕРЫ КОНТРОЛЯ ОБНАРУЖЕНИЯ. Предназначаются для выявления нежелательных результатов. Их эффект, по определению, возникает «после события», поэтому они подходят только в случаях, когда могут признаваться результирующие потери или убытки[4].  

г) Измерение остаточного риска: Если остаточный риск сохраняется даже после обработки, необходимо принять решение о том, следует ли сохранить этот риск или лучше повторить процесс обработки риска. Для остаточных рисков, которые считаются высокими, необходимо собрать информацию о затратах на реализацию стратегий по дальнейшему смягчению.

   

ПРИМЕР ПЛАНИРОВАНИЯ ОБРАБОТКИ РИСКА

 

ОБРАБОТКА РИСКА ГРАФИК


ПРЕДЛАГАЮЩИЙ ДЕПАРТАМЕНТ  ____________________________
УТВЕРЖДАЮЩИЙ  ДЕПАРТАМЕНТ ____________________________
ОТВЕТСТВЕННОСТЬ               _____________________________

ВИД ОБРАБОТКИ                         _____________________________

ОПИСАНИЕ РИСКА

…………………. 

ПРОЦЕСС

………………….
ФАЗА………………….

ПРИЧИНА

…………………. 
ДВИЖУЩИЕ ФАКТОРЫ

…………………. 

ГРАФИК………………….

 

ОБРАБОТКА РИСКА МОНИТОРИНГ

ЗАДАЧИ………………….
ПОКАЗАТЕЛИ РЕЗУЛЬТАТА………………….
ПРОЦЕДУРА КОНТРОЛЯ ………………….

ОБРАБОТКА РИСКАПЛАН ДЕЙСТВИЙ

ФАЗА

ЕДИНИЦА

ВРЕМЯ
1. ………………….………………….………………….

2. ………………….

………………….  ………………….

3. ………………….

………………….………………….

 

Вопроы и ответы

Вопрос 1. Применяется ли обработка рисков в вашей организации после идентификации и оценки риска?

Ответ 1. «Да. Обработку наиболее существенных рисков выполняют менеджеры, после чего проводится последующий контроль (ежегодно или дважды в год советом директоров). Менее существенные риски обрабатываются в рамках стандартных процедур. Обработка средних или повышенных рисков передается управленческой группе департамента на утверждение. Обработка выполняется лицом, ответственным за выполнение обработки в рамках стандартных операций, а при невозможности этого необходимо подготовить отдельный план реализации».

Источник: Финляндия, Обзор практики управления рисками

Ответ 2. «Да. Риск взвешивается, а владельцам активов приходится создавать план по сокращению рисков, которые измеряются выше определенного уровня»

Источник: Исландия, Обзор практики управления рисками

Ответ 3. «Да. Обработка определяется как часть процесса идентификации риска – шаблон заполняется руководителями подразделений дважды в год, и создаются регистры рисков отдельных директоратов и регистр корпоративных рисков. Устанавливается право владения риском, а процесс пересматривается дважды в год комитетом старшего руководства совместно с отдельным руководителем подразделения. Система управления проектом также содействует идентификации и управлению рисками, и команда проекта регулярно проводит анализ проекта. Обработка управления рисками может включать решения, связанные с человеческими ресурсами».

Источник: Ирландия, Обзор практики управления рисками


Ответ 4. «Да. Обработка рисков является основным результатом анализа риска. Результаты известны как меры контроля. В некоторых случаях меры контроля создаются на основе предыдущего опыта, задолго до формального анализа риска. Однако только полный анализ может достаточно широко гарантировать учет всех аспектов и готовность учреждений столкнуться с последствиями.

Источник: Мексика, Обзор практики управления рисками

Ответ 5. «Да, в соответствии с процедурой системы по управлению рисками, утвержденной Президентом НИС (Решение № 1038/2011). Учитываются проверочные отчеты по управлению рисками, что позволяет предложить меры по обработке».

Источник: Румыния, Обзор практики управления рисками

 

Вопрос 2. Пожалуйста, укажите, какими видами рисков происходит управление в процессе управления рисками, указывая связи и различия в обработке:

Вопрос 1. «Подход по обработке зависит от повышенного или пониженного влияния ЦСБ в сокращении риска до приемлемого уровня. Что касается обработки риска, большинство выявленных и оцененных рисков классифицируются на две категории: сокращение риска и избегание риска, или же сочетание обоих вариантов».

Источник: Хорватия, Подробный обзор практики управления рисками


Вопрос 3. Пожалуйста, опишите методологию, используемую в выявлении и мониторинге обработки риска, указывая функции участвующей организации:

Ответ 1. «Методология, используемая НИСГ, основана, главным образом, на международном стандарте ISO 31000 об управлении рисками, ISO/IEC 27000 об информационной безопасности, некоторых компонентах COSO ERM (общеорганизационное управление рисками), а также на основе стандарта Европейской федерации рисков (FERMA). Первая версия методологии была выпущена в 2010 году, а настоящая версия является результатом институционального опыта использования».

Источник: Мексика, Подробный обзор практики управления рисками

Вопрос 4. Ссылаясь на управления рисками, внутренний контроль и систему внутренней проверки в вашей организации, опишите связь/интеграцию между ними более подробно, указывая следующее: как отслеживаются работы по обработке риска, функции, роли и ответственности, применяемые в мониторинге работ по обработке рисков …»

Ответ 1. «Что касается рисков, каждый руководитель административной единицы несет ответственность за установление, анализ, оценку и определение работ по обработке».

Источник: Мексика, Подробный обзор практики управления рисками

Вопрос 5. Пожалуйста, опишите, кто устанавливает приоритеты работ по обработке рисков и как:

Ответ 1. «На корпоративном уровне совет директоров устанавливает приоритеты». На уровне процесса приоритеты устанавливает владелец процесса».

Источник: Нидерланды, Подробный обзор практики управления рисками

Вопрос 6. Применяется ли обработка рисков в вашей организации после идентификации и оценки риска?

Ответ 1. «Да. Директоры/руководители подразделений (владельцы риска) предлагают ответные меры, утвержденные менеджером по рискам/менеджером по предупреждению мошенничества и коррупции. Эти меры отбираются на основе приоритетов (стратегическая область рисков, значение риска, обоснованность), а затем вверяются исполнителям. Менеджеры предлагают ответные меры, правительство выбирает меры после установления их значимости (установление приоритета). Структура заполняется внутренней репрезентативной сетью. Утвержденные и выбранные ответные меры разрабатываются, осуществляются и контролируются под ответственностью менеджеров (директоры/руководители подразделений). Структура заполняется контрольной информацией репрезентативной сетью».

Источник: Италия, Обзор практики управления рисками

 

      

[1] Примеры мер профилактического контроля включают только ограниченное количество уполномоченных лиц, например, только тем, кто имеет соответствующую подготовку и разрешение позволяется обрабатывать запросы СМИ, предупреждая выход несоответствующих комментариев в прессу.

[2] Например, составление пунктов договора, допускающих взыскание излишне выплаченных сумм. Страхование также может рассматриваться, как вид корректирующего контроля, поскольку оно способствует финансовому восстановлению относительно актуализации риска.

[3] Например, требуется, чтобы персонал был подготовлен в части получения определенных навыков, прежде чем им будет разрешено работать без контроля.

[4]Примеры контроля обнаружения включают «Анализы после реализации», которые демонстрируют уроки, полученные на основе проектов, и которые можно применить в будущей работе, а также мониторинг деятельности, направленной на обнаружение изменений, в отношении которых применяются ответные меры.

 

  • No labels