По мнению Gartner, комплексные программы по управлению рисками – это будущее риск-менеджмента. АФБ представляет перевод статьи о ключевых факторах необходимых для построения эффективного управления рисками в компании.
В 2019 году риски организаций чаще всего были представлены неожиданными операционными инцидентами и скорее всего в дальнейшем их количество будет возрастать, как растут и требования к цифровизации бизнес-процессов. Разрозненные программы управления рисками уступят место расширенным, а лидеры по обеспечению безопасности должны будут сосредоточиться на создании комплексных программ по управлению рисками.
К 2021 году более 50% крупных компаний будут использовать комплексные автоматизированные решения управления рисками, обеспечивающие более эффективное принятия решений. Сегодня же около 30% бизнеса обладает такими средствами.
Что такоеIRM (integrated risk management)
Комплексное управление рисками (Integrated risk management (IRM)) — это набор практик и процессов, поддерживающийся стандартами корпоративной культуры и технологиями, которые помогают улучшить процесс принятия решений и производительность благодаря комплексному представлению о том, насколько хорошо организация управляет своим уникальным набором рисков.
Согласно определению Gartner, IRM имеет такие атрибуты:
Стратегия: создание и внедрение общих принципов, предполагающих повышение эффективности за счёт управления рисками и разделения ответственности.
Оценка: выявление, оценка и приоретизация рисков.
Ответ на возникновение риска: определение и внедрение механизмов для снижения риска.
Коммуникация и отчетность: предоставление наилучших или наиболее подходящих средств для отслеживания и информирования заинтересованных сторон (например, акционеров) о реагировании на риски.
Мониторинг: выявление и внедрение процессов, которые методично отслеживают цели управления, ответственность за риски, соответствие политикам и решениям, которые устанавливаются в процессе управления.
Технология: разработка и внедрение архитектуры IRM-решения.
Чтобы понять весь спектр рисков, организациям требуется всестороннее представление обо всех бизнес-единицах и функциях управления рисками и соответствия нормативным требованиям, а также о ключевых деловых партнерах, поставщиках и сторонних организациях. Для развития этого понимания лидеры рисков и безопасности должны учитывать все перечисленные выше атрибуты IRM.
Топ-10 факторов успешного внедрения IRM-системы
Для наиболее успешной разработки эффективной и уникальной для организации архитектуры, руководители служб безопасности и управления рисками должны искать ответы на следующие вопросы:
- Предельно допустимый уровень риска. Какие риски мы готовы принять для достижения стратегических целей?
- Оценка риска: каков текущий уровень неотъемлемого и остаточного риска, связанного со стратегическими целями? Как контролируются остаточные риски и эффективность контроля? Как определяются и оцениваются необходимость и эффективность исправления рисков?
- Агрегация рисков: как мы соотносим риски по отношению к стратегическим целям? Как понимаем и формулируем подверженность риску в разрезе данной стратегической цели?
- Аналитика рисков. Как наши ключевые индикаторы риска влияют на наши ключевые показатели эффективности? Как мы можем смоделировать события риска, которые окажут существенное влияние на наши деловые операции? Какие допустимые пределы риска допустимы?
- Прикладное решение. Какая технология необходима для обеспечения совместной работы и передачи информации о рисках и соответствии нормативным требованиям для поддержки эффективности бизнеса и принятия решений? Какая технология позволяет автоматизировать процессы управления рисками и отчетности? Какая технология позволяет автоматизировать контроль и мониторинг рисков?
- Архитектура риска. Согласованы ли проекты и инициативы по управлению рисками с целями управления? Как автоматизированное и ручное управление, процессы мониторинга рисков и отчетность о рисках включены в архитектуру предприятия?
- Страхование риска. Какая политика, процессы и средства контроля необходимы для достижения стратегических целей, а также законодательных и нормативных полномочий? Откуда мы знаем, что программа управления рисками эффективна и соответствует бизнес-целям? Постоянно ли функционируют механизмы контроля риска? Нужно ли пересматривать или пересматривать эти средства контроля в зависимости от меняющейся картины рисков?
- Ответственность за риск. Как мы можем усилить ответственность за риск и контроль на предприятии?
- Заинтересованность в решении. Как заинтересовать сотрудников действовать в интересах компании в пределах собственной рискоустойчивости?
- Метрики риска. Какие метрики необходимы и как они связаны с показателями производительности для достижения необходимых результатов? Как мы можем количественно определить величину риска, его влияние на бизнес-операции и успешно смягчить и снизить его показатели до предельно допустимых значений?
Оригинал статьи доступен по ссылке.