P 50.1.090—2014

Предисловие

1    ПОДГОТОВЛЕНЫ Некоммерческим партнерством «Русское общество управления рисками» (РусРиск)

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК10 «Менеджмент риска»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 октября 2014 г. № 1276-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения наспюящих рекомендаций установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты». а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соотвепктвующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя « Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. 2015

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

P 50.1.090—2014

Содержание

1    Область применения...................................................1

2    Нормативные ссылки...................................................1

3    Термины и определения.................................................1

4    Общие положения....................................................2

5    Применение ключевых индикаторов риска.....................................4

Библиография........................................................15

III

Введение

В центре проблем, рассматриваемых в настоящих рекомендациях, находится стратегическое и оперативное принятие решений в отношении контроля за изменением уровня риска, возникновением новых рисков. Цель настоящих рекомендаций — предоставить высшему руководству организации эффективный инструмент контроля, позволяющий своевременно реагировать на возникновение угроз, предпринимать превентивные действия, направленные на предотвращение наступления опасных событий и обеспечение гарантий достижения поставленных целей. Использование эффективных, экономичных и прозрачных методов позволяет упростить и усовершенствовать механизмы принятия решений в отношении менеджмента риска. В более широком контексте менеджмента ключевых индикаторов риска (КИР) рекомендации обеспечивают лиц. принимающих решения, процедурами, позволяющими определить необходимость и способ менеджмента риска.

Ключевые индикаторы риска играют важную роль в любой концепции менеджмента риска, являются инструментом мониторинга и контроля риска, могут выявить потенциальные опасные события. КИР позволяют проводить мониторинг динамики изменения уровня опасных событий за отчетный период, а также служат выражением предпочтительного риска организации. КИР наглядно отражают реальную опасность возникновения опасных событий, что является сигналом для руководства предпринять необходимые меры по менеджменту риска.

Как правило. КИР достаточно для отражения текущего уровня подверженности организации рискам. В отсутствие каких-либо серьезных изменений внутренней среды или рыночной ситуации ежемесячной сводки по КИР может быть достаточно для принятия мер по менеджменту риска организации.

IV

P 50.1.090—2014

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Менеджмент риска КЛЮЧЕВЫЕ ИНДИКАТОРЫ РИСКА

Risk management. Key risk indicators

Дата введения — 2015—12—01

1    Область применения

В настоящих рекомендациях установлены требования к менеджменту ключевых показателей риска и приведено руководство по поддержанию выполнения этих требований.

Настоящие рекомендации полезны для организации, которая стремится:

1)    разработать, внедрить, поддерживать в рабочем состоянии и улучшать систему менеджмента ключевых индикаторов риска:

2)    демонстрировать выполнение требований настоящих рекомендаций тремя сторонами:

-    первой — организацией, которая стремится соответствовать требованиям данных рекомендаций. Организация должна самостоятельно принять это решение и заявить о нем;

-    второй — причастными лицами в организации, например, клиенты или другие лица, действующие от их имени, подтверждают такое соответствие;

-    независимой третьей стороной, например орган по сертификации.

Настоящие рекомендации применимы ко всем организациям, занимающимся государственной или коммерческой деятельностью. Рекомендации устанавливают общие принципы формирования и применения ключевых индикаторов риска для государственных или коммерческих организаций различных форм собственности и видов выполняемой деятельности вне зависимости от числа работающих.

2    Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство

Примечание — При применении настоящих рекомендаций целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если ссылочный стандарт заменен (изменен), то при пользовании настоящими рекомендациями следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3    Термины и определения

В настоящих рекомендациях применены термины по ГОСТ Р 51897-2011. а также следующие термины с соответствующими определениями:

Издание официальное

3.1    риск (nsk): Следствие влияния неопределенности на достижение поставленных целей¹'.

Примечания

1    Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

2    Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т. п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

3    Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.

4    Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.

5    Неопределенность — это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.2    менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.3    мониторинг (monitonng): Систематические проверки, надзор, обследования и определение состояния, проводимые для идентификации изменений требуемого или ожидаемого уровня функционирования.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.4    ключевые индикаторы (показатели) риска (key risk indicators): Количественные показатели источников (факторов) риска.

3.5    внутренний аудит (internal audit): Деятельность по оценке надежности и эффективности системы внутреннего контроля в организации, системы менеджмента риска, эффективности и экономичности управления бизнес-процессами.

3.6    аппетит риска, предпочтительный риск (risk appetite): Способность и желание организации принимать на себя определенный риск для достижения своих стратегических целей.

4 Общие положения

Ключевые индикаторы риска (КИР) играют значительную роль в процессе управления. КИР используются для отслеживания и прогнозирования различных опасных событий. Их нацеленность на будущее существенно отличает их от ключевых показателей эффективности, которые, главным образом, направлены на анализ фактов. Разработка и внедрение КИР в систему менеджмента риска позволяет контролировать результативность процессов анализа и предотвращения риска. КИР позволяют осуществлять контроль значений так часто, как это необходимо.

Не существует универсального КИР. помогающего оценить одновременно все виды риска, все направления деятельности и т. д. Зачастую они специфичны для видов деятельности или процессов. Кроме того, важна чувствительность выбранных КИР к определенному виду риска.

4.1    Повышение эффективности контрольных процедур с помощью КИР

Для повышения эффективности контрольных процедур с помощью КИР необходимо:

-    выбрать ключевые индикаторы для каждого значимого риска;

-    определить интервалы значений КИР. соответствующие приемлемому риску, высокому риску и т. п.;

-    документировать проведение мониторинга КИР и предоставления соответствующей отчетности руководству.

4.2    Объект превентивного контроля при проведении внутреннего аудита в области

менеджмента риска

Система внутреннего аудита в области менеджмента риска позволяет дать оценку защищенности организации, акцентировать внимание высшего руководства на ключевых вопросах, оптимизировать и(или) скорректировать план мероприятий по минимизации риска, содействовать своевременному

8 соответствии с Федеральным законом от 27 декабря 2002 г. Ne 184 «О техническом регулировании» «риск — это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц. государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда».

P 50.1.090—2014

выявлению и повышению результативности менеджмента риска, улучшению взаимодействия отделов, ответственных за контроль и менеджмент риска и т. д. Акцентируя внимание в проверках на ключевых риске и эффективности управления ими. внутренний аудит ориентируется также на предотвращение опасных событий, минимизацию возможных убытков, повышение эффективности процессов. Документы системы менеджмента риска, являясь объектом проверок внутреннего аудита, обеспечивают дополнительный превентивный контроль.

Внутренний аудит сосредоточен на тех областях, которые содействуют привнесению ценностей в организацию.

Содействие развитию и эффективному функционированию системы менеджмента риска является одной из ключевых задач внутреннего аудита.

Поэтому внутренний аудит необходимо осуществлять в комплексе с менеджментом риска и выстраивать на его базе, что позволит своевременно выявлять и анализировать проблемы, формировать рациональный план проверки и эффективно распределять ресурсы, выявлять в ходе проверки случайную ошибку исполнителя или случаи мошенничества, определять нарушения при выполнении процедур. Интеграция процессов внутреннего аудита и системы менеджмента риска обеспечивает превентивный контроль и предотвращение наступления опасных событий, влияющих на достижение целей организации.

В качестве объектов внутреннего аудита необходимо рассматривать также не только финансовые документы, но и бизнес-процессы, и бизнес-среду, и связанные с ними риски. Эффективность проведения внутреннего аудита в значительной степени зависит от существующей информации, базы, способов ее оценки, которые наиболее полно отвечают целям аудита.

Основная роль внутреннего аудита в области менеджмента риска заключается в предоставлении собственнику и совету директоров выводов и заключений по эффективности деятельности системы менеджмента риска, управления бизнес-риском, возможностей для улучшения событий, способных повлиять на цели организации, а также содействие эффективному развитию системы менеджмента риска.

Выбранные источники информации, соответствующие критериям и целям аудита, деятельность и процессы, которые подвергаются аудиту, обеспечивают информацией, являющейся предпосылкой для объективных заключений по результатам аудита.

В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:

-    реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска:

-    карту риска, которая отражает динамику изменения состояния защищенности организации во времени:

-    панель риска, содержащая информацию о ключевых индикаторах риска и динамики их изменения во времени;

-    отчеты о выполнении планов обработки риска:

-    аналитическое заключение о защищенности организации — детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба.

Анализируя документы системы менеджмента риска, внутренний аудит акцентирует внимание на ключевом риске, опасных зонах, областях с наибольшим риском, что обеспечивает приоритезацию действий, увеличение охвата проверок и минимизацию трудовых затрат.

При этом система внутреннего аудита в области менеджмента риска позволит собственникам получить объективный взгляд на деятельность организации, а также понять, какие необходимо предпринять действия для повышения эффективности ее работы с учетом требований международных стандартов и лучшей международной и отечественной практики в области внутреннего аудита и менеджмента риска.

4.3 Определение предпочтительного риска

Предпочтительный риск:

-    является стратегическим фактором и связан с достижением целей организации:

-    является неотъемлемой частью корпоративного управления;

-    определяет отношение организации к риску;

-    способствует эффективному распределению ресурсов;

-    является многомерным параметром, в том числе применительно к достижению целей в краткосрочной и долгосрочной перспективе процесса стратегического планирования;

-    обеспечивает контроль за уровнем риска.

3

Значения слабого влияния КИР являются, в том числе, выражением предпочтительного риска в отношении каждого отдельного риска. Рекомендуется формировать диапазоны влияния ключевых индикаторов риска, определяя конкретные значения для слабого, умеренного и сильного влияния риска. Если ключевой индикатор риска находится в зоне слабого влияния, значит, риск остается в пределах определенного предпочтительного риска. Диапазоны влияния ключевых индикаторов риска и уровень предпочтительного риска организации непосредственно связаны. Зоны слабого, умеренного и сильного влияния каждого индикатора определяются на основании декомпозиции предпочтительного риска организации до уровня каждого отдельного риска или, наоборот, эскалация диапазонов влияния ключевых индикаторов по каждому отдельному риску способствует определению уровня предпочтительного риска организации.

Определение предпочтительного риска означает, что организация не устраняет риск. Организации. имеющие различные цели, принимают различный уровень предпочтительного риска. Не существует стандартного или универсального уровня предпочтительного риска. Прежде всего высшее руководство должно сделать выбор в определении предпочтительного риска, понимая компромиссы в том. что чем выше или ниже предпочтительный риск, тем больше или меньше ресурсов на менеджмент риска должно быть выделено, и цели организации должны быть достижимы с учетом сформированного уровня предпочтительного риска.

Риск и стратегии компании взаимосвязаны. Одно не существует без другого, их необходимо рассматривать в комплексе.

Для эффективного принятия предпочтительного риска организация должна решить две основные задачи:

-    предпочтительный риск должен быть четко сформулирован и доведен до сведения всех сотрудников организации;

-    руководству организации необходимо обеспечить регулярный контроль за уровнем предпочтительного риска, регулярно анализировать и пересматривать установленный уровень в соответствии с текущими условиями бизнеса, поставленными целями и задачами.

Действуя в пределах допустимого риска, руководство организации гарантирует, что влияние риска находится в пределах допустимой величины и цели организации будут достигнуты.

Предпочтительный риск необходимо:

-    отображать в той же единице измерения, которую организация использует для измерения успеха;

-    применять ко всем четырем категориям целей (стратегическим, оперативным, отчетным и тактическим).

Отношение инвесторов к риску должно быть:

-    сформировано таким образом, чтобы помогать руководству в принятии решений;

-    достаточно конкретным, чтобы осуществлять мониторинг.

Эффективный надзор Совета директоров за предпочтительным риском организации должен включать в себя:

-    четкое обсуждение целей организации и предпочтительного риска;

-    надзор за исполнением плана обработки риска и удержанием риска в пределах установленного предпочтительного риска;

-    надзор за возникновением нового риска, регулярный анализ и пересмотр уровня предпочтительного риска.

5 Применение ключевых индикаторов риска

5.1 Виды ключевых индикаторов риска

Ключевые индикаторы риска охватывают различные виды показателей деятельности организации. КИР подразделяются на четыре категории: косвенные индикаторы, причинно-следственные индикаторы. индикаторы эффективности управления и индикаторы объема.

Косвенные индикаторы позволяют судить об изменении уровня риска посредством отслеживания фактов и событий, косвенно свидетельствующих о возможности реализации опасного события. Они могут включать ошибки или погрешности. Например, выявленное посредством внутреннего контроля количество платежных операций может не соответствовать количеству проведенных платежей.

Причинно-следственные индикаторы — это показатели, которые напрямую связаны с первопричинами опасных событий, таких как простои или превышение стоимости запланированных работ или услуг.

4

P 50.1.090—2014

Контрольные индикаторы эффективности — показатели, обеспечивающие текущий мониторинг исполнения регламентов или контроль соблюдения установленных нормативов. К таким показателям возможно отнести: долю поставщиков, использующих зашифрованную передачу данных; сумму средств, оплаченных поставщикам, не прошедшим процедуру аккредитации.

Индикаторы объема (иногда называют неотъемлемыми показателями риска)часто являются ключевыми показателями эффективности, однако они также могут служить и в качестве КИР. Данные показатели позволяют отслеживать изменение измеримых показателей (например, количество заявок на открытие счета через интернет) или влиять на повышение вероятности и/или влияния определенного опасного события, как. например, величину убытков от мошенничества Индикаторы объема часто связаны с несколькими видами риска в процессе деятельности одной бизнес-единицы.

5.2 Этапы разработки ключевых индикаторов риска

Целью разработки эффективного набора КИРявляется выявление соответствующих показателей, которые предоставляют необходимую информацию о потенциальных рисках, которые могут оказать влияние на достижение целей организации.

Таким образом, выбор и разработка эффективных КИР начинается с анализа целей и рисков, которые могут повлиять на достижение этих целей. Связь ключевых индикаторов риска помогает определить наиболее актуальную информацию, которая может служить в качестве индикатора, сигнализирующего о возникновении значимого риска. Связь стратегических задач с риском и КИР показана на рисунке 1. Исходя из рисунка 1. необходимо определить четыре стратегические задачи, которые являются наиболее важными для достижения целей. Некоторые потенциальные риски идентифицированы таким образом, что могут оказать воздействие на исполнение одной или нескольких стратегических задач, соответственно КИР для такого риска позволяют одновременно контролировать достижение нескольких стратегических инициатив. Сопоставление основных риска и стратегических задач позволяет приступить к идентификации наиболее важных показателей, которые могут служить приоритетными КИР. позволяющими контролировать выполнение основных стратегических целей и задач. Как показано на рисунке 1. КИР были определены для каждого критического риска. Сопоставление КИР с критическим риском позволяет руководству организации меньше отвлекать внимание на другие сведения, которые могут быть менее актуальны для достижения целей организации, и приоритезировать свои усилия.

Пример — Для иллюстрации рассмотрим пример с участием сети семейных ресторанов *Шведский стол». Управление заинтересовано в росте прибыли и предотвращении потерь, которые могут возникать из-за незапланированного изменения рыночных условий. Руководство ресторана знает, что посещаемость в ресторане напрямую зависит от уровня личного дохода населения. Когда уровень личного дохода снижается, клиенты стараются ужинать дома и но ходить о ресторан. В качестве ключевого индикатора риска руководство приняло цену за литр бензина. Руководство определило, что когда цены на бензин растут, то личный доход потенциального клиента падает, как и доход ресторана. Также при условии, что если цены на газ начинают расти или прогнозируется их рост, то посещение ресторана заметно сокращается. Руководство ресторана определило, что анализ цен на нефть и газ позволяет ресторану заблаговременно прогнозировать снижение посещаемости ресторана клиентами и дает возможность минимизировать потери за счет изменения маркетинговой программы. Мони-

5

торинг ключевых индикаторов риска давт руководству возможность активно менять стратегию продаж за счвт корректировки программы маркетинга и продвижения ресторана, том самым уменьшая риск снижения дохода.

Процесс выработки эффективного КИР начинается с анализа опасного события, которое негативно повлияло на организацию в прошлом (или в настоящее время). Далее необходимо выявить промежуточное и первичное события, которые предшествовали наступлению негативного события, приведшего к критическому ущербу или упущенной возможности. Основная задача заключается в том, чтобы выработать такие КИР. которые предоставят объективную информацию о том. что опасное событие может быть реализовано. Чем ближе КИР к первопричине опасного события, тем более вероятно, что руководство организации предпримет превентивные действия и предотвратит наступление опасного события. Данный процесс представлен на рисунке 2.

На рисунке 2 показан процесс, в котором можно определить причинно-следственную цепочку между событием, которое произошло, и первопричиной, приведшей к его возникновению. Разработка КИР позволяет отслеживать всю цепочку событий, приводящих кущербу, и предприниматьдействия, направленные на минимизацию воздействия факторов риска на каждом этапе развития опасного события, угрожающего достижению поставленной цели. Иметь достаточно информации для определения ключевой первопричины, влияющей на возникновение опасного события, значит обладать рычагами воздействия на предотвращение негативных последствий.

5.3 Источники информации для формирования КИР

Все организации должны иметь перечень индикаторов риска, которые видоизменяются с течением времени. Перечень индикаторов должен подвергаться периодическому анализу и пересмотру. В этой работе должны участвовать компетентные сотрудники организации, знающие структуру организации, особенности ее деятельности и соответствующую ей отрасль. Необходимо выделять наиболее приоритетные индикаторы и исключать менее значимые. Но и в этом подходе есть отрицательная сторона, которая заключается в том. что данные специалисты исходят из существующих индикаторов и не могут абстрагироваться от них, что препятствует выявлению новых, более актуальных КИР. В таком случае организация может подвергнуть себя риску невыявления новых подходов к разработке КИР и может не учесть изменения, произошедшие в отрасли.

Еще одним важным элементом в разработке эффективных КИР является гарантия того, что все стороны, участвующие в сборе и агрегировании данных по КИР, используют единую терминологию и владеют методологией формирования КИР. Без уверенности в единообразии подхода измерения КИР агрегированная информация не будет достаточно надежной и создаст сложность окончательного процесса принятия решений.

Важным элементом любого КИР является качество информации, которая используется для анализа опасного события. Необходимо обращать пристальное внимание на источник информации и его достоверность. Для формирования КИР необходимо, чтобы информация была наиболее актуальной, своевременной и точной. Информация организации может быть полезна при снижении будущих опас-

6