≡× MENU

• داخلی
• ویندوز
• دیوارها
• پروژه ها
• ساختمان ها

نمونه هایی از استانداردهای ملی مدیریت ریسک استانداردهای ملی مدیریت ریسک و اصول عملکرد آنها

مدیریت ریسک به عنوان یک فناوری مدیریتی در طی 10-15 سال گذشته دوره توسعه فعال در خارج از کشور و روسیه را تجربه کرده است. موضوع توسعه یک درک مشترک از اهداف و اهداف سیستم مدیریت ریسک، اصطلاحات مورد استفاده، ساختار سازمانی و خود فرآیند مدیریت ریسک، با شرایط مدرن روسیه، از اهمیت ویژه‌ای برخوردار است. عمل جهانی یکی از رویکردهای جهانی را برای حل این مشکل ارائه می دهد - یکسان سازی و استانداردسازی در زمینه مدیریت ریسک.

طبق تعریف سازمان بین‌المللی استاندارد (ISO)، استاندارد یک سند هنجاری است که بر اساس اجماع ایجاد می‌شود، توسط یک نهاد شناخته شده در سطح مناسب تصویب می‌شود و قوانینی را برای استفاده جهانی و مکرر وضع می‌کند. اصول کلیو ویژگی‌های مربوط به فعالیت‌های مختلف یا نتایج آن‌ها، و هدف آن دستیابی به درجه مطلوبی از نظم در آن است منطقه خاص. استانداردها باید بر اساس نتایج کلی علم، فناوری و تجربه عملیو در جهت دستیابی به منفعت بهینه برای جامعه هستند

در سال‌های اخیر، تمایل آشکاری برای تکرار استانداردهای مدیریت ریسک در تعدادی از کشورها، از جمله روسیه، وجود داشته است که برای اولین بار 10 تا 15 سال پیش ایجاد شد و عمدتاً به مخاطرات مصنوعی مربوط می‌شد. اینها عبارتند از GOST 27.310-95 "تجزیه و تحلیل انواع، پیامدها و بحرانی بودن خرابی ها"، GOST R 51901-2002 "مدیریت قابلیت اطمینان. تجزیه و تحلیل ریسک سیستم های تکنولوژیکی، GOST R 51897-2002 "مدیریت ریسک. اصطلاحات و تعاریف، و همچنین GOST ISO/TO 12100-1 و 2 - 2002 "ایمنی تجهیزات. مفاهیم اساسی، اصول کلی طراحی» و دیگران.

GOST R 51901.2-2005 مدیریت ریسک. سیستم های مدیریت قابلیت اطمینان،

GOST R 51901.13-2005 مدیریت ریسک. تجزیه و تحلیل درخت خطا و تعدادی دیگر در طول 5-6 سال، 8 استاندارد مدیریت ریسک ایجاد شده است، و این کار هنوز به پایان نرسیده است. در سال 2009 تهیه و در آگوست 2010 به تصویب رسید استاندارد جدید- ISO 31000 "راهنمای عمومی در مورد اصول و اجرای مدیریت ریسک".

توجه بیشتر مشاوران در زمینه مدیریت ریسک فعال در بازار روسیه به سند "مدیریت ریسک سازمان ها" معطوف شده است. مدل یکپارچه» که توسط کمیته سازمان‌های حامی کمیسیون تردوی (COSO) تهیه شده است.

انجمن روسیه برای مدیریت ریسک، علاوه بر توصیه های COSO، استاندارد مدیریت ریسک فدراسیون انجمن های مدیران ریسک اروپا (FERMA) را در نظر می گیرد، که توسعه مشترک موسسه مدیریت ریسک (IRM)، انجمن مدیریت ریسک است. و بیمه (AIRMIC) و انجمن ملی مدیریت ریسک در بخش عمومی (ALARM) (2002).

در حال حاضر در روسیه تعداد زیادی از استانداردهای دولتیکه تنها بخش کوچکی از آن، کمتر از 1 درصد، استانداردهای مربوط به ریسک های تجاری و در واقع این نوعریسک برای هر واحد تجاری بسیار مهم است. رویه مدیریت ریسک جهانی، استاندارد را مدلی برای تلاش در نظر می گیرد. استانداردهای کمی در مدیریت ریسک وجود دارد. در عین حال ریشه های موجود استانداردهای روسیهدر مورد مدیریت ریسک، و همچنین تعداد زیادی از روش‌های پیشنهادی صنعت، از خارج از کشور می‌آیند و پایه‌های اصول واقعیت خارجی را می‌گذارند.

برای ایده کلیدر مورد استانداردهای مدیریت ریسک، باید با برخی از آنها آشنا شوید: استاندارد FERMA، برخی از اصول قانون Sarbanes-Oxley، استاندارد COSO II و استاندارد آفریقای جنوبی - KING II.

استاندارد مدیریت ریسک FERMA به طور مشترک توسط مؤسسه مدیریت ریسک در انگلستان، انجمن بیمه و مدیریت ریسک و انجمن ملی مدیریت ریسک در بخش عمومی (مجموعه ملی مدیریت ریسک در بخش عمومی) ایجاد و به تصویب رسید. در سال 2002 طرح مندرج در سند به عنوان مبنایی برای اجرای یک سیستم مدیریت ریسک عمل می کند. این استانداردهای مدیریت ریسک شامل: تعریف ریسک، مدیریت ریسک، توضیح داخلی و عوامل خارجیریسک، فرآیندهای مدیریت ریسک، رویه‌های ارزیابی ریسک، روش‌ها و فناوری‌های تجزیه و تحلیل ریسک، فعالیت‌های مدیریت ریسک و همچنین مسئولیت‌های یک مدیر ریسک. بر اساس این سند، ریسک ترکیبی از احتمال و رویداد آن و مدیریت ریسک به عنوان بخش مرکزی مدیریت استراتژیک سازمان در نظر گرفته می شود. به عنوان مثال، وظایف اصلی یک متخصص ریسک، طبق استاندارد FERMA، توسعه و اجرای یک برنامه مدیریت ریسک، هماهنگی تعامل بخش های مختلف ساختاری سازمان، توسعه برنامه هایی برای کاهش خسارات برنامه ریزی نشده و سازماندهی اقدامات برای حفظ و نگهداری است. تداوم فرآیندهای تجاری ایده اصلی این استاندارد این است که پذیرش استاندارد برای دستیابی به توافق در مورد اصطلاحات استفاده شده، فرآیند ضروری است. کاربرد عملیریسک مدیریت، ساختار سازمانیمدیریت ریسک، اهداف مدیریت ریسک. به ویژه مهم است که درک کنیم که مدیریت ریسک فقط یک ابزار تجاری و تجاری نیست سازمان های عمومی، بلکه راهنمای هر اقدامی (چه در کوتاه مدت و چه در بلندمدت) است.

یکی از معدود موارد قانونی استانداردهای تایید شدهدر زمینه مدیریت ریسک، قانون Sarbanes-Oxley است. این قانون در درجه اول به موضوعات کنترل داخلی و قابلیت اطمینان گزارشگری مالی می پردازد و همچنین به طور غیرمستقیم فرآیند مدیریت ریسک را تنظیم می کند. قانون راهنمایی در مورد توسعه رویه‌های کنترل مالی خاص ارائه نمی‌کند. این استاندارد تجزیه و تحلیل داده های فرآیند دریافتی و تأیید انطباق از طریق حسابرسی را ارائه می دهد.

در سال 2001، کمیته سازمان های حامی کمیسیون ترد وی (COSO) به همراه PriceWaterHouseCoopers، پروژه ای را برای توسعه اصول مدیریت ریسک (مدیریت ریسک سازمانی - چارچوب یکپارچه) آغاز کردند. مطابق با اصول توسعه‌یافته، مدیریت ریسک فرآیندی است که تمامی فعالیت‌های شرکت را در بر می‌گیرد که کارکنان در آن مشارکت دارند. سطوح مختلفمدیریت؛ ابزاری که به شما امکان می دهد به اهداف استراتژیک خود برسید. فن آوری برای شناسایی و مدیریت ریسک؛ راهی برای بیمه کردن فعالیت های یک شرکت در برابر خطاهای احتمالیمدیریت یا هیئت مدیره

استاندارد آفریقای جنوبی "KING II" یک مجموعه است راه حل های استاندارددر عمل مدیریت ریسک، به طور مداوم به روز می شود و به عنوان راهنمای آموزش مدیران ریسک عمل می کند. این استاندارد به حاکمیت تجاری و شرکتی خاص خاصی توجه ندارد، اما در عین حال ایدئولوژی فرآیند و مراحل مورد نظر به وضوح بیان می شود. بنابراین، انطباق دقیق رویه ها با ویژگی های یک شرکت خاص می تواند به نتیجه مطلوب منجر شود.

باید بگویم که بیشتراستانداردهای تحلیل شده - "COSO II"، "FERMA" - بر اساس توافق شرکت کنندگان آنها عمل می کنند. یکی از معدود استانداردهای مورد تایید قانونی در زمینه مدیریت ریسک، قانون Sarbanes-Oxley است. اما این قانون موفقیت اقدامات و رویه ها را تضمین نمی کند.

با این حال، استانداردهای خارجی موجود برای ایجاد یک سیستم مدیریت ریسک، همانطور که تمرین نشان می دهد، در واقعیت روسیه ضعیف یا تا حدی قابل اجرا هستند. بنابراین در فدراسیون روسیهآنها بر اساس خارجی ها استانداردهای خود را در زمینه مدیریت ریسک ایجاد کردند که در ادامه به جزئیات بیشتر خواهیم پرداخت.

استانداردهای سری 51901، مدیریت ریسک، ارائه می کند دستورالعمل های کلیدر زمینه کاربرد مدیریت ریسک در یک شرکت، شامل روش هایی برای استفاده است روش های مختلفدر ارزیابی ریسک، با در نظر گرفتن ویژگی های استفاده از یک روش خاص هنگام ارزیابی ریسک های اقتصادی فردی. بنابراین، GOST R 51901.1-2002 "مدیریت ریسک. تجزیه و تحلیل ریسک سیستم های فناورانه» دستورالعمل هایی را برای انتخاب و اجرای روش های تجزیه و تحلیل ریسک، در درجه اول برای ارزیابی ریسک سیستم های تکنولوژیکی ایجاد می کند. GOST R 51901.2-2005 "مدیریت ریسک. سیستم های مدیریت قابلیت اطمینان" مفاهیم و اصول سیستم مدیریت قابلیت اطمینان را تشریح می کند، فرآیندهای اصلی این سیستم (فرآیندهای برنامه ریزی، اشتراک منابع، مدیریت و انطباق) و وظایف قابلیت اطمینان را در مراحل تعریف می کند. چرخه زندگیمحصولات مرتبط با برنامه ریزی، طراحی، اندازه گیری، تجزیه و تحلیل و بهبود؛ GOST R 51901.3-2007 "مدیریت ریسک. راهنمای مدیریت قابلیت اطمینان" راهنمایی برای مدیریت قابلیت اطمینان در طراحی، توسعه، ارزیابی محصول و بهبود فرآیند ایجاد می کند. GOST R 51901.4-2005 "مدیریت ریسک. رهنمودهایی برای استفاده در طراحی» ایجاد می کند مقررات عمومیمدیریت ریسک در حین طراحی، فرآیندهای فرعی آن و عوامل تأثیرگذار. GOST R 51901.5-2005 "مدیریت ریسک. راهنمای استفاده از روش های تجزیه و تحلیل قابلیت اطمینان» شامل بررسی اجمالیروش های تجزیه و تحلیل قابلیت اطمینان پرکاربرد، توصیف روش های اصلی و مزایا و معایب آنها، داده های ورودی و سایر شرایط استفاده؛ GOST R 51901.6-2005 "مدیریت ریسک. برنامه بهبود قابلیت اطمینان" الزامات را ایجاد می کند و توصیه هایی را برای حذف نقاط ضعف از اشیاء سخت افزاری و نرم افزاربه منظور افزایش قابلیت اطمینان؛ GOST R 51901.10-2009 "مدیریت ریسک. رویه های مدیریت خطر آتش سوزی در یک شرکت" شامل مقررات اصلی مدیریت خطر آتش سوزی است و اصول اساسی برای تجزیه و تحلیل و تفسیر خطر آتش سوزی را ایجاد می کند. GOST R 51901.11-2005 "مدیریت ریسک. مطالعات خطر و عملکرد راهنمای کاربرد با استفاده از مجموعه کلمات کنترلی تعریف شده در این استاندارد، راهنمایی هایی را در مورد بررسی خطر و عملکرد سیستم ارائه می دهد، و همچنین راهنمایی هایی را در مورد کاربرد روش و روش های بررسی HAZOP، از جمله تعریف، آماده سازی، بررسی و مستندات نهایی ارائه می دهد. GOST R 51901.12-2007 "مدیریت ریسک. روشی برای تجزیه و تحلیل انواع و پیامدهای خرابی ها» روش هایی را برای تجزیه و تحلیل انواع و پیامدهای خرابی، انواع، پیامدها و اهمیت خرابی ها ایجاد می کند و توصیه هایی برای استفاده از آنها ارائه می دهد. GOST R 51901.13-2005 "مدیریت ریسک. Fault Tree Analysis" یک روش تجزیه و تحلیل درخت خطا را ایجاد می کند و راهنمایی در مورد کاربرد آن ارائه می دهد. GOST R 51901.14-2007 "مدیریت ریسک. بلوک دیاگرامقابلیت اطمینان و روش‌های بولی» روش‌هایی را برای ساخت یک مدل قابلیت اطمینان سیستم و استفاده از این مدل برای محاسبه شاخص‌های قابلیت اطمینان و در دسترس بودن آن توصیف می‌کند. GOST R 51901.15-2005 "مدیریت ریسک. کاربرد روش‌های مارکوف» دستورالعمل‌هایی را برای کاربرد روش‌های مارکوف برای تجزیه و تحلیل قابلیت اطمینان ایجاد می‌کند. GOST R 51901.16-2005 "مدیریت ریسک. افزایش قابلیت اطمینان. معیارهای آماری و روش‌های ارزیابی» مدل‌ها و روش‌های کمی را برای ارزیابی بهبود قابلیت اطمینان بر اساس داده‌های خرابی سیستم به‌دست‌آمده مطابق با برنامه بهبود قابلیت اطمینان توصیف می‌کند. این روش ها به فرد اجازه می دهد تا تخمین نقطه ای، فواصل اطمینان و آزمون های فرضیه را برای ویژگی های بهبود قابلیت اطمینان سیستم تعیین کند.

بنابراین، استانداردهای سری 51901 "مدیریت ریسک" به طور مفصل استفاده از روش ها و رویکردهای مختلف برای ارزیابی و تجزیه و تحلیل ریسک را با هدف اجرای عملی و استفاده از آنها در سازمان توصیف می کند. برای وضوح، بسیاری از استانداردها مثال های عملی را مورد بحث قرار می دهند.

استانداردهای حوزه مدیریت ریسک سری IEC، ISO بر اساس ترجمه استانداردهای بین المللی توسعه یافته توسط کمیسیون بین المللی الکتروتکنیکی، سازمان بین المللی استاندارد سازی ISO است. اهداف اصلی استاندارد ISO توسط صنایع زیر نشان داده شده است: مهندسی مکانیک، شیمی، سنگ معدن و فلزات، فناوری اطلاعات، ساخت و ساز، پزشکی و مراقبت های بهداشتی، محیط زیست، سیستم های تضمین کیفیت. استانداردهای IEC بیشتر از استانداردهای ISO هستند و برای کاربرد مستقیم مناسب تر هستند. ارزش عالی IEC بر توسعه استانداردهای ایمنی تأکید دارد - هدف اصلیاستانداردسازی در حوزه امنیت، جستجوی حفاظت در برابر است انواع مختلفخطر

دامنه فعالیت های IEC شامل: خطرات تروماتیک، خطرات الکتریکی، خطرات انفجار، خطرات تشعشع تجهیزات، از جمله. و از تشعشعات یونیزان، خطرات بیولوژیکی، و غیره. به عنوان مثال، GOST R IEC 62305-1-2010 "مدیریت خطر. حفاظت در برابر صاعقه. بخش 1. اصول کلی" اصول کلی حفاظت در برابر صاعقه ساختمان ها، سازه ها و قطعات آنها از جمله افراد در آنها را تعیین می کند. شبکه های آب و برقمربوط به ساختمان (سازه) و سایر اشیاء؛ GOST R ISO 17776-2010 "مدیریت ریسک. راهنمای انتخاب روش‌ها و ابزارهای شناسایی خطر و ارزیابی ریسک برای تأسیسات تولید نفت و گاز دریایی» شرحی از روش‌های اصلی توصیه‌شده برای شناسایی خطر و ارزیابی ریسک مربوط به توسعه و بهره‌برداری از میادین نفت و گاز دریایی از جمله لرزه‌ای را ارائه می‌دهد. اکتشاف، بررسی های توپوگرافی، اکتشاف و حفاری تولیدتوسعه میدانی، از جمله تامین منابع، و همچنین از کار انداختن و دفع تجهیزات مربوطه. GOST R ISO 17666-2006 "مدیریت ریسک. سیستم های فضایی" اصول و الزامات مدیریت ریسک یکپارچه را برای یک پروژه فضایی ایجاد می کند که بر اساس آن خط مشی سازمانی یکپارچه در طول اجرای پروژه توسط هر شرکت کننده پروژه در تمام سطوح (مصرف کننده، اول) در سیستم مدیریت ریسک پیاده سازی می شود. تامین کننده سطح پایین، تامین کنندگان سطح پایین)؛ GOST R IEC 61160-2006 "مدیریت ریسک. بررسی رسمی طراحی رهنمودهایی را برای انجام رویه های بازبینی طراحی به عنوان ابزاری برای بهبود محصول و فرآیند ارائه می دهد. این استاندارد راهنمایی هایی را برای برنامه ریزی و انجام بررسی های پروژه ارائه می دهد و توضیحات مفصلی از مشارکت متخصصان قابلیت اطمینان در بررسی ارائه می دهد. نگهداری، تعمیر و تضمین عملکرد.

کمیته برنامه مشترک ISO/IEC مسئولیت های دو سازمان را در مورد مسائل مربوط به حوزه های مرتبط با فناوری توزیع می کند. فرآیندهای چرخه زندگی مدیریت ریسک» و GOST R ISO/IEC 16085-2007 «مدیریت ریسک. کاربرد در فرآیندهای چرخه حیات سیستم‌ها و نرم‌افزارها، که فرآیند مدیریت ریسک را برای سفارش، تهیه، توسعه، بهره‌برداری و نگهداری نرم‌افزار ایجاد می‌کند.

علاوه بر استانداردهای ذکر شده مربوط به مدیریت ریسک های اقتصادی، استانداردهای تخصصی نیز وجود دارد که فرآیند مدیریت ریسک را در زمینه هایی مانند پزشکی، محیط زیست، فناوری اطلاعات و غیره تنظیم می کند.

در حال حاضر، حرفه ای ها متوجه شده اند که برای ایجاد سیستم موثرمدیریت ریسک، ایجاد یک چارچوب یکپارچه ضروری است چارچوب نظارتیسیستم های مدیریت ریسک سازمان اما با توجه به این واقعیت که راه های زیادی برای رسیدن به این هدف وجود دارد، ترکیب همه جهت ها در یک سند تقریباً غیرممکن است. به همین دلیل است که استانداردهای مدیریت ریسک موجود هنجاری نیستند. با این حال، رعایت مولفه های استانداردهای در نظر گرفته شده و انتخاب راه های مختلفو روشها، سازمانها قادر خواهند بود به اهداف خود در زمینه مدیریت ریسک دست یابند.

ادبیات

1. Potapkina M. استانداردهای مدیریت ریسک: روش های کاربرد در واقعیت روسیه [ منبع الکترونیکی]. حالت دسترسی: www.buk.irk.ru/library/potapkina1.doc.

2. استانداردهای بین المللی مدیریت ریسک. راهنمای آموزشی و روش شناختی [منبع الکترونیکی]. حالت دسترسی: www.minzdravsoc.ru/.../Mezhdunarodnye_standarty_upravleniya_riskami.doc.

3. استاندارد سازی بین المللی. ISO IEC [منبع الکترونیکی]. حالت دسترسی: http://www.asu-tp.org/index.php?option

علاوه بر استانداردهای بین المللی مدیریت ریسک، استانداردهای ملی مدیریت ریسک نیز در کشورهای دارای قوانین آنگلوساکسون (استرالیا، نیوزیلند، ژاپن، بریتانیا، آفریقای جنوبی، کانادا) اتخاذ شده است.

برنج. 3 – تاریخچه استانداردسازی مدیریت ریسک.

همزمان با استانداردهای مدیریت ملی، الزامات نظارتی متعددی برای ساخت و بهبود فرآیند مدیریت ریسک شرکت‌های مرتبط با ویژگی‌های صنعت ظاهر شد. در میان استانداردهای مدیریت ریسک صنعت، معروف ترین آنها آنهایی هستند که بر فعالیت شرکت های بیمه، شرکت های بیمه اتکایی (Solvency، Solvency II) و بانک ها (Basel، Basel II، Basel III) تاثیر می گذارند.

استانداردها در زمینه مدیریت ریسک یکپارچه سازی موارد زیر را ارائه می کنند:

اصطلاحات مورد استفاده در این زمینه؛

اجزای فرآیند مدیریت ریسک؛

رویکردهای ایجاد ساختار سازمانی برای مدیریت ریسک

با این حال، با وجود یکسان سازی اصطلاحات انجام شده در هر استاندارد مدیریت ریسک، روش ها و اهداف مدیریت ریسک در استانداردهای مختلف متفاوت است. در شکل 3 ملی و استانداردهای بین المللی، که اصطلاحات آن حداقل متفاوت است. هنگام تلاش برای ترکیب استانداردهای مختلف، سردرگمی ممکن است، زیرا تعریف اصطلاحات اساسی در آنها متفاوت است.

استاندارد «مدیریت ریسک سازمانها. مدل یکپارچه» که توسط کمیته سازمان‌های حامی کمیسیون تردوی (COSO) توسعه یافته است. این سندیک چارچوب مفهومی برای مدیریت ریسک سازمانی ارائه می دهد و توصیه های مفصلی را برای ایجاد یک سیستم مدیریت ریسک شرکتی در یک سازمان ارائه می دهد.

فرآیند مدیریت ریسک سازمان، همانطور که توسط COSO تفسیر شده است، از هشت جزء مرتبط به هم تشکیل شده است:

1) تعیین محیط داخلی؛

2) تعیین اهداف؛

3) تعریف (شناسایی) رویدادهای خطر.

4) ارزیابی ریسک؛

5) پاسخ به خطر؛

6) کنترل؛

7) اطلاعات و ارتباطات.

8) نظارت

بنابراین، در رابطه با تعریف اجزای فرآیند مدیریت ریسک، سند مورد بررسی از درک فرآیندی که قبلاً در استانداردهای مدیریت ریسک ایجاد شده است پیروی می کند.

برنج. 4 – مکعب COSO.

در عمل جهانی، استانداردی که «مکعب COSO» نامیده می‌شود (شکل 4)، رابطه بین اهداف سازمان (اهداف استراتژیک، عملیاتی، گزارش‌دهی و انطباق با قوانین)، ساختار سازمانی شرکت (سطوح) را ایجاد می‌کند. شرکت، بخش، واحد تجاری، شرکت تابعه) و اجزای فرآیند مدیریت ریسک از قبل شناسایی شده است.

1. محیط داخلی

پایه های یک رویکرد مدیریت ریسک را ایجاد می کند. شامل:

هیئت مدیره؛

فلسفه مدیریت ریسک؛

اشتهای ریسک؛

صداقت و ارزش های اخلاقی؛

اهمیت شایستگی؛

ساختار سازمانی؛

تفویض اختیارات و توزیع مسئولیت ها؛

استانداردهای مدیریت پرسنل

2. تعیین اهداف

قبل از اینکه مدیریت شروع به شناسایی رویدادهایی کند که ممکن است بر دستاورد آنها تأثیر بگذارد، اهداف باید تعریف شوند.

مدیریت شرکت حق دارد فرآیند سازمان یافتهانتخاب و شکل گیری اهداف و این اهداف با مأموریت سازمان و میزان ریسک پذیری آن مطابقت دارد.

3. ارزیابی ریسک

ریسک‌ها بر اساس احتمال وقوع و تأثیر آن‌ها تجزیه و تحلیل می‌شوند تا مشخص شود که چه اقداماتی برای رسیدگی به آنها باید انجام شود.

ریسک ها بر حسب ریسک ذاتی و باقیمانده ارزیابی می شوند.

4. رویدادهای احتمالی را شناسایی کنید

رویدادهای داخلی و خارجی که در دستیابی به اهداف سازمان تأثیر دارند باید از نظر ریسک یا فرصت شناسایی شوند.

فرصت ها باید توسط مدیریت در هنگام تدوین استراتژی و تعیین اهداف در نظر گرفته شود.

5. پاسخ به ریسک

مدیریت یک روش پاسخ به ریسک را انتخاب می کند:

طفره رفتن؛

پذیرش؛

کاهش؛

پخش می شود.

اقدامات توسعه‌یافته این امکان را فراهم می‌کند که خطر شناسایی شده مطابقت داشته باشد سطح مجازریسک و ریسک پذیری سازمان

6. رویه های کنترل

خط‌مشی‌ها و رویه‌ها طراحی و ایجاد می‌شوند تا اطمینان «معقول» ارائه کنند که به ریسک مربوطه به‌طور مؤثر و به موقع پاسخ داده می‌شود.

7. اطلاعات و ارتباطات

اطلاعات مورد نیازتعریف، ثبت و در قالب و چارچوب زمانی ابلاغ می شود که کارکنان را قادر می سازد مسئولیت های خود را انجام دهند.

تبادل موثر اطلاعات در سازمان به صورت عمودی و افقی.

8. نظارت

کل فرآیند مدیریت ریسک سازمان نظارت و در صورت لزوم تنظیم می شود.

نظارت به عنوان بخشی از فعالیت های مداوم مدیریت یا از طریق ارزیابی های دوره ای انجام می شود.

استاندارد مدیریت ریسک فدراسیون انجمن های مدیریت ریسک اروپا (FERMA) توسعه مشترک موسسه مدیریت ریسک (IRM)، انجمن مدیریت ریسک و بیمه (AIRMIC) و انجمن ملی مدیریت ریسک در بخش عمومی (ALARM) است. ) (2002).

برخلاف استاندارد COSO ERM که در بالا مورد بحث قرار گرفت، از نظر اصطلاحات استفاده شده، این استاندارد به رویکرد اتخاذ شده در اسناد سازمان بین المللی استاندارد (ISO/IEC Guide 73 Risk Management - Vocabulary - Guidelines for use in standards) پایبند است. . به طور خاص، ریسک توسط استاندارد به عنوان "ترکیبی از احتمال یک رویداد و پیامدهای آن" تعریف شده است (شکل 4).

برنج. 5 – فرآیند مدیریت ریسک طبق استانداردهای FERMA.

مدیریت ریسک به عنوان بخش مرکزی مدیریت استراتژیک یک سازمان محسوب می شود که وظیفه آن شناسایی و مدیریت ریسک است. خاطرنشان می شود که مدیریت ریسک به عنوان سیستم یکپارچهمدیریت ریسک باید شامل برنامه ای برای نظارت بر اجرای وظایف محوله، ارزیابی اثربخشی فعالیت های در حال انجام و همچنین یک سیستم تشویقی در تمام سطوح سازمان باشد.

مطابق با استاندارد FERMA، چهار گروه از ریسک های سازمانی متمایز می شوند: استراتژیک، عملیاتی و مالی، و همچنین خطرات خطر.

علاوه بر این، سند ارائه می دهد:

1. شرح مختصرمراحل کلیدی فرآیند مدیریت ریسک که در آن توجه را به خود جلب می کند توضیحات مفصلالزامات برای جزئیات اطلاعات در گزارش های ریسک بسته به مصرف کننده این اطلاعات (در میان مصرف کنندگان گزارش های داخلی - هیئت مدیره شرکت، واحد ساختاری جداگانه آن، یک کارمند خاص سازمان؛ گزارش های خارجی - پیمانکاران خارجی سازمان) . به طور خاص، گزارشی در مورد خطرات شرکت برای کاربران خارجی اطلاعات باید شامل شرح زیر باشد:

روش‌های سیستم کنترل داخلی، یعنی ویژگی‌های حوزه‌های مسئولیت مدیریت سازمان در امور مدیریت ریسک.

روشهای شناسایی ریسکها و کاربرد عملی آنها در سیستم مدیریت ریسک فعلی سازمان.

ابزارهای اصلی سیستم کنترل داخلی در رابطه با مهم ترین ریسک ها؛

مکانیسم های موجود برای نظارت و ردیابی خطرات.

2. تشریح ساختار سازمانی مدیریت ریسک (هیئت مدیره - واحد ساختاری - مدیر ریسک) و همچنین الزامات اساسی توسعه اسناد نظارتیدر زمینه مدیریت ریسک در سطح شرکت (برنامه مدیریت ریسک سازمانی).

ضمیمه استاندارد نمونه هایی از روش ها و فناوری های تجزیه و تحلیل ریسک را که در عمل استفاده می شوند ارائه می دهد. کارشناسان استاندارد مدیریت ریسک استرالیا و نیوزلند را به عنوان یکی از جامع ترین و توسعه یافته ترین استانداردهای ملی در زمینه مدیریت ریسک می شناسند. استاندارد AS/NZS 4360 ماهیت کلی (غیر صنعتی) دارد، مفاد اصلی آن برای ساختن سیستم های مدیریت ریسک برای تعدادی از شرکت های فراملی تطبیق داده شده است.

برنج. 6 – فرآیند مدیریت ریسک طبق AS/NZS 4360

طبق استاندارد AS/NZS 4360، مدیریت ریسک در سطح شرکت مجموعه ای از پنج مرحله متوالی و دو فرآیند سرتاسری است (شکل 6). در عین حال، مدیریت ریسک در استاندارد به عنوان «مجموعه‌ای از فرهنگ، فرآیندها و ساختارهای متمرکز بر استفاده از فرصت‌های بالقوه و همزمان مدیریت تأثیرات منفی» درک می‌شود.

مرحله 1. تعریف محیط زیست (محیط زیست)

از جمله عوامل تعیین کننده نیاز به تجزیه و تحلیل و شناسایی محیط داخلی شرکت باید موارد زیر را برجسته کرد:

مدیریت ریسک باید در چارچوب اهداف و مقاصد تعریف شده سازمان انجام شود.

یکی از ریسک های اصلی شرکت، بروز موانع در فرآیند دستیابی به اهداف استراتژیک، عملیاتی، پروژه ای و غیره است.

یک فرمول روشن از اصول سیاست سازمانی و اهداف شرکت به تعیین جهت های اصلی خط مشی شرکت در زمینه مدیریت ریسک کمک می کند.

اهداف و مقاصد شرکت به تفکیک بخش فعالیت و همچنین اهدافی که در حین اجرای پروژه های شرکتی فردی شکل می گیرد، باید مطابق با اهداف شرکت به عنوان یک کل در نظر گرفته شود. به عنوان بخشی از مرحله مدیریت ریسک مورد بررسی، آنها همچنین محدوده شاخص های عملکرد هدف را تعیین می کنند، فهرستی از عناصر استراتژی شرکت، پارامترهای عملکرد آن را که تحت تأثیر فرآیندهای مدیریت ریسک قرار می گیرد، تهیه می کنند و از تعادل هزینه های احتمالی اطمینان حاصل می کنند. و مزایا (به اصطلاح مرحله شناسایی محیط مدیریت ریسک). منابع مورد نیاز و روش های حسابداری نیز باید تعیین شود.

مرحله 2. شناسایی ریسک

در این مرحله، ریسک های ناشی از ویژگی های محیط خارجی و داخلی که در مرحله قبل مورد تجزیه و تحلیل قرار گرفت، باید شناسایی شوند: همه منابع احتمالیریسک، و همچنین اطلاعات موجود در مورد درک ریسک (آگاهی از ریسک) طرف های درگیر، چه داخلی و چه خارجی. الزامات ویژهدر رابطه با کیفیت اطلاعات (بالاترین سطح ممکن از مرتبط بودن، کامل بودن، دقت و به موقع بودن با توجه به منابع موجود برای به دست آوردن آن) و منابع آن ارائه شده است. مهم است که پرسنل درگیر در شناسایی ریسک از فرآیندها یا فعالیت هایی که در حال تجزیه و تحلیل هستند آگاهی کامل داشته باشند. مورد دوم مستلزم مشارکت در این فرآیندکارگروه های ویژه متشکل از کارشناسان حوزه های مختلف.

مرحله 3. تجزیه و تحلیل ریسک

نتیجه گذر از مرحله مورد بررسی، تعیین سطح ریسک است که منعکس کننده ارزیابی عواقب و احتمال رویدادهای خطر است. از تحلیل کمی و کیفی استفاده می شود. ارزش و تاثیر تحلیل کیفی زمانی که تعریف ریسک توسط طیف وسیعی از ذینفعان شکل می‌گیرد، به شدت افزایش می‌یابد.

مرحله 4. ارزیابی ریسک

وظیفه این مرحله تصمیم گیری در مورد قابل قبول بودن/غیرقابل قبول بودن ریسک است (در رابطه با ریسک قابل قبول، رویه های درمان ریسک پیش بینی شده در مرحله 5 از فرآیند مدیریت ریسک مورد بررسی اعمال نمی شود).

ارزیابی ریسک شامل مطالعه سطوح کنترل یک رویداد ریسک، هزینه های اجرای تاثیر و هزینه ها و منافع بالقوه مرتبط با رویداد ریسک است. نتایج کار کارشناسان در این مرحله ممکن است نیاز به بازنگری در معیارهای ریسک ایجاد شده در مرحله اول فرآیند داشته باشد (بنابراین، مشکل اطمینان از اینکه همه ریسک های مهم در محدوده تجزیه و تحلیل قرار می گیرند حل می شود).

مرحله 5: درمان خطر

در این مرحله، کار با ریسک‌های ارزیابی شده و رتبه‌بندی شده انجام می‌شود که در رابطه با آن تصمیمی در مورد غیرقابل قبول بودن/عدم پذیرش آن‌ها برای شرکت مطابق با معیارهای تعیین‌شده در مراحل اولیه فرآیند مدیریت ریسک در دست بررسی گرفته شده است. گزینه های جایگزیندرمان خطر:

اجتناب از ریسک، که یا با توقف فعالیت‌های مرتبط با سطح ریسک غیرقابل قبول برای شرکت، یا انتخاب سایر حوزه‌های فعالیت قابل قبول‌تر که اهداف سازمان را برآورده می‌کند، یا با انتخاب روش‌شناسی جایگزین و کم‌خطر در رابطه با سازماندهی فرآیند یا فعالیت مورد نظر.

کاهش احتمال وقوع یک رویداد ریسک و (یا) عواقب احتمالیاجرا؛ در نظر گرفتن این نکته مهم است که باید تعادلی بین سطح ریسک و هزینه های مرتبط با کاهش ریسک به سطح معینی پیدا کرد. زمانی که رویکردهای توسعه‌یافته برای کاهش ریسک به‌عنوان موجه طبقه‌بندی می‌شوند، در حالی که هزینه‌های اجرایی بالایی دارند، هزینه های لازمنیاز به بودجه بندی رویه های توصیه شده تحت این جایگزین عبارتند از: کنترل. بهبود فرآیند؛ آموزش و توسعه کارکنان؛ ممیزی و تعیین انطباق با قوانین تعیین شده.

به اشتراک گذاری ریسک با اشخاص ثالث باید در نظر داشت که انتقال دهنده با خطر جدیدی مواجه است که با عدم توانایی سازمان در پذیرش ریسک در مدیریت موثر آن همراه است.

حفظ ریسک این جایگزین برای ریسک های باقیمانده و کشف نشده اعمال می شود.

نتیجه گیری

با وجود تفاوت در اهداف و روش های مدیریت ریسک، هر استاندارد نیاز به تداوم فرآیندهای نظارت و کنترل ریسک را تایید می کند.

ارزیابی ریسک بخشی جدایی ناپذیر از مدیریت ریسک است که شامل فرآیندی ساختاریافته برای شناسایی اهداف سازمانی ممکن است تحت تأثیر ریسک قرار گیرد. ارزیابی ریسک برای تجزیه و تحلیل ریسک ها از نظر پیامدها و احتمال آنها، قبل از تصمیم گیری سازمان در مورد اقدامات بعدی، در صورت لزوم، استفاده می شود.

ارزیابی ریسک به تصمیم گیرندگان و طرف های مسئول درک روشنی از خطراتی که ممکن است بر دستیابی به اهداف تأثیر بگذارد و همچنین اطلاعاتی در مورد کفایت و اثربخشی کنترل ها ارائه می دهد. این استاندارد مبنایی را برای تصمیم گیری مناسب ترین رویکرد فراهم می کند و برای تصمیم گیری برای ریسک های خاص و همچنین انتخاب بین گزینه های مختلف استفاده می شود.

انتخاب یک استاندارد خاص به عنوان استاندارد اصلی برای یک سازمان، گاهی اوقات یک سازمان از چندین استاندارد به طور همزمان استفاده می کند که منجر به عدم اطمینان در فرآیندهای مدیریت ریسک می شود. انتخاب استاندارد مدیریت ریسک یا گسترش متوازن آن مستلزم درک دقیق الزامات هر استاندارد و روش های کاربرد عملی آنها (اجرا) است و همچنین به سطح بلوغ فرآیندهای مدیریت ریسک و فرآیندهای مدیریت بستگی دارد. فناوری اطلاعاتسازمان ها

فهرست ادبیات استفاده شده

1. GOST 1.1-2002 "سیستم استانداردسازی بین ایالتی. اصطلاحات و تعاریف».

2. GOST R 51897 - 2002 "مدیریت ریسک. اصطلاحات و تعاریف».

3. مدیریت ریسک سازمانی. مدل یکپارچه خلاصه COSO، 2004.

4. مدیریت ریسک سازمانی. مدل یکپارچه // "مدیریت ریسک"، شماره 5-6، 7-8، 9-10، 11-12، 2007; 1-2، 2008.

5. استانداردهای مدیریت ریسک فدراسیون اتحادیه های اروپایی مدیران ریسک، 2003.

6. جی فیلوپولوس. شکل‌گیری سیاست و چارچوب نهادی برای ارزیابی ریسک در اتحادیه اروپا. توصیه هایی برای ایجاد سیستم ارزیابی ریسک در کشور.

7. AS/NZS 4360:2004 - مدیریت ریسک، صادر شده توسط استاندارد استرالیا.121

8. CSA (1997) مدیریت ریسک: دستورالعمل برای تصمیم گیرندگان - استاندارد ملی کانادا / انجمن استانداردهای کانادا (1997 تایید مجدد در سال 2002) CAN/CSA-Q850-97.

9. پیش نویس استاندارد بین المللی ISO/DIS 31000 "مدیریت ریسک - اصول و دستورالعمل های اجرا"، ISO، 2008.

10. کوین دبلیو نایت. مدیریت ریسک - یک سفر، بدون مقصد. ژانویه 2006.

11. کوین دبلیو نایت. مدیریت ریسک: جزء لاینفک حاکمیت شرکتی و مدیریت خوب. بولتن ISO، اکتبر 2003.

12. مارک سانر. خلاصه اطلاعات در مورد استانداردهای بین المللی مدیریت ریسک. موسسه در مورد حکومت، کانادا، 30 نوامبر 2005.

13. مدیریت ریسک سازمانی - خلاصه اجرایی چارچوب یکپارچه.- کمیته سازمان حامی کمیسیون ترد وی (COSO)، 2004.

14. GOST R 51898-2002 جنبه های ایمنی. قوانین گنجاندن در استانداردها

اطلاعات مرتبط