Наши популярные онлайн курсы
Установление связи и консультаций
Руководство и персонал говорят на общем языке риска
Организации со зрелой риск-культурой пытаются достичь согласованности в понимании терминов и определений управления рисками в бизнес-единицах посредством проведения информационных кампаний, обучения и постоянного внутреннего общения.
Риск-менеджеры (эксперты) должны обсуждать управление рисками с несколькими сотрудниками, имеющими различный опыт, для оценки уровня осведомленности о целях управления рисками, различий между активным управлением рисками и кризисным управлением и уровнем их знакомства с ключевыми терминами и определениями.
Риск-менеджеры (эксперты) также должны проверить, говорят ли менеджеры по рискам на деловом языке, а не «рисковать» при привлечении руководителей высшего звена. Такие термины, как «аппетит к риску», «реестры риска», «моделирование Монте-Карло» могут быть хороши, когда вы говорите в группе сотрудников по риску или разговариваете с финансовым директором, но должны быть настроены при разговоре, например, с руководителем отдела производства или маркетинга.
В управление рисками должны быть вовлечены заинтересованные стороны
Надлежащее и своевременное участие заинтересованных сторон и, в частности, лиц, принимающих решения на всех уровнях организации, гарантирует, что управление рисками остается актуальным и современным. Привлечение также позволяет заинтересованным сторонам быть представленным надлежащим образом и учитывать их мнения при определении критериев риска. Заинтересованные стороны должны своевременно получать достоверную и полную информацию, понимать принципы и допущения, на основании которых принимаются решения, и обеспечивать, чтобы их решение было рассмотрено надлежащим образом.
Организация может использовать матрицу назначения ответственности, также известную как матрица RACI, которая описывает участие различных ролей при выполнении задач или результатов для проекта или бизнес-процесса. Это особенно полезно при разъяснении ролей и обязанностей в межфункциональных / ведомственных проектах, задачах и процессах. Риск-менеджеры (эксперты) должны проверить, включает ли управление рисками ключевых участников.
Информация о рисках интегрирована во внутреннюю управленческую отчетность
Организации со зрелой риск-культурой объединяют информацию по управлению рисками в существующую управленческую отчетность. Отчеты руководства должны включать информацию о рисках и эффективности. Для некоторых организаций считается хорошей практикой сообщать не о самих рисках, а о том, какое влияние они окажут на цели компании. Современные методы оценки рисков позволяют количественно оценить вероятность достижения каждой из бизнес-целей. Руководство должно знать текущий уровень достижения (эффективности), а также текущий уровень риска, поэтому некоторые организации предпочитают сообщать о ключевых стратегических и оперативных целях, скорректированных с учетом риска.
Выделенные отчеты могут быть подготовлены для конкретных значительных рисков, требующих неотложного или особого внимания со стороны старшего руководства или основных заинтересованных сторон.
Организации со зрелой риск-культурой должны проверить, была ли информация управления рисками надлежащим образом интегрирована в ежедневную отчетность по эффективности управления и для любых отчетов, посвященных значительным рискам. Организации со зрелой риск-культурой также должны проверить, доступна ли информация по управлению рисками на веб-сайте компании, в информационных бюллетенях или в портале.
Информация о рисках интегрирована во внешнюю отчетность
Информация об управлении рисками также должна предоставляться заинтересованным сторонам вне организации. Организации со зрелой риск-культурой включают информацию по управлению рисками в следующие типы отчетов:
- Годовой отчет: обычно содержит информацию об общей приверженности управлению рисками, принципах управления рисками и принципах их применения организацией, структуре управления рисками, характеристиках показателей с учетом риска, задачах управления рисками и основных мероприятиях по управлению рисками, проводимыми в течение года. Годовые отчеты могут также включать информацию о фактических рисках, с которыми сталкивается организация и об их управлении. Финансовые отчеты также должны включать раскрытие рисков и мер по их устранению.
- Корпоративный веб-сайт: обычно предоставляет политику управления рисками, может описывать структуру управления рисками, публиковать ссылки на ISO31000: 2009 и предоставлять информацию о любой связанной с риском информации в соответствии с требованиями биржи или регулятора.
- Другие примеры включают отчеты для регулятора, отчеты о корпоративной социальной ответственности, проспект ценных бумаг (если организация занимается сбором средств) и т. д.
Проводящие оценку должны проверить, компетентно ли представлена информация об управлении рисками во внешней отчетности, является ли актуальной, точной и относится ли к ISO31000.