Важным событием в развитии риск-ориентированного управления в России стал круглый стол с участием представителей Гильдии финансовых аналитиков и риск- менеджмента (ГИФА), портала www.risk-academy.ru , Совета по профессиональным квалификациям финансового рынка «Профессиональная сертификация в области риск-менеджмента» и президента Global Institute for Risk Management Standards Алекса Дали (организация, ответственная за популяризацию ISO31000 в мире).

В ходе круглого стола обсуждались мировые тренды в области профессиональной сертификации управления рисками и развитие добровольной сертификации в России и СНГ.

В Москве состоялся профессиональный форум в области управления рисками, внутреннего аудита и риск-ориентированного принятия решений WORLD CLASS RISK MANAGEMENT 2017, организованный Институтом Стратегического Анализа Рисков (ISAR), Российским отделением международной ассоциации профессиональных риск-менеджеров (PRMIA), Московской Ассоциацией Предпринимателей и компанией «Конгломерат».

Запишитесь на абсолютно новый и мощный курс по принятию решений: https://edunano.ru/courses/prinyatie-resheniy-s-uchyetom-riskov/

Группа в FB: https://www.facebook.com/groups/isar.russia
Больше тренингов и конференций: https://risk-academy.ru/

Видео выходят регулярно, поэтому подпишитесь и включите оповещения, чтобы не пропустить интересные мастер классы, события и обучающие видео из мира риск менеджмента!

Тайм коды:
00:00 Вступление, о содержании
02:50 О сертификации в области риск менеджмента в мире
11:40 Вручение сертификатов
15:33 О сертификации в области риск менеджмента в России
30:50 На что обратить внимание при выборе сертификации?
44:20 Ответы на вопросы зрителей
01:00:30 Конец

Изменение применимых процессов принятия решений, когда это необходимо

Управление рисками интегрировано в стратегическое и оперативное планирование

Зрелые организации должны интегрировать управление рисками в процесс планирования как на стратегическом, так и на оперативном уровнях. Организации, которые успешно внедрили управление рисками в планирование, будут иметь следующие элементы:

• Оценка рисков проводится в рамках процесса разработки стратегии и операционного планирования. Риски должны быть идентифицированы, проанализированы и оценены при разработке стратегических или оперативных целей, а не как отдельная автономная деятельность. Как положительные, так и неблагоприятные возможности необходимо оценивать при определении того, какая цель и стратегия представляется на утверждение Совету директоров и должны обсуждаться в рамках работы Совета директоров.
• Стратегические и операционные цели / ключевые показатели эффективности (KPI) устанавливаются на основе результатов оценки риска, например, скорректированных с учетом риска доходность инвестиций, скорректированных с учетом риска цели продаж и модифицированных для отражения изменений в профиле риска организации и / или ее внутреннего и внешнего периметра.
• Информация о рисках и их управлении прозрачна и интегрирована в документацию по стратегическому планированию, включая бизнес-планы или подобное.
• Бизнес-планы и планы действий, разработанные в ходе стратегических или оперативных процессов планирования, включают планы управления рисками.
• Основные заинтересованные стороны, участвующие в определении стратегии или оперативном планировании, участвуют в оценке рисков, достаточности и эффективности мероприятий по их минимизации.
• Структуры, критерии, роли и обязанности оценки рисков документируются стратегиями и процедурами стратегического и / или оперативного планирования, а не как отдельный документ по управлению рисками.
• Высшее руководство рассматривает оценку риска как ценный шаг в процессе планирования.

Рецензенты должны проверить, можно ли удостовериться в документах, описанных свыше.

Управление рисками интегрировано в управление производительностью

Зрелые организации также должны интегрировать управление рисками в процессы управления корпоративной производительностью. Организации, которые успешно внедрили управление рисками в управление производительностью, будут иметь следующие элементы:

• Стратегические и операционные цели / ключевые показатели эффективности (KPI) устанавливаются на основе оценок риска, например, скорректированных с учетом риска доходность инвестированного капитала, скорректированных с учетом риска цели продаж или KPI управления рисками для отдельных сотрудников. Использование KPI с учетом риска также помогает определить вероятность достижения, снижения или превышения целей.
• Бизнес-единицы имеют целевые показатели управления рисками (лимиты риска, коэффициенты риск/доход) и эффективность управления ими контролируется регулярно.
• • Эффективность по отношению к целям управления рисками оказывает значительное влияние на распределение ресурсов, понимаемых в терминах (например, капитал, время, люди, процессы, системы и технологии), но также влияет на вознаграждение сотрудников, ежегодные и индивидуальные обзоры эффективности и потребности в обучении. анализ.
• Информация о рисках и управлении ими явно включена в существующее управление производительностью и отчетность.
• Элементы управления рисками четко документируются в рамках политики и структуры управления производительностью.

Проводящие оценку должны проверить, интегрировано ли управление рисками с системами управления производительностью, такими как сбалансированные системы показателей, ключевые показатели эффективности (KPI), вознаграждением, компенсацией и оценкой эффективности деятельности. На индивидуальном уровне KPI управления рисками могут быть установлены на основе принятия решений с учетом риска, своевременному управлению рисками, оценок обучения управлению рисками или оценки внутреннего аудита эффективности управления рисками в разных бизнес-единицах.

Проводящие оценку должны проверить, как в настоящее время измеряются и контролируются индивидуальные и корпоративные показатели, и анализируются ли риски при компетентном рассмотрении при оценке и повышении эффективности работы.

Управление рисками интегрировано в основные операционные процессы

Зрелые организации также должны интегрировать управление рисками в основные операционные процессы. Такие интеграционные процессы будут отличаться для каждой отрасли, сектора и типа организации.

Интеграция управления рисками в основной процесс подразумевает, что оценки рисков проводятся на важных этапах процесса, позволяющих принимать операционные решения с учетом рисков, помогая лицам, принимающим решения, рассматривать возможные последствия для каждого варианта. Это необходимо делать систематически и надлежащим образом в соответствии с политиками и процедурами. Например:

• в крупной энергетической компании оценка риска может быть интегрирована в планирование технического обслуживания, финансовые операции или политические решения.
• оценка и моделирование рисков авиакомпаний могут быть интегрированы в прогнозирование полетов, подготовку пилотов, техническое обслуживание или хеджирование закупок топлива
• в оценке инвестиционной компании оценка рисков может быть включена в стратегическое распределение активов, выбор инвестиций, управление активами и управление фондами.

Высшее руководство должно обеспечить выделение соответствующих ресурсов с учетом политики и структур управления рисками, включая компетентных и обученных людей. Зрелые организации обеспечивают условия, при которых структура управления рисками поддерживается соответствующими инструментами, людьми и другими ресурсами.

Оценка должна быть направлена на то, чтобы понять, какие бизнес-процессы считаются ключевыми, и определить, адекватно ли включены элементы управления рисками. В большинстве отраслей промышленности, особенно в деятельности с высоким риском, элементы управления рисками требуются по закону. В ходе проверки уровня зрелости и качества управления рисками необходимо убедиться, что существующие инструменты и методы, используемые для оценки рисков, компетентны и соответствуют принципам ISO31000: 2009.

Другая быстрая проверка может включать в себя анализ существующих систем управления в организации (примеры включают управление качеством ISO 9001, экологический менеджмент ISO14001 и т. д.), чтобы увидеть, применяются ли последовательные принципы управления рисками по различным дисциплинам.

Управление рисками интегрировано в поддерживающие функции

Зрелые организации также должны интегрировать управление рисками во вспомогательные функции (ИТ, финансы, закупки, юридический отдел, внутренний аудит, отдел кадров и т. д.). Уровень интеграции будет зависеть от типа бизнес-процесса; некоторые из примеров включают:

• финансы: оценка рисков может быть интегрирована в бюджетирование, инвестиционные решения, управление денежными средствами, хеджирование и финансовое планирование. Зрелые организации могут выходить за рамки типичных инструментов, таких как чистая приведенная стоимость, внутренняя норма прибыли, анализ сценариев и анализ чувствительности к более сложным инструментам управления рисками, таким как моделирование методом Монте-Карло с использованием таких инструментов, как Vose ModelRisk, Palisade @Risk или Oracle Crystal Ball.
• закупка: зрелые организации могут выбирать для сбора и мониторинга риски, связанные с подрядчиками и поставщиками услуг. Затем руководство может выбрать свою стратегию ценообразования, критерии отбора, частоту мониторинга и требования к отчетности на основе уровня риска подрядчика. Управление рисками может также применяться к самому решению о закупках, включая рассмотрение вопроса о покупке, аренде, аутсорсинге и т. д.
• внутренний аудит: оценка риска может быть интегрирована в планирование и планирование аудита, а также методологию аудита (аудита, основанного на оценке риска) и отчетности о результатах аудита.

Проводящие оценку должны проверить, можно ли удостовериться в документах, описанных свыше. Политика и структура, охватывающие вспомогательные функции, должны четко документировать элементы структуры управления рисками.

Другие примеры интегрированного управления рисками также могут присутствовать и должны быть пересмотрены во время оценки модели зрелости управления рисками АНО ДПО «ИСАР».

Управление рисками интегрировано в дочерние компании

В некоторых организациях есть многочисленные дочерние компании или портфельные компании, в которых она может иметь большинство или миноритарный пакет акций. Важно реализовать те же принципы управления рисками в дочерних и портфельных компаниях.

Зрелые организации могут иметь следующее:

• согласованные методологии управления рисками, которые могут быть интегрированы в деловую деятельность и принятие решений в ключевых дочерних компаниях и портфельных компаниях
• обучение навыкам управления рисками для управления ключевыми дочерними или портфельными компаниями
• отчетность по эффективности, включающая результаты оценки рисков.

Управление рисками интегрировано в расширенную цепочку поставок

Многие организации действуют в рамках потенциально сложной системы взаимодействия с другими организациями и внутренними и внешними заинтересованными сторонами. Крайне важно создавать управление рисками не только внутри организации, но и через ее сети, и в ее взаимодействии с другими организациями.

Зрелые организации должны поощрять подрядчиков, поставщиков и ключевых деловых партнеров к принятию управления рисками и применять принципы, изложенные в ISO31000: 2009. Это может быть очевидным благодаря тренингам по управлению рисками для подрядчиков, аудиту управления рисками, выполняемому компанией, поставщиком услуг или документированным в процедурах и инструкциях по управлению подрядчиками.

Изменение применимых процессов принятия решений, когда это необходимо

Управление рисками интегрировано в стратегическое и оперативное планирование

Зрелые организации должны интегрировать управление рисками в процесс планирования как на стратегическом, так и на оперативном уровнях. Организации, которые успешно внедрили управление рисками в планирование, будут иметь следующие элементы:

• Оценка рисков проводится в рамках процесса разработки стратегии и операционного планирования. Риски должны быть идентифицированы, проанализированы и оценены при разработке стратегических или оперативных целей, а не как отдельная автономная деятельность. Как положительные, так и неблагоприятные возможности необходимо оценивать при определении того, какая цель и стратегия представляется на утверждение Совету директоров и должны обсуждаться в рамках работы Совета директоров.
• Стратегические и операционные цели / ключевые показатели эффективности (KPI) устанавливаются на основе результатов оценки риска, например, скорректированных с учетом риска доходность инвестиций, скорректированных с учетом риска цели продаж и модифицированных для отражения изменений в профиле риска организации и / или ее внутреннего и внешнего периметра.
• Информация о рисках и их управлении прозрачна и интегрирована в документацию по стратегическому планированию, включая бизнес-планы или подобное.
• Бизнес-планы и планы действий, разработанные в ходе стратегических или оперативных процессов планирования, включают планы управления рисками.
• Основные заинтересованные стороны, участвующие в определении стратегии или оперативном планировании, участвуют в оценке рисков, достаточности и эффективности мероприятий по их минимизации.
• Структуры, критерии, роли и обязанности оценки рисков документируются стратегиями и процедурами стратегического и / или оперативного планирования, а не как отдельный документ по управлению рисками.
• Высшее руководство рассматривает оценку риска как ценный шаг в процессе планирования.

Рецензенты должны проверить, можно ли удостовериться в документах, описанных свыше.

Управление рисками интегрировано в управление производительностью

Зрелые организации также должны интегрировать управление рисками в процессы управления корпоративной производительностью. Организации, которые успешно внедрили управление рисками в управление производительностью, будут иметь следующие элементы:

• Стратегические и операционные цели / ключевые показатели эффективности (KPI) устанавливаются на основе оценок риска, например, скорректированных с учетом риска доходность инвестированного капитала, скорректированных с учетом риска цели продаж или KPI управления рисками для отдельных сотрудников. Использование KPI с учетом риска также помогает определить вероятность достижения, снижения или превышения целей.
• Бизнес-единицы имеют целевые показатели управления рисками (лимиты риска, коэффициенты риск/доход) и эффективность управления ими контролируется регулярно.
• • Эффективность по отношению к целям управления рисками оказывает значительное влияние на распределение ресурсов, понимаемых в терминах (например, капитал, время, люди, процессы, системы и технологии), но также влияет на вознаграждение сотрудников, ежегодные и индивидуальные обзоры эффективности и потребности в обучении. анализ.
• Информация о рисках и управлении ими явно включена в существующее управление производительностью и отчетность.
• Элементы управления рисками четко документируются в рамках политики и структуры управления производительностью.

Проводящие оценку должны проверить, интегрировано ли управление рисками с системами управления производительностью, такими как сбалансированные системы показателей, ключевые показатели эффективности (KPI), вознаграждением, компенсацией и оценкой эффективности деятельности. На индивидуальном уровне KPI управления рисками могут быть установлены на основе принятия решений с учетом риска, своевременному управлению рисками, оценок обучения управлению рисками или оценки внутреннего аудита эффективности управления рисками в разных бизнес-единицах.

Проводящие оценку должны проверить, как в настоящее время измеряются и контролируются индивидуальные и корпоративные показатели, и анализируются ли риски при компетентном рассмотрении при оценке и повышении эффективности работы.

Управление рисками интегрировано в основные операционные процессы

Зрелые организации также должны интегрировать управление рисками в основные операционные процессы. Такие интеграционные процессы будут отличаться для каждой отрасли, сектора и типа организации.

Интеграция управления рисками в основной процесс подразумевает, что оценки рисков проводятся на важных этапах процесса, позволяющих принимать операционные решения с учетом рисков, помогая лицам, принимающим решения, рассматривать возможные последствия для каждого варианта. Это необходимо делать систематически и надлежащим образом в соответствии с политиками и процедурами. Например:

• в крупной энергетической компании оценка риска может быть интегрирована в планирование технического обслуживания, финансовые операции или политические решения.
• оценка и моделирование рисков авиакомпаний могут быть интегрированы в прогнозирование полетов, подготовку пилотов, техническое обслуживание или хеджирование закупок топлива
• в оценке инвестиционной компании оценка рисков может быть включена в стратегическое распределение активов, выбор инвестиций, управление активами и управление фондами.

Высшее руководство должно обеспечить выделение соответствующих ресурсов с учетом политики и структур управления рисками, включая компетентных и обученных людей. Зрелые организации обеспечивают условия, при которых структура управления рисками поддерживается соответствующими инструментами, людьми и другими ресурсами.

Оценка должна быть направлена на то, чтобы понять, какие бизнес-процессы считаются ключевыми, и определить, адекватно ли включены элементы управления рисками. В большинстве отраслей промышленности, особенно в деятельности с высоким риском, элементы управления рисками требуются по закону. В ходе проверки уровня зрелости и качества управления рисками необходимо убедиться, что существующие инструменты и методы, используемые для оценки рисков, компетентны и соответствуют принципам ISO31000: 2009.

Другая быстрая проверка может включать в себя анализ существующих систем управления в организации (примеры включают управление качеством ISO 9001, экологический менеджмент ISO14001 и т. д.), чтобы увидеть, применяются ли последовательные принципы управления рисками по различным дисциплинам.

Управление рисками интегрировано в поддерживающие функции

Зрелые организации также должны интегрировать управление рисками во вспомогательные функции (ИТ, финансы, закупки, юридический отдел, внутренний аудит, отдел кадров и т. д.). Уровень интеграции будет зависеть от типа бизнес-процесса; некоторые из примеров включают:

• финансы: оценка рисков может быть интегрирована в бюджетирование, инвестиционные решения, управление денежными средствами, хеджирование и финансовое планирование. Зрелые организации могут выходить за рамки типичных инструментов, таких как чистая приведенная стоимость, внутренняя норма прибыли, анализ сценариев и анализ чувствительности к более сложным инструментам управления рисками, таким как моделирование методом Монте-Карло с использованием таких инструментов, как Vose ModelRisk, Palisade @Risk или Oracle Crystal Ball.
• закупка: зрелые организации могут выбирать для сбора и мониторинга риски, связанные с подрядчиками и поставщиками услуг. Затем руководство может выбрать свою стратегию ценообразования, критерии отбора, частоту мониторинга и требования к отчетности на основе уровня риска подрядчика. Управление рисками может также применяться к самому решению о закупках, включая рассмотрение вопроса о покупке, аренде, аутсорсинге и т. д.
• внутренний аудит: оценка риска может быть интегрирована в планирование и планирование аудита, а также методологию аудита (аудита, основанного на оценке риска) и отчетности о результатах аудита.

Проводящие оценку должны проверить, можно ли удостовериться в документах, описанных свыше. Политика и структура, охватывающие вспомогательные функции, должны четко документировать элементы структуры управления рисками.

Другие примеры интегрированного управления рисками также могут присутствовать и должны быть пересмотрены во время оценки модели зрелости управления рисками АНО ДПО «ИСАР».

Управление рисками интегрировано в дочерние компании

В некоторых организациях есть многочисленные дочерние компании или портфельные компании, в которых она может иметь большинство или миноритарный пакет акций. Важно реализовать те же принципы управления рисками в дочерних и портфельных компаниях.

Зрелые организации могут иметь следующее:

• согласованные методологии управления рисками, которые могут быть интегрированы в деловую деятельность и принятие решений в ключевых дочерних компаниях и портфельных компаниях
• обучение навыкам управления рисками для управления ключевыми дочерними или портфельными компаниями
• отчетность по эффективности, включающая результаты оценки рисков.

Управление рисками интегрировано в расширенную цепочку поставок

Многие организации действуют в рамках потенциально сложной системы взаимодействия с другими организациями и внутренними и внешними заинтересованными сторонами. Крайне важно создавать управление рисками не только внутри организации, но и через ее сети, и в ее взаимодействии с другими организациями.

Зрелые организации должны поощрять подрядчиков, поставщиков и ключевых деловых партнеров к принятию управления рисками и применять принципы, изложенные в ISO31000: 2009. Это может быть очевидным благодаря тренингам по управлению рисками для подрядчиков, аудиту управления рисками, выполняемому компанией, поставщиком услуг или документированным в процедурах и инструкциях по управлению подрядчиками.

Определение того, как различные формы решений принимаются в организации

Организации с высоким уровнем зрелости обеспечивают, чтобы каждое значительное деловое решение поддерживалось надлежащим обоснованием и оценкой рисков. Принятие решений должно включать:

• Четкое описание проблемы;
• Механизмы выхода из проблемной ситуации и варианты принятия решений. Оценка риска должна выполняться для каждого варианта, связанного с конкретным решением. Оценка риска должна основываться на релевантной и достоверной информации. Зрелые организации используют инструменты, такие как деревья решений, моделирование Монте-Карло и другие, чтобы помочь идентифицировать, оценить и документировать риски, связанные с каждым важным решением.
• Четкие значения и критерии для принятия решения, включая допуски к различным типам рисков.

Принятие решений может рассматриваться как деятельность по решению проблем, прекращенная решением, которое считается удовлетворительным. Следовательно, это процесс, который может быть рациональным или иррациональным и может основываться на подозреваемом или явном знании.

Выполнение оценки рисков для всех важных бизнес-решений может значительно повысить качество решения и обеспечить управление ценными знаниями и альтернативами. Это помогает лицам, принимающим решения, делать осознанный выбор, определять приоритеты действий и различать альтернативные варианты действий.

Характеристики принятия решений:

• Сначала необходимо установить цели
• Цели должны быть классифицированы и размещены в порядке важности
• Руководители, обладающие полномочиями, ресурсами и компетенцией для достижения этих целей, считаются владельцами рисков
• Решения основаны на представлениях и предположениях, которые необходимо проверить
• Решения основаны на наилучшей доступной информации в данный момент времени.
• Необходимо разработать альтернативные варианты решений
• Альтернативные решения должны оцениваться по всем целям
• Альтернатива, которой можно достичь всех целей, считается предварительным решением.
• Предварительное решение оценивается на предмет возможных последствий, будь то под контролем лица, принимающего решения, или нет.
• Разрабатываются мероприятия и предпринимаются дополнительные действия для предотвращения возникновения каких-либо негативных последствий

Зрелые организации проводят оценку рисков не в соответствии с циклом управления рисками (ежемесячно, ежеквартально, каждые шесть месяцев или ежегодно), а скорее, как неотъемлемый элемент каждого значимого бизнес-решения. Это включает в себя анализ последствий, связанных с составлением бюджета, в рамках существующего цикла составления бюджета и проведение оценки инвестиционных рисков в рамках принятия инвестиционных решений. Своевременность управления рисками определяется не менеджером рисков, а требованиями бизнеса.

Определение того, как принимаются различные типы решений

Зрелые организации выделяют подходящее время и усилия для обсуждения сценариев, связанных рисков и стратегий управления, связанных с каждой альтернативой, прежде чем принимать решение. Проводящие оценку должны проанализировать протоколы / отчеты, чтобы увидеть уровень и качество обсуждения, связанные со значительными бизнес-решениями. Согласно ISO31000 к рискам, связанным с решениями, могут быть применены следующие действия:

• уклонение, решение не начинать или не продолжать деятельность, которая порождает риск;
• принятие или увеличение, чтобы воспользоваться возможностью;
• удаление путем обращения к источнику риска;
• изменение с точки зрения их вероятности;
• изменение с точки зрения их последствий;
• разделение с другой стороной или сторонами (включая контракты и финансирование рисков); 
• сохранение или принятие путем обоснованного решения;
• оценивание только после получения дополнительной информации.

Если принято решение идти дальше и принимать риски, это должно быть зафиксировано таким образом, чтобы решение и связанные с ним риски могли подвергаться постоянному пересмотру. Проводящие оценку должны проверить, действительно ли это то, как принимаются решения и документируются руководством. Примеры включают:

• Решения, затрагивающие несколько целей
• Конфликтные цели
• Решения, имеющие положительные последствия для некоторых целей, но негативные последствия для других целей
• Решения, имеющие положительные последствия для корпоративных целей, но негативные последствия для личных целей лица, принимающего решения, и / или его команды, отдела, подразделения.

Проводящие оценку должны понимать, какие типы решений и видов деятельности считаются ключевыми для достижения целей компании. Проводящие оценку должны выбрать образец важных бизнес-решений и проверить, включает ли обоснование этих решений соответствующий анализ рисков. Оценки риска должны проводиться до принятия решения, а документация, подтверждающая решение, должна включать результаты оценки риска в определенной форме. Эта информация должна быть последовательно документирована с использованием методологии, которая согласуется с принципами ISO31000.

Понимание того, как когнитивные предубеждения влияют на принятие решений в условиях неопределенности

Оценивая риски, важно понять исследования, которые ученые называют «восприятием риска», поскольку эти знания оказывают значительное влияние на то, как проводящие оценку проводят собеседования и анализируют информацию во время оценки зрелости управления рисками:

• Изучение восприятия риска возникло из-за того, что эксперты и непрофессионалы часто не соглашались с тем, насколько опасны различные технологии и природные опасности.
• Середина 1960-х годов ознаменовалась быстрым ростом ядерных технологий и обещанием чистой и безопасной энергии. Однако общественное мнение воспротивилось этой новой технологии. Опасения о непосредственных опасностях для окружающей среды и о немедленных катастрофах, создающих радиоактивные пустоши, обратили общественность против новой технологии. Научные и правительственные общества задались вопросом, почему общественное мнение было против использования ядерной энергии, когда все ученые эксперты заявляли, насколько это безопасно. Проблема, с точки зрения экспертов, заключалась в различии между научными фактами и преувеличенным общественным восприятием опасностей.[1]
• Начались исследования, призванные понять, как люди обрабатывают информацию и принимают решения в условиях неопределенности. Ранние работы показали, что люди используют когнитивные эвристики при сортировке и упрощении информации, которые приводят к предубеждениям в понимании. Более поздние работы, основанные на этом, выявили многочисленные факторы, влияющие на индивидуальное восприятие риска, включая страх, новизну, стигму, культурное завершение и другие факторы.[2] Карен Серуло предполагает, что эмоции связывают восприятие с действиями, а нереалистичный оптимизм (положительная асимметрия) приводит к просчету влияния Катрины на уязвимость Нового Орлеана (Серуло, 2006, стр.62, 239).
• • Исследования также показали, что на восприятие риска влияет эмоциональное состояние воспринимающего (Bodenhausen, GV (1993). Эмоции, возбуждение и стереотипные суждения: эвристическая модель аффекта и стереотипирования. В DM Mackie & DL Hamilton (Eds.) Аффект, познание и стереотипирование: интерактивные процессы в групповом восприятии (стр. 13-37). Сан-Диего, Калифорния: Academic Press.). В соответствии, например, с теорией валентности, положительные эмоции приводят к оптимистическому восприятию риска, тогда как отрицательные эмоции влияют на более пессимистический взгляд на риск (Lerner, JS; Keltner, D (2000). «За пределами валентности: к модели влияния эмоций на суждение и выбор «. Познание и эмоция. 14: 473–493).
• • Самое раннее психометрическое исследование было проведено психологами Дэниелом Канеманом (который позже получил Нобелевскую премию по экономике вместе с Верноном Смитом «за то, что он интегрировал идеи психологических исследований в экономическую науку, особенно в отношении человеческого суждения и принятия решений в условиях неопределенности») и Амос Тверский, который выполнил серию азартных экспериментов, чтобы увидеть, как люди оценивали вероятности (Канеман, Д. (2003). Карты ограниченной рациональности: взгляд на интуитивное суждение и выбор. В Т. Франгсмир (ред.), Les Prix). Нобелевская премия 2002 [Нобелевские премии 2002] Стокгольм, Швеция: Almquist & Wiksell International). Их основной вывод заключается в том, что люди используют несколько эвристических методов для оценки информации. Эти эвристики обычно полезны для быстрого мышления, но они могут привести к неточным суждениям в сложных деловых ситуациях с высокой степенью неопределенности, и в этом случае они становятся когнитивными уклонами.

Человеческие и культурные факторы, которые могут быть рассмотрены, могут включать, но не ограничиваются:

• Существующие общеизвестные когнитивные предубеждения, которые могут влиять на эффективность оценок риска и снижать качество принятия решений (https://en.wikipedia.org/wiki/Cognitive_bias); заниженное влияние на эффективность принятия решений — нарциссизм.[3]
• В некоторых случаях к оценке риска может быть привлечено только отдельное лицо или небольшая группа лиц. Это может привести к тому, что любые результаты оценки риска будут зависеть от их когнитивных предубеждений, восприятий и убеждений или отсутствия значительных рисков. Проводящие оценку должны проверить, привлекают ли организации широкую и разнообразную группу лиц в рамках своей деятельности по управлению рисками.
• Взгляды и мнения некоторых людей могут восприниматься как более точные или достоверные из-за их уровня опыта, должностей, возраста, общения с влиятельными лицами и т. д. В таких случаях мнения таких лиц могут быть недостаточно оспариваемы, что повреждает качество результатов оценки риска.
• В некоторых странах некоторые методы могут быть предпочтительнее других (например, некоторые европейские страны склонны к количественным оценкам рисков, в то время как страны Латинской Америки предпочитают качественные методы). В таких случаях эти предпочтительные методы могут применяться ко всем рискам без надлежащего рассмотрения того, действительно ли эта методика является подходящей.

Чтобы оценить уровень согласованности с этим разделом, проводящие оценку должны проверить, учитываются ли когнитивные предубеждения при принятии решений, идентификации риска, анализе и смягчении последствий. Проводящие оценку также должны проверить, вовлечены ли эксперты по управлению рисками, заинтересованные стороны и владельцы рисков в процесс принятия решений в ситуациях с высокой степенью неопределенности и передаются ли решения и их результаты заинтересованным сторонам, на которые могут влиять риски, связанные с этими решениями.

[1] Douglas, Mary. Risk Acceptability According to the Social Sciences. Russell Sage Foundation, 1985.

[2] Tversky, Amos; Kahneman, Daniel (1974). «Judgment under Uncertainty: Heuristics and Biases». Science. 185 (4157): 1124–1131. doi:10.1126/science.185.4157.1124. PMID 17835457. Cerulo, Karen A. (2006) . Never Saw It Coming, Cultural Challenges to Envisioning the Worst, f.e. p.212-216, The University of Chicago Presse, Chicago 60637

[3] Rijssenbilt, A. (2011) Thesis: CEO Narcissm, Measurement and Impact, ERIM PhD Series in Research in Management, Rotterdam, juni 2011

Понимание организации и ее контекста

Внутренний и внешний контекст, рассмотренный при разработке структуры

Структура и процессы управления рисками должны быть адаптированы к внешней среде, в которой работает организация. Внешний контекст может включать:

• культурную, социальную, политическаую, правовую, нормативную, финансовую, технологическую, экономическую, естественную и конкурентную среду, на международном, национальном, региональном или местном уровнях;
• ключевые факторы и тенденции, влияющие на цели организации; а также
• ожидания и ценности внешних заинтересованных сторон.

Структура и процессы управления рисками должны быть адаптированы к внутренней среде, в которой организация стремится достичь своих целей. Внутренний контекст может включать:

• волатильность риска и степень влияния риска на достижение целей организации;
• источники риска не достижения целей;
• управление, организационную структуру, роли и подотчетность;
• политику, цели и стратегии, которые существуют для достижения целей;
• возможности, понятные с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии);
• информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные);
• отношения с внутренними заинтересованными сторонами и их восприятие и ценности;
• политики организации;
• как принимаются решения;
• кто принимает ключевые решения;
• стандарты, руководящие принципы и модели, принятые организацией; а также
• формы и способы договорных отношений.

Риск-менеджеры (эксперты) должны стремиться понимать конкретные отраслевые / нормативные требования к управлению рисками для компании (во многих отраслях есть международные или национальные органы, которые часто определяют конкретные требования к управлению рисками), а также выяснять любые ожидания заинтересованных сторон. Также необходимо проверить, соответствуют ли текущие методы управления рисками этим требованиям.

Структура управления рисками может быть централизована (управление корпоративными рисками отвечает за координацию всех видов деятельности, связанных с управлением рисками) или децентрализованным (каждый сотрудник, ответственный за принятие решений, несет ответственность за свою связанную с этим деятельность по управлению рисками). Риск-менеджеры (эксперты) должны учитывать, что обе структуры могут быть уместными и проверить, соответствует ли существующая структура управления рисками характеру бизнеса, передовой практике отрасли и профилю организационного риска.              

Методы оценки риска подходят для принятия решений организацией и надежны

Разработка структуры управления рисками должна способствовать интеграции процесса управления рисками в процесс принятия решений и общего управления организацией.  Организации со зрелой риск-культурой обеспечивают условия, в которых соответствующие методы оценки риска и принятия решений используются для различных целей, например:

• Влияние колебаний ликвидности, иностранной валюты или других финансовых рисков на цели может быть проанализировано с использованием моделирования Монте-Карло, анализа чувствительности или иных соответствующих методов.
• Риски, связанные с подрядчиками и ключевыми поставщиками, могут быть измерены с использованием методологии оценки риска или базовой методики оценки качества.
• Риски, связанные с проектами или инвестициями, также могут быть измерены с использованием планирования сценариев или моделирования Монте-Карло с помощью чистой приведенной стоимости или выполнения моделирования Монте-Карло графика / бюджета проекта.

Выбор метода оценки риска будет зависеть от наличия ресурсов:

• Временные ограничения, имеющиеся знания, человеческие, финансовые и другие ресурсы.
• Качество, количество, целостность, своевременность, валюта, точность, надежность, согласованность данных и способность их собирать.
• Сложность рисков, взаимозависимость и сложность систем управления.

Некоторые методы и степень детализации анализа могут быть предусмотрены законодательством.

Вне зависимости от используемой методики оценки рисков руководители рисков должны обеспечить полную прозрачность выбора инструмента и ключевые допущения, сделанные в ходе оценки риска. Ограничения, неопределенности и допущения, влияющие на оценку риска, должны быть четко рассмотрены на каждом этапе оценки риска и задокументированы прозрачным образом. Лица, принимающие решения, могут использовать источники информации, такие как исторические данные, опыт, обратную связь с заинтересованными сторонами, наблюдение, прогнозы и заключение экспертов, однако они всегда должны учитывать соответствующие объяснения для поддержки своих и других заинтересованных сторон. Это может охватывать:

• Факторы, которые они могли включить или исключить из оценки риска.
• Допущения, которые они сделали.
• Расхождение во мнениях между участниками при проведении оценки риска.
• Оценку взаимосвязи различных данных нескольких участников.
• Ограничения используемых методов и способы их решения (или отсутствие решения).
• Ограничения на надежность или качество используемых данных.

Следует проявлять дополнительную осторожность при использовании методов оценки риска из-за влияния когнитивных искажений и фундаментальных недостатков разработки в качественных оценках риска, как описано в [1][1].

Риск-менеджеры (эксперты)  должны выбрать пример прошлых оценок риска для проверки того, что информация о допущениях и ограничениях отдельных методов оценки риска была записана и раскрыта всем заинтересованным сторонам. Риск-менеджеры (эксперты) должны проверить, подходят ли методы оценки риска (изложенные на этапе разработки структуры управления рисками) для различных типов решений, внутреннего и внешнего контекста организации.

[1] Thomas, Philip & Bratvold, Reidar & Bickel, J. (2013). Риск использования матриц риска. SPE Экономика и менеджмент. 6. 10.2118 / 166269-МС. Ограничения качественных методов оценки рисков должны раскрываться менеджерами по рискам.