Система управления рисками АИС "РискГепард" для крупных компаний. Реестр рисков, типовые риски, анализ рисков, планирование мероприятий и воздействий на риск
2. Три части презентации
1. Управление рисками современной компании - часть
единой системы управления. Ее место, цели и задачи
2. Система внутреннего контроля и управления рисками –
процессы, документы и прочее
3. Автоматизация управления рисками – как управлять
рисками эффективнее
4. Часть 1. Управление рисками
Риск* – влияние неопределенности на цели
Влияние - это отклонение от того, что ожидается
(положительное и/или отрицательное);
Цели могут иметь различные аспекты (например, финансовые,
экологические, безопасность) и могут применяться на
различных уровнях (стратегическом, в масштабах организации,
проекта, продукта или процесса);
Риск характеризуется потенциально возможными событиями и
последствиями, которые оцениваются через ущерб и
вероятность.
*Определение в соответствие с международным стандартом ГОСТ Р ИСО 31000
«Менеджмент риска. Принципы и руководство»
5. Часть 1. Управление рисками – что это?
Управление рисками – часть общего управления компании на
всех ее уровнях
Управление рисками - это процедуры по идентификации,
оценке и классификации рисков
Управление рисками – мероприятия с координацией ресурсов
и экономических рычагов для мониторинга, контроля и
минимизации последствий наступления нежелательных
событий или для максимизации выгоды из сложившихся
возможностей
Управление рисками – определенная сфера знаний и навыков
6. Часть 1. Управление рисками – для кого это?
Акционеры, Совет директоров Исполнительные органы Менеджмент
Сводная картина по всем
рискам, которые угрожают
бизнесу
Своевременное принятие
решений по управлению
наиболее критичными рисками
Учет рисков (как существующих,
так и реализовавшихся ранее)
при принятии решений
советом директоров
Учет мероприятий по
управлению рисками
(например, хеджирование,
создание финансового резерва
под аварийные ситуации и пр.)
позволяет обеспечить контроль
достижения параметров
бюджета
Возможность обоснованной
постановки целей
(стратегических и тактических) с
учетом существующих рисков
Объективный подход к оценке
внешних и внутренних угроз
компании
Инструмент для контроля
достижения целей,
поставленных перед
структурными
подразделениями
Выявление «узких мест» в
бизнес-процессах
Снижение внеплановых потерь
Корректировка бизнес-
процессов по результатам
расследования причин
реализации рисков
Способ распространения
информации (вертикальная и
горизонтальная коммуникация)
по существующим проблемным
ситуациям и своевременное
реагирование
Учет наиболее критичных
мероприятий по управлению
рисками при ежегодном
бюджетировании
8. Часть 2. Система внутреннего контроля и управления рисками (СВКиУР)
Система должна позволять оценивать риски компании и
достаточность ресурсов, имеющихся в ее распоряжении для
покрытия принятых и потенциальных рисков
Система должна позволять планировать ресурсы компании
исходя из стратегии развития бизнеса
Управление рисками осуществляется путем выполнения
внутренних процедур по оценке достаточности ресурсов
9. Функции органов управления Компании в СВКиУР
Совет директоров Исполнительные органы Менеджмент
Утверждение общей политики
в области управления рисками
и внутреннего контроля,
включая установление уровня
риск-аппетита
Учет рисков при оценке
стратегии общества
Анализ исполнения политики в
области управления рисками и
внутреннего контроля
Рассмотрение и принятие
решений по существенным
рискам
Организация и рассмотрение
результатов оценки
эффективности СУР и ВК (не
реже 1 раза в год)
Распределение полномочий,
обязанностей и ответственности
между находящимися в их
ведении или курируемыми
руководителями подразделений
общества за конкретные
процедуры управления рисками
и внутреннего контроля
Создание и поддержание
работы СУР и ВК, разработка
внутренних нормативных
документов с включением
контрольных процедур и других
мер, направленных на
управление рисками
Отчетность перед советом
директоров (комитетом по
аудиту) за создание и
функционирование
СУР и ВК
Выявление и оценка всех
рисков, относящихся к сфере
компетенции
Мониторинг выявленных
рисков
Информирование по
реализовавшимся рискам
Разработка мер по снижению
«своих» рисков
Анализ затрат на
предупреждение рисков и
устранение последствий от их
реализации
Выполнение мероприятий по
управлению рисками
По материалам семинара Росимущества по практическим аспектам организации СВКиУР в рамках внедрения нового Кодекса Корпоративного Управления в госкомпаниях
Часть 2. Система внутреннего контроля и управления рисками (СВКиУР)
10. Лучшие практики и нормативные требованиям РФ в области управления
рисками и внутреннего контроля
Политика в области
внутреннего аудита
Положение о Комитете по
аудиту/рискам при
Совете директоров
Политика в области
управления рисками и
внутреннего контроля
Часть 2. Система внутреннего контроля и управления рисками (СВКиУР)
11. Уровни зрелости СВКиУР
Уровень 1: «Начальный»
«Ручной» режим управления рисками
Независимые показатели:
KRI – ключевые индикаторы риска
«Альтернативная вселенная рисков»:
Формирование реестра рисков, планов
мероприятий и последующая отчетность
по выполненным мероприятиям
Исходная информация для расчета KRI отсутствует
Интеграция с системами в
качестве автоматического
получения исходных
данных
Загрузка исходных данных
вручную, в случае
отсутствия интеграции
Сигнал для Внутреннего контроля о недостаточном
количестве Контрольных процедур (КП) для
мониторинга и контроля риска. Расчет KRI станет
возможным после внедрения КП
Реестр рисков
Мероприятия
по управлению
рисками
Отчет по
выполненным
мероприятиям
Альтернатива «бумажной волоките»
модуль по формированию и сбору
отчетности RiskGepard
ЕСЛИ
ТО
Уровень 5: «Совершенствуемый»*
Полная интеграция в бизнес-процессы
* В соответствии с терминологией методологии оценки уровня зрелости процессов ИСО/МЭК 15504
Часть 2. Система внутреннего контроля и управления рисками (СВКиУР)
12. Часть 2. Система внутреннего контроля и управления рисками (СВКиУР)
Принятие
решений
Риск-менеджмент Внутренний контроль
СД/ КА /
ГД/
Правление
1. Реестр стратегических
рисков в составе ДПР
2. Мероприятия по
управлению рисками
3. Отчет об исполнении
мероприятий
1. Организация аудита ДПР
2. Участие в формировании
мероприятий по
управлению рисками
Компании
Бизнес
уровень
(ЗГД,
Директора
ДЗО)
1. Приоритизированные
реестры рисков бизнес-
процессов для ВК
2. Реестры и планы управления
рисками Объектов, контроль
отчетности о рисках
1. Описание бизнес-процессов
2. Формирование матриц
контролей
3. Рекомендации по
совершенствованию СВК по
итогам тестирования КП
1. Проверка исполнения
мероприятий по
критическим рискам
2. Оценка эффективности
СВКиУР, рекомендации по
совершенствованию.
Внутренний аудит
1. Использование при проверках
существующей отчетности по
управлению рисками
2. Информация о рисках,
выявленных в ходе аудитов,
недостатках СВКиУР
Информационный обмен
Рекомендации/замечания по совершенствованию СВКиУР Общества
14. Часть 3. Автоматизация управления рисками
Реальная картина мира - работа непосредственно с исходными данными, а
не с обработанными отчетами, подготовленными заинтересованными
лицами
Мгновенная оценка худшего/лучшего сценария событий – встроенные
модели оценки: VaR – исторический, дельта-нормальный, Монте-Карло
Наглядное обоснование наличия рисков в проектах - Выявление рисков
однотипных проектов/объектов/процессов
15. Часть 3. Автоматизация управления рисками
Количественная оценка эффекта от еще не понесенных затрат
- моделирование оценок рисков до/после воздействия, оценка
остаточного риска, построение графика капитал под
риском/затраты во времени
Автоматическое сопоставление типовых рисков/воздействий
новому проекту – архив рисков и воздействий по всем
направлениям бизнеса
Агрегированный сбор отчетности по рискам - Автоматическая
обработка большого массива отчетов по рискам/мероприятиям,
унификация отчетных форм и т.д.
16. Функциональные модули АИС «РискГепард»
Модуль оценивания рисков
Автоматизация анализа чувствительности
финансовой модели Компании к внешним
и внутренним риск-факторам и методик
оценок отдельных рисков
Модуль реагирования на риски
Автоматизация контроля за исполнением
планов мероприятий по управлению
рисками
Модуль анализа рисков
Регулярное обновление данных по
ключевым индикаторам рисков (риск-
факторам), оповещение владельцев
рисков о превышении установленных
лимитов
Модуль идентификации рисков
База данных о рисках -
реестры/планы/отчеты об управлении
рисками
(процентные, кредитные, ликвидность,
стратегические и пр.)
17. Модуль идентификации рисков (реестры рисков, карты)
В итоге: помощь при обосновании необходимости проекта либо воздействия
Интерфейс руководителя, визуальное
представление основных рисков,
приоритезированный и соотнесенный с
владельцами рисков, взаимосвязь рисков и КПЭ
Пополняемая база знаний типовых рисков разного уровня (база
реализовавшихся рисков с оценками последствий)
Автоматизированная
оценка риска
количественным KRI
Оценка худших риск-сценариев
(экспертная оценка менеджмента)
18. Модуль оценивания рисков
• Реализация специализированных расчетных моделей
• Расчеты VaR историческим и дельта-нормальным
методами, методом Монте-Карло
• Расчет корреляций
• Прогнозирование
В итоге: формирование производных показателей рисков, построение цепочек правил для перехода от экспертной
оценки к формальным расчетным моделям
Построение диаграммы риск/доход проекта на основе
расчета показателя рентабельности с учетом рисков
RORAC, возникающим из-за волатильности основных риск-
факторов проекта
Сводные KRI для оценки совокупного риска по нескольким
критериям
Внешние риск-индикаторы
19. Модуль анализа рисков (примеры факторов)
В итоге: инструменты он-лайн мониторинга рисков
деятельности и оценки их возможных последствий,
планирование соответствующих бюджетов
Максимальный
ожидаемый ущерб
(EML)
Аварии на
оборудо-
вании
Аварии на
ГТС
Стихийные
Ущербы по
вине
третьих
сторон
Терроризм
Пожары /
взрывы
Прогноз динамики событий на
основании истории данных:
KRI показывает, по какому
объекту/проекту ждать роста
риска в заданный период
времени и где факт уже превысил
прогноз – оповещение
владельцу риска
Мониторинг текущей рисковой
ситуации:
KRI на превышение
ожидаемого числа
событий/величины над
установленным лимитом
риска
Формирует единый реестр рисков Компании, в т.ч.
результаты оценки возможного ущерба и подверженности
объекта каждому типу рисков. Построен на разработке KRI
для каждого конкретного риск-фактора Рейтинг оборудования
по уровню риска для
ранжирования работ по
ремонтам,
техобслуживанию,
замене.
Расчет максимального
ожидаемого убытка от
состояния
оборудования по
методу реальных
опционов для целей
страхования и оценки
эффективности затрат
20. Модуль воздействия на риск (планы и отчеты по мероприятиям)
Автоматизированная загрузка отчетности по управлению
рисками, напоминания владельцам и ответственным о сроках
реализации мероприятий по почте
В итоге: контроль исполнения КПЭ по управлению рисками, задания на проведение проверок внутренним аудитом и
внутренним контролем на основе собранных отчетов по рискам и результатов автоматизированных проверок
21. АИС «РискГепард»
Архитектура
•Клиент-сервер, с применением тонких клиентов
•Мобильный клиент
Сервер баз данных •MySQL
Сервер приложений
•Apache
•Java
Клиент
•Браузеры без поддержки Java
•Microsoft IE
•Mozilla Firefox
•Google Chrome
•Apple Safari
Средства разработки •Java