+7 (495) 984-19-55

Управление рисками, внутренний контроль, аудит, комплаенс

Постановка системы управления рисками Комплекс услуг по построению и совершенствованию системы риск-менеджмента в соответствии со стандартом ГОСТ Р ИСО 31000.
Подробнее
Разработка методик и стандартов Разработка корпоративных стандартов предприятий и организаций, организационно-методических и нормативно-технических документов по управлению рисками.
Подробнее
Автоматизация СУРиВК и комплаенса Разработка технических заданий и автоматизация систем управления рисками, внутреннего контроля и антимонопольного комплаенса.
Подробнее
Семинары по риск-менеджменту Подготовка персонала на открытых и корпоративных семинарах в очном и дистанционном формате по стандартам и методикам управления рисками.
Подробнее

Указанные направления деятельности, как правило, основываются на методологии GRC (Governance, Risk and Compliance). Аббревиатура GRC была изобретена членами OCEG (Open Compliance and Ethics Group) в качестве сокращенного обозначения направлений, которые должны работать вместе для достижения принципиальной эффективности, – корпоративное управление, риск-менеджмент и обеспечение комплаенс-деятельности.

GRC включает в себя функции, выполняемые такими департаментами, как внутренний аудит, комплаенс, риски, юриспруденция, финансы, ИТ, отдел кадров, а также линейные направления бизнеса, исполнительный аппарат и совет директоров.

Ключевые тенденции, влияющие на развитие данного направления:

  1. Заинтересованные стороны требуют большей эффективности наряду с высоким уровнем прозрачности бизнеса.
  2. Непредсказуемость и нестабильность внешней среды.
  3. Растущее число нормативных требований. При этом правила и правоприменение постоянно меняются.
  4. Регуляторные требования к организации внутреннего аудита.
  5. Усиление внимания к вопросам взяточничества и антикоррупционным нормативным требованиям.
  6. Обеспечение прозрачности в принятии решений руководителями.
  7. Интеграция управления рисками и производительности.
  8. Усиление внутреннего контроля, выходящего за рамки потребностей нормативных требований.
  9. Увеличение сложности цепочек поставок и взаимодействия с поставщиками, приводящее к росту рисков со стороны поставщиков и аутсорсеров.
  10. Требования соответствия принципам ESG (Environmental – окружающая среда, Social – социальные обязательства, Governance – корпоративное управление).
  11. Защита критической инфраструктуры.
  12. Существенный рост затрат на устранение рисков и соответствие требованиям.

Согласно опросу КПМГ, проведенному в 2017 году среди более чем 800 членов комитета по аудиту и совета директоров, главной проблемой является эффективность программы управления рисками. 42% респондентов опроса сообщают, что их программа и процессы управления рисками по-прежнему требуют «существенной доработки». КПМГ отмечает, что опрошенные члены правления все больше сосредотачиваются на «ключевых операционных рисках, например, рисках цепочки поставок и аутсорсинга, рисках информационных технологий и безопасности данных и т.д.». Для управления разнообразием этих расширенных рисков организациям необходим комплексный подход к управлению рисками.

Компания Gartner определила 10 важнейших элементов («10 A’s»), которые компании должны учитывать при интеграции своей системы корпоративного управления рисками (Enterprise Risk Management, ERM) с интегрированными решениями по управлению рисками (Integrated Risk Management, IRM) для создания культуры управления рисками. Следующие 10 элементов и связанные с ними вопросы формируют основу успешной системы управления рисками.

 

1. Риск-аппетит

на какой риск мы готовы пойти для достижения наших стратегических целей?

2. Агрегирование

как мы понимаем и формулируем нашу общую подверженность риску в отношении данной стратегической цели?

3. Оценка

каков наш текущий уровень неотъемлемого и остаточного риска, связанного с нашими стратегическими целями?

4. Аналитика

как мы можем моделировать рисковые события, которые окажут существенное влияние на нашу операционную деятельность?

5. Приложения

какие технологии необходимы для обеспечения совместной работы и обмена информацией, связанной с рисками и соблюдением требований, для поддержки эффективности бизнеса и принятия решений?

6. Архитектура

какие решения класса GRC/IRM, автоматизированные и ручные средства управления, мониторинг рисков, а также отчетность о рисках и соблюдении требований включены в корпоративную архитектуру?

7. Обеспечение (Гарантия выполнения)

какие стратегии, процессы и средства контроля необходимы для достижения стратегических целей, а также для выполнения правовых и нормативных требований?

8. Подотчетность

как усилить ответственность за риски и контроль на предприятии?

9. Действия

как мы можем гарантировать, что сотрудники действуют в интересах компании и в пределах установленных допустимых значений риска?

10. Достижение

какие показатели риска необходимы и как они связаны с показателями эффективности для обеспечения желаемого результата (целей) бизнеса?

Практический подход, обеспечивающий сбалансированный взгляд на риск, должен охватывать четыре глобальных направления: Performance – Достижение целей бизнеса, Resilience – Устойчивость (непрерывность) бизнеса, Assurance – Гарантия выполнения (обеспечение того, что все работает как задумано и направлено на достижение целей бизнеса) и Compliance – Соответствие регулятивным требованиям и стандартам (комплаенс).

По статистике, многие компании уделяют больше внимания одному из четырех направлений в ущерб другим. Например, советы директоров часто ориентируются только на управление корпоративными рисками (Enterprise Risk Management, ERM). Программы ERM обычно эффективны для компаний, стремящихся лучше понять свои риски на стратегическом уровне (особенно финансовые и репутационные риски, которые могут привести к катастрофическим последствиям для бизнеса). Однако программы ERM не столь эффективны для устранения рисков на более низких уровнях, которые могут иметь столь же разрушительное действие. Все это оставляет значительные «белые пятна» в отношении трех других направлений.

Gartner определяет Интегрированное управление рисками (Integrated Risk Management, IRM) как совокупность технологий, процессов и данных, которая служит для достижения цели регламентации, автоматизации и интеграции стратегического, операционного и ИТ-управления рисками в рамках всей организации.

Это вертикально интегрированное представление о риске должно включать в себя весь спектр операционных рисков внутри организации – включая кадровые, юридические/комплаенс и технологические. Еще большее значение имеет способность оценивать технологические риски в бизнес-контексте для обеспечения более эффективного управления кибербезопасностью и технологической устойчивостью. 

Технология IRM предназначена для улучшения ERM и ее способности предоставлять прогнозные данные не по одному, а по всем четырем глобальным направлениям. Важным для IRM является его способность вертикально интегрировать ключевые показатели риска (KRIs), которые поддерживают соответствующие бизнес-результаты, процессы и технологические активы. Связывая таким образом показатели риска, компании получают более широкое и глубокое представление об эффективности своей внутренней политики и процедур в предоставлении наилучших продуктов и услуг своим клиентам.

Прослеживаемость рисков необходима как по вертикали компании, так и по горизонтали (в бизнес-процессах). Горизонтальное управление рисками реализуется в программах корпоративного управления рисками (ERM), вертикальное управление обеспечивается через взаимосвязи между стратегическими, операционными и технологическими рисками.

 

 

Цифровая трансформация в настоящее время является обязательным условием не только для будущей конкурентоспособности и роста, но и для выживания компании. Весь деловой мир полагается на цифровые операции для поддержания непрерывности бизнеса. Этот сдвиг не исчезнет по мере восстановления после COVID-19. Он останется новым способом ведения бизнеса в условиях оптимизации затрат и повышения эффективности. Таким образом, интегрированное управление цифровыми рисками станет главным приоритетом для бизнеса.

Отзывы клиентов Мы профессионально и комплексно решаем задачи построения системы менеджмента бизнеса, обеспечивая достижение успеха наших Клиентов.
Северсталь
Северсталь Энергоменеджмент и энергоэффективность (ISO 50001)
Россети Тюмень
Россети Тюмень Управленческий консалтинг: стратегия, бизнес-процессы, СМК, КПЭ
ЕВРАЗ НТМК
ЕВРАЗ НТМК Энергоменеджмент и энергоэффективность (ISO 50001)
ЧОУ ДПО Институт управления качеством
ЧОУ ДПО Институт управления качеством Энергоменеджмент и энергоэффективность (ISO 50001)
Протон-Электротекс
Протон-Электротекс Железнодорожная промышленность (ISO 22163/IRIS)
СРО Ассоциация
СРО Ассоциация "ЭнергоПрофАудит" Энергоменеджмент и энергоэффективность (ISO 50001)
ГМК Норникель
ГМК Норникель Энергоменеджмент и энергоэффективность (ISO 50001)
Сертификат полномочий НП «ОПЖТ»
Сертификат полномочий НП «ОПЖТ» Железнодорожная промышленность (ISO 22163/IRIS)
СКБ ЛАБ
СКБ ЛАБ Корпоративные информационные системы: СЭД, КАИРИС
НПО САУТ
НПО САУТ Железнодорожная промышленность (ISO 22163/IRIS)
ЭЛТЕЗА
ЭЛТЕЗА Железнодорожная промышленность (ISO 22163/IRIS)
Свидетельство СРО
Свидетельство СРО Энергоменеджмент и энергоэффективность (ISO 50001)
НПО автоматики
НПО автоматики Железнодорожная промышленность (ISO 22163/IRIS)
Все отзывы и благодарности