Для эффективного управления рисками необходим комплексный подход и набор инструментов, включая методики и корпоративные стандарты. |
Интегрированное управление рисками (Integrated Risk Management, IRM) связывает управление корпоративными (предпринимательскими) рисками (ERM), управление операционными рисками (ORM) и управление ИТ-рисками (ITRM).
Меняющиеся потребности клиентов, возникающие кризисы (показательный пример – COVID-19) и последующие восстановительные усилия требуют комплексного подхода к регламентации и последующей автоматизации бизнес-процессов, поддерживающих внутри- и меж- организационное сотрудничество при управлении рисками.
Комплексный подход к регламентации бизнес-процессов строится на основе концепции GRC (Governance, Risk and Compliance), подразумевающей интегрированный, целостный подход к организации корпоративного управления, управления рисками и соответствия требованиям. |
Это позволяет убедиться в том, что компания действует этичным образом и в пределах своего риск-аппетита, в соответствии с внутренними политиками и внешними требованиями через взаимосвязь стратегии, процессов, технологий и человеческих ресурсов, тем самым повышая эффективность и результативность своей деятельности.
Термин GRC возник в начале 2000-х годов из-за необходимости улучшения внутреннего контроля и управления на крупных предприятиях. Со временем GRC росла и развивалась, чтобы стать связанной со многими инициативами, ориентированными на соблюдение требований, направленными на улучшение корпоративного управления и внутреннего контроля.
Gartner в развитие концепции GRC предлагает осуществить переход к интегрированному управлению рисками (Integrated Risk Management, IRM) с учетом восьми основополагающих направлений:
технология управления, объединяющая управление рисками цифровых бизнес-компонентов, цифровых продуктов и услуг (облачные, мобильные, социальные и большие данные).
технология управления рисками поставщика / третьей стороны, обеспечивающая адекватный контроль за непрерывностью бизнеса, производительностью, жизнеспособностью, безопасностью и защитой данных.
технология управления рисками качества (также известная как системы менеджмента качества, СМК), обеспечивающая систему управления операционной деятельностью, включая политику и цели качества, процессы и стандартные операционные процедуры.
практика координации и выполнения мероприятий по выявлению рисков сбоев в функционировании бизнеса, внедрению решений по аварийному восстановлению и планов восстановления, реагированию на разрушительные события и восстановлению критически важных бизнес-операций
анализ и объективная оценка эффективности системы внутреннего контроля организации, процессов управления и возможностей управления рисками.
соблюдение нормативных требований EH&S требует создания основы для обеспечения безопасности и здоровья персонала, а также содействия устойчивому развитию и защите окружающей среды.
технология, включающая в себя управление политикой, этику и комплаенс, управление горячими линиями и расследованиями, конфликты интересов, управление подарками и гостеприимством, оценку комплаенс-рисков и управление рисками третьих сторон.
технология управления юридическими рисками, ориентированная на поддержку юридических и комплаенс-департаментов, корпоративных секретарей, советов директоров и высшего руководства.
Для эффективного управления этими рисками руководители предприятий должны иметь представление о взаимосвязях между стратегическими бизнес-результатами, операционными процессами и технологическими активами.
Основные ключи к успешному использованию технологии управления рисками находятся в конфигурации и удобстве использования решения. Контент управляется конечным пользователем и принимает форму надежных оценок рисков, метрик, политик, стандартов и средств контроля. |
- Стратегия: создание и внедрение системы, включая повышение эффективности работы за счет эффективного управления и ответственности за риски
- Оценка: выявление, оценка и определение приоритетов рисков
- Ответные меры: выявление и внедрение механизмов снижения рисков
- Коммуникация и отчетность: предоставление наилучших или наиболее подходящих средств для отслеживания и информирования заинтересованных сторон о реакции предприятия на риск
- Мониторинг: выявление и внедрение процессов, которые систематически отслеживают цели корпоративного управления, ответственность за риски / подотчетность, соблюдение политик и решений, установленных в процессе корпоративного управления, риски для этих целей и эффективность снижения рисков и контроля
- Технология: проектирование и внедрение архитектуры IRM-решения (IRMS)
Чтобы выстроить эффективную систему управления рисками, организациям требуется всестороннее представление обо всех бизнес-подразделениях и функциях управления рисками и комплаенса, а также о ключевых деловых партнерах, поставщиках и аутсорсинговых организациях. Развитие этого понимания требует, чтобы риск-менеджеры обращались ко всем шести атрибутам IRM.