Новая версия стандарта включает восемь принципов риск-менеджмента, которые отражают его интеграцию в процессы принятия решений.
Важным компонентом инфраструктуры риск-менеджмента является изменение в организации, включая участие руководства и совета директоров в управлении рисками.
Риск-менеджмент должен быть интегрирован в ключевые процессы и принятие решений, а не существовать отдельно.
Стандарт ISO 31000 предлагает интегрировать риск-менеджмент в процессы принятия решений, а не создавать отдельные документы.
Процесс внедрения риск-менеджмента включает определение важных решений, анализ рисков, изменение процесса принятия решений и донесение информации до людей.
В видео подчеркивается важность научного подхода к анализу рисков, который должен быть подкреплен математическими методами и тестированием качества анализа.
Процесс анализа рисков должен включать вовлечение стейкхолдеров, понимание целей анализа и его интеграции в процесс принятия решений.
Результаты анализа рисков должны быть представлены в виде решений о том, стоит ли идти на проект, насколько достижима цель, как меняются критерии принятия решений с учетом рисков.
Примеры результатов анализа рисков могут включать изменение окупаемости проекта, изменение критериев принятия решений, изменение нпв проекта.
В видео критикуется использование риск-матриц, которые могут быть полезны только на определенных уровнях зрелости и не всегда подходят для количественных инструментов.
Рекомендуется прочитать книгу "Почему риск-менеджмент сломан и как его починить" для лучшего понимания инструментов анализа рисков.
Спикеры обсуждают вопросы, связанные с новым стандартом COSO, и его влияние на риск-менеджмент.
Отмечается, что стандарт уже содержит формулировки, которые были ранее предложены другими стандартами, и что он стремится к единообразию в терминологии.
Спикеры обсуждают вопрос о том, как использовать риск-аппетит и толерантность в нефинансовых организациях.
Отмечается, что использование этих терминов может быть излишним и что современные инструменты анализа рисков уже показывают весь спектр возможных сценариев.
Спикеры приглашают участников на форум, который будет проводиться в апреле в Москве.
Форум будет бесплатным, и на нем будут представлены российские политики и ученые, которые расскажут о популяризации новых стандартов и их использовании в нормативных документах.
Старая версия COSO ERM была подвергнута критике за то, что управление рисками не было функцией или отделом, а скорее культурой, компетенцией и практикой.
Управление рисками не ограничивается ведением реестра рисков и связано с внутренним контролем.
COSO ERM применим для всех организаций, независимо от их размера.
Организация приоритизирует риски с целью определения адекватности стратегии по реагированию на риски и распределению ресурсов на их управление.
Приоритетность рисков определяется по установленным критериям, таким как адаптивность к риску, сложность риска, скорость воздействия риска и устойчивость влияния риска.
Пять стратегий реагирования на риск: принятие риска, избегание риска, добор риска, передача снижения риска и передача риска.
В случае, когда уровень риска оказывается слишком высоким, а стратегия по реагированию на риски неприемлемой, организация может пересмотреть свои стратегические и операционные цели.
Выбор стратегии реагирования на риски с учетом условий ведения бизнеса, соотношения выгоды и затрат, обязательств и ожиданий при приоритезации рисков, риск-аппетита и существенности риска.
Комплексный взгляд на риски: определение остаточного профиля риска и его соответствия установленному риск-аппетиту.
Обсуждение возможности организации экскурсий на предприятия, успешно внедрившие элементы риск-менеджмента, для обмена опытом и эффективного внедрения в других компаниях.
Упоминание о важности реестра рисков и приоритизации рисков для обеспечения эффективности распределения ресурсов компании.
В видео говорится о том, что некоторые организации все еще находятся на уровне хаоса и не могут автоматизировать хаос, что приводит к автоматизированному хаосу, а не конкурентному преимуществу.
Для преодоления этого препятствия, необходимо разработать свои программные комплексы и хранить базы данных в России.
Участники встречи обсуждают два возможных подхода к управлению рисками: стандарт COSO и продвинутый подход, основанный на лучших признанных практиках.
Отмечается, что стандарт COSO не запрещает использовать продвинутые подходы, такие как карты рисков и другие инструменты.
Профессиональная этика требует от специалистов использовать адекватные способы получения информации и предупреждать о возможных ограничениях и ошибках в используемых инструментах.
Оценка системы управления рисками и внутреннего контроля
Участники обсуждают возможность использования подходов к оценке системы управления рисками и внутреннего контроля, изложенных в стандарте COSO и других документах.
Отмечается, что пока не ясно, как синхронизировать эти документы и как интегрировать их в процесс оценки.
Использование искусственного интеллекта в управлении рисками
Участники обсуждают возможности использования искусственного интеллекта в управлении рисками, включая его способность обучаться и избегать ментальных ловушек, которые могут влиять на принятие решений человеком.
Отмечается, что искусственный интеллект может со временем превзойти человека по качеству анализа и принятию решений, но это может быть как очень круто, так и очень страшно.
Спикер перечисляет наиболее популярные инструменты для управления рисками, включая сценарный анализ, инвестиционное моделирование, деревья решений, галстук-бабочку и портфельный анализ.
Он также объясняет, что реестр рисков может быть полезен для хранения информации о рисках, но его наличие не является обязательным.
Спикер подчеркивает, что важно разбить информацию о рисках на разные документы, чтобы изменить неправильное восприятие рисков в организации.
Докладчик обсуждает сложности в презентации вероятностных характеристик и их понимание руководителями.
Он подчеркивает, что руководители могут понять и полюбить такие презентации, если они будут представлены в понятной форме и с использованием наглядных примеров.
Докладчик также обсуждает важность верификации моделей и предлагает использовать внутренний аудит для проверки адекватности расчетов.
Докладчик призывает участников оставить обратную связь и заполнить форму, если у них есть время.
Он также обещает выслать материалы и ссылку на опрос, в котором участники могут выразить свое мнение о том, как интегрировать управление рисками в бизнес-процессы.
Докладчик подчеркивает, что исследование будет сфокусировано на этом вопросе и призывает участников принять участие в исследовании.
