ГОСТ Р 71034-2023
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ РИСКА
Риск-аппетит и ключевые индикаторы риска
Risk management. Risk appetite and key risk indicators
ОКС 03.100.01
Дата введения 2024-03-01
Предисловие
1 РАЗРАБОТАН Ассоциацией риск-менеджмента "Русское Общество Управления Рисками" (АРМ "РусРиск")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 октября 2023 г. N 1257-ст
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
Каждая организация приходит к пониманию, что ведение деятельности невозможно без работы с риском: отказ от этого затрудняет своевременную подготовку к изменениям внешней и внутренней среды, делает организацию более уязвимой для угроз и приводит к упущенным возможностям. Поэтому одной из ключевых задач для любой организации является понимание величины риска, приемлемой для поддержания роста и развития организации. Обладая этим знанием, организация может точнее определить, какие стратегии принять и какие цели преследовать. В то же время данная величина риска не остается статичной и также может частично или полностью меняться под воздействием внешней и внутренней среды, что означает необходимость ее регулярного мониторинга и пересмотра. Например, во время роста экономики успешная и растущая организация может быть более готова принять определенные риски потерь, чем при экономическом спаде и ухудшении деловых перспектив.
Фактически, каждая организация сталкивается с этой задачей в рамках своей деятельности и в том или ином виде определяет для себя аспекты этой величины по материальным для бизнеса вопросам, таким как лимиты по доверенности, критерии существенности сделок, условия кредитования и т.д. Однако такой подход является фрагментарным, так как не дает получить достаточное представление о приемлемости риска для организации в целом, не предполагает систематизацию решения данной задачи.
_______________
Внедрение системы каскадирования риск-аппетита неразрывно связано с использованием такого инструмента мониторинга и пересмотра рисков, как ключевые индикаторы риска, которые могут быть использованы для прогнозирования и раннего предупреждения возможных изменений рисков, способных привести к превышению установленных показателей толерантности к риску и риск-аппетита в целом.
Настоящий стандарт описывает концепцию риск-аппетита как инструмент определения приемлемой величины риска организации, включая подходы и взаимодействие в рамках его определения и применения, и систему его каскадирования, включая подходы к определению и использованию в ее рамках ключевых индикаторов риска.
1 Область применения
В настоящем стандарте содержатся руководящие указания по использованию риск-аппетита в рамках менеджмента риска, а также ключевых индикаторов риска в контексте системы каскадирования риск-аппетита. Эти руководящие указания могут быть адаптированы для любой организации вне зависимости от рода ее деятельности. При этом законодательством Российской Федерации, органами регулирования и надзора в рамках отдельных направлений деятельности организации и/или отраслью могут быть установлены отдельные требования к определению, расчету и/или мониторингу риск-аппетита и ключевых индикаторов риска. Организациям следует применять настоящий стандарт с учетом специального регулирования в части, не противоречащей требованиям такого регулирования.
Настоящий стандарт описывает общие подходы к использованию риск-аппетита, а также ключевых индикаторов риска в контексте системы каскадирования риск-аппетита и не ограничивается конкретной отраслью или видом деятельности.
Настоящий стандарт может использоваться на протяжении всего периода существования организации и применяться к любой деятельности, включая процесс принятия решений на всех уровнях управления.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 51897 (ISO Guide 73:2009) Менеджмент риска. Термины и определения
ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска
ГОСТ Р ИСО 31000-2019 Менеджмент риска. Принципы и руководство
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями:
3.1 лимит на риск: Пороговая величина уровня риска, позволяющая отслеживать, что остаточный риск не превышает установленную толерантность к риску.
3.2 емкость риска: Максимальный риск, который организация может принять с учетом своих финансовых и операционных возможностей.
Примечание - Для коммерческой организации емкость риска допускается выражать как максимально возможную емкость, которая может быть обеспечена активами организации, или как крупнейшие финансовые убытки, которые организация способна понести без объявления банкротства.
3.3 ключевой индикатор риска; КИР: Показатель, устанавливаемый к риску (количественный либо качественный) и позволяющий установить факт реализации риска или предрисковое состояние (характеризующий признаки реализации и/или увеличения уровня риска).
3.4 ключевой показатель эффективности: Критерий эффективности или мера измерения достижения целей.
3.5 заявление о риск-аппетите: Форма выражения (определения) риск-аппетита в виде качественной и/или количественной оценки по отношению к организации в целом или к ее отдельному направлению деятельности.
4 Концепция риск-аппетита
4.1 Риск-аппетит и деятельность организации
Риск-аппетит формирует единый комплексный подход к определению приемлемости рисков для организации и устанавливает четкие, понятные и сбалансированные между собой ориентиры (но не подробные инструкции к действию) для принятия органами управления и сотрудниками решений о том, что допустимо, приемлемо или неприемлемо для организации в процессе реализации своей миссии и достижения поставленных целей. Ориентиры выбираются таким образом, чтобы при принятии решений исключалась неоднозначность толкования риск-аппетита и не оставалось сомнений в его уровне. В широком смысле риск-аппетит определяет то, как организация распределяет ресурсы в целом и по отдельным направлениям (областям деятельности, бизнес-процессам, бизнес-единицам, проектам и т.д.). Цель состоит в согласовании распределения ресурсов с ценностями организации, ее принципами и правилами, устанавливаемыми первичными источниками информации - основой для определения риск-аппетита (представлены в пункте 5.1). Поэтому при распределении ресурсов между направлениями менеджмент учитывает риск-аппетит организации и планы по созданию стоимости в рамках данных направлений. Например, менеджмент может решить выделить больше ресурсов на достижение бизнес-целей, для которых установлен более низкий риск-аппетит (т.е. более консервативные ориентиры) по сравнению с бизнес-целями, для которых установлен более высокий риск-аппетит (т.е. более амбициозные ориентиры). Организация стремится обеспечить согласованность работы своих сотрудников, процессов и инфраструктуры для успешной реализации стратегии и бизнес-целей, одновременно оставаясь в рамках своего риск-аппетита. Риск-аппетит также отражает культуру организации и ее отношение к риску. Более того, если организация намерена изменить какой-то аспект культуры, определение четкого риск-аппетита в части этого аспекта может помочь создать и укрепить желаемую культуру.
Применение риск-аппетита на практике предполагает сочетание двух подходов. Первый подход фокусируется на мониторинге результатов деятельности и соблюдения риск-аппетита для обеспечения обратной связи о том, как работает организация. Организации часто используют риск-аппетит для формирования допустимых "границ" риска. Анализ риск-аппетита и системы его каскадирования, идентифицированных рисков, ключевых показателей эффективности, целевых и фактических значений результатов деятельности позволяет менеджменту контролировать, находятся ли остаточные риски в рамках риск-аппетита. Такой мониторинг может служить отправной точкой для дискуссий о том, когда следует пересмотреть принятые решения и, возможно, риск-аппетит или стратегию. Второй подход заключается в применении риск-аппетита в контексте принятия решений, что направлено на повышение детальности анализа и проработки выбранной стратегии и целей, а также на улучшение способности и возможности организации управлять деятельностью в рамках параметров приемлемого уровня риска.
Фактически второй подход является более упреждающим, т.к. направлен на принятие решений с учетом рисков, которые могут возникнуть в будущем. Это позволяет организации быть более устойчивой к будущим изменениям и сбоям. И наоборот, первый подход носит реактивный характер, предполагающий реагирование только тогда, когда результаты реализации рисков влияют на эффективность деятельности. Сочетание данных подходов позволяет менеджменту и совету директоров/наблюдательному совету организации (далее - совет) учитывать риск-аппетит при принятии решений и на периодической основе работать с подробными показателями, позволяющими отслеживать принятые риски, их динамику и реализацию.
4.2 Участие органов управления
_______________
Совету также следует осуществлять периодический комплексный пересмотр риск-аппетита и его каскадирования до показателей толерантности к риску на регулярной основе (ежегодно или чаще) для оценки их соответствия текущей ситуации с учетом изменений внешней и внутренней среды, готовности организации принимать риск за прошедшее время, пересмотра стратегии, бизнес-планов, ключевых показателей деятельности организации.
5 Внедрение риск-аппетита
5.1 Определение риск-аппетита
Риск-аппетит определяется исходя из миссии, видения и основных ценностей организации, а также ее предыдущих стратегий развития. Определение риск-аппетита может предшествовать разработке новой/актуализации текущей стратегии - в таком случае стратегия разрабатывается/актуализируется с учетом установленного риск-аппетита; либо выполняться одновременно с разработкой стратегии и соответствующим взаимным уточнением. Во внимание также следует принимать емкость риска: как правило, риск-аппетит следует определять на уровне, не превышающем емкость риска.
_______________
Риск-аппетит может быть определен в разрезе различных стратегических, функциональных и организационных направлений. Полноту включения данных направлений (то есть покрытия деятельности организации) при определении риск-аппетита устанавливает совет с учетом его восприятия риска и специфики организации (структуры, бизнес-процессов, модели управления и т.д.). Подход к формулированию и/или расчету риск-аппетита также зависит от специфики организации и зрелости и специфики менеджмента риска в ней. Не существует универсального риск-аппетита, который подходит для всех организаций, как и универсального метода его определения, однако можно выделить ряд ключевых подходов по определению риск-аппетита, которые могут по отдельности или в комбинации быть использованными любой организацией на основе:
- определения применимых задач, целей, показателей (требований и их параметров), задаваемых для организации применимыми нормативно-правовыми актами Российской Федерации, международными нормативными актами, внутренними нормативными документами, акционерами (участниками), правоприменительной практикой, разъяснениями уполномоченных органов, договорными отношениями, добровольно взятыми на себя обязательствами;
- внешнего анализа по различным параметрам, показателям и статистическим данным отрасли и ее участников, иных сопоставимых организаций (по выбранному критерию либо набору критериев, таким как выручка, размер активов, численность штата, регион присутствия и т.д.) и/или их отдельных бизнес-процессов, проектов (внешний бенчмаркинг), и внутреннего анализа по различным параметрам, показателям и статистическим данным, сопоставимым подразделениям, филиалам, дочерним и зависимым обществам (внутренний бенчмаркинг);
- оценки возможных негативных изменений основного финансового показателя (либо нескольких таких показателей) организации.
5.2 Определение толерантности к риску
Доведение риск-аппетита с корпоративного уровня (уровня органов управления) до нижестоящих уровней принятия решений необходимо осуществлять системно для прозрачности понимания сотрудниками своей ответственности и полномочий. Для этого рекомендуется выбрать подход к его каскадированию по уровням организации. Возможная система каскадирования представлена на рисунке 1.
Рисунок 1 - Возможная система каскадирования риск-аппетита
Первым уровнем каскадирования является определение показателей толерантности к риску - измеримых и контролируемых метрик отклонения от целей бизнеса, которые организация и заинтересованные стороны готовы принять в случае реализации остаточных рисков. Данные метрики могут иметь один или несколько уровней детализации (например, отклонение от выручки в целом/по отдельным сегментам бизнеса). Толерантность к риску может определяться на основе анализа прошлых и текущих целевых показателей (стратегии, бюджета, программ, планов, проектов и т.д.) и их фактического достижения и может быть выражена посредством диапазона значений верхнего или нижнего предела целевого показателя, как правило в той же величине, что и сам целевой показатель.
При выборе показателей толерантности к риску целесообразно рассмотреть возможность использования любых параметров деятельности организации, включая:
- стратегические параметры, такие как показатели стратегических проектов и капитальных инвестиций;
- финансовые параметры, такие как выручка, доходность активов, доходность капитала, целевой рейтинг кредитоспособности и целевое соотношение заемного и собственного капитала;
- операционные параметры, такие как объем производства, реализация продукции, размер издержек, уровень цифровизации бизнеса, качество и взаимодействие с клиентами;
_______________
5.3 Разработка лимитов на риск и ключевых индикаторов риска
Вторым уровнем каскадирования является разработка лимитов на риск и/или ключевых индикаторов риска, цель которых - выстроить и показать прямую взаимосвязь влияния остаточных рисков на достижение целевых показателей бизнеса и риск-аппетит, а также отношение организации к рискам. Лимит на риск может быть определен как отдельный уровень риска, который будет измеряться по установленной шкале оценки рисков и использоваться в качестве целевого уровня риска (т.е. уровня, который не будет превышен остаточным риском). КИР возможно определить как качественную или количественную метрику, предупреждающую о возможном наступлении риска либо отражающую факт его наступления. Конкретные значения и в том, и в другом случае определяются организацией исходя из степени возможного влияния идентифицированных рисков (групп рисков) на установленные показатели толерантности к риску.
В таблице 1 представлен пример определения риск-аппетита и его последующего каскадирования до лимита на риск и КИР. Лимит на риск "Невыполнение обязательств со стороны контрагента" превышен, соответственно, данный риск оказывает существенное влияние на установленную толерантность и, потенциально, на соблюдение риск-аппетита. Требуется разработка и внедрение дополнительных мероприятий по управлению риском и незамедлительное информирование органов управления.
Таблица 1 - Пример определения и каскадирования риск-аппетита
Заявление о риск-аппетите | Организация стремится обеспечить эффективность финансово-хозяйственной деятельности и достичь установленных показателей чистой выручки | |
Целевой показатель | Чистая выручка | |
Толерантность к риску | Отклонение в сторону уменьшения от целевого значения чистой выручки составляет не более XX млн руб. | |
Декомпозиция по сегментам бизнеса | ||
Чистая выручка от сегмента бизнеса 1 - не менее 100 млн руб. | Ставки сегмента бизнеса 2 - в пределах 5% от среднерыночного уровня | |
Риск | Невыполнение обязательств со стороны контрагента | Значительные колебания ставок |
Остаточный уровень риска | 3 балла/убытки от реализации риска 50 млн руб. | 3 балла/убытки от реализации риска 40 млн руб. |
Ключевой индикатор риска | Чистая выручка от сегмента бизнеса 1 по итогам первого полугодия менее 50% от 100 млн руб. Истечение срока оплаты по договору (остаток менее 5 раб. дней) | Снижение на 3% от консенсус-прогноза ставок сегмента бизнеса 2 |
Аналогично риск-аппетиту не существует универсальных КИР, которые были бы применимы ко всем рискам и/или ко всем организациям. КИР могут определяться с учетом следующих подходов:
- в качестве КИР используются любые, в т.ч. уже существующие показатели деятельности организации (ключевые показатели эффективности, бюджетные лимиты, сроки сдачи работ и др.), а также показатели, характеризующие существенное внешнее воздействие на деятельность организации в целом либо отдельного подразделения, бизнес-процесса, проекта (санкции и предписания со стороны контрольно-надзорных органов, санкции международных организаций и других стран, судебные иски/претензии контрагентов и др.);
- в зависимости от установленного порога/параметра один и тот же КИР может как предупреждать о возможном наступлении риска, так и отражать факт его наступления, поэтому по мере возможности для каждого КИР предпочтительно определять несколько пороговых значений, позволяющих установить как факт реализации риска, так и предрисковое состояние;
- реализация КИР автоматически инициирует рассмотрение необходимости изменения текущих мероприятий по управлению риском с точки зрения соблюдения соответствующего показателя толерантности к риску;
- при формировании КИР целесообразно проанализировать релевантные данные, доступные в ИТ-системах организации, для целей автоматизации их сбора и обработки.
КИР следует разрабатывать таким образом, чтобы они соответствовали ряду характеристик:
- измеримости КИР в абсолютном или относительном выражении;
- своевременности и актуальности расчета КИР для заданного риска, а также для соответствующего показателя толерантности к риску;
- однозначности и понятности расчета, направленности КИР, его источников данных;
- экономической эффективности КИР (потенциальный эффект от мониторинга КИР превосходит затраты на выполнение мониторинга).
КИР могут быть интегрированы в показатели толерантности к риску либо иные уже существующие показатели деятельности организации на уровне бизнес-процессов, проектов, отдельных функций и т.д., что позволяет минимизировать затраты по их разработке, а также повысить эффективность менеджмента риска в целом. Для интеграции КИР следует определить в существующих показателях допустимое отклонение (в случае показателей толерантности к риску - дополнительное, промежуточное пороговое значение), т.е. границы, превышение или недостижение которых будет сигнализировать о возможности реализации риска при отсутствии своевременного воздействия на него. Например, показатель частоты простоя ИТ-системы под нагрузкой может являться КИР недоступности ИТ-инфраструктуры: следует определить, какая частота простоя недопустима для бесперебойной работы инфраструктуры, а от этого значения - определить показатель частоты простоя, превышение которого будет сигнализировать о необходимости принятия неотложных действий для недопущения реализации риска недоступности ИТ-инфраструктуры. Таким образом, будет определен коридор, в рамках которого можно осуществить своевременное воздействие на риск; кроме того, появляется возможность проводить тренд-анализ данного показателя на заданном временном отрезке для выявления аномалий, причин роста частоты простоев под нагрузкой и др.
УДК 658.5.011:006.354 | ОКС 03.100.01 |
Ключевые слова: риск, менеджмент риска, риск-аппетит, толерантность к риску, лимит на риск, ключевой индикатор риска |