Zarządzanie ryzykiem korporacyjnym - Enterprise risk management

Zarządzanie ryzykiem korporacyjnym ( ERM ) w biznesie obejmuje metody i procesy stosowane przez organizacje do zarządzania ryzykiem i wykorzystywania szans związanych z realizacją ich celów. ERM zapewnia ramy dla zarządzania ryzykiem , które zazwyczaj obejmuje identyfikację konkretnych zdarzeń lub okoliczności istotnych dla celów organizacji (zagrożeń i szans), ocenę ich pod kątem prawdopodobieństwa i wielkości wpływu, określenie strategii reagowania i procesu monitorowania. Identyfikując i proaktywnie reagując na ryzyko i szanse, przedsiębiorstwa biznesowe chronią i tworzą wartość dla swoich interesariuszy, w tym właścicieli, pracowników, klientów, organów regulacyjnych i ogółu społeczeństwa.

ERM można również określić jako oparte na ryzyku podejście do zarządzania przedsiębiorstwem, integrujące koncepcje kontroli wewnętrznej , ustawę Sarbanes–Oxley , ochronę danych i planowanie strategiczne . ERM ewoluuje w celu zaspokojenia potrzeb różnych interesariuszy, którzy chcą zrozumieć szerokie spektrum zagrożeń stojących przed złożonymi organizacjami, aby zapewnić ich odpowiednie zarządzanie. Organy regulacyjne i agencje ratingowe wzmogły kontrolę nad procesami zarządzania ryzykiem przedsiębiorstw.

Według Thomasa Stantona z Johns Hopkins University celem zarządzania ryzykiem w przedsiębiorstwie nie jest tworzenie większej biurokracji, ale ułatwienie dyskusji na temat naprawdę dużych zagrożeń.

Zdefiniowane ramy ERM

Istnieją różne ważne struktury ERM, z których każda opisuje podejście do identyfikowania, analizowania, reagowania i monitorowania zagrożeń i szans w środowisku wewnętrznym i zewnętrznym, z jakim mierzy się przedsiębiorstwo. Kierownictwo wybiera strategię reakcji na ryzyko dla określonych zidentyfikowanych i przeanalizowanych ryzyk, która może obejmować:

1. Unikanie: wychodzenie z czynności stwarzających ryzyko
2. Redukcja: podejmowanie działań w celu zmniejszenia prawdopodobieństwa lub wpływu związanego z ryzykiem
3. Działania alternatywne: podejmowanie decyzji i rozważanie innych wykonalnych kroków w celu zminimalizowania ryzyka
4. Share or Insurance: przeniesienie lub współdzielenie części ryzyka w celu jego sfinansowania
5. Zaakceptuj: nie podejmuje się żadnych działań ze względu na decyzję dotyczącą kosztów/korzyści

Monitorowanie jest zwykle wykonywane przez kierownictwo w ramach jego działań kontroli wewnętrznej, takich jak przegląd raportów analitycznych lub spotkania komitetu zarządzającego z odpowiednimi ekspertami, aby zrozumieć, jak działa strategia reagowania na ryzyko i czy cele są osiągane.

Ramy Towarzystwa Aktuarialnego ds. Wypadków

W 2003 r. Towarzystwo Aktuarialne ds. Wypadków (CAS) zdefiniowało ERM jako dyscyplinę, za pomocą której organizacja w dowolnej branży ocenia, kontroluje, wykorzystuje, finansuje i monitoruje ryzyko ze wszystkich źródeł w celu zwiększenia krótko- i długoterminowej wartości organizacji swoim interesariuszom”. CAS skonceptualizował ERM jako postępowanie w dwóch wymiarach: rodzaju ryzyka i procesów zarządzania ryzykiem. Rodzaje ryzyka i przykłady obejmują:

Ryzyko zagrożenia

Delikty z tytułu odpowiedzialności cywilnej, Szkody materialne, Katastrofy naturalne

Ryzyko finansowe

Ryzyko cenowe, ryzyko aktywów, ryzyko walutowe, ryzyko płynności

Ryzyko operacyjne

Zadowolenie klienta, awaria produktu, uczciwość, ryzyko reputacji; Kłusownictwo wewnętrzne; Drenaż wiedzy

Ryzyka strategiczne

Konkurencja, Trend społeczny, Dostępność kapitału

Proces zarządzania ryzykiem obejmuje:

1. Ustalenie kontekstu: Obejmuje to zrozumienie aktualnych warunków, w jakich działa organizacja, w kontekście wewnętrznym, zewnętrznym i zarządzania ryzykiem.
2. Identyfikacja ryzyk: Obejmuje to dokumentację istotnych zagrożeń dla osiągnięcia przez organizację jej celów oraz reprezentację obszarów, które organizacja może wykorzystać dla uzyskania przewagi konkurencyjnej.
3. Analizowanie/kwantyfikowanie ryzyk: Obejmuje to kalibrację i, jeśli to możliwe, tworzenie rozkładów prawdopodobieństwa wyników dla każdego istotnego ryzyka.
4. Integrating Risks: Obejmuje to agregację wszystkich rozkładów ryzyka, odzwierciedlanie korelacji i efektów portfela oraz formułowanie wyników pod kątem wpływu na kluczowe wskaźniki wydajności organizacji.
5. Ocena/priorytetyzacja ryzyk: Obejmuje to określenie udziału każdego ryzyka w zagregowanym profilu ryzyka oraz odpowiednią priorytetyzację.
6. Traktowanie/wykorzystywanie ryzyka: Obejmuje to opracowanie strategii kontrolowania i wykorzystywania różnych rodzajów ryzyka.
7. Monitorowanie i przegląd: Obejmuje to ciągły pomiar i monitorowanie środowiska ryzyka oraz skuteczność strategii zarządzania ryzykiem.

Ramy COSO ERM

COSO „Zarządzanie Zintegrowany Enterprise Risk Framework”, wydanej w 2004 (nowe wydanie COSO ERM 2017 nie wspomina, a wersja z 2004 roku jest nieaktualny) definiuje ERM jako „... proces, dokonane przez zarząd jednostki dyrektorów, zarządzania i innych pracowników , stosowane w ustalaniu strategii i w całym przedsiębiorstwie, mające na celu identyfikację potencjalnych zdarzeń, które mogą mieć wpływ na jednostkę, oraz zarządzanie ryzykiem w ramach jego apetytu na ryzyko , w celu zapewnienia wystarczającej pewności co do osiągnięcia celów jednostki."

Ramy COSO ERM składają się z ośmiu komponentów i czterech kategorii celów. Jest to rozszerzenie Zintegrowanej Ramy Kontroli Wewnętrznej COSO opublikowanej w 1992 r. i zmienionej w 1994 r. Osiem komponentów to:

• Środowisko wewnętrzne
• Ustalanie celów
• Identyfikacja zdarzeń
• Ocena ryzyka
• Ryzykowna odpowiedź
• Działania kontrolne
• Informacja i komunikacja
• Monitorowanie

Cztery kategorie celów - wyróżnione dodatkowe komponenty - to:

• Strategia - cele nadrzędne, zgodne z misją organizacji i wspierające ją
• Operacje – efektywne i efektywne wykorzystanie zasobów
• Sprawozdawczość finansowa - rzetelność sprawozdawczości operacyjnej i finansowej
• Zgodność - zgodność z obowiązującymi przepisami i regulacjami

ISO 31000: nowa międzynarodowa norma zarządzania ryzykiem

ISO 31000 to międzynarodowa norma zarządzania ryzykiem opublikowana 13 listopada 2009 r. Towarzysząca norma, ISO 31010 – Techniki oceny ryzyka, została wkrótce opublikowana (1 grudnia 2009 r.) wraz ze zaktualizowanym słownictwem dotyczącym zarządzania ryzykiem ISO Guide 73.

Model dojrzałości ryzyka RIMS

Model dojrzałości ryzyka RIMS (RMM) dla zarządzania ryzykiem korporacyjnym, opublikowany w 2006 r., stanowi zbiorcze ramy treści i metodologii, które szczegółowo opisują wymagania dotyczące zrównoważonego i efektywnego zarządzania ryzykiem korporacyjnym. Model RMM składa się z dwudziestu pięciu czynników kompetencyjnych dla siedmiu atrybutów, które tworzą wartość i użyteczność ERM w organizacji. 7 atrybutów to:

• Podejście oparte na ERM
• Zarządzanie procesem ERM
• Zarządzanie apetytem na ryzyko
• Podstawowa przyczyna dyscypliny
• Odkrywanie ryzyka
• Zarządzanie wydajnością
• Odporność biznesowa i zrównoważony rozwój

Model został opracowany przez Stevena Minsky'ego, dyrektora generalnego LogicManager i opublikowany przez Towarzystwo Zarządzania Ryzykiem i Ubezpieczeniami we współpracy z Komitetem RIMS ERM. Model dojrzałości ryzyka opiera się na modelu dojrzałości zdolności, metodologii opracowanej przez Carnegie Mellon University Software Engineering Institute (SEI) w latach 80-tych.

Wdrażanie programu ERM

Cele programu ERM

Organizacje z natury zarządzają ryzykiem i posiadają różne działy lub funkcje („funkcje ryzyka”), które identyfikują poszczególne ryzyka i zarządzają nimi. Jednak każda funkcja ryzyka różni się możliwościami i sposobem koordynacji z innymi funkcjami ryzyka. Głównym celem i wyzwaniem ERM jest poprawa tej zdolności i koordynacji, przy jednoczesnym zintegrowaniu wyników w celu zapewnienia ujednoliconego obrazu ryzyka dla interesariuszy i poprawie zdolności organizacji do skutecznego zarządzania ryzykiem.

Typowe funkcje ryzyka

Podstawowe funkcje ryzyka w dużych korporacjach, które mogą uczestniczyć w programie ERM, obejmują zazwyczaj:

• Planowanie strategiczne - identyfikuje zagrożenia zewnętrzne i szanse konkurencyjne wraz z inicjatywami strategicznymi, które mają im zaradzić
• Marketing - rozumie klienta docelowego, aby zapewnić zgodność produktu/usługi z wymaganiami klienta
• Zgodność i etyka - monitoruje zgodność z kodeksem postępowania i kieruje dochodzeniami w sprawie oszustw
• Zgodność księgowa / finansowa - kieruje oceną Sarbanes-Oxley Section 302 i 404, która identyfikuje ryzyka sprawozdawczości finansowej
• Dział Prawny - zarządza sporami sądowymi i analizuje pojawiające się trendy prawne, które mogą mieć wpływ na organizację
• Ubezpieczenie - zapewnia odpowiednią ochronę ubezpieczeniową organizacji
• Skarbiec - zapewnia wystarczającą ilość gotówki na zaspokojenie potrzeb biznesowych, jednocześnie zarządzając ryzykiem związanym z cenami towarów lub wymianą walut
• Zapewnienie jakości operacyjnej - weryfikuje wydajność operacyjną w granicach tolerancji
• Zarządzanie operacyjne - zapewnia, że ​​biznes działa z dnia na dzień, a związane z nim bariery są ujawniane do rozwiązania
• Kredyt - zapewnia, że ​​każdy kredyt udzielony klientom jest odpowiedni do ich zdolności do spłaty
• Obsługa klienta - zapewnia szybkie rozpatrywanie skarg klientów i zgłaszanie przyczyn źródłowych do operacji w celu rozwiązania
• Audyt wewnętrzny – ocenia skuteczność każdej z powyższych funkcji ryzyka i rekomenduje usprawnienia
• Bezpieczeństwo korporacyjne - identyfikuje, ocenia i łagodzi ryzyko stwarzane przez zagrożenia fizyczne i zagrożenia bezpieczeństwa informacji

Wspólne wyzwania we wdrażaniu ERM

Różne firmy konsultingowe oferują sugestie dotyczące wdrażania programu ERM. Typowe tematy i wyzwania obejmują:

• Identyfikacja sponsorów wykonawczych dla ERM.
• Ustanowienie wspólnego języka ryzyka lub glosariusza.
• opisanie apetytu na ryzyko jednostki (tj. ryzyka, które podejmie i nie podejmie)
• Identyfikowanie i opisywanie ryzyk w „inwentarzu ryzyka”.
• Wdrożenie metodologii rankingu ryzyka w celu ustalenia priorytetów ryzyka w ramach i między funkcjami.
• Powołanie komitetu ds. ryzyka i/lub dyrektora ds. ryzyka (CRO) w celu koordynowania niektórych działań funkcji ds. ryzyka.
• Ustalenie odpowiedzialności za poszczególne ryzyka i reakcje.
• Wykazanie opłacalności wysiłków związanych z zarządzaniem ryzykiem.
• Opracowywanie planów działania w celu zapewnienia odpowiedniego zarządzania ryzykiem.
• Opracowywanie skonsolidowanych raportów dla różnych interesariuszy.
• Monitorowanie wyników działań podjętych w celu ograniczenia ryzyka.
• Zapewnienie skutecznego pokrycia ryzyka przez audytorów wewnętrznych, zespoły doradcze i inne podmioty oceniające.
• Opracowanie technicznych ram ERM, które umożliwiają bezpieczne uczestnictwo stron trzecich i pracowników zdalnych.

Rola audytu wewnętrznego

Część serii na
Księgowość
Koszt historyczny Stała siła nabywcza Kierownictwo Podatek
Główne typy Rewizja Budżet Koszt Kryminalistycznych Budżetowy Fundusz Rządowy Kierownictwo Społeczny Podatek
Kluczowe idee Okres księgowy Narzut Stała siła nabywcza Podmiot gospodarczy Dobra cena Kontynuowanie troski Koszt historyczny Zasada dopasowania Materialność Rozpoznawanie przychodów Jednostka miary
Wybrane konta Aktywa Gotówka Koszt sprzedanych towarów Amortyzacja  / Amortyzacja Słuszność Wydatki Życzliwość Zadłużenie Zysk Przychód
Standardy rachunkowości Ogólnie przyjęte zasady Ogólnie przyjęte standardy badania Konwergencja Międzynarodowe Standardy Sprawozdawczości Finansowej Międzynarodowe Standardy Rewizji Finansowej Zasady rachunkowości zarządczej
Sprawozdania finansowe Roczny raport Bilans Przepływy pieniężne Słuszność Dochód Dyskusja zarządzania Noty do sprawozdania finansowego
Księgowość Rozliczenie bankowe Obciążenia i kredyty System podwójnego wejścia FIFO i LIFO Dziennik Księga główna  / Księga główna Konta T Bilans próbny
Audyt Budżetowy Wewnętrzny Firmy Raport
Ludzie i organizacje Księgowi Organizacje księgowe Luca Pacioli
Rozwój Historia Badania Księgowość pozytywna Ustawa Sarbanes-Oxley
Złe prowadzenie się Twórczy Zarządzanie przychodami Konto błędu Hollywood Pozabilansowe Dwa zestawy książek
v T mi

Oprócz audytu informatycznego, audytorzy wewnętrzni odgrywają ważną rolę w ocenie procesów zarządzania ryzykiem w organizacji i propagowaniu ich ciągłego doskonalenia. Jednakże, aby zachować niezależność organizacyjną i obiektywny osąd, standardy zawodowe audytu wewnętrznego wskazują, że funkcja ta nie powinna brać bezpośredniej odpowiedzialności za podejmowanie decyzji dotyczących zarządzania ryzykiem dla przedsiębiorstwa lub zarządzanie funkcją zarządzania ryzykiem.

Audytorzy wewnętrzni zazwyczaj dokonują corocznej oceny ryzyka przedsiębiorstwa w celu opracowania planu zadań audytowych na nadchodzący rok. W praktyce plan ten jest aktualizowany z różną częstotliwością. Zazwyczaj obejmuje to przegląd różnych ocen ryzyka przeprowadzanych przez przedsiębiorstwo (np. planów strategicznych, analizy porównawczej konkurencji i odgórnej oceny ryzyka SOX 404 ), rozważenie wcześniejszych audytów oraz wywiady z różnymi kierownictwem wyższego szczebla. Jest przeznaczony do identyfikacji projektów audytowych, a nie do identyfikowania, ustalania priorytetów i zarządzania ryzykiem bezpośrednio dla przedsiębiorstwa.

Aktualne problemy w ERM

Procesy zarządzania ryzykiem w korporacjach na całym świecie podlegają coraz większej kontroli regulacyjnej i prywatnej. Ryzyko jest istotną częścią każdej firmy. Właściwie zarządzany napędza wzrost i możliwości. Kadra kierownicza zmaga się z presją biznesową, która może być częściowo lub całkowicie poza ich bezpośrednią kontrolą, np. na rynkach finansowych w trudnej sytuacji; fuzje, przejęcia i restrukturyzacje; przełomowa zmiana technologii ; niestabilności geopolityczne; oraz rosnące ceny energii.

Wymagania Ustawy Sarbanes-Oxley

Sekcja 404 ustawy Sarbanes-Oxley z 2002 r. wymagała od amerykańskich korporacji notowanych na giełdzie stosowania ram kontroli w swoich ocenach kontroli wewnętrznej. Wiele osób wybrało ramy kontroli wewnętrznej COSO , które obejmują element oceny ryzyka. Ponadto nowe wytyczne wydane przez Komisję Papierów Wartościowych i Giełd (SEC) oraz PCAOB w 2007 r. kładły coraz większy nacisk na odgórną ocenę ryzyka i zawierały szczególny wymóg przeprowadzania oceny ryzyka nadużyć finansowych . Ocena ryzyka oszustwa zazwyczaj obejmuje identyfikację scenariuszy potencjalnego (lub doświadczanego) oszustwa, powiązanego narażenia organizacji, powiązanych kontroli i wszelkich działań podjętych w ich wyniku.

Zasady ładu korporacyjnego NYSE

New York Stock Exchange wymaga Komitety audytu jego spółek giełdowych, aby „omówić politykę w zakresie oceny ryzyka i zarządzania ryzykiem .” Powiązany komentarz kontynuuje: „Chociaż zadaniem dyrektora generalnego i kierownictwa wyższego szczebla jest ocena i zarządzanie narażeniem firmy na ryzyko, komitet audytu musi omówić wytyczne i zasady regulujące proces, w którym to jest obsługiwane. Komitet audytu powinien omówić główne ekspozycje firmy na ryzyko finansowe oraz kroki podjęte przez kierownictwo w celu monitorowania i kontrolowania takich ekspozycji.Komitet audytu nie musi być jedynym organem odpowiedzialnym za ocenę ryzyka i zarządzanie ryzykiem, ale, jak wspomniano powyżej, komitet musi omówić wytyczne i zasady zarządzanie procesem oceny ryzyka i zarządzania ryzykiem Wiele spółek, w szczególności finansowych, zarządza i ocenia swoje ryzyko za pomocą mechanizmów innych niż komitet audytu. komitetu, ale nie muszą być zastępowane przez komitet audytu."

ERM i ratingi zadłużenia korporacyjnego

Agencja ratingowa Standard & Poor's (S&P) planuje włączyć do procesu oceny swoich spółek szereg pytań dotyczących zarządzania ryzykiem. Zostanie on wprowadzony do firm finansowych w 2007 r. Wyniki tego badania są jednym z wielu czynników branych pod uwagę przy ocenie zadłużenia, co ma odpowiedni wpływ na oprocentowanie, jakie pożyczkodawcy pobierają od firm za pożyczki lub obligacje. 7 maja 2008 r. S&P ogłosił również, że rozpocznie uwzględnianie oceny ERM w swoich ratingach dla firm niefinansowych począwszy od 2009 r., z wstępnymi komentarzami w swoich raportach w czwartym kwartale 2008 r.

Standardy wydajności IFC

Standardy wydajności International Finance Corporation koncentrują się na zarządzaniu zagrożeniami i skutkami w zakresie zdrowia, bezpieczeństwa, środowiska i społeczeństwa. Trzecia edycja została opublikowana 1 stycznia 2012 r. po dwuletnich negocjacjach z sektorem prywatnym, rządami i organizacjami społeczeństwa obywatelskiego. Zostały one przyjęte przez Equator Principles Banks, konsorcjum ponad 118 banków komercyjnych w 37 krajach.

Prywatność danych

Przepisy dotyczące prywatności danych, takie jak ogólne rozporządzenie Unii Europejskiej o ochronie danych , coraz częściej przewidują znaczne kary za brak odpowiedniej ochrony danych osobowych osób fizycznych, takich jak nazwiska, adresy e-mail i osobiste informacje finansowe, lub ostrzegają osoby, których dane dotyczą, gdy dane prywatność jest naruszona. Rozporządzenie UE wymaga, aby każda organizacja – w tym organizacje spoza UE – wyznaczyła inspektora ochrony danych podległego najwyższemu kierownictwu, jeśli zajmuje się danymi osobowymi osób mieszkających w UE.

Odpowiedź aktuarialna

Towarzystwo Aktuarialne ds. Wypadków

W 2003 r. Komitet Zarządzania Ryzykiem Korporacyjnym Towarzystwa Aktuarialnego ds. Wypadków (CAS) wydał przegląd ERM. Artykuł ten przedstawił ewolucję, uzasadnienie, definicje i ramy dla ERM z perspektywy aktuarialnej poszkodowanych, a także zawierał słownictwo, podstawy koncepcyjne i techniczne, rzeczywistą praktykę i zastosowania oraz studia przypadków.

CAS ma określone cele ERM, w tym bycie „wiodącym międzynarodowym dostawcą materiałów edukacyjnych związanych z zarządzaniem ryzykiem korporacyjnym (ERM) w obszarze ubezpieczeń od wypadków majątkowych” i sponsoruje badania, rozwój i szkolenia aktuariuszy od wypadków w tym zakresie. CAS powstrzymał się od wydania własnego poświadczenia; zamiast tego w 2007 roku Zarząd CAS zdecydował, że CAS powinien uczestniczyć w inicjatywie opracowania globalnego oznaczenia ERM i podjąć ostateczną decyzję w późniejszym terminie.

Towarzystwo Aktuariuszy

W 2007 roku Society of Actuaries opracowało uprawnienia Chartered Enterprise Risk Analyst (CERA) w odpowiedzi na rozwijającą się dziedzinę zarządzania ryzykiem korporacyjnym. Jest to pierwsze nowe poświadczenie zawodowe, które zostało wprowadzone przez SOA od 1949 roku. Badania CERA skupiają się na tym, jak różne rodzaje ryzyka, w tym operacyjne, inwestycyjne, strategiczne i dotyczące reputacji, wpływają na organizacje. CERA działają w środowiskach wykraczających poza rynki ubezpieczeń, reasekuracji i konsultingu, w tym w szerszych usługach finansowych, energetyce, transporcie, mediach, technologii, produkcji i opiece zdrowotnej.

Ukończenie programu CERA, który łączy podstawowe nauki aktuarialne, zasady ERM i kurs profesjonalizmu, zajmuje około trzech do czterech lat. Aby zdobyć poświadczenie CERA, kandydaci muszą przystąpić do pięciu egzaminów, spełnić wymagania dotyczące doświadczenia edukacyjnego, ukończyć jeden kurs online i osobiście uczestniczyć w jednym kursie profesjonalizmu.

CERA Global

Początkowo wszystkie CERA były członkami Society of Actuaries, ale w 2009 roku oznaczenie CERA stało się globalnym specjalistycznym poświadczeniem zawodowym, przyznawanym i regulowanym przez wiele organów aktuarialnych.

Zobacz też

Bibliografia

Zewnętrzne linki

• Thomas Stanton (18 lutego 2017). "Zarządzanie Ryzykiem Przedsiębiorstwa" . YouTube . TEDxJHUDC.
• Airmic/Alarm/IRM (2010) „Ustrukturyzowane podejście do zarządzania ryzykiem korporacyjnym (ERM) a wymagania ISO 31000”
• Hopkin, Paul „Podstawy zarządzania ryzykiem 2nd Edition” Kogan-Page (2012) ISBN  978-0-7494-6539-1