Řízení podnikových rizik - Enterprise risk management

Řízení podnikových rizik ( ERM ) v podnikání zahrnuje metody a procesy používané organizacemi k řízení rizik a využívání příležitostí souvisejících s dosahováním jejich cílů. ERM poskytuje rámec pro řízení rizik , který obvykle zahrnuje identifikaci konkrétních událostí nebo okolností relevantních pro cíle organizace (hrozby a příležitosti), jejich vyhodnocení z hlediska pravděpodobnosti a rozsahu dopadu, stanovení strategie reakce a monitorovacího procesu. Identifikací a proaktivním řešením rizik a příležitostí obchodní podniky chrání a vytvářejí hodnotu pro své zúčastněné strany, včetně vlastníků, zaměstnanců, zákazníků, regulačních orgánů a společnosti jako celku.

ERM lze také popsat jako rizikový přístup k řízení podniku, integrující koncepce vnitřní kontroly , Sarbanes-Oxley Act , ochranu dat a strategické plánování . ERM se vyvíjí tak, aby reagoval na potřeby různých zúčastněných stran, které chtějí porozumět širokému spektru rizik, jimž čelí složité organizace, a zajistit tak jejich řádné řízení. Regulační orgány a agentury pro hodnocení dluhu zvýšily svoji kontrolu procesů řízení rizik společností.

Podle Thomase Stantona z Univerzity Johna Hopkinse není cílem řízení podnikových rizik vytvářet více byrokracie, ale usnadnit diskusi o tom, co jsou skutečně velká rizika.

Definovány rámce ERM

Existují různé důležité rámce ERM, z nichž každý popisuje přístup k identifikaci, analýze, reakci a monitorování rizik a příležitostí ve vnitřním i vnějším prostředí, kterému podnik čelí. Vedení vybírá strategii reakce na rizika pro specifická identifikovaná a analyzovaná rizika, která může zahrnovat:

1. Vyhýbání se: opuštění aktivit, které vedou k riziku
2. Snížení: přijetí opatření ke snížení pravděpodobnosti nebo dopadu souvisejícího s rizikem
3. Alternativní akce: rozhodování a zvažování dalších proveditelných kroků k minimalizaci rizik
4. Sdílet nebo pojistit: přenesení nebo sdílení části rizika za účelem jeho financování
5. Přijmout: z důvodu rozhodnutí o nákladech a přínosech se neprovádí žádná akce

Monitorování obvykle provádí vedení jako součást svých činností vnitřní kontroly, jako je revize analytických zpráv nebo schůze řídícího výboru s příslušnými odborníky, aby bylo pochopeno, jak funguje strategie reakce na rizika a zda jsou dosahovány cíle.

Rámec úrazové pojistněmatematické společnosti

V roce 2003 definovala společnost pro případ úrazové matematiky (CAS) ERM jako disciplínu, kterou organizace v jakémkoli odvětví hodnotí, kontroluje, využívá, financuje a monitoruje rizika ze všech zdrojů za účelem zvýšení krátkodobé a dlouhodobé hodnoty organizace. ., aby zainteresované strany“conceptualized CAS ERM as řízením přes dva rozměry typů rizik a procesů řízení rizik. Tyto typy rizik a příklady zahrnují:

Riziko nebezpečí

Delikty odpovědnosti, poškození majetku, přírodní katastrofa

Finanční riziko

Cenové riziko, Majetkové riziko, Měnové riziko, Riziko likvidity

Operační risk

Spokojenost zákazníků, selhání produktu, integrita, reputační riziko; Vnitřní pytláctví; Odliv znalostí

Strategická rizika

Konkurence, sociální trend, dostupnost kapitálu

Proces řízení rizik zahrnuje:

1. Stanovení kontextu: To zahrnuje porozumění aktuálním podmínkám, ve kterých organizace působí, na vnitřním, vnějším a kontextu řízení rizik.
2. Identifikace rizik: To zahrnuje dokumentaci věcných hrozeb pro dosažení cílů organizace a reprezentaci oblastí, které může organizace využívat ke konkurenční výhodě.
3. Analýza/kvantifikace rizik: To zahrnuje kalibraci a pokud je to možné, vytváření rozdělení pravděpodobnosti výsledků pro každé významné riziko.
4. Integrační rizika: To zahrnuje agregaci všech rozdělení rizik, odrážející korelace a efekty portfolia a formulaci výsledků z hlediska dopadu na klíčové výkonnostní metriky organizace.
5. Posouzení/stanovení priorit rizik: To zahrnuje stanovení příspěvku každého rizika k celkovému profilu rizik a vhodné stanovení priorit.
6. Léčba/využívání rizik: To zahrnuje vývoj strategií pro kontrolu a využívání různých rizik.
7. Monitorování a revize: To zahrnuje kontinuální měření a monitorování rizikového prostředí a plnění strategií řízení rizik.

Rámec COSO ERM

COSO „Enterprise Management-Integrated Risk Framework“, vydané v roce 2004 (nové vydání COSO ERM 2017 není uveden a verze 2004 je zastaralá) definuje ERM jako „... proces, provádí palubní účetní jednotky rady, vedení a dalších pracovníků „uplatňované při stanovování strategie a v celém podniku, určené k identifikaci potenciálních událostí, které mohou ovlivnit účetní jednotku, a řízení rizika tak, aby odpovídalo jeho riziku , aby poskytly přiměřenou jistotu ohledně dosažení cílů účetní jednotky.“

Rámec COSO ERM má osm komponent a čtyři kategorie cílů. Jedná se o rozšíření integrovaného rámce vnitřní kontroly COSO publikovaného v roce 1992 a pozměněného v roce 1994. Osm složek je:

• Vnitřní prostředí
• Objektivní nastavení
• Identifikace události
• Posouzení rizik
• Reakce na riziko
• Kontrolní činnosti
• Informace a komunikace
• Monitorování

Čtyři kategorie cílů - zvýrazněné další součásti - jsou:

• Strategie - cíle na vysoké úrovni, sladěné a podporující poslání organizace
• Operace - efektivní a efektivní využívání zdrojů
• Finanční výkaznictví - spolehlivost provozního a finančního výkaznictví
• Shoda - soulad s platnými zákony a předpisy

ISO 31000: nový mezinárodní standard řízení rizik

ISO 31000 je mezinárodní norma pro řízení rizik, která byla zveřejněna 13. listopadu 2009. Doprovodná norma ISO 31010 - Techniky posuzování rizik brzy následovala po zveřejnění (1. prosince 2009) spolu s aktualizovaným slovníkem řízení rizik ISO 73.

Model splatnosti rizika RIMS

Model RIMS Risk Maturity Model (RMM) pro řízení podnikových rizik, publikovaný v roce 2006, je zastřešujícím rámcem obsahu a metodiky, který podrobně popisuje požadavky na udržitelné a efektivní řízení podnikových rizik. Model RMM se skládá z dvaceti pěti ovladačů kompetencí pro sedm atributů, které vytvářejí hodnotu a užitečnost ERM v organizaci. Těchto 7 atributů je:

• Přístup založený na ERM
• Řízení procesů ERM
• Řízení chuti k riziku
• Základní příčina disciplíny
• Odhalení rizik
• Řízení výkonnosti
• Odolnost a udržitelnost podnikání

Model vyvinul Steven Minsky, generální ředitel společnosti LogicManager, a publikovala jej společnost pro řízení rizik a pojištění ve spolupráci s výborem RIMS ERM. Model rizikové splatnosti je založen na modelu schopnosti splatnosti, což je metodika založená institutem Carnegie Mellon University Software Engineering Institute (SEI) v 80. letech minulého století.

Implementace programu ERM

Cíle programu ERM

Organizace podle povahy zvládají rizika a mají řadu stávajících oddělení nebo funkcí („rizikové funkce“), které identifikují a řídí konkrétní rizika. Každá riziková funkce se však liší schopností a způsobem koordinace s jinými rizikovými funkcemi. Ústředním cílem a výzvou ERM je zlepšit tuto schopnost a koordinaci a integrovat výstup tak, aby poskytoval jednotný obraz o riziku pro zúčastněné strany, a zlepšovat schopnost organizace efektivně řídit rizika.

Typické rizikové funkce

Mezi primární rizikové funkce ve velkých korporacích, které se mohou účastnit programu ERM, obvykle patří:

• Strategické plánování - identifikuje vnější hrozby a konkurenční příležitosti spolu se strategickými iniciativami k jejich řešení
• Marketing - rozumí cílovému zákazníkovi, aby zajistil sladění produktu/služby s požadavky zákazníka
• Compliance & Ethics - monitoruje dodržování kodexu chování a řídí vyšetřování podvodů
• Účetnictví / Finanční shoda - řídí hodnocení Sarbanes -Oxley § 302 a 404, které identifikuje rizika účetního výkaznictví
• Právní oddělení - spravuje soudní spory a analyzuje vznikající právní trendy, které mohou mít dopad na organizaci
• Pojištění - zajišťuje správné pojistné krytí pro organizaci
• Treasury - zajišťuje, že hotovost je dostatečná k uspokojení obchodních potřeb, při řízení rizik souvisejících s cenami komodit nebo devizami
• Provozní zajištění kvality - ověřuje, zda je provozní výstup v mezích tolerancí
• Řízení provozu-zajišťuje každodenní provoz podniku a vypořádání se s překážkami souvisejícími s řešením
• Kredit - zajišťuje, že jakýkoli kredit poskytovaný zákazníkům odpovídá jeho platební schopnosti
• Zákaznický servis - zajišťuje rychlé vyřízení stížností zákazníků a uvedení hlavních příčin do operací k vyřešení
• Interní audit - hodnotí účinnost každé z výše uvedených rizikových funkcí a doporučuje zlepšení
• Podnikové zabezpečení - identifikuje, vyhodnocuje a zmírňuje rizika spojená s fyzickými a informačními bezpečnostními hrozbami

Společné výzvy při implementaci ERM

Různé poradenské firmy nabízejí návrhy, jak implementovat program ERM. Mezi běžná témata a výzvy patří:

• Identifikace výkonných sponzorů pro ERM.
• Zavedení společného jazyka rizika nebo glosáře.
• Popis ochoty účetní jednotky podstupovat riziko (tj. Rizika, která bude a nebude podstupovat)
• Identifikace a popis rizik v „inventáři rizik“.
• Implementace metodiky hodnocení rizik za účelem upřednostnění rizik v rámci funkcí a mezi nimi.
• Zřízení výboru pro rizika a nebo ředitele pro řízení rizik (CRO) pro koordinaci určitých činností funkcí rizik.
• Stanovení vlastnictví pro konkrétní rizika a reakce.
• Demonstrace nákladů a přínosů úsilí o řízení rizik.
• Vypracování akčních plánů k zajištění vhodného řízení rizik.
• Rozvoj konsolidovaného výkaznictví pro různé zúčastněné strany.
• Monitorování výsledků opatření přijatých ke snížení rizika.
• Zajištění efektivního pokrytí rizik interními auditory, poradenskými týmy a dalšími hodnotícími subjekty.
• Vývoj technického rámce ERM, který umožňuje bezpečnou účast třetích stran a vzdálených zaměstnanců.

Role interního auditu

Část série na
Účetnictví
Historická cena Konstantní kupní síla Řízení Daň
Hlavní typy Audit Rozpočet Náklady Forenzní Finanční Fond Vládní Řízení Sociální Daň
Klíčové koncepty Účetní období Časové rozlišení Konstantní kupní síla Ekonomický subjekt Reálná hodnota Pokračující obavy Historická cena Shodný princip Významnost Uznání výnosů Zúčtovací jednotka
Vybrané účty Aktiva Hotovost Náklady na prodané zboží Odpisy  / amortizace Spravedlnost Výdaje Dobrá vůle Závazky Zisk Příjmy
Účetní standardy Obecně uznávané zásady Obecně uznávané auditorské standardy Konvergence Mezinárodní standardy účetního výkaznictví Mezinárodní auditorské standardy Zásady vedení účetnictví
Účetní závěrka Výroční zpráva Rozvaha Tok peněz Spravedlnost Příjem Diskuse vedení Příloha k účetní závěrce
Vedení účetnictví bankovní vyúčtování Debety a kredity Podvojný systém FIFO a LIFO Časopis Hlavní kniha  / hlavní kniha T účty Zkušební zůstatek
Auditování Finanční Vnitřní Firmy Zpráva
Lidé a organizace Účetní Účetní organizace Luca Pacioli
Rozvoj Dějiny Výzkum Pozitivní účetnictví Sarbanes -Oxleyův zákon
Špatné jednání Tvořivý Správa výdělků Chybový účet Hollywood Podrozvaha Dvě sady knih
proti t E

Kromě auditu informačních technologií hrají interní auditoři důležitou roli při hodnocení procesů řízení rizik organizace a obhajování jejich neustálého zlepšování. Aby však byla zachována jeho organizační nezávislost a objektivní úsudek, profesionální standardy interního auditu uvádějí, že funkce by neměla převzít žádnou přímou odpovědnost za přijímání rozhodnutí o řízení rizik pro podnik nebo řízení funkce řízení rizik.

Interní auditoři obvykle provádějí roční hodnocení rizik podniku, aby vypracovali plán auditorských zakázek na následující rok. Tento plán je v praxi aktualizován na různých frekvencích. To obvykle zahrnuje přezkoumání různých hodnocení rizik prováděných podnikem (např. Strategické plány, srovnávací srovnávání konkurenceschopnosti a hodnocení rizik SOX 404 shora dolů ), zvážení předchozích auditů a pohovory s různými vrcholovými managementy. Je určen k identifikaci auditních projektů, nikoli k identifikaci, stanovení priorit a řízení rizik přímo pro podnik.

Aktuální problémy v ERM

Procesy řízení rizik korporací na celém světě jsou pod rostoucí regulační a soukromou kontrolou. Riziko je nezbytnou součástí každého podnikání. Správně řízený způsob růstu a příležitostí. Vedoucí pracovníci se potýkají s obchodními tlaky, které mohou být částečně nebo zcela mimo jejich bezprostřední kontrolu, například v nouzi na finančních trzích; fúze, akvizice a restrukturalizace; převratná změna technologie ; geopolitické nestability; a rostoucí cena energií.

Požadavky zákona Sarbanes-Oxley

Sekce 404 tohoto zákona Sarbanes-Oxley z roku 2002 požadováno US veřejně obchodované podniky, aby použily kontrolní rámec ve svém hodnocení vnitřní kontroly. Mnozí se rozhodli pro rámec vnitřní kontroly COSO , který obsahuje prvek hodnocení rizika. Kromě toho nové pokyny vydané Komisí pro cenné papíry (SEC) a PCAOB v roce 2007 kladly stále větší kontrolu na hodnocení rizik shora dolů a zahrnovaly konkrétní požadavek na provedení posouzení rizika podvodu . Posouzení rizik podvodů obvykle zahrnuje identifikaci scénářů potenciálního (nebo zkušeného) podvodu, související expozice vůči organizaci, související kontroly a veškerá opatření přijatá v důsledku toho.

Pravidla správy a řízení NYSE

New York Stock Exchange vyžaduje výborů pro audit svých společností kótovaných na burze na „projednání politiky ve vztahu k posouzení rizik a řízení rizik .“ Související komentář pokračuje: „I když je úkolem generálního ředitele a vrcholového vedení posoudit a řídit vystavení společnosti riziku, musí výbor pro audit projednat pokyny a zásady, kterými se bude řídit proces, kterým se to řeší. Výbor pro audit by měl projednat hlavní expozice finančního rizika společnosti a kroky, které vedení přijalo ke sledování a kontrole těchto expozic.Výbor pro audit nemusí být jediným orgánem odpovědným za hodnocení a řízení rizik, ale jak je uvedeno výše, výbor musí projednat pokyny a zásady řídit proces, kterým se provádí hodnocení a řízení rizik. Mnoho společností, zejména finančních společností, řídí a hodnotí svá rizika prostřednictvím jiných mechanismů než výbor pro audit. Procesy, které tyto společnosti mají, by měly být obecným způsobem přezkoumány auditem výboru, ale nemusí být nahrazeny výborem pro audit. “

Hodnocení ERM a podnikového dluhu

Standard & Poor's (S&P), agentura pro hodnocení dluhu, plánuje zahrnout do procesu hodnocení společnosti řadu otázek týkajících se řízení rizik. To bude zavedeno na finanční společnosti v roce 2007. Výsledky tohoto šetření jsou jedním z mnoha faktorů uvažovaných v ratingu dluhu, který má odpovídající dopad na úrokové sazby, které věřitelé účtují společnostem za půjčky nebo dluhopisy. 7. května 2008, S&P také oznámila, že začne zahrnovat hodnocení ERM do svých hodnocení pro nefinanční společnosti počínaje rokem 2009, s počátečními připomínkami ve svých zprávách během 4. čtvrtletí 2008.

Standardy výkonu IFC

Standardy výkonnosti International Finance Corporation se zaměřují na řízení zdravotních, bezpečnostních, environmentálních a sociálních rizik a dopadů. Třetí vydání bylo vydáno 1. ledna 2012 po dvouletém procesu vyjednávání se soukromým sektorem, vládami a organizacemi občanské společnosti. Byly přijaty Equator Principles Banks, konsorciem více než 118 komerčních bank ve 37 zemích.

Ochrana osobních údajů

Pravidla ochrany osobních údajů, jako je obecné nařízení Evropské unie o ochraně osobních údajů , stále častěji předpokládají značné sankce za nedodržení adekvátní ochrany osobních údajů jednotlivců, jako jsou jména, e-mailové adresy a osobní finanční údaje, nebo upozornění postižených osob na údaje je narušeno soukromí. Nařízení EU vyžaduje, aby jakákoli organizace-včetně organizací se sídlem mimo EU-jmenovala pověřence pro ochranu osobních údajů, který bude podávat zprávy nejvyššímu vedení, pokud bude nakládat s osobními údaji kohokoli, kdo žije v EU.

Pojistněmatematická odpověď

Úrazová pojistněmatematická společnost

V roce 2003 vydal výbor pro řízení podnikových rizik Úrazové pojistně matematické společnosti (CAS) přehled o ERM. Tento dokument představil vývoj, odůvodnění, definice a rámce pro ERM z pojistněmatematické perspektivy a zahrnoval také slovník, koncepční a technické základy, skutečnou praxi a aplikace a případové studie.

CAS má specifikované stanovené cíle ERM, včetně toho, že je „předním mezinárodním dodavatelem vzdělávacích materiálů týkajících se řízení podnikových rizik (ERM) v oblasti pojištění úrazů majetku“, a v tomto ohledu sponzoruje výzkum, vývoj a školení pojistných matematiků. CAS upustil od vydání vlastního pověření; místo toho v roce 2007 rada CAS rozhodla, že by se CAS měla podílet na iniciativě vyvinout globální označení ERM a učinit konečné rozhodnutí někdy později.

Společnost aktuárů

V roce 2007 společnost aktuárů vyvinula pověření CERA (Chartered Enterprise Risk Analyst) v reakci na rostoucí oblast řízení podnikových rizik. Jedná se o první nové profesní pověření, které SOA zavedla od roku 1949. Studie CERA se zaměřuje na to, jak se různá rizika, včetně provozních, investičních, strategických a reputačních, spojují s působením na organizace. CERA fungují v prostředí mimo pojistný, zajišťovací a poradenský trh, včetně širších finančních služeb, energetiky, dopravy, médií, technologií, výroby a zdravotnictví.

Dokončení kurikula CERA, které kombinuje základní pojistně matematickou vědu, principy ERM a kurz profesionality, trvá přibližně tři až čtyři roky. K získání pověření CERA musí uchazeči absolvovat pět zkoušek, splnit požadavek na vzdělání, absolvovat jeden online kurz a zúčastnit se jednoho osobního kurzu profesionality.

CERA Global

Zpočátku byly všechny CERA členy Společnosti pojistných matematiků, ale v roce 2009 se označení CERA stalo globálním specializovaným odborným pověřením, které bylo udělováno a regulováno více pojistněmatematickými orgány.

Viz také

Reference

externí odkazy

• Thomas Stanton (18. února 2017). „Řízení podnikových rizik“ . YouTube . TEDxJHUDC.
• Airmic / Alarm / IRM (2010) „Strukturovaný přístup k řízení podnikových rizik (ERM) a požadavky ISO 31000“
• Hopkin, Paul „Základy řízení rizik 2. vydání“ Kogan-Page (2012) ISBN  978-0-7494-6539-1