ГОСТ Р 71034-2023 Менеджмент риска. Риск-аппетит и ключевые индикаторы риска

ФЕДЕРАЛЬНОЕ АГЕНТСТВО

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСТР

71034—

2023

МЕНЕДЖМЕНТ РИСКА

Риск-аппетит и ключевые индикаторы риска

Издание официальное

Москва

Российский институт стандартизации

2023

ГОСТ Р 71034—2023

Предисловие

1 РАЗРАБОТАН Ассоциацией риск-менеджмента «Русское Общество Управления Рисками» (АРМ «РусРиск»)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 октября 2023 г. № 1257-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

©Оформление. ФГБУ «Институт стандартизации», 2023

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

ГОСТ Р 71034—2023

Содержание

1 Область применения..................................................................1

2 Нормативные ссылки..................................................................1

3 Термины и определения.

4 Концепция риск-аппетита

го го

5 Внедрение риск-аппетита..............................................................3

III

ГОСТ Р 71034—2023

Введение

Каждая организация приходит к пониманию, что ведение деятельности невозможно без работы с риском: отказ от этого затрудняет своевременную подготовку к изменениям внешней и внутренней среды, делает организацию более уязвимой для угроз и приводит к упущенным возможностям. Поэтому одной из ключевых задач для любой организации является понимание величины риска, приемлемой для поддержания роста и развития организации. Обладая этим знанием, организация может точнее определить, какие стратегии принять и какие цели преследовать. В то же время данная величина риска не остается статичной и также может частично или полностью меняться под воздействием внешней и внутренней среды, что означает необходимость ее регулярного мониторинга и пересмотра. Например, во время роста экономики успешная и растущая организация может быть более готова принять определенные риски потерь, чем при экономическом спаде и ухудшении деловых перспектив.

Фактически, каждая организация сталкивается с этой задачей в рамках своей деятельности и в том или ином виде определяет для себя аспекты этой величины по материальным для бизнеса вопросам, таким как лимиты по доверенности, критерии существенности сделок, условия кредитования и т.д. Однако такой подход является фрагментарным, так как не дает получить достаточное представление о приемлемости риска для организации в целом, не предполагает систематизацию решения данной задачи.

Наиболее часто используемым инструментом для комплексного определения, анализа и пересмотра такой величины риска явлется концепция риск-аппетита и система его каскадирования на более низкие уровни принятия решений, включая показатели толерантности к риску, лимиты и ключевые индикаторы на отдельные риски. Риск-аппетит также является критерием (критериями), используемым при решениях, связанных с принятием риска, согласно ГОСТ Р ИСО 31000—2019 (пункт 6.3.4) и ГОСТ Р 58771—2019 (подпункт 6.1.5.2). Чтобы добиться результатов в применении риск-аппетита, организациям следует смотреть на него через призму собственных ценнностей и целей, которые соответствуют ожидаемым результатам деятельности. Данный подход позволяет учитывать в риск-аппетите ожидания органов управления¹) и интегрировать его в организационную культуру.

Внедрение системы каскадирования риск-аппетита неразрывно связано с использованием такого инструмента мониторинга и пересмотра рисков, как ключевые индикаторы риска, которые могут быть использованы для прогнозирования и раннего предупреждения возможных изменений рисков, способных привести к превышению установленных показателей толерантности к риску и риск-аппетита в целом.

Настоящий стандарт описывает концепцию риск-аппетита как инструмент определения приемлемой величины риска организации, включая подходы и взаимодействие в рамках его определения и применения, и систему его каскадирования, включая подходы к определению и использованию в ее рамках ключевых индикаторов риска.

¹> Для целей настоящего стандарта под органами управления понимаются совет директоров/наблюдатель-ный совет и исполнительные органы.

IV

ГОСТ Р 71034—2023

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ РИСКА

Риск-аппетит и ключевые индикаторы риска

Risk management. Risk appetite and key risk indicators

Дата введения — 2024—03—01

1 Область применения

В настоящем стандарте содержатся руководящие указания по использованию риск-аппетита в рамках менеджмента риска, а также ключевых индикаторов риска в контексте системы каскадирования риск-аппетита. Эти руководящие указания могут быть адаптированы для любой организации вне зависимости от рода ее деятельности. При этом законодательством Российской Федерации, органами регулирования и надзора в рамках отдельных направлений деятельности организации и/или отраслью могут быть установлены отдельные требования к определению, расчету и/или мониторингу риск-аппетита и ключевых индикаторов риска. Организациям следует применять настоящий стандарт с учетом специального регулирования в части, не противоречащей требованиям такого регулирования.

Настоящий стандарт описывает общие подходы к использованию риск-аппетита, а также ключевых индикаторов риска в контексте системы каскадирования риск-аппетита и не ограничивается конкретной отраслью или видом деятельности.

Настоящий стандарт может использоваться на протяжении всего периода существования организации и применяться к любой деятельности, включая процесс принятия решений на всех уровнях управления.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 51897 (ISO Guide 73:2009) Менеджмент риска. Термины и определения

ГОСТ Р 58771—2019 Менеджмент риска. Технологии оценки риска

ГОСТ Р ИСО 31000—2019 Менеджмент риска. Принципы и руководство

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

Издание официальное

1

ГОСТ Р 71034—2023

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями:

3.1 лимит на риск: Пороговая величина уровня риска, позволяющая отслеживать, что остаточный риск не превышает установленную толерантность к риску.

3.2 емкость риска: Максимальный риск, который организация может принять с учетом своих финансовых и операционных возможностей.

Примечание — Для коммерческой организации емкость риска допускается выражать как максимально возможную емкость, которая может быть обеспечена активами организации, или как крупнейшие финансовые убытки, которые организация способна понести без объявления банкротства.

3.3 ключевой индикатор риска; КИР: Показатель, устанавливаемый к риску (количественный либо качественный) и позволяющий установить факт реализации риска или предрисковое состояние (характеризующий признаки реализации и/или увеличения уровня риска).

3.4 ключевой показатель эффективности: Критерий эффективности или мера измерения достижения целей.

3.5 заявление о риск-аппетите: Форма выражения (определения) риск-аппетита в виде качественной и/или количественной оценки по отношению к организации в целом или к ее отдельному направлению деятельности.

4 Концепция риск-аппетита

4.1 Риск-аппетит и деятельность организации

Риск-аппетит формирует единый комплексный подход к определению приемлемости рисков для организации и устанавливает четкие, понятные и сбалансированные между собой ориентиры (но не подробные инструкции к действию) для принятия органами управления и сотрудниками решений о том, что допустимо, приемлемо или неприемлемо для организации в процессе реализации своей миссии и достижения поставленных целей. Ориентиры выбираются таким образом, чтобы при принятии решений исключалась неоднозначность толкования риск-аппетита и не оставалось сомнений в его уровне. В широком смысле риск-аппетит определяет то, как организация распределяет ресурсы в целом и по отдельным направлениям (областям деятельности, бизнес-процессам, бизнес-единицам, проектам и т. д.). Цель состоит в согласовании распределения ресурсов с ценностями организации, ее принципами и правилами, устанавливаемыми первичными источниками информации — основой для определения риск-аппетита (представлены в пункте 5.1). Поэтому при распределении ресурсов между направлениями менеджмент учитывает риск-аппетит организации и планы по созданию стоимости в рамках данных направлений. Например, менеджмент может решить выделить больше ресурсов на достижение биз-нес-целей, для которых установлен более низкий риск-аппетит (т. е. более консервативные ориентиры) по сравнению с бизнес-целями, для которых установлен более высокий риск-аппетит (т.е. более амбициозные ориентиры). Организация стремится обеспечить согласованность работы своих сотрудников, процессов и инфраструктуры для успешной реализации стратегии и бизнес-целей, одновременно оставаясь в рамках своего риск-аппетита. Риск-аппетит также отражает культуру организации и ее отношение к риску. Более того, если организация намерена изменить какой-то аспект культуры, определение четкого риск-аппетита в части этого аспекта может помочь создать и укрепить желаемую культуру.

Применение риск-аппетита на практике предполагает сочетание двух подходов. Первый подход фокусируется на мониторинге результатов деятельности и соблюдения риск-аппетита для обеспечения обратной связи о том, как работает организация. Организации часто используют риск-аппетит для формирования допустимых «границ» риска. Анализ риск-аппетита и системы его каскадирования, идентифицированных рисков, ключевых показателей эффективности, целевых и фактических значений результатов деятельности позволяет менеджменту контролировать, находятся ли остаточные риски в рамках риск-аппетита. Такой мониторинг может служить отправной точкой для дискуссий о том, когда следует пересмотреть принятые решения и, возможно, риск-аппетит или стратегию. Второй подход заключается в применении риск-аппетита в контексте принятия решений, что направлено на повышение детальности анализа и проработки выбранной стратегии и целей, а также на улучшение способности и возможности организации управлять деятельностью в рамках параметров приемлемого уровня риска.

2

ГОСТ Р 71034—2023

Фактически второй подход является более упреждающим, т. к. направлен на принятие решений с учетом рисков, которые могут возникнуть в будущем. Это позволяет организации быть более устойчивой к будущим изменениям и сбоям. И наоборот, первый подход носит реактивный характер, предполагающий реагирование только тогда, когда результаты реализации рисков влияют на эффективность деятельности. Сочетание данных подходов позволяет менеджменту и совету директоров/наблюдатель-ному совету организации (далее — совет) учитывать риск-аппетит при принятии решений и на периодической основе работать с подробными показателями, позволяющими отслеживать принятые риски, их динамику и реализацию.

4.2 Участие органов управления

Риск-аппетит определяется на уровне совета¹) как путем формирования советом собственных предложений (сверху вниз), так и путем подготовки предложений со стороны менеджмента и вынесения их на рассмотрение совета (снизу вверх). В любом случае неотъемлемым условием успешного применения риск-аппетита является его принятие (подтверждение) и учет в рамках деятельности со стороны совета. В последующем менеджмент под надзором совета непрерывно отслеживает соблюдение риск-аппетита и системы его каскадирования на всех уровнях и при необходимости вносит в них изменения в свете новых и возникающих факторов. Менеджменту следует распространять информацию о согласованном риск-аппетите с разным уровнем детализации по всей организации. Тем самым менеджмент поддерживает культуру, которая отражает восприятие риска органов управления, подчеркивает важность риск-аппетита и помогает удерживать тех, кто вовлечен в принятие решений, в рамках риск-аппетита и системы его каскадирования. Органы управления осуществляют надзор за распространением информации о принятом риск-аппетите до всех сотрудников организации в рамках как вертикальной (сверху вниз и снизу вверх), так и горизонтальной (между подразделениями) коммуникации.

Совету также следует осуществлять периодический комплексный пересмотр риск-аппетита и его каскадирования до показателей толерантности к риску на регулярной основе (ежегодно или чаще) для оценки их соответствия текущей ситуации с учетом изменений внешней и внутренней среды, готовности организации принимать риск за прошедшее время, пересмотра стратегии, бизнес-планов, ключевых показателей деятельности организации.

5 Внедрение риск-аппетита

5.1 Определение риск-аппетита

Риск-аппетит определяется исходя из миссии, видения и основных ценностей организации, а также ее предыдущих стратегий развития. Определение риск-аппетита может предшествовать разработке новой/актуализации текущей стратегии — в таком случае стратегия разрабатывается/актуализируется с учетом установленного риск-аппетита; либо выполняться одновременно с разработкой стратегии и соответствующим взаимным уточнением. Во внимание также следует принимать емкость риска: как правило, риск-аппетит следует определять на уровне, не превышающем емкость риска.

Риск-аппетит может быть выражен качественно и/или количественно. Качественное выражение риск-аппетита подразумевает, что риск-аппетит не имеет четкого количественного измерения, то есть представляет собой общее заявление или ряд заявлений. Количественный риск-аппетит может быть выражен посредством целевого показателя, диапазона значений, верхнего или нижнего предела. Для некоторых организаций может быть достаточно определить риск-аппетит только в качественном выражении, таком как текстовая формулировка, в т. ч. «нулевая толерантность²)», либо описательная или ранговая шкала, например, «высокий/средний/низкий риск-аппетит» (с описанием критериев отнесения к высокому/среднему/низкому уровню), в то время как другие предпочитают использовать количественное или комбинированное выражение, переходя к отдельным расчетам и прогнозированию/моделиро-ванию показателей, сценарному анализу. Риск-аппетит становится более точным в любом выражении по мере накопления организациями опыта в области менеджмента риска и периодического пересмотра заявлений, определенных ими ранее.

¹) Также возможно определение риск-аппетита на уровне акционеров (участников) вместо совета исходя из необходимости и/или особенностей корпоративного управления организации.

²) Под «нулевой толерантностью» понимается риск-аппетит в форме текстового заявления о недопустимости несоблюдения какого-либо ориентира (например, требований в области противодействия коррупции) или наступления какого-то события.

3

ГОСТ Р 71034—2023

Риск-аппетит может быть определен в разрезе различных стратегических, функциональных и организационных направлений. Полноту включения данных направлений (то есть покрытия деятельности организации) при определении риск-аппетита устанавливает совет с учетом его восприятия риска и специфики организации (структуры, бизнес-процессов, модели управления и т. д.). Подход к формулированию и/или расчету риск-аппетита также зависит от специфики организации и зрелости и специфики менеджмента риска в ней. Не существует универсального риск-аппетита, который подходит для всех организаций, как и универсального метода его определения, однако можно выделить ряд ключевых подходов по определению риск-аппетита, которые могут по отдельности или в комбинации быть использованными любой организацией на основе:

- определения применимых задач, целей, показателей (требований и их параметров), задаваемых для организации применимыми нормативно-правовыми актами Российской Федерации, международными нормативными актами, внутренними нормативными документами, акционерами (участниками), правоприменительной практикой, разъяснениями уполномоченных органов, договорными отношениями, добровольно взятыми на себя обязательствами;

- внешнего анализа по различным параметрам, показателям и статистическим данным отрасли и ее участников, иных сопоставимых организаций (по выбранному критерию либо набору критериев, таким как выручка, размер активов, численность штата, регион присутствия и т. д.) и/или их отдельных бизнес-процессов, проектов (внешний бенчмаркинг), и внутреннего анализа по различным параметрам, показателям и статистическим данным, сопоставимым подразделениям, филиалам, дочерним и зависимым обществам (внутренний бенчмаркинг);

- оценки возможных негативных изменений основного финансового показателя (либо нескольких таких показателей) организации.

5.2 Определение толерантности к риску

Доведение риск-аппетита с корпоративного уровня (уровня органов управления) до нижестоящих уровней принятия решений необходимо осуществлять системно для прозрачности понимания сотрудниками своей ответственности и полномочий. Для этого рекомендуется выбрать подход к его каскадированию по уровням организации. Возможная система каскадирования представлена на рисунке 1.

4

Миссия, видение, основные ценности, предыдущие стратегии, емкость риска

Рисунок 1 — Возможная система каскадирования риск-аппетита

ГОСТ Р 71034—2023

Первым уровнем каскадирования является определение показателей толерантности к риску — измеримых и контролируемых метрик отклонения от целей бизнеса, которые организация и заинтересованные стороны готовы принять в случае реализации остаточных рисков. Данные метрики могут иметь один или несколько уровней детализации (например, отклонение от выручки в целом/по отдельным сегментам бизнеса). Толерантность к риску может определяться на основе анализа прошлых и текущих целевых показателей (стратегии, бюджета, программ, планов, проектов и т. д.) и их фактического достижения и может быть выражена посредством диапазона значений верхнего или нижнего предела целевого показателя, как правило в той же величине, что и сам целевой показатель.

При выборе показателей толерантности к риску целесообразно рассмотреть возможность использования любых параметров деятельности организации, включая:

- стратегические параметры, такие как показатели стратегических проектов и капитальных инвестиций;

- финансовые параметры, такие как выручка, доходность активов, доходность капитала, целевой рейтинг кредитоспособности и целевое соотношение заемного и собственного капитала;

- операционные параметры, такие как объем производства, реализация продукции, размер издержек, уровень цифровизации бизнеса, качество и взаимодействие с клиентами;

- ESG-параметры¹), такие как показатели выбросов производства, объем инвестиций в вопросы ESG-повесткиЧ целевые показатели безопасности, показатели энергоэффективности.

5.3 Разработка лимитов на риск и ключевых индикаторов риска

Вторым уровнем каскадирования является разработка лимитов на риск и/или ключевых индикаторов риска, цель которых — выстроить и показать прямую взаимосвязь влияния остаточных рисков на достижение целевых показателей бизнеса и риск-аппетит, а также отношение организации к рискам. Лимит на риск может быть определен как отдельный уровень риска, который будет измеряться по установленной шкале оценки рисков и использоваться в качестве целевого уровня риска (т. е. уровня, который не будет превышен остаточным риском). КИР возможно определить как качественную или количественную метрику, предупреждающую о возможном наступлении риска либо отражающую факт его наступления. Конкретные значения и в том, и в другом случае определяются организацией исходя из степени возможного влияния идентифицированных рисков (групп рисков) на установленные показатели толерантности к риску.

В таблице 1 представлен пример определения риск-аппетита и его последующего каскадирования до лимита на риск и КИР. Лимит на риск «Невыполнение обязательств со стороны контрагента» превышен, соответственно, данный риск оказывает существенное влияние на установленную толерантность и, потенциально, на соблюдение риск-аппетита. Требуется разработка и внедрение дополнительных мероприятий по управлению риском и незамедлительное информирование органов управления.

Таблица 1 — Пример определения и каскадирования риск-аппетита

Л Под ESG-параметрами и ESG-повесткой понимаются соответственно параметры и повестка, касающиеся факторов, связанных с окружающей средой (в том числе экологических и связанных с изменением климата) (environmental — Е), обществом (социальных) (social — S) и корпоративным управлением (governance — G).

5

ГОСТ Р 71034—2023

Окончание таблицы 1

Аналогично риск-аппетиту не существует универсальных КИР, которые были бы применимы ко всем рискам и/или ко всем организациям. КИР могут определяться с учетом следующих подходов:

- в качестве КИР используются любые, в т. ч. уже существующие показатели деятельности организации (ключевые показатели эффективности, бюджетные лимиты, сроки сдачи работ и др.), а также показатели, характеризующие существенное внешнее воздействие на деятельность организации в целом либо отдельного подразделения, бизнес-процесса, проекта (санкции и предписания со стороны контрольно-надзорных органов, санкции международных организаций и других стран, судебные иски/ претензии контрагентов и др.);

- в зависимости от установленного порога/параметра один и тот же КИР может как предупреждать о возможном наступлении риска, так и отражать факт его наступления, поэтому по мере возможности для каждого КИР предпочтительно определять несколько пороговых значений, позволяющих установить как факт реализации риска, так и предрисковое состояние;

- реализация КИР автоматически инициирует рассмотрение необходимости изменения текущих мероприятий по управлению риском с точки зрения соблюдения соответствующего показателя толерантности к риску;

- при формировании КИР целесообразно проанализировать релевантные данные, доступные в ИТ-системах организации, для целей автоматизации их сбора и обработки.

КИР следует разрабатывать таким образом, чтобы они соответствовали ряду характеристик:

- измеримости КИР в абсолютном или относительном выражении;

- своевременности и актуальности расчета КИР для заданного риска, а также для соответствующего показателя толерантности к риску;

- однозначности и понятности расчета, направленности КИР, его источников данных;

- экономической эффективности КИР (потенциальный эффект от мониторинга КИР превосходит затраты на выполнение мониторинга).

КИР могут быть интегрированы в показатели толерантности к риску либо иные уже существующие показатели деятельности организации на уровне бизнес-процессов, проектов, отдельных функций и т. д., что позволяет минимизировать затраты по их разработке, а также повысить эффективность менеджмента риска в целом. Для интеграции КИР следует определить в существующих показателях допустимое отклонение (в случае показателей толерантности к риску — дополнительное, промежуточное пороговое значение), т. е. границы, превышение или недостижение которых будет сигнализировать о возможности реализации риска при отсутствии своевременного воздействия на него. Например, показатель частоты простоя ИТ-системы под нагрузкой может являться КИР недоступности ИТ-инфраструктуры: следует определить, какая частота простоя недопустима для бесперебойной работы инфраструктуры, а от этого значения — определить показатель частоты простоя, превышение которого будет сигнализировать о необходимости принятия неотложных действий для недопущения реализации риска недоступности ИТ-инфраструктуры. Таким образом, будет определен коридор, в рамках которого можно осуществить своевременное воздействие на риск; кроме того, появляется возможность проводить тренд-анализ данного показателя на заданном временном отрезке для выявления аномалий, причин роста частоты простоев под нагрузкой и др.

6

ГОСТ Р 71034—2023

УДК 658.5.011:006.354 ОКС 03.100.01

Ключевые слова: риск, менеджмент риска, риск-аппетит, толерантность к риску, лимит на риск, ключевой индикатор риска

7

Редактор М.В. Митрофанова

Технический редактор В.Н. Прусакова

Корректор М.В. Бучная

Компьютерная верстка Е.О. Асташина

Сдано в набор 31.10.2023. Подписано в печать 29.11.2023. Формат 60x847s. Гарнитура Ариал.

Усл. печ. л. 1,40. Уч.-изд. л. 1,12.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

Создано в единичном исполнении в ФГБУ «Институт стандартизации» , 117418 Москва, Нахимовский пр-т, д. 31, к. 2.