The Internet belongs to everyone. Let’s keep it that way.

Protect Net Neutrality
Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Kockázatkezelési Modellek (COSO vs. ISO 31000)

2014. április 15-i IIR Magyarország Belső Ellenőrzési Konferencián megtartott előadás kibővített változata
by

János Ivanyos

on 6 September 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Kockázatkezelési Modellek (COSO vs. ISO 31000)

ÉRINTETT TÉMAKÖRÖK:
A célok által vezérelt és a kontroll-centrikus kockázatkezelési megközelítések és a kapcsolódó szerepek
A kockázatkezelési modellek alkalmazása a vállalatirányítási rendszer fejlesztésére
A kockázatvállalással kapcsolatos vezetői döntések támogatása a kockázati kritériumok alkalmazásával
A kockázatkezelési rendszerek megfelelőségének vizsgálata
Tanúsíthatóak-e a kockázatkezelési rendszerek?

A kockázatvállalással kapcsolatos vezetői döntések támogatása a kockázati kritériumok alkalmazásával
Köszönöm a figyelmet!

ivanyos@trusted.hu

http://www.trusted.hu



Előadó: Ivanyos János
Trusted Business Partners Kft. ügyvezetője
Magyar Közgazdasági Társaság Felelős Vállalatirányítás szakosztályának elnökségi tagja és titkára

BELSŐ ELLENŐRZÉS 2014
A belső audit szerepkörének változásai és kihívásai
2014. április 15-16. IIR Magyarország

KOCKÁZAT= BIZONYTALANSÁG HATÁSA A CÉLJAINKRA
ISO 31000:2009 Risk Management
COSO ERM
Szerepek és felelősségek (COSO ERM)
Védelmi(?) vonalak
Gyakran alkalmazott fogalmak
Van-e a szervezetnek aktuális, pontos és átfogó (vagyis minden működési illetve szervezeti szintre kiterjedő) értelmezése a kockázatokról?
A kockázatvállalás szervezet által alkalmazott szintjei és határai elfogadhatók-e az érintett felek számára?
A szervezet kockázatai az előírt kritériumokkal jellemezhető határokon belül vannak-e?
A kockázatkezelés folyamatos javítása a szervezet teljesítménymutatóinak tervezett illetve mért értékeinek összehasonlító elemzését és felülvizsgálatát követően végrehajtásra kerülő, a folyamatokat, rendszereket, erőforrásokat, képességeket és szakértelmet érintő módosítások által valósul meg.

Ehhez mind a szervezeti szintek, mind az egyes vezetők teljesítményét mérhetővé és átláthatóvá tevő olyan teljesítménymutatók kialakítása szükséges, melyek alkalmazásával bemutatható illetve megfelelő jelentés formájában akár közzé is tehető a szervezet valós teljesítménye. A teljesítménymutatók rendszeres (pl. évente legalább egyszeri, vagy az adott szervezeti szint tervezési ciklusai szerint előírt) elemzését követően kerülhet sor a működési, támogató és irányítási folyamatok felülvizsgálatára, valamint a következő időszak(ok) teljesítménycéljainak kitűzésére.

A kockázatkezelés teljesítményértékelésének a szervezet egészére vonatkozó, valamint a szervezeti egységekre és személyekre lebontott értékelések szerves részeként kell megvalósulnia.

A kockázatkezelés folyamatos javításának hiányosságai jellemzően a szervezeti és működési szinteket átfogó keretrendszert, ezen belül elsősorban az irányítási szerepekhez rendelt monitorozási és felülvizsgálati tevékenységeket érintő, a változásokra és a problémákra való felsővezetői reagálás késedelméből illetve hiányából, vagy a szükséges erőforrások nem kellő mértékben és/vagy időben történő rendelkezésre bocsátásából származnak, melyek gyakran a meghirdetett kockázatkezelési politikával ellenkező üzenetet is hordoznak.

A kockázatkezelési tevékenységek nem véletlenszerűen, hanem tudatosan, az egyéb felelősségekkel együtt szabatosan előírt munkaköri szabályok szerint kell, hogy megvalósuljanak. A kockázatkezelés eredményes megvalósulása érdekében teljes körűen előírásra és felvállalásra kell, hogy kerüljenek a kockázatokért, a kockázatkezelési intézkedésekért, továbbá a kontrollokért való felelősség szabályai. A kinevezett személyeknek teljes mértékben fel kell vállalniuk ezeket a felelősségeket, ugyanakkor a kinevezéshez biztosítani szükséges azt is, hogy rendelkezzenek a megfelelő szaktudással és erőforrásokkal ahhoz, hogy a felhatalmazás alapján időben ellenőrizhessék a kontrollokat, nyomon követhessék a kockázatokat, intézkedésekkel javíthassák a kockázati állapotokat, valamint eredményesen kommunikálhassanak ezekről mind a külső, mind pedig a belső érintettek irányába.

A felhatalmazás és felelősség szabályainak világos és egyértelmű megfogalmazása mellett, amennyiben ez lehetséges, olyan teljesítménykritériumokat is célszerű előírni, amelyeket a kockázatkezelés teljesítményértékelésekor közvetlenül fel lehet használni. A felelősségi szabályok formális elfogadtatásán túl, azok mind teljesebb megértését és a szükséges képzési lehetőségeket is biztosítani szükséges, csakúgy, mint a jó példák és tapasztalatok érintettek részére történő megosztását.


A szervezet és a működés minden szintjén a döntések meghozatalakor nyilvánvalóan mérlegelésre kerülnek a kockázatok, és így többé vagy kevésbé kiterjedt módon kockázatkezelésre is sor kerül. A kockázatkezelés megvalósulásának ténye és mértéke nyomon követhető a döntéshozatali eljárás dokumentálása által. A jelentős döntések előkészítési és döntéshozatali lépései során a kockázatkezelés összes (pl. szabályzatban előírt) eleme is megjelenhet, sőt a döntéshozók maguk is értékelhetik a kockázatkezelés megvalósulásának megfelelőségét, mely befolyással lehet a meghozott döntéseikre. E tekintetben a szervezet irányításának eredményessége közvetlen összefüggésben áll az alkalmazott kockázatkezelési tevékenységek megbízhatóságával.

Ahogy minden döntés (vagy annak elhalasztása) meglévő kockázatokat módosít és/vagy új kockázatokat generál, fontos tudatosítani, hogy az egyes működési és szervezeti szintek döntéshozatali eljárásaiban a kockázatkezelés elemeinek nem kellő mértékű vagy hiányos alkalmazása veszélyezteti a kockázatkezelés eredményességi kritériumainak teljesülését.
Az egyes döntéshozatali eljárások során alkalmazandó kockázatkezelés módját és mértékét a szervezet egészére kidolgozott és rendszeresen felülvizsgált kockázatkezelési keretrendszer kapcsán célszerű eltervezni és szükség esetén szabályzatban is rögzíteni. Figyelembe kell venni ugyanakkor, hogy a szabályozás vagy dokumentálás ténye önmagában nem elegendő, csak az összes szervezeti és működési szint döntéshozatali eljárásaiban - akár egyedileg eltérően előírt képességszinteken - történő végrehajtás megfelelősége vehető számításba. Ugyancsak fontos szempont az is, hogy a kockázatkezelési eljárás alkalmazásának előírása ne az adott szervezeti vagy működési szint döntési hatásköreinek és a felelősségek korlátozását célozza, hanem a kockázatkezelés eszköztárával a megalapozott és jó döntések meghozatalát segítse elő.
A kockázatkezelés a külső és belső érintettekkel való folyamatos kommunikációra, párbeszédre és konzultációra épül. A szervezet működése szempontjából az érintettek akár egymástól eltérő céljainak és szempontjainak figyelembe vételét biztosító többirányú kommunikáció a kockázatkezelés fontos eleme és szerves része, mely nemcsak a kockázatok meghatározásánál és értékelésénél, hanem a kockázatkezelési intézkedések megtervezésekor, a végrehajtás nyomon követésekor és az eredmények felülvizsgálatakor is nélkülözhetetlen.

A felelős irányítás biztosítja a kockázatkezelés szükséges mértékű átláthatóságát az érintettek részére, ugyanakkor a jelentős kockázatokról és a kockázatkezelés megvalósulásáról szóló rendszeres és átfogó, külső illetve belső jelentések elkészítése, valamint az érdekeltek visszajelzéseinek feldolgozása jelentősen hozzájárul a szervezet irányítási rendszerének eredményes és elismert működéséhez is.

Ahogy az előírt és megvalósuló kockázatkezelési eljárások különbözhetnek az egyes szervezeti és működési szintek irányítása kapcsán, az érintettek köre, a kapcsolattartás módja és gyakorisága is eltérő lehet. Például egy konkrét megrendelés szerződésszerinti teljesítése és egy nagyobb beruházási projekt lebonyolítása esetében a munkakörülményekkel, a finanszírozással, a jövedelmezőséggel, a lakossági igényekkel, stb. kapcsolatos specifikus körülmények a kockázatok eltérő módon történő meghatározását, bemutatását, valamint a szükséges partnerekkel, munkatársakkal, felsővezetőkkel, hitelezőkkel, lakossággal, stb. lefolytatott párbeszédek különböző típusait teszik szükségessé.


Az irányítási rendszer és folyamatainak kialakítása a szervezeti célok elérésének optimális kereteit kell, hogy biztosítsa. A bizonytalanság szervezeti célokra való hatása, vagyis a kockázatok vonatkozásában is az optimális szervezeti keretek kialakítása és a kockázatkezelés szervezeti és működési folyamatokba való integrálása a feladat. E tekintetben a kockázatkezelés egyes szerepköreiben érintett vezetők cselekedetei és nyilatkozatai igazolják vissza a kockázatkezelésnek az irányítási rendszerben betöltött azon súlyát és szerepét, melyet ők szükségesnek és elégségesnek tartanak a szervezeti célok teljesüléséhez.

A kockázatkezelési tevékenységeknek a szervezet irányítási rendszerébe történő integrálása az elfogadott kockázatkezelési alapelvek mentén tervszerűen kialakított és folyamatosan továbbfejlesztett kockázatkezelési keretrendszer által előírt és támogatott folyamatok alapján a szervezeti és működési szintekhez igazított kockázatkezelési eljárások vezetői döntéshozatalban történő kiterjedt alkalmazásával valósul meg.

A kockázatkezelésnek a szervezet irányítási rendszerébe történő integrálásának az is előfeltétele, hogy a kialakított irányítási rendszer és az irányítási folyamatok összhangban legyenek az elfogadott kockázatkezelési alapelvekkel.
A szervezet irányítási rendszerébe való teljes integráció
Folyamatos
kommunikáció
az érintettekkel
A kockázatkezelés alkalmazása minden döntéshozatali eljárásban
A kockázatokért való személyes felelősség teljes körű szabályozása
A kockázatkezelés folyamatos javítása
A kockázatkezelés eredményessége
Kockázatkezelési modellek alkamazása:
COSO vs ISO 31000 szabvány

Risk Management forgatókönyvek alkalmazása a vállalatirányítási rendszer fejlesztésére

Az irányító (és/vagy felügyeleti) testület felelősségi körébe tartoznak - az egyéb irányítási és felügyeleti tevékenységek mellett - az alábbi, kockázatkezeléssel összefüggő feladatok:

A kockázatkezelési politika vagy annak megfelelő szabályozás elfogadása, hatályba léptetése és az alkalmazás feltételeinek biztosítása.
A kockázatkezelési politika vonatkozásában a szervezet egészére alkalmazandó kockázatkezelési alapelvek, kockázat-felmérési módszerek, és a stratégiai célokra vonatkozó kockázatviselési szintek és kockázati toleranciák érintett felek szempontjainak figyelembe vételével történő meghatározása, illetve jóváhagyása.
Annak értékelése, hogy a szervezet stratégiai tervének kialakításakor illetve felülvizsgálatakor az érintett felek szempontjainak mérlegelése és a kockázatok figyelembe vétele összhangban van-e az elérendő célokkal.
Annak felmérése, hogy a szervezeti és működési szintekre lebontott célok vonatkozásában a kockázatviselési szintek és kockázati toleranciák a szervezet működési modelljének és stratégiájának megfelelően kerültek-e meghatározásra és alkalmazásra.
Annak értékelése, hogy a felső szintű vezetés eredményes és célszerű irányítási folyamatokat alakított-e ki a kockázatok olyan kezelésére, monitorozására és szükséges mérséklésére, melyek megfelelőek a szervezet méretének, várható növekedési pályájának, működési modelljének, stratégiájának és az érdekelt felek elvárásainak.
Annak felmérése, hogy a szervezet kockázatkezelési folyamatai képesek-e az irányító testület részére megbízható információt nyújtani a fő kockázatok vonatkozásában, illetve a testületi szinthez delegált kockázatkezelési intézkedésekkel kapcsolatosan, ideértve a szervezet hírnevével, értékteremtő képességével és a potenciális értékvesztéshez kapcsolódó kockázatokat.
Az irányító testület szintjére delegált kockázatfelmérések és a szükséges kockázatkezelési intézkedések irányított (tervezett és nyomon követett) végrehajtása.
A szervezet átfogó kockázatkezelési rendszerével kapcsolatos fejlesztési programok jóváhagyása és a végrehajtás nyomon követése.
Az első számú vezető felelősségi körébe tartoznak - az egyéb irányítási tevékenységek mellett -
az alábbi, kockázatkezeléssel összefüggő feladatok:

Eredményes és célszerű irányítási folyamatok kialakítása és működtetése a kockázatok olyan kezelésére, monitorozására és szükséges mérséklésére, melyek megfelelőek a szervezet méretének, várható növekedési pályájának, működési modelljének, stratégiájának és az érintettek elvárásainak.
A szervezeti és működési szintekre lebontott célok vonatkozásában az érintett felek szempontjait is figyelembe vevő kockázatviselési szintek és kockázati toleranciák a szervezet működési modelljének és stratégiájának megfelelő meghatározása és azok rendszeres felülvizsgálata.
A kockázatkezelési rendszer, illetve eljárások kialakításának és működésének eredményességére, valamint a szervezet átfogó kockázati állapotára vonatkozó időszaki vezetői jelentések megbízhatóságát alátámasztó monitorozási és jelentéstételi folyamatok kialakítása és működtetése, ideértve a folyamatban lévő kockázat-módosító intézkedésekről szóló beszámolókat is.
Annak felmérése, hogy a szervezet jelenlegi és várható kockázati státusza megfelelő-e a szervezet egészére alkalmazandó kockázatkezelési alapelveknek, az érintettek elvárásainak és a stratégiai célokra vonatkozó kockázatviselési szinteknek és kockázati toleranciáknak.
Amennyiben szabályozó hatóság előírja, a kockázatok felülvizsgálati folyamatainak megvalósulásáról szóló éves vagy időszaki közzétételi jelentések elkészítése.
A szervezet átfogó kockázati állapotáról és a kockázatkezelési rendszer működéséről szóló éves/időszaki összefoglaló jelentés elkészítése az irányító testület számára.
Az első számú vezető szintjére delegált kockázatfelmérések és a szükséges kockázatkezelési intézkedések irányított (tervezett és nyomon követett) végrehajtása.
A szervezet átfogó kockázatkezelési rendszerével kapcsolatos fejlesztési és képzési programok előkészítése, valamint a végrehajtáshoz illetve az eredmények bevezetéséhez szükséges erőforrások biztosítása.
A kockázatkezelési bizottság tagjainak kinevezése (vagy a kockázatkezelési rendszer felügyeletét ellátó munkaszervezet kijelölése), valamint az eredményes és hatékony működés feltételeinek biztosítása.
A kockázatkezeléssel kapcsolatos elvárások egyértelmű kommunikálása a szervezet működésének minden szintjén.
A kockázatkezelési bizottság (vagy a kockázatkezelési rendszer felügyeletét ellátó munkaszervezet) felelősségi körébe tartoznak az alábbi feladatok:

A kockázatkezelési politika, illetve szabályzat rendszeres felülvizsgálata és javaslattétel az irányító testület felé.
A szervezet átfogó kockázatkezelési rendszerével kapcsolatos fejlesztések és képzések koordinálása, valamint az eredmények felülvizsgálata a kockázatkezelési politika alapján.
Annak meghatározása, hogy az egyes szervezeti és működési szinteken milyen esetekben és milyen gyakorisággal szükséges formalizált és dokumentált kockázat-felmérési eljárást lefolytatni, figyelembe véve a költséghatékonysági szempontokat is.
Annak értékelése, hogy a szervezeti és működési szintekre a stratégiai tervezés során lebontott célok, valamint a sikeres és fenntartható működéssel, továbbá a szabályozottsággal és a jogszabályi megfeleléssel kapcsolatos irányítási célkitűzések vonatkozásában lényeges kockázatok beazonosítása, kezelése és állapotuk megbízható jelentése eredményesen megvalósul-e.
Annak felülvizsgálata, hogy a szervezeti és működési szintekre lebontott célok vonatkozásában az érintett szervezeti egységek vezetői által elfogadottnak minősített kockázati szintek megfelelnek-e a szervezet egészére, illetve a stratégiai célokra vonatkozóan előírt, továbbá az érdekeltek szempontjait is figyelembe vevő kockázatviselési szinteknek és kockázati toleranciáknak.
Amennyiben szabályozó hatóság előírja, a kockázatok felülvizsgálati folyamatainak megvalósulásáról szóló éves vagy időszaki közzétételi jelentések áttekintése, véleményezése és/vagy elfogadása.
A szervezet átfogó kockázati állapotáról és a kockázatkezelési rendszer működéséről szóló rendszeres és egyedi jelentések elkészítése az irányító testület és az első számú vezető számára.
Annak támogatása, hogy a kockázattudatosság a szervezeti kultúra részeként megvalósuljon.

A szervezeti egységek vezetőinek felelősségi körébe tartoznak - az egyéb vezetői tevékenységek mellett - az alábbi, kockázatkezeléssel összefüggő feladatok:

A szervezeti egység szintjén végrehajtásra kerülő stratégiai/időszaki tervezés során a szervezeti vagy működési szintre lebontott célokat és irányítási célkitűzéseket érintő jelentős külső és belső kockázatok és azok kezelési módszereinek meghatározása.
A szervezeti, illetve működési szintet érintő célok és irányítási célkitűzések kockázatainak előírt kockázatviselési szintek és toleranciák szerinti kezelése a kockázatkezelési politikában illetve szabályzatban meghatározott vagy meghivatkozott alapelvek, módszerek és folyamatok megvalósításával.
Formalizált és dokumentált kockázatfelmérési eljárás lefolytatása az első számú vezető és/vagy a kockázatkezelési bizottság ez irányú igénye alapján, vagy akkor, ha a költséghatékonyság szempontját is figyelembe véve a szervezeti egység vezetője ezt indokoltnak tartja.
A kockázatkezelést támogató és bizonyosságot adó szervezeti egység javaslatainak figyelembe vétele.
A szükséges kockázatkezelési intézkedések irányított (tervezett és nyomon követett) végrehajtása.
A szervezeti, illetve működési szintet érintő célok és irányítási célkitűzések kockázatainak aktuális szintjét és a folyamatban lévő intézkedéseket bemutató időszaki jelentések elkészítése.
A kockázatkezelést támogató és bizonyosságot adó szervezeti egység (pl. független belső ellenőrzés) felelősségi körébe tartoznak - az egyéb bizonyosságadói és tanácsadói tevékenységek mellett - az alábbi, kockázatkezeléssel összefüggő feladatok, melyek nem tévesztendők össze az ellenőrzés „kockázat-alapú” tervezésének gyakorlataival:

A felsővezetők és a szervezeti egységek vezetői által igényelt, a kockázatkezelési tevékenységek fejlesztését célzó képzési, illetve tanácsadói és értékelő tevékenységek ellátása.
A szervezet átfogó kockázatkezelési rendszerével kapcsolatos felmérések végrehajtása és fejlesztési javaslatok megfogalmazása a kockázatkezelési bizottság, a felsővezetők és az irányító testület felé.
Az egyes szervezeti és működési szinteken végrehajtott kockázatkezelési tevékenységek minőségének értékelése és javaslattétel az érintett vezetők felé.
Egyedi kockázatfelmérések elvégzése olyan célkitűzések vonatkozásában, amelyekre az érintett szervezeti egységek vezetői nem készítettek formalizált és dokumentált kockázatfelmérést, intézkedési tervet, illetve jelentést. Erre általában a kockázatkezelési bizottság, a felsővezetők vagy az irányító testület által igényelt esetekben kerül sor, vagy akkor, ha a kockázatkezelést támogató és bizonyosságot adó szervezeti egység vezetője a szervezet kockázati állapotáról szóló jelentés megbízhatóságának alátámasztása miatt ezt fontosnak ítéli.
Éves/időszaki konszolidált jelentések elkészítése a kockázatkezelési bizottság, a felsővezetők és az irányító testület számára a jelentős kockázatokról, azok állapotáról, valamint a szervezet kockázatkezelési folyamatainak eredményességéről és érettségéről.
Részvétel a szervezet kockázatkezelésével és a kockázatok felülvizsgálatával kapcsolatos éves közzétételi jelentések elkészítésében és véleményezésében.

A kockázatkezelést
támogató és bizonyosságot adó szervezeti egység
A szervezeti egységek vezetői
Kockázatkezelési bizottság
Első számú vezető
Irányító testület
Szerepek és felelősségek
source: Grant Purdy, Cutting through
www.rmprofessional.com | Spring 2014
Irányítási képességszintek
Folyamat alapú kockázatfelmérés
Esettanulmány: http://www.trusted.hu/index.php/alkalmazasi-teruletek/kockazatkezeles/kockazatkezelesi-esettanulmany
http://www.rmprofessional.com/sites/default/files/RMPSpr14%20web.pdf
További információ: http://www.trusted.hu/index.php/alkalmazasi-teruletek/kockazatkezeles/iranyitasi-forgatokonyvek-alkalmazasa-az-integralt-vallalati-kockazatkezeles-megvalositasara
a) A kockázatkezelés értéket teremt és értéket őriz.

A kockázatkezelésnek hozzá kell járulnia a célok kimutatható teljesüléséhez és a teljesítmény javulásához. Ugyanakkor nem csak a közvetlen érdekeltek egy szűkebb csoportja (pl. tulajdonosok, befektetők, vezetők, stb.) igényeit és a hatósági (pl. egészségügyi, üzembiztonsági, jogi, pénzügyi, illetve egyéb) szabályoknak való megfelelést kell szem előtt tartani. A kockázatkezelés során valamennyi érdekelt fél szempontjait figyelembe kell venni. A külső és belső környezet széleskörű elvárásait tükröző célok vonatkozásában, melyek magukba foglalják például a közérdeket, a környezet védelmét, a termékek és szolgáltatások minőségét, a projektek és erőforrások menedzselését, a működés hatékonyságát, a felelős irányítást és a jó hírnevet érintő kérdéseket is, gondoskodni kell a bizonytalanság hatásainak érdekeltek általi megismerhetőségéről és számukra elfogadható szinten tartásáról.

A valamennyi érdekelt fél szempontjait figyelembe véve kitűzött célok érintettek részéről is áttekinthető teljesülése és a teljesítmény javulása az adott szervezet sikeres működését igazolják. A sikeresség e tekintetben jóval tágabb értelmű, mint az adott szervezet vagyoni helyzetének vagy nyereségtermelő képességének kedvező alakulása, illetve a megfelelési követelmények teljesítése.

b) A kockázatkezelés az összes szervezeti folyamat integrált alkotórésze.

A kockázatkezelés nem különíthető el a szervezet lényeges folyamataitól és tevékenységeitől. A kockázatkezelés a vezetés felelősségi körébe tartozik, és minden szervezeti folyamat integrált része, ideértve a stratégiai tervezést, valamint minden projektirányítással és változáskezeléssel összefüggő feladatot is.

Habár az egyes területek irányítása speciális szakmai ismereteket igényelhet, mindez nem indokolja a szakmai alapon elkülönített kockázati „silók" létrehozását a szervezet egészére kitűzött célokat érintő bizonytalanság hatásainak kezelésében. A kockázatkezelés az egyes szervezeti és működési szintek többé vagy kevésbé szabályozott, illetve kialakított folyamatainak végrehajtását irányító vezetői tevékenységek által valósul meg. Ugyanakkor az érintett, egymáshoz kapcsolódó folyamatok specifikus céljainak teljesülését alátámasztó eredmények eléréséhez olyan, az adott szakterületre jellemző és elvárt tudás, illetve képességek rendelkezésre állása és fejlesztése szükséges, melyek mind az alkalmazott terminológia szakmai kommunikációban való alkalmazásához, mind pedig a kezelendő kockázatok összefüggéseinek szükséges szintű megértéséhez nélkülözhetetlenek.

A kockázatkezelési funkciók vagy szerepkörök szervezeti elkülönítése csak akkor indokolt, ha a kockázatkezelés megvalósulását támogató tevékenységek (pl. új módszerek bevezetése, tanácsadás, képzés, mentoring, stb.) optimális ellátására irányul, és nem a konkrét kockázatkezelési tevékenységek átadását, illetve a vonatkozó vezetői felelősségek áthárítását jelenti. Igaz ez a legfelsőbb irányító testületek kockázatkezeléssel kapcsolatos feladataira és felelősségeire is.


c) A kockázatkezelés a döntéshozatal része.

A kockázatkezelés segíti a döntéshozókat abban, hogy megalapozottan választhassanak a felmerülő lehetőségek közül, fontossági sorrendet állíthassanak fel a szükséges beavatkozások vonatkozásában, illetve mérlegelhessék a különböző alternatív megoldásokat.

A kockázatkezelés a rendelkezésre álló információk szisztematikus feldolgozásával járul hozzá a vezetői döntések meghozatalához. A kockázatkezelési módszerek kiválasztása és alkalmazása, valamint a kockázatkezelési lépések dokumentálási módja függhet a döntési folyamat összetettségétől illetve az adott szervezeti vagy működési szinten alkalmazandó szabályoktól.



d) A kockázatkezelés kifejezetten a bizonytalanságot kezeli.

A kockázatkezelés figyelembe veszi a célokra ható bizonytalanság jellegét és jellemzőit, valamint azok megközelítési lehetőségeit.

A bizonytalansági tényezők akár egyszerre több forrásból is származhatnak és eltérő módon jellemezhetők. A bekövetkezési valószínűség vagy előfordulási gyakoriság hagyományosan alkalmazott kvalitatív vagy kvantitatív ábrázolása (pl. kockázati térképen) nem feltétlenül elégséges a bizonytalanság jellemzésére, hiszen lehetnek olyan nem vagy nehezen számszerűsíthető és mérhető összetevők, mint például az egyedi emberi viselkedés, a stressz-tűrő képesség, a folyamatok és tevékenységek egymásra hatása, stb., melyek a körülmények függvényében jelentős mértékben eltéríthetik egy bizonytalansági tényező tényleges előfordulását annak elvárt gyakoriságától. Amúgy a bizonytalanság is elsősorban a nem elvárt vagy tervezhető módon bekövetkező körülmények kiszámíthatatlanságából származik, vagyis ebben az értelemben a leggyakrabban előforduló, tehát leginkább ismert és így akár megfelelő kontroll alá is helyezhető körülmények a kockázatkezelés szempontjából kevésbé jelentősek, mint azok, amelyek bekövetkezési valószínűségét nem tudjuk mérni vagy jellemezni.

A bizonytalanság kezelése tehát jelentősen eltérhet a kontrollok kialakítása során alkalmazott módszerektől, mivel a kontrollok jellemzően az eredendő (vélt vagy valós) kockázati szintekhez viszonyítva jól eltervezhető (vagy legalábbis jól dokumentálható) módon kívánják csökkenteni a bekövetkezés valószínűségét és a negatív hatást, ami a gyakran előforduló vagy jól ismert lefolyású események kapcsán valóban indokolt megközelítés. A kockázatkezelés során viszont nem az eredendő kockázatokból kell kiindulni, hanem az aktuális állapot kapcsán a már kialakított és működő kontrollok, valamint az egyéb körülmények és intézkedések hatásainak együttes figyelembe vételével fennmaradó - így lényegében a már (leg)kevésbé számszerűsíthető - bizonytalanság jellegét és jellemzőit kell mérlegelni.

A kontroll-központú megközelítéssel ellentétben, a célok teljesülése vonatkozásában pozitív hatások felerősítésére a kontrollok - bizonytalanságot csökkentő - alkalmazási körén kívüli intézkedések is szükségesek lehetnek, melyek a bizonytalanság adott szintjének elfogadását vagy akár növelését is jelenthetik. Például a kutatás-fejlesztési tevékenységek bővítése, új termékek piaci bevezetése, gyártási innováció, stb. kapcsán meghozott döntések egyes bizonytalansági szintek növelésére irányulhatnak annak érdekében, hogy egy átfogó sikertényező kapcsán, mint például a piaci részesedés növelése, a bizonytalanság csökkenhessen.
e) A kockázatkezelés módszeres, strukturált és időszerű.

A kockázatkezelés módszeres, strukturált és időszerű alkalmazása növeli a hatékonyságot, valamint konzisztens, összehasonlítható és megbízható eredményeket hoz létre.

Ez egyrészt vonatkozik a kockázatkezelési folyamatra, vagyis az összefüggések megállapítására, a kockázatok felmérésére és az intézkedések tervezésére, megvalósítására és nyomon követésére, másrészt az irányítási feladatok támogatásával növeli az érintett működési és szervezeti szinteken megvalósuló folyamatok és tevékenységek végrehajtásának hatékonyságát és eredményességét.

f) A kockázatkezelés a rendelkezésre álló legjobb információkon alapszik.

A kockázatkezelési folyamat bemeneteit olyan információk jelentik, mint például a történeti adatok, a korábbi tapasztalatok, az érdekeltek visszajelzései, a megfigyelések, az előrejelzések, a szakértői megállapítások, stb. Ugyanakkor a szakértői vélemények lehetséges eltéréseit és az alkalmazott modellek illetve adatok korlátait a döntéshozatal során ismerni és mérlegelni szükséges.

g) A kockázatkezelés testreszabott.

A kockázatkezelést a szervezet egyedi kockázati profiljának, valamint a külső és belső összefüggések figyelembe vételével kell kialakítani.

Ennek megfelelően sem a más szervezet által alkalmazott megoldások (pl. szabályzatok) lemásolása, sem a kockázatkezelési rendszer működésének külső fél általi „tanúsítása" nem garantálja a kockázatkezelés megfelelő alkalmazását. Ugyanakkor az ISO 31000:2009 Risk Management szabványban hivatkozott alapelvek, valamint a kockázatkezelés keretrendszerével és a kockázatkezelési folyamatokkal kapcsolatos ajánlások figyelembe vételével lehetőség nyílik a kontroll-alapú szemléletről áttérni a célok teljesülésére fókuszáló kockázatkezelésre.
g) A kockázatkezelés testreszabott.

A kockázatkezelést a szervezet egyedi kockázati profiljának, valamint a külső és belső összefüggések figyelembe vételével kell kialakítani.


h) A kockázatkezelés figyelembe veszi a kulturális és emberi tényezőket.

A kockázatkezelés során figyelembe kell venni a külső és belső emberi tényezőket, vagyis az érintett személyek képességeit, elvárásait és szándékait, melyek elősegíthetik vagy akadályozhatják a szervezeti célok elérését.
i) A kockázatkezelés átlátható és bevonja az érdekelt feleket.

A külső és belső érdekelt felek, és különösen a szervezet döntéshozóinak megfelelő időben és módon történő bevonása szükséges ahhoz, hogy a kockázatkezelés minden működési és szervezeti szinten érdemi és aktuális maradjon. Az érdekelt felek megfelelő képviseletével biztosítható, hogy szempontjaik figyelembe vételre kerüljenek a döntéseket befolyásoló kockázati kritériumok kialakításában és alkalmazásában.

Felmerülhet az a kérdés, hogy milyen mértékben kell a külső érdekelt feleket tájékoztatni az adott szervezet által alkalmazott kockázati toleranciákról vagy akár a kockázatvállalási hajlandóságról. Az üzleti vagy egyéb méltányolható titokra való hivatkozás nem megalapozott az olyan információk visszatartása kapcsán, melyek közvetlen kihatással lehetnek bármelyik érintett személy életkörülményeire, vagy olyan esetekben, amikor az információkhoz való hozzáférés hiánya akadályozza az érintett felek kármegelőzési, illetve kárelhárítási törekvéseit vagy a szervezettel kapcsolatos azon döntéseik meghozatalát, melyekre jogi lehetőségük, illetve egyéb felhatalmazásuk van.

Például egy engedélyezett és megvásárolható gyógyszer esetén a forgalmazók, a kezelőorvosok és a fogyasztók jogos elvárása, hogy a saját tevékenységükhöz szükséges mértékben tájékoztatást kapjanak nemcsak az előírtak szerinti alkalmazás lehetőségeiről, hanem a kockázatokról és mellékhatásokról is. Bár a konkrét gyártási technológia vonatkozásában ezen érintett feleket célzó tájékoztatási kötelezettség nem áll fenn, a gyártási folyamat üzembiztonsági illetve környezeti hatásairól és kockázatairól szóló tájékoztatásba más érintetteket (pl. a dolgozókat, a lakosságot, a helyi hatóságokat, stb.) nyilvánvalóan be kell vonni.

j) A kockázatkezelés dinamikus, iteratív és a változásokra gyorsan reagáló.

A kockázatkezelés során a változásokat folyamatosan érzékelni kell és azokra megfelelő választ kell adni. A külső és belső események, körülmények és ismeretek változásának figyelemmel kísérésével, illetve a kockázatok nyomon követésével és kivizsgálásával megállapítható, hogy felmerültek-e új kockázatok, illetve megváltozott-e az ismert kockázatok állapota, vagy akár megszűntek-e bizonyos kockázatok.

A kockázatkezelési ciklusokat értelemszerűen az egyes működési és szervezeti szinteken kitűzött célok időhorizontjait és az érintett folyamatok irányítási teendőit figyelembe vevő tervezési vagy beszámolási időszakok határozzák meg. Ugyanakkor a váratlan eseményekre vagy a körülmények változására való gyors reagáláshoz a vezetők naprakész információkkal történő ellátásának folyamatos biztosítása szükséges.

A kontroll-alapú megközelítés, mely a kockázatok és kockázati válaszok felülvizsgálatát lényegében az ellenőrzési tervekhez és nem a vezetői döntési szintekhez és ciklusokhoz köti, nehezen tud hozzájárulni a szervezeti célokat érintő, előre nem „tervezhető" változásokra való megfelelő reagálási képesség fenntartásához.
k) A kockázatkezelés elősegíti a szervezet fejlődését, működésének folyamatos javítását.

Olyan stratégiai terveket és eljárásokat kell kialakítani és megvalósítani, melyekkel a szervezet irányításának minden lényeges vonatkozásában biztosítható a kockázatkezelési képességek és a működési folyamatok folyamatos fejlesztése a célok sikeres megvalósítása érdekében.

A kockázatkezelés szervezet-fejlesztési vonatkozásainak értelmezéséhez a folyamatjavítási módszerek (pl. az ISO/IEC 15504 folyamat-felmérési szabvány) irányítási képesség fejlesztésében való alkalmazása nyújt segítséget. Az irányítási képesség a szervezet működésének olyan jellemzője, mely azt mutatja, hogy az irányítási rendszer milyen mértékben támogatja a működési folyamatok szervezeti céloknak megfelelő végrehajtását. Az irányítási képesség meghatározása és javítása eszközül szolgál a kockázatkezelés szervezeti kereteinek fejlesztéséhez, így segítheti a kockázatkezelés mind teljesebb integrálódását a szervezet döntéshozatali és végrehajtási folyamataiba, illetve a szervezeti kultúrába.
Vállalati célok és támogató irányítási célkitűzések
Kockázatkezelés mint döntési folyamat
Kockázatkezelés mint döntéshozatali keretrendszer
source: Grant Purdy, Cutting through
www.rmprofessional.com | Spring 2014
http://www.rmprofessional.com/sites/default/files/RMPSpr14%20web.pdf
Mentoring Programok a kockázatkezelés fejlesztésére
Tanúsíthatóak-e a kockázatkezelési rendszerek?
http://www.trusted.hu/index.php/2011-10-19-05-54-58/trusted-business-academy/mentoring-programok
Full transcript