2.1.19. Управление рисками на железнодорожном транспорте

Управление рисками, процесс управления рисками

Непрерывный, итеративный процесс, осуществляемый на всех уровнях управления (организационной иерархии) и охватывающий все виды деятельности Общества, интегрируемый в миссию, стратегии, бизнес-процессы, проекты, программы, инициативы, прочую деятельность Общества и направленный на предоставление разумной уверенности в достижении целей Общества (подразделения, бизнес-процесса, проекта и др.). Процесс управления рисками включает выявление, анализ и оценку, воздействие (реагирование) на риск, мониторинг и пересмотр, обмен информацией и консультирование.

[Политика по управлению рисками и внутреннему контролю, утвержденная решением совета директоров ОАО «РЖД» (протокол от 27 мая 2019 г. № 17). Утверждена распоряжением ОАО «РЖД» от 18 июня 2019 г. № 1223/р]

Система управления рисками и внутреннего контроля ОАО «РЖД», СУРиВК

Совокупность культуры, компетенций и практик управления рисками, интегрированная со стратегическим планированием и операционной деятельностью (в целях повышения их эффективности, результативности), на которую Общество опирается в процессе управления рисками при создании, сохранении и реализации стоимости.

Внутренний контроль

Процесс, осуществляемый руководством и работниками Общества на всех уровнях управления и направленный на обеспечение разумной уверенности в том, что Общество обеспечивает эффективность и результативность финансово-хозяйственной, операционной деятельности, сохранность активов, достоверность бухгалтерской (финансовой) и прочих видов отчетности, соблюдение требований применимых международных нормативных актов, нормативно-правовых актов Российской Федерации и внутренних нормативных документов Общества.

Контрольная среда

Совокупность стандартов, процессов и действий руководства Общества, направленных на установление и поддержание эффективного функционирования системы управления рисками и внутреннего контроля, а также понимание важности этой системы.

Разумная уверенность

Концепция, согласно которой независимо от того, насколько хорошо разработана и функционирует система управления рисками и внутреннего контроля, она не может абсолютно гарантировать достижение целей Общества (Подразделения, бизнес-процесса, проекта и др.) в связи со следующими ограничениями: субъективность суждений; возможность сбоев в работе систем; подверженность внешним событиям, неподконтрольным Обществу; ресурсные ограничения; условия, в которых функционируют системы, включая специфику корпоративного управления; возможность обхождения/искажения процедур управления рисками и внутреннего контроля и мероприятий по воздействию на риски руководством/работниками; сговор.

[Методические рекомендации по управлению рисками и внутреннему контролю, утверждённые распоряжением ОАО «РЖД» от 30 июля 2019 г. № 1645/р]

Координатор

Лицо, назначенное руководителем подразделения, ответственное за координацию процесса управления рисками в подразделении, на проекте, включая сбор, консолидацию и представление информации по рискам подразделения, проекта.

Цель <управление рисками>

Планируемое (желаемое) состояние Общества, Подразделения, бизнес-процесса, проекта и др., выражаемое через измеримые показатели/параметры (например, КПЭ, КПД, бюджетные параметры, задания, планы и иные показатели).

Бизнес-процесс, процесс <управление рисками>

Устойчивая, целенаправленная совокупность взаимосвязанных действий (последовательность работ), которая по определенной технологии преобразует входы в выходы, представляющие ценность для потребителя.

Владелец бизнес-процесса <управление рисками>

Роль в системе управления Общества, осуществляющая управление конфигурацией процесса в соответствии с его жизненным циклом и установленными целевыми показателями.

Ключевой показатель деятельности, КПД

Наиболее существенный финансовый, производственный, кадровый и иной показатель, используемый для оценки результатов деятельности ОАО «РЖД», его филиалов и ДЗО, в том числе, для достижения стратегических целей холдинга «РЖД».

[На основе положений «Порядка мониторинга ключевых показателей деятельности холдинга «РЖД», утверждённого распоряжением ОАО «РЖД» от 1 августа 2019 г. № 1656/р и «Методических рекомендаций по управлению рисками и внутреннему контролю», утверждённых распоряжением ОАО «РЖД» от 30 июля 2019 г. № 1645/р]

Ключевой показатель эффективности, КПЭ <управление рисками>

Оценочный критерий, применяемый для определения эффективности деятельности и достижения цели (задачи), поддающийся качественному и (или) количественному измерению и являющийся значимым с точки зрения долгосрочных и среднесрочных задач.

[На основе положений «Регламента формирования отчета о реализации долгосрочной программы развития ОАО «РЖД» и выполнении ключевых показателей эффективности», утверждённого распоряжением ОАО «РЖД» от 22 сентября 2022 г. № 2441/р и «Методических рекомендаций по управлению рисками и внутреннему контролю», утверждённых распоряжением ОАО «РЖД» от 30 июля 2019 г. № 1645/р]

Риск <управление рисками>

Возможное событие, которое при реализации может негативно отразиться на достижении целей Общества (подразделения, бизнес-процесса, проекта и др.), характеризующееся вероятностью реализации и величиной влияния.

Паспорт риска

Структурированная совокупность информации о конкретном риске Подразделения, включая его факторы, оценку, последствия, владельца, цели, детальный план мероприятий по воздействию, ключевые индикаторы, факты реализации, взаимосвязанные риски и иную значимую информацию в соответствии с формой паспорта рисков.

Последствие риска

Описание результата воздействия риска, в случае его реализации, на деятельность и достижение целей Общества (подразделения, бизнес-процесса, проекта и др.). Последствия могут характеризоваться убытками (ущербом, упущенной выгодой), дополнительными прямыми и косвенными затратами, имиджевым/репутационным ущербом, санкциями и др.

Выявление риска

Деятельность по установлению и описанию рискового события (риска), включая описание его риск-факторов, последствий, взаимосвязанных рисков, классификацию.

Взаимосвязанный риск

Риск, реализация которого может влиять на возникновение, реализацию другого риска.

Владелец риска

Заместитель генерального директора, владелец бизнес-процесса, руководитель проекта, руководитель подразделения, на цели деятельности которого оказывает воздействие риск, и который обладает полномочиями по управлению риском и несет ответственность за эффективность управления данным риском.

Источник риска, риск-фактор

Внутренний или внешний фактор (обстоятельство, событие), который отдельно или в комбинации с иными факторами может привести к реализации риска.

Группа рисков

Набор рисков, обобщенных в соответствии с классификацией, в частности, по видам риска и/или областям возникновения.

Портфель рисков

Агрегированная информация о распределении рисков по бизнес-процессам, видам деятельности, уровням принятия решения и/или иным критериям, позволяющая сформировать комплексный и целостный взгляд на риски Общества.

Реестр рисков

Структурированная совокупность информации о рисках (факторах, последствиях, владельцах, целях), мероприятиях по воздействию на риски, ответственных исполнителях, текущем и остаточном уровнях риска, взаимосвязанных рисках и иной значимой информации в соответствии с формой реестра рисков.

Реестр рисков Подразделения

Структурированная совокупность информации обо всех рисках Подразделения (факторах, последствиях, владельцах, целях), мероприятиях по воздействию на риски, ответственных исполнителях, текущем и остаточном уровнях риска, взаимосвязанных рисках и иной значимой информации в соответствии с формой реестра рисков.

Реестр рисков Общества

Структурированная совокупность информации обо всех рисках Общества (факторах, последствиях, владельцах, целях), мероприятиях по воздействию на риски, ответственных исполнителях, текущем и остаточном уровнях риска, взаимосвязанных рисках и иной значимой информации в соответствии с формой реестра рисков, сформированная на основании утвержденных реестров рисков Подразделений.

Реестр ключевых рисков Общества

Структурированная совокупность информации обо всех ключевых рисках Общества (факторах, последствиях, владельцах, целях), мероприятиях по воздействию на ключевые риски, ответственных исполнителях, текущем и остаточном уровнях ключевых рисков, взаимосвязанных рисках и иной значимой информации в соответствии с формой реестра рисков, сформированная на основании утвержденных реестров рисков Подразделений.

Вероятность реализации риска

Мера возможности реализации риска.

Частота

Количество событий или их последствий за определенный период времени.

[ГОСТ Р 51897-2021 (ISO Guide 73:2009) Менеджмент риска. Термины и определения; Методические рекомендации по управлению рисками и внутреннему контролю, утверждённые распоряжением ОАО «РЖД» от 30 июля 2019 г. № 1645/р]

Влияние риска, величина влияния риска

Качественная или количественная характеристика воздействия риска на деятельность и достижение целей Общества (подразделения, бизнес-процесса, проекта и др.) в случае его реализации.

Оценка риска

Процедура определения вероятности реализации и степени (величины) влияния риска с целью определения уровня риска (итоговой оценки).

Горизонт оценки рисков

Период, на который оцениваются/прогнозируются риски.

Качественная оценка риска

Оценка риска, при которой происходит измерение риска в относительных (качественных) показателях.

Количественная оценка риска

Оценка риска, при которой происходит измерение риска в абсолютных (числовых, количественных) показателях.

Уровень риска, итоговая оценка

Величина риска, выраженная как комбинация вероятности реализации риска и величины влияния риска.

Ранжирование рисков

Приоритизация рисков в соответствии с их уровнями (итоговой оценкой).

Карта рисков, тепловая карта

Инструмент графического отображения совокупности выявленных рисков с учетом вероятности их реализации и влияния риска.

Текущий риск

Уровень риска с учетом сложившейся в Обществе практики управления, организации и функционирования бизнес-процессов, деятельности, контрольной среды и реализуемых мероприятий по воздействию на риск (с учетом их текущей эффективности).

Приемлемая величина рисков, риск-аппетит, предпочтительный риск

Предельно допустимый уровень рисков, который Общество стремится соблюдать (не превышать) и на который Общество готово и может пойти (готово принять/поддерживать) в процессе достижения целей. Приемлемая величина рисков (риск-аппетит) Общества выражается (определяется) в виде заявлений о риск-аппетите и соответствующих им показателей.

Допустимый уровень риска

Уровень риска, при котором он не окажет существенного влияния на достижения целей Общества, подразделения, бизнес-процесса, проекта и др.

Остаточный риск

Уровень риска, сохраняющийся после воздействия на него.

Реализовавшийся риск

Событие, произошедшее в рассматриваемом периоде и негативно повлиявшее на достижение целей Общества (Подразделения, бизнес-процесса, проекта и др.).

Ключевой риск

Риск Общества или подконтрольных обществ, текущая итоговая оценка которого превышает или близка к допустимому уровню, установленному для данного риска/группы рисков, и реализация которого может привести к превышению порогового значения показателей заявлений (формулировок) приемлемой величины рисков (риск-аппетита); а также риск с нулевой толерантностью.

При этом под пороговым значением понимается значение показателя приемлемой величины рисков (риск-аппетита), задающее меру для его соблюдения (выраженное как в количественных, так и качественных показателях).

Ключевые индикаторы риска, КИР

Показатели риска (количественные либо качественные), характеризующие признаки реализации и/или изменения риска, используемые для обеспечения раннего оповещения о возрастающей вероятности реализации риска и принятия превентивных мероприятий по воздействию на риск или признания факта реализации риска и принятии мер по минимизации последствий.

Воздействие на риск

Процесс, направленный на снижение вероятности и/или последствий реализации риска (то есть на риск-факторы и/или последствия реализации риска). Воздействие на риск включает выбор стратегии (метода) воздействия на риск и реализации соответствующих ей мероприятий по воздействию на риск.

Мероприятие по воздействию на риск

Мероприятие (действие, комплекс взаимосвязанных действий), направленное на снижение вероятности и/или величины влияния риска (то есть на риск-факторы и/или последствия реализации риска) в рамках выбранной стратегии (метода) воздействия на риск. В Обществе применяются следующие стратегии (методы) воздействия на риск: избежание риска, минимизация риска (включая разработку и выполнение контрольных процедур), принятие риска, передача риска. Контрольная процедура является наиболее предпочтительным способом воздействия на риск.

Избыточное мероприятие по воздействию на риск

Мероприятие (в том числе контрольная процедура), исключение которого не окажет негативного влияния на эффективность воздействия на риск (в том числе на эффективность прочих мероприятий по воздействию на риск) и, соответственно не изменит оценку остаточного риска.

Ответственный исполнитель за выполнение/реализацию мероприятий по воздействию на риск, ответственный исполнитель

Работник Общества, отвечающий за действия, связанные с выполнением мероприятий по воздействию на риск (включая контрольные процедуры).

Эффективность мероприятия по воздействию на риск

Качественная характеристика, выражающая уменьшение вероятности реализации риска и/или снижения негативного влияния от реализации риска при надлежащем выполнении мероприятия по воздействию на риск (в том числе контрольной процедуры).

Контрольная процедура

Действия работника, автоматические операции информационной системы или комбинация данных процессов, осуществляемые на различных уровнях организационной структуры, направленные на уменьшение вероятности реализации риска и/или минимизацию возможных негативных последствий от его реализации.

Дизайн контрольной процедуры

Описание, алгоритм контрольной процедуры, представляющий собой последовательность действий, которые должны осуществляться ответственным исполнителем, информационной системой в целях воздействия на риск или контроля за воздействием на риск.

Операционная эффективность контрольной процедуры

Качественная характеристика, отражающая уменьшение вероятности наступления риска и/или снижения негативных последствий от реализации риска при надлежащем выполнении контрольной процедуры в соответствии с предусмотренным для нее дизайном, актуальным для условий функционирования и адекватным риску, на который она воздействует.

Мониторинг и пересмотр <управление рисками>

Постоянный или периодический анализ деятельности, осуществляемый на предмет изменения портфеля рисков (выявление новых рисков, изменение оценки выявленных рисков), контроля результатов воздействия на риски (в том числе реализации запланированных мероприятий, включая контрольные процедуры, на предмет своевременности их исполнения и эффективности), необходимости корректировки, внедрения новых процедур воздействия на риски (включая процедуры реагирования на реализовавшиеся риски).