Реестр рисков – это перечень рисков, присущих определенной организации, подразделению или бизнес-процессу. Реестр рисков, наряду с картой рисков, является инструментом, который используется для формирования представления о состоянии различных рисков в организации, ее подразделении или конкретном бизнес — процессе.
Реестр рисков одновременно является как инструментом оперативного отслеживания состояния рисков в организации, так и инструментом отчётности. В частности для отчётности на комитете по рискам или для других управляющих органов может быть сформирован и представлен реестр наиболее значимых рисков организации.
Реестр обычно представляет собой табличную форму, содержащую следующие характеристики рисков:
- Описание риска (наименование, категоризация)
- Характеристики его принадлежности (компания, подразделение, процесс)
- Оценка риска (качественная или количественная)
- Факты реализации риска
- Мероприятия по митигированию риска со статусом исполнения
Порядок составления реестра рисков
Реестр рисков составляется в несколько этапов:
- Идентификация рисков
- Анализ данных по рискам
- Ранжирование рисков
- Формирование реестра
Порядок может отличаться в зависимости от принятого в организации регламента по управлению рисками.
На этапе идентификации рисков могут использоваться различные опросники, предназначенные для первичного выявления рисков. Опросники заполняются владельцами рисков (руководителями подразделений или держателями бизнес-процессов). После идентификации определяется первичный перечень рисков, подлежащих управлению.
На этапе анализа рисков владельцы рисков заполняют паспорта рисков, указывая подробные данные о рисках, их оценках, фактах реализации и связанных мероприятиях.
Сформированные на основании данных паспортов рисков реестры рисков могут ранжироваться по определённым признакам: к примеру, широко применяется ранжирование по степени существенности рисков для организации, ранжирование по вероятности возникновения рисков, ранжирование по степени остаточного риска после выполнения мероприятий по митигации и прочие виды ранжирования.
Формирование итоговых реестров рисков в крупных организациях (таких как ПАО) — довольно трудозатратная операция: сбор паспортов рисков, их анализ и сведение в реестры рисков может требовать участия множества сотрудников, и занимать недели и даже месяцы времени.
Согласование, утверждение и актуализация реестра рисков
Реестры рисков могут согласовываться с владельцами рисков, и должны проходить согласование и утверждение с менеджментом организации.
Реестр рисков также должны проходить периодическую процедуру актуализации (ежеквартальную или ежегодную). В процессе актуализации, кроме обновления данных по существующим рискам, из реестров исключаются риски, которые не подлежат дальнейшему управлению, и включаются новые идентифицированные риски.
Форма реестра рисков
Несмотря на существование регламентирующих документов «ГОСТ Р 51901.21-2012 Менеджмент риска. Реестр риска. Общие положения» и «ГОСТ Р 51901.22-2012 Менеджмент риска. Реестр риска. Правила построения», в реальной практике различные организации используют различные формы реестров, адаптированные под свои нужды.