Вы находитесь на странице: 1из 11

СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 1 из 11

Процедура
Управление корпоративными
рисками
G00-A-PRO-0010

Подготовил Проверил Утвердил Зарегистрировал


Специалист по Специалист по
контролю и Финансовый Генеральный контролю и
Должность
обеспечению директор директор обеспечению
качества качества
Саидходжа Ксения
Ф.И.О. Абылай Мустафа Абылай Мустафа
Камалов Остроменская

Abylay цифровой Abylay цифровой


Подписано Подписано

подписью: подписью:
подпись Mustaf Abylay
Дата:
Mustafa Mustaf Abylay
Дата:
Mustafa

a 2021.06.28
23:03:55 +06'00' a 2021.06.28
23:04:14 +06'00'

дата 28.06.2021 28.06.2021 28.06.2021 28.06.2021

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 2 из 11

Содержание
1. Введение...................................................................................................................... 4
2. Цель ............................................................................................................................. 4
3. Ссылки ......................................................................................................................... 4
4. Термины, определения и сокращения....................................................................... 4
5. Обязанности ................................................................................................................ 5
6. Общие требования ...................................................................................................... 5
6.1. SWOT-анализ ........................................................................................................ 5
7. Процедура управления Корпоративными рисками ................................................... 6
7.1. Идентификация риска .......................................................................................... 6
7.2. Анализ и Оценка ................................................................................................... 6
7.3. Меры регулирования ............................................................................................ 7
7.3.1. Требования к мерам по регулированиям ..................................................... 7
7.3.2. Виды мер регулирования рисков .................................................................. 7
7.3.3. Планирование и Принятие мер ..................................................................... 7
7.4. Мониторинг ........................................................................................................... 8
7.4.1. Постоянный мониторинг ................................................................................ 8
7.4.2. Мониторинг на выходе процедуры ............................................................... 8
7.5. Отчетность ............................................................................................................ 8
7.6. Сводный отчет процедуры Управления корпоративными рисками .................. 8
8. Записи процедуры ....................................................................................................... 9
8.1. Требования к записям .......................................................................................... 9
8.1.1. Виды записей процедуры .............................................................................. 9
8.1.2. Требования конфиденциальности ................................................................ 9
9. Блок-схемы процессов .............................................................................................. 10
9.1. Блок-схема .......................................................................................................... 10
Приложение А .................................................................................................................. 11

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 3 из 11

Лист регистрации изменении

Дата № пункта, к которому относится изменение и


Ревизия
пересмотра характер изменений (кратко)
0 28.06.2021 Выпущен.

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 4 из 11

1. Введение
Выполнение данной процедуры контролируется Руководством Компании и ее
необходимость определяется Политикой в области качества и Планом управления
Рисками Компании (G00-A-PLN-0002).

2. Цель
Целью данной процедуры является определение основных методов управления
рисками на разных участках взаимодействия Компании с заинтересованными
сторонами.
Процедура Риск менеджмента дает подробное описание процессов Идентификации,
Анализа, Контроля , Мониторинга и Отчетности о рисках.
Критические риски и риски в части ОТиТБ – виды рисков, на которые также
распространяются пункты процедуры.
Финансовые риски Компании могут быть обработаны в рамках другой процедуры ввиду
специфичности и конфиденциальности данных.

3. Ссылки
Данная процедура ссылается на главы и принципы следующих стандартов, норм и
правил:
МС ISO31000:2018 «Менеджмент риска»;
МС ISO9001:2015 «Система менеджмента качества. Основные
требования»;
G00-A-PLN-0002 План Риск Менеджмента Компании (в последней
редакции документа)
G00-IT-PLY-0001 Положения «Об Информационной безопасности (в
последней редакции документа)»

4. Термины, определения и сокращения

Термин / Сокращение Определение


KКИ ТОО "K Caspian Engineering" ("К Каспиан Инжиниринг")
Система Система Менеджмента Качества Компании
Управление рисками комплекс внутренних процессов, целью которых
является принятие управленческих решений в
стратегии, направленных на снижение вероятности
возникновения неблагоприятного для бизнеса;
минимизацию наиболее возможных потерь в ходе
коммерческой деятельности
Держатель процесса Работник (либо любое другое лицо, на которого
возложены определенные обязанности в рамках
имеющихся соглашении (аутсорсинг)), несущий

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 5 из 11

ответственность за выполнение требовании к входным


/ выходным данным того или иного процесса
ЛР Лицо (или группа лиц) управляющее тем или иным
Линейный структурным подразделением Компании, несущий
Руководитель ответственность за надзор за процессами компании и
их результатами, а также их соответствия требованиям
Процесс В рамках данной процедуры процесс – система
действии и мероприятии предпринимаемых для
достижения определенных целей / показателей (на
выходе)
Риск Вероятность возникновения факторов, способных
(Корпоративный риск) отрицательно повлиять на общие показатели
деятельности Компании
ЗВР Затраты, Время и Ресурсы

5. Обязанности
Держатели процесса и Линейные Руководители – работники Компании обязаны:
- Своевременно предоставлять запрашиваемый тип данных о рисках, согласно
данной процедуре;
- Учитывать требования всех процедур и внутренних инструкции при
предоставлении данных;
- Участвовать в процессах данной процедуры и постоянно ориентироваться
директивами карты Управления Рисками Компании.

Регистратор – Специалист по контролю и обеспечению качества (либо любое другое


уполномоченное лицо), в обязанности которого входит:
- Соблюдение предписываемых данной процедурой сроков, включая те, которые
оглашены в инструкциях и процедурах, которые связаны с данной процедурой;
- Свовременное выполнение требовании и процессов описываемых в пунктах
данной процедуры;
- За адекватность и применимость предоставляемого в рамках данной
процедуры отчетов;
-
Руководство Компании (директоры) обязано:
- Постоянно управлять рисками, путем инициации данной процедуры;
- Контролировать ресурсообеспеченность, согласно МС ISO9001:2015 –
«Ресурсы».

6. Общие требования
Все риски Компании, возникающие в ходе осуществления любого вида деятельности
должны быть идентифицированы, должным образом проанализированы,
регулироваться, контролироваться и также должен вестись отчет.
6.1. SWOT-анализ

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 6 из 11

Компания и руководство должно руководствоваться требованиями стандарта


ISO9001:2015, а именно пункта 4 – Контекст организации.
Для вышеуказанных задач в рамках данной процедуры в Компании имеется документ
SWOT-анализ, который должен быть постоянно обновлен и дополнен, при условии,
что процедура Управления Корпоративными рисками как результат выдает наличие:
• Угроз;
• Возможностей;
• Слабых сторон;
• Сильных сторон.

7. Процедура управления Корпоративными рисками


Общая Модель управления корпоративными рисками Компании описана в блок-
схеме, п.9.1.
Как часть Процедуры Риск менеджмента, работники, перечисленные в п.5 Обязаны
использовать форму Регистра рисков Компании.
7.1. Идентификация риска
В целях идентификации рисков, Компания инициирует процесс сбора данных о ранее
неизвестных рисках либо обновление данных о рисках, заведомо известных
держателям процессов Компании. Процесс Идентификации Корпоративных рисков
проводится два раза в год, за месяц до проведения Анализа со стороны руководства,
и инициируется Специалистом по Контролю и обеспечению качества Компании,
согласно расписанию утвержденного Руководством Компании.
После получения задания о необходимости в сборе данных о ранее неизвестных
рисках либо обновление данных о рисках, ЛМ должен предоставить информацию об
имеющихся рисках в Компании, в целях чего использует Регистр Корпоративных
рисков Компании (G00-A-PRO-0010-F1).
По окончанию процесса сбора и обновления данных о рисках ЛМ проверяет насколько
предоставленные держателями процессов данные:
• Актуальны;
• Достоверны (наличие свидетельств);
• Адекватны;
• Уровень конфиденциальности данной информации;
Если данные, предоставленные держателями процессов не соответствуют
вышеуказанным критериям ЛМ исключает предоставленную информацию либо
делает запрос держателю уточнить и внести поправки. Держатель вносит поправки,
либо отменяет ранее предоставленные данные.
7.2. Анализ и Оценка
Процесс следующий за Идентификацией данных – Анализ данных о рисках.
ЛР, получив данные от держателей процессов, обязан инициировать рабочее
совещание, в ходе которого провести анализ рисков. Анализ – это процесс оценки
рисков, по следующим критериям, согласно Матрицы оценки рисков:
Причины – источник, происхождение риска и / или процесс, где было обнаружено
отклонение;

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 7 из 11

Существующие Меры – способы регулирования и управления рисками, включающие


в себя комплекс Политик, Процедур, Инструкции и / либо физических барьеры;
Последствия – результаты влияния риска, если будет иметь место;
Рейтинг Риска – совокупная оценка, основанная на Оценке Уровня вероятности и
Оценке последствии;

В зависимости от конечно присвоенных рейтингов, риски будут распределяться по


следующим видам (цветовое распределение матрицы выше):
1) Риски первого уровня (1L) – Зеленная область;
2) Риски второго уровня (2L) – Оранжевая область;
3) Риски третьего уровня (3L) – Красная область.
7.3. Меры регулирования
7.3.1. Требования к мерам по регулированиям
В ходе рабочего совещания ЛР должны консультироваться с держателями процессов
и выделить меры, которые применены в целях регулирования риска. Принимаемые
меры должны соответствовать рискам. Допустимо наличие нескольких рисков.
Недопустимо отсутствие мер, при наличии идентифицированного риска.
7.3.2. Виды мер регулирования рисков
В течение этапа принятия мер, ЛР должен обеспечить применение следующих видов
мер:
Меры, не требующие Планирования – достижимые и для выполнения которых
Компания обладает всеми необходимыми ресурсами в момент обнаружения риска;
Планируемые меры – меры, требующие наличие Плана достижения (План согласно
сроков в Реестре корпоративных рисков Компании).
Меры, которые могут быть приняты по отношению к рискам, должны быть следующего
характера:
a) Превентивные меры (PAM) – действия по предупреждению неблагоприятных
событий, как результатов имеющихся рисков;
b) Меры по управлению (COM) – действия (комплекс действий) по управлению
риском;
c) Меры по сглаживанию (MIM) – действия (комплекс действий) направленных на
снижение неблагоприятных последствий риска;
d) Меры по исключению (ELM) – действия направленные на полное или частиное
исключения вероятности или последствий риска.
7.3.3. Планирование и Принятие мер
ЛР при необходимости плана внедрения той или иной меры, запрашивает держателя
процесса предоставить план внедрения мер в рамках регистра рисков. Планирование
мер должно соответствовать требованиям стандарта ISO9001:2015 к планированию в
Системе Менеджмента. Каждая предложенная мера должна быть согласована и
утверждена ЛР или Группой Управления рисками.

По окончанию Идентификации, Анализа и Принятия мер, ЛР обязан


проинформировать Регистратора и Руководителей Компании о наличии риска или
обновленной ифнормации о риске. При наличии информации, несоответствующей
требованиям перечисленным в п.7.1, Регистратор должен проинформировать
Руководство о таком несоответствии, после чего последний должен принять решение
о необходимости отображения таких данных для дальнейшей обработки или полного

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 8 из 11

исключения либо о необходимости обновления данных (уточнения). При этом


Руководство также должно оценить насколько указанные держателем меры
пропорциональны имеющимся рискам и ресурсообеспеченность мер.
7.4. Мониторинг
7.4.1. Постоянный мониторинг
Компания и ее работники обязаны вести постоянный мониторинг рисков. ЛР обязаны
руководить планированием и несут ответственность за входные и выходные данные
процедуры.
7.4.2. Мониторинг на выходе процедуры
Основным методом мониторинга входных и выходных данных процедуры Риск
менеджмента является Внутренний аудит Системы Менеджмента согласно
процедуре (G00-A-PRO-0003). В ходе аудита аудиторы должны уделять особое
внимание принятым мерам, а именно:
Результативность - Имеются ли свидетельства принятия мер на местах (согласно
индикаторам достижения мер);
Эффективность – Насколько эффективны принятые меры, если имеются результаты
(согласно индикаторам достижения мер). Эффективность должна оцениваться по
принципу формулы:

Результат

ЗВР

Рис.1 – Схема оценки результативности мер


7.5. Отчетность
Аудитор обязан, основываясь на перечисленных в п.7.3.5. критериях предоставить
короткий и объемлющий отчет Регистратору в рамках отчета об аудите (форма G00-
A-PRO-0003-F7). Регистратор, оценивая предоставленную аудитором информацию о
том, насколько результативно и эффективно внедрена процедура Управления
корпоративными рисками, исключает риск неверной информации либо информации,
незакрепленной свидетельствами.
7.6. Сводный отчет процедуры
Окончательным и общим отчетом о состоянии Системы Управления Рисками
является отчет для Анализа со стороны Руководства. Анализ должен проводиться с
учетом принятия во внимание таких факторов, как изменения трендов в течение
периода времени – каждый риск имеет вероятность менять свои класс вероятности и
уровни последствия.
Регистратор должен отобразить данные (предоставленные согласно п.7.5) о
внедрении процедуры Управления корпоративными рисками на местах в отчете для

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 9 из 11

Анализа со стороны руководства (согласно процедуры G00-A-PRO-0006 и формы


G00-A-PRO-0006-F2).

8. Записи процедуры
8.1. Требования к записям
Все требования к записям в Компании в рамках функционирования процедуры
Управления Корпоративными Рисками должны строго соблюдаться. Любое
отклонение от требовании к записям предписанных других процедур Системы
Менеджмента будут восприняты как несоответствие и их обработка будет
осуществляться согласно процедур Несоответствия и Рекомендации: Обработка и
воздействие.
8.1.1. Виды записей процедуры
Основные записи процедуры Управления Корпоративными рисками предоставлены в
следующих формах и документах:
- Регистр корпоративных рисков
- Отчет Аудита
- Отчет для Анализа со стороны руководства
8.1.2. Требования конфиденциальности
Хранение, обработка и доступ ко всем записям и документам, существующим и
воспроизводимым в рамках данной процедуры должны отвечать требованиям
Положении Об информационной безопасности. Записи и документы считаются
коммерческой тайной и являются конфиденциальными. Любой несанкционированный
доступ и распространение без утверждения Группы управления рисками запрещен.

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление корпоративными рисками Рев.0 Стр. 10 из 11

9. Блок-схемы процессов
9.1. Блок-схема

Идентификация

Анализ

Определение Мер

Требуется НЕТ
ли
План
?

ДА

Разработка Плана Мониторинг результатов


(с учетом сроков и ресурсов)

НЕТ Результаты
соответствуют
Переопределение мер ожиданиям
(и Плану)
?

ДА

Отчет по результатам

Копии данного документа не контролируются


СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА Код: G00-A-PRO-0010

Управление проектными рисками и возможностями Рев.0 Стр. 11 из 11

Приложение А

Вероятность
(по классу)
Классы
Вероятности
E D C B A
1 или более событии 1 событие Более 1 события в больше чем в 1
1 событие во всей Компании в 1 событие в подразделении
в стране в отрасле подразделении Компании в
течение 1 года Компании в течение 1 года
в течение 1 года в течение 1 года течение 1 года
Уровни
воздействия

5
E5 D5 C5 B5 A5
Последствия
(по уровню)

4 E4 D4 C4 B4 A4

3 E3 D3 C3 B3 A3

2 E2 D2 C2 B2 A2

1 E1 D1 C1 B1 A1

Копии документа не контролируются