Главная

Взаимодействие и консультирование. Процесс менеджмента риска Повышение достоверности оценки риска

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

1 РАЗРАБОТАНЫ Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 «Перспективные производственные технологии, менеджмент и оценка рисков»

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. № 1259-ст

4 ВВЕДЕНЫ ВПЕРВЫЕ

Информация о введении в действие (прекращении действия) настоящих рекомендаций, изменениях и поправках к ним, а также тексты изменений и поправок публикуются в информационном указателе «Национальные стандарты»

Введение

Для любой организации важным направлением развития является внедрение менеджмента риска. В этой связи обмен информацией и консультации по вопросам, связанным с риском, на каждом шаге процесса менеджмента риска являются чрезвычайно важными. Обмен информацией должен привлекать все причастные стороны к открытому обсуждению сложных проблем, связанных с риском, при этом следует обратить особое внимание на консультации и достижение общего понимания по всем вопросам. Процесс обмена информацией не должен стать однонаправленным потоком информации от лица, принимающего решения, к другим причастным сторонам.

Область применения менеджмента риска организации может быть расширена после проведения консультаций и обмена информацией в организации. Это связано с тем, что причастные стороны часто лучше понимают перспективы друг друга и знают, с кем и когда необходимо своевременно проконсультироваться для максимально эффективного решения вопросов и выявления проблем, связанных с риском.

Внешний обмен информацией и консультации со специализированными экспертами так же, как обмен информацией и сотрудничество с другими организациями, необходимо планировать и осуществлять через запланированные промежутки времени. Обмен знаниями и опытом может оказаться чрезвычайно полезным для решения проблем, связанных как с риском, так и с процессом менеджмента риска, что может привести к большей объективности решений по вопросам риска. Кроме того, вовлечение внешнего персонала и причастных сторон в такую деятельность способствует получению доступных секретов деятельности (ноу-хау) и внедрению инновационных методов, связанных с менеджментом риска.

Дата введения - 2010-12-01

1 Область применения

Настоящие рекомендации устанавливают общее руководство по внедрению процесса обмена информацией и консультаций по менеджменту риска в организации. Рекомендации по внедрению менеджмента риска могут быть применены к очень широкому диапазону деятельности, решений или процессов для всех типов организаций: государственных, общественных или частных, для группы или отдельного лица.

Разработка и внедрение результативного и эффективного процесса обмена информацией и консультаций может помочь сократить потери, связанные с риском, и получить дополнительные экономические, социальные, технические, экологические и другие преимущества, а также повысить безопасность деятельности организации.

2 Нормативные ссылки

3.4 заинтересованная сторона (interested party): Лицо или группа лиц, заинтересованные в деятельности или успехе организации.

Примеры - потребители, владельцы, работники организации, поставщики, банкиры, ассоциации, партнеры или общество.

Примечание - Группа может состоять из организации, ее части или нескольких организаций.

3.5 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

Примеры - компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.

Примечания

1 Распределение обычно бывает упорядоченным.

2 Организация может быть государственной или частной.

3 Настоящее определение действует применительно к стандартам на системы менеджмента качества. Термин «организация» определен по-другому в руководстве ИСО/МЭК 2 .

Примечания

1 Термин «обработка риска» иногда используют для обозначения самих мер.

2 Меры по обработке риска могут включать в себя сокращение, разделение или сохранение риска.

3.8 мониторинг (monitor): Проверка, наблюдение, критический обзор или измерение процесса деятельности, действий или системы через запланированные интервалы времени, направленные на идентификацию отличий между наблюдаемым и требуемым или ожидаемым уровнем выполнения деятельности.

3.9 критерии риска (risk criteria): Правила оценки значимости риска ().

Примечание - Критерии риска могут включать в себя соответствующие затраты и выгоды, законодательные и обязательные требования, социально-экономические и экологические аспекты, озабоченность причастных сторон, приоритеты и другие входные данные, необходимые для оценки.

3.10 процесс менеджмента риска (risk management process): Систематические действия по управлению политикой, процедурами и методами, направленными на обмен информацией, установление целей применения, идентификацию, оценку, обработку, мониторинг и анализ риска ().

4 Обмен информацией и консультации

4.1 Краткий обзор обмена информацией и консультаций

Обмен информацией и консультации являются важными аспектами исследований на всех этапах процесса менеджмента риска. Эти действия должны обеспечить диалог и консультации с причастными сторонами.

Должен быть разработан план обмена информацией с внутренними и внешними причастными сторонами на самой ранней стадии создания процесса. Этот план должен учитывать проблемы, связанные с риском, а также с управлением процессом менеджмента риска.

Эффективные внутренний и внешний обмены информацией должны быть обеспечены лицами, ответственными за реализацию менеджмента риска, и инвесторами, занимающимися капиталовложениями, и обеспечивать одинаковое понимание принятых решений и их причин.

Причастные стороны обычно имеют различные суждения о риске, основанные на их восприятии и понимании. Эти суждения, связанные с риском или проблемами при его обсуждении, могут быть связаны с различиями в оценках, потребностях, предположениях, концепциях и интересах. Так как мнения причастных сторон могут оказать существенное влияние на принятые решения, важно идентифицировать восприятие риска причастными сторонами, зарегистрировать его и учесть при принятии решения.

Консультативный подход к управлению риском полезен для определения целей обеспечения эффективности идентификации источников риска, поиска компромиссных решений, учета различных мнений относительно оценки риска и соответствующего управления изменениями при обработке риска. Вовлечение причастных сторон также позволяет принимать решения по распределению риска. Это позволяет причастным сторонам оценить преимущества таких средств управления и необходимость согласования и поддержки плана обработки риска.

Форма и объем записей об обмене информацией и консультациях зависят от большого количества факторов и в каждом случае уникальны.

4.2 Общие положения

Менеджмент риска является не только технической задачей, поскольку действия и решения, связанные с риском, имеют большое значение в социальном плане. Обмен информацией и консультации являются неотъемлемой частью процесса менеджмента риска и должны периодически подвергаться анализу. Причастные стороны, которые понимают перспективы друг друга и, по возможности, активно участвуют в принятии совместных решений, помогают усовершенствовать менеджмент риска.

Соответствующий обмен информацией и консультации направлены на:

Улучшение осведомленности персонала о риске и процессе менеджмента риска;

Обеспечение учета мнения причастных сторон;

Обеспечение осведомленности всего персонала и причастных сторон о своих ролях, ответственности и полномочиях в области менеджмента риска.

4.3 Определение обмена информацией и консультаций

Понятие «обмен информацией о риске» обычно определяют как диалоговый процесс обмена информацией и мнениями, который включает в себя сообщения о природе риска и менеджменте риска. Это понятие применимо как к внешним причастным сторонам, так и внутри организации, отдела или сектора. Обмен информацией о риске не может решить всех возникающих проблем или конфликтов. Несоответствующий обмен информацией о риске может привести к утрате организацией доверия со стороны причастных сторон и/или недостаточному менеджменту риска.

Консультации могут быть описаны как процесс передачи данных при обмене информацией между организацией и причастными сторонами по рассматриваемой проблеме до момента принятия решения или определения направления развития. Для консультаций характерны следующие основные особенности:

Консультации являются процессом, а не результатом;

Консультации направлены на достижение консенсуса, а не на силовое решение вопроса;

Консультации являются подготовкой к процессу принятия решения, в котором не обязательно участвуют все стороны.

Обмен информацией и консультации могут быть проведены на различных уровнях организации в соответствии с установленными требованиями. В самом простом виде консультации могут иметь вид:

а) односторонней связи, которая включает в себя требования к форме представления информации, такие как годовые отчеты, информационные бюллетени, совещания и т.д.;

б) двухстороннего обмена информацией, включающего в себя понимание перспектив, верований, позиций и т.д., между заинтересованными сторонами и между организацией и ее причастными сторонами.

4.4 Важность обмена информацией и консультаций

4.4.1 Общие положения

Обмен информацией и консультации свойственны процессу менеджмента риска и должны быть рассмотрены на каждом его шаге. Важным аспектом «установления целей применения» являются идентификация причастных сторон, рассмотрение, исследование и анализ их потребностей. После этого может быть разработан план обмена информацией, в котором следует установить цели и/или задачи обмена информацией, формы консультаций и способы оценки этих процессов.

Успешный обмен информацией является существенным фактором в развитии «культуры» организации, когда позитивные и негативные субъективные оценки риска зарегистрированы и проанализированы. Обмен информацией о риске помогает организации установить свое отношение к риску.

Вовлечение других сторон или, по крайней мере, рассмотрение вопросов с другой точки зрения является существенным и решающим компонентом эффективного подхода к менеджменту риска. Обязательства причастных сторон делают менеджмент риска более определенным и обоснованным и добавляют значимости организации. Особенно важно в менеджменте риска, если причастные стороны могут:

Воздействовать на результативность предложенной обработки риска;

Быть вовлечены в инциденты риска;

Влиять на достоверность оценки риска;

Нести дополнительные затраты;

Быть в будущем объектами управления риском.

В некоторых случаях организация может отказаться от общения с причастными сторонами в целях рекламы или из соображений безопасности. В этих обстоятельствах в плане обмена информацией должно быть зафиксировано решение о невовлечении причастных сторон и учете мнения причастных сторон другими способами, например методами разведки или деловой информации.

4.4.2 Создание точного и релевантного менеджмента риска

Неявное рассмотрение риска при принятии решения или анализе присуще всем. Однако обсуждение каждого шага с другими заинтересованными сторонами является способом учета прошлого опыта.

Участие других сторон может помочь менеджменту риска стать регулярной сферой деятельности бизнеса, а затем и обычной практикой бизнеса. В этом случае менеджмент риска непосредственно связан с другими функциональными процессами организации, включая изучение рыночной конъюнктуры, промышленный шпионаж, экологический мониторинг, политические консультации, соответствие обязательным требованиям, обратную связь с клиентами, стратегическое планирование, аудит и/или оценку.

4.4.3 Добавленная стоимость для организации

Разделение информации и перспектив развития риска в пределах организации помогает создать организационную когерентность (логическую последовательность) системы менеджмента риска. При разделении информации о риске идентифицируют зоны пересечения критических областей для достижений и стратегий, направленных на реализацию поставленных целей. Важно точно определить формы мониторинга успешности и достижения результата при реализации действий. Например, разделение создает возможности для диалога между производственным персоналом и средним и высшим руководством. Консультации по менеджменту риска могут быть использованы как механизм, с помощью которого эти сотрудники принимают участие в управлении, и с точки зрения выполнимости поставленных целей и задач, и с точки зрения соответствия установленным требованиям и конкретной ситуации.

Обмен информацией с внешними причастными сторонами может помочь обеспечить гарантии и доверительность при взаимодействиях в критических областях. Эти внешние обязательства также помогают получить добавленную стоимость путем создания потенциала для партнерства с другими группами и для взаимовыгодных отношений. Например, у разных внешних причастных сторон могут быть аналогичные риски, которыми при объединении усилий можно более эффективно управлять. Консультации могут помочь в лучшем техническом понимании риска в организации.

4.4.4 Объединение множественных перспектив

Персонал организации и другие причастные стороны обычно судят о риске на основе их восприятия и понимания этого риска. Суждение о риске может сильно изменяться из-за различий в оценках, значимости, событиях, верованиях, предположениях, потребностях и интересах. Так как причастные стороны могут оказать существенное влияние на действия в области менеджмента риска, важно, чтобы их воззрение на риск было идентифицировано, зарегистрировано, а основные причины риска были для них понятны.

Воззрения могут также различаться между техническими экспертами, проектировщиками, лицами, принимающими решения, и другими причастными сторонами. Поэтому существенно важно проводить эффективный обмен информацией об уровне риска в ситуации, когда известные и достоверные решения о риске уже приняты и внедрены в организации. Подобным образом важно проводить обмен информацией о любых предположениях и неопределенности, связанных с риском.

Человек обычно принимает решение о приемлемости риска конкретного события на основе следующих факторов:

а) степень личного контроля, который может быть осуществлен над деятельностью;

б) вероятность события, приводящего к катастрофическим последствиям;

в) характер потенциальных последствий;

г) разделение рисков и преимуществ между потенциально затронутыми людьми;

д) степень, до которой подверженность риску является добровольной;

е) степень дружественных отношений или понимания деятельности.

Человек в меньшей степени готов принимать риск, если, по его мнению, он имеет:

Небольшой контроль над ситуацией или вообще не контролирует ее (например, при нахождении вблизи опасных технических объектов);

В случае страха получения конкретных негативных последствий (например, которые могут вызвать риск смертельных заболеваний) или других опасных последствий, которые человек считает опасными для себя;

В случае, если деятельность является незнакомой для конкретного человека.

Успешный обмен информацией о характере неопределенности является чрезвычайно трудным. Для принятия решений причастные стороны должны знать не только прогнозируемые уровни риска, но также и степень достоверности этих оценок.

Если у организации существуют непосредственно заинтересованные в менеджменте риска группы людей (например, жители, живущие около опасного участка), тогда степень понимания риска причастными сторонами может быть повышена путем вовлечения общества (например, жителей) в участие в обсуждении некоторых проблем менеджмента риска через консультации с общественными представителями.

4.4.5 Формирование доверия

Обмен информацией между организацией и ее внешними причастными сторонами позволяет организации эффективно взаимодействовать с вовлеченными сообществами людей и устанавливать доверительные отношения со всеми сторонами. Это особенно важно в ситуации, когда существуют низкая вероятность и тяжелые последствия опасных событий, таких как естественные опасности. Вовлечение общественных представителей может внести большее разнообразие и привести к повышению эффективности развития менеджмента риска и представлений о целях организации в области менеджмента риска. Если неопределенность высока, то важным фактором становятся представления людей и значимость риска для них. Обмен информацией о риске может быть существенным компонентом при обработке риска.

По подобным причинам важным фактором также являются доверительные отношения между персоналом внутри организации.

4.4.6 Повышение достоверности оценки риска

Опыт и экспертиза причастных сторон способствуют более глубокому пониманию риска. Учет разнообразных форм восприятия и понимания риска может привести к повышению достоверности оценок риска и позволяет избежать конформизма. Например, высшее руководство может инициировать развитие организации в новых направлениях с новыми релевантными рисками, при этом оценка последствий новых опасных событий руководителями разных уровней может различаться. Рядовые работники могут предвидеть риски, которые другие сотрудники обычно не замечают, и могут лучше оценить вероятности возникновения событий, связанных с риском, чем руководители организации.

Организация должна стремиться валидировать перечень возможных рисков на долгосрочный период на основе данных причастных сторон.

4.4.7 Обработка риска

Учет опыта причастных сторон и экспертиза, выполняемая причастными сторонами, крайне важны при разработке эффективных и приемлемых способов обработки риска. Наделение сотрудников правом принимать собственные решения, касающиеся обработки риска, помогает обеспечить принятие рекомендуемых способов обработки.

На стадии обработки риска особенно важен обмен информацией. Обмен информацией с причастными сторонами может иметь различные установленные формы взаимодействия.

4.5 Разработка процесса обмена информацией и консультации

4.5.1 Идентификация причастных сторон

Причастной стороной являются индивидуум или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию опасного события, или могут быть вовлечены в процесс менеджмента риска или другие связанные процессы организации. Другими словами, причастными сторонами являются лица или группы лиц, у которых существует легитимно установленный интерес к организации.

Существуют различные мнения относительно того, кто является причастной стороной, однако при определении причастных сторон важно составить по возможности наиболее полный их перечень. Примерами причастных сторон могут быть правление и акционеры организации, руководители и сотрудники филиалов, жители окрестной территории, органы местного самоуправления, правозащитные организации, организации по охране окружающей среды, поставщики и подрядчики, аварийные службы, средства массовой информации и др.

Если некоторые группы причастных сторон изначально пропущены, то существует вероятность того, что они появятся позже и преимущества консультаций на ранних стадиях будут упущены.

4.5.2 План обмена информацией и консультации

Степень консультаций и обмена информацией зависит от ситуации. Например, процесс менеджмента риска в ходе текущего принятия решения на месте обязательно влечет за собой менее формальный процесс обмена информацией, чем стратегический менеджмент риска на уровне организации в целом. В начале внедрения менеджмента риска организация может принять решение сконцентрировать внимание на внутренних причастных сторонах и решить более детально заняться внешними причастными сторонами в последующих циклах, используя итеративный и динамический подходы к менеджменту риска.

Существенные элементы плана обмена информацией и консультации могут быть документально оформлены в виде формального документа или опросного листа и включать в себя:

Цели обмена информацией;

Участников, которые должны быть вовлечены в этот процесс, включая следующих:

a) лица и/или группы лиц причастных сторон,

b) специалисты/эксперты,

c) команда обмена информацией;

Перспективы участников, которые должны быть учтены;

Используемые методы обмена информацией;

Применяемый процесс оценки.

Методы обмена информацией и консультации могут быть различными на разных стадиях жизненного цикла продукции.

План обмена информацией и консультации в организации зависят от установленных целей менеджмента риска. Следует решить вопрос о направлениях развития обмена информацией о риске в организации. Возможными направлениями могут быть:

Повышение осведомленности и знаний о проблеме;

Изучение причастными сторонами особенностей риска;

Влияние риска на потенциальных клиентов;

Дальнейшее углубление исследований по различным вопросам, связанным с лучшим пониманием целей менеджмента риска, критериев риска, оценок риска или обработки риска;

Достижение изменения позиции и/или поведения людей;

Любая комбинация из вышеперечисленных.

Ключевые слова: риск, менеджмент риска, процесс менеджмента риска, управление риском, обмен информацией, консультации, причастные стороны, заинтересованные стороны

Процесс менеджмента риска должен быть:

Неотъемлемой частью менеджмента;

Встраиваться в деятельность и процедуры; и

Соответствовать бизнес-процессам организации.

Процесс менеджмента риска показан на рисунке 3.

Рисунок 3 – Процесс менеджмента риска

Обмен информацией и консультирование

Обмен информацией и консультирование с внешними и внутренними заинтересованными сторонами осуществляются на всех этапах процесса менеджмента риска.

Поэтому планы по обмену информацией и консультированию должны разрабатываться на раннем этапе. Они должны рассматривать вопросы, касающиеся самого риска, его причин, его последствий (если известны) и мер, предпринимаемых для его обработки. Должен осуществляться эффективный внешний и внутренний обмен информацией и консультирование с тем, чтобы гарантировать, что лица, ответственные за реализацию процесса менеджмента риска и заинтересованные лица представляют, на каком основании принимаются решения, и осознают причины того, почему требуются конкретные действия.

Подход, касающийся консультативной группы, может:

Помочь соответствующим образом установить контекст;

Гарантировать, что интересы заинтересованных сторон осознаются и рассматриваются;

Обеспечивать идентификацию рисков соответствующим образом;

Соединять вместе различные области оценки для анализа рисков;

Обеспечивать рассмотрение должным образом различных точек зрения при определении критериев риска и при оценивании рисков;

Обеспечивать утверждение и обоснование плана обработки риска;

Усовершенствовать соответствующее управление изменениями во время процесса менеджмента риска; и

Разрабатывать соответствующий внешний и внутренний обмен информацией и план консультирования.

Обмен информацией и консультирование с заинтересованными сторонами является важным аспектом, так как выводы о риске основываются на восприятии риска заинтересованными сторонами. Эти восприятия могут различаться вследствие различий в ценностях, потребностях, предположениях, концепциях и интересах заинтересованных сторон. Так как точки зрения могут иметь существенное влияние на принимаемые решения, то восприятия заинтересованных сторон необходимо идентифицировать, документировать и учитывать в процессе принятия решений.

Обмен информацией и консультирование должны обеспечивать соответствующий, точно определенный и доступный обмен информацией с учетом аспектов конфиденциальности и сохранности.

Определение контекста

Посредством установления контекста организация формулирует свои цели, определение менеджмента риска, а также определяет область применения и критерии риска для процесса. Поскольку многие эти параметры аналогичны тем, которые рассматриваются при разработке структуры менеджмента риска, при определении контекста процесса менеджмента риска, их следует рассматривать более подробно и, в частности, то, как они связаны с областью применения конкретного процесса менеджмента риска.

Установление внешнего контекста

Внешний контекст − это внешняя среда, в которой организация стремится достигать свои цели.

Понимание внешнего контекста является важным, чтобы гарантировать, что цели и интересы внешних заинтересованных сторон рассматриваются при разработке критериев риска. Он основывается на контексте всей организации, но с конкретными подробностями законодательных и обязательных требований, восприятиями заинтересованных сторон и другими аспектами рисков, характерными для области применения процесса менеджмента риска.

Внешний контекст может включать:

Социальную, культурную, политическую, правовую, законодательную, финансовую, технологи-ческую, экономическую, естественную и рыночную среду на международном, региональном, нацио-нальном или локальном уровне;

Основные факторы и тенденции, влияющие на цели организации; и

Взаимосвязи с внешними заинтересованными сторонами, их восприятия и ценности.

Установление внутреннего контекста

Внутренний контекст – это внутренняя среда, в которой организация стремится достигать свои цели.

Процесс менеджмента риска должен соответствовать деятельности, процессам, структуре и стратегии организации. Внутренний контекст – это что-либо в масштабе организации, что может влиять на способ, которым организация будет осуществлять менеджмента риска. Его необходимо определить, потому что:

a) менеджмент риска имеет место в контексте целей организации;

b) цели и критерии конкретного проекта, процесса или деятельности следует рассматривать, принимая во внимание цели организации в целом; и

c) некоторые организации не устанавливают возможности достижения своих стратегических, проектных или экономических целей, и это влияет на обязательства организации, надежность, доверие и ценность.

Необходимо понимать внутренний контекст. Он может включать:

Руководство, организационную структуру, функции и обязательства;

Политику, цели и стратегии, имеющиеся для достижения этих целей;

Возможности, исходя из ресурсов и знаний (например, капитал, время, люди, процессы, сис темы и технологии);

Взаимосвязи с внутренними заинтересованными сторонами, их восприятия и ценности;

Деятельность организации;

Информационные системы, информационные потоки и процессы принятия решений (как официальные, так и неофициальные);

Стандарты, руководства и модели, принятые организацией; и

Форму и объем контрактных взаимоотношений.

Установление контекста процесса менеджмента риска

Необходимо устанавливать цели, стратегии, область применения и параметры деятельности организации или тех ее частей, где применяется процесс менеджмента риска. Менеджмент риска следует предпринимать с полным рассмотрением необходимости обоснования ресурсов, используемых при осуществлении менеджмента риска. Следует также определять требуемые ресурсы, ответственность и полномочия, а также сохраняемые записи.

Контекст процесса менеджмента риска изменяется в зависимости от потребностей организации. Он может включать:

Определение задач и целей менеджмента риска;

Определение ответственности за процесс менеджмента риска и в рамках этого процесса;

Определение области применения, а также границ менеджмента риска, включая отдельные дополнения и ограничения;

Определение деятельности, процесса, функции, проекта, продукции, услуги или актива, исходя из времени и расположения;

Определение взаимосвязей между конкретным проектом, процессом или деятельностью и другими проектами, процессами или видами деятельности организации;

Определение методологии оценки риска;

Определение способа оценки показателей и эффективности менеджмента риска;

Установление и определение решений, которые необходимо принять; и

Определение, анализ и обозначение границ необходимых исследований, их объемов и целей, а также ресурсов, требуемых для таких исследований.

Рассмотрение данных и других значимых факторов, должно способствовать обеспечению того, что принятый подход менеджмента риска соответствует обстоятельствам, организации и рискам, влияющим на достижение ее целей.

Определение критериев риска

Организация должна определять критерии, которые необходимо использовать для оценки значимости риска. Критерии должны отражать ценности, цели и ресурсы организации. Некоторые критерии могут устанавливаться на основе законодательных и обязательных требований, а также других требований, которые взяла на себя организация. Критерии риска должны быть согласованы с политикой менеджмента риска организации (см. 4.3.2), определены в начале любого процесса менеджмента риска и должны подвергаться постоянному анализу.

При определении критериев риска необходимо рассматривать следующие факторы:

Характер и типы причин и последствий, которые могут возникать, и то, как их следует измерять;

Как следует определять вероятность;

Временные рамки вероятности и/или последствия(ий);

Как должен быть определен уровень риска;

Мнения заинтересованных сторон;

Уровень, на котором риск становится приемлемым или допустимым; и

Принимать ли во внимание комбинации нескольких рисков и, если да, то, каким образом и какие комбинации следует рассматривать.

Оценка риска

Оценка риска – это целостный процесс идентификации риска, анализа риска и оценивания риска.

Примечание – ISO/IEC 31010 содержит руководство по методам оценки.

Идентификация риска

Организация должна идентифицировать источники риска, области воздействия, события (включая изменения в обстоятельствах) и их причины, а также их потенциальные последствия. Цель данного этапа заключается в составлении подробного перечня рисков, основанного на тех событиях, которые могут создавать, повышать, предотвращать, снижать, ускорять или замедлять достижение целей. Важно идентифицировать риски, связанные с отклонением от благоприятного события. Полная идентификация является важной, так как риск, который не был идентифицирован на данном этапе, не будет включен в дальнейший анализ.

Идентификация должна включать риски независимо от того, контролирует ли организация его источник или нет, даже если источник риска или его причина могут быть не очевидны. Идентификация риска должна включать исследование воздействий конкретных последствий, включая каскадные и кумулятивные эффекты. Также необходимо рассматривать широкий спектр последствий, даже если источник риска или его причина могут быть не очевидны. Наряду с идентификацией событий, которые могут произойти, необходимо рассматривать возможные причины и сценарии, которые показывают, какие последствия могут происходить. Следует рассматривать все значимые причины и последствия.

Организация должна применять инструменты и методики идентификации риска, которые подходят для ее целей и возможностей, а также соответствуют рискам, с которыми она сталкивается. При идентификации рисков большое значение имеет соответствующая и актуализированная информация. При необходимости она должна включать соответствующую дополнительную информацию. Для идентификации рисков должны привлекаться люди с соответствующими знаниями.

Анализ риска

Анализ риска обеспечивает понимание риска. Анализ риска предоставляет входные данные для оценивания риска и принятия решений, относительно обработки рисков, а также для выбора стратегий и методов наиболее подходящей обработки рисков. Анализ риска может также предоставлять входные данные для принятия решений, когда требуется сделать выбор, а варианты включают различные типы и уровни риска.

Анализ риска включает рассмотрение причин и источников риска, их положительных и отрицательных последствий и вероятности того, что эти последствия могут произойти. Следует идентифицировать факторы, влияющие на последствия и вероятность их возникновения. Риск анализируют посредством определения последствий и вероятности их возникновения, а также других признаков риска. Событие может иметь различные последствия и может воздействовать на различные цели. Во внимание также следует принимать существующие средства управления, их результативность и эффективность.

Способ, которым выражают последствия и вероятность их возникновения, и способ их объединения с целью определения уровня риска, должны отражать тип риска, имеющуюся информацию и цель, для которой результат оценки риска должен использоваться. Все это должно соответствовать критериями риска. Важно также рассматривать взаимозависимость различных рисков и их источников.

При анализе рассматривают достоверность определения уровня риска и его чувствительность к предположениям и допущениям, а также доводят информацию до лиц, принимающих решения, и при необходимости других заинтересованных сторон. Необходимо установить и выделить такие факторы, как наличие разных точек зрения среди экспертов, неопределенность, доступность, качество, количество и актуальность информации, а также ограничения моделирования.

Анализ риска может осуществляться с различной степенью детальности анализа, в зависимости от риска, цели анализа и информации, данных и имеющихся ресурсов. Анализ может быть качественным, полуколичественным или количественным, либо их комбинацией в зависимости от обстоятельств.

Последствия и вероятность их возникновения можно определять посредством моделирования результатов события или ряда событий, или на основе экстраполяции экспериментальных исследований или имеющихся данных. Последствия могут быть выражены в виде материальных или нематериальных воздействий. В некоторых случаях требуется несколько численных значений или признаков для определения последствий и вероятности их возникновения для различных сроков, мест, групп или ситуаций.

Оценивание риска

Целью оценивания риска является содействие принятию решений, основанных на результатах анализа риска, относительно необходимости обработки рисков и установления приоритета осуществления обработки риска.

Оценивание риска включает сравнение уровня риска, выявленного в процессе анализа, с критериями риска, установленными при рассмотрении контекста. На основании этого сравнения определяется необходимость обработки риска.

При принятии решений следует учитывать более широкий контекст риска и включать рассмотрение допустимых рисков, принимаемых сторонами, за исключением организации, которая извлекает выгоду из риска. Решения должны быть приняты в соответствии с законодательными, обязательными и другими требованиями.

При некоторых обстоятельствах оценивание риска приводит к решению о проведении дополнительного анализа. Оценивание риска также может привести к решению не обрабатывать риск каким-либо образом, за исключением применения средств управления. На это решение влияет отношение организации к риску и установленные критерии риска.

Обработка риска

Обработка риска включает выбор одного или нескольких вариантов изменения рисков и применение этих вариантов. Меры обработки обеспечивают применение средств управления или меняют средства управления.

Обработка риска включает циклический процесс:

Оценивания обработки риска;

Принятия решения, являются ли уровни остаточного риска допустимыми;

Проведение новой обработки риска, если уровни остаточного риска не допустимы; и

Оценивание результативности этой обработки.

Варианты обработки риска не обязательно могут быть взаимоисключающими или быть подходящими для всех обстоятельств. Варианты могут включать:

a) предотвращение риска посредством принятия решения не начинать или не продолжать деятельность, в результате которой возникает риск;

b) принятие или увеличение риска для достижения цели;

c) устранение источника риска;

d) изменение вероятности;

e) изменение последствий;

f) разделение риска с другой стороной или сторонами (включая контракты и финансирование риска); и

g) принятие риска на основании обоснованного решения.

Выбор вариантов обработки риска

Выбор наиболее подходящего варианта обработки риска включает сопоставление затрат и усилий по реализации с извлекаемыми преимуществами с учетом законодательных, обязательных и других требований, таких как социальная ответственность и защита окружающей среды. При принятии решения следует принимать во внимание риски, которые требуют обработки риска, не обоснованной с экономической точки зрения, например, риски серьезные (значительные отрицательные последствия), но редкие (с низкой вероятностью возникновения).

Варианты обработки можно рассматривать и применять либо по отдельности, либо в комбинации. Организация обычно может извлекать преимущества от принятия комбинации вариантов обработки.

При выборе вариантов обработки риска организация должна рассматривать интересы и восприятия заинтересованных сторон и наиболее подходящие способы обмена информацией с ними. Если варианты обработки риска могут воздействовать на риск где-либо еще в организации, или в отношении заинтересованных сторон, то при приятии решения это следует учитывать. Несмотря на одинаковую эффективность, некоторые варианты обработки риска для одних заинтересованных сторон могут быть более приемлемыми, чем для других.

План обработки риска должен четко определять порядок, в соответствии с которым должны применяться отдельные варианты обработки риска.

Сама по себе обработка риска может вызывать риски. Существенным риском может быть отсутствие или неэффективность мер обработки риска. Мониторинг должен быть неотъемлемой частью плана обработки риска, чтобы гарантировать, что меры остаются эффективными.

Обработка риска может также вызывать вторичные риски, которые необходимо оценивать, обрабатывать, контролировать и анализировать. Эти вторичные риски должны включаться в тот же план обработки, что и первоначальный риск, и не рассматриваться как новый риск. Необходимо идентифицировать и поддерживать связь между двумя рисками.

Подготовка и реализация планов обработки риска

Целью планов обработки риска является документирование того, как должны реализовываться выбранные варианты обработки. Информация, представленная в планах обработки рисков, должна включать:

Основания для выбора вариантов обработки риска, включая ожидаемые преимущества, которые будут получены;

Лиц, отвечающих за утверждение плана, а также лиц, ответственных за реализацию плана;

Предлагаемые действия;

Требования к ресурсам, включая возможные непредвиденные обстоятельства;

Показатели выполнения и ограничения;

Требования к отчетности и мониторингу; и

Сроки и график выполнения.

Планы обработки рисков должны быть объединены с процессами менеджмента организации и должны обсуждаться с соответствующими заинтересованными сторонами.

Лица, принимающие решения, и другие заинтересованные стороны должны быть осведомлены о характере и степени остаточного риска после обработки риска. Остаточный риск должен быть документально оформлен и должен подвергаться мониторингу, анализу и, при необходимости, дополнительной обработке.

Мониторинг и анализ

Мониторинг и анализ должны быть планируемой частью процесса менеджмента риска и включать регулярную проверку или контроль. Они могут быть периодическими или специальными.

Должна быть четко определена ответственность за мониторинг и анализ.

Процессы мониторинга и анализа, осуществляемые организацией, должны включать все аспекты процесса менеджмента риска в целях:

Обеспечения того, что средства контроля являются эффективными и результативными как для проектирования, так и для функционирования;

Получения дополнительной информации для улучшения оценки риска;

Анализа и изучения событий (включая инциденты без последствий), изменений, основных направлений развития, успехов и неудач;

Выявления изменений во внешнем и внутреннем контексте, включая изменения критериев риска, а также риска, который может потребовать пересмотра обработок риска и приоритетов; и

Идентификации возникающих рисков.

Выполнение планов обработки рисков определяет оценку деятельности. Результаты могут быть включены в общий менеджмент организации, оценку, а также деятельность по предоставлению внешней и внутренней информации.

Результаты мониторинга и анализа должны быть документально оформлены и, при необходимости, доведены до сведения на внешнем и внутреннем уровнях, а также должны использоваться в качестве входных данных для пересмотра структуры менеджмента риска.

Документирование процесса менеджмента риска

Деятельность по менеджменту риска должна быть прослеживаемой. В процессе менеджмента риска записи обеспечивают основу для улучшения методов и инструментов, а также всего процесса.

При принятии решений о ведении записей необходимо принимать во внимание следующее:

Потребности организации в постоянном накоплении знаний;

Преимущества повторного использования информации в целях управления;

Затраты и усилия, включенные в создание и поддержание записей;

Законодательные, обязательные требования, а также потребности, связанные с особенностями деятельности, относящиеся к записям;

Метод доступа, простота восстановления и носители информации;

Срок хранения; и

Конфиденциальность информации.

ГОСТ Р ИСО 31000-2010

Группа Т58

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Менеджмент риска

ПРИНЦИПЫ И РУКОВОДСТВО

Risk management. Principles and guidelines

ОКС 03.100.01

Дата введения 2011-09-01

Предисловие

1 ПОДГОТОВЛЕН Научно-техническим центром "ИНТЕК" на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 "Стратегический и инновационный менеджмент"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. N 883-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 31000:2009* "Менеджмент риска. Принципы и руководство" (ISO 31000:2009 "Risk management - Principles and guidelines" IDT)
________________
* Доступ к международным и зарубежным документам, упомянутым здесь и далее по тексту, можно получить, перейдя по ссылке . - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соотвентствие с ГОСТ Р 1.5 (пункт 3.5)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Июнь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации" . Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Организации всех типов и размеров сталкиваются с внутренними и внешними факторами и воздействиями, которые порождают неопределенность в отношении того, достигнут ли они своих целей, и когда. Влияние такой неопределенности на цели организации и есть "риск".

Вся деятельность организации включает в себя риск. Организации осуществляют риск-менеджмент посредством его идентификации, его анализа и последующего оценивания, будет ли риск изменен воздействием, чтобы соответствовать установленным критериям риска. На протяжении всего этого процесса они обмениваются информацией и консультируются с заинтересованными сторонами, а также наблюдают и анализируют риск и действия по управлению, которые изменяют риск для гарантии того, что какого-либо воздействия на риск в дальнейшем больше не потребуется. Настоящий стандарт подробно описывает этот систематический и логический процесс.

Поскольку все организации в определенной степени управляют риском, настоящий стандарт устанавливает ряд принципов, которые необходимо соблюдать для того чтобы менеджмент риска был эффективным. Настоящий стандарт рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру.

Менеджмент риска может применяться ко всей организации в любое время в ее многих областях и на многих уровнях, а также к особым функциям, проектам и видам деятельности.
________________
В силу этого во многих областях установилась различная словоупотребительная практика в отношении понятия "менеджмент риска". Поэтому очень часто в научно-технической литературе встречается словосочетание "риск-менеджмент". Далее по тексту стандарта, где это уместно, также для простоты данное словосочетание используется наряду с общепринятым.

Несмотря на непрерывное развитие практики менеджмента во многих отраслях с целью соответствия различным потребностям, внедрение постоянных процессов в рамках общей инфраструктуры может способствовать эффективному и результативному управлению рисками во всей организации. Обобщенный подход, описанный в настоящем стандарте, устанавливает принципы и руководства управления рисками любой формы системным, прозрачным и надежным образом и в рамках любой области и содержания.

Каждая конкретная отрасль или сфера применения риск-менеджмента имеет свои отдельные потребности, потребителей, восприятия и критерии. Поэтому основной особенностью настоящего стандарта является включение "определения ситуации (контекста)" как деятельности, проводимой в начале общего процесса риск-менеджмента. При определении ситуации (контекста) необходимо рассматривать цели организации, окружающую среду, в которой эти цели достигаются, заинтересованные стороны и разнообразие критериев риска, все то, что помогает выявлять и оценивать характер и сложность этих рисков.

На рисунке 1 показаны взаимосвязи принципов менеджмента риска, инфраструктуры и процессов менеджмента риска, описанных в настоящем стандарте.

Рисунок 1 - Взаимосвязи между принципами, инфраструктурой и процессом менеджмента риска

При применении и поддержании в соответствии с настоящим стандартом риск-менеджмент дает возможность организации:

- повышать возможность достижения целей;

- поддерживать активный менеджмент;

- осознавать необходимость идентификации и воздействия на риски по всей организации;

- улучшать идентификацию возможностей и угроз;

- отвечать соответствующим законодательным и другим обязательным требованиям и международным нормам;

- улучшать обязательную и управленческую отчетность;

- улучшать управление;

- укреплять доверие заинтересованных сторон;

- создавать надежный базис для принятия решений и планирования;

- совершенствовать управление;

- эффективно распределять и использовать ресурсы для воздействия на риск;

- повышать функциональную эффективность и результативность;

- повышать уровень обеспечения безопасности, здоровья, а также защиты окружающей среды;

- совершенствовать предотвращение потерь и менеджмент инцидентов;

- сводить к минимуму потери;

- улучшать обучение в организации;

- повышать устойчивость организации.

Настоящий стандарт предназначен для удовлетворения потребностей широкого круга заинтересованных сторон, включая:

a) лиц, ответственных за разработку политики управления рисками внутри организации;

b) лиц, ответственных за обеспечение эффективности управления рисками в рамках организации в целом или в рамках конкретной области, проекта или деятельности;

c) лиц, которым необходимо оценивать эффективность организации по управлению рисками;

d) разработчиков стандартов, руководств, процедур и добросовестных практик, которые в целом или частично устанавливают как осуществлять риск-менеджмент в рамках конкретных ситуаций в этих документах.

Современные практики и процессы управления многих организаций включают компоненты риск-менеджмента, а многие организации уже используют формальный процесс риск-менеджмента для конкретных типов риска или обстоятельств. В этих случаях организация может принять решение о проведении критического обзора используемых ею практик и процессов в свете настоящего стандарта.

В настоящем стандарте используются оба выражения: как термин "менеджмент риска ("risk management")", так и термин "управление риском" ("managing risk"). В общих чертах "менеджмент риска" относится к архитектуре (принципам, инфраструктуре и процессу) эффективного управления рисками, в то время как "управление рисками" относится к применению этой архитектуры к конкретным рискам.

Международный стандарт был подготовлен рабочей группой по риск-менеджменту Технического управляющего бюро ИСО (ТМВ).

1 Область применения

Настоящий стандарт устанавливает принципы и общее руководство по риск-менеджменту.

Настоящий стандарт может использовать любое государственное, частное или общественное предприятие, ассоциация, группа лиц или отдельное лицо. Этот стандарт не является специфическим для какой-либо промышленности или отрасли.

Примечание - Всех различных пользователей настоящего стандарта называют для удобства общим термином "организация".

Настоящий стандарт может применяться в течение всего жизненного цикла организации и для широкого спектра деятельности, включая стратегии и решения, операции, процессы, функции, проекты, продукцию, услуги и активы.

Настоящий стандарт может применяться к любому типу риска, независимо от его характера, а также того, имеет ли он отрицательные или положительные последствия.

Несмотря на то что настоящий стандарт предоставляет обобщенное руководство, он не предназначен для обеспечения единообразия риск-менеджмента во всех организациях. При создании и применении планов, касающихся инфраструктуры риск-менеджмента, необходимо учитывать различные потребности конкретной организации, ее частные цели, ситуацию (контекст), структуру, операции, процессы, функции, проекты, продукты, услуги или активы, а также конкретную практику, принятую в организации.

Это следует понимать в том смысле, что настоящий стандарт необходимо использовать для гармонизации процессов управления риском, описанных в существующих действующих и будущих стандартах. Он устанавливает общий подход для поддержки стандартов, распространяющихся на конкретные риски и/или отрасли, и не заменяет эти стандарты.

Настоящий стандарт не предназначен для целей сертификации.

2 Термины и определения

В настоящем стандарте применяют следующие термины с соответствующими определениями:

2.1 риск (risk): Влияние неопределенности на цели.

Примечание 1 - Влияние - это отклонение от того, что ожидается (положительное и/или отрицательное).

Примечание 2 - Цели могут иметь различные аспекты (например, финансовые и экологические цели и цели в отношении здоровья и безопасности) и могут применяться на различных уровнях (стратегических, в масштабах организации, проекта, продукта или процесса).

Примечание 3 - Риск часто характеризуется ссылкой на потенциально возможные события (2.17) и последствия (2.18) или их комбинации.

Примечание 4 - Риск часто выражают в виде комбинации последствий событий (включая изменения в обстоятельствах) и связанной с этим вероятности или возможности наступления (2.19).

Примечание 5 - Неопределенность - это состояние, заключающееся в недостаточности, даже частичной, информации, понимания или знания относительно события, его последствий или его возможности.

[Руководство ИСО 73:2009, определение 1.1]

2.3 инфраструктура менеджмента риска (risk management framework): Набор компонентов, обеспечивающих основы и организационные меры и структуру для разработки, внедрения, мониторинга (2.28), пересмотра и постоянного улучшения менеджмента риска (2.2) в масштабе всей организации.

Примечание 1 - Основы включают политику, цели, полномочия и обязательства по управлению риском (2.1).

Примечание 2 - Организационные меры и структура включают планы, взаимосвязи, ответственность, ресурсы, процессы и деятельность.

Примечание 3 - Инфраструктура менеджмента риска встроена во все стратегические и операционные политики и практики организации.

[Руководство ИСО 73:2009, определение 2.1.1]

2.10 внешняя ситуация (контекст) (external context): Внешняя среда, в которой организации стремятся к достижению своих целей.

Примечание - Внешняя ситуация (контекст) может включать:

- культурную, социальную, правовую, регулирующую, финансовую, технологическую, экономическую, естественную и рыночную среду на международном, национальном, региональном или на местном уровне;

- основные движущие силы и тенденции, влияющие на цели организации;

- взаимосвязи с заинтересованными сторонами (2.13), их ожидания и ценности.

[Руководство ИСО 73:2009, определение 3.3.1.1]

2.11 внутренняя ситуация (контекст) (internal context): Внутренняя среда, в которой организация стремится к достижению своих целей.

Примечание - Внутренняя ситуация (контекст) может включать:

- руководство, организационную структуру, роли и ответственности;

- политики, цели и стратегии, доступные с точки зрения их достижения;

- возможности, понимаемые в отношении ресурсов и знания (например, капитал, время, люди, процессы, системы и технологии);

- взаимосвязи с внутренними заинтересованными сторонами, их ожиданиями и ценностями;

- организационную культуру;

[Руководство ИСО 73:2009, определение 3.3.1.2]

2.12 обмен информацией и консультирование (communication and consultation): Непрерывные и итерационные процессы, которые организация осуществляет для обеспечения, совместного использования или получения информации и ведения диалога с заинтересованными сторонами (2.13), касающегося управления рисками (2.1).

Примечание 1 - Информация может касаться наличия, характера, формы, вероятности или возможности (2.19), важности, приемлемости, оценивания (2.24) и воздействия на риск (2.25).

Примечание 2 - Консультирование - это двусторонний процесс квалифицированного обмена информацией между организацией и ее заинтересованными сторонами по любому вопросу, перед тем как вынести решение или перед определением направления решения этого вопроса. Консультирование - это:

- процесс, который воздействует на принимаемое решение посредством влияния, а не властных полномочий;

- отправная точка принятия решений, а не совместное принятие решений.

[Руководство ИСО 73:2009, определение 3.2.1]

2.17 событие (event): Возникновение или изменение ряда конкретных обстоятельств.

Примечание 1 - Событие может иметь одно или несколько происхождений и может иметь несколько причин.

Примечание 2 - Событие может заключаться в том, что какое-то явление не имело места.

Примечание 3 - Иногда событие может рассматриваться как "инцидент" или "несчастный случай".

Примечание 4 - Событие без последствий (2.18) можно также рассматривать как "случайное избежание", "инцидент", "почти опасное или опасное", "почти произошедшее".

[Руководство ИСО 73:2009, определение 3.5.1.3]

2.19 вероятность, возможность (likelihood): Шанс того, что что-то может произойти.

Примечание 1 - В терминологии менеджмента риска термин "вероятность" или "возможность" означает шанс того, что что-то может произойти, независимо от того, установлено ли это, измерено или определено объективно или субъективно, качественно или количественно, и описывается ли с помощью общих понятий или математически (например, как вероятность или частота за данный период времени).

Примечание 2 - Английский термин "likelihood" не имеет прямого перевода на некоторые языки: вместо этого часто используется перевод слова "probability". Однако в английском языке термин "probability" часто понимают в узком математическом смысле. Поэтому в терминологии менеджмента риска термин "likelihood" используется с той целью, чтобы придать ему настолько же широкий смысл, какой имеет слово "probability" во многих языках, кроме английского.

[Руководство ИСО 73:2009, определение 3.6.1.1]

2.25 воздействие на риск (risk treatment): Процесс модификации (изменения) риска (2.1).

Примечание 1 - Воздействие на риск может включать:

- избежание риска посредством решения не начинать или не продолжать деятельность, в результате которой возникает риск;

- принятие или увеличение риска для использования благоприятной возможности;

- устранение источника риска (2.16);

- изменение вероятности или возможности (2.19);

- изменение последствий (2.18);

- разделение риска с другой стороной или сторонами (включая контракты и финансирование риска);

- осознанное удержание риска.

Примечание 2 - Воздействие на риск, имеющий отрицательные последствия, иногда называют "смягчением риска", "устранением риска", "предупреждением риска" и "снижением риска".

Примечание 3 - Воздействие на риск может создавать новые риски или изменять существующие риски.

[Руководство ИСО 73:2009, определение 3.8.1]

3 Принципы

В целях эффективного управления риском организация должна на всех уровнях соответствовать нижеуказанным принципам:

a) риск-менеджмент создает и защищает ценность .
________________
В контексте корпоративного и финансового риск-менеджмента - общепринятый перевод термина "стоимость".

Риск-менеджмент наглядно способствует достижению целей и улучшению деятельности, например, обеспечения здоровья и безопасности людей, защиты, соответствия законодательным и другим обязательным требованиям, общественного признания, защиты окружающей среды, качества продукции, менеджмента проектов, результативности функций, руководства и репутации;

b) риск-менеджмент является неотъемлемой частью всех организационных процессов .

Риск-менеджмент не является обособленной деятельностью, которая отделена от основной деятельности и процессов в организации. Риск-менеджмент - это часть обязательств руководства и неотъемлемая часть всех организационных процессов, включая стратегическое планирование и все процессы управления проектами и изменениями;

c) риск-менеджмент является частью процесса принятия решений.

Риск-менеджмент помогает лицам, принимающим решения, делать обоснованный выбор, определять приоритетность действий и проводить различия между альтернативными направлениями действий;

d) риск-менеджмент явным образом связан с неопределенностью.

Риск-менеджмент четко учитывает неопределенность, характер этой неопределенности и как с ней обращаться;

e) риск-менеджмент является систематическим, структурированным и своевременным.

Систематический, регулярный и структурированный подход к риск-менеджменту способствует эффективности и устойчивым, сравнимым и надежным результатам;

f) риск-менеджмент основывается на наилучшей доступной информации.

Входные данные для процесса риск-менеджмента основываются на таких источниках информации, как исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы и экспертные оценки. Однако лица, принимающие решения, должны отдавать себе отчет и принимать во внимание любые ограничения данных или используемого моделирования или возможности расхождений мнений среди экспертов.

g) риск-менеджмент является адаптируемым.

Риск-менеджмент должен соответствовать внешней и внутренней ситуации (контекста) и профилю риска;

h) риск-менеджмент учитывает человеческие и культурные факторы.

Риск-менеджмент признает возможности, восприятия и намерения людей за пределами и внутри организации, которые могут способствовать или затруднять достижение целей организации;

i) риск-менеджмент является прозрачным и учитывает интересы заинтересованных сторон.

Соответствующее и своевременное вовлечение заинтересованных сторон и, в частности, лиц, принимающих решения, на всех уровнях организации гарантирует, что риск-менеджмент остается на надлежащем уровне и отвечает современным требованиям. Это позволяет заинтересованным сторонам быть должным образом представленными и быть уверенными в том, что их мнение принимается во внимание в процессе установления критериев риска;

j) риск-менеджмент является динамичным, итеративным и реагирующим на изменения;

Риск-менеджмент непрерывно распознает изменения и реагирует на них. Как только происходит внешнее или внутреннее событие, контекст или знания изменяются, осуществляются мониторинг и пересмотр рисков, новые риски появляются, некоторые изменяются, другие исчезают;

k) риск-менеджмент способствует постоянному улучшению организации.

Организации должны разрабатывать и применять стратегии повышения совершенства риск-менеджмента одновременно с другими своими аспектами.

В приложении А приведены дальнейшие рекомендации организациям, желающим управлять рисками более эффективно.

4 Инфраструктура

4.1 Общие положения

Успех риск-менеджмента зависит от эффективности инфраструктуры менеджмента, предоставляющей базовые основы и мероприятия, которые должны использоваться во всей организации на всех уровнях. Инфраструктура способствует эффективному управлению рисками посредством применения процесса риск-менеджмента (см. раздел 5) на различных уровнях и в рамках конкретной ситуации (контекста) в организации. Инфраструктура гарантирует, что информация о риске, полученная из процесса риск-менеджмента, должным образом регистрируется и используется в качестве основы для принятия решения и отчетности на всех соответствующих уровнях организации.

В настоящем разделе представлены необходимые элементы инфраструктуры риск-менеджмента и способ, обеспечивающий их взаимосвязь итеративным образом, как показано на рисунке 2.

Рисунок 2 - Взаимосвязь между элементами инфраструктуры риск-менеджмента

Настоящая инфраструктура предназначена не для того, чтобы предписать систему управления, а для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента. Таким образом, организации должны адаптировать элементы инфраструктуры для своих конкретных потребностей.

Если практики и процессы менеджмента, существующие в организации, включают элементы риск-менеджмента, или если организация уже приняла формально процесс риск-менеджмента для отдельных рисков или ситуаций, то их необходимо критически анализировать и оценивать на соответствие настоящему стандарту, включая признаки, содержащиеся в приложении А, чтобы определить их адекватность и эффективность.

4.2 Полномочия и обязательства

Внедрение риск-менеджмента и обеспечение его постоянной эффективности требует принятия со стороны руководства организации четко сформулированных и последовательно выполняемых обязательств по реализации плана управления на всех уровнях, а также подробного стратегического планирования для выполнения этих обязательств. Руководство должно:

- определять и поддерживать политику менеджмента риска;

- гарантировать согласованность культуры организации и ее политики менеджмента риска;

- определять критерии эффективности риск-менеджмента, которые должны соотноситься с критериями эффективности организации в целом;

- согласовывать цели риск-менеджмента с целями и стратегиями организации;

- обеспечивать правовое и регулятивное соответствие;

- устанавливать ответственность и обязательства на соответствующих уровнях в масштабах организации;

- обеспечивать распределение необходимых ресурсов для риск-менеджмента;

- предоставлять информацию своим заинтересованным сторонам о выгодах риск-менеджмента и

- обеспечивать, чтобы инфраструктура риск-менеджмента продолжала оставаться соответствующей.

4.3 Разработка инфраструктуры менеджмента риска

4.3.1 Понимание организации и ее ситуации (контекста)

Прежде чем приступить к разработке и внедрению инфраструктуры риск-менеджмента, важно оценить и понять как внешнюю, так и внутреннюю ситуацию (контекст) в организации, т.к. она может значительным образом влиять на разработку инфраструктуры.

Оценивание внешней ситуации (контекста) организации может включать, но не ограничиваться этим:

c) взаимосвязи с внешними заинтересованными сторонами, их ценностями и восприятием.

Оценивание внутренней ситуации (контекста) организации может включать, но не ограничиваться этим:

- информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные);

- взаимосвязи с внутренними заинтересованными сторонами, их ценностями и восприятием;

- культуру организации;

- стандарты, руководства и модели, принятые организацией, и

- форму и содержание контрактных отношений.

4.3.2 Установление политики менеджмента риска

Политика менеджмента рисков должна четко устанавливать цели организации и обязательства в отношении риск-менеджмента и, как правило, закреплять:

- обоснование потребности организации в менеджменте риска;

- связи между целями и политиками организации и политикой менеджмента риска;

- подотчетность и ответственность в отношении риск-менеджмента;

- способы разрешения конфликтов интересов;

- обязательство по обеспечению доступа к необходимым ресурсам для содействия лицам, подотчетным и ответственным за риск-менеджмент;

- способ, которым будут измерять и отчитываться об эффективности деятельности по риск-менеджменту;

- обязательство пересматривать и улучшать политику и инфраструктуру риск-менеджмента периодически, а также в случае наступления событий или изменения обстоятельств.

Политика риск-менеджмента должна быть правильно донесена до заинтересованных сторон.

4.3.3 Ответственность

Организация должна обеспечивать наличие ответственности, полномочий и соответствующей компетенции для риск-менеджмента, включая внедрение и поддержку процесса риск-менеджмента и обеспечение адекватности, результативности и эффективности любого контроля. Этому должно способствовать:

- установление владельцев рисков, ответственных и уполномоченных управлять рисками;

- определение лиц, ответственных за разработку, внедрение и поддержание инфраструктуры риск-менеджмента;

- установление других видов ответственности работников на всех уровнях в организации за процесс риск-менеджмента;

- установление процессов измерения результативности и внешних и/или внутренних процессов отчетности и ее доведения до сведения руководства;

- обеспечение соответствующих уровней признания.

4.3.4 Интеграция в организационные процессы

Риск-менеджмент необходимо включать во все практики и процессы организации таким образом, чтобы он осуществлялся адекватно, эффективно и результативно. Процесс риск-менеджмента должен стать частью этих организационных процессов и не должен отделяться от них. В частности, риск-менеджмент должен быть встроен в разработку политики, в процессы стратегического и бизнес-планирования, включая корректировку планов, а также в процесс управления изменениями.

План менеджмента риска должен быть разработан в масштабах организации для того, чтобы гарантировать применение политики риск-менеджмента и включение риск-менеджмента во все практики и процессы организации. План менеджмента риска может быть интегрирован в другие планы организации, например в стратегический план.

4.3.5 Ресурсы

Организация должна предоставить ресурсы, достаточные для целей риск-менеджмента.

Необходимо учитывать:

- людей, навыки, опыт и компетентность;

- ресурсы, необходимые для каждого этапа процесса риск-менеджмента;

- процессы, методы и инструменты организации, которые необходимо использовать для риск-менеджмента;

- документированные процессы и процедуры;

- системы управления информацией и знаниями;

- программы обучения.

4.3.6 Установление внутренних механизмов обмена информацией и отчетности

Организация должна установить механизмы внутреннего обмена информацией с тем, чтобы поддерживать и способствовать обеспечению распределения ответственности и полномочий по риск-менеджменту. Эти механизмы должны гарантировать, что:

- информация о ключевых элементах инфраструктуры риск-менеджмента и о любых последующих модификациях предоставляется надлежащим образом;

- имеется в наличии соответствующая внутренняя отчетность об инфраструктуре, ее эффективности и результатах;

- на соответствующих уровнях и своевременно предоставляется соответствующая информация, полученная на основе применения риск-менеджмента;

- используются процессы консультирования с внутренними заинтересованными сторонами.

Эти механизмы должны, где это целесообразно, включать процессы по сбору информации о риске из различных источников и могут потребовать проверки источников информации.

4.3.7 Установление внешних механизмов обмена информацией и отчетности

Организация должна разработать и применить план обмена информацией с внешними заинтересованными сторонами. Он должен включать:

- вовлечение соответствующих заинтересованных сторон и обеспечение эффективного обмена информацией;

- внешнюю отчетность для соответствия правовым, регулятивным и руководящим требованиям;

- обеспечение обратной связи и отчетности об обмене информацией и консультациях;

- использование обмена информацией для достижения доверия к организации;

- обмен информацией с заинтересованными сторонами в случае кризиса или непредвиденных обстоятельств.

Эти механизмы должны, где это целесообразно, включать процессы сбора информации о риске из различных источников и могут потребовать проверки источников такой информации.

4.4 Внедрение менеджмента риска

4.4.1 Внедрение инфраструктуры менеджмента риска

При внедрении организационной инфраструктуры менеджмента риска организация должна:

- определить соответствующие сроки и стратегию по применению инфраструктуры;

- применять политику и процесс риск-менеджмента к организационным процессам;

- соответствовать законодательным и другим регулятивным требованиям;

- гарантировать, что принятие решения, включая разработку и установление целей, согласованы с результатами процессов риск-менеджмента;

- проводить информационные и обучающие сессии;

- обмениваться информацией и консультироваться с заинтересованными сторонами с целью обеспечения того, что инфраструктура риск-менеджмента остается на должном уровне.

4.4.2 Внедрение процесса менеджмента риска

Внедряя риск-менеджмент, необходимо обеспечить выполнение процесса риск-менеджмента, приведенного в разделе 5, в соответствии с планом менеджмента риска на всех должных функциональных уровнях организации как часть ее деятельности и процессов.

4.5 Мониторинг и пересмотр инфраструктуры менеджмента риска

Чтобы гарантировать, что риск-менеджмент является эффективным и продолжает поддерживать деятельность организации, организация должна:

- оценивать качество риск-менеджмента с помощью индикаторов, которые периодически пересматриваются для сохранения актуальности;

- периодически сравнивать продвижение с планом по менеджменту риска и определять отклонения от него;

- периодически пересматривать инфраструктуру, политику и план менеджмента риска для обеспечения их адекватности в рамках внутреннего и внешнего контекста организации;

- предоставлять информацию о рисках, об исполнении плана по менеджменту риска и о том, насколько хорошо организация следует политике управления рисками;

- оценивать эффективность инфраструктуры риск-менеджмента.

4.6 Постоянное улучшение инфраструктуры

Основываясь на результатах мониторинга и пересмотра, следует принимать решения в отношении улучшения инфраструктуры риск-менеджмента, политики и плана по менеджменту риска. Эти решения должны приводить к улучшениям риск-менеджмента и развитию его культуры в организации.

5 Процесс

5.1 Общие положения

Процесс риск-менеджмента должен быть:

- неотъемлемой частью менеджмента;

- частью культуры и практики организации;

- соответствовать бизнес-процессам организации.

Он включает деятельность, описанную в 5.2-5.6. Процесс риск-менеджмента показан на рисунке 3.

Рисунок 3 - Процесс риск-менеджмента

5.2 Обмен информацией и консультирование

Обмен информацией и консультирование с внешними и внутренними заинтересованными сторонами осуществляются на всех этапах процесса риск-менеджмента.

Поэтому планы обмена информацией и консультирования должны быть разработаны на раннем этапе. Они должны рассматривать вопросы, касающиеся самого риска, его причин, его последствий (если они известны) и мер, предпринимаемых для воздействия на него. Должен осуществляться эффективный внешний и внутренний обмен информацией и консультирование, с тем чтобы гарантировать, что подотчетные лица, ответственные за процесс риск-менеджмента, и заинтересованные стороны представляют себе основу, на базе которой принимаются решения, и осознают причины того, почему требуются конкретные действия.

Подход на основе создания консультативной группы может:

- помочь должным образом установить ситуацию (контекст);

- гарантировать, что интересы заинтересованных сторон осознаются и рассматриваются;

- способствовать соответствующей идентификации рисков;

- объединять вместе различные области экспертизы для анализа рисков;

- гарантировать рассмотрение должным образом различных точек зрения при определении критериев риска и при оценивании рисков;

- обеспечивать одобрение и поддержку плана воздействия на риск;

- совершенствовать соответствующее управление изменениями во время процесса риск-менеджмента;

- разрабатывать соответствующий внешний и внутренний обмен информацией и план консультирования.

Обмен информацией и консультирование с заинтересованными сторонами являются важными аспектами, потому что с их помощью делают выводы о риске, основанные на их восприятиях риска. Эти восприятия могут отличаться вследствие различий в ценностях, потребностях, предположениях, понятиях и опасениях заинтересованных сторон. Поскольку их точки зрения могут иметь существенное влияние на принимаемые решения, то восприятия заинтересованных сторон необходимо идентифицировать, регистрировать, записывать и учитывать в процессе принятия решений.

Обмен информацией и консультирование должны способствовать обмену правдивой, существенной, точной и понятной информацией с учетом аспектов конфиденциальности и личной неприкосновенности.

5.3 Определение ситуации

5.3.1 Общие положения

Посредством установления ситуации (контекста), организация формулирует свои цели, определяет внешние и внутренние параметры, которые следует принимать во внимание при управлении рисками, и определяет область применения и критерии риска для оставшегося процесса. Поскольку многие эти параметры аналогичны тем, которые рассматриваются при разработке инфраструктуры риск-менеджмента (см. 4.3.1), в этом случае при установлении ситуации (контекста) для процесса риск-менеджмента их следует рассматривать более подробно и, в частности, как они связаны с областью применения конкретного процесса риск-менеджмента.

5.3.2 Установление внешней ситуации

Внешняя ситуация (контекст) - это внешняя среда, в которой организация стремится к достижению своих целей.

Понимание внешней ситуации (контекста) является важным для обеспечения того, что цели и опасения внешних заинтересованных сторон рассматриваются при разработке критериев риска. Это основывается на ситуации (контексте) во всей организации, но с конкретными подробностями правовых и регулятивных требований, восприятия заинтересованных сторон и других аспектов рисков, специфических для области применения конкретного процесса риск-менеджмента.

Внешняя ситуация (контекст) организации может включать, но не ограничиваясь этим:

a) социальную и культурную, политическую, правовую, регулирующую, финансовую, технологическую, экономическую, природную и рыночную среду на международном, национальном, региональном или местном уровнях;

b) основные движущие силы и направления, воздействующие на цели организации;

c) взаимосвязи с внешними заинтересованными сторонами, их ценности и восприятие.

5.3.3 Установление внутренней ситуации

Внутренняя ситуация (контекст) - это внутренняя среда, в которой организация стремится к достижению своих целей.

Процесс риск-менеджмента должен соответствовать культуре, процессам, структуре и стратегии организации. Внутренняя ситуация (контекст) - это что-либо в масштабе организации, что может влиять на то, каким образом организация будет осуществлять риск-менеджмент. Внутреннюю ситуацию (контекст) необходимо определить в силу того, что:

a) риск-менеджмент имеет место в контексте целей организации;

b) цели и критерии конкретного проекта, процесса или деятельности следует рассматривать в свете целей организации в целом;

c) некоторые организации затрудняются распознать возможности достижения своих стратегических, проектных или коммерческих целей, и это влияет на текущие обязательства, возможности, доверие и ценность организации.
________________
В контексте корпоративного и финансового риск-менеджмента для данного термина наиболее подходит понятие "стоимость".

Необходимо понимать внутреннюю ситуацию (контекст). Она может включать, но не ограничиваться этим, следующие составляющие:

- управление, организационную структуру, роли и обязанности;

- политики, цели и стратегии, необходимые для достижения этих целей;

- потенциальные возможности, понимаемые как ресурсы и знания (например, капитал, время, люди, процессы, системы и технологии);

- информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные);

- взаимосвязи с внутренними заинтересованными сторонами, их ценности и восприятия;

- культуру организации;

- стандарты, руководства и модели, принятые организацией;

- форму и содержание контрактных отношений.

5.3.4 Установление ситуации процесса менеджмента риска

Необходимо устанавливать цели, стратегии, область применения и параметры деятельности организации или тех ее частей, где применяется процесс риск-менеджмента. Риск-менеджмент следует проводить с полным рассмотрением необходимости обоснования ресурсов, используемых при его осуществлении. Следует также определять требуемые ресурсы, ответственность и полномочия, а также порядок учета.

Ситуация (контекст) процесса риск-менеджмента изменяется в зависимости от потребностей организации. Она может включать, но не ограничиваться этим:

- определение задач и целей деятельности по риск-менеджменту;

- определение ответственностей за процесс риск-менеджмента и в рамках этого процесса;

- определение области применения, а также глубины и широты деятельности по риск-менеджменту, которую необходимо осуществлять, включая особые включения и исключения;

- определение деятельности, процесса, функции, проекта, продукта, услуги или активов с учетом времени и расположения;

- определение взаимосвязей между конкретным проектом, процессом или деятельностью и другими проектами, процессами или видами деятельности организации;

- определение методологий оценки риска;

- определение способа оценки производительности и эффективности риск-менеджмента;

- определение и указание решений, которые необходимо принять;

- идентификацию, охват или объемы необходимого обучения, их уровни и цели, ресурсы, требуемые для такого обучения.

Внимание, уделяемое этим и другим соответствующим факторам, должно гарантировать, что принятый подход риск-менеджмента соответствует обстоятельствам, организации и рискам, воздействующим на достижение ее целей.

5.3.5 Определение критериев риска

Организация должна определить критерии, которые необходимо использовать для оценки значимости риска. Критерии должны отражать ценности, цели и ресурсы организации. Некоторые критерии могут основываться или возникать из правовых и регулятивных требований, а также других требований, которые взяла на себя организация. Критерии риска должны быть согласованы с политикой управления рисками организации (см. 4.3.2), должны быть определены в начале каждого процесса риск-менеджмента и должны постоянно рассматриваться.

При определении критериев риска факторы, которые необходимо рассматривать, должны включать следующее:

- характер и типы причин и последствий, которые могут возникать, и то, как их следует измерять;

- как следует определять возможность;

- временные рамки возможности и/или последствия(ий);

- как должен быть определен уровень риска;

- точки зрения заинтересованных сторон;

- уровень, на котором риск становится приемлемым или допустимым;

- принимать ли во внимание множественные риски, и если да, то каким образом и какие комбинации следует рассматривать.

5.4 Оценка риска

5.4.1 Общие положения

Оценка риска - это полный процесс идентификации риска, анализа риска и оценивания риска.

Примечание - Стандарт ИСО/МЭК 31010 предлагает руководство по методам оценки риска.

5.4.2 Идентификация риска

Организация должна идентифицировать источники риска, области воздействия, события (включая изменения в обстоятельствах) и их причины, а также их потенциальные последствия. Цель данного этапа заключается в составлении всеобъемлющего перечня рисков, основанных на тех событиях, которые могут создавать, повышать, предотвращать, снижать, ускорять или задерживать достижение целей. Важно идентифицировать риски, связанные с решением не использовать благоприятные возможности. Всеобъемлющая идентификация является критически важной, потому что риск, который не был идентифицирован на данном этапе, не будет включен в будущий анализ.

Идентификация должна включать риски, независимо от того, контролирует ли организация их источник или нет, даже если их источник или причина могут быть неочевидными. Идентификация рисков должна включать рассмотрение эффекта домино, включая эффект каскада и кумулятивные эффекты. Также необходимо рассматривать широкий спектр последствий, даже если источник риска может быть не очевиден. Наряду с идентификацией, что может произойти, необходимо рассматривать возможные причины и сценарии, которые показывают, какие могут наступить последствия. Все существенные причины и следствия должны быть рассмотрены.

Организация должна применять инструменты и методы, которые соответствуют ее целям и возможностям, а также рискам, с которыми она сталкивается. На этапе идентификации рисков большое значение имеет соответствующая и актуализированная информация. Это по возможности должно включать соответствующую исходную информацию. Для идентификации рисков необходимо привлекать людей, обладающих соответствующими знаниями.

5.4.3 Анализ риска

Анализ риска включает дальнейшее осознание риска. Анализ риска обеспечивает входную информацию для оценивания риска и решений относительно необходимости дальнейшего воздействия на эти риски, а также наиболее подходящих стратегий и методов воздействия. Анализ риска может также предоставлять входную информацию для принятия решений, когда необходим выбор, и наличие альтернативных вариантов, включающих различные типы и уровни риска.

Анализ риска включает рассмотрение причин и источников риска, их положительных и отрицательных последствий и возможности того, что эти последствия могут произойти. Факторы, влияющие на последствия и возможность, должны быть идентифицированы. Риск анализируют посредством определения последствий и возможности, а также других характеристик риска. Событие может иметь множественные последствия и может воздействовать на различные цели. Необходимо также принимать во внимание существующие средства управления, их результативность и эффективность.

Способ, которым выражают последствия и возможности, и способ их комбинирования для определения уровня риска должны отражать тип риска, имеющуюся информацию и цель, для которой результат оценки риска должен быть использован. Все это должно согласовываться с критериями риска. Также важно рассматривать взаимозависимость различных рисков и их источников.

При анализе необходимо рассматривать достоверность в определении уровня риска и его чувствительность к предварительным условиям и допущениям и эффективно обмениваться информацией с теми, кто принимает решения, и, в случае необходимости, с другими заинтересованным сторонами. Такие факторы, как наличие разброса мнений экспертов, неопределенность, доступность, качество, количество, соответствие текущей информации или ограничения моделирования, необходимо констатировать и по возможности обращать на них особое внимание.

Анализ риска может осуществляться с различной степенью подробности, в зависимости от риска, цели анализа и доступной информации, данных и имеющихся ресурсов. Анализ может быть качественным, полуколичественным или количественным, либо быть их комбинацией в зависимости от обстоятельств.

Последствия и вероятность (возможность) могут быть определены посредством моделирования исходов событий или ряда событий, или экстраполяцией данных экспериментальных исследований или имеющихся данных. Последствия могут быть выражены в виде материальных или нематериальных воздействий. В некоторых случаях требуется более одного численного значения или описывающий параметр для указания последствий и степени их осуществимости для различных моментов времени, местоположения, групп или ситуаций.

5.4.4 Оценивание риска

Цель оценивания риска заключается в том, чтобы способствовать принятию решений, основанных на исходных результатах анализа риска, относительно необходимости воздействия на риск и установления приоритета воздействия на риск.

Оценивание риска включает сравнение уровня риска, выявленного во время процесса анализа, с установленными критериями риска во время рассмотрения ситуации (контекста). Рассмотрение необходимости воздействия на риск должно основываться на этом сравнении.

Решения должны более широко учитывать ситуацию (контекст) риска и учитывать толерантность к риску не только организации, извлекающей из риска пользу, но и других сторон. Решения должны приниматься в соответствии с правовыми, регулятивными и другими требованиями.

При некоторых обстоятельствах оценивание риска может привести к решению провести дальнейший анализ. Оценивание риска также может привести к решению не воздействовать на риск каким-либо иным образом, кроме поддержания существующих средств управления. На это решение влияют отношение к риску самой организации и установленные критерии риска.

5.5 Воздействие на риск

5.5.1 Общие положения

Воздействие на риск включает выбор одного или более вариантов модифицирования рисков и применение этих вариантов. Будучи примененным, воздействие на риск устанавливает или изменяет средства управления.

Воздействие на риск включает циклический процесс, состоящий из следующих этапов:

- оценивания воздействия на риск;

- обсуждения, являются ли уровни остаточного риска допустимыми;

- если они не допустимы, то создание нового вида воздействия на риск;

- оценивания результативности этого воздействия.

Альтернативные варианты воздействия на риск не обязательно являются взаимоисключающими или подходящими для всех обстоятельств. Альтернативные варианты могут включать:

a) избежание риска посредством решения не начинать или не продолжать деятельность, в результате которой возникает риск;

b) принятие или увеличение риска для использования благоприятной возможности;

c) устранение источника риска (2.16);

d) изменение возможности (2.19);

e) изменение последствий (2.18);

f) разделение риска с другой стороной или сторонами (включая контракты и финансирование риска);

g) осознанное удержание риска.

5.5.2 Выбор вариантов воздействия на риск

Выбор наиболее подходящего варианта воздействия на риск включает уравновешивание затрат и усилий реализации с извлекаемыми выгодами с учетом правовых, регулятивных и других требований, таких как ответственность перед обществом и защита окружающей среды. Процесс принятия решений должен быть построен таким образом, чтобы обеспечить принятие мер по таким рискам, управление которыми не обосновано с экономической точки зрения, например значительные (со значительными негативными последствиями), но редкие (с низкой вероятностью или возможностью наступления) риски.

Количество вариантов воздействия на риск можно рассматривать и применять либо по отдельности, либо в комбинации. Организация может обычно извлекать выгоду из принятия комбинации вариантов воздействия на риск.

При выборе вариантов воздействия на риск организация должна рассматривать значения и восприятия заинтересованных сторон и наиболее подходящие способы обмена информации с ними. Если альтернативные варианты воздействия на риск могут влиять на риск где-либо еще в организации или в отношении заинтересованных сторон, то это следует учитывать при принятии решения. Будучи одинаково эффективными, некоторые варианты воздействия на риск могут быть более приемлемы для одних заинтересованных сторон, чем для других.

В плане воздействия на риск должен быть четко указан порядок приоритета, в соответствии с которым должны применяться отдельные воздействия на риск.

Воздействие на риск может само по себе вызывать риски. Существенным риском может быть отсутствие или неэффективность мер воздействия на риск. Мониторинг должен стать неотъемлемой частью плана воздействия на риск с тем, чтобы гарантировать, что меры остаются эффективными.

Воздействие на риск может также вызывать вторичные риски, которые необходимо оценивать, воздействовать на них, подвергать мониторингу и анализу. Такие вторичные риски должны включаться в тот же самый план воздействия на риск, что и первоначальный риск, и не рассматриваться как новый риск. Следует определить и учитывать связь между обоими этими рисками.

5.5.3 Подготовка и реализация планов воздействия на риск

Целью планов воздействия на риск является документирование того, как должны реализовываться выбранные альтернативные варианты воздействия. Информация, представленная в планах воздействия на риски, должна включать:

- причины выбора вариантов воздействия на риски, включая ожидаемые выгоды, которые необходимо извлечь;

- лиц, ответственных за утверждение плана, и лиц, ответственных за реализацию плана;

- предлагаемые действия;

- требования к ресурсам, включая возможные непредвиденные обстоятельства;

- показатели качества воздействия на риск и ограничения;

- требования к отчетности и мониторингу;

- сроки и график выполнения.

Планы воздействия на риски должны быть включены в процессы менеджмента организации и должны обсуждаться с соответствующими заинтересованными сторонами.

Лица, принимающие решения, и другие заинтересованные стороны должны быть ознакомлены с характером и степенью остаточного риска после воздействия на него. Остаточный риск должен быть документирован и подвергнут мониторингу, пересмотру, и, где целесообразно, дальнейшему воздействию.

5.6 Мониторинг и пересмотр

Мониторинг и пересмотр должны быть планируемой частью процесса риск-менеджмента и включать регулярную проверку или надзор. Они могут быть периодическими, произвольными.

Должна быть четко определена ответственность за проведение мониторинга и пересмотра.

Процессы мониторинга и пересмотра, осуществляемые организацией, должны включать в себя все аспекты процесса риск-менеджмента в целях:

- гарантии того, что средства управления являются эффективными и результативными как при проектировании, так и при функционировании;

- получения дополнительной информации для улучшения оценки риска;

- анализа и извлечения уроков из случаев (включая риски без последствий), изменений, тенденций, успехов и неудач;

- выявления изменений во внешней и внутренней ситуации (контексте), включая изменения критериев риска, и сам риск, который может потребовать пересмотра способов воздействия на риск и приоритетов;

- идентификации новых или зарождающихся рисков.

Прогресс в реализации планов воздействия на риск обеспечивает достижение показателей эффективности. Результаты могут включаться в общее управление и оценку эффективности, внутреннюю и внешнюю отчетность организации.

Результаты мониторинга и пересмотра должны быть документированы и соответствующим образом зарегистрированы на внешнем и внутреннем уровнях, а также использованы в качестве входных данных для пересмотра инфраструктуры риск-менеджмента (см. 4.5).

5.7 Регистрация процесса менеджмента риска

Деятельность по риск-менеджменту должна быть прослеживаемой. В процессе риск-менеджмента регистрация обеспечивает основу для улучшения методов и инструментов, а также всего процесса.

При принятии решений о создании записей необходимо принимать во внимание следующее:

- потребности организации в постоянном обучении;

- преимущества повторного использования информации в целях менеджмента;

- затраты и усилия, вовлеченные в создание и поддержку учета;

- правовые, регулятивные и оперативные потребности в учете;

- метод доступа, простоту восстановления и средства хранения информации;

- период хранения;

- проверку источников информации.

Приложение А (справочное). Признаки улучшенного менеджмента риска

Приложение А
(справочное)

А.1 Общие положения

Все организации должны стремиться достичь соответствующего уровня функционирования их инфраструктуры риск-менеджмента одновременно с критичностью решений, которые должны приниматься. Ниже приведенный перечень признаков представляет высокий показательный уровень риск-менеджмента. Чтобы помочь организациям измерить собственное качество управления рисками в соответствии с этими критериями, для каждого признака приводится несколько показателей.

А.2 Ключевые результаты

А.2.1 Организация имеет современное, правильное и всестороннее понимание своих рисков.

А.2.2 Риски организации находятся в пределах ее критериев риска.

А.3 Признаки

А.3.1 Постоянное улучшение

Акцент делают на постоянное улучшение риск-менеджмента через установление целей деятельности организации, измерение, пересмотр и последующую модификацию процессов, систем, ресурсов, возможностей и навыков.

Это может подтверждаться наличием определенных целей деятельности, согласно которым измеряют деятельность организации и каждого отдельного менеджера. Данные о деятельности организации могут публиковаться и доводиться до сведения. Обычно проводят, как минимум, годовой пересмотр деятельности и затем ревизию процессов и осуществляют установление целей деятельности на следующий период.

Оценка качества риск-менеджмента является неотъемлемой частью оценки всей деятельности организации и системы измерения качества работы подразделений и отдельных работников.

А.3.2 Полная ответственность за риски

Улучшенный риск-менеджмент включает всестороннюю, полностью определенную и принятую отчетность и ответственность за риски, средства управления и задачи воздействия на риск. Назначенные лица, которые полностью принимают ответственность, обладают необходимыми навыками и ресурсами для того, чтобы проверять эти мероприятия, осуществлять мониторинг рисков, совершенствовать мероприятия по управлению рисками и эффективно доносить информацию о рисках и управлении ими до внешних и внутренних заинтересованных лиц.

Это может подтверждаться всеми членами организации, которые осведомлены в полном объеме о рисках, средствах управления и задачах, за которые они несут ответственность. Обычно это должно быть отражено в должностных инструкциях, содержаться в информационных базах данных или системах. Распределение ролей в менеджменте рисков, ответственности и обязательств должно быть частью всех ознакомительных программ организации.

Организация должна гарантировать, что ответственные лица оснащены всем необходимым для выполнения своей роли и им предоставлены полномочия, время, обучение, ресурсы и навыки, достаточные для того, чтобы взять на себя ответственность.

А.3.3 Применение менеджмента риска при принятии всех решений

Все принимаемые в организации решения, независимо от уровня важности и значимости, включают в себя подробное рассмотрение рисков и применение риск-менеджмента до определенной степени.

Это может быть указано в записях собраний и обсуждений, подтверждающих, что подробные обсуждения рисков имели место. Необходимо обеспечить возможность увидеть, что все элементы риск-менеджмента представлены в ключевых процессах принятия решений, осуществляемых в организации, например, обсуждений размещения капитала по крупным проектам, реструктуризации, и организационных изменений. По этим причинам четко обоснованный риск-менеджмент должен просматриваться в масштабах организации как обеспечивающий основу для результативного руководства.

А.3.4 Постоянный обмен информацией

Улучшенный риск-менеджмент включает постоянный обмен информацией с внешними и внутренними заинтересованными сторонами, включая всестороннее и периодическое представление информации о деятельности по риск-менеджменту как части надлежащего управления.

Это может быть подтверждено обменом информации с заинтересованными сторонами как неотъемлемым и важным элементом риск-менеджмента. Обмен информацией правильно рассматривать как двусторонний процесс, такой, что правильно обоснованные решения могут приниматься в отношении уровня рисков и потребности в воздействии на риск в соответствии с установленными должным образом и всесторонними критериями риска.

Всестороннее и периодическое внешнее и внутреннее представление информации о значительных рисках и о результатах деятельности по риск-менеджменту способствует в значительной мере результативному руководству в масштабах организации.

А.3.5 Полная интеграция в структуру руководства организации

К риск-менеджменту относятся как к центральному процессу менеджмента организации, а риски рассматривают с точки зрения воздействия неопределенности на цели. Структура руководства и процесс основываются на риск-менеджменте. Менеджеры считают результативный риск-менеджмент существенным для достижения целей организации.

Это может подтверждаться формулировками менеджеров и в важных письменных материалах в организации с использованием термина "неопределенность" в отношении рисков. Этот признак также обычно отражается в заявлениях организации, касающихся политики, в частности, той, которая относится к управлению рисками. Как правило, этот признак может проверяться посредством интервью с менеджерами и на основе их действий и заявлений.

Библиография


	ISO Guide 73:2009, Risk management - Vocabulary (Руководство ИСО 73:2009. Словарь)*
	ISO/IEC 31010:2009, Risk management - Risk assessment techniques (ИСО/МЭК 31010 Менеджмент риска. Методы оценки риска)*

________________
* Официальный перевод этого стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.


УДК 658.562.012:006.354	ОКС 03.100.01

Ключевые слова: риск, проект, оценка, менеджмент риска, принципы менеджмента, руководство

Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
официальное издание
М.: Стандартинформ, 2018

Управление рисками представляет собой не просто технический процесс действий по формализованным алгоритмам, позволяющим принять однозначное и детерминированное рисковое решение. Риск-менеджмент требует командной работы, которая осуществляется, прежде всего, в коммуникативном контексте. Взаимодействие и консультирование между участниками риск-менеджмента являются неотъемлемыми атрибутами этого процесса и должны всегда иметь открытую форму. Результативность процесса риск-менеджмента напрямую зависит от того, насколько все заинтересованные стороны будут понимать точки зрения друг друга и, при необходимости, активно участвовать в процессе принятия решения. Консультирование является важным условием на каждой из стадий управления рисками. Вместе с взаимодействием подразумевает диалог между участниками процесса риск-менеджмента, с акцентом на консультации, а не однонаправленный поток информации от стороны, принимающей решения, к другим заинтересованным сторонам. На рисунке 12 представлены основные цели взаимодействия и консультирования при реализации процесса риск-менеджмента.

Рисунок 12. Основные цели взаимодействия и консультирования

На стадии моделирования процессов риск-менеджмента необходимо разработать план взаимодействия его участников. Этот план должен касаться как самих рисков, так и процессов управления ими. План взаимодействия должен отражать процедуры информирования, обсуждения рисков и проведения консультаций.

Внутренние и внешние коммуникации гарантируют понимание сути принимаемых решений и причин конкретных действий как со стороны лиц, ответственных за реализацию процессов риск-менеджмента, так и всех заинтересованных сторон. От эффективности процессов внутреннего информирования участников риск-менеджмента напрямую зависит его результативность.

Участники риск-менеджмента обычно судят о рисках на основании собственных представлений и жизненного опыта. Восприятие рисков может оказаться у разных сторон различным, причина этому кроется в различии точек зрения на происходящее, в различии представлений, нужд, проблем и забот затронутых сторон в момент, когда они соприкасаются с риском или обсуждаемыми вопросами. Так как стороны могут иметь существенное влияние на принимаемые решения, важно, чтобы показатели рисков были четко определены, зафиксированы в письменном виде и включены в процесс принятия решений.

В свою очередь консультативный подход:

– позволяет однозначно определить основные составляющие модели процесса риск-менеджмента;

– способствует определению адекватности идентифицированных рисков;

– сводит воедино различные области опыта при анализе рисков;

– при оценке рисков помогает правильно учесть различные точки зрения;

– позволяет правильно корректировать процесс менеджмента при обслуживании рисков.

Обеспечение заинтересованности в процессах рискменеджмента позволяет «распределить» риски по отдельным менеджерам, а также вовлечь в эти процессы всех участников риск-менеджмента. Консультативный подход помогает оценить преимущества отдельных методов контроля и необходимость одобрения и поддержки рискового решения.

В зависимости от специфики процессов риск-менеджмента, деловой культуры организации, важности и значимости рисковых ситуаций определяется необходимость и степень ведения записей (регистрации данных) на стадии взаимодействия и консультирования.

Взаимодействие в сфере рисков представляет собой интерактивный процесс обмена информацией и экспертными оценками основных параметров риска и управления им. Необходимо отметить, что данный процесс должен осуществляться одновременно и параллельно по двум направлениям: (1) - непосредственно внутри фирмы; (2) - между фирмой и внешними участниками риск-менеджмента.

Внутрифирменное взаимодействие должно осуществляться как по вертикальной иерархической структуре административного управления, так и посредством линейных межфункциональных связей между структурными подразделениями фирмы (см. рисунок 13).

Рисунок 13. Построение системы взаимодействия на внутриорганизационных уровнях предприятия.

Консультирование по свой сути является частью процесса взаимодействия и представляет собой обмен мнениями между участниками риск-менеджмента на информационной основе по вопросам, предшествующим принятию решений, или для установления приоритетов в определенном вопросе /1/. Одним из наиболее эффективных прикладных методов использования консолидированного мнения, полученного при получении консультаций, является метод экспертных оценок.

Консультирование обладает следующими характерными чертами:

– Прежде всего, это мероприятия, направленные на достижение итогового результата, а не самоцель управления рисками;

– Результаты консультирования представляют собой информационную базу для принятия рисковых решений, однако они не являются управляющим воздействием на это решение.

Обмен информацией и взглядами на риски в рамках фирмы позволяет развивать коммуникационные связи внутри организации. Это помогает определять зоны особого внимания, требующие совместной работы и разработки общих стратегий для достижения запланированных результатов, что позволяет однозначно определить механизмы мониторинга процесса риск-менеджмента. Межфункциональное взаимодействие обеспечивает возможность диалога между простыми исполнителями, топ-менеджерами и высшим руководством. Воздействие и консультирование могут осуществляться на различных уровнях в зависимости от ситуации, в частности, при:

– одностороннем взаимодействии

– предоставление информации, например, ежегодных отчетов, информационных листков, протоколов совещаний и т.д.;

– двустороннем взаимодействии - обмен мнениями и позициями между участниками риск-менеджмента.

Опыт участников риск-менеджмента в большинстве случаев является определяющим базисом, позволяющим установить причины и факторы возникновения рисковых ситуаций. Взаимодействие и консультирование способствует увеличению объективности оценки рисков и исключает «шаблонное» мышление. Например, высшее руководство определяет направления вложения инвестиций в ряд проектов, исходя из собственных представлений о параметрах рисков. При этом топ-менеджеры организации оценивают размер риска иначе, чем высшее руководство. В ряде случаев, сотрудники компании, которые функционируют на операционном уровне производства, идентифицируют ряд рисков, которые «выпали» из поля зрения их руководителей. Наличие обратной связи является важнейшим элементом внутриорганизационного взаимодействия и позволяет вырабатывать эффективные модели и методы управления рисками.

Взаимодействие и консультирование являются неотъемлемой частью общего процесса риск-менеджмента и должны быть реализованы на каждой стадии процесса. При управлении рисками особое значение уделяется вопросам адекватной идентификации участников рискменеджмента, определению степени и характера их заинтересованности в конкретной стадии процесса. На основании полученных данных разрабатывается план взаимодействия. Этот план должен установить цель взаимодействия, кто и кому предоставляет консультации, когда это происходит, как происходит процесс и как он оценивается. В организации хорошее взаимодействие является важным для разработки «культуры риск-менеджмента», различающей положительные и отрицательные аспекты риска. Взаимодействие в сфере рисков позволяет организации выработать свою уникальную концепцию приемлемого риска.

Привлечение к процессу риск-менеджмента других участников (например, экспертов по специализированным вопросам) или, по меньшей мере, получение экспертных оценок, является существенным и решающим условием эффективности управления рисками. Взаимодействие с участниками риск-менеджмента делает управление рисками более взвешенными, ставит его на качественную основу и придает значимость организации. Данное обстоятельство является определяющим, если участники риск-менеджмента:

– влияют на эффективность предложенных мероприятий риск-менеджмента;

– пострадали от рисков;

– приносят добавленную ценность в процесс оценки размера рисков;

– вызывают увеличение убытков впоследствии рисковых ситуаций;

– находятся под влиянием управляющих воздействий на риск.

Взаимодействие с внешними участниками риск-менеджмента гарантирует, что совместные сферы интересов находятся под контролем. Такое взаимодействие увеличивает потенциал организации для установления дальнейших партнерских контактов с другими субъектами предпринимательской деятельности и для достижения положительных результатов. Так, например, внешние участники риск-менеджмента могут иметь общие риски, которыми можно эффективно управлять совместно.

В некоторых случаях организация может посчитать взаимодействие с участниками риск-менеджмента нецелесообразным, исходя из экономических причин и причин безопасности. При этом план взаимодействия должен отразить осознанное решение не привлекать участников риск-менеджмента к взаимодействию, однако может попрежнему учитывать их точку зрения другими способами, например, в форме интеллектуальной или коммерческой информации.

Этапы определения позиций (точек зрения на риск и его приемлемый уровень) и разработка моделей и методов взаимодействия должны быть реализованы параллельно и взаимно корреспондироваться друг в друга. При разработке планов взаимодействия необходимо учитывать позиции участников риск-менеджмента. Одна и та же рисковая ситуация будет рассматриваться заинтересованными сторонами с различных точек зрения (см. таблицу 3). Вследствие этого необходимо учитывать позиции всех участников риск-менеджмента, с тем, чтобы выработать оптимальный подход к взаимодействию и представлению информации.

Таблица 3. Примеры выработки методов коммуникации между основными участниками взаимодействия

№ п/п	Группа участников	Определяющая точка зрения на риск	Метод взаимодействия и форма обмена информацией
	Учредители	Обеспечение получения дивидендов	Собрание учредителей, совет правления / Предоставление отчетов
	Государственные органы исполнительной власти	Соответствие законодательным и отраслевым требованиям	Официальная переписка, совместные совещания / Предоставление отчетов о выполнении обязательных требований
	Банковские учреждения	Гарантии возврата кредита	Деловая переписка, совместные совещания / Отчеты по платежам, данные по финансовой устойчивости предприятия
	Инвесторы	Гарантии окупаемости инвестиций	Расширенное совещание на уровне высшего руководства / Предоставление отчета по выполнению инвестиционной программы
	Клиенты	Выполнение контрактных условий (договорных обязательств) организацией	Встречи, деловая переписка с клиентом, проведение конференций, выставок, семинаров, совместных совещаний / Предоставление отчета о ходе реализации
	Контрагенты, в том числе поставщики и субподрядчики	Своевременность платежей по контрагентским договорам	Совместные совещания с контрагнентами / Предоставление указаний контрагентам
	Партнеры	Гарантия надежности реализации совместных проектов	Совместные совещания с партнерами / Отчетные данные по совместным проектам
	Высшее руководство организации	Выполнение договорных обязательств перед клиентом с обязательным соблюдение бюджета и обеспечением нормы рентабельности и/или прибыли	Проведение совещаний как внутри организации, так и с участием партнеров и контрагентов / Отчеты по выполнению договора и его бюджета; оцененный уровень риска в масштабах всей организации
	Топ-менеджеры	Выполнение бизнес-плана	Совещания на различных уровнях управления / Отчетные данные по реализации бизнеспроцессов; оцененный уровень риска в рамках бизнес-процесса; варианты рискового решения, приказы
	Менеджеры операционного уровня управления (Руководители проектов)	Обеспечение реализации бизнеспроцессов в управляемых условиях	Оперативные «планерки», методы «мозгового штурма» и «дельфийского оракула» / отчеты о выполненной работе; оценка уровня риска на операционном уровне управления, распоряжения
	Ответственные исполнители по функциональному признаку	Выполнение заданий, полученных от вышестоящего уровня управления	Оперативные «планерки», методы «мозгового штурма» и «дельфийского оракула» / Отчеты о выполненной работе, служебные записки, рапорты
	Внешние эксперты-оценщики и консультанты	Приемлемый доверительный интервал произведенных оценок и рекомендаций	Проведение совместных совещаний, методы «мозгового штурма» и «дельфийского оракула» / Предоставление отчетов о произведенных экспертных оценках уровня риска; предоставление рекомендаций по выбору вариантов рискового решения

Периодичность осуществления взаимодействия, а также объем документирования его результатов зависят от уровня управляющих решений, которые формируются в результате данного взаимодействия. Так, например, проведение совместных совещаний с инвесторами, учредителями и партнерами будет осуществляться с меньшей частотой, чем оперативные «планерки» на операционном уровне. Соответственно, совещания, которые проводятся на уровне топ-менеджмента, должны протоколироваться в обязательном порядке, вместе с тем оперативные совещания далеко не всегда требуют обязательного ведения протокола.

Оценка результативности взаимодействия позволяет получить объективную картину достаточности практической целесообразности применения выбранных методов взаимодействия. В приведенной выше таблице представлены основные методы коммуникации между участниками процесса риск-менеджмента. На различных стадиях процесса рассмотренные методы могут модифицироваться в соответствии со спецификой данной стадии.

Что еще почитать

Детская исследовательская работа "Школьный дневник" проект (2 класс) на тему ИССЛЕДОВАТЕЛЯ Учебное пособие для учащихся https://pandia.ru/text/80/297/images/image003_68.jpg" width="315"...

Николаев: мучительная и затяжная агония кораблестроения Тяжелый авианесущий крейсер «Баку» в походе Советское правительство по достоинству оценило труд корабелов Черноморского...

Перевод работника по его просьбе или с его согласия на работу к другому работодателю или переход на выборную работу (должность) Последствия для работодателя В данной статье мы расскажем, каким образом кадровику оформить перевод сотрудников на другую работу. Подробно...

Взаимодействие и консультирование. Процесс менеджмента риска Повышение достоверности оценки риска

Предисловие

Введение

1 Область применения

2 Нормативные ссылки

4 Обмен информацией и консультации

Предисловие

Введение

1 Область применения

2 Термины и определения

3 Принципы

4 Инфраструктура

4.1 Общие положения

4.2 Полномочия и обязательства

4.3 Разработка инфраструктуры менеджмента риска

4.4 Внедрение менеджмента риска

4.5 Мониторинг и пересмотр инфраструктуры менеджмента риска

4.6 Постоянное улучшение инфраструктуры

5 Процесс

5.1 Общие положения

5.2 Обмен информацией и консультирование

5.3 Определение ситуации

5.4 Оценка риска

5.5 Воздействие на риск

5.6 Мониторинг и пересмотр

5.7 Регистрация процесса менеджмента риска

Приложение А (справочное). Признаки улучшенного менеджмента риска

Библиография

Что еще почитать

ПОСЛЕДНИЕ ЗАПИСИ

Категории