Действующий
Процесс менеджмента риска должен быть неотъемлемой частью управления и принятия решений и интегрирован в структуру, операционную деятельность и процессы организации. Он может применяться на стратегическом, операционном, программном или проектном уровнях.
В организации может быть много применений процесса менеджмента риска, настроенных для достижения целей организации и соответствия внешней и внутренней среде, в которой они применяются.
Динамический и изменчивый характер поведения и культуры человека следует учитывать на протяжении всего процесса менеджмента риска. Хотя процесс менеджмента риска зачастую представляется как последовательный, на практике он является итеративным.
Целью обмена информацией и консультирования является оказание помощи причастным сторонам в понимании риска, предпосылок, на основании которых принимаются решения, и причин, в отношении которых требуются конкретные действия. Обмен информацией направлен на повышение осведомленности и понимание риска, тогда как консультирование подразумевает получение обратной связи и информации для поддержки процесса принятия решений. Тесная взаимосвязь между данными процессами должна способствовать фактическому, своевременному, актуальному, точному и понятному движению информации в организации с учетом конфиденциальности и целостности информации, а также прав на частную жизнь отдельных лиц.
Обмен информацией и консультирование с соответствующими внешними и внутренними причастными сторонами должны проводиться на всех этапах процесса менеджмента риска.
Цель определения области применения, среды и критериев заключается в адаптации процесса менеджмента риска, позволяющей эффективно оценивать риск и подбирать соответствующие методы обработки риска. Область применения, среда и критерии включают в себя определение области применения процесса менеджмента риска с учетом понимания внешней и внутренней среды организации.
Организация должна определить область применения в отношении действий, связанных с менеджментом риска.
Поскольку процесс менеджмента риска может применяться на разных уровнях (например, стратегическом, операционном, программном, проектном или др.), важно четко понимать рассматриваемую область применения, соответствующие цели, которые необходимо учитывать, а также их согласование с организационными целями.
Внешняя и внутренняя среда - это окружение, в котором организация стремится определить и достичь своих целей.
Понимание среды процесса менеджмента риска должно исходить из внешнего и внутреннего окружения, в котором работает организация, и отражать конкретные условия деятельности, к которым должен применяться процесс менеджмента риска.
Организация должна установить внешнюю и внутреннюю среду процесса менеджмента риска, рассмотрев факторы, упомянутые в 5.4.1.
Организация должна указать размер и тип риска, который она может или не может принять по отношению к своим целям. Она также должна определять критерии для оценки значимости риска и поддержки процессов принятия решений. Критерии риска должны быть согласованы со структурой управления рисками и адаптированы к конкретным целям и объемам рассматриваемой деятельности. Критерии риска должны отражать ценности, цели и ресурсы организации и соответствовать политикам и заявлениям в отношении менеджмента риска. Критерии должны определяться с учетом обязательств организации и мнений причастных сторон.
Хотя критерии риска должны быть установлены в начале процесса оценки риска, они являются динамичными и в случае необходимости должны пересматриваться и корректироваться.
- характер и тип неопределенностей, которые могут повлиять на результаты и достижение целей (как материальные, так и нематериальные);
- способ определения и оценки последствий (как положительных, так и отрицательных) и их вероятность;
Оценка риска - это процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.