(Действующий) ГОСТ Р ИСО 31000-2019 Менеджмент Риска. Принципы и руководство...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
- периодически оценивать эффективность работы структуры менеджмента риска по отношению к целям, планам реализации, показателям и ожидаемому поведению;
- определить, по-прежнему ли менеджмент риска содействует достижению целей организации.

5.7 Улучшение

5.7.1 Обновление
Организации следует осуществлять непрерывный мониторинг и обновление структуры управления рисками для реагирования на внешние и внутренние изменения. Осуществляя это, организация может повысить свою ценность.
5.7.2 Постоянное улучшение структуры
Организация должна постоянно улучшать применимость, адекватность и результативность работы структуры менеджмента риска, а также способы интеграции процесса менеджмента риска внутри организации.
По мере выявления соответствующих недостатков или возможностей для улучшения организации следует разрабатывать планы и задачи и поручать их ответственным за реализацию. После внедрения эти улучшения должны способствовать совершенствованию менеджмента риска.

6 Процесс

6.1 Общие положения

Процесс менеджмента риска предполагает систематическое применение политик, процедур и действий по обмену информацией и консультированию, определению среды, а также по оценке, обработке риска, мониторингу, пересмотру, документированию рисков и подготовки отчетности. Этот процесс показан на рисунке 4.
615 × 615 пикс.     Открыть в новом окне
Рисунок 4 - Процесс
Процесс менеджмента риска должен быть неотъемлемой частью управления и принятия решений и интегрирован в структуру, операционную деятельность и процессы организации. Он может применяться на стратегическом, операционном, программном или проектном уровнях.
В организации может быть много применений процесса менеджмента риска, настроенных для достижения целей организации и соответствия внешней и внутренней среде, в которой они применяются.
Динамический и изменчивый характер поведения и культуры человека следует учитывать на протяжении всего процесса менеджмента риска. Хотя процесс менеджмента риска зачастую представляется как последовательный, на практике он является итеративным.

6.2 Обмен информацией и консультирование

Целью обмена информацией и консультирования является оказание помощи причастным сторонам в понимании риска, предпосылок, на основании которых принимаются решения, и причин, в отношении которых требуются конкретные действия. Обмен информацией направлен на повышение осведомленности и понимание риска, тогда как консультирование подразумевает получение обратной связи и информации для поддержки процесса принятия решений. Тесная взаимосвязь между данными процессами должна способствовать фактическому, своевременному, актуальному, точному и понятному движению информации в организации с учетом конфиденциальности и целостности информации, а также прав на частную жизнь отдельных лиц.
Обмен информацией и консультирование с соответствующими внешними и внутренними причастными сторонами должны проводиться на всех этапах процесса менеджмента риска.
Целями обмена информацией и консультирования являются:
- объединение различных областей знаний для каждого этапа процесса менеджмента риска;
- обеспечение учета различных взглядов при определении критериев риска и при оценке риска;
- предоставление достаточной информации для облегчения управления риском и принятия решений;
- создание чувства вовлеченности и причастности среди лиц, подверженных риску.

6.3 Область применения, среда и критерии

6.3.1 Общие положения
Цель определения области применения, среды и критериев заключается в адаптации процесса менеджмента риска, позволяющей эффективно оценивать риск и подбирать соответствующие методы обработки риска. Область применения, среда и критерии включают в себя определение области применения процесса менеджмента риска с учетом понимания внешней и внутренней среды организации.
6.3.2 Определение области применения
Организация должна определить область применения в отношении действий, связанных с менеджментом риска.
Поскольку процесс менеджмента риска может применяться на разных уровнях (например, стратегическом, операционном, программном, проектном или др.), важно четко понимать рассматриваемую область применения, соответствующие цели, которые необходимо учитывать, а также их согласование с организационными целями.
При планировании подхода учитываются следующие факторы:
- цели и решения, которые необходимо принять;
- ожидаемые результаты от шагов, предпринимаемых в рамках этого процесса;
- время, местоположение, определенные допущения и исключения;
- соответствующие инструменты и методы оценки рисков;
- требуемые ресурсы, обязанности и документирование результатов;
- взаимосвязь с другими проектами, процессами и действиями.
6.3.3 Внешняя и внутренняя среда
Внешняя и внутренняя среда - это окружение, в котором организация стремится определить и достичь своих целей.
Понимание среды процесса менеджмента риска должно исходить из внешнего и внутреннего окружения, в котором работает организация, и отражать конкретные условия деятельности, к которым должен применяться процесс менеджмента риска.
Понимание среды важно, потому что:
- менеджмент риска происходит с учетом целей деятельности организации;
- организационные факторы могут быть источником риска;
- цель и область применения процесса менеджмента риска взаимосвязаны с общими целями организации.
Организация должна установить внешнюю и внутреннюю среду процесса менеджмента риска, рассмотрев факторы, упомянутые в 5.4.1.
6.3.4 Определение критериев риска
Организация должна указать размер и тип риска, который она может или не может принять по отношению к своим целям. Она также должна определять критерии для оценки значимости риска и поддержки процессов принятия решений. Критерии риска должны быть согласованы со структурой управления рисками и адаптированы к конкретным целям и объемам рассматриваемой деятельности. Критерии риска должны отражать ценности, цели и ресурсы организации и соответствовать политикам и заявлениям в отношении менеджмента риска. Критерии должны определяться с учетом обязательств организации и мнений причастных сторон.
Хотя критерии риска должны быть установлены в начале процесса оценки риска, они являются динамичными и в случае необходимости должны пересматриваться и корректироваться.
При определении критериев риска необходимо учитывать следующее:
- характер и тип неопределенностей, которые могут повлиять на результаты и достижение целей (как материальные, так и нематериальные);