(Действующий) ГОСТ Р ИСО 31000-2019 Менеджмент Риска. Принципы и руководство...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
По мере выявления соответствующих недостатков или возможностей для улучшения организации следует разрабатывать планы и задачи и поручать их ответственным за реализацию. После внедрения эти улучшения должны способствовать совершенствованию менеджмента риска.

6 Процесс

6.1 Общие положения

Процесс менеджмента риска предполагает систематическое применение политик, процедур и действий по обмену информацией и консультированию, определению среды, а также по оценке, обработке риска, мониторингу, пересмотру, документированию рисков и подготовки отчетности. Этот процесс показан на рисунке 4.
615 × 615 пикс.     Открыть в новом окне
Рисунок 4 - Процесс
Процесс менеджмента риска должен быть неотъемлемой частью управления и принятия решений и интегрирован в структуру, операционную деятельность и процессы организации. Он может применяться на стратегическом, операционном, программном или проектном уровнях.
В организации может быть много применений процесса менеджмента риска, настроенных для достижения целей организации и соответствия внешней и внутренней среде, в которой они применяются.
Динамический и изменчивый характер поведения и культуры человека следует учитывать на протяжении всего процесса менеджмента риска. Хотя процесс менеджмента риска зачастую представляется как последовательный, на практике он является итеративным.

6.2 Обмен информацией и консультирование

Целью обмена информацией и консультирования является оказание помощи причастным сторонам в понимании риска, предпосылок, на основании которых принимаются решения, и причин, в отношении которых требуются конкретные действия. Обмен информацией направлен на повышение осведомленности и понимание риска, тогда как консультирование подразумевает получение обратной связи и информации для поддержки процесса принятия решений. Тесная взаимосвязь между данными процессами должна способствовать фактическому, своевременному, актуальному, точному и понятному движению информации в организации с учетом конфиденциальности и целостности информации, а также прав на частную жизнь отдельных лиц.
Обмен информацией и консультирование с соответствующими внешними и внутренними причастными сторонами должны проводиться на всех этапах процесса менеджмента риска.
Целями обмена информацией и консультирования являются:
- объединение различных областей знаний для каждого этапа процесса менеджмента риска;
- обеспечение учета различных взглядов при определении критериев риска и при оценке риска;
- предоставление достаточной информации для облегчения управления риском и принятия решений;
- создание чувства вовлеченности и причастности среди лиц, подверженных риску.

6.3 Область применения, среда и критерии

6.3.1 Общие положения
Цель определения области применения, среды и критериев заключается в адаптации процесса менеджмента риска, позволяющей эффективно оценивать риск и подбирать соответствующие методы обработки риска. Область применения, среда и критерии включают в себя определение области применения процесса менеджмента риска с учетом понимания внешней и внутренней среды организации.
6.3.2 Определение области применения
Организация должна определить область применения в отношении действий, связанных с менеджментом риска.
Поскольку процесс менеджмента риска может применяться на разных уровнях (например, стратегическом, операционном, программном, проектном или др.), важно четко понимать рассматриваемую область применения, соответствующие цели, которые необходимо учитывать, а также их согласование с организационными целями.
При планировании подхода учитываются следующие факторы:
- цели и решения, которые необходимо принять;
- ожидаемые результаты от шагов, предпринимаемых в рамках этого процесса;
- время, местоположение, определенные допущения и исключения;
- соответствующие инструменты и методы оценки рисков;
- требуемые ресурсы, обязанности и документирование результатов;
- взаимосвязь с другими проектами, процессами и действиями.
6.3.3 Внешняя и внутренняя среда
Внешняя и внутренняя среда - это окружение, в котором организация стремится определить и достичь своих целей.
Понимание среды процесса менеджмента риска должно исходить из внешнего и внутреннего окружения, в котором работает организация, и отражать конкретные условия деятельности, к которым должен применяться процесс менеджмента риска.
Понимание среды важно, потому что:
- менеджмент риска происходит с учетом целей деятельности организации;
- организационные факторы могут быть источником риска;
- цель и область применения процесса менеджмента риска взаимосвязаны с общими целями организации.
Организация должна установить внешнюю и внутреннюю среду процесса менеджмента риска, рассмотрев факторы, упомянутые в 5.4.1.
6.3.4 Определение критериев риска
Организация должна указать размер и тип риска, который она может или не может принять по отношению к своим целям. Она также должна определять критерии для оценки значимости риска и поддержки процессов принятия решений. Критерии риска должны быть согласованы со структурой управления рисками и адаптированы к конкретным целям и объемам рассматриваемой деятельности. Критерии риска должны отражать ценности, цели и ресурсы организации и соответствовать политикам и заявлениям в отношении менеджмента риска. Критерии должны определяться с учетом обязательств организации и мнений причастных сторон.
Хотя критерии риска должны быть установлены в начале процесса оценки риска, они являются динамичными и в случае необходимости должны пересматриваться и корректироваться.
При определении критериев риска необходимо учитывать следующее:
- характер и тип неопределенностей, которые могут повлиять на результаты и достижение целей (как материальные, так и нематериальные);
- способ определения и оценки последствий (как положительных, так и отрицательных) и их вероятность;
- факторы, связанные со временем;
- корректность и согласованность применяемых методов измерений;
- порядок определения уровня риска;
- способ учета комбинации и последовательности множественных рисков;
- масштаб организации.

6.4 Оценка риска