(Действующий) ГОСТ Р 51901.7-2017/ISO/TR 31004:2013 Менеджмент риска. Руководство по...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
B.2.9.1 Принцип
i) Менеджмент риска является прозрачным и учитывает интересы заинтересованных сторон.

Соответствующее и своевременное вовлечение заинтересованных сторон и, в частности, лиц, принимающих решения, на всех уровнях организации обеспечивает, что менеджмент риска остается на надлежащем уровне и отвечает современным требованиям. Это позволяет заинтересованным сторонам быть должным образом представленными и быть уверенными в том, что их мнение принимается во внимание в процессе установления критериев риска.
B.2.9.2 Как применять принцип

Данный принцип может воздействовать на разных уровнях. Этот принцип может быть отражен в политике в области менеджмента риска организации (например, "Мы будем информировать и консультироваться с заинтересованными сторонами везде, где возможно, чтобы они понимали наши цели и могли выразить свои знания и представления, которые могут помочь при принятии решений нашей организации").

Консультации с заинтересованными сторонами являются частью этапа внедрения процесса менеджмента риска и их необходимо планировать и относиться к этому очень аккуратно. Именно здесь доверие может быть построено или разрушено. Для обеспечения эффективности и повышения уверенности в результатах, соответствующие заинтересованные стороны должны быть вовлечены во все аспекты процесса менеджмента риска, включая разработку процесса консультаций и обмена информацией.

При внедрении данного принципа необходимо учитывать проблемы, связанные с конфиденциальностью, безопасностью и частной жизнью, например, доступ к отдельным пунктам реестра риска может быть ограничен.
Практическая помощь

При обучении менеджменту риска могут быть использованы ролевые игры, связанные с обучением обмену информацией и консультациям по подготовке кадров в области менеджмента риска.

Необходимо оценить самочувствие лиц, получающих информацию.

Необходимо обеспечить регулярную обратную связь, чтобы продемонстрировать эффективность процесса на практике.

Необходимо поощрять выявление новых мнений, эти мнения и представления следует поощрять, признавать, ценить, и везде, где применимо, необходимо обеспечить обратную связь о них.
B.2.10 Менеджмент риска является динамичным, итеративным и реагирующим на изменения
B.2.10.1 Принцип
j) Менеджмент риска является динамичным, итеративным и реагирующим на изменения.

Менеджмент риска непрерывно распознает изменения и реагирует на них. Как только происходит внешнее или внутреннее событие, область применения или знания изменяются, необходимо проводить мониторинг и пересмотр рисков, при этом новые риски появляются, некоторые изменяются, другие исчезают.
B.2.10.2 Как применять принцип

Все изменения в целях организации или аспектах внутренней или внешней среды неизбежно влияют на риск (например, внутреннее изменение структуры, появление нового главного поставщика или изменение в законодательстве). Аналогично изменения в области деятельности организации (например, приобретение другой компании, или заключение нового основного контракта) могут потребовать изменений в структуре менеджмента риска (например, в обучении). Процессы менеджмента риска должны быть разработаны с учетом динамики изменений организации (например, скорости изменения).

В стандарте ИСО 31000 изложено два режима мониторинга и анализа (для структуры и процесса). Каждый из них предназначен для своей цели и каждый требует осмысления и реализации.

Организация должна проводить мониторинг и анализ структуры для обеспечения соответствия принципам менеджмента риска, политике в области менеджмента риска и поддержки применения процесса принятия решений.

Необходимо включать мониторинг и анализ в каждый из основных этапов процесса менеджмента риска.

Организация должна проводить анализ своих методов управления риском, чтобы обеспечить их непрерывную результативность при реагировании на изменения. Например, эффективность методов управления зависит от их применения квалифицированными специалистами, поэтому при значимых изменениях в составе персонала такие средства могут стать неэффективными.

Организация должна тщательно адаптировать процессы мониторинга и анализа, в особенности они должны быть чувствительны к факторам изменения, которые могут оказать наибольшее воздействие. В процессе мониторинга и анализа необходимо оценить значения контролируемых показателей. При этом необходимо актуализировать такие показатели при возникновении изменений или новых обстоятельств.

Мониторинг и анализ - это уникальные виды деятельности (см. ИСО 31000:2009, пункты 4.5 и 5.6). Мониторинг связан с непрерывным наблюдением за основными параметрами для определения их соответствия установленным требованиям. Анализ проводят периодически, он должен быть структурирован относительно его цели и предназначен для определения актуальности предположений, на основе которых были приняты решения (т.е. разработана структура). Анализ должен также учесть внедрение новых знаний и технологий.
Практическая помощь

При применении процесса менеджмента риска и разработке заявления об области применения этого процесса, компоненты, которые наиболее вероятно подвергнутся изменению (например, особенности внешней среды), должны быть идентифицированы, следует также проводить мониторинг их изменения. Выявленные изменения могут потребовать переоценки отдельных или всех документированных рисков.

Работников необходимо поощрять, сообщать о беспокойстве по поводу существующего положения вещей (включая информацию о разоблачениях).

Даже небольшие организации должны учитывать глобальные изменения, например, глобальный финансовый кризис 2008 глубоко повлиял на некоторых небольших поставщиков, главными потребителями которых были организации, связанные прямо или косвенно с банкротством банка. Такие внешние события или обстоятельства могут потребовать превентивных изменений структуры менеджмента риска.
B.2.11 Менеджмент риска способствует постоянному улучшению организации
B.2.11.1 Принцип
k) Менеджмент риска способствует постоянному улучшению организации.

Организации должны разрабатывать и применять стратегии улучшения менеджмента риска одновременно с улучшением других аспектов своей деятельности.
B.2.11.2 Как применять принцип

Постоянное улучшение эффективности работы организации взаимосвязано с постоянным улучшением процесса менеджмента риска. Усовершенствованный процесс менеджмента риска, который основан на оценке риска принимаемых решений, может помочь снизить неопределенность в достижении целей, минимизировать изменчивость и повысить адаптивность организации. Однако необходимо следить, чтобы процесс менеджмента риска не был переусложнен. Менеджмент риска не должен проводиться на грани возможностей и гибкости реагирования.

Данный принцип особенно важен для организаций, которые опасаются использовать новые возможности для улучшения деятельности. Такие возможности могут возникнуть внутри (например, опыт реагирования на инциденты) или вне (например, появление новых инструментов и знаний, способных улучшить менеджмент риска) организации.

Данный принцип связан с непрерывным поиском возможностей повышения эффективности менеджмента риска, например, внедряя новые информационные технологии при принятии решений.

Цели постоянного улучшения должны быть установлены в политике в области менеджмента риска организации. Необходимо проводить непрерывный формальный и неформальный обмен информацией об этих целях. Постоянное улучшение может включать следующее:

- улучшение степени интеграции деятельности в области менеджмента риска в общую деятельность организации;

- повышение качества оценки риска;

- улучшение структуры, например, повышение качества и улучшение доступности информации;

- повышение скорости принятия решений.

Постоянное улучшение основано на использовании качественных и количественных показателях улучшения. Если в работе использованы поэтапные подходы и модели зрелости, то необходимо разработать показатели постоянного улучшения, которые основаны на ресурсах и культуре организации. Необходимо признать, что зачастую в основе успеха лежат многочисленные попытки человека добиться улучшения. Цели эффективного менеджмента риска направлены исключительно на повышение вероятности того, что организация полностью достигнет своих целей. Чем быстрее организация сможет достигнуть эффективного менеджмента риска, тем более эффективно она сможет достичь поставленных целей.

На практике, для достижения некоторых улучшений может потребоваться время, например, может возникнуть необходимость в дополнительном бюджетировании и планировании. При планировании улучшений необходимо расставить приоритеты, ранжировать выгоды и организовать проведение мониторинга реализации улучшений в организации.
Практическая помощь

При использовании мониторинга и анализа элементов структуры необходимо проводить ежегодный анализ выполнения принципов менеджмента риска и внедрения улучшений.

Организация должна оценить и проанализировать соответствие, пригодность и эффективность структуры менеджмента риска.

Необходимо использовать систему отчетности об инцидентах, чтобы провести анализ их причины. При этом необходимо исследовать не только текущие причины инцидента, но также провести анализ особенностей структуры менеджмента риска, которая позволила инциденту произойти.

Организация должна проводить мониторинг достижений (например, проект выполнен вовремя в рамках выделенного бюджета), чтобы понять, какие особенности структуры менеджмента риска позволили добиться успеха и могут быть использованы для укрепления успеха в будущем.

Приложение C (справочное). Способы выражения полномочий и обязательств

Приложение C
(справочное)
C.1 Общие положения

В данном приложении приведены руководящие указания и стратегии реализации полномочий и обязательств, а также способы обмена информацией о них в организации.

Для того чтобы полномочия и обязательства были эффективными, высшее руководство и контролирующие органы организации должны четко описать заинтересованным сторонам свой подход к менеджменту риска, документированию и обмену информацией о соответствующих полномочиях и обязательствах. Полномочия в области менеджмента риска, как правило, приводит к изменению в деятельности, культуре, политике, процессах и способах выполнения работ в области менеджмента риска, которые должны быть отражены в структуре менеджмента риска. Полномочия и обязательства могут быть изложены в кратком заявлении, которое должно быть широко распространено.

Разработка полномочий включает принятие решения о направлении действий и определение ответственных за их выполнение. В существующих организациях разработка полномочий влечет за собой изменения. При идентификации направления действий одновременно необходимо определить обязательства по их выполнению.

Полномочия и обязательства - это фундаментальная часть структуры менеджмента риска. Полномочия и обязательства должны быть частью менеджмента организации и структуры и должны быть учтены при их разработке.

Полномочия и обязательства должны отражать одиннадцать принципов менеджмента риска, изложенных в ИСО 31000:2009, пункт 3.

На практике полномочия и соответствующие обязательства организации могут быть выражены и восприняты явным и неявным способом. Неявные способы выражения (например, ежедневные действия высшего руководства и контролирующих органов, и способы действий, преобладающие в культуре организации), как правило, обеспечивают более сильный стимул, чем явные способы выражения (например, документированная политика в области менеджмента риска).
C.2 Методы представления полномочий и обязательств
C.2.1 Ключевые характеристики

Полномочия и обязательства должны соответствовать следующим критериям:
a) быть совместимыми со стратегическим планом, целями, политиками, способами обмена информацией и системой менеджмента организации;
b) быть совместимыми с критериями риска, определенными контролирующими органами;
c) соответствовать принципам ИСО 31000 и быть направленными на улучшение менеджмента риска в соответствии с ИСО 31000:2009 (приложение А);
d) обеспечивать простоту обмена информацией и проверку на понимание внутри и вне организации;
e) иметь обоснованные ожидания успешного выполнения;
f) быть ориентированными на обязанности владельцев риска.

Если существующие полномочия и обязательства организации в области менеджмента риска уже не соответствуют перечисленным критериям, следует провести явные и неявные необходимые изменения.

Пример - Если контролирующим органом или высшим руководством принято решение, в отношении которого была проведена оценка риска, это является признаком того, что организация приняла на себя обязательства по пониманию этого риска.

Существенной частью адаптации пересмотренных полномочий является разработка плана по изменению понимания требований. Цель этого плана состоит в обеспечении того, что полномочия и преимущества от их выполнения широко поняты, в них верят, а также то, что организация последовательно добивается осуществления этих полномочий. Действия организации, их сравнение с заявлениями о полномочиях имеют наибольшее воздействие на принятие их различными заинтересованными сторонами.
C.2.2 Установление политики и обязательств в области менеджмента риска и обмен информацией о них

Одним из основных способов выражения полномочий и обмена информацией о них явным способом является установление политики в области менеджмента риска и обмен информацией о ней. В ИСО 31000:2009, пункт 4.3.2 определено, что организация должна не только точно установить свою политику в области менеджмента риска, но также проводить обмен информацией о ней внутри и вне организации. В ИСО 31000:2009, пункт 4.3.2 также идентифицированы специальные положения, которые обычно отражены в политике в области менеджмента риска.

Способы выражения политики должны соответствующим образом учитывать принцип менеджмента риска g) (менеджмент риска должен быть адаптируемым) и быть совместимы с общим направлением развития организации. В противном случае политика в области менеджмента риска не может рассматриваться как часть общей системы, в которой работает организация.

Для более крупных организаций принятие политики обычно подразумевает разработку формального заявления о полномочиях в области менеджмента риска. Такая политика входит составной частью в общий набор политик и утверждается высшим руководством. Обмен информацией о политике в области менеджмента риска и усиление этой политики необходимо проводить посредством системы менеджмента организации.
Практическая помощь

Вовлечение высшего руководства и контролирующих органов и принятие ими соответствующих обязательств являются ключевыми факторами для успеха программ менеджмента риска. Организация должна рассмотреть следующие вопросы, которые помогают установить соответствующие полномочия и обязательства в области менеджмента риска:

Каковы стратегические цели организации? Действительно ли они ясны? Что является явным и неявным в этих целях?

Насколько высшее руководство понимает природу и значимость рисков, решение по которым оно готово взять на себя, и возможностей, которые оно готово использовать для достижения стратегических целей организации?

Готово ли высшее руководство установить ясное и понятное управление риском в организации?

Какие шаги высшее руководство сделало для обеспечения надзора за менеджментом риска?

При принятии решений руководители и работники понимают степень, до которой им (индивидуально) разрешено представлять организацию с учетом последствий события или ситуации? Отношение к риску должно быть основано на опыте, позволяющем принимать обоснованные решения с учетом риска.

Понимают ли руководители свой суммарный и связанный уровень риска и соответственно могут ли определить приемлемость риска?

Понимают ли высшее руководство и исполнительное руководство суммарный и связанный уровень риска для организации в целом?

Действительно ли специалистам и исполнительному руководству ясно, что отношение к риску не является постоянным? Оно может быть изменено под воздействием изменения конъюнктуры рынка и среды. При одобрении высшим руководством риска необходимо предусмотреть до некоторой степени гибкое отношение к его применению.

При принятии решения полностью ли исследованы последствия? Структура риска должна помочь руководителям, при этом руководители принимают на себя соответствующий уровень риска бизнеса с учетом потенциального вознаграждения.

Какие существенные риски высшее руководство готово принять на себя и какие возможности оно готово использовать? Какие существенные риски высшее руководство не готово принять на себя? Вне зависимости от политики в области менеджмента риска, эта политика должна действовать наравне с другими политиками организации.

Политика должна быть поддержана явными и неявными способами, правильно выражена и соответствовать шести критериям, установленным в C.2.1.
C.2.3 Укрепление приверженности

Высшее руководство и контролирующие органы должны продемонстрировать и укреплять приверженность организации полномочиям и обязательствам в области менеджмента риска с помощью соединения явных и неявных действий, включая следующие:

- прояснение того, что цели в области менеджмента риска могут быть связаны или не связаны с других целями менеджмента;

- прояснение того, что эффективность менеджмента риска связана с постановкой целей организации;

- обеспечение интеграции действий в области менеджмента риска, выполняемых в соответствии с полномочиями, в существующие процессы менеджмента, в том числе процессы стратегического менеджмента, проектирования и оперативной деятельности;

- требование проведения регулярного мониторинга и отчетности о структуре и процессах менеджмента риска организации, обеспечивающих их соответствие и эффективность;

- мониторинг адекватности понимания организацией видов своих рисков, соответствующих установленным критериям, и предпринятых действий по ликвидации последствий в случае несоответствия этим критериям;

- обеспечение принципа лидерства руководства, когда руководитель показывает пример своими действиями;

- возобновление обязательств и полномочий при изменениях сроков, событий и состава высшего руководства.

Стандарт ИСО 31000 может быть внедрен во всей организации или в ее части, например, во вспомогательных подразделениях.
C.3 Руководство по разработке полномочий и обязательств

Установленные полномочия в области менеджмента риска должны быть обдуманными и учитывать стратегические перспективы и результаты консультаций с контролирующими органами и высшим руководством. Это поможет обеспечить осуществление полномочий организацией.

Полномочия и обязательства необходимо анализировать на тактическом и стратегическом уровнях. Организация должна определить и оценить требования к компетентности, навыкам и опыту персонала, провести экспертизу их достижения.

Необходимо внимательно следить за изменениями, происходящими в соответствии с полномочиями в области менеджмента риска. Следить за тем, кто руководит изменениями, и кто нуждается в руководстве и/или поддержке. Иногда изменения могут быть радикальными (например, изменения в требованиях к работе, мониторинге функционирования и процессах управления), поэтому способность организации к изменениям может быть снижена. Изменения необходимо рассматривать в связи с другими изменениями, которые находятся на стадии реализации, и учитывать необходимость их интеграции.

Необходимо проводить консультации с работниками, которые будут в значительной степени затронуты изменениями, в особенности, лицами ответственными за отдельные направления менеджмента риска организации (например, обеспечение здоровья и безопасности людей, менеджмент безопасности). Смысл изменений должен быть понятен персоналу.

Полномочия должны быть четко сформулированы в программном заявлении, которое демонстрирует обязательства организации.
Практическая помощь

Некоторые способы достижения соответствия представлены ниже:

- рассмотрение способов разъяснения полномочий организации и того, как они подкрепляются дальнейшими действиями;

- рассмотрение сроков, влияющих на полномочия (необходимо уважать наравне с другими аспектами деятельности) организации, хотя до тех пор, пока структура менеджмента риска полностью не реализована, преимущества ее внедрения не будут полностью поняты, менеджмент риска не будет столь же эффективен, как мог бы быть);

- идентификация ключевых лиц, ответственных за инициирование необходимых изменений в подходе к менеджменту риска, руководство и внедрение действий по менеджменту риска;

- определение аспектов структуры и действий в области менеджмента риска, для которых необходим мониторинг со стороны высшего руководства, управление мониторингом и сбором и представлением такой информации;

- включение выполнения менеджмента риска в качестве регулярной повестки дня во все ключевые совещания и встречи высшего руководства;

- разработка эффективных методов обмена информацией о работе менеджмента риска (например, публикации информационного бюллетеня для персонала в стиле отчета по менеджменту риска);

- исследование критериев для начала проведения анализа полномочий со стороны руководства.

Приложение D (справочное). Мониторинг и анализ

Приложение D
(справочное)
D.1 Общее
D.1.1 Общие положения

Приложение содержит рекомендации по мониторингу и анализу структуры и процессов менеджмента риска в соответствии с ИСО 31000:2009, пункты 4.5, 4.6 и 5.6.

Мониторинг и анализ - два типа действий, направленных на определение достоверности предположений и решений. Эти методы используют для поддержки эффективности функционирования общей структуры менеджмента риска и отдельных этапов процесса менеджмента риска.

Мониторинг включает в себя наблюдение фактического выполнения и сравнение полученных результатов с ожидаемым или требуемым выполнением. Мониторинг включает непрерывную проверку или исследование, экспертное наблюдение, критическое обследование или непрерывное определение статуса, необходимое для идентификации отклонений от уровня выполнения (требуемого или ожидаемого), а также изменений области определения.

Анализ включает периодическую или внезапную проверку текущей ситуации, направленную на выявление изменений в среде, производственных и организационных методах работы. Анализ - это действие, предпринятое для определения пригодности, соответствия и результативности структуры и процесса для достижения поставленных целей. В процессе анализа необходимо рассмотреть результаты, полученные в процессе мониторинга.

Аудит - процесс систематического анализа на основе фактических данных на соответствие установленным критериям. Каждый аудит - это анализ, но не каждый анализ - аудит.

Мониторинг и анализ совместно помогают установить соответствие функционирования менеджмента риска ожидаемым показателям, необходимость улучшений, внедрение изменений, необходимость регулирования или пересмотра структуры или отдельных элементов процесса.

Мониторинг и анализ направлены на обеспечение разумной гарантии того, что риском соответственно управляют, идентифицируют недостатки менеджмента риска и возможности его улучшения. Мониторинг и анализ необходимы для обеспечения понимания организацией своих рисков в соответствии с критериями риска и отношением к риску. Мониторинг и анализ требуют применения системного интегрированного подхода к системе менеджмента организации в целом.

Действия по мониторингу и анализу, а также по результатам мониторинга и анализа, часто используют как систему, способную помочь обнаружить и исправить слабые места, прежде чем произойдут отрицательные воздействия или обеспечить уверенность в том, что уровень текущего риска соответствует критериям риска организации. Эти действия могут также быть использованы для предоставления внутренним и внешним заинтересованным сторонам разумной гарантии эффективности организации.

Риск может стать дополнительным фактором изменений во внутренней и внешней среде организации. Аналогично, мониторинг внешней среды может повысить готовность организации к изменениям, которые могут предоставить дополнительные возможности для улучшения работы или нововведений. При внимательном отношении к таким изменениям, выполнению работ, несоответствиям и ошибкам организация сможет идентифицировать возможности для улучшения структуры менеджмента риска и работы организации в целом.

Необходимо разработать на местах всестороннюю программу мониторинга и регистрации показателей риска при выполнении работ, которые должны быть интегрированы с другими показателями работы организации.

Программа должна помочь в создании системы раннего обнаружения неблагоприятных трендов, которые могут потребовать внедрения предупреждающих действий.

Мониторинг и анализ по отдельности могут быть направлены на индивидуальный риск или несколько связанных рисков. Они могут помочь фокусироваться на риске и/или методах его обработки или управления.
D.1.2 Ответственность за мониторинг и анализ

Общую ответственность за действия по мониторингу и анализу несут контролирующие органы и высшее руководство, а не органы контроля, например, подразделения по внутреннему аудиту. Полезным дополнением к процессу отчетности системы менеджмента могут стать функции обеспечения качества, независимый функциональный анализ и мониторинг выполнения обязательных требований, потому что эти действия обеспечивают альтернативные данные о процессе.

Действия по мониторингу и анализу могут быть рассмотрены с точки зрения иерархической структуры. При этом необходимо регулярно проводить действия по мониторингу и анализу на высших уровнях, что, при должной организации, обеспечивает самый высоких уровнях результативности. Однако программа мониторинга и анализа должна включать все три элемента.

Программа мониторинга и анализа должна верифицировать внедрение и эффективность выполнения политики в области менеджмента риска. Способ реагирования высшего руководства на результаты программы мониторинга может повлиять на поведение работников. Очень важно, чтобы высшее руководство действовало как образец для подражания.
D.1.3 Независимость анализа

Независимость анализа, проводимого внутренними или внешними сторонами, вытекает из отношений проверяющего (аудитора) и нанимающей стороны.

Независимость - основа беспристрастности анализа и объективности выводов. Проверяющие и аудиторы должны быть независимы от проверяемых (контролируемых) настолько, насколько возможно. При этом аудиторы не должны допускать в работе предвзятости и конфликта интересов.

Для целей внутреннего аудита аудиторы должны быть независимы от руководителей проверяемых подразделений. Проверяющие и аудиторы должны стараться быть объективными на всех этапах процесса аудита, чтобы гарантировать, что результаты и заключения базируются только на доказательствах.

В небольших организациях часто достаточно трудно обеспечить полную независимость проверяющих и аудиторов от руководителей проверяемых подразделений, но необходимо приложить максимальные усилия, чтобы избежать предвзятости и конфликта интересов.

Независимость проверяющих и аудиторов помогает сделать проверки и аудиты эффективным и надежным методом поддержки политики в области менеджмента риска и методов управления. Это помогает организации получить необходимую информацию, на основе которой могут быть внедрены необходимые улучшения.

Такие проверки часто ориентированы на проверку соответствия стандартам (внутренним и/или внешним), процедурам или законодательным требованиям. В процессе проверок также рассматривают пригодность, результативность и эффективность методов управления, например, проверка действий в области менеджмента риска на соответствие принципам ИСО 31000.

Во многих организациях проводят анализ со стороны руководства и консультирование (например, силами советников по вопросам менеджмента риска, сотрудников службы контроля и менеджеров по качеству), в рамках которых проводят проверки. При этом о результатах внутреннего аудита, как правило, сообщают контролирующему органу и высшему руководству. Целью проведения анализа и проверок является обеспечение гарантий контролирующему органу и высшему руководству организации в том, что:

- критерии риска совместимы с целями и условиями работы организации;

- использован соответствующий систематический процесс для идентификации, оценки и обработки риска, и этот процесс непрерывно функционирует;

- проводят необходимую обработку недопустимого риска;

- применяют подходящие и эффективные способы управления для обработки недопустимого риска;

- планы обработки риска успешно внедряются.

Проведение независимого анализа не снимает и не снижает ответственности и обязанностей руководителей по проведению мониторинга и анализа на соответствующем уровне.
D.1.4 Получение необходимой информации

Как и для других аспектов менеджмента риска, в процессе мониторинга и анализа необходимо использование наилучшей имеющейся информации [см. принцип f),]. Чтобы информация соответствовала цели, информация должна относиться к работе пользователей и быть достоверна. Полноценность информации повышается, если она сопоставима, поддается проверке, своевременна и понятна. Информация может быть получена из двух типов источников:
a) прямых данных: наблюдения и измерения фактических показателей или результатов процесса;
b) косвенных данных: измерения, полученные в процессе или в результате анализа.

Сочетание измерений из различных источников необходимо выбирать исходя из потребностей (в зависимости от доступности) или удобства (своевременность, стоимость и т.д.).
D.1.5 Отчетность о процессе анализа

Отчетность должна предоставить информацию контролирующим органам, высшему руководству и заинтересованным сторонам организации о соответствии риска критериям риска и наличии планов обработки риска, которые помогут достичь поставленных целей в области риска. Дополнительно отчетность может предоставить информацию о новых видах риска.

Весь набор информации о риске (например, в реестре риска) необходимо периодически обновлять. Тип и частота создания отчетов зависит от характера, размера и области применения оценки риска в организации.

В результате процесса анализа или аудита должен быть разработан отчет, в котором необходимо подвести итоги и сделать заключение об оценке соответствия установленным критериям. В отчете могут быть представлены рекомендации относительно улучшения системы на основе наблюдений проверяющих. Иногда проверяющий может дать предложения непосредственно по критериям риска. Действия по результатам анализа должны быть сосредоточены на улучшении системы и направлены на первопричины проблем.
D.1.6 Корректирующие действия и постоянное улучшение

Организация должна установить соответствующие процессы, чтобы обеспечить активное рассмотрение рекомендаций руководством организации и инициирование внедрения необходимых мероприятий. Необходимо довести до сведения контролирующих органов и заинтересованных сторон информацию предпринимаемых ответных действий и проводить мониторинг этих действий до их полного внедрения.
D.2 Мониторинг и анализ структуры
D.2.1 Общие положения

Целью мониторинга и анализа является поддержание структуры менеджмента риска в актуализированном состоянии. Структура направлена на элементы и процессы системы менеджмента организации, которые позволяют управлять риском.

В ИСО 31000:2009, пункт 4, приведено руководство о необходимых элементах структуры и их взаимосвязи с внутренней и внешней областью применения и средой организации.

Изменения могут происходить во внутренней или внешней области применения и среде организации, поэтому необходимо постоянно адаптировать структуру менеджмента риска, чтобы обеспечить ее постоянную эффективность.

Даже при отсутствии внутренних или внешних изменений, которые требуют изменений структуры, все равно необходимо обеспечить, чтобы в любое время структура функционировала, как запланировано. Для организаций, переходящих к применению ИСО 31000, может возникнуть необходимость проверки элементов структуры плана внедрения, чтобы обеспечить его корректное осуществление. Для организаций, которые уже внедрили ИСО 31000, необходимо обеспечить проверку наличия и непрерывного функционирования компонентов структуры, как запланировано.
D.2.2 Ответственность

При распределении обязанностей в области менеджмента риска руководители, ответственные за обеспечение регулярного анализа и мониторинга структуры на соответствие установленным показателям, ответственное лицо (например, руководитель высшего звена) или подразделение организации (например, отдел менеджмента риска) должны стать хранителями структуры, их ключевая ответственность должна состоять в том, чтобы обеспечить постоянную эффективность структуры.
D.2.3 Установление базового уровня

Организация должна установить базовый уровень менеджмента риска в организации. Этот уровень может быть описан различными способами, но должен включать:
a) элементы структуры (см. ИСО 31000:2009, пункт 4.3), которые обеспечивают возможность достижения поставленных целей;
b) степень поддержки, оказываемой контролирующими органами и высшим руководством, которая выражена через полномочия и обязательства в области менеджмента риска (которая часто выражается в форме политики в области менеджмента риска).

Предназначенная форма и архитектура структуры менеджмента риска должны быть зарегистрированы после разработки, а информация о них доступна, например, в виде таблицы (см. таблицу D.1). Это помогает создать основу или ориентир для сравнений, который может быть использован в процессе мониторинга и анализа.


Таблица D.1 - Пример таблицы перечня элементов структуры
Элемент
Область применения
Цели
Ключевые действия
Ответственность и график работ
Меры по внедрению
Статус выполнения
Ответст-
венность
Уровень ответствен-
ности
Поддержка текущей политики организации в области менедж-
мента риска
- Определение критериев;

- создание отчетных документов;

- делегиро-
вание полномочий
- Издание политики;

- разработка графика и матрицы ответствен-
ности;

- дата следующего анализа
Ресурсы: Обучение Организа-
ционный уровень
Обеспечение элементов менедж-
мента риска для процесса обучения. Обеспе-
чение доступности обновлений в процессе обучения
- Разработка рекомен-
даций;

- разработка программы обучения;

- обеспечение обучения препода-
вателей
- Разработка: менедж-
мента риска организации;

- детализация: менедж-
мента подраз-
делений

- дата следующего анализа: хх/хх/хх
- Действие: ежеме-
сячный отчет;

- качество: опрос или аудит обучения

Организация должна установить показатели выполнения работ, которые связаны с целями организации и являются признаком результативности общей структуры менеджмента риска. Показатели выполнения, иногда называемые остаточными показателями, включают:

- инциденты, аварии и ошибки;

- фактические потери;

- несоответствия;

- жалобы потребителей;

- неуплаченный долг;

- готовность системы;

- степень достижения целей организации;

- степень достижения целей менеджмента риска.
D.2.4 Оценка изменений характеристик и среды организации

Организация должна установить наличие материальных изменений внутренней или внешней среды и области применения с момента разработки или изменения структуры менеджмента риска.