(Действующий) ГОСТ Р 51901.7-2017/ISO/TR 31004:2013 Менеджмент риска. Руководство по...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
c) соответствовать принципам ИСО 31000 и быть направленными на улучшение менеджмента риска в соответствии с ИСО 31000:2009 (приложение А);
d) обеспечивать простоту обмена информацией и проверку на понимание внутри и вне организации;
e) иметь обоснованные ожидания успешного выполнения;
f) быть ориентированными на обязанности владельцев риска.

Если существующие полномочия и обязательства организации в области менеджмента риска уже не соответствуют перечисленным критериям, следует провести явные и неявные необходимые изменения.

Пример - Если контролирующим органом или высшим руководством принято решение, в отношении которого была проведена оценка риска, это является признаком того, что организация приняла на себя обязательства по пониманию этого риска.

Существенной частью адаптации пересмотренных полномочий является разработка плана по изменению понимания требований. Цель этого плана состоит в обеспечении того, что полномочия и преимущества от их выполнения широко поняты, в них верят, а также то, что организация последовательно добивается осуществления этих полномочий. Действия организации, их сравнение с заявлениями о полномочиях имеют наибольшее воздействие на принятие их различными заинтересованными сторонами.
C.2.2 Установление политики и обязательств в области менеджмента риска и обмен информацией о них

Одним из основных способов выражения полномочий и обмена информацией о них явным способом является установление политики в области менеджмента риска и обмен информацией о ней. В ИСО 31000:2009, пункт 4.3.2 определено, что организация должна не только точно установить свою политику в области менеджмента риска, но также проводить обмен информацией о ней внутри и вне организации. В ИСО 31000:2009, пункт 4.3.2 также идентифицированы специальные положения, которые обычно отражены в политике в области менеджмента риска.

Способы выражения политики должны соответствующим образом учитывать принцип менеджмента риска g) (менеджмент риска должен быть адаптируемым) и быть совместимы с общим направлением развития организации. В противном случае политика в области менеджмента риска не может рассматриваться как часть общей системы, в которой работает организация.

Для более крупных организаций принятие политики обычно подразумевает разработку формального заявления о полномочиях в области менеджмента риска. Такая политика входит составной частью в общий набор политик и утверждается высшим руководством. Обмен информацией о политике в области менеджмента риска и усиление этой политики необходимо проводить посредством системы менеджмента организации.
Практическая помощь

Вовлечение высшего руководства и контролирующих органов и принятие ими соответствующих обязательств являются ключевыми факторами для успеха программ менеджмента риска. Организация должна рассмотреть следующие вопросы, которые помогают установить соответствующие полномочия и обязательства в области менеджмента риска:

Каковы стратегические цели организации? Действительно ли они ясны? Что является явным и неявным в этих целях?

Насколько высшее руководство понимает природу и значимость рисков, решение по которым оно готово взять на себя, и возможностей, которые оно готово использовать для достижения стратегических целей организации?

Готово ли высшее руководство установить ясное и понятное управление риском в организации?

Какие шаги высшее руководство сделало для обеспечения надзора за менеджментом риска?

При принятии решений руководители и работники понимают степень, до которой им (индивидуально) разрешено представлять организацию с учетом последствий события или ситуации? Отношение к риску должно быть основано на опыте, позволяющем принимать обоснованные решения с учетом риска.

Понимают ли руководители свой суммарный и связанный уровень риска и соответственно могут ли определить приемлемость риска?

Понимают ли высшее руководство и исполнительное руководство суммарный и связанный уровень риска для организации в целом?

Действительно ли специалистам и исполнительному руководству ясно, что отношение к риску не является постоянным? Оно может быть изменено под воздействием изменения конъюнктуры рынка и среды. При одобрении высшим руководством риска необходимо предусмотреть до некоторой степени гибкое отношение к его применению.

При принятии решения полностью ли исследованы последствия? Структура риска должна помочь руководителям, при этом руководители принимают на себя соответствующий уровень риска бизнеса с учетом потенциального вознаграждения.

Какие существенные риски высшее руководство готово принять на себя и какие возможности оно готово использовать? Какие существенные риски высшее руководство не готово принять на себя? Вне зависимости от политики в области менеджмента риска, эта политика должна действовать наравне с другими политиками организации.

Политика должна быть поддержана явными и неявными способами, правильно выражена и соответствовать шести критериям, установленным в C.2.1.
C.2.3 Укрепление приверженности

Высшее руководство и контролирующие органы должны продемонстрировать и укреплять приверженность организации полномочиям и обязательствам в области менеджмента риска с помощью соединения явных и неявных действий, включая следующие:

- прояснение того, что цели в области менеджмента риска могут быть связаны или не связаны с других целями менеджмента;

- прояснение того, что эффективность менеджмента риска связана с постановкой целей организации;

- обеспечение интеграции действий в области менеджмента риска, выполняемых в соответствии с полномочиями, в существующие процессы менеджмента, в том числе процессы стратегического менеджмента, проектирования и оперативной деятельности;

- требование проведения регулярного мониторинга и отчетности о структуре и процессах менеджмента риска организации, обеспечивающих их соответствие и эффективность;

- мониторинг адекватности понимания организацией видов своих рисков, соответствующих установленным критериям, и предпринятых действий по ликвидации последствий в случае несоответствия этим критериям;

- обеспечение принципа лидерства руководства, когда руководитель показывает пример своими действиями;

- возобновление обязательств и полномочий при изменениях сроков, событий и состава высшего руководства.

Стандарт ИСО 31000 может быть внедрен во всей организации или в ее части, например, во вспомогательных подразделениях.
C.3 Руководство по разработке полномочий и обязательств

Установленные полномочия в области менеджмента риска должны быть обдуманными и учитывать стратегические перспективы и результаты консультаций с контролирующими органами и высшим руководством. Это поможет обеспечить осуществление полномочий организацией.

Полномочия и обязательства необходимо анализировать на тактическом и стратегическом уровнях. Организация должна определить и оценить требования к компетентности, навыкам и опыту персонала, провести экспертизу их достижения.

Необходимо внимательно следить за изменениями, происходящими в соответствии с полномочиями в области менеджмента риска. Следить за тем, кто руководит изменениями, и кто нуждается в руководстве и/или поддержке. Иногда изменения могут быть радикальными (например, изменения в требованиях к работе, мониторинге функционирования и процессах управления), поэтому способность организации к изменениям может быть снижена. Изменения необходимо рассматривать в связи с другими изменениями, которые находятся на стадии реализации, и учитывать необходимость их интеграции.

Необходимо проводить консультации с работниками, которые будут в значительной степени затронуты изменениями, в особенности, лицами ответственными за отдельные направления менеджмента риска организации (например, обеспечение здоровья и безопасности людей, менеджмент безопасности). Смысл изменений должен быть понятен персоналу.

Полномочия должны быть четко сформулированы в программном заявлении, которое демонстрирует обязательства организации.
Практическая помощь

Некоторые способы достижения соответствия представлены ниже:

- рассмотрение способов разъяснения полномочий организации и того, как они подкрепляются дальнейшими действиями;

- рассмотрение сроков, влияющих на полномочия (необходимо уважать наравне с другими аспектами деятельности) организации, хотя до тех пор, пока структура менеджмента риска полностью не реализована, преимущества ее внедрения не будут полностью поняты, менеджмент риска не будет столь же эффективен, как мог бы быть);

- идентификация ключевых лиц, ответственных за инициирование необходимых изменений в подходе к менеджменту риска, руководство и внедрение действий по менеджменту риска;

- определение аспектов структуры и действий в области менеджмента риска, для которых необходим мониторинг со стороны высшего руководства, управление мониторингом и сбором и представлением такой информации;

- включение выполнения менеджмента риска в качестве регулярной повестки дня во все ключевые совещания и встречи высшего руководства;

- разработка эффективных методов обмена информацией о работе менеджмента риска (например, публикации информационного бюллетеня для персонала в стиле отчета по менеджменту риска);

- исследование критериев для начала проведения анализа полномочий со стороны руководства.

Приложение D (справочное). Мониторинг и анализ

Приложение D
(справочное)
D.1 Общее
D.1.1 Общие положения

Приложение содержит рекомендации по мониторингу и анализу структуры и процессов менеджмента риска в соответствии с ИСО 31000:2009, пункты 4.5, 4.6 и 5.6.

Мониторинг и анализ - два типа действий, направленных на определение достоверности предположений и решений. Эти методы используют для поддержки эффективности функционирования общей структуры менеджмента риска и отдельных этапов процесса менеджмента риска.

Мониторинг включает в себя наблюдение фактического выполнения и сравнение полученных результатов с ожидаемым или требуемым выполнением. Мониторинг включает непрерывную проверку или исследование, экспертное наблюдение, критическое обследование или непрерывное определение статуса, необходимое для идентификации отклонений от уровня выполнения (требуемого или ожидаемого), а также изменений области определения.

Анализ включает периодическую или внезапную проверку текущей ситуации, направленную на выявление изменений в среде, производственных и организационных методах работы. Анализ - это действие, предпринятое для определения пригодности, соответствия и результативности структуры и процесса для достижения поставленных целей. В процессе анализа необходимо рассмотреть результаты, полученные в процессе мониторинга.

Аудит - процесс систематического анализа на основе фактических данных на соответствие установленным критериям. Каждый аудит - это анализ, но не каждый анализ - аудит.

Мониторинг и анализ совместно помогают установить соответствие функционирования менеджмента риска ожидаемым показателям, необходимость улучшений, внедрение изменений, необходимость регулирования или пересмотра структуры или отдельных элементов процесса.

Мониторинг и анализ направлены на обеспечение разумной гарантии того, что риском соответственно управляют, идентифицируют недостатки менеджмента риска и возможности его улучшения. Мониторинг и анализ необходимы для обеспечения понимания организацией своих рисков в соответствии с критериями риска и отношением к риску. Мониторинг и анализ требуют применения системного интегрированного подхода к системе менеджмента организации в целом.

Действия по мониторингу и анализу, а также по результатам мониторинга и анализа, часто используют как систему, способную помочь обнаружить и исправить слабые места, прежде чем произойдут отрицательные воздействия или обеспечить уверенность в том, что уровень текущего риска соответствует критериям риска организации. Эти действия могут также быть использованы для предоставления внутренним и внешним заинтересованным сторонам разумной гарантии эффективности организации.

Риск может стать дополнительным фактором изменений во внутренней и внешней среде организации. Аналогично, мониторинг внешней среды может повысить готовность организации к изменениям, которые могут предоставить дополнительные возможности для улучшения работы или нововведений. При внимательном отношении к таким изменениям, выполнению работ, несоответствиям и ошибкам организация сможет идентифицировать возможности для улучшения структуры менеджмента риска и работы организации в целом.

Необходимо разработать на местах всестороннюю программу мониторинга и регистрации показателей риска при выполнении работ, которые должны быть интегрированы с другими показателями работы организации.

Программа должна помочь в создании системы раннего обнаружения неблагоприятных трендов, которые могут потребовать внедрения предупреждающих действий.

Мониторинг и анализ по отдельности могут быть направлены на индивидуальный риск или несколько связанных рисков. Они могут помочь фокусироваться на риске и/или методах его обработки или управления.
D.1.2 Ответственность за мониторинг и анализ

Общую ответственность за действия по мониторингу и анализу несут контролирующие органы и высшее руководство, а не органы контроля, например, подразделения по внутреннему аудиту. Полезным дополнением к процессу отчетности системы менеджмента могут стать функции обеспечения качества, независимый функциональный анализ и мониторинг выполнения обязательных требований, потому что эти действия обеспечивают альтернативные данные о процессе.

Действия по мониторингу и анализу могут быть рассмотрены с точки зрения иерархической структуры. При этом необходимо регулярно проводить действия по мониторингу и анализу на высших уровнях, что, при должной организации, обеспечивает самый высоких уровнях результативности. Однако программа мониторинга и анализа должна включать все три элемента.

Программа мониторинга и анализа должна верифицировать внедрение и эффективность выполнения политики в области менеджмента риска. Способ реагирования высшего руководства на результаты программы мониторинга может повлиять на поведение работников. Очень важно, чтобы высшее руководство действовало как образец для подражания.
D.1.3 Независимость анализа

Независимость анализа, проводимого внутренними или внешними сторонами, вытекает из отношений проверяющего (аудитора) и нанимающей стороны.

Независимость - основа беспристрастности анализа и объективности выводов. Проверяющие и аудиторы должны быть независимы от проверяемых (контролируемых) настолько, насколько возможно. При этом аудиторы не должны допускать в работе предвзятости и конфликта интересов.

Для целей внутреннего аудита аудиторы должны быть независимы от руководителей проверяемых подразделений. Проверяющие и аудиторы должны стараться быть объективными на всех этапах процесса аудита, чтобы гарантировать, что результаты и заключения базируются только на доказательствах.

В небольших организациях часто достаточно трудно обеспечить полную независимость проверяющих и аудиторов от руководителей проверяемых подразделений, но необходимо приложить максимальные усилия, чтобы избежать предвзятости и конфликта интересов.

Независимость проверяющих и аудиторов помогает сделать проверки и аудиты эффективным и надежным методом поддержки политики в области менеджмента риска и методов управления. Это помогает организации получить необходимую информацию, на основе которой могут быть внедрены необходимые улучшения.

Такие проверки часто ориентированы на проверку соответствия стандартам (внутренним и/или внешним), процедурам или законодательным требованиям. В процессе проверок также рассматривают пригодность, результативность и эффективность методов управления, например, проверка действий в области менеджмента риска на соответствие принципам ИСО 31000.

Во многих организациях проводят анализ со стороны руководства и консультирование (например, силами советников по вопросам менеджмента риска, сотрудников службы контроля и менеджеров по качеству), в рамках которых проводят проверки. При этом о результатах внутреннего аудита, как правило, сообщают контролирующему органу и высшему руководству. Целью проведения анализа и проверок является обеспечение гарантий контролирующему органу и высшему руководству организации в том, что:

- критерии риска совместимы с целями и условиями работы организации;

- использован соответствующий систематический процесс для идентификации, оценки и обработки риска, и этот процесс непрерывно функционирует;

- проводят необходимую обработку недопустимого риска;

- применяют подходящие и эффективные способы управления для обработки недопустимого риска;

- планы обработки риска успешно внедряются.

Проведение независимого анализа не снимает и не снижает ответственности и обязанностей руководителей по проведению мониторинга и анализа на соответствующем уровне.
D.1.4 Получение необходимой информации

Как и для других аспектов менеджмента риска, в процессе мониторинга и анализа необходимо использование наилучшей имеющейся информации [см. принцип f),]. Чтобы информация соответствовала цели, информация должна относиться к работе пользователей и быть достоверна. Полноценность информации повышается, если она сопоставима, поддается проверке, своевременна и понятна. Информация может быть получена из двух типов источников:
a) прямых данных: наблюдения и измерения фактических показателей или результатов процесса;
b) косвенных данных: измерения, полученные в процессе или в результате анализа.

Сочетание измерений из различных источников необходимо выбирать исходя из потребностей (в зависимости от доступности) или удобства (своевременность, стоимость и т.д.).
D.1.5 Отчетность о процессе анализа

Отчетность должна предоставить информацию контролирующим органам, высшему руководству и заинтересованным сторонам организации о соответствии риска критериям риска и наличии планов обработки риска, которые помогут достичь поставленных целей в области риска. Дополнительно отчетность может предоставить информацию о новых видах риска.

Весь набор информации о риске (например, в реестре риска) необходимо периодически обновлять. Тип и частота создания отчетов зависит от характера, размера и области применения оценки риска в организации.

В результате процесса анализа или аудита должен быть разработан отчет, в котором необходимо подвести итоги и сделать заключение об оценке соответствия установленным критериям. В отчете могут быть представлены рекомендации относительно улучшения системы на основе наблюдений проверяющих. Иногда проверяющий может дать предложения непосредственно по критериям риска. Действия по результатам анализа должны быть сосредоточены на улучшении системы и направлены на первопричины проблем.
D.1.6 Корректирующие действия и постоянное улучшение

Организация должна установить соответствующие процессы, чтобы обеспечить активное рассмотрение рекомендаций руководством организации и инициирование внедрения необходимых мероприятий. Необходимо довести до сведения контролирующих органов и заинтересованных сторон информацию предпринимаемых ответных действий и проводить мониторинг этих действий до их полного внедрения.
D.2 Мониторинг и анализ структуры
D.2.1 Общие положения

Целью мониторинга и анализа является поддержание структуры менеджмента риска в актуализированном состоянии. Структура направлена на элементы и процессы системы менеджмента организации, которые позволяют управлять риском.

В ИСО 31000:2009, пункт 4, приведено руководство о необходимых элементах структуры и их взаимосвязи с внутренней и внешней областью применения и средой организации.

Изменения могут происходить во внутренней или внешней области применения и среде организации, поэтому необходимо постоянно адаптировать структуру менеджмента риска, чтобы обеспечить ее постоянную эффективность.

Даже при отсутствии внутренних или внешних изменений, которые требуют изменений структуры, все равно необходимо обеспечить, чтобы в любое время структура функционировала, как запланировано. Для организаций, переходящих к применению ИСО 31000, может возникнуть необходимость проверки элементов структуры плана внедрения, чтобы обеспечить его корректное осуществление. Для организаций, которые уже внедрили ИСО 31000, необходимо обеспечить проверку наличия и непрерывного функционирования компонентов структуры, как запланировано.
D.2.2 Ответственность

При распределении обязанностей в области менеджмента риска руководители, ответственные за обеспечение регулярного анализа и мониторинга структуры на соответствие установленным показателям, ответственное лицо (например, руководитель высшего звена) или подразделение организации (например, отдел менеджмента риска) должны стать хранителями структуры, их ключевая ответственность должна состоять в том, чтобы обеспечить постоянную эффективность структуры.
D.2.3 Установление базового уровня

Организация должна установить базовый уровень менеджмента риска в организации. Этот уровень может быть описан различными способами, но должен включать:
a) элементы структуры (см. ИСО 31000:2009, пункт 4.3), которые обеспечивают возможность достижения поставленных целей;
b) степень поддержки, оказываемой контролирующими органами и высшим руководством, которая выражена через полномочия и обязательства в области менеджмента риска (которая часто выражается в форме политики в области менеджмента риска).

Предназначенная форма и архитектура структуры менеджмента риска должны быть зарегистрированы после разработки, а информация о них доступна, например, в виде таблицы (см. таблицу D.1). Это помогает создать основу или ориентир для сравнений, который может быть использован в процессе мониторинга и анализа.


Таблица D.1 - Пример таблицы перечня элементов структуры
Элемент
Область применения
Цели
Ключевые действия
Ответственность и график работ
Меры по внедрению
Статус выполнения
Ответст-
венность
Уровень ответствен-
ности
Поддержка текущей политики организации в области менедж-
мента риска
- Определение критериев;

- создание отчетных документов;

- делегиро-
вание полномочий
- Издание политики;

- разработка графика и матрицы ответствен-
ности;

- дата следующего анализа
Ресурсы: Обучение Организа-
ционный уровень
Обеспечение элементов менедж-
мента риска для процесса обучения. Обеспе-
чение доступности обновлений в процессе обучения
- Разработка рекомен-
даций;

- разработка программы обучения;

- обеспечение обучения препода-
вателей
- Разработка: менедж-
мента риска организации;

- детализация: менедж-
мента подраз-
делений

- дата следующего анализа: хх/хх/хх
- Действие: ежеме-
сячный отчет;

- качество: опрос или аудит обучения

Организация должна установить показатели выполнения работ, которые связаны с целями организации и являются признаком результативности общей структуры менеджмента риска. Показатели выполнения, иногда называемые остаточными показателями, включают:

- инциденты, аварии и ошибки;

- фактические потери;

- несоответствия;

- жалобы потребителей;

- неуплаченный долг;

- готовность системы;

- степень достижения целей организации;

- степень достижения целей менеджмента риска.
D.2.4 Оценка изменений характеристик и среды организации

Организация должна установить наличие материальных изменений внутренней или внешней среды и области применения с момента разработки или изменения структуры менеджмента риска.
Практическая помощь

Внутренние характеристики, которые могут измениться, включают:

- структуру;

- методы управления и требования;

- политику, внутренние стандарты и модели;

- договорные требования;

- стратегические и операционные системы, затронутые внутренними или внешними факторами (например, изменение законодательных и обязательных требований);

- возможности и ресурсы (например, финансовый капитал, репутация, капитал, время, люди, процессы, системы и технологии);

- знания, навыки и интеллектуальная собственность;

- информационные системы и потоки;

- социальное, экологическое и культурное поведение;

- другие приоритеты и постулаты организации, которые могут быть восприняты как конкурирующие с намерениями организации в области менеджмента риска.

Ведущие показатели, которые могут указать на изменения во внешней среде и области применения, обычно определяют по отчетам и обзорам, которые отражают изменения и тренды в сфере промышленности, в которой работает организация.

Примеры включают:

- товарную оценку, показатели банковского процента, бонусы, обменные курсы, индексы фондового рынка, индекс потребительских цен (тренд);

- индекс (тренд);

- уровень или инциденты мошенничества в подобных организациях;

- объем рынка и потенциал роста, а также внезапные изменения в объемах заказов;

- политическую и социальную стабильность, социальное недовольство и активность.

Если область применения и среда организации изменились, то необходимо пересмотреть существующую структуру менеджмента риска с учетом выявленных изменений. Целью этого является подтверждение пригодности структуры и процессов установленным целям и приоритетам организации.

В результате анализа организация может изменить базовый уровень структуры менеджмента риска.

Пример 1 - Изменения в структуре организации могут потребовать пересмотра политики в области менеджмента риска и перераспределения ответственности и ресурсов для эффективного управления. Если размер организации увеличился, например, из-за слияния или приобретения компаний, то необходимо пересмотреть объем ресурсов, выделяемых на менеджмент риска, и провести подробный анализ всех различий в подходе к менеджменту риска между организациями. Может возникнуть необходимость разработать переходный план, который позволит внедрить все необходимые изменения, выявленные в результате анализа.

Пример 2 - Если появились новые законодательные требования, то аспекты структуры, связанные с ответственностью, обучением, получением информации или созданием отчетов, возможно, потребуют пересмотра или расширения.
D.2.5 Анализ структуры

Если в организации однажды уже проведена оценка характеристик, внешней среды и области применения, то необходимо провести более широкий, всесторонний анализ структуры, чтобы определить:
a) что выполнение плана менеджмента риска происходит как запланировано;
b) принятые структура и процессы работают как запланировано;
c) уровень риска находится в пределах установленных критериев;
d) менеджмент риска положительно влияет на основные цели организации;
e) соответствующие вовлеченные стороны получают достаточно отчетов, что позволяет им эффективно исполнять свои функции и обязанности в структуре управления;
f) персонал организации обладает достаточными навыками, знаниями и компетентностью в области менеджмента риска, чтобы выполнять возложенные обязанности;
g) ресурсов, выделенных на менеджмент риска, достаточно;
h) опыт, извлеченный из фактических результатов работ, включая потери, ошибки и возможности, изучен и из него сделаны необходимые выводы;
i) достигаются цели, установленные в области менеджмента риска.

Организация должна утвердить регулярный график анализа. Если обстоятельства изменяются, то график анализа необходимо изменить исходя из текущих целей, например, если последствия риска появляются внезапно или они очень серьезные.

Результаты такого анализа должны включать в себя:

- полный отчет о функционировании структуры менеджмента риска;

- отчет об этапах и прогрессе выполнения плана менеджмента риска (включая анализ всех задержек);

- общий отчет о зрелости организации в области риска в соответствии с передовым опытом;

- рекомендации о необходимых изменениях для улучшения качества менеджмента риска и его результативности в организации;

- актуализацию политики, целей и планов в области менеджмента риска по мере необходимости;

- актуализацию описания области применения и среды работы организации;

- отчет о трендах ключевых показателей риска;

- план действий по работе с изменениями, направленный на достижение целей в области менеджмента риска.
D.3 Мониторинг и анализ процесса
D.3.1 Общие положения

Цель мониторинга и анализа процесса менеджмента риска состоит в обеспечении того, что этот процесс:

- соответствует бизнесу организации;

- работает как запланировано.

Риски и соответствующие методы управления и обработки риска могут изменяться на протяжении длительного периода, ответственные за менеджмент риска должны знать о значении этих изменений. Отказ от обработки может привести к недопустимому риску. Кроме того, методы управления, цель которых состоит в выявлении недостатков и модификации риска, могут быть изменены с точки зрения их пригодности и результативности. Это связано с тем, что если не поводить регулярный мониторинг и анализ риска, то его значение может стать недопустимым в соответствии с критериями приемлемого риска организации, а, следовательно, у организации, возможно, нет понимания ее рисков.

На основе результатов мониторинга и анализа необходимо вернуться к этапу установления области применения и среды и пересмотреть их. При этом следует сохранить основу для возобновления оценки риска путем обеспечения повторяющегося и динамического характера процесса менеджмента риска и разработки структуры менеджмента риска.
D.3.2 Ответственность

Мониторинг должен стать неотъемлемой частью менеджмента. Риск и методы его обработки должны быть подконтрольны ответственным за их мониторинг. Эта ответственность должна быть зарегистрирована в должностных инструкциях и соответствующих документах.

Организация должна разработать единые корпоративные показатели эффективности менеджмента риска, которые должны отражать диапазон ключевых критериев, на основе которых работники могут проводить документальный анализ, например показателей, которые могут учесть финансовые аспекты, требования заинтересованных сторон, внутреннюю эффективность, а также задачи по обучению и росту. Фактическая эффективность работ по отношению к перечню показателей может быть измерена на всех уровнях организации и результаты измерений направлены ответственным лицам.

Организация должна проводить мониторинг планов обработки риска, чтобы удостовериться в их успешной и своевременной реализации.
D.3.3 Изучение полученного опыта

Организация должна учиться на своих ошибках, включая потери, отклонения, несоответствия и возможности, которые были идентифицированы заранее, но на них не отреагировали.

При таком анализе необходимо ответить на следующие вопросы:

Что произошло?

Как и почему получен такой результат?

Нужно ли пересмотреть изначальные предположения?

Какие ответные меры были предприняты (или не предприняты)?

Вероятность повторного получения такого результата?

Каковы все дополнительные ответные меры или предпринятые действия?

Ключевые пункты, которые должны быть изучены и лица, которые должны быть информированы о них.
D.3.4 Мониторинг
D.3.4.1 Существуют следующие типичные подходы к мониторингу:
а) Владельцы риска могут исследовать среду для наблюдения за изменениями в области применения и среды. Частота таких исследований зависит от уровня риска и динамики изменений среды. В некоторых случаях достаточно разработать отчетность по отклонениям от установленных показателей. Владелец риска сравнивает соответствующие внешние или внутренние факторы с областью применения, чтобы определить, произошли ли изменения. При этом необходимо обеспечить регулярный обмен информацией и консультации с заинтересованными сторонами, чтобы определить, не изменились ли их взгляды или цели.
b) Владельцы риска проводят мониторинг планов обработки риска на предмет своевременности действий и адекватного реагирования на изменения среды.
c) Владельцы средств контроля несут ответственность за мониторинг состояния средств контроля и проводят их периодическую проверку или непрерывный мониторинг. Наибольшей эффективности менеджмента риска можно добиться тогда, когда он полностью интегрирован в процесс принятия решений и систему менеджмента организации. Необходимо использовать управление эффективностью, чтобы проводить мониторинг риска и результативности процесса менеджмента риска. Показатели эффективности должны отражать диапазон ключевых целей организации, установленных в начале процесса менеджмента риска при определении области применения менеджмента риска. Такие показатели эффективности могут быть разработаны в отношении определенных видов риска, методов управления и применения процесса менеджмента риска.

Примечание - При работе с риском желательно, чтобы средства контроля также принадлежали ответственному за их работу. Обычно владелец или оператор, работающий со средством контроля не является владельцем риска. Это не затрагивает общую ответственность владельца риска по обработке риска и разработке, внедрению, применению, мониторингу и оценке соответствующих средств контроля.