(Действующий) ГОСТ Р 51901.7-2017/ISO/TR 31004:2013 Менеджмент риска. Руководство по...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
a) прямых данных: наблюдения и измерения фактических показателей или результатов процесса;
b) косвенных данных: измерения, полученные в процессе или в результате анализа.

Сочетание измерений из различных источников необходимо выбирать исходя из потребностей (в зависимости от доступности) или удобства (своевременность, стоимость и т.д.).
D.1.5 Отчетность о процессе анализа

Отчетность должна предоставить информацию контролирующим органам, высшему руководству и заинтересованным сторонам организации о соответствии риска критериям риска и наличии планов обработки риска, которые помогут достичь поставленных целей в области риска. Дополнительно отчетность может предоставить информацию о новых видах риска.

Весь набор информации о риске (например, в реестре риска) необходимо периодически обновлять. Тип и частота создания отчетов зависит от характера, размера и области применения оценки риска в организации.

В результате процесса анализа или аудита должен быть разработан отчет, в котором необходимо подвести итоги и сделать заключение об оценке соответствия установленным критериям. В отчете могут быть представлены рекомендации относительно улучшения системы на основе наблюдений проверяющих. Иногда проверяющий может дать предложения непосредственно по критериям риска. Действия по результатам анализа должны быть сосредоточены на улучшении системы и направлены на первопричины проблем.
D.1.6 Корректирующие действия и постоянное улучшение

Организация должна установить соответствующие процессы, чтобы обеспечить активное рассмотрение рекомендаций руководством организации и инициирование внедрения необходимых мероприятий. Необходимо довести до сведения контролирующих органов и заинтересованных сторон информацию предпринимаемых ответных действий и проводить мониторинг этих действий до их полного внедрения.
D.2 Мониторинг и анализ структуры
D.2.1 Общие положения

Целью мониторинга и анализа является поддержание структуры менеджмента риска в актуализированном состоянии. Структура направлена на элементы и процессы системы менеджмента организации, которые позволяют управлять риском.

В ИСО 31000:2009, пункт 4, приведено руководство о необходимых элементах структуры и их взаимосвязи с внутренней и внешней областью применения и средой организации.

Изменения могут происходить во внутренней или внешней области применения и среде организации, поэтому необходимо постоянно адаптировать структуру менеджмента риска, чтобы обеспечить ее постоянную эффективность.

Даже при отсутствии внутренних или внешних изменений, которые требуют изменений структуры, все равно необходимо обеспечить, чтобы в любое время структура функционировала, как запланировано. Для организаций, переходящих к применению ИСО 31000, может возникнуть необходимость проверки элементов структуры плана внедрения, чтобы обеспечить его корректное осуществление. Для организаций, которые уже внедрили ИСО 31000, необходимо обеспечить проверку наличия и непрерывного функционирования компонентов структуры, как запланировано.
D.2.2 Ответственность

При распределении обязанностей в области менеджмента риска руководители, ответственные за обеспечение регулярного анализа и мониторинга структуры на соответствие установленным показателям, ответственное лицо (например, руководитель высшего звена) или подразделение организации (например, отдел менеджмента риска) должны стать хранителями структуры, их ключевая ответственность должна состоять в том, чтобы обеспечить постоянную эффективность структуры.
D.2.3 Установление базового уровня

Организация должна установить базовый уровень менеджмента риска в организации. Этот уровень может быть описан различными способами, но должен включать:
a) элементы структуры (см. ИСО 31000:2009, пункт 4.3), которые обеспечивают возможность достижения поставленных целей;
b) степень поддержки, оказываемой контролирующими органами и высшим руководством, которая выражена через полномочия и обязательства в области менеджмента риска (которая часто выражается в форме политики в области менеджмента риска).

Предназначенная форма и архитектура структуры менеджмента риска должны быть зарегистрированы после разработки, а информация о них доступна, например, в виде таблицы (см. таблицу D.1). Это помогает создать основу или ориентир для сравнений, который может быть использован в процессе мониторинга и анализа.


Таблица D.1 - Пример таблицы перечня элементов структуры
Элемент
Область применения
Цели
Ключевые действия
Ответственность и график работ
Меры по внедрению
Статус выполнения
Ответст-
венность
Уровень ответствен-
ности
Поддержка текущей политики организации в области менедж-
мента риска
- Определение критериев;

- создание отчетных документов;

- делегиро-
вание полномочий
- Издание политики;

- разработка графика и матрицы ответствен-
ности;

- дата следующего анализа
Ресурсы: Обучение Организа-
ционный уровень
Обеспечение элементов менедж-
мента риска для процесса обучения. Обеспе-
чение доступности обновлений в процессе обучения
- Разработка рекомен-
даций;

- разработка программы обучения;

- обеспечение обучения препода-
вателей
- Разработка: менедж-
мента риска организации;

- детализация: менедж-
мента подраз-
делений

- дата следующего анализа: хх/хх/хх
- Действие: ежеме-
сячный отчет;

- качество: опрос или аудит обучения

Организация должна установить показатели выполнения работ, которые связаны с целями организации и являются признаком результативности общей структуры менеджмента риска. Показатели выполнения, иногда называемые остаточными показателями, включают:

- инциденты, аварии и ошибки;

- фактические потери;

- несоответствия;

- жалобы потребителей;

- неуплаченный долг;

- готовность системы;

- степень достижения целей организации;

- степень достижения целей менеджмента риска.
D.2.4 Оценка изменений характеристик и среды организации

Организация должна установить наличие материальных изменений внутренней или внешней среды и области применения с момента разработки или изменения структуры менеджмента риска.
Практическая помощь

Внутренние характеристики, которые могут измениться, включают:

- структуру;

- методы управления и требования;

- политику, внутренние стандарты и модели;

- договорные требования;

- стратегические и операционные системы, затронутые внутренними или внешними факторами (например, изменение законодательных и обязательных требований);

- возможности и ресурсы (например, финансовый капитал, репутация, капитал, время, люди, процессы, системы и технологии);

- знания, навыки и интеллектуальная собственность;

- информационные системы и потоки;

- социальное, экологическое и культурное поведение;

- другие приоритеты и постулаты организации, которые могут быть восприняты как конкурирующие с намерениями организации в области менеджмента риска.

Ведущие показатели, которые могут указать на изменения во внешней среде и области применения, обычно определяют по отчетам и обзорам, которые отражают изменения и тренды в сфере промышленности, в которой работает организация.

Примеры включают:

- товарную оценку, показатели банковского процента, бонусы, обменные курсы, индексы фондового рынка, индекс потребительских цен (тренд);

- индекс (тренд);

- уровень или инциденты мошенничества в подобных организациях;

- объем рынка и потенциал роста, а также внезапные изменения в объемах заказов;

- политическую и социальную стабильность, социальное недовольство и активность.

Если область применения и среда организации изменились, то необходимо пересмотреть существующую структуру менеджмента риска с учетом выявленных изменений. Целью этого является подтверждение пригодности структуры и процессов установленным целям и приоритетам организации.

В результате анализа организация может изменить базовый уровень структуры менеджмента риска.

Пример 1 - Изменения в структуре организации могут потребовать пересмотра политики в области менеджмента риска и перераспределения ответственности и ресурсов для эффективного управления. Если размер организации увеличился, например, из-за слияния или приобретения компаний, то необходимо пересмотреть объем ресурсов, выделяемых на менеджмент риска, и провести подробный анализ всех различий в подходе к менеджменту риска между организациями. Может возникнуть необходимость разработать переходный план, который позволит внедрить все необходимые изменения, выявленные в результате анализа.

Пример 2 - Если появились новые законодательные требования, то аспекты структуры, связанные с ответственностью, обучением, получением информации или созданием отчетов, возможно, потребуют пересмотра или расширения.
D.2.5 Анализ структуры

Если в организации однажды уже проведена оценка характеристик, внешней среды и области применения, то необходимо провести более широкий, всесторонний анализ структуры, чтобы определить:
a) что выполнение плана менеджмента риска происходит как запланировано;
b) принятые структура и процессы работают как запланировано;
c) уровень риска находится в пределах установленных критериев;
d) менеджмент риска положительно влияет на основные цели организации;
e) соответствующие вовлеченные стороны получают достаточно отчетов, что позволяет им эффективно исполнять свои функции и обязанности в структуре управления;
f) персонал организации обладает достаточными навыками, знаниями и компетентностью в области менеджмента риска, чтобы выполнять возложенные обязанности;
g) ресурсов, выделенных на менеджмент риска, достаточно;
h) опыт, извлеченный из фактических результатов работ, включая потери, ошибки и возможности, изучен и из него сделаны необходимые выводы;
i) достигаются цели, установленные в области менеджмента риска.

Организация должна утвердить регулярный график анализа. Если обстоятельства изменяются, то график анализа необходимо изменить исходя из текущих целей, например, если последствия риска появляются внезапно или они очень серьезные.

Результаты такого анализа должны включать в себя:

- полный отчет о функционировании структуры менеджмента риска;

- отчет об этапах и прогрессе выполнения плана менеджмента риска (включая анализ всех задержек);

- общий отчет о зрелости организации в области риска в соответствии с передовым опытом;

- рекомендации о необходимых изменениях для улучшения качества менеджмента риска и его результативности в организации;

- актуализацию политики, целей и планов в области менеджмента риска по мере необходимости;

- актуализацию описания области применения и среды работы организации;

- отчет о трендах ключевых показателей риска;

- план действий по работе с изменениями, направленный на достижение целей в области менеджмента риска.
D.3 Мониторинг и анализ процесса
D.3.1 Общие положения

Цель мониторинга и анализа процесса менеджмента риска состоит в обеспечении того, что этот процесс:

- соответствует бизнесу организации;

- работает как запланировано.

Риски и соответствующие методы управления и обработки риска могут изменяться на протяжении длительного периода, ответственные за менеджмент риска должны знать о значении этих изменений. Отказ от обработки может привести к недопустимому риску. Кроме того, методы управления, цель которых состоит в выявлении недостатков и модификации риска, могут быть изменены с точки зрения их пригодности и результативности. Это связано с тем, что если не поводить регулярный мониторинг и анализ риска, то его значение может стать недопустимым в соответствии с критериями приемлемого риска организации, а, следовательно, у организации, возможно, нет понимания ее рисков.

На основе результатов мониторинга и анализа необходимо вернуться к этапу установления области применения и среды и пересмотреть их. При этом следует сохранить основу для возобновления оценки риска путем обеспечения повторяющегося и динамического характера процесса менеджмента риска и разработки структуры менеджмента риска.
D.3.2 Ответственность

Мониторинг должен стать неотъемлемой частью менеджмента. Риск и методы его обработки должны быть подконтрольны ответственным за их мониторинг. Эта ответственность должна быть зарегистрирована в должностных инструкциях и соответствующих документах.

Организация должна разработать единые корпоративные показатели эффективности менеджмента риска, которые должны отражать диапазон ключевых критериев, на основе которых работники могут проводить документальный анализ, например показателей, которые могут учесть финансовые аспекты, требования заинтересованных сторон, внутреннюю эффективность, а также задачи по обучению и росту. Фактическая эффективность работ по отношению к перечню показателей может быть измерена на всех уровнях организации и результаты измерений направлены ответственным лицам.

Организация должна проводить мониторинг планов обработки риска, чтобы удостовериться в их успешной и своевременной реализации.
D.3.3 Изучение полученного опыта

Организация должна учиться на своих ошибках, включая потери, отклонения, несоответствия и возможности, которые были идентифицированы заранее, но на них не отреагировали.

При таком анализе необходимо ответить на следующие вопросы:

Что произошло?

Как и почему получен такой результат?

Нужно ли пересмотреть изначальные предположения?

Какие ответные меры были предприняты (или не предприняты)?

Вероятность повторного получения такого результата?

Каковы все дополнительные ответные меры или предпринятые действия?

Ключевые пункты, которые должны быть изучены и лица, которые должны быть информированы о них.
D.3.4 Мониторинг
D.3.4.1 Существуют следующие типичные подходы к мониторингу:
а) Владельцы риска могут исследовать среду для наблюдения за изменениями в области применения и среды. Частота таких исследований зависит от уровня риска и динамики изменений среды. В некоторых случаях достаточно разработать отчетность по отклонениям от установленных показателей. Владелец риска сравнивает соответствующие внешние или внутренние факторы с областью применения, чтобы определить, произошли ли изменения. При этом необходимо обеспечить регулярный обмен информацией и консультации с заинтересованными сторонами, чтобы определить, не изменились ли их взгляды или цели.
b) Владельцы риска проводят мониторинг планов обработки риска на предмет своевременности действий и адекватного реагирования на изменения среды.
c) Владельцы средств контроля несут ответственность за мониторинг состояния средств контроля и проводят их периодическую проверку или непрерывный мониторинг. Наибольшей эффективности менеджмента риска можно добиться тогда, когда он полностью интегрирован в процесс принятия решений и систему менеджмента организации. Необходимо использовать управление эффективностью, чтобы проводить мониторинг риска и результативности процесса менеджмента риска. Показатели эффективности должны отражать диапазон ключевых целей организации, установленных в начале процесса менеджмента риска при определении области применения менеджмента риска. Такие показатели эффективности могут быть разработаны в отношении определенных видов риска, методов управления и применения процесса менеджмента риска.

Примечание - При работе с риском желательно, чтобы средства контроля также принадлежали ответственному за их работу. Обычно владелец или оператор, работающий со средством контроля не является владельцем риска. Это не затрагивает общую ответственность владельца риска по обработке риска и разработке, внедрению, применению, мониторингу и оценке соответствующих средств контроля.

D.3.4.2 Показатели эффективности могут помочь измерению результатов (например, определять потери или доходы) или показателей процессов (например, своевременное завершение планов обработки риска). Обычно используют набор различных показателей, но показатели эффективности обычно не указывают причины изменений. Поэтому в условиях быстро изменяющейся среды показатели процесса могут стать более полезными.

При выборе показателей важно проверить, что:

- они измеримы;

- их использование эффективно с точки зрения требований своевременности, усилий и ресурсов;

- процесс измерений или наблюдений поощряет или облегчает желательные действия и не мотивирует к нежелательным действиям (например, фальсификацию данных);

- вовлеченные лица понимают процесс и ожидаемую выгоду, а также имеют возможность участвовать в разработке показателей;

- результаты измерены, работа проанализирована и доведена до заинтересованных лиц в форме, которая облегчает изучение опыта и улучшение организации.
D.3.4.3 При применении управления эффективностью к процессу менеджмента риска, нужно отметить, что:

- измерение эффективности требует ресурсов, которые должны быть идентифицированы и выделены при разработке показателей эффективности;

- некоторые действия в области менеджмента риска трудно измерить, но это не делает их менее важными. В этом случае можно использовать замещающие показатели, например, ресурсы, выделенные на деятельность в области менеджмента риска, могут быть заместительной мерой приверженности эффективному менеджменту риска;

- разница между данными измерений по показателям эффективности и инстинктивным представлениям о фактическом состоянии очень важна и должна быть исследована, например, если руководители не заинтересованы в менеджменте риска из-за низкого (по оценкам) уровня риска, то все равно проблему необходимо исследовать и не отклонять;

- внезапное ухудшение показателей обычно привлекает внимание, однако прогрессивное ухудшение показателей может быть столь же проблематичным, поэтому необходимо проводить мониторинг и анализ трендов показателей эффективности.
D.3.5 Анализ со стороны руководства

Необходимо регулярно проводить анализ со стороны руководства процессов, систем и действий для обеспечения того, чтобы:
a) новые риски не возникали;
b) методы управления и обработки риска оставались соответствующими и эффективными.

Такой анализ со стороны руководства необходимо проводить в соответствии с утвержденной программой (например, на основе подхода, установленного в ИСО 19011).

В процессе анализа со стороны руководства могут быть использованы методы, аналогичные непрерывному мониторингу, при этом целесообразно, чтобы для обеспечения более объективного анализа их проводило лицо, непосредственно не вовлеченное в процесс. Периодичность анализа может быть установлена исходя из уровня риска, цикла бизнес-планирования, динамики изменения среды или совещаний контролирующего органа, ответственного за менеджмента риска.

Если обнаружены проблемы, организация должна рассмотреть, как они появились и почему они не были обнаружены ранее.

Обеспечение средствами контроля лежит на ответственных руководителях (владельцах риска) и является частью их обычных функций и обязанностей. Выделение специальных средств контроля владельцам средств контроля облегчает их внедрение, но применение специальных средств контроля может потребовать дополнительного обучения персонала. Если запланированы изменения в организации или обнаружены внешние изменения, то могут произойти изменения:

- во внешней или внутренней среде, заинтересованных сторонах и их взглядах;

- области применения менеджмента риска, целях и критериях риска организации;

- видах и уровнях риска;

- необходимости обработки риска;

- влиянии и результативности методов управления риском.

При разработке или пересмотре бизнес-планов или стратегических планов для организации очень важно проводить анализ со стороны руководства видов риска, обработки риска и методов управления риском. В этом случае могут быть разработаны или пересмотрены цели организации, поэтому целесообразно использовать процесс оценки риска для анализа предварительных вариантов планов, чтобы обеспечить достижимость целей и определить соответствующие мероприятия по обработке риска. Лица, ответственные за выполнение процесса менеджмента риска, должны регулярно проводить анализ событий, продукции и результатов, чтобы идентифицировать возможности для улучшения.

Приложение E (справочное). Интегрирование менеджмента риска в общую систему менеджмента организации

Приложение E
(справочное)
E.1 Общие положения

Менеджмент риска - неотъемлемая часть системы менеджмента организации. В стандарте ИСО 31000 организациям рекомендовано разработать, внедрить и непрерывно улучшать структуру менеджмента риска, целью которой является объединение менеджмента риска в систему менеджмента организации (включая управление и стратегию). Интеграция должна обеспечить, чтобы информация о риске использовалась для принятия решений на всех уровнях организации. Люди и организации управляют риском каждый день, когда они принимают решения. Менеджмент риска уже естественно присутствует в ситуации, когда мы решаем сделать что-то. Кто-то это делает лучше, кто-то хуже, но все могут улучшить качество менеджмента риска и принятия решений, что приводит к улучшению способов достижения целей и повышению доверия. Если целью интеграции менеджмента риска является повышение ценности, то вполне логично воздействовать на то, что уже существует вместо того, чтобы заменять существующее чем-то другим. При этом нелогично добавлять что-то или принуждать к иному способу действий, если что-то уже происходит как естественная функция принятия решений.

Интеграция не просто включает внедрение установленных и стандартизированных методов и процессов менеджмента риска в существующую систему(ы) менеджмента, а требует адаптации и изменений методов и процессов для удовлетворения потребностей лиц, принимающих решения, и подстроить их под существующие процессы принятия решений.

В настоящем приложении приведены некоторые практические примеры того, как менеджмент риска может быть интегрирован в существующую систему(ы) менеджмента.
E.2 Что такое система менеджмента?

Все организации используют определенную систему менеджмента. Недавно формализованные системы менеджмента, состоящие из множества требований, были созданы, чтобы служить основой, в соответствии с которой организация может установить практику и процедуры управления работой. Существует много международных и национальных стандартов, которые описывают систему менеджмента в целом или ее отдельные элементы.

Система менеджмента - это ряд взаимосвязанных или взаимодействующих элементов организации, направленных на установление политики и целей, а также процессов достижения этих целей. С точки зрения управления бизнесом, достичь большей эффективности возможно при внедрении интегрированной системы менеджмента.

Например, менеджмент качества, описанный в ИСО 9001, содержит эффективный подход к удовлетворенности потребителя, в то время как менеджмент риска работает с воздействиями неопределенности на цели, которые могут относиться не только к потребителям, но также и другим заинтересованным лицам. Многие организации внедрили систему менеджмента качества, основанную на требованиях ИСО 9001, поэтому менеджмент риска может быть интегрирован в такую систему менеджмента путем разработки совместных действий, избегая дублирования.
E.3 Интегрированная система менеджмента и менеджмент риска

Кроме интеграции менеджмента риска в процессы основного бизнеса, существует потребность в разработке взаимодействия между всеми подходами системы менеджмента, например, менеджментом качества, экологическим менеджментом, системой техники безопасности, менеджментом безопасности, оценкой соответствия, финансовым менеджментом и даже со страховым менеджментом, связанным с событиями, которые могут быть в финансовом отношении переданы другим организациям.

Отдельные системы менеджмента должны сформировать интегрированную систему менеджмента, основанную на политике и стратегии всей организации. Если организация имеет отдельные системы менеджмента для управления особыми рисками, структура менеджмента риска должна быть распространена и на другие системы.

Такой подход к менеджменту риска может помочь:
a) повысить ориентированность высшего руководства на стратегические цели организации;
b) обеспечить обработку всех рисков в интегрированной системе менеджмента в соответствии с принципами и руководящими указаниями ИСО 31000.

Этот подход может включать следующее:

- применение в системе менеджмента качества методов менеджмента риска, связанных с менеджментом риска проекта и продукции;

- работу с неопределенностью в экологическом менеджменте, например, работу с инцидентами и потенциальными авариями, деятельность в опасном помещении, утилизацию опасных материалов и веществ;

- интегрирование обработки риска в функциональную деятельность, такую как обеспечение безопасности работ;

- обработку риска, связанного с угрозой безопасности, например насильственными действиями против организации, ее служащих или потребителей;

- работу с рисками, связанными с информационными технологиями (ИТ), например, прерывания ИТ-операций, потери данных, нарушения конфиденциальности и обеспечения непрерывности бизнеса;

- управление риском, связанным с обеспечением непрерывности бизнеса, гарантирующим быстрое реагирование на опасные события и инциденты;

- установление средств контроля, направленных на защиту активов организации, обеспечение правильной отчетности, обеспечение соответствия законодательным и обязательным требованиям или управление страховым риском для снижения страховой премии.
E.4 Внедрение менеджмента риска в структуру системы менеджмента качества
E.4.1 Общие положения

Процесс менеджмента риска должен быть интегрирован в процессы принятия решений организации, независимо от уровня и функционального подразделения, в которых приняты эти решения.
E.4.2 Идентификация и понимание принятия решения

Следующие методы помогают понять, когда и где решения принимают, в соответствии с циклом "Планируй - Делай - Проверяй - Действуй" (PDCA).
a) Идентификация всех форм формализованных методов принятия решений, существующих в организации. В крупных организациях используют многочисленные процедуры, которые требуют формального одобрения широкого диапазона решений, например, одобрения ежегодного стратегического плана, капиталовложений, нового штата, модификации управлений процессом, перемещение штата.