(Действующий) ГОСТ Р 51901.7-2017/ISO/TR 31004:2013 Менеджмент риска. Руководство по...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
b) принятые структура и процессы работают как запланировано;
c) уровень риска находится в пределах установленных критериев;
d) менеджмент риска положительно влияет на основные цели организации;
e) соответствующие вовлеченные стороны получают достаточно отчетов, что позволяет им эффективно исполнять свои функции и обязанности в структуре управления;
f) персонал организации обладает достаточными навыками, знаниями и компетентностью в области менеджмента риска, чтобы выполнять возложенные обязанности;
g) ресурсов, выделенных на менеджмент риска, достаточно;
h) опыт, извлеченный из фактических результатов работ, включая потери, ошибки и возможности, изучен и из него сделаны необходимые выводы;
i) достигаются цели, установленные в области менеджмента риска.

Организация должна утвердить регулярный график анализа. Если обстоятельства изменяются, то график анализа необходимо изменить исходя из текущих целей, например, если последствия риска появляются внезапно или они очень серьезные.

Результаты такого анализа должны включать в себя:

- полный отчет о функционировании структуры менеджмента риска;

- отчет об этапах и прогрессе выполнения плана менеджмента риска (включая анализ всех задержек);

- общий отчет о зрелости организации в области риска в соответствии с передовым опытом;

- рекомендации о необходимых изменениях для улучшения качества менеджмента риска и его результативности в организации;

- актуализацию политики, целей и планов в области менеджмента риска по мере необходимости;

- актуализацию описания области применения и среды работы организации;

- отчет о трендах ключевых показателей риска;

- план действий по работе с изменениями, направленный на достижение целей в области менеджмента риска.
D.3 Мониторинг и анализ процесса
D.3.1 Общие положения

Цель мониторинга и анализа процесса менеджмента риска состоит в обеспечении того, что этот процесс:

- соответствует бизнесу организации;

- работает как запланировано.

Риски и соответствующие методы управления и обработки риска могут изменяться на протяжении длительного периода, ответственные за менеджмент риска должны знать о значении этих изменений. Отказ от обработки может привести к недопустимому риску. Кроме того, методы управления, цель которых состоит в выявлении недостатков и модификации риска, могут быть изменены с точки зрения их пригодности и результативности. Это связано с тем, что если не поводить регулярный мониторинг и анализ риска, то его значение может стать недопустимым в соответствии с критериями приемлемого риска организации, а, следовательно, у организации, возможно, нет понимания ее рисков.

На основе результатов мониторинга и анализа необходимо вернуться к этапу установления области применения и среды и пересмотреть их. При этом следует сохранить основу для возобновления оценки риска путем обеспечения повторяющегося и динамического характера процесса менеджмента риска и разработки структуры менеджмента риска.
D.3.2 Ответственность

Мониторинг должен стать неотъемлемой частью менеджмента. Риск и методы его обработки должны быть подконтрольны ответственным за их мониторинг. Эта ответственность должна быть зарегистрирована в должностных инструкциях и соответствующих документах.

Организация должна разработать единые корпоративные показатели эффективности менеджмента риска, которые должны отражать диапазон ключевых критериев, на основе которых работники могут проводить документальный анализ, например показателей, которые могут учесть финансовые аспекты, требования заинтересованных сторон, внутреннюю эффективность, а также задачи по обучению и росту. Фактическая эффективность работ по отношению к перечню показателей может быть измерена на всех уровнях организации и результаты измерений направлены ответственным лицам.

Организация должна проводить мониторинг планов обработки риска, чтобы удостовериться в их успешной и своевременной реализации.
D.3.3 Изучение полученного опыта

Организация должна учиться на своих ошибках, включая потери, отклонения, несоответствия и возможности, которые были идентифицированы заранее, но на них не отреагировали.

При таком анализе необходимо ответить на следующие вопросы:

Что произошло?

Как и почему получен такой результат?

Нужно ли пересмотреть изначальные предположения?

Какие ответные меры были предприняты (или не предприняты)?

Вероятность повторного получения такого результата?

Каковы все дополнительные ответные меры или предпринятые действия?

Ключевые пункты, которые должны быть изучены и лица, которые должны быть информированы о них.
D.3.4 Мониторинг
D.3.4.1 Существуют следующие типичные подходы к мониторингу:
а) Владельцы риска могут исследовать среду для наблюдения за изменениями в области применения и среды. Частота таких исследований зависит от уровня риска и динамики изменений среды. В некоторых случаях достаточно разработать отчетность по отклонениям от установленных показателей. Владелец риска сравнивает соответствующие внешние или внутренние факторы с областью применения, чтобы определить, произошли ли изменения. При этом необходимо обеспечить регулярный обмен информацией и консультации с заинтересованными сторонами, чтобы определить, не изменились ли их взгляды или цели.
b) Владельцы риска проводят мониторинг планов обработки риска на предмет своевременности действий и адекватного реагирования на изменения среды.
c) Владельцы средств контроля несут ответственность за мониторинг состояния средств контроля и проводят их периодическую проверку или непрерывный мониторинг. Наибольшей эффективности менеджмента риска можно добиться тогда, когда он полностью интегрирован в процесс принятия решений и систему менеджмента организации. Необходимо использовать управление эффективностью, чтобы проводить мониторинг риска и результативности процесса менеджмента риска. Показатели эффективности должны отражать диапазон ключевых целей организации, установленных в начале процесса менеджмента риска при определении области применения менеджмента риска. Такие показатели эффективности могут быть разработаны в отношении определенных видов риска, методов управления и применения процесса менеджмента риска.

Примечание - При работе с риском желательно, чтобы средства контроля также принадлежали ответственному за их работу. Обычно владелец или оператор, работающий со средством контроля не является владельцем риска. Это не затрагивает общую ответственность владельца риска по обработке риска и разработке, внедрению, применению, мониторингу и оценке соответствующих средств контроля.

D.3.4.2 Показатели эффективности могут помочь измерению результатов (например, определять потери или доходы) или показателей процессов (например, своевременное завершение планов обработки риска). Обычно используют набор различных показателей, но показатели эффективности обычно не указывают причины изменений. Поэтому в условиях быстро изменяющейся среды показатели процесса могут стать более полезными.

При выборе показателей важно проверить, что:

- они измеримы;

- их использование эффективно с точки зрения требований своевременности, усилий и ресурсов;

- процесс измерений или наблюдений поощряет или облегчает желательные действия и не мотивирует к нежелательным действиям (например, фальсификацию данных);

- вовлеченные лица понимают процесс и ожидаемую выгоду, а также имеют возможность участвовать в разработке показателей;

- результаты измерены, работа проанализирована и доведена до заинтересованных лиц в форме, которая облегчает изучение опыта и улучшение организации.
D.3.4.3 При применении управления эффективностью к процессу менеджмента риска, нужно отметить, что:

- измерение эффективности требует ресурсов, которые должны быть идентифицированы и выделены при разработке показателей эффективности;

- некоторые действия в области менеджмента риска трудно измерить, но это не делает их менее важными. В этом случае можно использовать замещающие показатели, например, ресурсы, выделенные на деятельность в области менеджмента риска, могут быть заместительной мерой приверженности эффективному менеджменту риска;

- разница между данными измерений по показателям эффективности и инстинктивным представлениям о фактическом состоянии очень важна и должна быть исследована, например, если руководители не заинтересованы в менеджменте риска из-за низкого (по оценкам) уровня риска, то все равно проблему необходимо исследовать и не отклонять;

- внезапное ухудшение показателей обычно привлекает внимание, однако прогрессивное ухудшение показателей может быть столь же проблематичным, поэтому необходимо проводить мониторинг и анализ трендов показателей эффективности.
D.3.5 Анализ со стороны руководства

Необходимо регулярно проводить анализ со стороны руководства процессов, систем и действий для обеспечения того, чтобы:
a) новые риски не возникали;
b) методы управления и обработки риска оставались соответствующими и эффективными.

Такой анализ со стороны руководства необходимо проводить в соответствии с утвержденной программой (например, на основе подхода, установленного в ИСО 19011).

В процессе анализа со стороны руководства могут быть использованы методы, аналогичные непрерывному мониторингу, при этом целесообразно, чтобы для обеспечения более объективного анализа их проводило лицо, непосредственно не вовлеченное в процесс. Периодичность анализа может быть установлена исходя из уровня риска, цикла бизнес-планирования, динамики изменения среды или совещаний контролирующего органа, ответственного за менеджмента риска.

Если обнаружены проблемы, организация должна рассмотреть, как они появились и почему они не были обнаружены ранее.

Обеспечение средствами контроля лежит на ответственных руководителях (владельцах риска) и является частью их обычных функций и обязанностей. Выделение специальных средств контроля владельцам средств контроля облегчает их внедрение, но применение специальных средств контроля может потребовать дополнительного обучения персонала. Если запланированы изменения в организации или обнаружены внешние изменения, то могут произойти изменения:

- во внешней или внутренней среде, заинтересованных сторонах и их взглядах;

- области применения менеджмента риска, целях и критериях риска организации;

- видах и уровнях риска;

- необходимости обработки риска;

- влиянии и результативности методов управления риском.

При разработке или пересмотре бизнес-планов или стратегических планов для организации очень важно проводить анализ со стороны руководства видов риска, обработки риска и методов управления риском. В этом случае могут быть разработаны или пересмотрены цели организации, поэтому целесообразно использовать процесс оценки риска для анализа предварительных вариантов планов, чтобы обеспечить достижимость целей и определить соответствующие мероприятия по обработке риска. Лица, ответственные за выполнение процесса менеджмента риска, должны регулярно проводить анализ событий, продукции и результатов, чтобы идентифицировать возможности для улучшения.

Приложение E (справочное). Интегрирование менеджмента риска в общую систему менеджмента организации

Приложение E
(справочное)
E.1 Общие положения

Менеджмент риска - неотъемлемая часть системы менеджмента организации. В стандарте ИСО 31000 организациям рекомендовано разработать, внедрить и непрерывно улучшать структуру менеджмента риска, целью которой является объединение менеджмента риска в систему менеджмента организации (включая управление и стратегию). Интеграция должна обеспечить, чтобы информация о риске использовалась для принятия решений на всех уровнях организации. Люди и организации управляют риском каждый день, когда они принимают решения. Менеджмент риска уже естественно присутствует в ситуации, когда мы решаем сделать что-то. Кто-то это делает лучше, кто-то хуже, но все могут улучшить качество менеджмента риска и принятия решений, что приводит к улучшению способов достижения целей и повышению доверия. Если целью интеграции менеджмента риска является повышение ценности, то вполне логично воздействовать на то, что уже существует вместо того, чтобы заменять существующее чем-то другим. При этом нелогично добавлять что-то или принуждать к иному способу действий, если что-то уже происходит как естественная функция принятия решений.

Интеграция не просто включает внедрение установленных и стандартизированных методов и процессов менеджмента риска в существующую систему(ы) менеджмента, а требует адаптации и изменений методов и процессов для удовлетворения потребностей лиц, принимающих решения, и подстроить их под существующие процессы принятия решений.

В настоящем приложении приведены некоторые практические примеры того, как менеджмент риска может быть интегрирован в существующую систему(ы) менеджмента.
E.2 Что такое система менеджмента?

Все организации используют определенную систему менеджмента. Недавно формализованные системы менеджмента, состоящие из множества требований, были созданы, чтобы служить основой, в соответствии с которой организация может установить практику и процедуры управления работой. Существует много международных и национальных стандартов, которые описывают систему менеджмента в целом или ее отдельные элементы.

Система менеджмента - это ряд взаимосвязанных или взаимодействующих элементов организации, направленных на установление политики и целей, а также процессов достижения этих целей. С точки зрения управления бизнесом, достичь большей эффективности возможно при внедрении интегрированной системы менеджмента.

Например, менеджмент качества, описанный в ИСО 9001, содержит эффективный подход к удовлетворенности потребителя, в то время как менеджмент риска работает с воздействиями неопределенности на цели, которые могут относиться не только к потребителям, но также и другим заинтересованным лицам. Многие организации внедрили систему менеджмента качества, основанную на требованиях ИСО 9001, поэтому менеджмент риска может быть интегрирован в такую систему менеджмента путем разработки совместных действий, избегая дублирования.
E.3 Интегрированная система менеджмента и менеджмент риска

Кроме интеграции менеджмента риска в процессы основного бизнеса, существует потребность в разработке взаимодействия между всеми подходами системы менеджмента, например, менеджментом качества, экологическим менеджментом, системой техники безопасности, менеджментом безопасности, оценкой соответствия, финансовым менеджментом и даже со страховым менеджментом, связанным с событиями, которые могут быть в финансовом отношении переданы другим организациям.

Отдельные системы менеджмента должны сформировать интегрированную систему менеджмента, основанную на политике и стратегии всей организации. Если организация имеет отдельные системы менеджмента для управления особыми рисками, структура менеджмента риска должна быть распространена и на другие системы.

Такой подход к менеджменту риска может помочь:
a) повысить ориентированность высшего руководства на стратегические цели организации;
b) обеспечить обработку всех рисков в интегрированной системе менеджмента в соответствии с принципами и руководящими указаниями ИСО 31000.

Этот подход может включать следующее:

- применение в системе менеджмента качества методов менеджмента риска, связанных с менеджментом риска проекта и продукции;

- работу с неопределенностью в экологическом менеджменте, например, работу с инцидентами и потенциальными авариями, деятельность в опасном помещении, утилизацию опасных материалов и веществ;

- интегрирование обработки риска в функциональную деятельность, такую как обеспечение безопасности работ;

- обработку риска, связанного с угрозой безопасности, например насильственными действиями против организации, ее служащих или потребителей;

- работу с рисками, связанными с информационными технологиями (ИТ), например, прерывания ИТ-операций, потери данных, нарушения конфиденциальности и обеспечения непрерывности бизнеса;

- управление риском, связанным с обеспечением непрерывности бизнеса, гарантирующим быстрое реагирование на опасные события и инциденты;

- установление средств контроля, направленных на защиту активов организации, обеспечение правильной отчетности, обеспечение соответствия законодательным и обязательным требованиям или управление страховым риском для снижения страховой премии.
E.4 Внедрение менеджмента риска в структуру системы менеджмента качества
E.4.1 Общие положения

Процесс менеджмента риска должен быть интегрирован в процессы принятия решений организации, независимо от уровня и функционального подразделения, в которых приняты эти решения.
E.4.2 Идентификация и понимание принятия решения

Следующие методы помогают понять, когда и где решения принимают, в соответствии с циклом "Планируй - Делай - Проверяй - Действуй" (PDCA).
a) Идентификация всех форм формализованных методов принятия решений, существующих в организации. В крупных организациях используют многочисленные процедуры, которые требуют формального одобрения широкого диапазона решений, например, одобрения ежегодного стратегического плана, капиталовложений, нового штата, модификации управлений процессом, перемещение штата.
b) Использование блок-схем или других методов, позволяющих нанести на карту основные методы принятия решений и последовательности их реализации, применяемых к определенным проектам и ко всем аспектам бизнеса. Этот метод позволяет рассмотреть процесс принятия решений по подразделениям или по основным функциям и должен быть применен при разработке проекта принимаемого решения. Если в организации существуют действия, управление которыми осуществляется с применением формализованной системы менеджмента (например, руководства по применению ИСО 9001), то принятие решения в таких системах должно стать частью этого анализа. Точно так же, если в организации существует делегирование полномочий по принятию решений, то такое делегирование должно быть включено в анализ. В результате должна сложиться последовательная и документированная система того, где решения приняты, кто принимает решения, и какие существуют процессы, вовлеченные в такие решения.

Сочетание вышеупомянутых методов должно повысить степень организационного и личного понимания процесса принятия решений.
E.4.3 Оценка риска

При принятии некоторых решений (например, разработка и реализация новой продукции или планирование и внедрение основного проекта) уместно включать формальную оценку риска в различные стадии проекта. Например, в большинстве проектов существует много точек принятия решений, таких как выполнение, экономическое обоснование, бюджетирование, планирование, внедрение и передача. В каждой из этих точек формальная оценка риска необходима при выборе варианта принятия решений. Это увеличивает вероятность успешного выполнения проекта и повышает его эффективность. Для оценки риска производственных решений для использования вовлеченным персоналом могут быть разработаны простые стандартизированные формы процесса менеджмента риска. Такие методы особенно подходят в ситуациях, где персонал работает без непосредственного контроля. Ключевым компонентом этих методов принятия решений является понимание использованных предположений. По определению, предположения - источник неопределенности.

Такие стандартизированные процессы менеджмента риска могут быть определены для различных типов принятия оперативных решений, отдельных групп работников, выполняющих особую задачу и конкретной среды, где они происходят. Простые системы могут быть закодированы в карманном, проверочном контрольном листе и выданы вовлеченному персоналу.
E.4.4 Внедрение в структуру менеджмента риска

Выполнение методов, приведенных ниже, требует регулирования и пересмотра структуры менеджмента риска, например:

- внесения поправок в политику в области менеджмента риска организации;

- организации мероприятий, направленных на выполнение первоначального анализа и картографии практики принятия решений;

- внесения поправок в руководящие процедуры;

- обучения менеджеров и вовлеченного персонала;

- специального обучения персонала, выполняющего работу в соответствии с определенной системой менеджмента (например, персонала, работающего с особыми типами риска);

- регулирования гарантийной системы организации и системы информирования о менеджменте риска;

- обеспечения результативного внутреннего обмена информацией и консультаций.

Приложение ДА (справочное). Сведения о соответствии ссылочных международных стандартов национальным стандартам

Приложение ДА
(справочное)


Таблица ДА.1
Обозначение ссылочного международного стандарта
Степень соответствия
Обозначение и наименование соответствующего национального стандарта
ISO 31000:2009
IDT
ГОСТ Р ИСО 31000-2010 "Менеджмент риска. Принципы и руководство"
Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

- IDT - идентичный стандарт.

Библиография

[1]ISO 9000, Quality management systems - Fundamentals and vocabulary
[2]ISO 9001, Quality management systems - Requirements
[3]ISO 19011, Guidelines for auditing management systems
[4]ISO Guide 73:2009, Risk management - Vocabulary
[5]IEC 31010, Risk management - Risk assessment techniques