(Действующий) ГОСТ Р 51901.7-2017/ISO/TR 31004:2013 Менеджмент риска. Руководство по...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
B.1 Общие положения

Все организации управляют риском в той или иной степени, поэтому в стандарте ИСО 31000:2009 установлены одиннадцать принципов, которые необходимо внедрить для обеспечения эффективности менеджмента риска. В принципах менеджмента риска приведены:
a) разъяснения относительно эффективного управления риском (например, менеджмент риска создает и защищает ценность организации);
b) характеристики менеджмента риска, которые позволяют менеджменту риска быть эффективным (например, принцип b), который определяет, что менеджмент риска - неотъемлемая часть всех процессов организации).

В стандарте ИСО 31000 каждый принцип представлен в виде двух частей: краткого заголовка и его подробного разъяснения.

При разработке целей менеджмента риска организации необходимо учитывать все одиннадцать принципов, однако, значение отдельных принципов может быть изменено в соответствии с особенностями применения их в конкретной ситуации.

Успешное внедрение этих принципов влияет на результативность и эффективность менеджмента риска в организации. Всегда должны быть учтены все одиннадцать принципов, даже при том, что значение отдельных принципов менеджмента риска может быть изменено исходя из особенностей рассматриваемой части структуры и ее применения.

Несмотря на то, что принципы изложены кратко, значение каждого из них должно быть понято, чтобы обеспечить их непрерывное выполнение.

В дальнейшем результаты этого вида анализа должны быть учтены при разработке и/или улучшении структуры менеджмента риска (например, при распределении ответственности и полномочий, предоставлении обучения, обмене информацией с заинтересованными лицами, разработке и проведении непрерывного мониторинга и анализа реализации менеджмента риска).

В данном приложении приведено описание способов применения каждого принципа, при этом для некоторых из них приведены практические рекомендации по их применению.
B.2 Принципы
B.2.1 Менеджмент риска создает и защищает ценность
B.2.1.1 Принцип
a) менеджмент риска создает и защищает ценность

Менеджмент риска наглядно способствует достижению целей и улучшению деятельности, например, обеспечения здоровья и безопасности людей, защиты соответствия законодательным и другим обязательным требованиям, общественного признания, защиты окружающей среды, качества продукции, менеджмента проектов, результативности функций, руководства и репутации.
B.2.1.2 Как применять принцип

Данный принцип помогает понять, что цель менеджмента риска состоит в создании и защите ценности организации, и помочь в реализации ее целей. Внедрение этого принципа необходимо, чтобы помочь организации идентифицировать факторы (внутренние и/или внешние), которые инициируют и создают неопределенность, воздействующую на достижение целей организации и управлять ими.

Взаимосвязь между результативностью менеджмента риска и достижением успеха организации необходимо явно продемонстрировать и довести до сведения всех вовлеченных сторон. Данный принцип разъясняет, что риском нельзя управлять ради него самого, но необходимо управлять ради достижения поставленных целей организации и их превышения.

Некоторые показатели и их значения трудно измерить (например, в денежном выражении), но они могут в значительной степени способствовать повышению производительности, улучшению репутации и соответствию законодательным и обязательным требованиям. Человеческие, социальные и экологические ценности особенно важны при управлении безопасностью и обеспечением здоровья людей и связанным риском, а также при управлении нематериальными активами, поэтому для описания таких ценностей необходимо использовать качественные, а не количественные показатели.
B.2.2 Менеджмент риска - неотъемлемая часть всех процессов организации
B.2.2.1 Принцип
b) Менеджмент риска - неотъемлемая часть всех процессов организации.

Менеджмент риска - не автономное действие, которое является отдельным от основных видов деятельностей и процессов организации. Менеджмент риска - часть обязанностей менеджмента и неотъемлемая часть всех организационных процессов, включая стратегическое планирование и процессы управления проектом и управления изменениями.
B.2.2.2 Как применять принцип

Действия организации, включая принимаемые решения, вызывают риск. Изменения во внешней среде, которые неподконтрольны организации, могут инициировать появления нового риска. Все действия и процессы организации происходят во внутренней и внешней среде, в которой присутствует неопределенность. Из этого следует, что:
a) структура менеджмента риска должна быть реализована путем интеграции ее компонентов в общую систему менеджмента и в процесс принятия решений организации, независимо от того, является система менеджмента организации документированной или нет; существующие процессы менеджмента могут быть улучшены путем внедрения положений стандарта ИСО 31000;
b) процесс менеджмента риска должен быть неотъемлемой частью действий, создающих риск; если риск понят организацией после принятия решения, то необходимо изменить принятое решение;
c) если документированной системы менеджмента организации не существует, то структура менеджмента риска может служить основой для ее создания.

Если менеджмент риска не интегрирован в другую деятельность и процессы менеджмента, то эта деятельность может быть воспринята как дополнительная административная задача или бюрократическое нововведение, которое не создает и/или не защищает ценность.

Существует два основных метода применения принципа:

- в процессе разработки (включая поддержку и улучшение) структуры менеджмента риска;

- при применении процесса менеджмента риска к принятию решений и связанным действиям.

Метод выражения намерений организации (т.е. полномочий и обязательств) в области менеджмента риска должен быть аналогичен выражению других намерений (см. приложение С). Везде, где применимо, компоненты структуры менеджмента риска должны быть включены в компоненты существующих систем менеджмента (см. приложение E и ИСО 31000).

Аудиторские компании могут играть важную роль при анализе способов принятия решения руководством, а также анализа применения процесса менеджмента риска.
B.2.3 Менеджмент риска - часть принятия решений
B.2.3.1 Принцип
c) Менеджмент риска - часть принятия решений.

Менеджмент риска помогает лицам, принимающим решения, сделать информированный выбор, расположить по приоритетам действия и сделать выбор между альтернативными планами действий.
B.2.3.2 Как применять принцип

Данный принцип показывает, что менеджмент риска лежит в основе принятия обоснованного решения. Менеджмент риска должен быть интегрирован в действия, поддерживающие достижение целей, и процесс принятия решений. В процессе принятия решений следует последовательно оценивать риск и, если необходимо, его обрабатывать. Принятие или непринятие решений включает риск и важно осознавать риск в обеих ситуациях.

Менеджмент риска должен быть частью принятия решения. Риск следует учитывать заранее (превентивно) до принятия решения, а не по факту принятия решения. Например, следующим образом:

- решения о стратегических проблемах должны учитывать неопределенность при изменениях факторов внешней среды и изменений ресурсов организации;

- процесс инноваций должен не только учитывать неопределенность, которая определяет успех инноваций, но также риск, связанный с человеческими, социальными, экологическими аспектами инноваций, требованиями безопасности и соответствия законодательным и обязательным требованиям (например, безопасность товаров);

- в планах относительно большого объема инвестиций должны быть определены этапы принятия решений, на которых следует проводить оценку риска.

В политике организации в области менеджмента риска и обмена информацией о нем должен быть отражен данный принцип.

В других частях структуры организации следует учитывать способ принятия решения, так чтобы процесс на всех этапах принятия решения был эффективным и последовательным, например, при управлении проектом, инвестиционной оценке или закупках.

Ответственные за принятие решений на всех уровнях и во всех подразделениях организации должны понимать политику в области менеджмента риска организации и должны обладать необходимой компетентностью, чтобы эффективно применять процесс менеджмента риска при принятии решений. При этом необходимо четко распределить ответственность и полномочия, обеспечить профессиональное обучение и проводить анализ выполнения работы.
Практическая помощь

Для достижения максимального эффекта от применения данного принципа необходимо с самого начала подробно ответить на следующие вопросы:

Как принцип может помочь создать и защитить ценность?

Как и где в организации принимают решения?

Кто вовлечен в принятие решений?

Какие знания и навыки необходимы для тех, кто принимает решения, чтобы сделать менеджмент риска частью принятия решений?

Как лица, принимающие решения, приобретают знания и навыки, в которых они нуждаются?

Какое руководство и поддержка необходимы для существующего персонала?

Как будущий персонал при введении в должность будет обучен методу принятия решений?

Как будут затронуты интересы внешних заинтересованных лиц?

Что необходимо изменить в процессах принятия решений в организации?

Как проводить мониторинг прогресса в реализации этого принципа?
B.2.4 Менеджмент риска явным образом связан с неопределенностью
B.2.4.1 Принцип
d) Менеджмент риска явным образом связан с неопределенностью.

Менеджмент риска четко учитывает неопределенность, характер этой неопределенности и способы ее обработки
B.2.4.2 Как применять принцип

Процесс менеджмента риска уникален среди других типов менеджмента тем, что связан с воздействием неопределенности на поставленные цели. Риск можно оценить и успешно обработать только в случае, если поняты особенности и источник неопределенности.

Организация должна рассмотреть неопределенность всех типов, при этом нельзя ее недооценивать или переоценивать.

Направленность на анализ неопределенности важна также при выборе способов обработки риска, анализе воздействия и надежности методов управления. Также следует учитывать неопределенность, связанную с поддержкой процесса менеджмента риска, например, оценки успешности передачи информации при проведении консультаций с заинтересованными сторонами или оценки достаточности выбранных интервалов мониторинга для выявления изменений.

Лица, вовлеченные в управление риском, должны понимать значение неопределенности, типы и источники неопределенности. Количество и виды методов оценки риска, направленных на снижение неопределенности, должны соответствовать важности принимаемого решения, при этом предпочтительно применять разнонаправленные методы.

Предположения, на основе которых приняты решения, должны быть зарегистрированы в процессе менеджмента риска (ИСО 31000:2009, пункт 5.7). Предположения обычно отражают некоторую форму неопределенности. Неопределенность, выявленная на различных этапах процесса, должна быть учтена.

При оценке риска важно оценить неопределенность, связанную с оценкой и ранжированием вероятности и последствий.

В процессе анализа риска и предполагаемой обработки риска необходимо исследовать чувствительность, т.е. фактическое влияние неопределенности на риск.
Практическая помощь

Лица, принимающие решения, должны, прежде всего, выяснить: "Каковы предположения в данном случае?" и "Как неопределенность связана с предположениями?". Эта практика не должна быть ограничена формальными оценками риска, например, она может быть применена при прогнозировании.

- При анализе внутренней и внешней среды организации при определении области применения, необходимо исследовать и учесть все особенности, связанные с высокой изменчивостью. Это источники неопределенности. Следует определить способы непрерывного мониторинга и анализа этих особенностей.

Если неопределенность существует только в пределах известного диапазона, то необходимо следить за значением неопределенности в данном диапазоне.
B.2.5 Менеджмент риска является систематическим, структурированным и своевременным
B.2.5.1 Принцип
e) Менеджмент риска является систематическим, структурированным и своевременным.

Систематический, регулярный и структурированный подход к менеджменту риска способствует эффективности и устойчивым, сравнимым и надежным результатам.
B.2.5.2 Как применять принцип

Последовательный подход к управлению риском в процессе принятия решения помогает обеспечить эффективность работы и создает атмосферу доверия и успеха в организации. Для этого необходимо применение организационных методов, которые позволяют учитывать риск, связанный со всеми принятыми решениями, и использовать последовательные критерии риска, связанные с достижением целей организации и соответствием области применения ее деятельности.

Своевременный подход показывает, что процесс менеджмента риска применен в оптимальной точке в процессе принятия решений. Частично, это зависит от разработанной структуры, к которой также применяют этот принцип. Если соображения относительно риска сделаны слишком рано или слишком поздно, а также если возможности, связанные со снижением риска, упущены, то могут потребоваться существенные затраты, связанные с пересмотром решения. Необходимо оценить и понять зависимость от времени учета риска, чтобы определить наиболее эффективный подход к менеджменту риска.

Структурированный подход подразумевает применение процесса менеджмента риска так, как описано в ИСО 31000:2009, пункте 5, включая подготовку к этим действиям. В зависимости от своих потребностей организация должна совместить принятые методы управления риска с методами менеджмента (например, метод снизу вверх или сверху вниз на соответствующем уровне менеджмента организации).
B.2.6 Менеджмент риска основан на наилучшей доступной информации
B.2.6.1 Принцип
f) Менеджмент риска основывается на наилучшей доступной информации.

Входные данные для процесса менеджмента риска основаны на таких источниках информации, как исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы и экспертные оценки. Однако лица, принимающие решения, должны принимать во внимание любые ограничения данных и моделирования, а также возможности расхождений мнений среди экспертов.
B.2.6.2 Как применять принцип

Для организации важно получить наилучшую доступную информацию, чтобы иметь правильное понимание риска. Следовательно, мероприятия менеджмента риска должны включать методы (например, исследование) сбора и генерирования информации. Однако, несмотря на предпринимаемые усилия, иногда доступная информация может быть ограничена, например, ожидания относительно будущих событий могут быть ограничены использованием методов статистического прогнозирования.

Организация должна понять чувствительность решений по отношению к неопределенности информации. Достоверность оценки риска зависит, частично, от точности и прецизионности критериев риска. Сбор данных, связанных с риском, (например, данных о возникновении инцидентов и другой информации, полученной на фактических данных) может помочь при статистическом прогнозировании.

На практике основной целью часто становится принятие решений на основе фактических данных, хотя это не всегда возможно по времени или доступным ресурсам. В таких ситуациях выводы на основе экспертных оценок необходимо объединять с доступной информацией. При этом необходимо избегать смещения в сторону экспертных оценок. Кроме того, на основе прошлых данных не всегда возможен точный прогноз. В ситуациях с потенциально высокими последствиями отсутствие информации может иметь немедленное действие, если есть доказательства возможного вреда, а не безусловного доказательства наличия вреда.

Этот принцип также применим при разработке (или улучшении) структуры менеджмента риска, поскольку существуют аспекты структуры, которые могут определить успех использования этого принципа. Например, аспекты, связанные с обеспечением возможности исследования или связанные со сбором, анализом, обновлением и доступностью информации, необходимой для осуществления процесса.

Достоверность и точность информации необходимо регулярно анализировать для обеспечения ее адекватности, своевременности и достоверности в соответствии с зарегистрированными предположениями. Необходимо обеспечить периодический анализ, а также пересмотр или коррекцию структуры менеджмента риска по проблемным вопросам.
Практическая помощь

При разработке и проектировании способов обмена информацией об инцидентах необходимо сначала тщательно рассмотреть цели использования информации. Определить, при решении каких вопросов может помочь эта информация, кто настоящие и будущие ее конечные пользователи, как необходимо сортировать информацию, как повысить степень совместимости информации, как можно получить доступ к информации. После ответа на эти вопросы целесообразно разработать форму отчетности с учетом воздействий изменений на качество полученной информации в долгосрочном периоде.

Необходимо описать область применения информации (включая регистрацию даты разработки или изменения), которая должна стать частью более подробных и документированных описаний ключевых рисков (например, реестра риска). Это позволяет пользователям реестра риска учесть изменения области применения, которые могут произойти впоследствии при возникновении изменений риска.

Если при оценке используют предположения, то пояснения относительно этих предположений, включая все ограничения, должны быть точно зарегистрированы и поняты.

При разработке способов обработки риска необходимо определить, как будет проводиться мониторинг применения средств контроля методов управления, как результаты мониторинга могут стать доступны лицам, принимающим решения и использующим такие средства.
B.2.7 Менеджмент риска является адаптируемым
B.2.7.1 Принцип
g) Менеджмент риска является адаптируемым.

Менеджмент риска должен соответствовать внешней и внутренней области применения (среде) и профилю риска.
B.2.7.2 Как применять принцип

В стандарте ИСО 31000 изложен общий подход к созданию менеджмента риска, применимый ко всем типам организаций и всем типам риска. Каждая организация имеет культуру, показатели, критерии риска и область применения деятельности. Менеджмент риска должен учитывать особенности организации и удовлетворять ее потребностям.

Нет никакого единственно правильного способа разработки и реализации структуры и процессов менеджмента риска, поскольку необходимы гибкость и адаптация для каждой организации. При разработке следует учитывать многие аспекты, включая размер, культуру, сферу деятельности, конфигурацию и стиль управления организации.

Различные виды риска могут потребовать разработки и применения различных специализированных процессов в организации. Процессы менеджмента риска должны соответствовать требованиям ИСО 31000, при этом могут быть различия в системах, моделях и уровне применяемых оценок риска (например, при оценке риска, связанного с информационными технологиями (ИТ), инвестиционного риска или риска, связанного с конкурентами). Каждый процесс должен быть адаптирован для определенной цели.

Основная цель структуры состоит в обеспечении применимости процесса менеджмента риска к принятию решений наиболее эффективным способом, который отражает политику организации. При этом в разработанной структуре необходимо отразить место и способы принятия решений, учесть законодательные требования или другие внешние обязательства организации.

Важно иметь в виду, что адаптация не подразумевает различия в элементах структуры (см. пункт 5 ИСО 31000:2009) или этапах процесса (см. пункт 5 ИСО 31000:2009). Все они важны для эффективного менеджмента риска.

Данный принцип важен во время разработки и улучшения структуры менеджмента риска, а также при определении способов структурирования аспектов процесса.

Данный принцип может также показать, что организация должна исследовать внутренние проблемы, например, текучесть кадров (если этот показатель высокий, то может потребоваться применение соответствующих средств корректировок, чтобы обеспечить выполнение всеми новыми работниками требований менеджмента риска).

Адаптивность структуры необходима для достижения интеграции с процессами принятия решений организации. При этом необходимо изменение процессов принятия решений, чтобы соответствовать модифицированной структуре менеджмента риска.
Практическая помощь

При разработке структуры менеджмента риска необходимо определить вовлеченных лиц и учесть их требования и потребности.

- Работа над более глубоким пониманием основных понятий ИСО 31000 может помочь обеспечить необходимые охват, структуру и процесс менеджмента риска в соответствии с альтернативными признаками эффективного менеджмента риска, приведенными в ИСО 31000:2009, приложение А. Наоборот, поверхностное понимание не приведет к этой цели.
B.2.8 Менеджмент риска учитывает человеческие и культурные факторы
B.2.8.1 Принцип
h) Менеджмент риска учитывает человеческие и культурные факторы.

Менеджмент риска признает возможности, восприятия и намерения людей за пределами и внутри организации, которые могут способствовать или затруднять достижение целей организации.
B.2.8.2 Как применять принцип

Данный принцип помогает учесть представления и потребности заинтересованных лиц. При этом необходимо понимать, что на такие представления и потребности могут оказывать влияние на социальные, культурные и иные характеристики. Анализируемые факторы должны включать социальные, политические и культурные аспекты, а также концепцию времени. Общие типы ошибок включают следующее:
a) отказ обнаружить ранние признаки опасности и реагировать на них;
b) безразличие к мнениям людей или отсутствие знаний о них;
c) использование упрощенных стратегий обработки информации и нежелание работать со сложными вопросами;
d) отказ признать сложность проблемы.

При разработке структуры и применении всех аспектов процесса менеджмента риска необходимо установить требования, чтобы понять и использовать в работе человеческие и культурные факторы.

Разработка структуры и обмен информации о риске должны учитывать культурные характеристики и уровни знаний аудитории.
Практическая помощь

Руководители должны своими действиями показывать, что они способствуют и поддерживают уважение и понимание индивидуальных различий людей.

Люди ценят, когда спрашивают их мнение.

Как правило, организации вознаграждают за то, что для них ценно. Если выбор, поощрение и вознаграждение работников напрямую не связаны с фактическим выполнением работ в области менеджмента риска, то маловероятно, что такая работа будет соответствовать стандартным требованиям к менеджменту риска. Усилия людей должны быть признаны и оценены.

Как правило, неблагоразумно полагаться только на единоличное управление, необходимо привлечение различных мнений, чтобы работать с риском.

Для транснациональных корпораций благоразумно признать значение культуры при определении поведения людей.
Практическая помощь

Ниже приведены примеры полезных вопросов относительно человеческих и организационных факторов:

Структура организации соответствует потребностям организации?

Формально ответственные лица точно идентифицированы?

Все должностные инструкции содержат точный перечень ответственности и полномочий работников?

Действительно ли все каналы обмена информацией точны и эффективны?

Иногда необходимо проверить правильность понимания и интерпретации обмена информацией на всех уровнях в организации?

Проводят ли в организации мониторинг морального климата ?

Проводят ли анализ форм взаимодействия между командами?

Существуют ли способы получения и признания слухов, а также способы реагирования на них в организации, достаточно ли этих способов, чтобы не допустить отрицательного воздействия слухов?

Существует ли четкое определение, пересмотр и содействие политике?

Если в политике есть проблемы, необходим ли анализ процесса?

Придерживается ли организация политики и процедур? Если нет, необходим ли дополнительный анализ? Они внедрены в жизнь?

Привлекают ли внутренних и внешних аудиторов к выявлению опасного или неэтичного поведения работников в организации?
B.2.9 Менеджмент риска является прозрачным и учитывает интересы заинтересованных сторон