Действующий
Внешняя и внутренняя среда - это окружение, в котором организация стремится определить и достичь своих целей.
Понимание среды процесса менеджмента риска должно исходить из внешнего и внутреннего окружения, в котором работает организация, и отражать конкретные условия деятельности, к которым должен применяться процесс менеджмента риска.
Организация должна установить внешнюю и внутреннюю среду процесса менеджмента риска, рассмотрев факторы, упомянутые в 5.4.1.
Организация должна указать размер и тип риска, который она может или не может принять по отношению к своим целям. Она также должна определять критерии для оценки значимости риска и поддержки процессов принятия решений. Критерии риска должны быть согласованы со структурой управления рисками и адаптированы к конкретным целям и объемам рассматриваемой деятельности. Критерии риска должны отражать ценности, цели и ресурсы организации и соответствовать политикам и заявлениям в отношении менеджмента риска. Критерии должны определяться с учетом обязательств организации и мнений причастных сторон.
Хотя критерии риска должны быть установлены в начале процесса оценки риска, они являются динамичными и в случае необходимости должны пересматриваться и корректироваться.
- характер и тип неопределенностей, которые могут повлиять на результаты и достижение целей (как материальные, так и нематериальные);
- способ определения и оценки последствий (как положительных, так и отрицательных) и их вероятность;
Оценка риска - это процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.
Оценка риска должна проводиться систематически, итеративно и совместно, опираясь на знания и мнения причастных сторон. Она должна базироваться на наилучшей имеющейся информации и дополняться по мере необходимости новыми данными.
Цель идентификации риска - найти, распознать и описать риски, которые могут помочь или помешать организации достичь своих целей. Для идентификации рисков важно использовать уместную, применимую и актуальную информацию.
Организация может использовать ряд методов для выявления неопределенностей, которые могут повлиять на достижение одной или нескольких целей. Следует учитывать следующие факторы и взаимосвязи между этими факторами:
Организация должна идентифицировать риски независимо от того, находятся ли источники данных рисков под контролем. Следует учитывать, что может быть более одного исхода в случае реализации риска, что может привести к различным материальным или нематериальным последствиям.
Цель анализа риска заключается в том, чтобы понять природу риска и его характеристики, в том числе, когда это необходимо, уровень риска. Анализ риска включает подробное рассмотрение неопределенностей, источников риска, последствий, вероятности, событий, сценариев, методов управления риском и их эффективности. Событие может иметь несколько причин и последствий и может влиять на достижение нескольких целей.
Анализ риска может проводиться с различной степенью детализации и сложности, в зависимости от цели анализа, доступности и достоверности информации и доступных ресурсов. Технологии анализа могут быть качественными, количественными или их комбинациями в зависимости от обстоятельств и предполагаемого использования.