(Действующий) ГОСТ Р 51901.7-2017/ISO/TR 31004:2013 Менеджмент риска. Руководство по...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
B.2.6.1 Принцип
f) Менеджмент риска основывается на наилучшей доступной информации.

Входные данные для процесса менеджмента риска основаны на таких источниках информации, как исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы и экспертные оценки. Однако лица, принимающие решения, должны принимать во внимание любые ограничения данных и моделирования, а также возможности расхождений мнений среди экспертов.
B.2.6.2 Как применять принцип

Для организации важно получить наилучшую доступную информацию, чтобы иметь правильное понимание риска. Следовательно, мероприятия менеджмента риска должны включать методы (например, исследование) сбора и генерирования информации. Однако, несмотря на предпринимаемые усилия, иногда доступная информация может быть ограничена, например, ожидания относительно будущих событий могут быть ограничены использованием методов статистического прогнозирования.

Организация должна понять чувствительность решений по отношению к неопределенности информации. Достоверность оценки риска зависит, частично, от точности и прецизионности критериев риска. Сбор данных, связанных с риском, (например, данных о возникновении инцидентов и другой информации, полученной на фактических данных) может помочь при статистическом прогнозировании.

На практике основной целью часто становится принятие решений на основе фактических данных, хотя это не всегда возможно по времени или доступным ресурсам. В таких ситуациях выводы на основе экспертных оценок необходимо объединять с доступной информацией. При этом необходимо избегать смещения в сторону экспертных оценок. Кроме того, на основе прошлых данных не всегда возможен точный прогноз. В ситуациях с потенциально высокими последствиями отсутствие информации может иметь немедленное действие, если есть доказательства возможного вреда, а не безусловного доказательства наличия вреда.

Этот принцип также применим при разработке (или улучшении) структуры менеджмента риска, поскольку существуют аспекты структуры, которые могут определить успех использования этого принципа. Например, аспекты, связанные с обеспечением возможности исследования или связанные со сбором, анализом, обновлением и доступностью информации, необходимой для осуществления процесса.

Достоверность и точность информации необходимо регулярно анализировать для обеспечения ее адекватности, своевременности и достоверности в соответствии с зарегистрированными предположениями. Необходимо обеспечить периодический анализ, а также пересмотр или коррекцию структуры менеджмента риска по проблемным вопросам.
Практическая помощь

При разработке и проектировании способов обмена информацией об инцидентах необходимо сначала тщательно рассмотреть цели использования информации. Определить, при решении каких вопросов может помочь эта информация, кто настоящие и будущие ее конечные пользователи, как необходимо сортировать информацию, как повысить степень совместимости информации, как можно получить доступ к информации. После ответа на эти вопросы целесообразно разработать форму отчетности с учетом воздействий изменений на качество полученной информации в долгосрочном периоде.

Необходимо описать область применения информации (включая регистрацию даты разработки или изменения), которая должна стать частью более подробных и документированных описаний ключевых рисков (например, реестра риска). Это позволяет пользователям реестра риска учесть изменения области применения, которые могут произойти впоследствии при возникновении изменений риска.

Если при оценке используют предположения, то пояснения относительно этих предположений, включая все ограничения, должны быть точно зарегистрированы и поняты.

При разработке способов обработки риска необходимо определить, как будет проводиться мониторинг применения средств контроля методов управления, как результаты мониторинга могут стать доступны лицам, принимающим решения и использующим такие средства.
B.2.7 Менеджмент риска является адаптируемым
B.2.7.1 Принцип
g) Менеджмент риска является адаптируемым.

Менеджмент риска должен соответствовать внешней и внутренней области применения (среде) и профилю риска.
B.2.7.2 Как применять принцип

В стандарте ИСО 31000 изложен общий подход к созданию менеджмента риска, применимый ко всем типам организаций и всем типам риска. Каждая организация имеет культуру, показатели, критерии риска и область применения деятельности. Менеджмент риска должен учитывать особенности организации и удовлетворять ее потребностям.

Нет никакого единственно правильного способа разработки и реализации структуры и процессов менеджмента риска, поскольку необходимы гибкость и адаптация для каждой организации. При разработке следует учитывать многие аспекты, включая размер, культуру, сферу деятельности, конфигурацию и стиль управления организации.

Различные виды риска могут потребовать разработки и применения различных специализированных процессов в организации. Процессы менеджмента риска должны соответствовать требованиям ИСО 31000, при этом могут быть различия в системах, моделях и уровне применяемых оценок риска (например, при оценке риска, связанного с информационными технологиями (ИТ), инвестиционного риска или риска, связанного с конкурентами). Каждый процесс должен быть адаптирован для определенной цели.

Основная цель структуры состоит в обеспечении применимости процесса менеджмента риска к принятию решений наиболее эффективным способом, который отражает политику организации. При этом в разработанной структуре необходимо отразить место и способы принятия решений, учесть законодательные требования или другие внешние обязательства организации.

Важно иметь в виду, что адаптация не подразумевает различия в элементах структуры (см. пункт 5 ИСО 31000:2009) или этапах процесса (см. пункт 5 ИСО 31000:2009). Все они важны для эффективного менеджмента риска.

Данный принцип важен во время разработки и улучшения структуры менеджмента риска, а также при определении способов структурирования аспектов процесса.

Данный принцип может также показать, что организация должна исследовать внутренние проблемы, например, текучесть кадров (если этот показатель высокий, то может потребоваться применение соответствующих средств корректировок, чтобы обеспечить выполнение всеми новыми работниками требований менеджмента риска).

Адаптивность структуры необходима для достижения интеграции с процессами принятия решений организации. При этом необходимо изменение процессов принятия решений, чтобы соответствовать модифицированной структуре менеджмента риска.
Практическая помощь

При разработке структуры менеджмента риска необходимо определить вовлеченных лиц и учесть их требования и потребности.

- Работа над более глубоким пониманием основных понятий ИСО 31000 может помочь обеспечить необходимые охват, структуру и процесс менеджмента риска в соответствии с альтернативными признаками эффективного менеджмента риска, приведенными в ИСО 31000:2009, приложение А. Наоборот, поверхностное понимание не приведет к этой цели.
B.2.8 Менеджмент риска учитывает человеческие и культурные факторы
B.2.8.1 Принцип
h) Менеджмент риска учитывает человеческие и культурные факторы.

Менеджмент риска признает возможности, восприятия и намерения людей за пределами и внутри организации, которые могут способствовать или затруднять достижение целей организации.
B.2.8.2 Как применять принцип

Данный принцип помогает учесть представления и потребности заинтересованных лиц. При этом необходимо понимать, что на такие представления и потребности могут оказывать влияние на социальные, культурные и иные характеристики. Анализируемые факторы должны включать социальные, политические и культурные аспекты, а также концепцию времени. Общие типы ошибок включают следующее:
a) отказ обнаружить ранние признаки опасности и реагировать на них;
b) безразличие к мнениям людей или отсутствие знаний о них;
c) использование упрощенных стратегий обработки информации и нежелание работать со сложными вопросами;
d) отказ признать сложность проблемы.

При разработке структуры и применении всех аспектов процесса менеджмента риска необходимо установить требования, чтобы понять и использовать в работе человеческие и культурные факторы.

Разработка структуры и обмен информации о риске должны учитывать культурные характеристики и уровни знаний аудитории.
Практическая помощь

Руководители должны своими действиями показывать, что они способствуют и поддерживают уважение и понимание индивидуальных различий людей.

Люди ценят, когда спрашивают их мнение.

Как правило, организации вознаграждают за то, что для них ценно. Если выбор, поощрение и вознаграждение работников напрямую не связаны с фактическим выполнением работ в области менеджмента риска, то маловероятно, что такая работа будет соответствовать стандартным требованиям к менеджменту риска. Усилия людей должны быть признаны и оценены.

Как правило, неблагоразумно полагаться только на единоличное управление, необходимо привлечение различных мнений, чтобы работать с риском.

Для транснациональных корпораций благоразумно признать значение культуры при определении поведения людей.
Практическая помощь

Ниже приведены примеры полезных вопросов относительно человеческих и организационных факторов:

Структура организации соответствует потребностям организации?

Формально ответственные лица точно идентифицированы?

Все должностные инструкции содержат точный перечень ответственности и полномочий работников?

Действительно ли все каналы обмена информацией точны и эффективны?

Иногда необходимо проверить правильность понимания и интерпретации обмена информацией на всех уровнях в организации?

Проводят ли в организации мониторинг морального климата ?

Проводят ли анализ форм взаимодействия между командами?

Существуют ли способы получения и признания слухов, а также способы реагирования на них в организации, достаточно ли этих способов, чтобы не допустить отрицательного воздействия слухов?

Существует ли четкое определение, пересмотр и содействие политике?

Если в политике есть проблемы, необходим ли анализ процесса?

Придерживается ли организация политики и процедур? Если нет, необходим ли дополнительный анализ? Они внедрены в жизнь?

Привлекают ли внутренних и внешних аудиторов к выявлению опасного или неэтичного поведения работников в организации?
B.2.9 Менеджмент риска является прозрачным и учитывает интересы заинтересованных сторон
B.2.9.1 Принцип
i) Менеджмент риска является прозрачным и учитывает интересы заинтересованных сторон.

Соответствующее и своевременное вовлечение заинтересованных сторон и, в частности, лиц, принимающих решения, на всех уровнях организации обеспечивает, что менеджмент риска остается на надлежащем уровне и отвечает современным требованиям. Это позволяет заинтересованным сторонам быть должным образом представленными и быть уверенными в том, что их мнение принимается во внимание в процессе установления критериев риска.
B.2.9.2 Как применять принцип

Данный принцип может воздействовать на разных уровнях. Этот принцип может быть отражен в политике в области менеджмента риска организации (например, "Мы будем информировать и консультироваться с заинтересованными сторонами везде, где возможно, чтобы они понимали наши цели и могли выразить свои знания и представления, которые могут помочь при принятии решений нашей организации").

Консультации с заинтересованными сторонами являются частью этапа внедрения процесса менеджмента риска и их необходимо планировать и относиться к этому очень аккуратно. Именно здесь доверие может быть построено или разрушено. Для обеспечения эффективности и повышения уверенности в результатах, соответствующие заинтересованные стороны должны быть вовлечены во все аспекты процесса менеджмента риска, включая разработку процесса консультаций и обмена информацией.

При внедрении данного принципа необходимо учитывать проблемы, связанные с конфиденциальностью, безопасностью и частной жизнью, например, доступ к отдельным пунктам реестра риска может быть ограничен.
Практическая помощь

При обучении менеджменту риска могут быть использованы ролевые игры, связанные с обучением обмену информацией и консультациям по подготовке кадров в области менеджмента риска.

Необходимо оценить самочувствие лиц, получающих информацию.

Необходимо обеспечить регулярную обратную связь, чтобы продемонстрировать эффективность процесса на практике.

Необходимо поощрять выявление новых мнений, эти мнения и представления следует поощрять, признавать, ценить, и везде, где применимо, необходимо обеспечить обратную связь о них.
B.2.10 Менеджмент риска является динамичным, итеративным и реагирующим на изменения
B.2.10.1 Принцип
j) Менеджмент риска является динамичным, итеративным и реагирующим на изменения.

Менеджмент риска непрерывно распознает изменения и реагирует на них. Как только происходит внешнее или внутреннее событие, область применения или знания изменяются, необходимо проводить мониторинг и пересмотр рисков, при этом новые риски появляются, некоторые изменяются, другие исчезают.
B.2.10.2 Как применять принцип

Все изменения в целях организации или аспектах внутренней или внешней среды неизбежно влияют на риск (например, внутреннее изменение структуры, появление нового главного поставщика или изменение в законодательстве). Аналогично изменения в области деятельности организации (например, приобретение другой компании, или заключение нового основного контракта) могут потребовать изменений в структуре менеджмента риска (например, в обучении). Процессы менеджмента риска должны быть разработаны с учетом динамики изменений организации (например, скорости изменения).

В стандарте ИСО 31000 изложено два режима мониторинга и анализа (для структуры и процесса). Каждый из них предназначен для своей цели и каждый требует осмысления и реализации.

Организация должна проводить мониторинг и анализ структуры для обеспечения соответствия принципам менеджмента риска, политике в области менеджмента риска и поддержки применения процесса принятия решений.

Необходимо включать мониторинг и анализ в каждый из основных этапов процесса менеджмента риска.

Организация должна проводить анализ своих методов управления риском, чтобы обеспечить их непрерывную результативность при реагировании на изменения. Например, эффективность методов управления зависит от их применения квалифицированными специалистами, поэтому при значимых изменениях в составе персонала такие средства могут стать неэффективными.

Организация должна тщательно адаптировать процессы мониторинга и анализа, в особенности они должны быть чувствительны к факторам изменения, которые могут оказать наибольшее воздействие. В процессе мониторинга и анализа необходимо оценить значения контролируемых показателей. При этом необходимо актуализировать такие показатели при возникновении изменений или новых обстоятельств.

Мониторинг и анализ - это уникальные виды деятельности (см. ИСО 31000:2009, пункты 4.5 и 5.6). Мониторинг связан с непрерывным наблюдением за основными параметрами для определения их соответствия установленным требованиям. Анализ проводят периодически, он должен быть структурирован относительно его цели и предназначен для определения актуальности предположений, на основе которых были приняты решения (т.е. разработана структура). Анализ должен также учесть внедрение новых знаний и технологий.
Практическая помощь

При применении процесса менеджмента риска и разработке заявления об области применения этого процесса, компоненты, которые наиболее вероятно подвергнутся изменению (например, особенности внешней среды), должны быть идентифицированы, следует также проводить мониторинг их изменения. Выявленные изменения могут потребовать переоценки отдельных или всех документированных рисков.

Работников необходимо поощрять, сообщать о беспокойстве по поводу существующего положения вещей (включая информацию о разоблачениях).

Даже небольшие организации должны учитывать глобальные изменения, например, глобальный финансовый кризис 2008 глубоко повлиял на некоторых небольших поставщиков, главными потребителями которых были организации, связанные прямо или косвенно с банкротством банка. Такие внешние события или обстоятельства могут потребовать превентивных изменений структуры менеджмента риска.
B.2.11 Менеджмент риска способствует постоянному улучшению организации
B.2.11.1 Принцип
k) Менеджмент риска способствует постоянному улучшению организации.

Организации должны разрабатывать и применять стратегии улучшения менеджмента риска одновременно с улучшением других аспектов своей деятельности.
B.2.11.2 Как применять принцип

Постоянное улучшение эффективности работы организации взаимосвязано с постоянным улучшением процесса менеджмента риска. Усовершенствованный процесс менеджмента риска, который основан на оценке риска принимаемых решений, может помочь снизить неопределенность в достижении целей, минимизировать изменчивость и повысить адаптивность организации. Однако необходимо следить, чтобы процесс менеджмента риска не был переусложнен. Менеджмент риска не должен проводиться на грани возможностей и гибкости реагирования.

Данный принцип особенно важен для организаций, которые опасаются использовать новые возможности для улучшения деятельности. Такие возможности могут возникнуть внутри (например, опыт реагирования на инциденты) или вне (например, появление новых инструментов и знаний, способных улучшить менеджмент риска) организации.

Данный принцип связан с непрерывным поиском возможностей повышения эффективности менеджмента риска, например, внедряя новые информационные технологии при принятии решений.

Цели постоянного улучшения должны быть установлены в политике в области менеджмента риска организации. Необходимо проводить непрерывный формальный и неформальный обмен информацией об этих целях. Постоянное улучшение может включать следующее:

- улучшение степени интеграции деятельности в области менеджмента риска в общую деятельность организации;

- повышение качества оценки риска;

- улучшение структуры, например, повышение качества и улучшение доступности информации;

- повышение скорости принятия решений.

Постоянное улучшение основано на использовании качественных и количественных показателях улучшения. Если в работе использованы поэтапные подходы и модели зрелости, то необходимо разработать показатели постоянного улучшения, которые основаны на ресурсах и культуре организации. Необходимо признать, что зачастую в основе успеха лежат многочисленные попытки человека добиться улучшения. Цели эффективного менеджмента риска направлены исключительно на повышение вероятности того, что организация полностью достигнет своих целей. Чем быстрее организация сможет достигнуть эффективного менеджмента риска, тем более эффективно она сможет достичь поставленных целей.

На практике, для достижения некоторых улучшений может потребоваться время, например, может возникнуть необходимость в дополнительном бюджетировании и планировании. При планировании улучшений необходимо расставить приоритеты, ранжировать выгоды и организовать проведение мониторинга реализации улучшений в организации.
Практическая помощь

При использовании мониторинга и анализа элементов структуры необходимо проводить ежегодный анализ выполнения принципов менеджмента риска и внедрения улучшений.

Организация должна оценить и проанализировать соответствие, пригодность и эффективность структуры менеджмента риска.

Необходимо использовать систему отчетности об инцидентах, чтобы провести анализ их причины. При этом необходимо исследовать не только текущие причины инцидента, но также провести анализ особенностей структуры менеджмента риска, которая позволила инциденту произойти.

Организация должна проводить мониторинг достижений (например, проект выполнен вовремя в рамках выделенного бюджета), чтобы понять, какие особенности структуры менеджмента риска позволили добиться успеха и могут быть использованы для укрепления успеха в будущем.

Приложение C (справочное). Способы выражения полномочий и обязательств

Приложение C
(справочное)
C.1 Общие положения

В данном приложении приведены руководящие указания и стратегии реализации полномочий и обязательств, а также способы обмена информацией о них в организации.

Для того чтобы полномочия и обязательства были эффективными, высшее руководство и контролирующие органы организации должны четко описать заинтересованным сторонам свой подход к менеджменту риска, документированию и обмену информацией о соответствующих полномочиях и обязательствах. Полномочия в области менеджмента риска, как правило, приводит к изменению в деятельности, культуре, политике, процессах и способах выполнения работ в области менеджмента риска, которые должны быть отражены в структуре менеджмента риска. Полномочия и обязательства могут быть изложены в кратком заявлении, которое должно быть широко распространено.

Разработка полномочий включает принятие решения о направлении действий и определение ответственных за их выполнение. В существующих организациях разработка полномочий влечет за собой изменения. При идентификации направления действий одновременно необходимо определить обязательства по их выполнению.

Полномочия и обязательства - это фундаментальная часть структуры менеджмента риска. Полномочия и обязательства должны быть частью менеджмента организации и структуры и должны быть учтены при их разработке.

Полномочия и обязательства должны отражать одиннадцать принципов менеджмента риска, изложенных в ИСО 31000:2009, пункт 3.

На практике полномочия и соответствующие обязательства организации могут быть выражены и восприняты явным и неявным способом. Неявные способы выражения (например, ежедневные действия высшего руководства и контролирующих органов, и способы действий, преобладающие в культуре организации), как правило, обеспечивают более сильный стимул, чем явные способы выражения (например, документированная политика в области менеджмента риска).
C.2 Методы представления полномочий и обязательств
C.2.1 Ключевые характеристики

Полномочия и обязательства должны соответствовать следующим критериям:
a) быть совместимыми со стратегическим планом, целями, политиками, способами обмена информацией и системой менеджмента организации;
b) быть совместимыми с критериями риска, определенными контролирующими органами;
c) соответствовать принципам ИСО 31000 и быть направленными на улучшение менеджмента риска в соответствии с ИСО 31000:2009 (приложение А);
d) обеспечивать простоту обмена информацией и проверку на понимание внутри и вне организации;
e) иметь обоснованные ожидания успешного выполнения;
f) быть ориентированными на обязанности владельцев риска.

Если существующие полномочия и обязательства организации в области менеджмента риска уже не соответствуют перечисленным критериям, следует провести явные и неявные необходимые изменения.

Пример - Если контролирующим органом или высшим руководством принято решение, в отношении которого была проведена оценка риска, это является признаком того, что организация приняла на себя обязательства по пониманию этого риска.

Существенной частью адаптации пересмотренных полномочий является разработка плана по изменению понимания требований. Цель этого плана состоит в обеспечении того, что полномочия и преимущества от их выполнения широко поняты, в них верят, а также то, что организация последовательно добивается осуществления этих полномочий. Действия организации, их сравнение с заявлениями о полномочиях имеют наибольшее воздействие на принятие их различными заинтересованными сторонами.
C.2.2 Установление политики и обязательств в области менеджмента риска и обмен информацией о них

Одним из основных способов выражения полномочий и обмена информацией о них явным способом является установление политики в области менеджмента риска и обмен информацией о ней. В ИСО 31000:2009, пункт 4.3.2 определено, что организация должна не только точно установить свою политику в области менеджмента риска, но также проводить обмен информацией о ней внутри и вне организации. В ИСО 31000:2009, пункт 4.3.2 также идентифицированы специальные положения, которые обычно отражены в политике в области менеджмента риска.

Способы выражения политики должны соответствующим образом учитывать принцип менеджмента риска g) (менеджмент риска должен быть адаптируемым) и быть совместимы с общим направлением развития организации. В противном случае политика в области менеджмента риска не может рассматриваться как часть общей системы, в которой работает организация.

Для более крупных организаций принятие политики обычно подразумевает разработку формального заявления о полномочиях в области менеджмента риска. Такая политика входит составной частью в общий набор политик и утверждается высшим руководством. Обмен информацией о политике в области менеджмента риска и усиление этой политики необходимо проводить посредством системы менеджмента организации.
Практическая помощь

Вовлечение высшего руководства и контролирующих органов и принятие ими соответствующих обязательств являются ключевыми факторами для успеха программ менеджмента риска. Организация должна рассмотреть следующие вопросы, которые помогают установить соответствующие полномочия и обязательства в области менеджмента риска:

Каковы стратегические цели организации? Действительно ли они ясны? Что является явным и неявным в этих целях?

Насколько высшее руководство понимает природу и значимость рисков, решение по которым оно готово взять на себя, и возможностей, которые оно готово использовать для достижения стратегических целей организации?

Готово ли высшее руководство установить ясное и понятное управление риском в организации?

Какие шаги высшее руководство сделало для обеспечения надзора за менеджментом риска?

При принятии решений руководители и работники понимают степень, до которой им (индивидуально) разрешено представлять организацию с учетом последствий события или ситуации? Отношение к риску должно быть основано на опыте, позволяющем принимать обоснованные решения с учетом риска.

Понимают ли руководители свой суммарный и связанный уровень риска и соответственно могут ли определить приемлемость риска?

Понимают ли высшее руководство и исполнительное руководство суммарный и связанный уровень риска для организации в целом?

Действительно ли специалистам и исполнительному руководству ясно, что отношение к риску не является постоянным? Оно может быть изменено под воздействием изменения конъюнктуры рынка и среды. При одобрении высшим руководством риска необходимо предусмотреть до некоторой степени гибкое отношение к его применению.

При принятии решения полностью ли исследованы последствия? Структура риска должна помочь руководителям, при этом руководители принимают на себя соответствующий уровень риска бизнеса с учетом потенциального вознаграждения.

Какие существенные риски высшее руководство готово принять на себя и какие возможности оно готово использовать? Какие существенные риски высшее руководство не готово принять на себя? Вне зависимости от политики в области менеджмента риска, эта политика должна действовать наравне с другими политиками организации.

Политика должна быть поддержана явными и неявными способами, правильно выражена и соответствовать шести критериям, установленным в C.2.1.
C.2.3 Укрепление приверженности

Высшее руководство и контролирующие органы должны продемонстрировать и укреплять приверженность организации полномочиям и обязательствам в области менеджмента риска с помощью соединения явных и неявных действий, включая следующие:

- прояснение того, что цели в области менеджмента риска могут быть связаны или не связаны с других целями менеджмента;

- прояснение того, что эффективность менеджмента риска связана с постановкой целей организации;

- обеспечение интеграции действий в области менеджмента риска, выполняемых в соответствии с полномочиями, в существующие процессы менеджмента, в том числе процессы стратегического менеджмента, проектирования и оперативной деятельности;

- требование проведения регулярного мониторинга и отчетности о структуре и процессах менеджмента риска организации, обеспечивающих их соответствие и эффективность;

- мониторинг адекватности понимания организацией видов своих рисков, соответствующих установленным критериям, и предпринятых действий по ликвидации последствий в случае несоответствия этим критериям;

- обеспечение принципа лидерства руководства, когда руководитель показывает пример своими действиями;

- возобновление обязательств и полномочий при изменениях сроков, событий и состава высшего руководства.

Стандарт ИСО 31000 может быть внедрен во всей организации или в ее части, например, во вспомогательных подразделениях.
C.3 Руководство по разработке полномочий и обязательств

Установленные полномочия в области менеджмента риска должны быть обдуманными и учитывать стратегические перспективы и результаты консультаций с контролирующими органами и высшим руководством. Это поможет обеспечить осуществление полномочий организацией.

Полномочия и обязательства необходимо анализировать на тактическом и стратегическом уровнях. Организация должна определить и оценить требования к компетентности, навыкам и опыту персонала, провести экспертизу их достижения.

Необходимо внимательно следить за изменениями, происходящими в соответствии с полномочиями в области менеджмента риска. Следить за тем, кто руководит изменениями, и кто нуждается в руководстве и/или поддержке. Иногда изменения могут быть радикальными (например, изменения в требованиях к работе, мониторинге функционирования и процессах управления), поэтому способность организации к изменениям может быть снижена. Изменения необходимо рассматривать в связи с другими изменениями, которые находятся на стадии реализации, и учитывать необходимость их интеграции.

Необходимо проводить консультации с работниками, которые будут в значительной степени затронуты изменениями, в особенности, лицами ответственными за отдельные направления менеджмента риска организации (например, обеспечение здоровья и безопасности людей, менеджмент безопасности). Смысл изменений должен быть понятен персоналу.

Полномочия должны быть четко сформулированы в программном заявлении, которое демонстрирует обязательства организации.
Практическая помощь

Некоторые способы достижения соответствия представлены ниже:

- рассмотрение способов разъяснения полномочий организации и того, как они подкрепляются дальнейшими действиями;

- рассмотрение сроков, влияющих на полномочия (необходимо уважать наравне с другими аспектами деятельности) организации, хотя до тех пор, пока структура менеджмента риска полностью не реализована, преимущества ее внедрения не будут полностью поняты, менеджмент риска не будет столь же эффективен, как мог бы быть);

- идентификация ключевых лиц, ответственных за инициирование необходимых изменений в подходе к менеджменту риска, руководство и внедрение действий по менеджменту риска;

- определение аспектов структуры и действий в области менеджмента риска, для которых необходим мониторинг со стороны высшего руководства, управление мониторингом и сбором и представлением такой информации;

- включение выполнения менеджмента риска в качестве регулярной повестки дня во все ключевые совещания и встречи высшего руководства;

- разработка эффективных методов обмена информацией о работе менеджмента риска (например, публикации информационного бюллетеня для персонала в стиле отчета по менеджменту риска);

- исследование критериев для начала проведения анализа полномочий со стороны руководства.