ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

МЕНЕДЖМЕНТ РИСКА

Руководство по внедрению ИСО 31000

(ISO/TR 31004:2013 Risk management — Guidance for the implementation

of ISO 31000, IDT)

Издание официальное

Москва

Стандартинформ

2017

Предисловие

1    ПОДГОТОВЛЕН Открытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (АО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 12 сентября 2017 г. № 1060-ст

4    Настоящий стандарт идентичен международному документу ISO/TR 31004:2013 «Менеджмент риска. Руководство по внедрению ИСО 31000» (ISO/TR 31004:2013 «Risk management — Guidance for the implementation of ISO 31000», IDT).

Международный стандарт разработан Техническим комитетом ISO/TC 262.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (wwwgost.ru)

© Стандартинформ. 2017

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ P 51901.7—2017

паэона возможных последствий и места, где они могут произойти Обработка риска в соответствии с ИСО 31000 является процессом, который направлен на изменение и/или разработку средств управления и включает сохранение риска

А.5 Структура менеджмента риска

Структура менеджмента риска связана с действиями в рамках системы менеджмента организации (включая методы, процессы, системы, ресурсы и культуру), которые позволяют управлять риском

Характеристики структуры менеджмента риска и степень ее интеграции в систему менеджмента организации в конечном счете определяют эффективность менеджмента риска

Структура должна включать четкие заявления со стороны высшего руководства о намерении организации относительно менеджмента риска (описанные в ИСО 31000 как полномочия и обязательства) и поддержке (ресурсы и возможность), направленной на достижение этого намерения

Возможности не существуют как единичная система или элемент Возможности включают многочисленные элементы, интегрированные в общие процессы менеджмента организации Они могут быть уникальными с точки зрения задач управления риском (например, создание специализированной информационной системы) и/или могут быть аспектами системы менеджмента организации (например, применение методов управления человеческими ресурсами).

А.б Критерии риска

Критерии риска — это параметры, установленные организацией, которые позволяют описывать риск и принимать решения относительно уровня риска с учетом отношения организации к риску Эти решения позволяют оценить риск и выбрать способы его обработки

А.7 Менеджмент, менеджмент риска и управление риском

Менеджмент включает скоординированные действия, которые позволяют руководить и управлять организацией для достижения поставленных целей

Менеджмент риска — это составной компонент менеджмента организации, поскольку включает скоординированные действия, связанные с воздействием неопределенности на поставленные цели Именно поэтому для обеспечения результативности менеджмента риска необходима максимальная интеграция этого процесса в систему менеджмента и процессы организации

7

Приложение В (справочное)

Применение принципов ИСО 31000

В.1 Общие положения

Все организации управляют риском в той или иной степени, поэтому в стандарте ИСО 31000 2009 установлены одиннадцать принципов, которые необходимо внедрить для обеспечения эффективности менеджмента риска В принципах менеджмента риска приведены

a)    разъяснения относительно эффективного управления риском (например, менеджмент риска создает и защищает ценность организации);

b)    характеристики менеджмента риска, которые позволяют менеджменту риска быть эффективным (например. принцип Ь). который определяет, что менеджмент риска — неотъемлемая часть всех процессов организации)

В стандарте ИСО 31000 каждый принцип представлен в виде двух частей краткого заголовка и его подробного разъяснения

При разработке целей менеджмента риска организации необходимо учитывать все одиннадцать принципов, однако, значение отдельных принципов может быть изменено в соответствии с особенностями применения их в конкретной ситуации

Успешное внедрение этих принципов влияет на результативность и эффективность менеджмента риска в организации Всегда должны быть учтены все одиннадцать принципов, даже при том, что значение отдельных принципов менеджмента риска может быть изменено исходя из особенностей рассматриваемой части структуры и ее применения

Несмотря на то. что принципы изложены кратко, значение каждого из них должно быть понято, чтобы обеспечить их непрерывное выполнение

В дальнейшем результаты этого вида анализа должны быть учтены при разработке и/или улучшении структуры менеджмента риска (например, при распределении ответственности и полномочий, предоставлении обучения, обмене информацией с заинтересованными лицами, разработке и проведении непрерывного мониторинга и анализа реализации менеджмента риска)

В данном приложении приведено описание способов применения каждого принципа, при этом для некоторых из них приведены практические рекомендации по их применению

В.2 Принципы

В.2.1 Менеджмент риска создает и защищает ценность

В.2.1.1 Принцип

а) менеджмент риска создает и защищает ценность

Менеджмент риска наглядно способствует достижению целей и улучшению деятельности, например, обеспечения здоровья и безопасности лкэдей, защиты соответствия законодательным и другим обязательным требованиям. общественного признания, защиты окружающей среды, качества продукции, менеджмента проектов, результативности функций, руководства и репутации

В.2.1.2 Как применять принцип

Данный принцип помогает понять, что цель менеджмента риска состоит в создании и защите ценности организации, и помочь в реализации ее целей Внедрение этого принципа необходимо, чтобы помочь организации идентифицировать факторы (внутренние и/или внешние), которые инициируют и создают неопределенность, воздействующую на достижение целей организации и управлять ими

Взаимосвязь между результативностью менеджмента риска и достижением успеха организации необходимо явно продемонстрировать и довести до сведения всех вовлеченных сторон Данный принцип разъясняет, что риском нельзя управлять ради него самого, но необходимо управлять ради достижения поставленных целей организации и их превышения

Некоторые показатели и их значения трудно измерить (например, в денежном выражении), но они могут в значительной степени способствовать повышению производительности, улучшению репутации и соответствию законодательным и обязательным требованиям Человеческие, социальные и экологические ценности особенно важны при управлении безопасностью и обеспечением здоровья лкадей и связанным риском, а также при управлении нематериальными активами, поэтому для описания таких ценностей необходимо использовать качественные, а не количественные показатели

ГОСТ P 51901.7—2017

В.2.2 Менеджмент риска — неотъемлемая часть всех процессов организации В.2.2.1 Принцип

Ь) Менеджмент риска — неотъемлемая часть всех процессов организации

Менеджмент риска — не автономное действие, которое является отдельным от основных видов деятельностей и процессов организации Менеджмент риска — часть обязанностей менеджмента и неотъемлемая часть всех организационных процессов, включая стратегическое планирование и процессы управления проектом и управления изменениями

В.2.2.2 Как применять принцип

Действия организации, включая принимаемые решения, вызывают риск Изменения во внешней среде, которые неподконтрольны организации, могут инициировать появления нового риска Все действия и процессы организации происходят во внутренней и внешней среде, в которой присутствует неопределенность Из этого следует, что:

a)    структура менеджмента риска должна быть реализована путем интеграции ее компонентов в общую систему менеджмента и в процесс принятия решений организации, независимо от того, является система менеджмента организации документированной или нет. существующие процессы менеджмента могут быть улучшены путем внедрения положений стандарта ИСО 31000,

b)    процесс менеджмента риска должен быть неотъемлемой частью действий, создающих риск, если риск понят организацией после принятия решения, то необходимо изменить принятое решение.

c)    если документированной системы менеджмента организации не существует, то структура менеджмента риска может служить основой для ее создания

Если менеджмент риска не интегрирован в другую деятельность и процессы менеджмента, то эта деятельность может быть воспринята как дополнительная административная задача или бюрократическое нововведение, которое не создает и/или не защищает ценность

Существует два основных метода применения принципа

-    в процессе разработки (включая поддержку и улучшение) структуры менеджмента риска.

-    при применении процесса менеджмента риска к принятию решений и связанным действиям

Метод выражения намерений организации (т. е полномочий и обязательств) в области менеджмента риска должен быть аналогичен выражению других намерений (см приложение С) Везде, где применимо, компоненты структуры менеджмента риска должны быть включены в компоненты существующих систем менеджмента (см приложение Е и ИСО 31000)

Аудиторские компании могут играть важную роль при анализе способов принятия решения руководством, а также анализа применения процесса менеджмента риска

В.2.3 Менеджмент риска — часть принятия решений

В.2.3.1 Принцип

В.2.3.2 Как применять принцип

Данный принцип показывает, что менеджмент риска лежит в основе принятия обоснованного решения Менеджмент риска должен быть интегрирован в действия, поддерживающие достижение целей, и процесс принятия решений В процессе принятия решений следует последовательно оценивать риск и, если необходимо, его обрабатывать Принятие или непринятие решений включает риск и важно осознавать риск в обеих ситуациях

Менеджмент риска должен быть частью принятия решения Риск следует учитывать заранее (превентивно) до принятия решения, а не по факту принятия решения Например, следующим образом

-    решения о стратегических проблемах должны учитывать неопределенность при изменениях факторов внешней среды и изменений ресурсов организации.

-    процесс инноваций должен не только учитывать неопределенность, которая определяет успех инноваций, но также риск, связанный с человеческими, социальными, экологическими аспектами инноваций, требованиями безопасности и соответствия законодательным и обязательным требованиям (например, безопасность товаров);

-    в планах относительно большого объема инвестиций должны быть определены этапы принятия решений, на которых следует проводить оценку риска

В политике организации в области менеджмента риска и обмена информацией о нем должен быть отражен данный принцип.

В других частях структуры организации следует учитывать способ принятия решения, так чтобы процесс на всех этапах принятия решения был эффективным и последовательным, например, при управлении проектом, инвестиционной оценке или закупках

9

Ответственные за принятие решений на всех уровнях и во всех подразделениях организации должны понимать политику в области менеджмента риска организации и должны обладать необходимой компетентностью, чтобы эффективно применять процесс менеджмента риска при принятии решений При этом необходимо четко распределить ответственность и полномочия, обеспечить профессиональное обучение и проводить анализ выполнения работы.

В.2.4 Менеджмент риска явным образом связан с неопределенностью В.2.4.1 Принцип

В.2.4.2 Как применять принцип

Процесс менеджмента риска уникален среди других типов менеджмента тем, что связан с воздействием неопределенности на поставленные цели Риск можно оценить и успешно обработать только в случае, если поняты особенности и источник неопределенности

Организация должна рассмотреть неопределенность всех типов, при этом нельзя ее недооценивать или переоценивать

Направленность на анализ неопределенности важна также при выборе способов обработки риска, анализе воздействия и надежности методов управления Также следует учитывать неопределенность, связанную с поддержкой процесса менеджмента риска, например, оценки успешности передачи информации при проведении консультаций с заинтересованными сторонами или оценки достаточности выбранных интервалов мониторинга для выявления изменений

Лица, вовлеченные в управление риском, должны понимать значение неопределенности, типы и источники неопределенности Количество и виды методов оценки риска, направленных на снижение неопределенности, должны соответствовать важности принимаемого решения, при этом предпочтительно применять разнонаправленные методы

Предположения, на основе которых приняты решения, должны быть зарегистрированы в процессе менеджмента риска (ИСО 31000 2009, пункт 5.7). Предположения обычно отражают некоторую форму неопределенности Неопределенность, выявленная на различных этапах процесса, должна быть учтена

При оценке риска важно оценить неопределенность, связанную с оценкой и ранжированием вероятности и последствий

В процессе анализа риска и предполагаемой обработки риска необходимо исследовать чувствительность, т е фактическое влияние неопределенности на риск

10

ГОСТ P 51901.7—2017

В.2.5 Менеджмент риска является систематическим, структурированным и своевременным В.2.5.1 Принцип

В.2.5.2 Как применять принцип

Последовательный подход к управлению риском в процессе принятия решения помогает обеспечить эффективность работы и создает атмосферу доверия и успеха в организации Для этого необходимо применение организационных методов, которые позволяют учитывать риск, связанный со всеми принятыми решениями, и использовать последовательные критерии риска, связанные с достижением целей организации и соответствием области применения ее деятельности

Своевременный подход показывает, что процесс менеджмента риска применен в оптимальной точке в процессе принятия решений Частично, это зависит от разработанной структуры, к которой также применяют этот принцип Если соображения относительно риска сделаны слишком рано или слишком поздно, а также если возможности, связанные со снижением риска, упущены, то могут потребоваться существенные затраты, связанные с пересмотром решения Необходимо оценить и понять зависимость от времени учета риска, чтобы определить наиболее эффективный подход к менеджменту риска

Структурированный подход подразумевает применение процесса менеджмента риска так. как описано в ИСО 31000 2009, пункте 5. включая подготовку к этим действиям В зависимости от своих потребностей организация должна совместить принятые методы управления риска с методами менеджмента (например, метод снизу вверх или сверху вниз на соответствующем уровне менеджмента организации).

В.2.6 Менеджмент риска основан на наилучшей доступной информации В.2.6.1 Принцип

В.2.6.2 Как применять принцип

Для организации важно получить наилучшую доступную информацию, чтобы иметь правильное понимание риска Следовательно, мероприятия менеджмента риска должны включать методы (например, исследование) сбора и генерирования информации Однако, несмотря на предпринимаемые усилия, иногда доступная информация может быть ограничена, например, ожидания относительно будущих событий могут быть ограничены использованием методов статистического прогнозирования

Организация должна понять чувствительность решений по отношению к неопределенности информации Достоверность оценки риска зависит, частично, от точности и прецизионности критериев риска Сбор данных, связанных с риском, (например, данных о возникновении инцидентов и другой информации, полученной на фактических данных) может помочь при статистическом прогнозировании

На практике основной целью часто становится принятие решений на основе фактических данных, хотя это не всегда возможно по времени или доступным ресурсам В таких ситуациях выводы на основе экспертных оценок необходимо объединять с доступной информацией При этом необходимо избегать смещения в сторону экспертных оценок Кроме того, на основе прошлых данных не всегда возможен точный прогноз В ситуациях с потенциально высокими последствиями отсутствие информации может иметь немедленное действие, если есть доказательства возможного вреда, а не безусловного доказательства наличия вреда

Этот принцип также применим при разработке (или улучшении) структуры менеджмента риска, поскольку существуют аспекты структуры, которые могут определить успех использования этого принципа Например, аспекты, связанные с обеспечением возможности исследования или связанные со сбором, анализом, обновлением и доступностью информации, необходимой для осуществления процесса

Достоверность и точность информации необходимо регулярно анализировать для обеспечения ее адекватности, своевременности и достоверности в соответствии с зарегистрированными предположениями Необходимо обеспечить периодический анализ, а также пересмотр или коррекцию структуры менеджмента риска по проблемным вопросам

11

В.2.7 Менеджмент риска является адаптируемым В.2.7.1 Принцип

В.2.7.2 Как применять принцип

В стандарте ИСО 31000 изложен общий подход к созданию менеджмента риска, применимый ко всем типам организаций и всем типам риска Каждая организация имеет культуру, показатели, критерии риска и область применения деятельности Менеджмент риска должен учитывать особенности организации и удовлетворять ее потребностям.

Нет никакого единственно правильного способа разработки и реализации структуры и процессов менеджмента риска, поскольку необходимы гибкость и адаптация для каждой организации При разработке следует учитывать многие аспекты, включая размер, культуру, сферу деятельности, конфигурацию и стиль управления организации Различные виды риска могут потребовать разработки и применения различных специализированных процессов в организации Процессы менеджмента риска должны соответствовать требованиям ИСО 31000, при этом могут быть различия в системах, моделях и уровне применяемых оценок риска (например, при оценке риска, связанного с информационными технологиями (ИТ), инвестиционного риска или риска, связанного с конкурентами) Каждый процесс должен быть адаптирован для определенной цели

Основная цель структуры состоит в обеспечении применимости процесса менеджмента риска к принятию решений наиболее эффективным способом, который отражает политику организации При этом в разработанной структуре необходимо отразить место и способы принятия решений, учесть законодательные требования или другие внешние обязательства организации

Важно иметь в виду, что адаптация не подразумевает различия в элементах структуры (см пункт 5 ИСО 31000 2009) или этапах процесса (см пункт 5 ИСО 31000 2009). Все они важны для эффективного менеджмента риска

Данный принцип важен во время разработки и улучшения структуры менеджмента риска, а также при определении способов структурирования аспектов процесса

Данный принцип может также показать, что организация должна исследовать внутренние проблемы, например. текучесть кадров (если этот показатель высокий, то может потребоваться применение соответствующих средств корректировок, чтобы обеспечить выполнение всеми новыми работниками требований менеджмента риска)

Адаптивность структуры необходима для достижения интеграции с процессами принятия решений организации При этом необходимо изменение процессов принятия решений, чтобы соответствовать модифицированной структуре менеджмента риска

ГОСТ P 51901.7—2017

Содержание

1    Область применения..................................................................1

2    Нормативные ссылки..................................................................1

3    Внедрение ИСО 31000 ................................................................1

Приложение А (справочное) Основные концепции и принципы.................................6

Приложение В (справочное) Применение принципов ИСО 31000...............................8

Приложение С (справочное) Способы выражения полномочий и обязательств..................16

Приложение D (справочное) Мониторинг и анализ..........................................19

Приложение Е (справочное) Интегрирование менеджмента риска в общую систему менеджмента .26 Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам...............................................28

Библиография........................................................................29

Введение

0.1 Общие положения

Организации используют для достижения поставленных целей различные методы менеджмента риска (выявление, обнаружение, понимание и. при необходимости, обработку риска).

Настоящий стандарт может помочь организациям повысить результативность менеджмента риска в соответствии с ИСО 31000, устанавливающим общий подход к менеджменту риска организации.

Настоящий стандарт предназначен для лиц, ответственных за принятие решений, воздействующих на достижение целей организации, включая ответственных за менеджмент риска, экспертов в области риска и специалистов отделов по управлению риском. Настоящий стандарт предназначен для использования всеми заинтересованными лицами, связанными с деятельностью в области риска, включая преподавателей, студентов, а также лиц. участвующих в разработке законодательных и обязательных требований.

Настоящий стандарт следует применять вместе с ИСО 31000. стандарт применим к организациям всех типов и размеров. Основные концепции и определения, необходимые для понимания ИСО 31000, приведены в приложении А. Общие методы, направленные на приведение в соответствие существующих методов менеджмента риска организации требованиям ИСО 31000, приведены в разделе 3. Настоящий стандарт обеспечивает также динамическое регулирование в соответствии с изменением внутренней и внешней среды организации.

В приложениях приведены дополнительные объяснения и примеры внедрения ИСО 31000.

Примеры, описанные в настоящем стандарте, приведены только для иллюстрации.

0.2 Основные положения и принципы

Некоторые понятия и концепции являются фундаментальными для понимания ИСО 31000 и настоящего стандарта, их объяснение приведено в разделе 2 ИСО 31000:2009 и приложении А.

В ИСО 31000 установлено одиннадцать принципов эффективного менеджмента риска. Принципы являются информационной и руководящей основой во всех аспектах менеджмента риска организации. Принципы устанавливают характеристики эффективного менеджмента риска. Организация должна не просто внедрить принципы менеджмента риска, а включить эти принципы во все аспекты менеджмента. Они служат показателями выполнения менеджмента риска и повышают значение эффективной организации менеджмента риска. Принципы менеджмента риска воздействуют на все элементы процесса в переходный период, описанные в настоящем стандарте, возникающие при этом технические проблемы описаны в приложениях. Более детальные рекомендации приведены в приложении В

В настоящем стандарте использованы термины «высшее руководство» и «контролирующий орган». Термин «контролирующий орган» относят к лицу или группе лиц. которые направляют деятельность организации и управляют организацией на высшем уровне. Термин «контролирующие организации» относят к лицу или группе лиц. которые дают руководящие указания и проверяют деятельность высшего руководства.

Примечание — Во многих организациях функции «контролирующего органа» могут быть возложены на совет директоров, попечительский совет, наблюдательный совет и т д

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ РИСКА Руководство по внедрению ИСО 31000

Risk management Guidance for the implementation of ISO 31000

Дата введения — 2018—12—01

1 Область применения

В настоящем стандарте приведены руководящие указания по внедрению в организации эффективного менеджмента риска на основе применения требований ИСО 31000. В стандарте приведены:

-    структурированный подход, направленный на приведение менеджмента риска организации в соответствии с требованиями ИСО 31000 с учетом особенностей деятельности организации;

-    разъяснение основных положений ИСО 31000;

-    руководящие указания по внедрению принципов и структуры менеджмента риска, приведенных в ИСО 31000.

Настоящий стандарт может быть использован государственными, частными иУили общественными организациями, ассоциациями, группой лиц или отдельными лицами.

Примечание —Для удобства различные пользователи настоящего стандарта далее объединены общим термином «организация».

Настоящий стандарт может быть применен ко всем видам деятельности и всем подразделениям организации.

2    Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ISO 31000:2009 Risk management — Principles and guidelines (Менеджмент риска — Принципы и руководящие указания)

3    Внедрение ИСО 31000

3.1 Общие положения

В данном разделе приведено руководство по приведению существующего менеджмента риска организации в соответствие с принципами и требованиями ИСО 31000. при этом необходимо обеспечить непрерывность соответствия менеджмента риска организации этим требованиям.

Приведенная в стандарте общая методология применима при плановом подходе всеми организациями независимо от особенностей мероприятий менеджмента риска организации и включает в себя следующее:

-    сравнение существующей деятельности с требованиями ИСО 31000;

-    идентификацию необходимых изменений и подготовку плана внедрения этих изменений;

-    выполнение непрерывного мониторинга и анализа для обеспечения постоянного улучшения.

Осуществление этих действий позволит организации достичь понимания своего риска и обеспечить соответствие риска критериям и отношению организации к риску.

Издание официальное

Независимо от причин внедрения ИСО 31000 применение его попожений и требований может по-зволить организации лучше управлять своими рисками и эффективно достигать поставленных целей. Все организации до некоторой степени управляют риском. Стратегия внедрения ИСО 31000 должна отражать способ управления риском в организации.

Процесс внедрения, описанный в 3.2. позволяет провести сравнительную оценку существующего менеджмента риска организации с требованиями ИСО 31000 и. в случае необходимости, адаптировать и внести необходимые изменения.

В ИСО 31000 идентифицированы различные элементы структуры менеджмента риска. Если эти элементы интегрированы в управление, функции и процессы организации, она может достичь целого ряда преимуществ в работе, связанных со скоростью принятия решений, результативностью и эффективностью работы. Ниже перечислены основные преимущества такой интеграции.

a)    Менеджмент риска может быть встроен в общую систему менеджмента и принятия решений организации; независимо от того, является система формальной или неформальной; существующие процессы менеджмента могут быть улучшены в соответствии с ИСО 31000.

b)    Понимание неопределенности при управлении организацией становится неотъемлемой частью системы менеджмента, при этом могут быть установлены общие принципы менеджмента организации.

c)    Внедрение процесса менеджмента риска учитывает особенности, размер и требования организации.

d)    Управление политикой, структурой и процессом(ами) в области менеджмента риска может быть интегрировано в существующие системы менеджмента организации.

e)    Отчетность в области менеджмента риска может быть интегрирована в общую отчетность организации.

О Выполнение действий менеджмента риска становится неотъемлемой частью общего подхода к работе организации.

д) Взаимодействие и связь между отдельными областями менеджмента риска организации (например. менеджмент риска подразделения, финансовый менеджмент риска, менеджмент риска проекта. менеджмент безопасности, обеспечение непрерывности бизнеса, страховой менеджмент) могут быть достигнуты и/или улучшены путем учета риска при достижении целей и урегулировании проблем организации.

h) Организация может улучшить обмен информацией о неопределенности и риске между группами, участвующими в менеджменте риска и различными уровнями управления организации.

О Направление действий в области менеджмента риска организации могут быть сосредоточены на достижении целей и приняты за общее направление работы организации. Организация может получить косвенные социальные выгоды, поскольку внешние заинтересованные лица организации могут быть мотивированы на улучшение их деятельности в области менеджмента риска.

j) Обработка риска, средства и методы контроля риском могут стать неотъемлемой частью ежедневной деятельности организации.

3.2 Способы внедрения ИСО 31000

В стандарте ИСО 31000 приведено разъяснение способов эффективного менеджмента риска, однако способы интеграции менеджмента риска в процессы менеджмента организации в стандарте рассмотрены недостаточно. Существуют различные организации с разными отправными точками в области менеджмента риска, однако общий и систематический подход к внедрению применим во всех случаях. Организация должна определить необходимость внесения изменений в существующую структуру менеджмента риска, спланировать и внедрить эти изменения и затем проводить непрерывный мониторинг результативности. Это позволит организации:

-    привести существующий в организации менеджмент риска в соответствие с принципами и требованиями, установленными в ИСО 31000, пункт 3;

-    применять процесс менеджмента риска, описанный в ИСО 31000. пункт 5;

-    установить признаки улучшенного менеджмента риска в соответствии с А.З приложения А ИСО 31000;

-    достигнуть ключевых результатов (см. ИСО 31000. пункт 2).

Данный подход также применим к организациям, в которых достигнуто соответствие требованиям ИСО 31000. для выполнения требований ИСО 31000. пункты 4.6 и 5.6. относительно постоянного улучшения структуры и процессов менеджмента риска.

2

ГОСТ P 51901.7—2017

При внесении изменений в менеджмент риска организации рекомендовано использовать опыт других организаций по управлению аналогичными типами риска или аналогичными процессами.

3.3 Интеграция требований ИСО 31000 в процессы менеджмента организации

3.3.1    Общие положения

Стандарт ИСО 31000 устанавливает структуру и основной процесс менеджмента риска организаций всех типов и их отдельных частей. Рекомендации данного подраздела помогают интегрировать элементы ИСО 31000 в общий менеджмент организации, включая действия, процессы и функции. Организации могут интегрировать положения ИСО 31000 в существующие процессы и/или разработать и внедрить новый подход, основанный на ИСО 31000. В данном подразделе установлены основные элементы структуры, процесса и действий, необходимых для успешной интеграции этих элементов и достижения целей организации. Существует много способов внедрения стандарта ИСО 31000 в организации. Выбор и порядок внедрения элементов должны соответствовать потребностям организации и ее заинтересованным сторонам. Необходимо учесть, что менеджмент риска должен поддерживать общую стратегию управления бизнесом, т. е. помогать организации в достижении цели, защите бизнеса и создании дополнительной ценности организации. Следует также учитывать особенности культуры организации, а также методы управления изменениями и проектами.

Внедрение стандарта ИСО 31000 является динамическим итеративным процессом. Внедрение структуры связано с процессом менеджмента риска, описанным в пункте 5 ИСО 31000. Преимущества от внедрения можно получить от интеграции и постоянного улучшения менеджмента риска во всей организации.

Интеграцию следует рассматривать в условиях динамического изменения среды организации. Организация должна проводить мониторинг изменений, которые вызваны процессом внедрения, а также изменений внутренней и внешней среды. При этом может возникнуть потребность в изменении критериев риска.

3.3.2    Полномочия и обязательства

Все действия по управлению бизнесом обычно начинают с анализа их целесообразности, разработки этапов процесса и оценки экономической эффективности. Эти действия обычно основаны на решении высшего руководства и контролирующего органа о внедрении, выделении необходимых ресурсов и наделении ответственных лиц необходимыми полномочиями.

Обычно процесс внедрения включает следующее:

a)    получение необходимых полномочий и принятие обязательств;

b)    анализ слабых мест;

c)    индивидуальную адаптацию и определение масштаба работ, на основе потребностей, культуры. создания и защиты ценности организации;

d)    сравнительную оценку риска, связанную с переходом;

e)    разработку бизнес-плана;

-    установление целей, приоритетов и показателей;

-    разработка экономического обоснования ситуации, включая соответствие целям организации;

-    определение области применения, подотчетности, графика работ и ресурсов;

О идентификацию условий внедрения менеджмента риска, включая обмен информацией с заинтересованными сторонами.

3.3.3    Проектирование и разработка структуры

3.3.3.1 Организация должна оценить существующие подходы к менеджменту риска, включая область применения, среду и культуру.

a)    Необходимо провести анализ всех законодательных и обязательных требований, требований потребителей и требований сертификации, исходя из применяемых организацией стандартов. Цель этого этапа состоит в том, чтобы при проектировании и разработке структуры и плана внедрения менеджмента риска учесть индивидуальные особенности организации и адаптировать их в соответствии со структурой, культурой и общей системой менеджмента организации.

b)    Важно рассмотреть процесс менеджмента риска и аспекты существующей структуры менеджмента риска, обеспечивающей этот процесс.

c)    Необходимо установить соответствующие критерии риска. Критерии риска должны быть совместимы с целями и отношением организации к риску. При изменении целей необходимо соответственно изменять критерии риска.

3

ГОСТ Р 51901.7-2017

Для проектирования и разработки новой структуры необходимо провести сравнительную оценку:

-    принципов и альтернативных характеристик в соответствии с ИСО 31000;

-    предыдущей структуры, оценка которой должна помочь сравнить особенности существующей практики менеджмента риска с требованиями следующих подразделов ИСО 31000:

-    4.3.2 (политика в области менеджмента риска);

-    4.3.3 (распределение ответственности и полномочий);

-    4.3.4 (интеграция в процессы организации);

-4.3.5 (ресурсы):

-    4.3.6 и 4.3.7 (внутренний и внешний обмен информацией и отчетность);

-    процесса менеджмента риска, путем сравнения элементов существующих процессов с требованиями пункта 5 ИСО 31000 и анализа основных принципов, которые лежат в основе и обеспечивают целесообразность процесса сточки зрения принципов, установленных в ИСО 31000, пункт 3 (например, применим ли данный процесс к принятию решений на всех уровнях и во всех подразделениях организации). Необходимо оценить:

-    обеспечивает ли текущий процесс лицам, принимающим решения, необходимую информацию о риске, чтобы принятые решения были качественными и соответствовали целям организации или превышали их;

-    достаточен ли существующий подход к менеджменту риска для управления связанными рисками и рисками, возникающими в нескольких местах.

3.3.3.2    Требования к проектированию и разработке структуры должны быть идентифицированы.

Организация должна на основе сравнительной оценки (см. 3.3.3.1) принять решение о том. какие

аспекты текущего менеджмента риска:

a)    можно использовать в будущем (распространить на другие типы принятия решений);

b)    требуют исправления и улучшения;

c)    больше не увеличивают ценность и должны быть исключены.

Организация должна разрабатывать, документировать способы управления риском и проводить обмен информацией о них. Объем и содержание внутренних стандартов, руководящих принципов и моделей, связанных с менеджментом риска, должны отражать культуру и среду организации.

В документах может быть определено следующее:

-    риск, которым необходимо последовательно управлять во всей организации;

-    разные уровни ответственности в области менеджмента риска;

-    требования к компетентности и обязанностям всех лиц. ответственных за менеджмент риска;

-    вовлеченные внутренние и внешние заинтересованные стороны посредством всестороннего обмена информацией и консультаций;

-    информация о риске и результатах применения процесса менеджмента риска, которые должны быть последовательно и безопасно зарегистрированы, с соответствующим доступом к этой информации.

Организация должна проводить анализ требований менеджмента риска, необходимых методов, обучения и ресурсов через запланированные интервалы времени, при значимых изменениях организации и/или ее среды или в ситуации, когда в результате мониторинга и анализа идентифицированы пробелы или неэффективность работы.

3.3.3.3    Должны быть определены область применения, цели, задачи, ресурсы, показатели результативности и критерии мониторинга и анализа.

3.3.3.4    Должны быть установлены методы внутреннего и внешнего обмена информацией и отчетности.

3.3.4    Внедрение менеджмента риска

Необходимо разработать детальный план внедрения менеджмента риска, чтобы обеспечить осуществление последовательных изменений и требуемые ресурсы. План должен быть поддержан ресурсами. необходимыми для его выполнения, при этом бюджетирование должно стать частью процесса планирования.

План внедрения менеджмента риска необходимо проанализировать в соответствии с ИСО 31000:2009. пункт 5.4 результаты сравнения должны быть переведены в действия по обработке риска.

План должен помочь прослеживать действия по внедрению менеджмента риска и помочь обмену информацией с высшим руководством и контролирующим органом. План необходимо анализировать и пересматривать через запланированные интервалы времени.

4

ГОСТ P 51901.7—2017

План должен обеспечить:

-детальное описание конкретных действий, их последовательности, исполнителей и срока завершения. Эти действия могут включать внесение изменений во внутренние стандарты и руководства, возможности для разъяснения и обучения, внесение изменений в распределение ответственности и полномочий и отчетность;

-    идентификацию всех действий, выполняемых как часть широкомасштабных действий, связанных с развитием организации, или действий, которые связаны иным способом (например, разработку учебного материала и требований к обучающим лицам);

-    определение обязанностей по выполнению плана;

-    способы обмена информацией о завершении, продвижении и проблемах в процессе работы;

-    идентификацию и регистрацию критериев анализа плана.

Внедрение плана менеджмента риска может занять некоторое время до его завершения, поэтому план должен быть реализован последовательно. Целесообразно уделять первостепенное значение тем изменениям, которые оказывают наибольшее влияние на достижение поставленных целей. Внедрение плана менеджмента риска может быть проведено в различных подразделениях организации и на различных стадиях зрелости организации в области менеджмента риска. Внедрение плана менеджмента риска может быть выполнено более эффективно, если его выполнение объединить с другими программами изменений.

3.3.5 Мониторинг и анализ

Организация должна проводить прослеживание, анализ и регулярный (ежемесячный, ежеквартальный и т. л.) обмен информацией с высшим руководством о продвижении внедрения плана менеджмента риска.

Отчеты о выполнении плана менеджмента риска и предпринимаемых действиях необходимо регулярно валидировать после непредубежденного и объективного рассмотрения и анализа. Результаты анализа должны включать экспертизу структуры, процессов, риска и воздействия на окружающую среду.

Организация должна проводить периодический анализ стратегии выполнения, измерения продвижения и последовательности выполнения плана менеджмента риска, а также идентификации отклонений от этого плана. Анализ должен быть инициирован в случае, если идентифицированы критерии анализа, изложенные в плане.

Необходимо провести сравнительную оценку результативности изменений и управления риском, а также идентифицировать полученный опыт и возможности для улучшений.

О существенных проблемах при проведении мониторинга необходимо незамедлительно информировать ответственных лиц.

Полученные результаты необходимо заново рассмотреть на этапе определения области применения и других ранних этапах. Необходимо идентифицировать новые виды риска, изменения существующего риска, которые были обнаружены. Текущий статус структуры должен быть зарегистрирован для внедрения улучшений (см. ИСО 31000:2009. 4.6 и 5.7).

3.4 Постоянное улучшение

Структура менеджмента риска и процесс менеджмента риска должны быть проанализированы для оценки соответствия их структуры и содержания, а также оценки их влияния на повышения ценности организации в соответствии с поставленными целями. Если результаты анализа и мониторинга показывают, что могут быть осуществлены улучшения, то они должны быть внедрены как можно скорее.

Организации, внедрившие ИСО 31000, должны быть ориентированы на постоянный поиск и внедрение возможностей для улучшения. Действия, используемые в процессе перехода, также могут быть полезны для осуществления периодических проверок отклонений от процесса.

Существуют различные способы внедрения постоянного улучшения, включая следующие:

-    обычный мониторинг и анализ структуры менеджмента риска и процесса менеджмента риска, которые идентифицируют возможности улучшения;

-    новые знания, к которым получен доступ;

-    существенные изменения во внутренней и внешней среде организации.

5

Приложение А (справочное)

Основные концепции и принципы

А.1 Общие положения

В настоящем приложении приведено объяснение некоторых терминов и концепций (например, «риск»), применяемых в ежедневной практике, которые имеют особое значение в ИСО 31000 и настоящем стандарте

ИСО 31000 определяет риск как «влияние неопределенности на цели»

Примечание — Целесообразно, чтобы пользователи настоящего стандарта ознакомились с терминами и определениями в данном приложении

А.2 Риск и цели

Организации всех типов сталкиваются в своей работе с внутренними и внешними факторами и воздействиями. которые могут повлиять на срок и степень достижения поставленных целей Воздействие неполной информации об этих факторах на цели организации является риском

Цели, упомянутые в ИСО 31000 и настоящем стандарте. — это результаты, к которым стремится организация Как правило, эти цели выражают намерения и стремления организации и отражают ее явные и неявные задачи, ценности и приоритеты с учетом социальных обязательств, законодательных и обязательных требований Обычно управление риском становится более простым, если цели выражены в измеримых величинах Часто бывает, что организация устанавливает разнообразные цели, при этом несогласованность целей может стать дополнительным источником риска

Вероятность (шанс) — это не только возможность появления события, но и реализации последствий события. а также значимость последствий (положительных и/или отрицательных) Как правило, существует диапазон возможных последствий события, и каждому из них соответствует собственная вероятность Уровень риска может быть выражен как вероятность возникновения особых последствий (включая диапазон) Последствия связаны непосредственно с целями и возникают, когда какие-то события происходят или не происходят

Риск — это влияние неопределенности на достижение цели независимо от конкретной области или обстоятельств. поэтому событие или опасность (или другой источник риска) не должны быть описаны как риск Риск должен быть описан как комбинация вероятности возникновения события (или опасности, или источника риска) и его последствий

Понимание того, что у риска могут быть положительные или отрицательные последствия, является центральной и жизненно важной концепцией, которая должна быть понята руководством организации Риск может принести организации опасности и/или возможности

Риск может быть создан или изменен после принятия решения Поскольку почти всегда существует некоторая неопределенность, связанная с принятием решений, то почти всегда существует риск Ответственные за достижение целей должны понимать, что риск является неизбежной частью работы организации, при этом риск может возникнуть или измениться после принятия решения Риск, связанный с принятием решений, должен быть понят при принятии решения, такой риск является преднамеренным Это становится возможным при использовании процесса менеджмента риска, описанного в ИСО 31000

А.З Неопределенность

Неопределенность, которая вместе с целями вызывает риск, возникает во внутренней и внешней среде работы организации Неопределенность может быть вызвана:

-    последствиями основных социологических, психологических и культурных факторов, связанных с поведением человека.

-воздействиями естественных (природных) процессов, которые характеризуются присущей им изменчивостью. например, погоды, изменениями наблюдений в совокупностях;

-    результатом неполной или неточной информации, например, из-за утерянных, измененных, ненадежных, внутренне противоречивых и/или недоступных данных,

• изменениями во времени, например, из-за конкуренции, трендов, новой информации, изменений основополагающих факторов.

-    разным восприятием воздействия неопределенности в различных подразделениях организации и заинтересованных лиц.

А.4 Обработка и управление риском

Обработка риска — это действия, выполняемые организацией для изменения риска, которые позволяют достичь поставленных целей

Обработка риска может изменить риск путем изменения источника опасного события (например, применение методов управления позволяет более точно определить вероятность реализации события) или изменения диа-6