Товары в корзине: 0 шт Оформить заказ
Стр. 1
 

16 страниц

304.00 ₽

Купить ГОСТ Р 51901.21-2012 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

В настоящем стандарте установлены общие принципы разработки и ведения реестра риска и требования к персоналу, ответственному за составление реестра риска.

Реестр риска является одним из способов представления информации о риске. Необходимость разработки и ведения реестра риска организация определяет самостоятельно.

Реестр риска может применяться, как элемент системы менеджмента риска или самостоятельно. В системе менеджмента риска реестр риска не является обязательным элементом, для представления информации о риске могут быть использованы другие способы.

Настоящий стандарт предназначен для менеджеров по риску, руководителей организаций и технических экспертов по оценке опасных событий, инцидентов и аварий, а также для ответственных за разработку политики менеджмента риска, составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска организации.

Реестр риска позволяет организациям на местном, региональном и федеральном уровнях обмениваться данными о риске и применять апробированные методы предупреждения опасных событий, инцидентов и реагирования на них

 Скачать PDF

Оглавление

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Общее описание реестра риска

5 Преимущества и недостатки использования реестра риска

6 Процесс менеджмента риска

7 Определение области применения реестра риска

8 Распределение ответственности и полномочий при разработке и ведении реестра риска

9 Ведение и пересмотр реестра риска

10 Конфиденциальность

11 Требования к персоналу, ответственному за разработку и ведение реестра риска

Библиография

 
Дата введения01.12.2013
Добавлен в базу01.10.2014
Актуализация01.01.2019

Этот ГОСТ находится в:

Организации:

29.11.2012УтвержденФедеральное агентство по техническому регулированию и метрологии1285-ст
ИзданСтандартинформ2014 г.
РазработанАНО НИЦ КД

Risk management. Risk register. General

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


НАЦИОНАЛЬНЫ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ


ГОСТР

51901.21-

2012

Менеджмент риска

РЕЕСТР РИСКА

Издание официальное


Москва Стандарти нформ 2014


Общие положения

Предисловие

1    РАЗРАБОТАН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)

2    ВНЕСЕН Техническим комитетом по стандартизации ТК10 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. № 1285-ст

4    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

© Стандартинформ, 2014

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ P 51901.21—2012

обязательных требований к продукции и процессам, обеспечения непрерывности бизнеса, устойчивого развития и других областях в зависимости от специфики деятельности организации.

Менеджеры по риску должны:

-    обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии системы менеджмента риска;

-    доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях;

-    обеспечивать понимание риска персоналом всей организации;

-    согласовывать область применения и процесс менеджмента риска с общей системой процессов организации;

-    внедрять решения, принятые по результатам оценки риска, и поддерживать менеджмент риска;

-    поддерживать и постоянно улучшать систему менеджмента риска (при наличии) и все ее элементы.

Менеджеры по риску должны совершенствовать, поддерживать и улучшать свою компетентность в процессе постоянного профессионального роста и регулярного участия в процессе менеджмента риска.

11.1.2    Знание элементов, принципов, системы и требований менеджмента риска

Менеджеры по риску должны:

-    знать политику, стратегии и цели организации в области менеджмента риска;

-    понимать связь политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных сторон;

-    знать процессы и специфику работы организации;

-    знать необходимые правовые требования и требования нормативной и технической документации, в том числе технические регламенты, стандарты и рекомендации в области риска;

-знать и правильно использовать термины менеджмента риска (см. ГОСТ Р 51897-2011/Руко-водство ИСО 73:2009);

-    знать карту процесса менеджмента риска организации;

-    знать и уметь применять методы разработки и ведения реестра риска;

-    знать область применения реестра риска;

-    знать и быть способными идентифицировать основные виды опасностей организации;

-    знать и уметь применять методы оценки риска, такие как FMEA, дерево неисправностей, дерево событий, анализ воздействия на бизнес, HAZOP идр. (см. ГОСТ Р ИСО/МЭК 31010);

-    знать и уметь применять критерии допустимого риска организации;

-    знать и уметь применять методы обработки и мониторинга риска организации, в том числе применять методы оценки результативности и эффективности мероприятий по снижению риска;

-    знать и уметь применять методы анализа процесса менеджмента риска и управления документацией в области менеджмента риска;

-    обеспечивать взаимодействие между менеджментом риска и другими системами менеджмента организации.

11.1.3    Требования к образованию, опыту работы, обучению менеджеров по риску

Менеджер по риску должен иметь образование, общий стаж работы, обучение менеджменту риска и опыт работы в области менеджмента риска в соответствии с установленными требованиями, в том числе:

а)    образование должно быть высшим, позволяющим овладевать знаниями и навыками, описанными в 11.1.2;

б)    общий стаж работы должен способствовать повышению знаний и навыков, описанных в 11.1.2. Часть практического опыта должна составлять работа на должностях, содействующих получению знаний и опыта в области менеджмента риска;

в)    полный курс обучения по специальности «менеджмент риска» в организации или других организациях должен обеспечивать получение знаний и навыков, соответствующих требованиям 11.1.2.

Примечание — Опыт работы в области менеджмента риска должен быть приобретен под руководством менеджера по риску, руководителя группы менеджмента риска.

11.1.4    Повышение квалификации

Постоянный профессиональный рост необходим для поддержания и улучшения знаний, навыков и совершенствования личных качеств. Он может быть достигнут посредством дополнительного практического опыта, обучения, стажировок, самоподготовки, занятий с консультантами, посещения совещаний, семинаров и конференций или других видов деятельности.

7

Деятельность по постоянному профессиональному росту должна соответствовать личным потребностям менеджеров по риску и требованиям организации в практике менеджмента риска, изменениям требований стандартов и других требований.

Менеджеры по риску должны поддерживать и быть способными демонстрировать свою компетентность в области менеджмента риска.

В организации должны быть установлены требования к повышению квалификации менеджеров по риску.

11.2    Обмен опытом

Менеджеры по риску должны проводить семинары по менеджменту риска и уметь общаться с владельцами риска и коллегами по проблемам, связанным с риском.

11.3    Передача, делегирование задач и замещение менеджера по риску

Менеджеры по риску могут делегировать решение определенных задач, связанных с менеджментом риска, полностью или частично другим сотрудникам из числа персонала организации. Ответственность за решения, связанные с менеджментом риска, не может быть делегирована.

Высшее руководство должно назначить представителя, замещающего менеджера по риску в его отсутствие.

Высшее руководство должно назначить во всех подразделениях организации квалифицированный персонал, ответственный за внедрение результатов анализа и оценки риска в подразделении.

11.4    Формирование группы менеджмента риска

Если высшее руководство организации принимает решение о необходимости участия в работе нескольких менеджеров по риску, то должна быть сформирована группа менеджмента риска. В этом случае высшее руководство должно назначить руководителя группы менеджмента риска, ответственного за менеджмент риска в организации.

Руководитель группы менеджмента риска должен обладать необходимым опытом в области менеджмента риска в соответствии с 11.1.2. Общий опыт работы руководителя группы менеджмента риска в области менеджмента риска должен быть не менее трех лет.

При определении численности и состава группы менеджмента риска необходимо учитывать следующие факторы:

-    политику, цели, область применения менеджмента риска;

-    виды опасных событий, способы оценки и обработки риска;

-    общую компетентность группы менеджмента риска, необходимую для решения задач менеджмента риска;

-    обязательные и контрактные требования;

-    необходимость обеспечения независимости членов группы от оцениваемой деятельности и устранения конфликта интересов;

-    возможности членов группы менеджмента риска результативно сотрудничать со всеми подразделениями организации и совместно работать;

-    социально-культурные особенности организации и окружающей среды.

Обеспечение общей компетентности группы менеджмента риска включает следующие этапы:

-    определение знаний и навыков, необходимых для решения задач менеджмента риска;

-    формирование группы менеджмента риска таким образом, чтобы в группе имелись специалисты во всех необходимых областях знаний.

Если менеджеры по риску в группе менеджмента риска не обладают необходимыми знаниями и опытом, в группу включают технических экспертов. Технические эксперты должны работать под руководством менеджеров по риску.

11.5    Оценка квалификации менеджеров по риску

Организация должна разработать и внедрить процедуру оценки квалификации менеджеров по риску. Данная процедура может быть установлена в рамках общей процедуры аттестации персонала организации или, при ее отсутствии, может быть установлена в виде отдельного документа. Оценка квалификации менеджеров по риску и руководителей групп менеджеров по риску должна быть плановой, реализованной и запротоколированной с целью обеспечения объективных, последовательных, достоверных и надежных результатов. Процесс оценки должен выявить необходимость обучения и приобретения других навыков менеджерами по риску.

Оценка квалификации менеджеров по риску проводится на следующих этапах:

-    начальная оценка квалификации специалистов для выполнения обязанностей менеджера по риску;

-    оценка квалификации менеджеров по риску при формировании группы менеджмента риска;

-    периодическая оценка квалификации менеджеров по риску для определения необходимости улучшения их знаний и навыков.

9

ГОСТ P 51901.21—2012


Библиография


[1] Рекомендации по стандартизации Р 50.1.84—2012


Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации


10


УДК 658:562.014:006.354    ОКС    13.200    Т59

Ключевые слова: риск, менеджмент риска, анализ риска, оценка риска, опасное событие, анализ воздействия, инцидент, процесс менеджмента риска, реестр риска, область применения реестра риска, менеджер риска

11

Редактор С.Д. Золотова Технический редактор В.Н. Прусакова Корректор В.И. Баренцева Компьютерная верстка ИЛ. Налейкиной

Сдано в набор 11.04.2014. Подписано в печать 22.04.2014. Формат 60 х 84^. Гарнитура Ариал. Уел. печ. л. 1,86. Уч.-изд. л. 1,20. Тираж 113 экз. Зак. 1542.

Издано и отпечатано во ФГУП «СТАНДАРТИНФОРМ», 123995 Москва, Гранатный пер., 4. www.gostinfo.ru    info@gostinfo.ru

ГОСТ P 51901.21—2012

Содержание

1    Область применения...................................................1

2    Нормативные ссылки..................................................1

3    Термины и определения................................................2

4    Общее описание реестра риска............................................2

5    Преимущества и недостатки использования реестра риска..........................4

6    Процесс менеджмента риска..............................................4

7    Определение области применения реестра риска................................5

8    Распределение ответственности и полномочий при разработке и ведении реестра риска.......6

9    Ведение и пересмотр реестра риска.........................................6

10 Конфиденциальность.................................................6

11    Требования к персоналу, ответственному за разработку и ведение реестра риска...........6

Библиография........................................................10

Введение

Реестр риска является одним из способов представления и хранения информации об опасных событиях и риске. В реестр риска обычно включают основные виды опасностей, применяемые методы оценки и снижения риска и мероприятия по предупреждению, снижению и обработке риска. При разработке реестра риска необходимо учитывать соответствующие законодательные и обязательные требования, а также иную доступную информацию о видах опасности и риске их возникновения. Однако составление реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также накопления необходимого объема информации.

Необходимость разработки и ведения реестра риска организация определяет самостоятельно.

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Менеджмент риска РЕЕСТР РИСКА Общие положения

Risk management. Risk register. General

Дата введения — 2013—12—01

1    Область применения

В настоящем стандарте установлены общие принципы разработки и ведения реестра риска и требования к персоналу, ответственному за составление реестра риска.

Реестр риска является одним из способов представления информации о риске. Необходимость разработки и ведения реестра риска организация определяет самостоятельно.

Реестр риска может применяться какэлемент системы менеджмента риска или самостоятельно. В системе менеджмента риска реестр риска не является обязательным элементом, для представления информации о риске могут быть использованы другие способы.

Настоящий стандарт предназначен для менеджеров по риску, руководителей организаций и техни-ческихэкспертовпооценкеопасных событий, инцидентов и аварий, а также для ответственных за разработку политики менеджмента риска, составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска организации.

Реестр риска позволяет организациям на местном, региональном и федеральном уровнях обмениваться данными о риске и применять апробированные методы предупреждения опасных событий, инцидентов и реагирования на них.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство ГОСТ Р ИСО/МЭКЗЮЮ—2011 Менеджмент риска. Методы оценки риска ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем ГОСТ Р 51901.22-2012 Менеджмент риска. Реестр риска. Правила построения ГОСТ Р 51901.23-2012 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска

ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом

Издание официальное

утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3    Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.

3.1    риск (risk): Следствие влияния неопределенности на достижение поставленных целей1).

Примечание 1 — Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

Примечание 2 — Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т. п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

Примечание 3 — Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.

Примечание 4 — Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.

Примечание 5 — Неопределенность — это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.2    менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.3    реестр риска (risk register): Форма записи информации об идентифицированном риске.

Примечание — Термин «журнал риска» иногда используют вместо термина «реестр риска».

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.4    менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.

4    Общее описание реестра риска

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях.

В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении. Эта информация вместе с данными о выполнении установленных планов и оценкой планируемой деятельности в стоимостном выражении формирует представление о воздействии опасного события на организацию. Аналитики и менеджеры по риску на основе анализа информации реестров риска подразделений (при наличии) составляют единый реестр риска организации. Полученные данные могут быть использованы для корректировки области применения менеджмента риска, его целей и других элементов менеджмента риска.

Назначение реестра риска:

1)    Реестр риска является планом действий, так как в реестре риска кроме идентификации опасностей и оценки риска определены необходимые мероприятия по снижению риска, сроки их внедрения и ответственные за их выполнение.

2)    Реестр риска является основой для обмена информацией руководства с персоналом и другими заинтересованными лицами, поскольку содержит перечень текущих проблем организации, связанных с риском, и сведения о том, как, кто и когда этими проблемами управляет.

^ В соответствие с ФЗ «О техническом регулировании» от 27.12.2002 N 184-ФЗ «риск — вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда».

ГОСТ P 51901.21—2012

Разработка и внедрение реестра риска организации обеспечивает:

-    установление для каждого опасного события действий по восстановлению деятельности организации, что способствует достижению ее целей;

-    эффективное распределение ресурсов, позволяющее снизить объем совокупных инвестиций в основной и оборотный капитал и оптимизировать распределение капитала;

-    идентификацию благоприятных событий и возможностей быстрой и эффективной реализации возникающих преимуществ;

-    прогнозирование возможных неблагоприятных событий, позволяющее снизить их последствия, связанные с ними затраты, невыполнение графика работ и/или потери;

-    прозрачность отчетности, ее достоверности, своевременности отражения наиболее важных аспектов деятельности организации;

-обеспечение соответствия законодательным и обязательным требованиям и идентификацию риска несоответствия этим требованиям.

Представленная на рисунке 1 карта процесса менеджмента риска позволяет идентифицировать основные этапы менеджмента риска организации.

Результаты действий, выполняемых на каждом этапе процесса менеджмента риска, должны быть представлены в реестре риска. Типовая форма реестра риска приведена в ГОСТ Р 51901.22.

Основными этапами разработки и ведения реестра риска являются:

-    определение области применения реестра риска;

-    распределение ответственности в соответствии с этапами процесса менеджмента риска;

-    заполнение реестра риска по мере выполнения этапов менеджмента риска;

-    пересмотр и актуализация реестра риска.

При создании, внедрении и поддержке реестра риска в организации следует учитывать:

-    политику, стратегические и тактические цели организации в области менеджмента риска;

-    особенности изготавливаемой продукции и оказываемых организацией услуг;

-    основные производственные процессы и процессы менеджмента организации;

-    установленные и используемые методы анализа и оценки риска;

-    законодательные и обязательные требования;

-    требования причастных сторон;

-    условия использования выпускаемой продукции.

Идентификация опасных событий

Анализ риска

Сравнительная оценка риска

Обработка риска

Мониторинг и пересмотр

-    идентификация опасных событий и возможностей для улучшений;

-    описание основных причин и последствий каждого опасного события;

-    определение этапа жизненного цикла продукции (услуги), на котором может возникнуть опасное событие;

-    определение применяемых средств контроля и методов управления

4

-    определение уровня применяемых средств контроля и методов управления;

-    определение источников данных и предположений, используемых при оценке риска;

-    определение метода анализа и оценки риска;

-оценка последствий (ущерба) при реализации опасного события (в днях простоя, в стоимостном выражении или в других единицах измерения);

-    оценка вероятности опасного события;

-    количественная оценка риска;

-определение неопределенности оценки риска

4

-    сопоставление риска с критериями приемлемости риска;

-определение приемлемости риска;

-    ранжирование опасных событий в зависимости от их риска;

-    принятие решения о необходимости обработки риска

4

-    идентификация стратегии обработки риска;

-    обмен информацией о риске с причастными сторонами;

-    повторная оценка последствий, вероятности и риска после внедрения стратегий менеджмента риска;

-    идентификация мероприятий

по обработке риска;

-    определение сроков выполнения мероприятий

по обработке риска;

-    идентификация ответственных за выполнение мероприятий

по обработке риска;

-    оценка результатов обработки риска

4

-    мониторинг выполнения мероприятий

по обработке риска; -анализ результативности и эффективности мероприятий по обработке риска;

-    анализ результативности и эффективности системы менеджмента риска;

-    оценка необходимости пересмотра оценки риска

Т

I__________________________________________________________________I

Рисунок 1 — Типовая форма карты процесса менеджмента риска

3

5    Преимущества и недостатки использования реестра риска

Использование реестра риска является неотъемлемой частью успешной практики менеджмента риска организации. Эффективное ведение реестра риска позволяет улучшать результаты бизнеса путем идентификации и анализа возможных проблем и принимать более обоснованные решения.

Структурированный подход к ведению реестра риска также позволяет идентифицировать больше возможностей для постоянного улучшения.

Основные принципы ведения реестра риска являются общими и в значительной степени не зависят от организационной структуры предприятия.

Информация, полученная из реестра риска, предоставляет персоналу всех уровней организации возможность управления риском, связанным с их деятельностью.

Основные преимущества использования реестра риска включают:

1)    Уменьшение количества непредвиденных событий.

Внедрение реестра риска предполагает единую форму идентификации неблагоприятных событий, регистрацию оценки их вероятности и последствий, а также необходимых мер менеджмента риска, направленных на минимизацию вероятности появления и уменьшения неблагоприятных последствий этих событий. Ведение реестра риска позволяет идентифицировать такие события, и, если предотвратить их невозможно, организация может уменьшить их последствия путем подготовки и планирования действий или ответных мер при возникновении этих событий.

2)    Улучшение микроклимата коллектива.

Реестр риска обеспечивает эффективное управление риском. Если персонал уверен в своей осведомленности, осознает имеющийся риск и имеет необходимые возможности для управления риском, снижается социальная и психологическая напряженность в коллективе, результаты его работы улучшаются.

3)    Улучшение планирования, повышение эффективности и результативности деятельности в целом.

Реестр риска, при наличии доступа к необходимой информации организации, ее процессам и производственной среде, позволяет достигнуть более адекватного и эффективного планирования. Это, в свою очередь, увеличивает способность организации использовать возникающие возможности, сокращать негативные последствия и повышать качество выполнения работ.

4)    Экономичность и эффективность.

Применение информации реестра риска может позволить достичь преимуществ в экономичности и эффективности при планировании ресурсов, защите активов и предотвращении дорогостоящих ошибок.

5)    Улучшение взаимоотношений с причастными сторонами.

Ведение реестра риска поощряет организацию к ведению более активного двухстороннего диалога со своими внутренними и внешними причастными сторонами. Такой обмен информацией позволяет организации получить данные о реакции причастных сторон на риски организации и принятые решения по обработке риска, а также обеспечивает понимание причастными сторонами причин предпринятых действий.

6)    Повышение достоверности информации для принятия решений.

Реестр риска включает всю имеющуюся информацию для принятия решений в области риска.

7)    Повышение репутации.

Для инвесторов, кредиторов, страховщиков, поставщиков и потребителей организации реестр риска является наглядным индикатором эффективного функционирования менеджмента риска.

Недостатками реестра риска может быть недостаточно полный охват всех видов риска организации, идентифицированных в реестре риска, и недооценка непредвиденных неблагоприятных событий. Приоритеты, установленные в реестре риска, могут быть установлены неверно. Как правило, основной причиной появления таких недостатков является отсутствие или дефицит необходимой информации.

Основными недостатками применения реестра риска являются трудности, связанные с необходимостью затрат больших усилий, финансовых средств и времени для разработки и ведения реестра риска.

6    Процесс менеджмента риска

Процесс менеджмента риска помогает выявить взаимосвязь между экономической ситуацией, стратегическими целями организации, риском недостижения этих целей и фактическим положением дел в организации. Этот процесс основан на следующих общих принципах:

4
ГОСТ P 51901.21—2012

1)    распределение ответственности и полномочий — для каждого функционального подразделения и/или группы персонала должны быть определены требования и процесс менеджмента риска, а также порядок работы и аспекты деятельности в области риска; риск должен управляться и поддерживаться ответственным персоналом на установленном организацией уровне;

2)    учет всех аспектов деятельности организации при принятии решений — все ключевые решения в области риска должны учитывать основные факторы, влияющие на деятельность организации, — безопасность, обязательные требования и интересы бизнеса;

3)    ориентация на активные действия — необходимо отслеживать своевременность срабатывания планов реагирования при возникновении опасных событий и потенциальных возможностей;

4)    анализ и улучшение — процессы менеджмента риска должны бытьдокументированы и включены в систему менеджмента организации, следует проводить анализ процессов менеджмента риска и выявлять возможности для улучшений;

5)    отчетность о полученных результатах — в рамках системы менеджмента риска необходимо установить систему отчетности об оценке риска, эффективности средств контроля и методов управления и мероприятий по обработке риска.

Реестр риска может быть разработан в полном или сокращенном варианте в зависимости от размера и сферы деятельности организации. Высшее руководство организации должно принять решение о том, насколько детальным должен быть реестр риска, какие методы анализа и оценки риска должны быть в нем приведены и как следует рассчитывать вероятность опасных событий. Полный вариант реестра риска приведен в ГОСТ Р 51901.22. Пример сокращенного варианта реестра риска приведен в [1]. Метод оценки риска для включения в реестр риска приведен в ГОСТ Р 51901.23.

Высшее руководство должно установить критерии риска, используемые в реестре риска. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Критерии должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных сторон. Установление критериев зависит от представлений о риске причастных сторон, а также от соответствующих законодательных и/или обязательных требований. Следует помнить, что определение критериев риска необходимо проводить в начале процесса разработки реестра риска. Критерии принятия решений могут быть более детально разработаны и/или переработаны после идентификации конкретного риска и выбора метода анализа риска. Критерии риска должны соответствовать виду риска.

7 Определение области применения реестра риска

Установление области и границ применения реестра риска включает в себя:

-    определение объектов, данные о которых должны быть представлены в реестре риска (организация в целом, подразделения, процессы, проекты, виды деятельности);

-    определение ограничений применения реестра риска, в том числе по времени;

-    идентификацию всех сфер и/или объектов, исследование которых необходимо для составления реестра риска, а также исследование их области применения, задач и требуемых ресурсов;

-    определение детализации и объема действий в рамках менеджмента риска, которые должны быть отражены в реестре риска, включая любые установленные ограничения и исключения.

При определении области применения реестра риска необходимо учитывать, что в некоторых организациях и областяхдеятельности разделяют ответственность между лицами, выполняющими аналитический процесс идентификации и анализа риска, и теми лицами, которые принимают решения об оценке риска и выборе методов обработки идентифицированного риска. Это разделение полезно в ситуации, когда при составлении реестра риска важен независимый анализ риска, выполненный специалистами, на основе которого принимают решения об оценке риска и выбирают способы обработки риска.

При определении области применения реестра риска могут также быть рассмотрены вопросы, относящиеся к:

-    распределению функций, ответственности и полномочий различных специалистов и подразделений организации, участвующих в процессе менеджмента риска и ведении реестра риска;

-    взаимосвязи между объектом реестра риска и другими объектами или подразделениями организации.

5

8    Распределение ответственности и полномочий при разработке и ведении реестра риска

На основе матрицы ответственности в области менеджмента риска организация должна разработать матрицу ответственности за разработку и ведение реестра риска, в которой следует распределить ответственность и полномочия соответствующих вовлеченных лиц.

Необходимо учитывать, что менеджмент риска и ведение реестра риска не должны быть сферой деятельности только отдельных ответственных лиц или группы лиц, а должны стать частью менеджмента организации. В дополнение к активному участию на этапах идентификации, оценки и обработки риска каждый менеджер по риску совместно с руководителями проекта и подразделения должен:

-    соблюдать принципы менеджмента риска;

-    нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;

-    формировать реестр риска и вести установленную отчетность в соответствии с установленными в организации формами и с применением стандартизованных терминов и принятых критериев.

9    Ведение и пересмотр реестра риска

При разработке и ведении реестра риска следует руководствоваться требованиями ГОСТ Р 51901.22.

Хранение и пересмотр реестра риска организации осуществляют в соответствии с установленными процедурами управления документацией организации. При этом пересмотр и дополнение реестра риска проводят при необходимости или в соответствии с порядком, установленным в организации.

Реестр риска должен быть взаимоувязан с процессами менеджмента риска и системой менеджмента организации в целом.

10    Конфиденциальность

Организация должна определить степень конфиденциальности информации, содержащейся в реестре риска, и предпринимать действия по предотвращению несанкционированного доступа к ней. Необходимо обеспечить наличие и доступ к документации и данным, связанным с реестром риска, уполномоченному персоналу, в случае необходимости, как в условиях повседневной деятельности организации, так и в чрезвычайных ситуациях.

Организация должна разработать процедуры, обеспечивающие передачу и обмен информацией, относящейся к реестру риска, между соответствующим персоналом и другими причастными сторонами. Такие процедуры должны включать распределение ответственности и полномочий по обеспечению конфиденциальности и четко определять степень доступа к документации и данным, содержащим конфиденциальную информацию о риске в зависимости от ее значимости. Ввиду конфиденциального характера определенной информации, относящейся к реестру риска, должен быть определен порядок ее распространения и обмена такой информацией.

11    Требования к персоналу, ответственному за разработку и ведение реестра риска

Эффективность и результативность ведения реестра риска зависит от полученного образования, опыта работы и подготовки менеджеров по риску и членов групп менеджмента риска.

11.1    Tребования к квалификации менеджеров по риску
11.1.1    Общие положения

Доверие к процессу менеджмента риска со стороны причастных сторон зависит от компетентности менеджеров по риску.

Менеджеры по риску должны продемонстрировать способность применять знания и навыки, указанные в 11.1.2, приобретенные во время учебы, работы и опыта, полученного в процессе работы.

Менеджеры по риску организации должны быть способны идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски, в том числе в области охраны здоровья, безопасности, охраны окружающей среды, качества продукции и процессов, выполнения

6