ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Менеджмент риска

РЕЕСТР РИСКА

Руководство по созданию реестра риска организации

Издание официальное

Москва Стандарти нформ 2013

Предисловие

1    РАЗРАБОТАНЫ Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК10 «Менеджмент риска»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. № 1283

4    ВВЕДЕНЫ ВПЕРВЫЕ

Информация об изменениях к настоящим рекомендациям публикуется в ежегодном указателе «Руководящие документы, рекомендации и правила», а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ,2013

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

Р 50.1.084—2012

Приложение А (справочное)

Пример упрощенного метода оценки риска и разработки сокращенного варианта

реестра риска малой организации

А.1 Общие положения

Структура и состав реестра риска зависят от особенностей организации. Типовая форма реестра риска приведена в ГОСТ Р 51901.22. Малые организации могут использовать сокращенную (упрощенную) форму реестра риска, пример которой приведен в таблице А.1.

Таблица А.1 —Упрощенная форма реестра риска

Иденти фикатор опасного события Наименование и описание опасного события Ответственный менеджер по риску Последст вия опасного события (|) Вероят ность опасного события (L) Оценка риска (1 х L) Мероприятия по обработке риска Срок выполнения мероприятий по обработке риска Приме чания план факт.

При заполнении реестра риска могут быть использованы следующие шкалы:

шкала последствий (I): 5 — последствия катастрофические, 4 — последствия значительные, 3 — последствия умеренные, 2 — последствия небольшие, 1 — последствия малозначительные;

шкала вероятности опасного события (L): 5 — вероятность очень высокая, 4 — вероятность высокая, 3 — вероятность средняя, 2 — вероятность низкая, 1 — вероятность очень низкая;

оценка риска: риск приемлемый (0—4), риск контролируемый (5—8), риск значимый (9—25);

мероприятия по обработке риска: (0) риск отсутствует, действия не предпринимаются; (0—4) низкий риск, предпринимаются только низкозатратные действия; (5-8) средний риск, предпринимаются действия с учетом времени их выполнения и экономической целесообразности; (9—25) высокий риск, необходимо срочное выполнение мероприятия по снижению риска; (16—25) высокий риск, применение незамедлительных (аварийных) действий по снижению риска.

А.2 Матрица риска

А.2.1 Общие положения

Метод оценки риска опасных событий приведен вГОСТР51901 -23, однако малые организации могут применять упрощенные методы оценки риска, при этом необходимо учитывать неопределенность таких оценок риска.

Малые организации могут использовать матрицу риска для оценки значимости риска. Для систематической и последовательной оценки риска необходимо разработать матрицу риска в соответствии со следующими этапами:

-    оценка вероятности опасного события (А.2.2);

-    оценка последствий опасного события (А.2.3);

-    составление матрицы риска (А.2.4);

-    определение мероприятий по обработке риска (А.2.5).

В настоящем примере приведен наиболее простой вариант матрицы риска. Организация в зависимости от условий оценки риска может разработать свою матрицу риска.

А.2.2 Оценка вероятности опасного события

В малой организации в зависимости от объекта реестра риска менеджер по риску должен ответить на вопрос какова вероятность реализации опасного события при применении указанных средств контроля и методов управления мероприятий по снижению риска. При этом можно использовать таблицу А.2.

7

Таблица A.2 — Оценка вероятности опасного события (L)

Оценка вероятности, % Качественная оценка вероятности (в баллах) очень высокая, 100 % очень высокая, 5 баллов высокая, 80 % высокая, 4 балла средняя, 60 % средняя, 3 балла низкая (менее 20 %) низкая, 2 балла очень низкая (менее 1 %) очень низкая, 1 балл

Если существуют сомнения в оценке вероятности возникновения опасного события, то ранг опасности события повышают.

А.2.3 Оценка последствий опасного события

В зависимости от области воздействия опасного события, менеджер по риску должен оценить последствия опасного события при существующих средствах контроля, методах управления и мероприятиях по снижению риска. Для этого можно использовать таблицу А.З.

Таблица А.З — Оценка последствий опасного события

Последствие (1), в баллах Описание последствий Объекты воздействия опасного события* 5 катастрофические последствия Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура 4 значительные последствия Люди, экономика, инфраструктура, окружающая среда, социальная среда 3 умеренные последствия Люди, экономика, инфраструктура 2 небольшие последствия Экономика, инфраструктура 1 малозначительные последствия Социальная среда * Объекты воздействия опасного события приведены только для примера.

Если существуют сомнения в оценке последствий опасного события, то рангэтого события повышают.

А.2.4 Составление матрицы риска

В данном примере использован наиболее простой способ оценки риска — качественная оценка последствий и вероятности опасного события. При этом риск (R) рассчитывают как произведение последствий (I) на вероятность (L):

R = I х L.    (1)

Ранги последствий (I) и вероятности (L) определяют по таблицам 2 и 3.

Полученные результаты позволяют построить матрицу риска (таблица А.4), которую можно использовать как основу для идентификации приемлемого и неприемлемого риска.

Таблица А.4 — Матрица риска

Качественная оценка вероятности опасного события Последствия малозначительные (1) небольшие (2) умеренные (3) значительные (4) катастрофические (5) Очень низкая (1) 1 2 3 4 5 Низкая (2) 2 4 6 8 10 Средняя (3) 3 6 9 12 15 Высокая (4) 4 8 12 16 20 Очень высокая (5) 5 10 15 20 25

Примечание — Оценка риска (ранг риска): приемлемый (0-4), контролируемый (5-8), значимый (9-25).

P 50.1.084—2012

Для большей наглядности в реестре риска оценка риска может быть выделена цветом:

зеленый цвет — приемлемый риск (0-4);

желтый цвет — контролируемый риск (5-8);

красный (темно-красный) цвет — серьезный и значимый риск(9-25).

Идентифицированные виды риска могут быть ранжированы как в подразделениях, таки во всей организации. Ранжирование основано на матрице риска (произведение последствий и вероятности) и позволяет идентифицировать большую часть существенных рисков.

А.2.5 Определение стратегии и мероприятий по обработке риска

В зависимости от оценки риска (см. таблицу А.4) должны быть определены предпринимаемые действия по каждому риску, зарегистрированному в реестре риска. В таблице А. 5 приведен пример предпринимаемых действий с учетом оценки риска.

Таблица А.5 — Пример предпринимаемых действий с учетом оценки риска

Оценка риска Предпринимаемые действия Приемлемый риск (0) Риск отсутствует, действия не предпринимаются Приемлемый риск (0-4) Низкий риск, предпринимаются только низкозатратные действия Контролируемый риск (5-8) Средний риск, предпринимаются действия с учетом времени реализации и экономической эффективности мер по снижению риска Серьезный риск (9-25) Высокий риск, необходимо предпринять срочные меры по снижению риска Значимый риск (16-25) Очень высокий риск, необходимо предпринять незамедлительные (аварийные) меры по снижению риска

Мероприятия по снижению риска или обработке риска могут быть включены в реестр риска и/или могут быть разработаны в виде отдельного документа. В этом случае в реестре риска должна быть дана ссылка на этот документ. В приведенном примере мероприятия по обработке риска включены в реестр риска.

А.З Дополнительные положения

Поскольку реестр риска постоянно актуализируется необходимо регистрировать даты записей о риске и всех внесенных изменений. Если план мероприятий включен в регистр риска, цель и сроки завершения действий, предусмотренных планом, должны быть зарегистрированы.

Колонка комментариев или примечаний в реестре риска позволяет делать ссылки на необходимую информацию, например, проведение совещания, на котором обсуждались проблемы данного риска.

9

УДК 658:562.014:006.354    ОКС    07.030    Т59

Ключевые слова: риск, менеджмент риска, реестр риска, реестр опасностей, опасное событие, предупреждение опасных событий, оценка риска, последствие, вероятность, ранг последствий, ранг вероятности

10

Редактор С.Д. Золотова Технический редактор В.Н. Прусакова Корректор Ю.М. Прокофьева Компьютерная верстка ИЛ. Налейкиной

Сдано в набор 03.10.2013. Подписано в печать 17.10.2013. Формат 60 х 84^. Гарнитура Ариал. Уел. печ. л. 1,86. Уч.-изд. л. 1,15. Тираж 114 экз. Зак. 1169.

ФГУП «СТАНДАРТИНФОРМ», 123995 Москва, Гранатный пер., 4. www.gostinfo.ru    info@gostinfo.ru

Набрано во ФГУП «СТАНДАРТИНФОРМ» на ПЭВМ.

Отпечатано в филиале ФГУП «СТАНДАРТИНФОРМ» — тип. «Московский печатник», 105062 Москва, Лялин пер., 6.

P 50.1.084—2012

Содержание

1    Область применения..................................................1

2    Нормативные ссылки..................................................1

3    Термины и определения................................................2

4    Порядок разработки реестра риска организации.................................2

Приложение А (справочное) Пример упрощенного метода оценки риска и разработки сокращенного

варианта реестра риска малой организации...........................7

III

Введение

Реестр риска является одним из способов представления и хранения информации об опасных событиях и риске. Наличие реестра риска позволяет организации получить информацию, относящуюся к конкретному источнику опасности, последствиям, объекту воздействия опасных событий и т. д. Однако разработка реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также большого объема информации.

Необходимость разработки и ведения реестра риска организация определяет самостоятельно.

Настоящие рекомендации содержат рекомендации по разработке реестра риска для малых организаций.

Настоящие рекомендации следует применять с учетом требований основополагающих стандартов в области риска:

ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство»;

ГОСТ Р ИСО/МЭКЗЮЮ—2011 «Менеджмент риска. Методы оценки риска»;

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 «Менеджмент риска. Термины и определения».

IV

П О РЕКОМЕНДАЦИИ

Р 50.1.084—2012 СТАНДАРТИЗАЦИИ

---

Менеджмент риска

РЕЕСТР РИСКА

Руководство по созданию реестра риска организации

Risk management. Risk register.

Guidelines on construction of organization risk register

Дата введения — 2013—12—01

1    Область применения

Настоящие рекомендации содержат основные положения создания реестра риска для малыхорга-низаций¹).

Настоящие рекомендации предназначены в первую очередь для менеджеров по риску, руководителей и технических экспертов малых организаций. Настоящие рекомендации будут полезны также причастным сторонам, включая лиц, ответственных за составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска малой организации.

2    Нормативные ссылки

В настоящих рекомендациях использованы ссылки на следующие документы:

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство ГОСТ Р ИСО/МЭКЗЮЮ—2011 Менеджмент риска. Методы оценки риска ГОСТ Р 51901.21-2012 Менеджмент риска. Реестр риска. Общие положения ГОСТ Р 51901.22-2012 Менеджмент риска. Реестр риска. Правила построения ГОСТ Р 51901.23-2012 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска

Р 50.1.068—2009 Менеджмент риска. Рекомендации по внедрению. Часть 1. Определение области применения

Р 50.1.069—2009 Менеджмент риска. Рекомендации по внедрению. Часть 2. Определение процесса менеджмента риска

Р 50.1.070—2009 Менеджмент риска. Рекомендации по внедрению. Часть 3. Обмен информацией и консультации

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом

^ Решение о разработке и ведении реестра риска организация принимает самостоятельно.

Издание официальное

утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, рекомендуется принять в части, не затрагивающей эту ссылку.

3    Термины и определения

В настоящих рекомендациях применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.

3.1    риск (risk): Следствие влияния неопределенности на достижение поставленных целей¹).

Примечание 1 — Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

Примечание 2 — Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т. п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

ПримечаниеЗ — Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.

Примечание 4 — Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.

Примечание 5 — Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.

[ГОСТ Р 51897-2011]

3.2    реестр риска (risk register): Форма записи информации об идентифицированном риске.

Примечание — Вместо термина «реестр риска» иногда используют термин «журнал риска».

[ГОСТ Р 51897-2011]

3.3    опасность (hazard): Источник потенциального вреда.

Примечание — Опасность может быть источником риска.

3.4    менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.

4    Порядок разработки реестра риска организации

4.1 Общие положения

Организация должна определить необходимость разработки, этапы, форму и способы ведения реестра риска. Основные цели разработки реестра риска организации, его место в системе менеджмента риска, преимущества и недостатки реестра риска установлены в ГОСТ Р 51901.21.

Реестр риска организации является формой ведения записей об идентифицированных опасных событиях, оценке соответствующего им риска, способах и сроках его обработки. При ведении реестра риска необходимо учитывать соответствующие обязательные требования, а также иную доступную информацию о видах опасности и риске ее возникновения. В зависимости от особенностей организации форма и содержание реестра риска могут быть изменены или дополнены по отношению ктиповой форме реестра риска, приведенной в таблице 1 ГОСТ Р 51901.22.

При разработке реестра риска организации необходимо учитывать:

-    политику, цели и стратегию организации в области менеджмента риска;

-    особенности изготавливаемой продукции и оказываемых организацией услуг;

-    основные производственные процессы и процессы менеджмента организации;

-    установленные и используемые методы анализа и оценки риска;

-    законодательные требования;

-    условия эксплуатации выпускаемой продукции.

В соответствие с ФЗ «О техническом регулировании» от 27.12.2002 № 184-ФЗ «риск — это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда».

P 50.1.084—2012

Ответственность за менеджмент риска должна быть возложена на ответственного менеджера по риску или группу менеджмента риска, в том числе ответственность за контроль и мониторинг риска. Тре-бования к менеджерам по риску установлены в ГОСТ Р 51901.21.

Разработка, утверждение, ведение и актуализация реестра риска организации должна проводиться в соответствии с п. 5 ГОСТ Р 51901.22.

Обмен информацией по реестру риска и обеспечение конфиденциальности информации, связанной с реестром риска, необходимо проводить с учетом требований п. 6 ГОСТ Р 51901.22 и рекомендаций, установленных в Р 50.1.070.

Пример упрощенного метода оценки риска и разработки сокращенного варианта реестра риска малой организации приведен в Приложении А.

4.2 Этапы процесса менеджмента риска организации

Основные этапы разработки реестра риска организации должны соответствовать этапам процесса менеджмента риска. При этом содержание этапов зависит от особенностей менеджмента риска организации. Принципы менеджмента риска установлены в ГОСТ Р ИСО 31000. Основные элементы процесса менеджмента риска для малых организаций приведены на рисунке 1.

Описание основных элементов процесса менеджмента риска малых организаций приведено в Р 50.1.069.

Рисунок 1 — Общая схема процесса менеджмента риска

4.3 Карта процесса менеджмента риска организации

На основе процесса менеджмента риска в соответствии с ГОСТ Р 51901.21 организация может составить карту процесса менеджмента риска. При разработке карты процесса для малых организаций рекомендуется сохранить основные элементы менеджмента риска (идентификация опасных событий, количественная оценка риска, анализ и сравнительная оценка риска, обработка риска, мониторинг и пересмотр), при этом их содержание может быть уточнено в зависимости от особенностей деятельности организации.

3

4.4 Разработка реестра риска организации

4.4.1    Общие положения

Результаты действий, выполняемых на каждом этапе процесса менеджмента риска, должны быть представлены в реестре риска. Правила построения реестра риска приведены в ГОСТ Р 51901.22. Типовая форма реестра риска приведена в таблице 1 ГОСТ Р 51901.22.

Распределение ответственности за разработку и ведение реестра риска организации должно соответствовать этапам процесса менеджмента риска, поскольку внесение информации в реестр риска и ее корректировку следует выполнять после завершения каждого этапа процесса менеджмента риска.

Основные этапы разработки реестра риска организации описаны в п.п.4.4.2—4.4.6

4.4.2    Установление целей и области применения реестра риска

Организация должна установить внешние и внутренние цели организации, а также цели в области менеджмента риска для выполнения остальных элементов процесса менеджмента риска. Рекомендации по определению области применения менеджмента риска приведены в Р 50.1.068.

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами реестра риска могут быть:

-    организация в целом, ее структурное подразделение или его часть;

-    продукция, услуга, процесс или вид деятельности;

-    персонал или отдельные работники.

Общие требования к определению области применения реестра риска установлены в ГОСТ Р 51901.21.

4.4.3    Разработка критериев риска

Организация должна установить критерии риска. Критерии должны отражать цели и область применения. Они часто зависят от интересов причастных сторон, а также от соответствующих законодательных и/или обязательных требований. Критерии риска могут быть эксплуатационными, техническими, финансовыми, юридическими, законодательными, социальными, экологическими, гуманитарными и/или др.

Общее описание критериев принятия решений должно быть разработано при установлении области применения менеджмента риска. Критерии риска должны быть уточнены и/или переработаны после идентификации конкретного вида риска и выбора метода анализа риска. Критерии риска должны соответствовать типу риска и способу его представления.

Критерии риска обычно вносят в реестр риска организации, однако для малых организаций критерии риска могут быть установлены в документированных процедурах или иных документах организации по менеджменту риска.

4.4.4    Идентификация опасных событий

Идентификация опасных событий должна включать в себя определение явлений и событий, которые могут воздействовать на объекты реестра риска, установленные в области применения реестра риска. Общие требования к идентификации опасных событий для включения в реестр риска установлены в п. 4.2 ГОСТ Р 51901.21.

Для малых, небольших организаций идентификация опасных событий может состоять из трех этапов:

-    определение методов идентификации риска;

-    выявление опасных событий;

-    выявление причин появления опасного события.

Вначале организация должна определить методы идентификации риска. При идентификации риска могут быть использованы следующие методы: анализ контрольных листов, экспертные оценки, анализ экспериментальных и хронологических данных, анализ структурной схемы надежности, метод мозгового штурма, системный анализ, анализ сценариев, методы системного проектирования. Эти методы более подробно рассмотрены в ГОСТ Р ИСО/МЭК 31010. Выбор метода зависит от вида риска, области применения и целей менеджмента риска организации, а также применяемых и требуемых средств контроля и методов управления риском организации.

Методы идентификации риска обычно вносят в реестр риска организации, однако для небольших организаций методы идентификации риска могут быть определены в документированных процедурах или иных документах организации по менеджменту риска.

Следующим шагом является идентификация опасных событий, на котором организация должна составить общий перечень опасных событий, которые могут неблагоприятно повлиять на ее деятельность и выполнение целей. На основе перечня необходимо подробно описать каждое идентифицированное опасное событие, которое может произойти. При составлении перечня опасных событий может быть использована классификация опасностей, приведенная в приложении А ГОСТ Р 51901.21.

4

P 50.1.084—2012

Наименование опасного события должно быть сформулировано понятной фразой. Для опасного события, наименование которого является достаточно длинным, может быть использовано краткое наименование.

После идентификации возможных опасных событий необходимо рассмотреть источники и причины их возникновения, а также возможные последствия для деятельности организации.

Опасные события, их источники и возможные последствия вносят в реестр риска организации (в независимости от ее размера).

При проведении этапа идентификации опасностей рекомендуется учитывать требования ГОСТ Р 51901.23.

4.4.5    Анализ риска

Общие требования к анализу риска опасных событий для включения в реестр риска установлены в п. 4.3 ГОСТ Р 51901.22.

Анализ риска включает исследование источников опасных событий, их последствий и вероятностей появления этих событий. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности. Кроме того, организация должна проанализировать и оценить применяемые средства контроля и методы управления. Величину последствий события и его вероятность необходимо оценивать с учетом результативности существующих стратегий, средств контроля и методов управления.

Анализ риска организации может быть проведен с различной степенью детализации в зависимости от особенностей риска, цели анализа, доступных данных и ресурсов. Анализ риска может быть качественным, количественным или комбинированным. Для малых организаций качественный анализ обычно используют для получения общей оценки риска и определения проблем, связанных с риском. Если организация примет решение о необходимости дальнейшего детального анализа, то могут быть применены количественные или комбинированные методы анализа риска. Описание данных видов анализа риска приведено в Р 50.1.069 и ГОСТ Р ИСО/МЭКЗЮЮ.

Способы представления последствий и вероятности событий в реестре риска должны быть выбраны таким образом, чтобы обеспечить выполнение целей анализа риска.

При проведении анализа риска необходимо учитывать неопределенность и изменчивость оценок последствий и вероятности события, а также эффективность обмена информацией о риске. При внесении в реестр риска количественных данных следует (по возможности) указывать соответствующую им неопределенность.

При выполнении анализа риска рекомендуется учитывать требования ГОСТ Р 51901.23.

4.4.6    Сравнительная оценка риска

Общие требования к сравнительной оценке риска для включения в реестр риска установлены в подразделе 4.4 ГОСТ Р 51901.22.

Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при выполнении обработки риска.

При выполнении сравнительной оценки риска следует руководствоваться требованиями ГОСТ Р 51901.23.

Результаты сравнительной оценки риска обычно вносят в реестр риска организации, если иное не определено в документированных процедурах или иных документах организации по менеджменту риска.

4.4.7    Обработка риска

Общие требования кобработке риска для включения в реестр риска установлены в подразделе 4.5 ГОСТ Р 51901.22.

На этапе обработки риска проводят выбор стратегии обработки риска, оценку последствий, вероятности опасного события и риска (с учетом применения выбранной стратегии обработки риска), определяют мероприятия по обработке риска, сроки и ответственных за их выполнение, оценивают результаты обработки риска.

Для малых организаций обязательными элементами реестра риска, связанными с этапом обработки риска, являются определение мероприятий по обработке риска, сроков их планового и фактического выполнения.

5

Обычно бюджет обработки риска малой организации ограничен, поэтому способы обработки должны также устанавливать порядок обработки каждого риска. Организация должна сравнить общие затраты в случае появления опасного события, когда не применяются никакие меры, с экономией средств, полученных после обработки риска и применении предупреждающих действий.

На этапе обработки риска рекомендуется учитывать требования ГОСТ Р 51901.23.

4.4.8 Мониторинг риска и пересмотр реестра риска

Общие требования к мониторингу риска и пересмотру реестра риска установлены в подразделе 4.6 ГОСТ Р 51901.22.

Организация должна обеспечивать непрерывность процесса менеджмента риска, поэтому необходимо проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре риска.

Результаты мониторинга риска обычно вносят в реестр риска организации, однако для малых организаций эти результаты могут быть определены в документированных процедурах или иных документах организации по менеджменту риска.

6