Купить Р 50.1.084-2012 — бумажный документ с голограммой и синими печатями. подробнее
Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"
Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.
Рекомендации предназначены в первую очередь для менеджеров по риску, руководителей и технических экспертов малых организаций. Рекомендации будут полезны также причастным сторонам, включая лиц, ответственных за составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска малой организации.
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Порядок разработки реестра риска организации
Приложение А (справочное) Пример упрощенного метода оценки риска и разработки сокращенного варианта реестра риска малой организации
Дата введения | 01.12.2013 |
---|---|
Добавлен в базу | 01.10.2014 |
Актуализация | 01.01.2021 |
29.11.2012 | Утвержден | Федеральное агентство по техническому регулированию и метрологии | 1283 |
---|---|---|---|
Разработан | АНО НИЦ КД | ||
Издан | Стандартинформ | 2013 г. |
Чтобы бесплатно скачать этот документ в формате PDF, поддержите наш сайт и нажмите кнопку:
Р 50.1.084-2012
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
Менеджмент риска
Руководство по созданию реестра риска организации
Издание официальное
Москва Стандарти нформ 2013
1 РАЗРАБОТАНЫ Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК10 «Менеджмент риска»
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. № 1283
4 ВВЕДЕНЫ ВПЕРВЫЕ
Информация об изменениях к настоящим рекомендациям публикуется в ежегодном указателе «Руководящие документы, рекомендации и правила», а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
© Стандартинформ,2013
Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
II
Структура и состав реестра риска зависят от особенностей организации. Типовая форма реестра риска приведена в ГОСТ Р 51901.22. Малые организации могут использовать сокращенную (упрощенную) форму реестра риска, пример которой приведен в таблице А.1.
Таблица А.1 —Упрощенная форма реестра риска | ||||||||||||||||||||||||||||||||||||||||||
|
При заполнении реестра риска могут быть использованы следующие шкалы:
шкала последствий (I): 5 — последствия катастрофические, 4 — последствия значительные, 3 — последствия умеренные, 2 — последствия небольшие, 1 — последствия малозначительные;
шкала вероятности опасного события (L): 5 — вероятность очень высокая, 4 — вероятность высокая, 3 — вероятность средняя, 2 — вероятность низкая, 1 — вероятность очень низкая;
оценка риска: риск приемлемый (0—4), риск контролируемый (5—8), риск значимый (9—25);
мероприятия по обработке риска: (0) риск отсутствует, действия не предпринимаются; (0—4) низкий риск, предпринимаются только низкозатратные действия; (5-8) средний риск, предпринимаются действия с учетом времени их выполнения и экономической целесообразности; (9—25) высокий риск, необходимо срочное выполнение мероприятия по снижению риска; (16—25) высокий риск, применение незамедлительных (аварийных) действий по снижению риска.
Метод оценки риска опасных событий приведен вГОСТР51901 -23, однако малые организации могут применять упрощенные методы оценки риска, при этом необходимо учитывать неопределенность таких оценок риска.
Малые организации могут использовать матрицу риска для оценки значимости риска. Для систематической и последовательной оценки риска необходимо разработать матрицу риска в соответствии со следующими этапами:
- оценка вероятности опасного события (А.2.2);
- оценка последствий опасного события (А.2.3);
- составление матрицы риска (А.2.4);
- определение мероприятий по обработке риска (А.2.5).
В настоящем примере приведен наиболее простой вариант матрицы риска. Организация в зависимости от условий оценки риска может разработать свою матрицу риска.
А.2.2 Оценка вероятности опасного события
В малой организации в зависимости от объекта реестра риска менеджер по риску должен ответить на вопрос какова вероятность реализации опасного события при применении указанных средств контроля и методов управления мероприятий по снижению риска. При этом можно использовать таблицу А.2.
7
Таблица A.2 — Оценка вероятности опасного события (L) | ||||||||||||
|
Если существуют сомнения в оценке вероятности возникновения опасного события, то ранг опасности события повышают.
А.2.3 Оценка последствий опасного события
В зависимости от области воздействия опасного события, менеджер по риску должен оценить последствия опасного события при существующих средствах контроля, методах управления и мероприятиях по снижению риска. Для этого можно использовать таблицу А.З.
Таблица А.З — Оценка последствий опасного события | |||||||||||||||||||||
|
Если существуют сомнения в оценке последствий опасного события, то рангэтого события повышают.
А.2.4 Составление матрицы риска
В данном примере использован наиболее простой способ оценки риска — качественная оценка последствий и вероятности опасного события. При этом риск (R) рассчитывают как произведение последствий (I) на вероятность (L):
R = I х L. (1)
Ранги последствий (I) и вероятности (L) определяют по таблицам 2 и 3.
Полученные результаты позволяют построить матрицу риска (таблица А.4), которую можно использовать как основу для идентификации приемлемого и неприемлемого риска.
Таблица А.4 — Матрица риска | |||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||
Примечание — Оценка риска (ранг риска): приемлемый (0-4), контролируемый (5-8), значимый (9-25). |
Для большей наглядности в реестре риска оценка риска может быть выделена цветом:
зеленый цвет — приемлемый риск (0-4);
желтый цвет — контролируемый риск (5-8);
красный (темно-красный) цвет — серьезный и значимый риск(9-25).
Идентифицированные виды риска могут быть ранжированы как в подразделениях, таки во всей организации. Ранжирование основано на матрице риска (произведение последствий и вероятности) и позволяет идентифицировать большую часть существенных рисков.
А.2.5 Определение стратегии и мероприятий по обработке риска
В зависимости от оценки риска (см. таблицу А.4) должны быть определены предпринимаемые действия по каждому риску, зарегистрированному в реестре риска. В таблице А. 5 приведен пример предпринимаемых действий с учетом оценки риска.
Таблица А.5 — Пример предпринимаемых действий с учетом оценки риска | ||||||||||||
|
Мероприятия по снижению риска или обработке риска могут быть включены в реестр риска и/или могут быть разработаны в виде отдельного документа. В этом случае в реестре риска должна быть дана ссылка на этот документ. В приведенном примере мероприятия по обработке риска включены в реестр риска.
Поскольку реестр риска постоянно актуализируется необходимо регистрировать даты записей о риске и всех внесенных изменений. Если план мероприятий включен в регистр риска, цель и сроки завершения действий, предусмотренных планом, должны быть зарегистрированы.
Колонка комментариев или примечаний в реестре риска позволяет делать ссылки на необходимую информацию, например, проведение совещания, на котором обсуждались проблемы данного риска.
УДК 658:562.014:006.354 ОКС 07.030 Т59
Ключевые слова: риск, менеджмент риска, реестр риска, реестр опасностей, опасное событие, предупреждение опасных событий, оценка риска, последствие, вероятность, ранг последствий, ранг вероятности
10
Редактор С.Д. Золотова Технический редактор В.Н. Прусакова Корректор Ю.М. Прокофьева Компьютерная верстка ИЛ. Налейкиной
Сдано в набор 03.10.2013. Подписано в печать 17.10.2013. Формат 60 х 84^. Гарнитура Ариал. Уел. печ. л. 1,86. Уч.-изд. л. 1,15. Тираж 114 экз. Зак. 1169.
ФГУП «СТАНДАРТИНФОРМ», 123995 Москва, Гранатный пер., 4. www.gostinfo.ru info@gostinfo.ru
Набрано во ФГУП «СТАНДАРТИНФОРМ» на ПЭВМ.
Отпечатано в филиале ФГУП «СТАНДАРТИНФОРМ» — тип. «Московский печатник», 105062 Москва, Лялин пер., 6.
1 Область применения..................................................1
2 Нормативные ссылки..................................................1
3 Термины и определения................................................2
4 Порядок разработки реестра риска организации.................................2
Приложение А (справочное) Пример упрощенного метода оценки риска и разработки сокращенного
варианта реестра риска малой организации...........................7
III
Реестр риска является одним из способов представления и хранения информации об опасных событиях и риске. Наличие реестра риска позволяет организации получить информацию, относящуюся к конкретному источнику опасности, последствиям, объекту воздействия опасных событий и т. д. Однако разработка реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также большого объема информации.
Необходимость разработки и ведения реестра риска организация определяет самостоятельно.
Настоящие рекомендации содержат рекомендации по разработке реестра риска для малых организаций.
Настоящие рекомендации следует применять с учетом требований основополагающих стандартов в области риска:
ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство»;
ГОСТ Р ИСО/МЭКЗЮЮ—2011 «Менеджмент риска. Методы оценки риска»;
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 «Менеджмент риска. Термины и определения».
IV
П О РЕКОМЕНДАЦИИ |
Р 50.1.084—2012 |
Risk management. Risk register.
Guidelines on construction of organization risk register
Дата введения — 2013—12—01
Настоящие рекомендации содержат основные положения создания реестра риска для малыхорга-низаций1).
Настоящие рекомендации предназначены в первую очередь для менеджеров по риску, руководителей и технических экспертов малых организаций. Настоящие рекомендации будут полезны также причастным сторонам, включая лиц, ответственных за составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска малой организации.
В настоящих рекомендациях использованы ссылки на следующие документы:
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство ГОСТ Р ИСО/МЭКЗЮЮ—2011 Менеджмент риска. Методы оценки риска ГОСТ Р 51901.21-2012 Менеджмент риска. Реестр риска. Общие положения ГОСТ Р 51901.22-2012 Менеджмент риска. Реестр риска. Правила построения ГОСТ Р 51901.23-2012 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска
Р 50.1.068—2009 Менеджмент риска. Рекомендации по внедрению. Часть 1. Определение области применения
Р 50.1.069—2009 Менеджмент риска. Рекомендации по внедрению. Часть 2. Определение процесса менеджмента риска
Р 50.1.070—2009 Менеджмент риска. Рекомендации по внедрению. Часть 3. Обмен информацией и консультации
Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом
^ Решение о разработке и ведении реестра риска организация принимает самостоятельно.
Издание официальное
утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, рекомендуется принять в части, не затрагивающей эту ссылку.
В настоящих рекомендациях применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.
3.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей1).
Примечание 1 — Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
Примечание 2 — Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т. п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).
ПримечаниеЗ — Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.
Примечание 4 — Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.
Примечание 5 — Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.
3.2 реестр риска (risk register): Форма записи информации об идентифицированном риске.
Примечание — Вместо термина «реестр риска» иногда используют термин «журнал риска».
3.3 опасность (hazard): Источник потенциального вреда.
Примечание — Опасность может быть источником риска.
3.4 менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.
Организация должна определить необходимость разработки, этапы, форму и способы ведения реестра риска. Основные цели разработки реестра риска организации, его место в системе менеджмента риска, преимущества и недостатки реестра риска установлены в ГОСТ Р 51901.21.
Реестр риска организации является формой ведения записей об идентифицированных опасных событиях, оценке соответствующего им риска, способах и сроках его обработки. При ведении реестра риска необходимо учитывать соответствующие обязательные требования, а также иную доступную информацию о видах опасности и риске ее возникновения. В зависимости от особенностей организации форма и содержание реестра риска могут быть изменены или дополнены по отношению ктиповой форме реестра риска, приведенной в таблице 1 ГОСТ Р 51901.22.
При разработке реестра риска организации необходимо учитывать:
- политику, цели и стратегию организации в области менеджмента риска;
- особенности изготавливаемой продукции и оказываемых организацией услуг;
- основные производственные процессы и процессы менеджмента организации;
- установленные и используемые методы анализа и оценки риска;
- законодательные требования;
- условия эксплуатации выпускаемой продукции.
В соответствие с ФЗ «О техническом регулировании» от 27.12.2002 № 184-ФЗ «риск — это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда».
P 50.1.084—2012
Ответственность за менеджмент риска должна быть возложена на ответственного менеджера по риску или группу менеджмента риска, в том числе ответственность за контроль и мониторинг риска. Тре-бования к менеджерам по риску установлены в ГОСТ Р 51901.21.
Разработка, утверждение, ведение и актуализация реестра риска организации должна проводиться в соответствии с п. 5 ГОСТ Р 51901.22.
Обмен информацией по реестру риска и обеспечение конфиденциальности информации, связанной с реестром риска, необходимо проводить с учетом требований п. 6 ГОСТ Р 51901.22 и рекомендаций, установленных в Р 50.1.070.
Пример упрощенного метода оценки риска и разработки сокращенного варианта реестра риска малой организации приведен в Приложении А.
4.2 Этапы процесса менеджмента риска организации
Основные этапы разработки реестра риска организации должны соответствовать этапам процесса менеджмента риска. При этом содержание этапов зависит от особенностей менеджмента риска организации. Принципы менеджмента риска установлены в ГОСТ Р ИСО 31000. Основные элементы процесса менеджмента риска для малых организаций приведены на рисунке 1.
Описание основных элементов процесса менеджмента риска малых организаций приведено в Р 50.1.069.
Рисунок 1 — Общая схема процесса менеджмента риска |
4.3 Карта процесса менеджмента риска организации
На основе процесса менеджмента риска в соответствии с ГОСТ Р 51901.21 организация может составить карту процесса менеджмента риска. При разработке карты процесса для малых организаций рекомендуется сохранить основные элементы менеджмента риска (идентификация опасных событий, количественная оценка риска, анализ и сравнительная оценка риска, обработка риска, мониторинг и пересмотр), при этом их содержание может быть уточнено в зависимости от особенностей деятельности организации.
3
Результаты действий, выполняемых на каждом этапе процесса менеджмента риска, должны быть представлены в реестре риска. Правила построения реестра риска приведены в ГОСТ Р 51901.22. Типовая форма реестра риска приведена в таблице 1 ГОСТ Р 51901.22.
Распределение ответственности за разработку и ведение реестра риска организации должно соответствовать этапам процесса менеджмента риска, поскольку внесение информации в реестр риска и ее корректировку следует выполнять после завершения каждого этапа процесса менеджмента риска.
Основные этапы разработки реестра риска организации описаны в п.п.4.4.2—4.4.6
Организация должна установить внешние и внутренние цели организации, а также цели в области менеджмента риска для выполнения остальных элементов процесса менеджмента риска. Рекомендации по определению области применения менеджмента риска приведены в Р 50.1.068.
При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами реестра риска могут быть:
- организация в целом, ее структурное подразделение или его часть;
- продукция, услуга, процесс или вид деятельности;
- персонал или отдельные работники.
Общие требования к определению области применения реестра риска установлены в ГОСТ Р 51901.21.
Организация должна установить критерии риска. Критерии должны отражать цели и область применения. Они часто зависят от интересов причастных сторон, а также от соответствующих законодательных и/или обязательных требований. Критерии риска могут быть эксплуатационными, техническими, финансовыми, юридическими, законодательными, социальными, экологическими, гуманитарными и/или др.
Общее описание критериев принятия решений должно быть разработано при установлении области применения менеджмента риска. Критерии риска должны быть уточнены и/или переработаны после идентификации конкретного вида риска и выбора метода анализа риска. Критерии риска должны соответствовать типу риска и способу его представления.
Критерии риска обычно вносят в реестр риска организации, однако для малых организаций критерии риска могут быть установлены в документированных процедурах или иных документах организации по менеджменту риска.
Идентификация опасных событий должна включать в себя определение явлений и событий, которые могут воздействовать на объекты реестра риска, установленные в области применения реестра риска. Общие требования к идентификации опасных событий для включения в реестр риска установлены в п. 4.2 ГОСТ Р 51901.21.
Для малых, небольших организаций идентификация опасных событий может состоять из трех этапов:
- определение методов идентификации риска;
- выявление опасных событий;
- выявление причин появления опасного события.
Вначале организация должна определить методы идентификации риска. При идентификации риска могут быть использованы следующие методы: анализ контрольных листов, экспертные оценки, анализ экспериментальных и хронологических данных, анализ структурной схемы надежности, метод мозгового штурма, системный анализ, анализ сценариев, методы системного проектирования. Эти методы более подробно рассмотрены в ГОСТ Р ИСО/МЭК 31010. Выбор метода зависит от вида риска, области применения и целей менеджмента риска организации, а также применяемых и требуемых средств контроля и методов управления риском организации.
Методы идентификации риска обычно вносят в реестр риска организации, однако для небольших организаций методы идентификации риска могут быть определены в документированных процедурах или иных документах организации по менеджменту риска.
Следующим шагом является идентификация опасных событий, на котором организация должна составить общий перечень опасных событий, которые могут неблагоприятно повлиять на ее деятельность и выполнение целей. На основе перечня необходимо подробно описать каждое идентифицированное опасное событие, которое может произойти. При составлении перечня опасных событий может быть использована классификация опасностей, приведенная в приложении А ГОСТ Р 51901.21.
4
Наименование опасного события должно быть сформулировано понятной фразой. Для опасного события, наименование которого является достаточно длинным, может быть использовано краткое наименование.
После идентификации возможных опасных событий необходимо рассмотреть источники и причины их возникновения, а также возможные последствия для деятельности организации.
Опасные события, их источники и возможные последствия вносят в реестр риска организации (в независимости от ее размера).
При проведении этапа идентификации опасностей рекомендуется учитывать требования ГОСТ Р 51901.23.
Общие требования к анализу риска опасных событий для включения в реестр риска установлены в п. 4.3 ГОСТ Р 51901.22.
Анализ риска включает исследование источников опасных событий, их последствий и вероятностей появления этих событий. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности. Кроме того, организация должна проанализировать и оценить применяемые средства контроля и методы управления. Величину последствий события и его вероятность необходимо оценивать с учетом результативности существующих стратегий, средств контроля и методов управления.
Анализ риска организации может быть проведен с различной степенью детализации в зависимости от особенностей риска, цели анализа, доступных данных и ресурсов. Анализ риска может быть качественным, количественным или комбинированным. Для малых организаций качественный анализ обычно используют для получения общей оценки риска и определения проблем, связанных с риском. Если организация примет решение о необходимости дальнейшего детального анализа, то могут быть применены количественные или комбинированные методы анализа риска. Описание данных видов анализа риска приведено в Р 50.1.069 и ГОСТ Р ИСО/МЭКЗЮЮ.
Способы представления последствий и вероятности событий в реестре риска должны быть выбраны таким образом, чтобы обеспечить выполнение целей анализа риска.
При проведении анализа риска необходимо учитывать неопределенность и изменчивость оценок последствий и вероятности события, а также эффективность обмена информацией о риске. При внесении в реестр риска количественных данных следует (по возможности) указывать соответствующую им неопределенность.
При выполнении анализа риска рекомендуется учитывать требования ГОСТ Р 51901.23.
Общие требования к сравнительной оценке риска для включения в реестр риска установлены в подразделе 4.4 ГОСТ Р 51901.22.
Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при выполнении обработки риска.
При выполнении сравнительной оценки риска следует руководствоваться требованиями ГОСТ Р 51901.23.
Результаты сравнительной оценки риска обычно вносят в реестр риска организации, если иное не определено в документированных процедурах или иных документах организации по менеджменту риска.
Общие требования кобработке риска для включения в реестр риска установлены в подразделе 4.5 ГОСТ Р 51901.22.
На этапе обработки риска проводят выбор стратегии обработки риска, оценку последствий, вероятности опасного события и риска (с учетом применения выбранной стратегии обработки риска), определяют мероприятия по обработке риска, сроки и ответственных за их выполнение, оценивают результаты обработки риска.
Для малых организаций обязательными элементами реестра риска, связанными с этапом обработки риска, являются определение мероприятий по обработке риска, сроков их планового и фактического выполнения.
5
Обычно бюджет обработки риска малой организации ограничен, поэтому способы обработки должны также устанавливать порядок обработки каждого риска. Организация должна сравнить общие затраты в случае появления опасного события, когда не применяются никакие меры, с экономией средств, полученных после обработки риска и применении предупреждающих действий.
На этапе обработки риска рекомендуется учитывать требования ГОСТ Р 51901.23.
Общие требования к мониторингу риска и пересмотру реестра риска установлены в подразделе 4.6 ГОСТ Р 51901.22.
Организация должна обеспечивать непрерывность процесса менеджмента риска, поэтому необходимо проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре риска.
Результаты мониторинга риска обычно вносят в реестр риска организации, однако для малых организаций эти результаты могут быть определены в документированных процедурах или иных документах организации по менеджменту риска.
6