Процесс менеджмента риска. Взаимодействие и консультирование Обмен информацией и консультирование определение ситуации
Транскрипт
1 ш НАЦИОНАЛЬНЫЙ; ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р исо Менеджмент риска ПРИНЦИПЫ И РУКОВОДСТВО ISO 31000:2009 Risk management Principles and guidelines (IDT) Издание официальное Москва Стандартинформ 2012
2 Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации ГОСТ Р «Стандартизация в Российской Федерации. Основные положения» Сведения о стандарте 1 ПОДГОТОВЛЕН Научно-техническим центром «ИНТЕК» на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 «Стратегический и инновационный менеджмент» 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. 883-ст 4 Настоящий стандарт идентичен международному стандарту ИСО 31000:2009 «Менеджмент риска. Принципы и руководство» (ISO 31000:2009 «Risk management Principles and guidelines») 5 ВВЕДЕН ВПЕРВЫЕ Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет Стандартинформ, 2012 Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
3 РОССИЙСКАЯ ГОСУДАРСТВЕННАЯ БИБЛИОТЕКА 2012 L... Содержание 1 Область применения 1 2 Термины и определения 1 3 Принципы 6 4 Инфраструктура Общие положения Полномочия и обязательства Разработка инфраструктуры менеджмента риска Внедрение менеджмента риска Мониторинг и пересмотр инфраструктуры менеджмента риска Постоянное улучшение инфраструктуры 10 5 Процесс Общие положения Обмен информацией и консультирование Определение ситуации Оценка риска Воздействие на риск Мониторинг и пересмотр Регистрация процесса менеджмента риска 16 Приложение А (справочное) Признаки улучшенного менеджмента риска 17 Библиография
4 Введение Организации всех типов и размеров сталкиваются с внутренними и внешними факторами и воздействиями, которые порождают неопределенность в отношении того, достигнут ли они своих целей, и когда. Влияние такой неопределенности на цели организации и есть «риск». Вся деятельность организации включает в себя риск. Организации осуществляют риск-менеджмент посредством его идентификации, его анализа и последующего оценивания, будет ли риск изменен воздействием, чтобы соответствовать установленным критериям риска. На протяжении всего этого процесса они обмениваются информацией и консультируются с заинтересованными сторонами, а также наблюдают и анализируют риск и действия по управлению, которые изменяют риск для гарантии того, что какого-либо воздействия на риск в дальнейшем больше не потребуется. Настоящий стандарт подробно описывает этот систематический и логический процесс. Поскольку все организации в определенной степени управляют риском, настоящий стандарт устанавливает ряд принципов, которые необходимо соблюдать, для того чтобы менеджмент риска был эффективным. Настоящий стандарт рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру. Менеджмент риска 1) может применяться ко всей организации в любое время в ее многих областях и на многих уровнях, а также к особым функциям, проектам и видам деятельности. Несмотря на непрерывное развитие практики менеджмента во многих отраслях, с целью соответствия различным потребностям, внедрение постоянных процессов в рамках общей инфраструктуры может способствовать эффективному и результативному управлению рисками во всей организации. Обобщенный подход, описанный в настоящем стандарте, устанавливает принципы и руководства управления рисками любой формы системным, прозрачным и надежным образом и в рамках любой области и содержания. Каждая конкретная отрасль или сфера применения риск-менеджмента имеет свои отдельные потребности, потребителей, восприятия и критерии. Поэтому основной особенностью настоящего стандарта является включение «определения ситуации (контекста)» как деятельности, проводимой в начале общего процесса риск-менеджмента. При определении ситуации (контекста) необходимо рассматривать цели организации, окружающую среду, в которой эти цели достигаются, заинтересованные стороны и разнообразие критериев риска, все то, что помогает выявлять и оценивать характер и сложность этих рисков. На рисунке 1 показаны взаимосвязи принципов менеджмента риска, инфраструктуры и процессов менеджмента риска, описанных в настоящем стандарте. При применении и поддержании в соответствии с настоящим стандартом риск-менеджмент дает возможность организации: - повышать возможность достижения целей; - поддерживать активный менеджмент; - осознавать необходимость идентификации и воздействия на риски по всей организации; - улучшать идентификацию возможностей и угроз; - отвечать соответствующим законодательным и другим обязательным требованиям и международным нормам; - улучшать обязательную и управленческую отчетность; - улучшать управление; - укреплять доверие заинтересованных сторон; - создавать надежный базис для принятия решений и планирования; - совершенствовать управление; - эффективно распределять и использовать ресурсы для воздействия на риск; - повышать функциональную эффективность и результативность; 1> В силу этого во многих областях установилась различная словоупотребительная практика в отношении понятия «менеджмент риска». Поэтому очень часто в научно-технической литературе встречается словосочетание «риск-менеджмент». Далее по тексту стандарта, где это уместно, также для простоты данное словосочетание используется наряду с общепринятым.
5 - повышать уровень обеспечения безопасности, здоровья, а также защиты окружающей среды; - совершенствовать предотвращение потерь и менеджмент инцидентов; - сводить к минимуму потери; - улучшать обучение в организации; - повышать устойчивость организации. Настоящий стандарт предназначен для удовлетворения потребностей широкого круга заинтересованных сторон, включая: a) лиц, ответственных за разработку политики управления рисками внутри организации; b) лиц, ответственных за обеспечение эффективности управления рисками в рамках организации в целом или в рамках конкретной области, проекта или деятельности; c) лиц, которым необходимо оценивать эффективность организации по управлению рисками; d) разработчиков стандартов, руководств, процедур и добросовестных практик, которые в целом или частично устанавливают как осуществлять риск-менеджмент в рамках конкретных ситуаций в этих документах. Современные практики и процессы управления многих организаций включают компоненты риск-менеджмента, а многие организации уже используют формальный процесс риск-менеджмента для конкретных типов риска или обстоятельств. В этих случаях организация может принять решение о проведении критического обзора используемых ею практик и процессов в свете настоящего стандарта. В настоящем стандарте используются оба выражения: как термин «менеджмент риска («risk management»)», так и термин «управление риском» («managing risk»). В общих чертах «менеджмент риска» относится к архитектуре (принципам, инфраструктуре и процессу) эффективного управления рисками, в то время как «управление рисками» относится к применению этой архитектуры к конкретным рискам. Международный стандарт был подготовлен рабочей группой по риск-менеджменту Технического управляющего бюро ИСО (ТМВ). a) Создает ценность b) Является неотъемлемой частью организационных процессов c) Является частью принятия решения d) Рассматривает исключительно неопределенность e) Является систематическим, структурированным и своевременным f) Основан на оптимальной имеющейся информации д) Является адаптированным h) Учитывает человеческие и культурные факторы i) Является прозрачным и инклюзивным j) Является динамичным, матеративным и восприимчивым к изменению к) Способствует постоянному улучшению и совершенствованию организации Постоянное улучшение инфраструктуры (4.6) Планирование и обязательство (4.2) Схема инфраструктуры риск-менеджмента (4.3) Мониторинг и анализ инфраструктуры (4.5) Инфраструктура (Раздел 4) Применение рискменеджмента (4.4) Определение ситуации (5.3) Оценка риска (5.4) Идентификация риска (5.4.2) Анализ риска (5.4.3) Оценивание риска (5.4.4) Воздействие на риск (5.5) Процесс (Раздел 5) Рисунок 1 Взаимосвязи между принципами, инфраструктурой и процессом менеджмента риска
6 ГОСТ Р ИСО НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ Менеджмент риска ПРИНЦИПЫ И РУКОВОДСТВО Risk management. Principles and guidelines Дата введения Область применения Настоящий стандарт устанавливает принципы и общее руководство по риск-менеджменту. Настоящий стандарт может использовать любое государственное, частное или общественное предприятие, ассоциация, группа лиц или отдельное лицо. Этот стандарт не является специфическим для какой-либо промышленности или отрасли. Примечание Всех различных пользователей настоящего стандарта называют для удобства общим термином «организация». Настоящий стандарт может применяться в течение всего жизненного цикла организации и для широкого спектра деятельности, включая стратегии и решения, операции, процессы, функции, проекты, продукцию, услуги и активы. Настоящий стандарт может применяться к любому типу риска, независимо от его характера, а также того, имеет ли он отрицательные или положительные последствия. Несмотря на то что настоящий стандарт предоставляет обобщенное руководство, он не предназначен для обеспечения единообразия риск-менеджмента во всех организациях. При создании и применении планов, касающихся инфраструктуры риск-менеджмента, необходимо учитывать различные потребности конкретной организации, ее частные цели, ситуацию (контекст), структуру, операции, процессы, функции, проекты, продукты, услуги или активы, а также конкретную практику, принятую в организации. Это следует понимать в том смысле, что настоящий стандарт необходимо использовать для гармонизации процессов управления риском, описанных в существующих действующих и будущих стандартах. Он устанавливает общий подход для поддержки стандартов, распространяющихся на конкретные риски и/или отрасли, и не заменяет эти стандарты. Настоящий стандарт не предназначен для целей сертификации. 2 Термины и определения В настоящем стандарте применяют следующие термины с соответствующими определениями: 2.1 риск (risk): Влияние неопределенности на цели. i Примечание 1 Влияние это отклонение от того, что ожидается (положительное и/или отрицательное). Примечание 2 Цели могут иметь различные аспекты (например, финансовые и экологические цели и цели в отношении здоровья и безопасности) и могут применяться на различных уровнях (стратегических, в масштабах организации, проекта, продукта или процесса). Примечание 3 Риск часто характеризуется ссылкой на потенциально возможные события (2.17) и последствия (2.18) или их комбинации. Издание официальное
7 Примечание 4 Риск часто выражают в виде комбинации последствий событий (включая изменения в обстоятельствах) и связанной с этим вероятности или возможности наступления (2.19). Примечание 5 Неопределенность это состояние, заключающееся в недостаточности, даже частичной, информации, понимания или знания относительно события, его последствий или его возможности. [Руководство ИСО 73:2009, определение 1.1] 2.2 менеджмент риска, риск-менеджмент (risk management): Скоординированные действия по управлению организацией с учетом риска (2.1). [Руководство ИСО 73:2009, определение 2.1] 2.3 инфраструктура менеджмента риска (risk management framework): Набор компонентов, обеспечивающих основы и организационные меры и структуру для разработки, внедрения, мониторинга (2.28), пересмотра и постоянного улучшения менеджмента риска (2.2) в масштабе всей организации. Примечание 1 Основы включают политику, цели, полномочия и обязательства по управлению риском (2.1). Примечание 2 Организационные меры и структура включают планы, взаимосвязи, ответственность, ресурсы, процессы и деятельность. Примечание 3 Инфраструктура менеджмента риска встроена во все стратегические и операционные политики и практики организации. [Руководство ИСО 73:2009, определение 2.1.1] 2.4 политика менеджмента риска (risk management policy): Заявление общих намерений и направлений деятельности организации в отношении менеджмента риска (2.2). [Руководство ИСО 73:2009, определение 2.1.2] 2.5 отношение к риску (risk attitude): Подход организации к оценке и, в конечном счете, к использованию благоприятных возможностей, удержанию, принятию или недопущению риска (2.1). [Руководство ИСО 73:2009, определение ] 2.6 план менеджмента риска (risk management plan): Документ в инфраструктуре менеджмента риска (2.3), определяющий подход, элементы управления и ресурсы, используемые при менеджменте риска (2.1). Примечание 1 Элементы менеджмента риска обычно включают процедуры, практики, распределение обязанностей и ответственности, последовательность и время деятельности. Примечание 2 План менеджмента риска может применяться для конкретного продукта, процесса и проекта, а также к части или ко всей организации. [Руководство ИСО 73:2009, определение 2.1.3] 2.7 владелец риска (risk owner): Лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками (2.1). [Руководство ИСО 73:2009, определение ] 2.8 процесс менеджмента риска (risk management process): Систематическое применение политик, процедур и практик менеджмента к деятельности по обмену информацией, консультированию, установлению ситуации (контекста) и идентификации, анализу, оцениванию, воздействию на риск, мониторингу (2.28) и пересмотру риска (2.1). [Руководство ИСО 73:2009, определение 3.1]
8 2.9 установление ситуации (контекста) (establishing the context): Определение внешних и внутренних параметров, принимаемых во внимание при управлении риском, и установление области применения и критериев риска (2.22) для политики менеджмента рисков (2.4). [Руководство ИСО 73:2009, определение 3.3.1] 2.10 внешняя ситуация (контекст) (external context): Внешняя среда, в которой организации стремятся к достижению своих целей. Примечание Внешняя ситуация (контекст) может включать: - культурную, социальную, правовую, регулирующую, финансовую, технологическую, экономическую, естественную и рыночную среду на международном, национальном, региональном или на местном уровне; - основные движущие силы и тенденции, влияющие на цели организации; - взаимосвязи с заинтересованными сторонами (2.13), их ожидания и ценности. [Руководство ИСО 73:2009, определение ] 2.11 внутренняя ситуация (контекст) (internal context): Внутренняя среда, в которой организация стремится к достижению своих целей. Примечание Внутренняя ситуация (контекст) может включать: - руководство, организационную структуру, роли и ответственности; - политики, цели и стратегии, доступные с точки зрения их достижения; - возможности, понимаемые в отношении ресурсов и знания (например, капитал, время, люди, процессы, системы и технологии); - информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные); - взаимосвязи с внутренними заинтересованными сторонами, их ожиданиями и ценностями; - организационную культуру; - стандарты, руководства и модели, принятые организацией; - форму и содержание контрактных отношений. [Руководство ИСО 73:2009, определение ] 2.12 обмен информацией и консультирование (communication and consultation): Непрерывные и итерационные процессы, которые организация осуществляет для обеспечения, совместного использования или получения информации и ведения диалога с заинтересованными сторонами (2.13), касающегося управления рисками (2.1). Примечание 1 Информация может касаться наличия, характера, формы, вероятности или возможности (2.19), важности, приемлемости, оценивания (2.24) и воздействия на риск (2.25). Примечание 2 Консультирование это двусторонний процесс квалифицированного обмена информацией между организацией и ее заинтересованными сторонами по любому вопросу, перед тем как вынести решение или перед определением направления решения этого вопроса. Консультирование это: - процесс, который воздействует на принимаемое решение посредством влияния, а не властных полномочий; - отправная точка принятия решений, а не совместное принятие решений. [Руководство ИСО 73:2009, определение 3.2.1] 2.13 заинтересованная сторона (stakeholder): Лицо или организация, которые могут воздействовать, или на которые могут воздействовать, или которые считают, что на них влияет какое-либо решение или деятельность. Примечани е Лицо, принимающее решения, может быть заинтересованной стороной. [Руководство ИСО 73:2009, определение ] 2.14 оценка риска (risk assessment): Общий процесс идентификации риска (2.15), анализа риска (2.21) и оценивания риска (2.24). [Руководство ИСО 73:2009, определение 3.4.1]
9 2.15 идентификация риска (risk identification): Процесс обнаружения, распознавания и описания рисков (2.1). Примечание 1 Идентификация включает распознавание источников риска (2.16), событий (2.17), их причин и возможных последствий (2.18). Примечание 2 Идентификация риска может использовать исторические данные, теоретический анализ, обоснованную точку зрения и экспертные мнения и потребности заинтересованных сторон (2.13). [Руководство ИСО 73:2009, определение 3.5.1] 2.16 источник риска (risk source): Элемент, который отдельно или в комбинации имеет собственный потенциал, чтобы вызвать риск (2.1). Примечание Источник риска может быть материальным и нематериальным. [Руководство ИСО 73:2009, определение ] 2.17 событие (event): Возникновение или изменение ряда конкретных обстоятельств. Примечание 1 Событие может иметь одно или несколько происхождений и может иметь несколько причин. Примечание 2 Событие может заключаться в том, что какое-то явление не имело места. Примечание 3 Иногда событие может рассматриваться как «инцидент» или «несчастный случай». Примечание 4 Событие без последствий (2.18) можно также рассматривать как «случайное избежание», «инцидент», «почти опасное или опасное», «почти произошедшее». [Руководство ИСО 73:2009, определение ] 2.18 последствие (consequence): Результат события (2.17), влияющий на цели. Примечание 1 Событие может привести к ряду последствий. Примечание 2 Последствие может быть определенным или неопределенным, может иметь положительные и отрицательные влияния на цели. Примечание 3 Последствия могут выражаться качественно или количественно. Примечание 4 Первоначальные последствия могут усиливаться за счет эффекта домино. [Руководство ИСО 73:2009, определение ] 2.19 вероятность, возможность (likelihood): Шанс того, что что-то может произойти. Примечание 1 В терминологии менеджмента риска термин «вероятность» или «возможность» означает шанс того, что что-то может произойти, независимо от того, установлено ли это, измерено или определено объективно или субъективно, качественно или количественно, и описывается ли с помощью общих понятий или математически (например, как вероятность или частота за данный период времени). Примечание 2 Английский термин «likelihood» не имеет прямого перевода на некоторые языки: вместо этого часто используется перевод слова «probability». Однако в английском языке термин (probability) часто понимают в узком математическом смысле. Поэтому в терминологии менеджмента риска термин «likelihood» используется с той целью, чтобы придать ему настолько же широкий смысл, какой имеет слово «probability» во многих языках, кроме английского. [Руководство ИСО 73:2009, определение ] 2.20 профиль риска (risk profile): Описание какого-либо набора рисков (2.1). Примечание Такой набор может включать риски, которые относятся ко всей организации, ее части или определенные иным образом. [Руководство ИСО 73:2009, определение ]
10 2.21 анализ риска (risk analysis): Процесс понимания природы риска (2.1) и определения уровня риска (2.23). Примечание 1 Анализ риска обеспечивает основу для оценивания риска (2.24) и решений, касающихся воздействия на риск (2.25). Примечание 2 Анализ риска включает определение степени риска. [Руководство ИСО 73:2009, определение 3.6.1] 2.22 критерии риска (risk criteria): Признаки, в соответствии с которыми оценивают значимость риска (2.1). Примечание 1 Критерии риска основываются на целях организации и внешней (2.10) и внутренней ситуации (контекста) (2.11). Примечание 2 Критерии риска могут быть взяты из стандартов, законов, политик и других требований. [Руководство ИСО 73:2009, определение ] 2.23 уровень риска (level of risk): Величина риска (2.1) или комбинации рисков, выраженная как комбинация последствий (2.18) и их вероятности или возможности (2.19). [Руководство ИСО 73:2009, определение ] 2.24 оценивание риска (risk evaluation): Процесс сравнения результатов анализа риска (2.21) с установленными критериями риска (2.22) для определения, является ли риск (2.1) и/или его величина приемлемыми или допустимыми. Примечание Оценивание риска способствует принятию решения относительно воздействия на риск (2.25). [Руководство ИСО 73:2009, определение 3.7.1] 2.25 воздействие на риск (risk treatment): Процесс модификации (изменения) риска (2.1). Примечание 1 Воздействие на риск может включать: - избежание риска посредством решения не начинать или не продолжать деятельность, в результате которой возникает риск; - принятие или увеличение риска для использования благоприятной возможности; - устранение источника риска (2.16); - изменение вероятности или возможности (2.19); - изменение последствий (2.18); - разделение риска с другой стороной или сторонами (включая контракты и финансирование риска); - осознанное удержание риска. Примечание 2 Воздействие на риск, имеющий отрицательные последствия, иногда называют «смягчением риска», «устранением риска», «предупреждением риска» и «снижением риска». Примечание 3 Воздействие на риск может создавать новые риски или изменять существующие риски. [Руководство ИСО 73:2009, определение 3.8.1] 2.26 контроль риска (control): Мера, которая модифицирует (изменяет) риск (2.1). Примечание 1 Контроль риска может включать любой процесс, политику, методику, практику или другие действия, модифицирующие риск. Примечание 2 Контроль риска может не всегда приводить к желаемому или ожидаемому эффекту. [Руководство ИСО 73:2009, определение ]
11 2.27 остаточный риск (residual risk): Риск (2.1), сохраняющийся после воздействия на риск (2.25). Примечание Примечание 1 Остаточный риск может содержать в себе неидентифицированный риск. 2 Остаточный риск может быть также известен как «удержанный риск». [Руководство ИСО 73:2009, определение ] 2.28 мониторинг (monitoring): Постоянная проверка, надзор, критическое наблюдение или определение состояния, с целью идентифицировать изменения относительно требуемого или ожидаемого уровня. Примечание Мониторинг можно применять к инфраструктуре менеджмента риска (2.3), процессу менеджмента риска (2.8), риску (2.1) или контролю риска (2.26). [Руководство ИСО 73:2009, определение ] 2.29 пересмотр (review): Деятельность, предпринимаемая для определения пригодности, адекватности и результативности предмета рассмотрения для достижения установленных целей. Примечание Процедуры пересмотра можно применять к структуре менеджмента риска (2.3), про-, цессу менеджмента риска (2.8), риску (2.1) или контролю риска (2.26). [Руководство ИСО 73:2009, определение ] 3 Принципы В целях эффективного управления риском организация должна на всех уровнях соответствовать нижеуказанным принципам: a) риск-менеджмент создает и защищает ценность 1 ". Риск-менеджмент наглядно способствует достижению целей и улучшению деятельности, например, обеспечения здоровья и безопасности людей, защиты, соответствия законодательным и другим обязательным требованиям, общественного признания, защиты окружающей среды, качества продукции, менеджмента проектов, результативности функций, руководства и репутации; b) риск-менеджмент является неотъемлемой частью всех организационных процессов. Риск-менеджмент не является обособленной деятельностью, которая отделена от основной деятельности и процессов в организации. Риск-менеджмент - это часть обязательств руководства и неотъемлемая часть всех организационных процессов, включая стратегическое планирование и все процессы управления проектами и изменениями; c) риск-менеджмент является частью процесса принятия решений. Риск-менеджмент помогает лицам, принимающим решения, делать обоснованный выбор, определять приоритетность действий и проводить различия между альтернативными направлениями действий; d) риск-менеджмент явным образом связан с неопределенностью. Риск-менеджмент четко учитывает неопределенность, характер этой неопределенности и как с ней обращаться; e) риск-менеджмент является систематическим, структурированным и своевременным. Систематический, регулярный и структурированный подход к риск-менеджменту способствует эффективности и устойчивым, сравнимым и надежным результатам; f) риск-менеджмент основывается на наилучшей доступной информации. Входные данные для процесса риск-менеджмента основываются на таких источниках информации, как исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы и экспертные оценки. Однако лица, принимающие решения, должны отдавать себе отчет и принимать во внимание любые ограничения данных или используемого моделирования или возможности расхождений мнений среди экспертов. д) риск-менеджмент является адаптируемым. Риск-менеджмент должен соответствовать внешней и внутренней ситуации (контекста) и профилю риска; 1) В контексте корпоративного и финансового риск-менеджмента общепринятый перевод термина «стоимость».
12 h) риск-менеджмент учитывает человеческие и культурные факторы. Риск-менеджмент признает возможности, восприятия и намерения людей за пределами и внутри организации, которые могут способствовать или затруднять достижение целей организации; i) риск-менеджмент является прозрачным и учитывает интересы заинтересованных сторон. Соответствующее и своевременное вовлечение заинтересованных сторон и, в частности, лиц, принимающих решения, на всех уровнях организации гарантирует, что риск-менеджмент остается на надлежащем уровне и отвечает современным требованиям. Это позволяет заинтересованным сторонам быть должным образом представленными и быть уверенными в том, что их мнение принимается во внимание в процессе установления критериев риска; j) риск-менеджмент является динамичным, итеративным и реагирующим на изменения; Риск-менеджмент непрерывно распознает изменения и реагирует на них. Как только происходит внешнее или внутреннее событие, контекст или знания изменяются, осуществляются мониторинг и пересмотр рисков, новые риски появляются, некоторые изменяются, другие исчезают; к) риск-менеджмент способствует постоянному улучшению организации. Организации должны разрабатывать и применять стратегии повышения совершенства риск-менеджмента одновременно с другими своими аспектами. В приложении А приведены дальнейшие рекомендации организациям, желающим управлять рисками более эффективно. 4 Инфраструктура 4.1 Общие положения Успех риск-менеджмента зависит от эффективности инфраструктуры менеджмента, предоставляющей базовые основы и мероприятия, которые должны использоваться во всей организации на всех уровнях. Инфраструктура способствует эффективному управлению рисками посредством применения процесса риск-менеджмента (см. раздел 5) на различных уровнях и в рамках конкретной ситуации (контекста) в организации. Инфраструктура гарантирует, что информация о риске, полученная из процесса риск-менеджмента, должным образом регистрируется и используется в качестве основы для принятия решения и отчетности на всех соответствующих уровнях организации. В настоящем разделе представлены необходимые элементы инфраструктуры риск-менеджмента и способ, обеспечивающий их взаимосвязь итеративным образом, как показано на рисунке 2. Полномочие и обязательство (4.2) Схема инфраструктуры менеджмента риска (4.3) Понимание организации и ее контекста (4.3.1) Определение политики менеджмента риска (4.3.2) Отчетность (4.3.3) Интеграция в организационные процессы (4.3.4) Ресурсы (4.3.5) Установление внутренних механизмов обмена информацией и отчетности (4.3.6) Установление внешних механизмов обмена информацией и отчетности (4.3.7) Постоянное улучшение инфраструктуры (4.6) Применение менеджмента риска (4.4) Применение инфраструктуры менеджмента риска (4.4.1) Применение процесса менеджмента риска (4.4.2) Мониторинг и анализ инфраструктуры (4.5) Рисунок 2 Взаимосвязь между элементами инфраструктуры риск-менеджмента
13 Настоящая инфраструктура предназначена не для того, чтобы предписать систему управления, а для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента. Таким образом, организации должны адаптировать элементы инфраструктуры для своих конкретных потребностей. Если практики и процессы менеджмента, существующие в организации, включают элементы риск-менеджмента, или если организация уже приняла формально процесс риск-менеджмента для отдельных рисков или ситуаций, то их необходимо критически анализировать и оценивать на соответствие настоящему стандарту, включая признаки, содержащиеся в приложении А, чтобы определить их адекватность и эффективность. 4.2 Полномочия и обязательства Внедрение риск-менеджмента и обеспечение его постоянной эффективности требует принятия со стороны руководства организации четко сформулированных и последовательно выполняемых обязательств по реализации плана управления на всех уровнях, а также подробного стратегического планирования для выполнения этих обязательств. Руководство должно: - определять и поддерживать политику менеджмента риска; - гарантировать согласованность культуры организации и ее политики менеджмента риска; - определять критерии эффективности риск-менеджмента, которые должны соотноситься с критериями эффективности организации в целом; - согласовывать цели риск-менеджмента с целями и стратегиями организации; - обеспечивать правовое и регулятивное соответствие; - устанавливать ответственность и обязательства на соответствующих уровнях в масштабах организации; - обеспечивать распределение необходимых ресурсов для риск-менеджмента; - предоставлять информацию своим заинтересованным сторонам о выгодах риск-менеджмента и - обеспечивать, чтобы инфраструктура риск-менеджмента продолжала оставаться соответствующей. 4.3 Разработка инфраструктуры менеджмента риска Понимание организации и ее ситуации (контекста) Прежде чем приступить к разработке и внедрению инфраструктуры риск-менеджмента, важно оценить и понять как внешнюю, так и внутреннюю ситуацию (контекст) в организации, т. к. она может значительным образом влиять на разработку инфраструктуры. Оценивание внешней ситуации (контекста) организации может включать, но не ограничиваться этим: a) социальную и культурную, политическую, правовую, регулирующую, финансовую, технологическую, экономическую, природную и рыночную среду на международном, национальном, региональном или местном уровнях; b) основные движущие силы и направления, воздействующие на цели организации; c) взаимосвязи с внешними заинтересованными сторонами, их ценностями и восприятием. Оценивание внутренней ситуации (контекста) организации может включать, но не ограничиваться этим: - управление, организационную структуру, роли и обязанности; - политики, цели и стратегии, необходимые для достижения этих целей; - потенциальные возможности, понимаемые как ресурсы и знания (например, капитал, время, люди, процессы, системы и технологии); - информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные); - взаимосвязи с внутренними заинтересованными сторонами, их ценностями и восприятием; - культуру организации; - стандарты, руководства и модели, принятые организацией, и - форму и содержание контрактных отношений Установление политики менеджмента риска Политика менеджмента рисков должна четко устанавливать цели организации и обязательства в отношении риск-менеджмента и, как правило, закреплять: - обоснование потребности организации в менеджменте риска; - связи между целями и политиками организации и политикой менеджмента риска;
14 - подотчетность и ответственность в отношении риск-менеджмента; - способы разрешения конфликтов интересов; - обязательство по обеспечению доступа к необходимым ресурсам для содействия лицам, подотчетным и ответственным за риск-менеджмент; - способ, которым будут измерять и отчитываться об эффективности деятельности по риск-менеджменту; - обязательство пересматривать и улучшать политику и инфраструктуру риск-менеджмента периодически, а также в случае наступления событий или изменения обстоятельств. Политика риск-менеджмента должна быть правильно донесена до заинтересованных сторон Ответственность Организация должна обеспечивать наличие ответственности, полномочий и соответствующей компетенции для риск-менеджмента, включая внедрение и поддержку процесса риск-менеджмента и обеспечение адекватности, результативности и эффективности любого контроля. Этому должно способствовать: - установление владельцев рисков, ответственных и уполномоченных управлять рисками; - определение лиц, ответственных за разработку, внедрение и поддержание инфраструктуры риск-менеджмента; - установление других видов ответственности работников на всех уровнях в организации за процесс риск-менеджмента; - установление процессов измерения результативности и внешних и/или внутренних процессов отчетности и ее доведения до сведения руководства; - обеспечение соответствующих уровней признания Интеграция в организационные процессы Риск-менеджмент необходимо включать во все практики и процессы организации таким образом, чтобы он осуществлялся адекватно, эффективно и результативно. Процесс риск-менеджмента должен стать частью этих организационных процессов и не должен отделяться от них. В частности, риск-менеджмент должен быть встроен в разработку политики, в процессы стратегического и бизнес-планирования, включая корректировку планов, а также в процесс управления изменениями. План менеджмента риска должен быть разработан в масштабах организации для того, чтобы гарантировать применение политики риск-менеджмента и включение риск-менеджмента во все практики и процессы организации. План менеджмента риска может быть интегрирован в другие планы организации, например в стратегический план Ресурсы Организация должна предоставить ресурсы, достаточные для целей риск-менеджмента. Необходимо учитывать: - людей, навыки, опыт и компетентность; - ресурсы, необходимые для каждого этапа процесса риск-менеджмента; - процессы, методы и инструменты организации, которые необходимо использовать для риск-менеджмента; - документированные процессы и процедуры; - системы управления информацией и знаниями; - программы обучения Установление внутренних механизмов обмена информацией и отчетности Организация должна установить механизмы внутреннего обмена информацией с тем, чтобы поддерживать и способствовать обеспечению распределения ответственности и полномочий по риск-менеджменту. Эти механизмы должны гарантировать, что: - информация о ключевых элементах инфраструктуры риск-менеджмента и о любых последующих модификациях предоставляется надлежащим образом; - имеется в наличии соответствующая внутренняя отчетность об инфраструктуре, ее эффективности и результатах; - на соответствующих уровнях и своевременно предоставляется соответствующая информация, полученная на основе применения риск-менеджмента; - используются процессы консультирования с внутренними заинтересованными сторонами. Эти механизмы должны, где это целесообразно, включать процессы по сбору информации о риске из различных источников и могут потребовать проверки источников информации.
15 4.3.7 Установление внешних механизмов обмена информацией и отчетности Организация должна разработать и применить план обмена информацией с внешними заинтересованными сторонами. Он должен включать: - вовлечение соответствующих заинтересованных сторон и обеспечение эффективного обмена информацией; - внешнюю отчетность для соответствия правовым, регулятивным и руководящим требованиям; - обеспечение обратной связи и отчетности об обмене информацией и консультациях; - использование обмена информацией для достижения доверия к организации; - обмен информацией с заинтересованными сторонами в случае кризиса или непредвиденных обстоятельств. Эти механизмы должны, где это целесообразно, включать процессы сбора информации о риске из различных источников и могут потребовать проверки источников такой информации. 4.4 Внедрение менеджмента риска Внедрение инфраструктуры менеджмента риска При внедрении организационной инфраструктуры менеджмента риска организация должна: - определить соответствующие сроки и стратегию по применению инфраструктуры; - применять политику и процесс риск-менеджмента к организационным процессам; - соответствовать законодательным и другим регулятивным требованиям; - гарантировать, что принятие решения, включая разработку и установление целей, согласованы с результатами процессов риск-менеджмента; - проводить информационные и обучающие сессии; - обмениваться информацией и консультироваться с заинтересованными сторонами с целью обеспечения того, что инфраструктура риск-менеджмента остается на должном уровне Внедрение процесса менеджмента риска Внедряя риск-менеджмент, необходимо обеспечить выполнение процесса риск-менеджмента, приведенного в разделе 5, в соответствии с планом менеджмента риска на всех должных функциональных уровнях организации как часть ее деятельности и процессов. 4.5 Мониторинг и пересмотр инфраструктуры менеджмента риска Чтобы гарантировать, что риск-менеджмент является эффективным и продолжает поддерживать деятельность организации, организация должна: - оценивать качество риск-менеджмента с помощью индикаторов, которые периодически пересматриваются для сохранения актуальности; - периодически сравнивать продвижение с планом по менеджменту риска и определять отклонения от него; - периодически пересматривать инфраструктуру, политику и план менеджмента риска для обеспечения их адекватности в рамках внутреннего и внешнего контекста организации; - предоставлять информацию о рисках, об исполнении плана по менеджменту риска и о том, насколько хорошо организация следует политике управления рисками; - оценивать эффективность инфраструктуры риск-менеджмента. 4.6 Постоянное улучшение инфраструктуры Основываясь на результатах мониторинга и пересмотра, следует принимать решения в отношении улучшения инфраструктуры риск-менеджмента, политики и плана по менеджменту риска. Эти решения должны приводить к улучшениям риск-менеджмента и развитию его культуры в организации. 5 Процесс 5.1 Общие положения Процесс риск-менеджмента должен быть: - неотъемлемой частью менеджмента; - частью культуры и практики организации; - соответствовать бизнес-процессам организации. Он включает деятельность, описанную в Процесс риск-менеджмента показан на рисун ке 3.
16 Рисунок 3 Процесс риск-менеджмента 5.2 Обмен информацией и консультирование Обмен информацией и консультирование с внешними и внутренними заинтересованными сторонами осуществляются на всех этапах процесса риск-менеджмента. Поэтому планы обмена информацией и консультирования должны быть разработаны на раннем этапе. Они должны рассматривать вопросы, касающиеся самого риска, его причин, его последствий (если они известны) и мер, предпринимаемых для воздействия на него. Должен осуществляться эффективный внешний и внутренний обмен информацией и консультирование, с тем чтобы гарантировать, что подотчетные лица, ответственные за процесс риск-менеджмента, и заинтересованные стороны представляют себе основу, на базе которой принимаются решения, и осознают причины того, почему требуются конкретные действия. Подход на основе создания консультативной группы может: - помочь должным образом установить ситуацию (контекст); - гарантировать, что интересы заинтересованных сторон осознаются и рассматриваются; - способствовать соответствующей идентификации рисков; - объединять вместе различные области экспертизы для анализа рисков; - гарантировать рассмотрение должным образом различных точек зрения при определении критериев риска и при оценивании рисков; - обеспечивать одобрение и поддержку плана воздействия на риск; - совершенствовать соответствующее управление изменениями во время процесса риск-менеджмента; - разрабатывать соответствующий внешний и внутренний обмен информацией и план консультирования. Обмен информацией и консультирование с заинтересованными сторонами являются важными аспектами, потому что с их помощью делают выводы о риске, основанные на их восприятиях риска. Эти восприятия могут отличаться вследствие различий в ценностях, потребностях, предположениях, понятиях и опасениях заинтересованных сторон. Поскольку их точки зрения могут иметь существенное влияние на принимаемые решения, то восприятия заинтересованных сторон необходимо идентифицировать, регистрировать, записывать и учитывать в процессе принятия решений.
17 Обмен информацией и консультирование должны способствовать обмену правдивой, существенной, точной и понятной информацией с учетом аспектов конфиденциальности и личной неприкосновенности. 5.3 Определение ситуации Общие положения Посредством установления ситуации (контекста), организация формулирует свои цели, определяет внешние и внутренние параметры, которые следует принимать во внимание при управлении рисками, и определяет область применения и критерии риска для оставшегося процесса. Поскольку многие эти параметры аналогичны тем, которые рассматриваются при разработке инфраструктуры риск-менеджмента (см), в этом случае при установлении ситуации (контекста) для процесса риск-менеджмента их следует рассматривать более подробно и, в частности, как они связаны с областью применения конкретного процесса риск-менеджмента Установление внешней ситуации Внешняя ситуация (контекст) это внешняя среда, в которой организация стремится к достижению своих целей. Понимание внешней ситуации (контекста) является важным для обеспечения того, что цели и опасения внешних заинтересованных сторон рассматриваются при разработке критериев риска. Это основывается на ситуации (контексте) во всей организации, но с конкретными подробностями правовых и регулятивных требований, восприятия заинтересованных сторон и других аспектов рисков, специфических для области применения конкретного процесса риск-менеджмента. Внешняя ситуация (контекст) организации может включать, но не ограничиваться этим: a) социальную и культурную, политическую, правовую, регулирующую, финансовую, технологическую, экономическую, природную и рыночную среду на международном, национальном, региональном или местном уровнях; b) основные движущие силы и направления, воздействующие на цели организации; c) взаимосвязи с внешними заинтересованными сторонами, их ценности и восприятие Установление внутренней ситуации Внутренняя ситуация (контекст) это внутренняя среда, в которой организация стремится к достижению своих целей. Процесс риск-менеджмента должен соответствовать культуре, процессам, структуре и стратегии организации. Внутренняя ситуация (контекст) это что-либо в масштабе организации, что может влиять на то, каким образом организация будет осуществлять риск-менеджмент. Внутреннюю ситуацию (контекст) необходимо определить в силу того, что: a) риск-менеджмент имеет место в контексте целей организации; b) цели и критерии конкретного проекта, процесса или деятельности следует рассматривать в свете целей организации в целом; c) некоторые организации затрудняются распознать возможности достижения своих стратегических, проектных или коммерческих целей, и это влияет на текущие обязательства, возможности, доверие и ценность 2 " организации. Необходимо понимать внутреннюю ситуацию (контекст). Она может включать, но не ограничиваться этим, следующие составляющие: - управление, организационную структуру, роли и обязанности; - политики, цели и стратегии, необходимые для достижения этих целей; - потенциальные возможности, понимаемые как ресурсы и знания (например, капитал, время, люди, процессы, системы и технологии); - информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные); - взаимосвязи с внутренними заинтересованными сторонами, их ценности и восприятия; - культуру организации; - стандарты, руководства и модели, принятые организацией; - форму и содержание контрактных отношений. 2) В контексте корпоративного и финансового риск-менеджмента для данного термина наиболее подходит понятие «стоимость».
18 5.3.4 Установление ситуации процесса менеджмента риска Необходимо устанавливать цели, стратегии, область применения и параметры деятельности организации или тех ее частей, где применяется процесс риск-менеджмента. Риск-менеджмент следует проводить с полным рассмотрением необходимости обоснования ресурсов, используемых при его осуществлении. Следует также определять требуемые ресурсы, ответственность и полномочия, а также порядок учета. Ситуация (контекст) процесса риск-менеджмента изменяется в зависимости от потребностей организации. Она может включать, но не ограничиваться этим: - определение задач и целей деятельности по риск-менеджменту; - определение ответственностей за процесс риск-менеджмента и в рамках этого процесса; - определение области применения, а также глубины и широты деятельности по риск-менеджменту, которую необходимо осуществлять, включая особые включения и исключения; - определение деятельности, процесса, функции, проекта, продукта, услуги или активов с учетом времени и расположения; - определение взаимосвязей между конкретным проектом, процессом или деятельностью и другими проектами, процессами или видами деятельности организации; - определение методологий оценки риска; - определение способа оценки производительности и эффективности риск-менеджмента; - определение и указание решений, которые необходимо принять; - идентификацию, охват или объемы необходимого обучения, их уровни и цели, ресурсы, требуемые для такого обучения. Внимание, уделяемое этим и другим соответствующим факторам, должно гарантировать, что принятый подход риск-менеджмента соответствует обстоятельствам, организации и рискам, воздействующим на достижение ее целей Определение критериев риска Организация должна определить критерии, которые необходимо использовать для оценки значимости риска. Критерии должны отражать ценности, цели и ресурсы организации. Некоторые критерии могут основываться или возникать из правовых и регулятивных требований, а также других требований, которые взяла на себя организация. Критерии риска должны быть согласованы с политикой управления рисками организации (см), должны быть определены в начале каждого процесса риск-менеджмента и должны постоянно рассматриваться. При определении критериев риска факторы, которые необходимо рассматривать, должны включать следующее: - характер и типы причин и последствий, которые могут возникать, и то, как их следует измерять; - как следует определять возможность; - временные рамки возможности и/или последствия(ий); - как должен быть определен уровень риска; - точки зрения заинтересованных сторон; - уровень, на котором риск становится приемлемым или допустимым; - принимать ли во внимание множественные риски, и если да, то каким образом и какие комбинации следует рассматривать. 5.4 Оценка риска Общие положения Оценка риска это полный процесс идентификации риска, анализа риска и оценивания риска. Примечание Стандарт ИСО/МЭК предлагает руководство по методам оценки риска Идентификация риска Организация должна идентифицировать источники риска, области воздействия, события (включая изменения в обстоятельствах) и их причины, а также их потенциальные последствия. Цель данного этапа заключается в составлении всеобъемлющего перечня рисков, основанных на тех событиях, которые могут создавать, повышать, предотвращать, снижать, ускорять или задерживать достижение целей. Важно идентифицировать риски, связанные с решением не использовать благоприятные возможности. Всеобъемлющая идентификация является критически важной, потому что риск, который не был идентифицирован на данном этапе, не будет включен в будущий анализ.
19 Идентификация должна включать риски, независимо от того, контролирует ли организация их источник или нет, даже если их источник или причина могут быть неочевидными. Идентификация рисков должна включать рассмотрение эффекта домино, включая эффект каскада и кумулятивные эффекты. Также необходимо рассматривать широкий спектр последствий, даже если источник риска может быть не очевиден. Наряду с идентификацией, что может произойти, необходимо рассматривать возможные причины и сценарии, которые показывают, какие могут наступить последствия. Все существенные причины и следствия должны быть рассмотрены. Организация должна применять инструменты и методы, которые соответствуют ее целям и возможностям, а также рискам, с которыми она сталкивается. На этапе идентификации рисков большое значение имеет соответствующая и актуализированная информация. Это по возможности должно включать соответствующую исходную информацию. Для идентификации рисков необходимо привлекать людей, обладающих соответствующими знаниями Анализ риска Анализ риска включает дальнейшее осознание риска. Анализ риска обеспечивает входную информацию для оценивания риска и решений относительно необходимости дальнейшего воздействия на эти риски, а также наиболее подходящих стратегий и методов воздействия. Анализ риска может также предоставлять входную информацию для принятия решений, когда необходим выбор, и наличие альтернативных вариантов, включающих различные типы и уровни риска. Анализ риска включает рассмотрение причин и источников риска, их положительных и отрицательных последствий и возможности того, что эти последствия могут произойти. Факторы, влияющие на последствия и возможность, должны быть идентифицированы. Риск анализируют посредством определения последствий и возможности, а также других характеристик риска. Событие может иметь множественные последствия и может воздействовать на различные цели. Необходимо также принимать во внимание существующие средства управления, их результативность и эффективность. Способ, которым выражают последствия и возможности, и способ их комбинирования для определения уровня риска должны отражать тип риска, имеющуюся информацию и цель, для которой результат оценки риска должен быть использован. Все это должно согласовываться с критериями риска. Также важно рассматривать взаимозависимость различных рисков и их источников. При анализе необходимо рассматривать достоверность в определении уровня риска и его чувствительность к предварительным условиям и допущениям и эффективно обмениваться информацией с теми, кто принимает решения, и, в случае необходимости, с другими заинтересованным сторонами. Такие факторы, как наличие разброса мнений экспертов, неопределенность, доступность, качество, количество, соответствие текущей информации или ограничения моделирования, необходимо констатировать и по возможности обращать на них особое внимание. Анализ риска может осуществляться с различной степенью подробности, в зависимости от риска, цели анализа и доступной информации, данных и имеющихся ресурсов. Анализ может быть качественным, полуколичественным или количественным, либо быть их комбинацией в зависимости от обстоятельств. Последствия и вероятность (возможность) могут быть определены посредством моделирования исходов событий или ряда событий, или экстраполяцией данных экспериментальных исследований или имеющихся данных. Последствия могут быть выражены в виде материальных или нематериальных воздействий. В некоторых случаях требуется более одного численного значения или описывающий параметр для указания последствий и степени их осуществимости для различных моментов времени, местоположения, групп или ситуаций Оценивание риска Цель оценивания риска заключается в том, чтобы способствовать принятию решений, основанных на исходных результатах анализа риска, относительно необходимости воздействия на риск и установления приоритета воздействия на риск. Оценивание риска включает сравнение уровня риска, выявленного во время процесса анализа, с установленными критериями риска во время рассмотрения ситуации (контекста). Рассмотрение необходимости воздействия на риск должно основываться на этом сравнении. Решения должны более широко учитывать ситуацию (контекст) риска и учитывать толерантность к риску не только организации, извлекающей из риска пользу, но и других сторон. Решения должны приниматься в соответствии с правовыми, регулятивными и другими требованиями.
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ РИСКА ПРИНЦИПЫ И РУКОВОДСТВО Risk management. Principles and guidelines ГОСТ Р ИСО 31000-2010 Утвержден и введен в действие Приказом Федерального агентства
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РЕСПУБЛИКИ БЕЛАРУСЬ СТБ ISO 31000/ПР_1 МЕНЕДЖМЕНТ РИСКА Принципы и руководящие указания МЕНЕДЖМЕНТ РЫЗЫКI Прынцыпы i кiруючыя ўказаннi (ISO 31000:2009, IDT) Настоящий проект стандарта
Russian translation of Risk management Vocabulary ISO GUIDE 73:2009 by the Russian Risk Management Society ()- HSE Moscow 1 Термины, относящиеся к риску 1.1 риск (risk): влияние неопределенности на цели
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ ш НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТР 54871-2011 Проектный менеджмент ТРЕБОВАНИЯ К УПРАВЛЕНИЮ ПРОГРАММОЙ Издание официальное
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ Н А Ц И О Н А Л Ь Н Ы Й С Т А Н Д А Р Т Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И ГОСТ Р 54869 2011 Проектный менеджмент ТРЕБОВАНИЯ К УПРАВЛЕНИЮ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р 51901.2 2005 (МЭК 60300-1:2003) Менеджмент риска СИСТЕМЫ МЕНЕДЖМЕНТА НАДЕЖНОСТИ ІЕС 60300-1:2003
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р ИСО 10015 2007 Менеджмент организации РУКОВОДЯЩИЕ УКАЗАНИЯ ПО ОБУЧЕНИЮ ISO 10015:1999
ГОСТ Р ИСО 17666-2006. Менеджмент риска. Космические системы ГОСТ Р ИСО 17666-2006 Группа Т59 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ Менеджмент риска КОСМИЧЕСКИЕ СИСТЕМЫ Risk management. Space systems
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ш НАЦИОНАЛЬНЫЙ ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТР 54869-2011 Проектный менеджмент ТРЕБОВАНИЯ К УПРАВЛЕНИЮ ПРОЕКТОМ Издание официальное
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ Н А Ц И О Н А Л Ь Н Ы Й С Т А Н Д А Р Т Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И ГОСТ Р 54871 2011 Проектный менеджмент ТРЕБОВАНИЯ К УПРАВЛЕНИЮ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ Н А Ц И О Н А Л Ь Н Ы Й С Т А Н Д А Р Т Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И ГОСТ Р 54870 2011 Проектный менеджмент ТРЕБОВАНИЯ К УПРАВЛЕНИЮ
Стандарты менеджмента и результативности в области охраны окружающей среды, здоровья и промышленной безопасности Стандарты менеджмента Стандарт менеджмента 1: Лидерство и ответственность. В нашей компании
Предисловие 1. Разработана: Центром менеджмента качества образования УОКОД 2. Исполнители: Руководитель ЦМКО УОКОД Зам. руководителя ЦМКО УОКОД Специалист ЦМКО УОКОД М.С. Магомедова Ю.В. Быкова В.А. Соловьева
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГО С ТР 54869-2011 Проектный менеджмент ТРЕБОВАНИЯ К УПРАВЛЕНИЮ ПРОЕКТОМ Издание официальное
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ ПНСТ1 5 1-2016 УПРАВЛЕНИЕ УСТОЙЧИВЫМ РАЗВИТИЕМ ОРГАНИЗАЦИЙ Основа для оценки в соответствии с ГОСТ
ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГО С Т Р 55.0.00 2014 УПРАВЛЕНИЕ АКТИВАМИ Национальная система стандартов Основные положения Издание
Современные тенденции развития стандартов ISO на системы менеджмента Докладчик Жданкина Ирина Зиновьевна Генеральный директор АНО «СЦ Связь-сертификат», главный эксперт по сертификации систем менеджмента
Организация системы управления рисками в Проекте федерального закона «О федеральном, региональном и муниципальном контроле в Российской Федерации» Эдуард Чуркин, член межведомственной рабочей группы по
ГОСТ Р 51897-2002 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ РИСКА Термины и определения ГОССТАНДАРТ РОССИИ Москва Предисловие 1 РАЗРАБОТАН И ВНЕСЕН Техническим комитетом по стандартизации
ГОСТ Р 51897-2002 УДК 006.1:006.354 Т00 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ОКС 01.040.03 03.100.50 ОКСТУ 0090 МЕНЕДЖМЕНТ РИСКА Термины и определения Risk managemt. Terms and definitions Дата
Республика Молдова МИНИСТЕРСТВО ФИНАНСОВ ПРИКАЗ Nr. 113 от 12.10.2012 об утверждении Национальных стандартов внутреннего аудита В соответствии с положениями ст. 29, лит. b) Закона 229 от 23 сентября 2010
Утверждено Решением Совета директоров ПАО «Московская объединенная электросетевая компания» от 29 апреля 2016 года (Протокол 287 от 30 апреля 2016 года) Политика управления рисками ПАО «МОЭСК» (новая редакция)
НЕПРЕРЫВНОЕ СОВЕРШЕНСТВОВАНИЕ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИЙ 27-29 октября 2015 г. НИТУ «МИСиС», г. Москва КАСТОРСКАЯ Любовь Владимировна ведущий специалист ЗАО «Центр «Приоритет» «Способность управлять риском
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТР 5 7 5 4 5-2017/ ISO/IEC TS 17021-5: 2014 Оценка соответствия ТРЕБОВАНИЯ К ОРГАНАМ, ПРОВОДЯЩИМ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ (Й т Т Л с т а н д а р т V J РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТР 55269-2012 СИСТЕМЫ МЕНЕДЖМЕНТА ОРГАНИЗАЦИЙ Рекомендации по построению
Приложение 5 УТВЕРЖДЕНА решением Совета директоров ОАО «ТрансКонтейнер», состоявшегося 18 декабря 2013 года (протокол 6) Председатель Совета директоров Ж.Б. Рымжанова Концепция корпоративной системы управления
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ГОСТ Р ИСО/МЭК 17030-2007 ФЕДЕРАЦИИ ОБЩИЕ ТРЕБОВАНИЯ К ЗНАКАМ СООТВЕТСТВИЯ ПРИ ОЦЕНКЕ, ПРОВОДИМОЙ ТРЕТЬЕЙ
РЕЗУЛЬТАТЫ АНАЛИЗА ПОВТОРЯЕМОСТИ ТРЕБОВАНИЙ ISO 9001:2008 В ISO 9001:2015 ISO 9001:2008 ISO 9001:2015 Приложение 8. 4 Система менеджмента качества 4.1 Общие требования 4.1 Общие требования Организация
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТР 51901. 7-2017/ ISO/TR 31004:2013 МЕНЕДЖМЕНТ РИСКА Руководство по внедрению ИСО 31000 (ISO/TR
Анализ состояния внешней и внутренней среды макропроцессов университета для формирования политики менеджмента рисками Доклад направлен на апробацию основных положений новой методической инструкции МИ-20
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ш НАЦИОНАЛЬНЫМ ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТР 54870-2011 Проектный менеджмент ТРЕБОВАНИЯ К УПРАВЛЕНИЮ ПОРТФЕЛЕМ ПРОЕКТОВ Издание официальное
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р 52807-2007 РУКОВОДСТВО ПО ОЦЕНКЕ КОМПЕТЕНТНОСТИ МЕНЕДЖЕРОВ ПРОЕКТОВ Москва Стандартинформ
«УТВЕРЖДЕНА» решением Совета директоров Акционерного общества «Национальная компания «Қазақстан темір жолы» от «19» октября 2009 г. протокол 6 «ОДОБРЕНА» решением Комитета по рискам Акционерного общества
УТВЕРЖДЕНА решением совета директоров акционерного общества «КазТрансОйл» Протокол 3 от 1 марта 2011 г. ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ АО «КАЗТРАНСОЙЛ» г. Астана 2011 год 1. Общие положения 1. Деятельность
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТР 54870-2011 Проектный менеджмент ТРЕБОВАНИЯ К УПРАВЛЕНИЮ ПОРТФЕЛЕМ ПРОЕКТОВ Издание официальное
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ П О РЕКОМЕНДАЦИИ СТАНДАРТИЗАЦИИ Р 5 0.1.0 9 3-2014 Менеджмент риска ПРИНЦИПЫ ОЦЕНКИ ЭФФЕКТИВНОСТИ ВОЗДЕЙСТВИЙ НА РИСК Издание официальное
РЕЗУЛЬТАТЫ АНАЛИЗА ПОВТОРЯЕМОСТИ ТРЕБОВАНИЙ ISO 14001:2004 В ISO 14001:2015 Приложение 9. ISO 14001:2008 ISO 14001:2015 4. Требования к системе экологического менеджмента 4.1 Общие требования 4.1 Общие
BUSINESS ASSURANCE ISO 14001:2015 Обзор основных изменений 1 SAFER, SMARTER, GREENER Содержание Основные направления эволюции стандарта ISO 14001 Унифицированная структура верхнего уровня Новые и изменённые
РУКОВОДЯЩИЕ УКАЗАНИЯ ПО ОСУЩЕСТВЛЕНИЮ ЭКОЛОГИЧЕСКОГО АУДИТА Общие принципы Киев ГОССТАНДАРТ УКРАИНЫ 1997 ПРЕДИСЛОВИЕ ДСТУ ISO 14010-97 1 РАЗРАБОТАН И ВНЕСЕН Техническим комитетом по стандартизации "Управление
Новая версия стандарта ISO 14001. Обзор основных изменений Долгова О.В. главный эксперт СДС «Военный Регистр», эксперт-консультант ООО «Консалт-ОПК» ISO 14001 первый в мире международный экологический
АНКЕТА-ВОПРОСНИК Цели: 1 Предварительная оценка соответствия существующей системы менеджмента качества (СМК) Организации требованиям -2015. 2 Определение готовности Организации к проведению сертификации
Данная статья является продолжением материала, опубликованного в выпуске журнала 1,2015. Напоминаем читателям, что в статье дается подробный, детальный, экспертный анализ различий ныне действующего стандарта
Стр1 из 5 ПОЛИТИКА В ОБЛАСТИ ИНТЕГРИРОВАННОЙ СИСТЕМЫ МЕНЕДЖМЕНТААО «МЕДИЦИНСКИЙ УНИВЕРСИТЕТ АСТАНА» АО «Медицинский университет Астана», выступая в качестве крупного образовательного, научного и медицинского
RESTRICTED Системы управления авиационной безопасностью (СУАБ) Опубликовано с санкции Генерального секретаря Август 2015 года Международная организация гражданской авиации СИСТЕМЫ УПРАВЛЕНИЯ АВИАЦИОННОЙ
[email protected] Московский городской педагогический университет Институт математики, информатики и естественных наук Кафедра прикладной информатики Лабораторная работа 90 Тема: «Изучение требований международных
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ С Т А Н Д А Р Т РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТР 56245 2014 РЕКОМЕНДАЦИИ ПО РАЗРАБОТКЕ СТАНДАРТОВ НА СИСТЕМЫ МЕНЕДЖМЕНТА Издание
Документ [ /22/3/771/ ]: ГОСТ Р ИСО 10006-2005 Системы менеджмента качества. Руководство по менеджменту качества при проектировании ГОСТ Р ИСО 10006-2005 Системы менеджмента качества. Руководство по менеджменту
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ Р 5 0.1.0 8 4-2012 Менеджмент риска РЕЕСТР РИСКА Руководство по созданию реестра риска организации Издание
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р ИСО 22310-2009 Система стандартов по информации, библиотечному и издательскому делу ИНФОРМАЦИЯ
УТВЕРЖДЕНО решением Совета директоров ПАО «ТГК-1» Протокол 2 от «03» июля 2017 г. СОГЛАСОВАНО решением Комитета по аудиту Совета директоров ПАО «ТГК-1» Протокол 5 от «30» мая 2017 г. ПОЛИТИКА УПРАВЛЕНИЯ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р исо 10007-2007 Менеджмент организации РУКОВОДЯЩИЕ УКАЗАНИЯ ПО УПРАВЛЕНИЮ КОНФИГУРАЦИЕЙ
Аудиты системы менеджмента (на основе Руководящих указаний по аудиту систем менеджмента ISO 19011:2011) Технический аудит системы управления безопасностью движения независимая экспертиза, осуществляемая
Приложение 4 к Приказу от 2018 г. Министерство образования и науки Российской Федерации Федеральное государственное бюджетное (МАИ) Документированная процедура ОД-078-СМК-ДП-004 УТВЕРЖДАЮ Проректор по
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ Н А Ц И О Н А Л Ь Н Ы Й С Т А Н Д А Р Т Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И ГОСТ Р ИСО 50001-2012 СИСТЕМЫ ЭНЕРГЕТИЧЕСКОГО МЕНЕДЖМЕНТА
УДК 33 ПРИНЦИПЫ И ПРОЦЕССЫ УПРАВЛЕНИЯ РИСКАМИ НА ОСНОВЕ ТРЕБОВАНИЙ МЕЖДУНАРОДНОГО СТАНДАРТА ИСО 31000 Некрасов А.Г., Атаев К.И. Организации всех типов и размеров сталкиваются с внутренними и внешними факторами
ГОСУДАРСТВЕННЫЙ СТАНДАРТ УЗБЕКИСТАНА Информационная технология МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (ISO/IEC 27005:2011, MOD) Издание официальное Узбекское агентство
«УТВЕРЖДЕНО» Общим собранием членов НП «СтройРегион» Протокол 3 от «22» октября 2009 г. Стандарт НП «СтройРегион» Ответственность руководства при разработке, внедрении и улучшении систем управления качеством
Менеджмент риска
Часть 3
Обмен информацией и консультации
|
Москва |
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»
1 РАЗРАБОТАНЫ Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 «Перспективные производственные технологии, менеджмент и оценка рисков»
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. № 1259-ст
4 ВВЕДЕНЫ ВПЕРВЫЕ
Информация о введении в действие (прекращении действия) настоящих рекомендаций, изменениях и поправках к ним, а также тексты изменений и поправок публикуются в информационном указателе «Национальные стандарты»
Введение
Для любой организации важным направлением развития является внедрение менеджмента риска. В этой связи обмен информацией и консультации по вопросам, связанным с риском, на каждом шаге процесса менеджмента риска являются чрезвычайно важными. Обмен информацией должен привлекать все причастные стороны к открытому обсуждению сложных проблем, связанных с риском, при этом следует обратить особое внимание на консультации и достижение общего понимания по всем вопросам. Процесс обмена информацией не должен стать однонаправленным потоком информации от лица, принимающего решения, к другим причастным сторонам.
Область применения менеджмента риска организации может быть расширена после проведения консультаций и обмена информацией в организации. Это связано с тем, что причастные стороны часто лучше понимают перспективы друг друга и знают, с кем и когда необходимо своевременно проконсультироваться для максимально эффективного решения вопросов и выявления проблем, связанных с риском.
Внешний обмен информацией и консультации со специализированными экспертами так же, как обмен информацией и сотрудничество с другими организациями, необходимо планировать и осуществлять через запланированные промежутки времени. Обмен знаниями и опытом может оказаться чрезвычайно полезным для решения проблем, связанных как с риском, так и с процессом менеджмента риска, что может привести к большей объективности решений по вопросам риска. Кроме того, вовлечение внешнего персонала и причастных сторон в такую деятельность способствует получению доступных секретов деятельности (ноу-хау) и внедрению инновационных методов, связанных с менеджментом риска.
Дата введения - 2010-12-01
1 Область применения
Настоящие рекомендации устанавливают общее руководство по внедрению процесса обмена информацией и консультаций по менеджменту риска в организации. Рекомендации по внедрению менеджмента риска могут быть применены к очень широкому диапазону деятельности, решений или процессов для всех типов организаций: государственных, общественных или частных, для группы или отдельного лица.
Разработка и внедрение результативного и эффективного процесса обмена информацией и консультаций может помочь сократить потери, связанные с риском, и получить дополнительные экономические, социальные, технические, экологические и другие преимущества, а также повысить безопасность деятельности организации.
2 Нормативные ссылки
3.4 заинтересованная сторона (interested party): Лицо или группа лиц, заинтересованные в деятельности или успехе организации.
Примеры - потребители, владельцы, работники организации, поставщики, банкиры, ассоциации, партнеры или общество.
Примечание - Группа может состоять из организации, ее части или нескольких организаций.
3.5 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.
Примеры - компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.
Примечания
1 Распределение обычно бывает упорядоченным.
2 Организация может быть государственной или частной.
3 Настоящее определение действует применительно к стандартам на системы менеджмента качества. Термин «организация» определен по-другому в руководстве ИСО/МЭК 2 .
Примечания
1 Термин «обработка риска» иногда используют для обозначения самих мер.
2 Меры по обработке риска могут включать в себя сокращение, разделение или сохранение риска.
3.8 мониторинг (monitor): Проверка, наблюдение, критический обзор или измерение процесса деятельности, действий или системы через запланированные интервалы времени, направленные на идентификацию отличий между наблюдаемым и требуемым или ожидаемым уровнем выполнения деятельности.
3.9 критерии риска (risk criteria): Правила оценки значимости риска ().
Примечание - Критерии риска могут включать в себя соответствующие затраты и выгоды, законодательные и обязательные требования, социально-экономические и экологические аспекты, озабоченность причастных сторон, приоритеты и другие входные данные, необходимые для оценки.
3.10 процесс менеджмента риска (risk management process): Систематические действия по управлению политикой, процедурами и методами, направленными на обмен информацией, установление целей применения, идентификацию, оценку, обработку, мониторинг и анализ риска ().
4 Обмен информацией и консультации
4.1 Краткий обзор обмена информацией и консультаций
Обмен информацией и консультации являются важными аспектами исследований на всех этапах процесса менеджмента риска. Эти действия должны обеспечить диалог и консультации с причастными сторонами.
Должен быть разработан план обмена информацией с внутренними и внешними причастными сторонами на самой ранней стадии создания процесса. Этот план должен учитывать проблемы, связанные с риском, а также с управлением процессом менеджмента риска.
Эффективные внутренний и внешний обмены информацией должны быть обеспечены лицами, ответственными за реализацию менеджмента риска, и инвесторами, занимающимися капиталовложениями, и обеспечивать одинаковое понимание принятых решений и их причин.
Причастные стороны обычно имеют различные суждения о риске, основанные на их восприятии и понимании. Эти суждения, связанные с риском или проблемами при его обсуждении, могут быть связаны с различиями в оценках, потребностях, предположениях, концепциях и интересах. Так как мнения причастных сторон могут оказать существенное влияние на принятые решения, важно идентифицировать восприятие риска причастными сторонами, зарегистрировать его и учесть при принятии решения.
Консультативный подход к управлению риском полезен для определения целей обеспечения эффективности идентификации источников риска, поиска компромиссных решений, учета различных мнений относительно оценки риска и соответствующего управления изменениями при обработке риска. Вовлечение причастных сторон также позволяет принимать решения по распределению риска. Это позволяет причастным сторонам оценить преимущества таких средств управления и необходимость согласования и поддержки плана обработки риска.
Форма и объем записей об обмене информацией и консультациях зависят от большого количества факторов и в каждом случае уникальны.
4.2 Общие положения
Менеджмент риска является не только технической задачей, поскольку действия и решения, связанные с риском, имеют большое значение в социальном плане. Обмен информацией и консультации являются неотъемлемой частью процесса менеджмента риска и должны периодически подвергаться анализу. Причастные стороны, которые понимают перспективы друг друга и, по возможности, активно участвуют в принятии совместных решений, помогают усовершенствовать менеджмент риска.
Соответствующий обмен информацией и консультации направлены на:
Улучшение осведомленности персонала о риске и процессе менеджмента риска;
Обеспечение учета мнения причастных сторон;
Обеспечение осведомленности всего персонала и причастных сторон о своих ролях, ответственности и полномочиях в области менеджмента риска.
4.3 Определение обмена информацией и консультаций
Понятие «обмен информацией о риске» обычно определяют как диалоговый процесс обмена информацией и мнениями, который включает в себя сообщения о природе риска и менеджменте риска. Это понятие применимо как к внешним причастным сторонам, так и внутри организации, отдела или сектора. Обмен информацией о риске не может решить всех возникающих проблем или конфликтов. Несоответствующий обмен информацией о риске может привести к утрате организацией доверия со стороны причастных сторон и/или недостаточному менеджменту риска.
Консультации могут быть описаны как процесс передачи данных при обмене информацией между организацией и причастными сторонами по рассматриваемой проблеме до момента принятия решения или определения направления развития. Для консультаций характерны следующие основные особенности:
Консультации являются процессом, а не результатом;
Консультации направлены на достижение консенсуса, а не на силовое решение вопроса;
Консультации являются подготовкой к процессу принятия решения, в котором не обязательно участвуют все стороны.
Обмен информацией и консультации могут быть проведены на различных уровнях организации в соответствии с установленными требованиями. В самом простом виде консультации могут иметь вид:
а) односторонней связи, которая включает в себя требования к форме представления информации, такие как годовые отчеты, информационные бюллетени, совещания и т.д.;
б) двухстороннего обмена информацией, включающего в себя понимание перспектив, верований, позиций и т.д., между заинтересованными сторонами и между организацией и ее причастными сторонами.
4.4 Важность обмена информацией и консультаций
4.4.1 Общие положения
Обмен информацией и консультации свойственны процессу менеджмента риска и должны быть рассмотрены на каждом его шаге. Важным аспектом «установления целей применения» являются идентификация причастных сторон, рассмотрение, исследование и анализ их потребностей. После этого может быть разработан план обмена информацией, в котором следует установить цели и/или задачи обмена информацией, формы консультаций и способы оценки этих процессов.
Успешный обмен информацией является существенным фактором в развитии «культуры» организации, когда позитивные и негативные субъективные оценки риска зарегистрированы и проанализированы. Обмен информацией о риске помогает организации установить свое отношение к риску.
Вовлечение других сторон или, по крайней мере, рассмотрение вопросов с другой точки зрения является существенным и решающим компонентом эффективного подхода к менеджменту риска. Обязательства причастных сторон делают менеджмент риска более определенным и обоснованным и добавляют значимости организации. Особенно важно в менеджменте риска, если причастные стороны могут:
Воздействовать на результативность предложенной обработки риска;
Быть вовлечены в инциденты риска;
Влиять на достоверность оценки риска;
Нести дополнительные затраты;
Быть в будущем объектами управления риском.
В некоторых случаях организация может отказаться от общения с причастными сторонами в целях рекламы или из соображений безопасности. В этих обстоятельствах в плане обмена информацией должно быть зафиксировано решение о невовлечении причастных сторон и учете мнения причастных сторон другими способами, например методами разведки или деловой информации.
4.4.2 Создание точного и релевантного менеджмента риска
Неявное рассмотрение риска при принятии решения или анализе присуще всем. Однако обсуждение каждого шага с другими заинтересованными сторонами является способом учета прошлого опыта.
Участие других сторон может помочь менеджменту риска стать регулярной сферой деятельности бизнеса, а затем и обычной практикой бизнеса. В этом случае менеджмент риска непосредственно связан с другими функциональными процессами организации, включая изучение рыночной конъюнктуры, промышленный шпионаж, экологический мониторинг, политические консультации, соответствие обязательным требованиям, обратную связь с клиентами, стратегическое планирование, аудит и/или оценку.
4.4.3 Добавленная стоимость для организации
Разделение информации и перспектив развития риска в пределах организации помогает создать организационную когерентность (логическую последовательность) системы менеджмента риска. При разделении информации о риске идентифицируют зоны пересечения критических областей для достижений и стратегий, направленных на реализацию поставленных целей. Важно точно определить формы мониторинга успешности и достижения результата при реализации действий. Например, разделение создает возможности для диалога между производственным персоналом и средним и высшим руководством. Консультации по менеджменту риска могут быть использованы как механизм, с помощью которого эти сотрудники принимают участие в управлении, и с точки зрения выполнимости поставленных целей и задач, и с точки зрения соответствия установленным требованиям и конкретной ситуации.
Обмен информацией с внешними причастными сторонами может помочь обеспечить гарантии и доверительность при взаимодействиях в критических областях. Эти внешние обязательства также помогают получить добавленную стоимость путем создания потенциала для партнерства с другими группами и для взаимовыгодных отношений. Например, у разных внешних причастных сторон могут быть аналогичные риски, которыми при объединении усилий можно более эффективно управлять. Консультации могут помочь в лучшем техническом понимании риска в организации.
4.4.4 Объединение множественных перспектив
Персонал организации и другие причастные стороны обычно судят о риске на основе их восприятия и понимания этого риска. Суждение о риске может сильно изменяться из-за различий в оценках, значимости, событиях, верованиях, предположениях, потребностях и интересах. Так как причастные стороны могут оказать существенное влияние на действия в области менеджмента риска, важно, чтобы их воззрение на риск было идентифицировано, зарегистрировано, а основные причины риска были для них понятны.
Воззрения могут также различаться между техническими экспертами, проектировщиками, лицами, принимающими решения, и другими причастными сторонами. Поэтому существенно важно проводить эффективный обмен информацией об уровне риска в ситуации, когда известные и достоверные решения о риске уже приняты и внедрены в организации. Подобным образом важно проводить обмен информацией о любых предположениях и неопределенности, связанных с риском.
Человек обычно принимает решение о приемлемости риска конкретного события на основе следующих факторов:
а) степень личного контроля, который может быть осуществлен над деятельностью;
б) вероятность события, приводящего к катастрофическим последствиям;
в) характер потенциальных последствий;
г) разделение рисков и преимуществ между потенциально затронутыми людьми;
д) степень, до которой подверженность риску является добровольной;
е) степень дружественных отношений или понимания деятельности.
Человек в меньшей степени готов принимать риск, если, по его мнению, он имеет:
Небольшой контроль над ситуацией или вообще не контролирует ее (например, при нахождении вблизи опасных технических объектов);
В случае страха получения конкретных негативных последствий (например, которые могут вызвать риск смертельных заболеваний) или других опасных последствий, которые человек считает опасными для себя;
В случае, если деятельность является незнакомой для конкретного человека.
Успешный обмен информацией о характере неопределенности является чрезвычайно трудным. Для принятия решений причастные стороны должны знать не только прогнозируемые уровни риска, но также и степень достоверности этих оценок.
Если у организации существуют непосредственно заинтересованные в менеджменте риска группы людей (например, жители, живущие около опасного участка), тогда степень понимания риска причастными сторонами может быть повышена путем вовлечения общества (например, жителей) в участие в обсуждении некоторых проблем менеджмента риска через консультации с общественными представителями.
4.4.5 Формирование доверия
Обмен информацией между организацией и ее внешними причастными сторонами позволяет организации эффективно взаимодействовать с вовлеченными сообществами людей и устанавливать доверительные отношения со всеми сторонами. Это особенно важно в ситуации, когда существуют низкая вероятность и тяжелые последствия опасных событий, таких как естественные опасности. Вовлечение общественных представителей может внести большее разнообразие и привести к повышению эффективности развития менеджмента риска и представлений о целях организации в области менеджмента риска. Если неопределенность высока, то важным фактором становятся представления людей и значимость риска для них. Обмен информацией о риске может быть существенным компонентом при обработке риска.
По подобным причинам важным фактором также являются доверительные отношения между персоналом внутри организации.
4.4.6 Повышение достоверности оценки риска
Опыт и экспертиза причастных сторон способствуют более глубокому пониманию риска. Учет разнообразных форм восприятия и понимания риска может привести к повышению достоверности оценок риска и позволяет избежать конформизма. Например, высшее руководство может инициировать развитие организации в новых направлениях с новыми релевантными рисками, при этом оценка последствий новых опасных событий руководителями разных уровней может различаться. Рядовые работники могут предвидеть риски, которые другие сотрудники обычно не замечают, и могут лучше оценить вероятности возникновения событий, связанных с риском, чем руководители организации.
Организация должна стремиться валидировать перечень возможных рисков на долгосрочный период на основе данных причастных сторон.
4.4.7 Обработка риска
Учет опыта причастных сторон и экспертиза, выполняемая причастными сторонами, крайне важны при разработке эффективных и приемлемых способов обработки риска. Наделение сотрудников правом принимать собственные решения, касающиеся обработки риска, помогает обеспечить принятие рекомендуемых способов обработки.
На стадии обработки риска особенно важен обмен информацией. Обмен информацией с причастными сторонами может иметь различные установленные формы взаимодействия.
4.5 Разработка процесса обмена информацией и консультации
4.5.1 Идентификация причастных сторон
Причастной стороной являются индивидуум или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию опасного события, или могут быть вовлечены в процесс менеджмента риска или другие связанные процессы организации. Другими словами, причастными сторонами являются лица или группы лиц, у которых существует легитимно установленный интерес к организации.
Существуют различные мнения относительно того, кто является причастной стороной, однако при определении причастных сторон важно составить по возможности наиболее полный их перечень. Примерами причастных сторон могут быть правление и акционеры организации, руководители и сотрудники филиалов, жители окрестной территории, органы местного самоуправления, правозащитные организации, организации по охране окружающей среды, поставщики и подрядчики, аварийные службы, средства массовой информации и др.
Если некоторые группы причастных сторон изначально пропущены, то существует вероятность того, что они появятся позже и преимущества консультаций на ранних стадиях будут упущены.
4.5.2 План обмена информацией и консультации
Степень консультаций и обмена информацией зависит от ситуации. Например, процесс менеджмента риска в ходе текущего принятия решения на месте обязательно влечет за собой менее формальный процесс обмена информацией, чем стратегический менеджмент риска на уровне организации в целом. В начале внедрения менеджмента риска организация может принять решение сконцентрировать внимание на внутренних причастных сторонах и решить более детально заняться внешними причастными сторонами в последующих циклах, используя итеративный и динамический подходы к менеджменту риска.
Существенные элементы плана обмена информацией и консультации могут быть документально оформлены в виде формального документа или опросного листа и включать в себя:
Цели обмена информацией;
Участников, которые должны быть вовлечены в этот процесс, включая следующих:
a) лица и/или группы лиц причастных сторон,
b) специалисты/эксперты,
c) команда обмена информацией;
Перспективы участников, которые должны быть учтены;
Используемые методы обмена информацией;
Применяемый процесс оценки.
Методы обмена информацией и консультации могут быть различными на разных стадиях жизненного цикла продукции.
План обмена информацией и консультации в организации зависят от установленных целей менеджмента риска. Следует решить вопрос о направлениях развития обмена информацией о риске в организации. Возможными направлениями могут быть:
Повышение осведомленности и знаний о проблеме;
Изучение причастными сторонами особенностей риска;
Влияние риска на потенциальных клиентов;
Дальнейшее углубление исследований по различным вопросам, связанным с лучшим пониманием целей менеджмента риска, критериев риска, оценок риска или обработки риска;
Достижение изменения позиции и/или поведения людей;
Любая комбинация из вышеперечисленных.
Ключевые слова: риск, менеджмент риска, процесс менеджмента риска, управление риском, обмен информацией, консультации, причастные стороны, заинтересованные стороны
Процесс менеджмента риска должен быть:
Неотъемлемой частью менеджмента;
Встраиваться в деятельность и процедуры; и
Соответствовать бизнес-процессам организации.
Процесс менеджмента риска показан на рисунке 3.
Рисунок 3 – Процесс менеджмента риска
Обмен информацией и консультирование
Обмен информацией и консультирование с внешними и внутренними заинтересованными сторонами осуществляются на всех этапах процесса менеджмента риска.
Поэтому планы по обмену информацией и консультированию должны разрабатываться на раннем этапе. Они должны рассматривать вопросы, касающиеся самого риска, его причин, его последствий (если известны) и мер, предпринимаемых для его обработки. Должен осуществляться эффективный внешний и внутренний обмен информацией и консультирование с тем, чтобы гарантировать, что лица, ответственные за реализацию процесса менеджмента риска и заинтересованные лица представляют, на каком основании принимаются решения, и осознают причины того, почему требуются конкретные действия.
Подход, касающийся консультативной группы, может:
Помочь соответствующим образом установить контекст;
Гарантировать, что интересы заинтересованных сторон осознаются и рассматриваются;
Обеспечивать идентификацию рисков соответствующим образом;
Соединять вместе различные области оценки для анализа рисков;
Обеспечивать рассмотрение должным образом различных точек зрения при определении критериев риска и при оценивании рисков;
Обеспечивать утверждение и обоснование плана обработки риска;
Усовершенствовать соответствующее управление изменениями во время процесса менеджмента риска; и
Разрабатывать соответствующий внешний и внутренний обмен информацией и план консультирования.
Обмен информацией и консультирование с заинтересованными сторонами является важным аспектом, так как выводы о риске основываются на восприятии риска заинтересованными сторонами. Эти восприятия могут различаться вследствие различий в ценностях, потребностях, предположениях, концепциях и интересах заинтересованных сторон. Так как точки зрения могут иметь существенное влияние на принимаемые решения, то восприятия заинтересованных сторон необходимо идентифицировать, документировать и учитывать в процессе принятия решений.
Обмен информацией и консультирование должны обеспечивать соответствующий, точно определенный и доступный обмен информацией с учетом аспектов конфиденциальности и сохранности.
Определение контекста
Посредством установления контекста организация формулирует свои цели, определение менеджмента риска, а также определяет область применения и критерии риска для процесса. Поскольку многие эти параметры аналогичны тем, которые рассматриваются при разработке структуры менеджмента риска, при определении контекста процесса менеджмента риска, их следует рассматривать более подробно и, в частности, то, как они связаны с областью применения конкретного процесса менеджмента риска.
Установление внешнего контекста
Внешний контекст − это внешняя среда, в которой организация стремится достигать свои цели.
Понимание внешнего контекста является важным, чтобы гарантировать, что цели и интересы внешних заинтересованных сторон рассматриваются при разработке критериев риска. Он основывается на контексте всей организации, но с конкретными подробностями законодательных и обязательных требований, восприятиями заинтересованных сторон и другими аспектами рисков, характерными для области применения процесса менеджмента риска.
Внешний контекст может включать:
Социальную, культурную, политическую, правовую, законодательную, финансовую, технологи-ческую, экономическую, естественную и рыночную среду на международном, региональном, нацио-нальном или локальном уровне;
Основные факторы и тенденции, влияющие на цели организации; и
Взаимосвязи с внешними заинтересованными сторонами, их восприятия и ценности.
Установление внутреннего контекста
Внутренний контекст – это внутренняя среда, в которой организация стремится достигать свои цели.
Процесс менеджмента риска должен соответствовать деятельности, процессам, структуре и стратегии организации. Внутренний контекст – это что-либо в масштабе организации, что может влиять на способ, которым организация будет осуществлять менеджмента риска. Его необходимо определить, потому что:
a) менеджмент риска имеет место в контексте целей организации;
b) цели и критерии конкретного проекта, процесса или деятельности следует рассматривать, принимая во внимание цели организации в целом; и
c) некоторые организации не устанавливают возможности достижения своих стратегических, проектных или экономических целей, и это влияет на обязательства организации, надежность, доверие и ценность.
Необходимо понимать внутренний контекст. Он может включать:
Руководство, организационную структуру, функции и обязательства;
Политику, цели и стратегии, имеющиеся для достижения этих целей;
Возможности, исходя из ресурсов и знаний (например, капитал, время, люди, процессы, сис темы и технологии);
Взаимосвязи с внутренними заинтересованными сторонами, их восприятия и ценности;
Деятельность организации;
Информационные системы, информационные потоки и процессы принятия решений (как официальные, так и неофициальные);
Стандарты, руководства и модели, принятые организацией; и
Форму и объем контрактных взаимоотношений.
Установление контекста процесса менеджмента риска
Необходимо устанавливать цели, стратегии, область применения и параметры деятельности организации или тех ее частей, где применяется процесс менеджмента риска. Менеджмент риска следует предпринимать с полным рассмотрением необходимости обоснования ресурсов, используемых при осуществлении менеджмента риска. Следует также определять требуемые ресурсы, ответственность и полномочия, а также сохраняемые записи.
Контекст процесса менеджмента риска изменяется в зависимости от потребностей организации. Он может включать:
Определение задач и целей менеджмента риска;
Определение ответственности за процесс менеджмента риска и в рамках этого процесса;
Определение области применения, а также границ менеджмента риска, включая отдельные дополнения и ограничения;
Определение деятельности, процесса, функции, проекта, продукции, услуги или актива, исходя из времени и расположения;
Определение взаимосвязей между конкретным проектом, процессом или деятельностью и другими проектами, процессами или видами деятельности организации;
Определение методологии оценки риска;
Определение способа оценки показателей и эффективности менеджмента риска;
Установление и определение решений, которые необходимо принять; и
Определение, анализ и обозначение границ необходимых исследований, их объемов и целей, а также ресурсов, требуемых для таких исследований.
Рассмотрение данных и других значимых факторов, должно способствовать обеспечению того, что принятый подход менеджмента риска соответствует обстоятельствам, организации и рискам, влияющим на достижение ее целей.
Определение критериев риска
Организация должна определять критерии, которые необходимо использовать для оценки значимости риска. Критерии должны отражать ценности, цели и ресурсы организации. Некоторые критерии могут устанавливаться на основе законодательных и обязательных требований, а также других требований, которые взяла на себя организация. Критерии риска должны быть согласованы с политикой менеджмента риска организации (см. 4.3.2), определены в начале любого процесса менеджмента риска и должны подвергаться постоянному анализу.
При определении критериев риска необходимо рассматривать следующие факторы:
Характер и типы причин и последствий, которые могут возникать, и то, как их следует измерять;
Как следует определять вероятность;
Временные рамки вероятности и/или последствия(ий);
Как должен быть определен уровень риска;
Мнения заинтересованных сторон;
Уровень, на котором риск становится приемлемым или допустимым; и
Принимать ли во внимание комбинации нескольких рисков и, если да, то, каким образом и какие комбинации следует рассматривать.
Оценка риска
Оценка риска – это целостный процесс идентификации риска, анализа риска и оценивания риска.
Примечание – ISO/IEC 31010 содержит руководство по методам оценки.
Идентификация риска
Организация должна идентифицировать источники риска, области воздействия, события (включая изменения в обстоятельствах) и их причины, а также их потенциальные последствия. Цель данного этапа заключается в составлении подробного перечня рисков, основанного на тех событиях, которые могут создавать, повышать, предотвращать, снижать, ускорять или замедлять достижение целей. Важно идентифицировать риски, связанные с отклонением от благоприятного события. Полная идентификация является важной, так как риск, который не был идентифицирован на данном этапе, не будет включен в дальнейший анализ.
Идентификация должна включать риски независимо от того, контролирует ли организация его источник или нет, даже если источник риска или его причина могут быть не очевидны. Идентификация риска должна включать исследование воздействий конкретных последствий, включая каскадные и кумулятивные эффекты. Также необходимо рассматривать широкий спектр последствий, даже если источник риска или его причина могут быть не очевидны. Наряду с идентификацией событий, которые могут произойти, необходимо рассматривать возможные причины и сценарии, которые показывают, какие последствия могут происходить. Следует рассматривать все значимые причины и последствия.
Организация должна применять инструменты и методики идентификации риска, которые подходят для ее целей и возможностей, а также соответствуют рискам, с которыми она сталкивается. При идентификации рисков большое значение имеет соответствующая и актуализированная информация. При необходимости она должна включать соответствующую дополнительную информацию. Для идентификации рисков должны привлекаться люди с соответствующими знаниями.
Анализ риска
Анализ риска обеспечивает понимание риска. Анализ риска предоставляет входные данные для оценивания риска и принятия решений, относительно обработки рисков, а также для выбора стратегий и методов наиболее подходящей обработки рисков. Анализ риска может также предоставлять входные данные для принятия решений, когда требуется сделать выбор, а варианты включают различные типы и уровни риска.
Анализ риска включает рассмотрение причин и источников риска, их положительных и отрицательных последствий и вероятности того, что эти последствия могут произойти. Следует идентифицировать факторы, влияющие на последствия и вероятность их возникновения. Риск анализируют посредством определения последствий и вероятности их возникновения, а также других признаков риска. Событие может иметь различные последствия и может воздействовать на различные цели. Во внимание также следует принимать существующие средства управления, их результативность и эффективность.
Способ, которым выражают последствия и вероятность их возникновения, и способ их объединения с целью определения уровня риска, должны отражать тип риска, имеющуюся информацию и цель, для которой результат оценки риска должен использоваться. Все это должно соответствовать критериями риска. Важно также рассматривать взаимозависимость различных рисков и их источников.
При анализе рассматривают достоверность определения уровня риска и его чувствительность к предположениям и допущениям, а также доводят информацию до лиц, принимающих решения, и при необходимости других заинтересованных сторон. Необходимо установить и выделить такие факторы, как наличие разных точек зрения среди экспертов, неопределенность, доступность, качество, количество и актуальность информации, а также ограничения моделирования.
Анализ риска может осуществляться с различной степенью детальности анализа, в зависимости от риска, цели анализа и информации, данных и имеющихся ресурсов. Анализ может быть качественным, полуколичественным или количественным, либо их комбинацией в зависимости от обстоятельств.
Последствия и вероятность их возникновения можно определять посредством моделирования результатов события или ряда событий, или на основе экстраполяции экспериментальных исследований или имеющихся данных. Последствия могут быть выражены в виде материальных или нематериальных воздействий. В некоторых случаях требуется несколько численных значений или признаков для определения последствий и вероятности их возникновения для различных сроков, мест, групп или ситуаций.
Оценивание риска
Целью оценивания риска является содействие принятию решений, основанных на результатах анализа риска, относительно необходимости обработки рисков и установления приоритета осуществления обработки риска.
Оценивание риска включает сравнение уровня риска, выявленного в процессе анализа, с критериями риска, установленными при рассмотрении контекста. На основании этого сравнения определяется необходимость обработки риска.
При принятии решений следует учитывать более широкий контекст риска и включать рассмотрение допустимых рисков, принимаемых сторонами, за исключением организации, которая извлекает выгоду из риска. Решения должны быть приняты в соответствии с законодательными, обязательными и другими требованиями.
При некоторых обстоятельствах оценивание риска приводит к решению о проведении дополнительного анализа. Оценивание риска также может привести к решению не обрабатывать риск каким-либо образом, за исключением применения средств управления. На это решение влияет отношение организации к риску и установленные критерии риска.
Обработка риска
Обработка риска включает выбор одного или нескольких вариантов изменения рисков и применение этих вариантов. Меры обработки обеспечивают применение средств управления или меняют средства управления.
Обработка риска включает циклический процесс:
Оценивания обработки риска;
Принятия решения, являются ли уровни остаточного риска допустимыми;
Проведение новой обработки риска, если уровни остаточного риска не допустимы; и
Оценивание результативности этой обработки.
Варианты обработки риска не обязательно могут быть взаимоисключающими или быть подходящими для всех обстоятельств. Варианты могут включать:
a) предотвращение риска посредством принятия решения не начинать или не продолжать деятельность, в результате которой возникает риск;
b) принятие или увеличение риска для достижения цели;
c) устранение источника риска;
d) изменение вероятности;
e) изменение последствий;
f) разделение риска с другой стороной или сторонами (включая контракты и финансирование риска); и
g) принятие риска на основании обоснованного решения.
Выбор вариантов обработки риска
Выбор наиболее подходящего варианта обработки риска включает сопоставление затрат и усилий по реализации с извлекаемыми преимуществами с учетом законодательных, обязательных и других требований, таких как социальная ответственность и защита окружающей среды. При принятии решения следует принимать во внимание риски, которые требуют обработки риска, не обоснованной с экономической точки зрения, например, риски серьезные (значительные отрицательные последствия), но редкие (с низкой вероятностью возникновения).
Варианты обработки можно рассматривать и применять либо по отдельности, либо в комбинации. Организация обычно может извлекать преимущества от принятия комбинации вариантов обработки.
При выборе вариантов обработки риска организация должна рассматривать интересы и восприятия заинтересованных сторон и наиболее подходящие способы обмена информацией с ними. Если варианты обработки риска могут воздействовать на риск где-либо еще в организации, или в отношении заинтересованных сторон, то при приятии решения это следует учитывать. Несмотря на одинаковую эффективность, некоторые варианты обработки риска для одних заинтересованных сторон могут быть более приемлемыми, чем для других.
План обработки риска должен четко определять порядок, в соответствии с которым должны применяться отдельные варианты обработки риска.
Сама по себе обработка риска может вызывать риски. Существенным риском может быть отсутствие или неэффективность мер обработки риска. Мониторинг должен быть неотъемлемой частью плана обработки риска, чтобы гарантировать, что меры остаются эффективными.
Обработка риска может также вызывать вторичные риски, которые необходимо оценивать, обрабатывать, контролировать и анализировать. Эти вторичные риски должны включаться в тот же план обработки, что и первоначальный риск, и не рассматриваться как новый риск. Необходимо идентифицировать и поддерживать связь между двумя рисками.
Подготовка и реализация планов обработки риска
Целью планов обработки риска является документирование того, как должны реализовываться выбранные варианты обработки. Информация, представленная в планах обработки рисков, должна включать:
Основания для выбора вариантов обработки риска, включая ожидаемые преимущества, которые будут получены;
Лиц, отвечающих за утверждение плана, а также лиц, ответственных за реализацию плана;
Предлагаемые действия;
Требования к ресурсам, включая возможные непредвиденные обстоятельства;
Показатели выполнения и ограничения;
Требования к отчетности и мониторингу; и
Сроки и график выполнения.
Планы обработки рисков должны быть объединены с процессами менеджмента организации и должны обсуждаться с соответствующими заинтересованными сторонами.
Лица, принимающие решения, и другие заинтересованные стороны должны быть осведомлены о характере и степени остаточного риска после обработки риска. Остаточный риск должен быть документально оформлен и должен подвергаться мониторингу, анализу и, при необходимости, дополнительной обработке.
Мониторинг и анализ
Мониторинг и анализ должны быть планируемой частью процесса менеджмента риска и включать регулярную проверку или контроль. Они могут быть периодическими или специальными.
Должна быть четко определена ответственность за мониторинг и анализ.
Процессы мониторинга и анализа, осуществляемые организацией, должны включать все аспекты процесса менеджмента риска в целях:
Обеспечения того, что средства контроля являются эффективными и результативными как для проектирования, так и для функционирования;
Получения дополнительной информации для улучшения оценки риска;
Анализа и изучения событий (включая инциденты без последствий), изменений, основных направлений развития, успехов и неудач;
Выявления изменений во внешнем и внутреннем контексте, включая изменения критериев риска, а также риска, который может потребовать пересмотра обработок риска и приоритетов; и
Идентификации возникающих рисков.
Выполнение планов обработки рисков определяет оценку деятельности. Результаты могут быть включены в общий менеджмент организации, оценку, а также деятельность по предоставлению внешней и внутренней информации.
Результаты мониторинга и анализа должны быть документально оформлены и, при необходимости, доведены до сведения на внешнем и внутреннем уровнях, а также должны использоваться в качестве входных данных для пересмотра структуры менеджмента риска.
Документирование процесса менеджмента риска
Деятельность по менеджменту риска должна быть прослеживаемой. В процессе менеджмента риска записи обеспечивают основу для улучшения методов и инструментов, а также всего процесса.
При принятии решений о ведении записей необходимо принимать во внимание следующее:
Потребности организации в постоянном накоплении знаний;
Преимущества повторного использования информации в целях управления;
Затраты и усилия, включенные в создание и поддержание записей;
Законодательные, обязательные требования, а также потребности, связанные с особенностями деятельности, относящиеся к записям;
Метод доступа, простота восстановления и носители информации;
Срок хранения; и
Конфиденциальность информации.
Консультирование как вид деятельности имеет достаточно давнюю историю. Термин консультация от лат. consultatio – советоваться, совещаться; в словарных значениях подчеркиваются такие его признаки, как предоставление советов и обмен информацией. Широко известны такие понятия, как юридическая, медицинская консультация, консультативные процессы в политической деятельности. Однако консультирование в социальной сфере появилось сравнительно недавно. Большинство специалистов рассматривают его как феномен XX века, возникший в ответ на условия, которые породила техническая революция конца XIX начала XX веков. Помимо общечеловеческой озабоченности судьбами людей, борющихся за поиск средств к существованию, сформировалась потребность развивающейся промышленности в разнообразных высококвалифицированных трудовых ресурсах. Необходимость решения этой двуединой задачи стимулировало возникновение одного из первых консультационных направлений в социальной сфере – профессионального консультирования (профориентация, профотбор).
С другой стороны, техническая революция привела к глобальным изменениям в общественной жизни, что не могло не отразиться на адаптационных механизмах психики человека. Необходимость оказания практической психологической помощи человеку (преодоление негативных эмоциональных состояний, межличностных и внутриличностных конфликтов, выход из кризисных ситуаций, развитие специфических жизненных умений и т.д.) инициировало появление различных психотерапевтических техник, которые лежат в основе многих видов психологического консультирования.
В настоящее время набор консультационных услуг в социальной сфере значительно расширился. Например, в США консультанты по социальной работе распространили свою деятельность на такие сферы, как здравоохранение, образование, социальное обеспечение. Социальных работников приглашают в учебные заведения и заключают с ними контракты. Они консультируют директоров школ, учителей, родителей по самым разнообразным вопросам: конфликты, поведение учеников, успеваемость и др. Консультанты по социальной работе в больницах, помимо общих для консультирования вопросов, участвуют в планировании лечения и помощи ухода за пациентами. К социальным консультантам медицинский персонал обращается в трудноразрешимых ситуациях, например, для работы с семьей при рождении ребенка с тяжелой патологией.
В нашей стране консультирование по социальным вопросам пока еще делает первые шаги. Наибольший опыт накоплен в сфере профориентационного консультирования и консультирования по оказанию психологической помощи людям, не имеющим клинических нарушений, но испытывающим трудности в повседневной жизни. Однако эти виды консультирования не охватывают всех социальных проблем современной жизни.
Консультация представляет собой взаимодействие между двумя или несколькими людьми, в ходе которого определенные специальные знания консультанта используются для оказания помощи консультируемому в решении текущих проблем или при подготовке перспективных программ. Иногда действия консультанта оцениваются как катализатор, облегчающий работу, формулирующий ее мотивы и роль, разъясняющий последствия различных альтернатив, помогающий консультируемому более системно и объективно оценить стоящие перед ним проблемы с целью расширения выбора возможных вариантов поведения; консультант сообщает клиенту о новой информации либо освежает старые знания.
Лицензионная комиссия Ассоциации служащих и менеджеров США, выдающая разрешение на частную практику, дает следующее определение: «Консультирование – это совокупность процедур, направленных на помощь человеку в разрешении проблем и принятии решений относительно профессиональной карьеры, брака, семьи, совершенствования личности и межличностных отношений».
Различают два типа консультаций: 1) консультации по конкретным случаям; 2) консультирование организаций в вопросах разработки различных социальных программ. В первом случае консультант непосредственно оказывает услуги клиенту, либо помогает сотрудникам в оказании помощи клиентам и основной упор делается на конкретном клиенте, будь то человек, семья, социальная группа.
Программное консультирование предполагает работу с административным персоналом по разработке политики, программ и процедур, направленных на улучшение обслуживания населения. Э.Уоткинс, Т.Хохланд, Р.Ритво определяют программное консультирование как «двусторонний процесс решения проблем, в ходе которого консультант помогает учреждению или организации проанализировать нужды социальной группы, улучшить деятельность организации, повысить качество услуг». Упор в такого рода консультациях делается на структурных, политических, организационных вопросах, а не на конкретных проблемах клиентов. Примером программного консультирования может служить обращение фирмы к консультантам по проблемам формирования кадрового резерва (источники резерва, требования к кандидатам). Просьба той же фирмы отобрать кандидатов к зачислению в кадровый резерв может быть отнесена к консультациям по конкретным вопросам. Однако часто консультативный процесс представляет собой своеобразный синтез конкретного и программного подходов, когда консультант, начиная с конкретных вопросов, помогает клиентам в решении более широкого спектра проблем.
При проведении любой консультации реализуются следующие принципы :
1) консультация должна иметь конкретную цель, решать проблему, представлять собой определенный процесс;
2) эффективность консультации зависит от ценности идей, а не от статуса консультанта;
3) основой консультационного процесса являются взаимоотношения консультанта и консультируемого.
В дальнейшем консультантом мы будем называть специалиста, оказывающего консультационные услуги, а консультируемого (отдельного человека, группу людей, организацию) – клиентом.
Структура консультационного процесса. Несмотря на то, что существует множество различных типов консультаций, все они, в той или иной мере, проходят через серию этапов, составляя структуру консультационного процесса. Консультант должен четко знать, на каком этапе консультирования он находится, одновременно проводя работу с клиентом для обеспечения его удовлетворенности на всех этапах. На рис. 1.1 представлена схема консультационного процесса.