Гост 31000 текст

У нас вы можете скачать гост 31000 текст в fb2, txt, PDF, EPUB, doc, rtf, jar, djvu, lrf!

Риск-менеджмент - это часть обязательств руководства и неотъемлемая часть всех организационных процессов, включая стратегическое планирование и все процессы управления проектами и изменениями;. Риск-менеджмент помогает лицам, принимающим решения, делать обоснованный выбор, определять приоритетность действий и проводить различия между альтернативными направлениями действий;.

Риск-менеджмент четко учитывает неопределенность, характер этой неопределенности и как с ней обращаться;. Систематический, регулярный и структурированный подход к риск-менеджменту способствует эффективности и устойчивым, сравнимым и надежным результатам;. Входные данные для процесса риск-менеджмента основываются на таких источниках информации, как исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы и экспертные оценки.

Однако лица, принимающие решения, должны отдавать себе отчет и принимать во внимание любые ограничения данных или используемого моделирования или возможности расхождений мнений среди экспертов. Риск-менеджмент должен соответствовать внешней и внутренней ситуации контекста и профилю риска;.

Риск-менеджмент признает возможности, восприятия и намерения людей за пределами и внутри организации, которые могут способствовать или затруднять достижение целей организации;. Соответствующее и своевременное вовлечение заинтересованных сторон и, в частности, лиц, принимающих решения, на всех уровнях организации гарантирует, что риск-менеджмент остается на надлежащем уровне и отвечает современным требованиям.

Это позволяет заинтересованным сторонам быть должным образом представленными и быть уверенными в том, что их мнение принимается во внимание в процессе установления критериев риска;. Как только происходит внешнее или внутреннее событие, контекст или знания изменяются, осуществляются мониторинг и пересмотр рисков, новые риски появляются, некоторые изменяются, другие исчезают;.

Организации должны разрабатывать и применять стратегии повышения совершенства риск-менеджмента одновременно с другими своими аспектами. В приложении А приведены дальнейшие рекомендации организациям, желающим управлять рисками более эффективно. Успех риск-менеджмента зависит от эффективности инфраструктуры менеджмента, предоставляющей базовые основы и мероприятия, которые должны использоваться во всей организации на всех уровнях.

Инфраструктура способствует эффективному управлению рисками посредством применения процесса риск-менеджмента см. Инфраструктура гарантирует, что информация о риске, полученная из процесса риск-менеджмента, должным образом регистрируется и используется в качестве основы для принятия решения и отчетности на всех соответствующих уровнях организации.

В настоящем разделе представлены необходимые элементы инфраструктуры риск-менеджмента и способ, обеспечивающий их взаимосвязь итеративным образом, как показано на рисунке 2. Рисунок 2 - Взаимосвязь между элементами инфраструктуры риск-менеджмента. Настоящая инфраструктура предназначена не для того, чтобы предписать систему управления, а для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента.

Таким образом, организации должны адаптировать элементы инфраструктуры для своих конкретных потребностей. Если практики и процессы менеджмента, существующие в организации, включают элементы риск-менеджмента, или если организация уже приняла формально процесс риск-менеджмента для отдельных рисков или ситуаций, то их необходимо критически анализировать и оценивать на соответствие настоящему стандарту, включая признаки, содержащиеся в приложении А, чтобы определить их адекватность и эффективность.

Внедрение риск-менеджмента и обеспечение его постоянной эффективности требует принятия со стороны руководства организации четко сформулированных и последовательно выполняемых обязательств по реализации плана управления на всех уровнях, а также подробного стратегического планирования для выполнения этих обязательств. Оценивание внешней ситуации контекста организации может включать, но не ограничиваться этим: Оценивание внутренней ситуации контекста организации может включать, но не ограничиваться этим: Политика риск-менеджмента должна быть правильно донесена до заинтересованных сторон.

Процесс риск-менеджмента должен стать частью этих организационных процессов и не должен отделяться от них. В частности, риск-менеджмент должен быть встроен в разработку политики, в процессы стратегического и бизнес-планирования, включая корректировку планов, а также в процесс управления изменениями.

План менеджмента риска должен быть разработан в масштабах организации для того, чтобы гарантировать применение политики риск-менеджмента и включение риск-менеджмента во все практики и процессы организации. План менеджмента риска может быть интегрирован в другие планы организации, например в стратегический план.

Эти механизмы должны гарантировать, что: Эти механизмы должны, где это целесообразно, включать процессы по сбору информации о риске из различных источников и могут потребовать проверки источников информации. Эти механизмы должны, где это целесообразно, включать процессы сбора информации о риске из различных источников и могут потребовать проверки источников такой информации.

Чтобы гарантировать, что риск-менеджмент является эффективным и продолжает поддерживать деятельность организации, организация должна: Основываясь на результатах мониторинга и пересмотра, следует принимать решения в отношении улучшения инфраструктуры риск-менеджмента, политики и плана по менеджменту риска.

Эти решения должны приводить к улучшениям риск-менеджмента и развитию его культуры в организации. Процесс риск-менеджмента должен быть: Он включает деятельность, описанную в 5. Процесс риск-менеджмента показан на рисунке 3. Рисунок 3 - Процесс риск-менеджмента.

Обмен информацией и консультирование с внешними и внутренними заинтересованными сторонами осуществляются на всех этапах процесса риск-менеджмента. Поэтому планы обмена информацией и консультирования должны быть разработаны на раннем этапе. Они должны рассматривать вопросы, касающиеся самого риска, его причин, его последствий если они известны и мер, предпринимаемых для воздействия на него.

Должен осуществляться эффективный внешний и внутренний обмен информацией и консультирование, с тем чтобы гарантировать, что подотчетные лица, ответственные за процесс риск-менеджмента, и заинтересованные стороны представляют себе основу, на базе которой принимаются решения, и осознают причины того, почему требуются конкретные действия.

Подход на основе создания консультативной группы может: Обмен информацией и консультирование с заинтересованными сторонами являются важными аспектами, потому что с их помощью делают выводы о риске, основанные на их восприятиях риска.

Эти восприятия могут отличаться вследствие различий в ценностях, потребностях, предположениях, понятиях и опасениях заинтересованных сторон. Поскольку их точки зрения могут иметь существенное влияние на принимаемые решения, то восприятия заинтересованных сторон необходимо идентифицировать, регистрировать, записывать и учитывать в процессе принятия решений. Обмен информацией и консультирование должны способствовать обмену правдивой, существенной, точной и понятной информацией с учетом аспектов конфиденциальности и личной неприкосновенности.

Поскольку многие эти параметры аналогичны тем, которые рассматриваются при разработке инфраструктуры риск-менеджмента см. Понимание внешней ситуации контекста является важным для обеспечения того, что цели и опасения внешних заинтересованных сторон рассматриваются при разработке критериев риска.

Это основывается на ситуации контексте во всей организации, но с конкретными подробностями правовых и регулятивных требований, восприятия заинтересованных сторон и других аспектов рисков, специфических для области применения конкретного процесса риск-менеджмента. Внешняя ситуация контекст организации может включать, но не ограничиваться этим: Процесс риск-менеджмента должен соответствовать культуре, процессам, структуре и стратегии организации. Внутренняя ситуация контекст - это что-либо в масштабе организации, что может влиять на то, каким образом организация будет осуществлять риск-менеджмент.

Внутреннюю ситуацию контекст необходимо определить в силу того, что: Необходимо понимать внутреннюю ситуацию контекст. Она может включать, но не ограничиваться этим, следующие составляющие: Риск-менеджмент следует проводить с полным рассмотрением необходимости обоснования ресурсов, используемых при его осуществлении.

Следует также определять требуемые ресурсы, ответственность и полномочия, а также порядок учета. Ситуация контекст процесса риск-менеджмента изменяется в зависимости от потребностей организации.

Она может включать, но не ограничиваться этим: Внимание, уделяемое этим и другим соответствующим факторам, должно гарантировать, что принятый подход риск-менеджмента соответствует обстоятельствам, организации и рискам, воздействующим на достижение ее целей. Критерии должны отражать ценности, цели и ресурсы организации. Некоторые критерии могут основываться или возникать из правовых и регулятивных требований, а также других требований, которые взяла на себя организация.

Критерии риска должны быть согласованы с политикой управления рисками организации см. При определении критериев риска факторы, которые необходимо рассматривать, должны включать следующее: Цель данного этапа заключается в составлении всеобъемлющего перечня рисков, основанных на тех событиях, которые могут создавать, повышать, предотвращать, снижать, ускорять или задерживать достижение целей.

Важно идентифицировать риски, связанные с решением не использовать благоприятные возможности. Всеобъемлющая идентификация является критически важной, потому что риск, который не был идентифицирован на данном этапе, не будет включен в будущий анализ. Идентификация должна включать риски, независимо от того, контролирует ли организация их источник или нет, даже если их источник или причина могут быть неочевидными.

Идентификация рисков должна включать рассмотрение эффекта домино, включая эффект каскада и кумулятивные эффекты. Также необходимо рассматривать широкий спектр последствий, даже если источник риска может быть не очевиден. Наряду с идентификацией, что может произойти, необходимо рассматривать возможные причины и сценарии, которые показывают, какие могут наступить последствия. Все существенные причины и следствия должны быть рассмотрены.

Организация должна применять инструменты и методы, которые соответствуют ее целям и возможностям, а также рискам, с которыми она сталкивается. На этапе идентификации рисков большое значение имеет соответствующая и актуализированная информация.

Это по возможности должно включать соответствующую исходную информацию. Для идентификации рисков необходимо привлекать людей, обладающих соответствующими знаниями. Анализ риска обеспечивает входную информацию для оценивания риска и решений относительно необходимости дальнейшего воздействия на эти риски, а также наиболее подходящих стратегий и методов воздействия.

Анализ риска может также предоставлять входную информацию для принятия решений, когда необходим выбор, и наличие альтернативных вариантов, включающих различные типы и уровни риска. Анализ риска включает рассмотрение причин и источников риска, их положительных и отрицательных последствий и возможности того, что эти последствия могут произойти.

Факторы, влияющие на последствия и возможность, должны быть идентифицированы. Риск анализируют посредством определения последствий и возможности, а также других характеристик риска. Событие может иметь множественные последствия и может воздействовать на различные цели. Необходимо также принимать во внимание существующие средства управления, их результативность и эффективность. Способ, которым выражают последствия и возможности, и способ их комбинирования для определения уровня риска должны отражать тип риска, имеющуюся информацию и цель, для которой результат оценки риска должен быть использован.

Все это должно согласовываться с критериями риска. Также важно рассматривать взаимозависимость различных рисков и их источников.

При анализе необходимо рассматривать достоверность в определении уровня риска и его чувствительность к предварительным условиям и допущениям и эффективно обмениваться информацией с теми, кто принимает решения, и, в случае необходимости, с другими заинтересованным сторонами. Такие факторы, как наличие разброса мнений экспертов, неопределенность, доступность, качество, количество, соответствие текущей информации или ограничения моделирования, необходимо констатировать и по возможности обращать на них особое внимание.

Анализ риска может осуществляться с различной степенью подробности, в зависимости от риска, цели анализа и доступной информации, данных и имеющихся ресурсов. Анализ может быть качественным, полуколичественным или количественным, либо быть их комбинацией в зависимости от обстоятельств. Последствия и вероятность возможность могут быть определены посредством моделирования исходов событий или ряда событий, или экстраполяцией данных экспериментальных исследований или имеющихся данных.

Последствия могут быть выражены в виде материальных или нематериальных воздействий. В некоторых случаях требуется более одного численного значения или описывающий параметр для указания последствий и степени их осуществимости для различных моментов времени, местоположения, групп или ситуаций. Оценивание риска включает сравнение уровня риска, выявленного во время процесса анализа, с установленными критериями риска во время рассмотрения ситуации контекста.

Рассмотрение необходимости воздействия на риск должно основываться на этом сравнении. Решения должны более широко учитывать ситуацию контекст риска и учитывать толерантность к риску не только организации, извлекающей из риска пользу, но и других сторон.

Решения должны приниматься в соответствии с правовыми, регулятивными и другими требованиями. При некоторых обстоятельствах оценивание риска может привести к решению провести дальнейший анализ. Оценивание риска также может привести к решению не воздействовать на риск каким-либо иным образом, кроме поддержания существующих средств управления.

На это решение влияют отношение к риску самой организации и установленные критерии риска. Будучи примененным, воздействие на риск устанавливает или изменяет средства управления.

Воздействие на риск включает циклический процесс, состоящий из следующих этапов: Альтернативные варианты воздействия на риск не обязательно являются взаимоисключающими или подходящими для всех обстоятельств. Альтернативные варианты могут включать: Процесс принятия решений должен быть построен таким образом, чтобы обеспечить принятие мер по таким рискам, управление которыми не обосновано с экономической точки зрения, например значительные со значительными негативными последствиями , но редкие с низкой вероятностью или возможностью наступления риски.

Количество вариантов воздействия на риск можно рассматривать и применять либо по отдельности, либо в комбинации.

Организация может обычно извлекать выгоду из принятия комбинации вариантов воздействия на риск. При выборе вариантов воздействия на риск организация должна рассматривать значения и восприятия заинтересованных сторон и наиболее подходящие способы обмена информации с ними. Если альтернативные варианты воздействия на риск могут влиять на риск где-либо еще в организации или в отношении заинтересованных сторон, то это следует учитывать при принятии решения.

Будучи одинаково эффективными, некоторые варианты воздействия на риск могут быть более приемлемы для одних заинтересованных сторон, чем для других. В плане воздействия на риск должен быть четко указан порядок приоритета, в соответствии с которым должны применяться отдельные воздействия на риск. Воздействие на риск может само по себе вызывать риски.

Существенным риском может быть отсутствие или неэффективность мер воздействия на риск. Мониторинг должен стать неотъемлемой частью плана воздействия на риск с тем, чтобы гарантировать, что меры остаются эффективными. Воздействие на риск может также вызывать вторичные риски, которые необходимо оценивать, воздействовать на них, подвергать мониторингу и анализу. Такие вторичные риски должны включаться в тот же самый план воздействия на риск, что и первоначальный риск, и не рассматриваться как новый риск.

Следует определить и учитывать связь между обоими этими рисками. Информация, представленная в планах воздействия на риски, должна включать: Планы воздействия на риски должны быть включены в процессы менеджмента организации и должны обсуждаться с соответствующими заинтересованными сторонами. Лица, принимающие решения, и другие заинтересованные стороны должны быть ознакомлены с характером и степенью остаточного риска после воздействия на него.

Остаточный риск должен быть документирован и подвергнут мониторингу, пересмотру, и, где целесообразно, дальнейшему воздействию. Мониторинг и пересмотр должны быть планируемой частью процесса риск-менеджмента и включать регулярную проверку или надзор. Они могут быть периодическими, произвольными. Должна быть четко определена ответственность за проведение мониторинга и пересмотра.

Процессы мониторинга и пересмотра, осуществляемые организацией, должны включать в себя все аспекты процесса риск-менеджмента в целях: Прогресс в реализации планов воздействия на риск обеспечивает достижение показателей эффективности. Результаты могут включаться в общее управление и оценку эффективности, внутреннюю и внешнюю отчетность организации. Результаты мониторинга и пересмотра должны быть документированы и соответствующим образом зарегистрированы на внешнем и внутреннем уровнях, а также использованы в качестве входных данных для пересмотра инфраструктуры риск-менеджмента см.

Деятельность по риск-менеджменту должна быть прослеживаемой. В процессе риск-менеджмента регистрация обеспечивает основу для улучшения методов и инструментов, а также всего процесса. При принятии решений о создании записей необходимо принимать во внимание следующее: Ниже приведенный перечень признаков представляет высокий показательный уровень риск-менеджмента.

Чтобы помочь организациям измерить собственное качество управления рисками в соответствии с этими критериями, для каждого признака приводится несколько показателей.

Это может подтверждаться наличием определенных целей деятельности, согласно которым измеряют деятельность организации и каждого отдельного менеджера. Данные о деятельности организации могут публиковаться и доводиться до сведения. Обычно проводят, как минимум, годовой пересмотр деятельности и затем ревизию процессов и осуществляют установление целей деятельности на следующий период.

Оценка качества риск-менеджмента является неотъемлемой частью оценки всей деятельности организации и системы измерения качества работы подразделений и отдельных работников. Назначенные лица, которые полностью принимают ответственность, обладают необходимыми навыками и ресурсами для того, чтобы проверять эти мероприятия, осуществлять мониторинг рисков, совершенствовать мероприятия по управлению рисками и эффективно доносить информацию о рисках и управлению ими до внешних и внутренних заинтересованных лиц.

Это может подтверждаться всеми членами организации, которые осведомлены в полном объеме о рисках, средствах управления и задачах, за которые они несут ответственность. Обычно это должно быть отражено в должностных инструкциях, содержаться в информационных базах данных или системах. Распределение ролей в менеджменте рисков, ответственности и обязательств должно быть частью всех ознакомительных программ организации.

Организация должна гарантировать, что ответственные лица оснащены всем необходимым для выполнения своей роли и им предоставлены полномочия, время, обучение, ресурсы и навыки, достаточные для того, чтобы взять на себя ответственность.

Это может быть указано в записях собраний и обсуждений, подтверждающих, что подробные обсуждения рисков имели место. Необходимо обеспечить возможность увидеть, что все элементы риск-менеджмента представлены в ключевых процессах принятия решений, осуществляемых в организации, например, обсуждений размещения капитала по крупным проектам, реструктуризации, и организационных изменений.

Обработка рисха может изменить риск путем изменения источника опасного ообыгия например, применение методов управления позволяет более точно определить вероятность реализации события или изменения диа-. Структура менеджмента риска связана с действиями в рамках системы менед жмента организации включая методы, процессы, системы, ресурсы и культуру , которые позволяют управлять риском. Характеристики структуры менеджмента риска и степень ее интеграции 8 систему менеджмента организации в конечном счете определяют эффективность менеджмента риска.

Структура должна включать четкие заявления со стороны высшего руководства о намерении организации относительно менеджмента риска описанные в ИСО как полномочия и обязательства и поддержке ресурсы и возможность , направленной на достижение этого намерения. Возможности не существуют как единичная система или элемент. Возможности включают многочисленные элементы, интегрированные в общие процессы менеджмента организации.

Критерии риска — это параметры, установленные организацией, которые позволяют описывать риск и принимать решения относительно уровня риска с учетом отношения организации к риску.

Эти решения позволяют оценить риск и выбрать способы его обработки. Менеджмент включает скоординированные действия, которые позволяют руководить и управлять организацией для достижения поставленных целей. Менеджмент риска — эго составной компонент менеджмента организации, поскольку включает скоординированные действия, связанные с воздействием неопределенности на поставленные цепи.

Именно поэтому для обеспечения результативности менеджмента риска необходима максимальная интеграция этого процесса в систему менеджмента и процессы организации. Все организации управляют риском в той или той степени, поэтому в стандарте ИСО В принципах менеджмента риска приведены:. В стандарте ИСО каждый принцип представлен в виде двух частей: Успешное внедрение этих принципов влияет на результативность и эффективность менеджмента риска в организации.

Всегда должны быть учтены все одиннадцать принципов, даже при том. В данном приложении приведено описание способов применения каждого принципа, при этом для некоторых из них приведены едахтичвские рекомендации по их применению. Менеджмент риска наглядно способствует достижению целей и улучшению деятельности, например, обеспечения здоровья и безопасности людей, защиты соответствия законодательным и другим обязательным требованиям. Данный принцип помогает понять, что цель менеджмента риска состоит в создании и защите ценности организации.

Взаимосвязь между результативностью менеджмента риска и достижением успеха организации необходимо явно продемонстрировать и довести до сведения всех вовлеченных сторон.

Данный принцип разъясняет, что риском нельзя управлять ради него самого, но необходимо управлять ради достижения поставленных целей организации и их превышения.

Менеджмент риска — не автономное действие, которое является отдегъным от основных видов деятельностей и процессов организации. Действия организации, включая принимаемые решения, вызывают риск. Изменения во внешней среде, которые неподконтрольны организации, могут инициировать появления нового риска.

Все действия и процессы организации происходят во внутренней и внешней среде, в которой присутствует неопределенность. Из этого следует, что:.

Метод выражения намерений организации т. Аудиторские компании могут играть важную роль при анализе способов принятия решения руководством, а также анализа применения процесса менеджмента рисха. Менеджмент риска помогает лицам, принимающим решения, сделать информированный выбор, расположить по приоритетам действия и сделать выбор между альтернативными планами действий.

Данный принцип показывает, что менеджмент рисха лежит в основе принятия обоснованного решения. Менеджмент риска должен быть интегрирован в действия, поддерживающие достижение целей, и процесс принятия решений. В процессе принятия решений следует последовательно оценивать риск и, если необходимо, его обрабатывать. Принятие или непринятие решений включает риск и важно осознавать риск в обеих ситуациях. Менеджмент риска должен быть частью принятия решения. Риск следует учитывать заранее превентивно до принятия решения, а не по факту принятия решения.

В политике организации 8 области менеджмента риска и обмена информацией о нем должен быть отражен данный принцип. Ответственные за принятие решений на всех уровнях и во всех подразделениях организации должны понимать политику в области менеджмента риска организации и должны обладать необходимой компетентностью, чтобы эффективно применять процесс менеджмента риска при принятии решений.

Для достижения максимального эффекта от применения данного принципа необходимо с самого начала подробно ответить на следующие вопросы:. Какие знания и навыки необходимы для тех. Менеджмент риска четко учитывает неопределенность, характер этой неопределенности и способы ее обработки. Процесс менеджмента риска уникален среди других типов менеджмента тем. Риск можно оценить и успешно обработать только в случае, если поняты особенности и источник неопределенности.

Организация должна рассмотреть неопределенность всех типов, при этом нельзя ее недооценивать или переоценивать. Направленность на анализ неопределенности важна также при выборе способов обработки рисха, анализе воздействия и надежности методов управления. Лица, вовлеченные в управление риском, должны понимать значение неопределенности, типы и источники неопределенности.

Количество и виды методов оценки риска, направленных на снижение неопределенности, должны соответствовать важности принимаемого решения, при этом предпочтительно применять разнонаправленные методы. Предположения, на основе которых приняты решения, должны быть зарегистрированы а процессе менеджмента риска ИСО Предположения обычно отражают некоторую форму неопределенен ости. Неопределенность, выявленная на разлитых этапах процесса, должна быть учтена.

При оценка риска важно оценить неопределенность, связанную с оценкой и ранжированием вероятности и последствий. В процессе анализа риска и предполагаемой обработки риска необходимо исследовать чувствительность, т.

Лица, принимающие решения, должны, прежде всего, выяснить: Следует определить способы непрерывного мониторинга и анализа этих особенностей. Если неопределенность существует только в пределах известного диапазона, то необходимо следить за значением неопределенности в данном диапазоне.

Систематический, регулярный и структурированный подход к менеджменту риска способствует эффективности и устойчивым, сравнимым и надежным результатам.

Последовательный подход к управлению риском в процессе принятия решения помогает обеспечить эффективность работы и создает атмосферу доверия и успеха в организации.

Для этого необходимо применение организационных методов, которые позволяют у-мтывать риск, связанный со всеми принятыми решениями, и использовать последовательные критерии риска, связанные с достижением целей организации и соответствием области применения ее деятельности. Своевременный подход показывает, что процесс менеджмента риска гфименек в опгимагъной точке в процессе принятия решений.

Частично, эго зависит от разработанной структуры, к которой также применяют этот принцип. Если соображения относительно риска сделаны слишком рано или слишком поздно, а также если возможности. Структурированный подход подразумевает применение процесса менеджмента риска так.

Входные данные для процесса менеджмента риска основаны на таких источниках информации, как исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы и экспертные оценки. Однако лица, принимающие решения, должны принимать во внимание любые ограничения данных и моделирования.

Для организации важно получить наилучшую доступную информацию, чтобы иметь правильное понимание риска. Следовательно, мероприятия менеджмента риска должны включать методы например, исследование сбора и генерирования информации. Организация должна помять чувствительность решений по отношению к неопределенности информации. Достоверность оценки риска зависит, частично, от точности и прецизионности критериев риска.

Сбор данных, связанных с риском, например, данных о возникновении инцидентов и другой информации, полученной на фактических данных может помочь при статистическом прогнозировании. На практике основной целью часто становится принятие решений на основе фактических данных, хотя это не всегда возможно по времени или доступным ресурсам.

В таких ситуациях выводы на основе экспертных оценок необходимо объединять с доступной информацией. Кроме тога, на основе прошлых данных не всегда возможен точный прогноз. Этот принцип также применим при разработке или улучшении структуры менеджмента риска, поскольку существуют аспекты структуры, которые могут определить успех использования этого принципа.

Достоверность и точность информации необходимо регулярно анализировать для обеспечения ее адекватности. Необходимо обеспечить периодический анализ, а также пересмотр или коррекцию структуры менеджмента риска по проблемным вопросам.

При разработке и проектировании способов обмена информацией об инцидентах необходимо сначала тщательно рассмотреть цели использования информации.

Определить, при решении каких вопросов может помочь эта информация, кто настоящие и будущие ее конечные пользователи, как необходимо сортировать информацию. Если при оценке используют предположения, то пояснения относительно этих предположений, включая все ограничения, должны быть точно зарегистрированы и поняты. Менеджмент риска должен соответствовать внешней и внутренней области применения среде и профилю риска.

В стандарте ИСО изложен общий подход к созданию менеджмента риска, применимый ко всем типам организаций и всем типам риска. Каждая организация имеет культуру, показатели, критерии риска и область применения деятельности. Нет никакого единственно правильного способа разработки и реализации структуры и процессов менеджмента риска, поскольку необходимы гибкость и адаптация для каждой организации.

При разработке следует учитывать многие аспекты, включая размер, культуру, сферу деятельности, конфигурацию и стиль управления организации.

Различные виды риска могут потребовать разработки и применения различных специализированных процессов в организации. Процессы менеджмента риска должны соответствовать требованиям ИСО , при этом могут быть различия в системах, моделях и уровне применяемых оценок риска например, при оценке риска, связанного с информационными технологиями ИТ , инвестиционного риска или риска, связанного с конкурентами. Каждый процесс должен быть адаптирован для определенной цели. Важно иметь в веду, что адаптация не подразумевает различия в элементах структуры см.

Все они важны для эффективного менеджмента риска. Данный принцип важен во время разработки и улучшения структуры менеджмента риска, а также при определении способов структурирования аспектов процесса. Данный принцип может также показать, что организация должна исследовать внутренние проблемы, например. Адаптивность структуры необходима для достижения интеграции с процессами принятия решений организации.

При этом необходимо изменение процессов принятия решений, чтобы соответствовать модифицированной структуре менеджмента риска. При разработке структуры менеджмента риска необходимо определить вовлеченных лиц и учесть их требования и потребности. Наоборот, поверхностное понимание не приведет к этой цели.

Менеджмент риска признает возможности, восприятия и намерения людей за пределами и внутри организации. Данный принцип помогает учесть представления и потребности заинтересованных лиц. При этом необходимо понимать, что на такие представления и потребности могут оказывать влияние социальные, культурные и иные характеристики. Общие типы ошибок включают следующее:.

При разработке струхгуры и применении всех аспектов процесса менеджмента риска необходимо установить требования, чтобы понять и использовать в работе человеческие и культурные факторы.

Разработка структуры и обмен информации о риске должны учитывать культурные характеристики и уровни знаний аудитории. Руководители должны своими действиями показывать, что они способствуют и поддерживают уважение и понимание индивидуальных различий людей.

Как правило, организации вознаграждают за то. Если выбор, поощрение и вознаграждение работников напрямую не связаны с фактическим выполнением работ в области менеджмента риска, то маловероятно, что такая работа будет соответствовать стандартным требованиям к менеджменту риска. Как правило, неблагоразумно полагаться только на единоличное управление, необходимо привлечение различных мнений, чтобы работать с риском. Для транснациональных корпораций благоразумно признать значение культуры при определении поведения людей.

Иногда необходимо проверить правильность понимания и интерпретации обмена информацией на всех уровнях в организации? Существуют ли способы получения и признания слухов, а также способы реагирования на них а организации, достаточно ли этих способов, чтобы не допустить отрицательного воздействия слухов?

Придерживается ли организация политики и процедур? Они внедрены в жизнь? Соответствующее и своевременное вовлечение заинтересованных сторон и.

Данный принцип может воздействовать на разных уровнях. Консультации с заинтересованными сторонами являются частью этапа внедрения процесса менеджмента риска и их необходимо планировать и относиться к этому очень аккуратно. Именно здесь доверие может быть построено или разрушено. При внедрении данного принципа необходимо учитывать проблемы, связанные с конфиденциальностью, безопасностью и частной жизнью, например, доступ к отдельным пунктам реестра риска может быть ограничен.

При обучении менеджменту риска могут быть использованы ролевые игры, связанные с обучением обмену информацией и консультациям по подготовке кадров в области менеджмента риска. Необходимо обеспечить регулярную обратную связь, чтобы продемонстрировать эффективность процесса на практике. Необходимо поощрять выявление новых мнений, эти мнения и представления следует поощрять, признавать. Менеджмент риска непрерывно распознает изменения и реагирует на них. Аналогично изменения в области деятельности организации например, приобретение другой компании.

В стандарте ИСО изложено два режима мониторинга и анализа для структуры и процесса. Каждый из них предназначен для своей цели и каждый требует осмысления и реагызации. Организация должна проводить мониторинг и анализ структуры для обеспечения соответствия принципам менеджмента риска, политике 8 области менеджмента риска и поддержки применения процесса принятия решений.

Организация должна проводить анализ своих методов управления риском, чтобы обеспечить их непрерывную результативность при реагировании на изменения. Организация должна тщательно адаптировать процессы мониторинга и анализа, в особенности они должны быть чувствительны к факторам изменения, которые могут оказать наибольшее воздействие.

В процессе мониторинга и анализа необходимо оценить значения контролируемых показателей. При этом необходимо актуализировать такие показатели при возникновении изменений или новых обстоятельств. Мониторинг и анализ — это уникальные виды деятельности см.

Мониторинг связан с непрерывным наблюдением зэ основными параметрами для определения их соответствия установленным требованиям. Анализ проводят периодически, он должен быть структурирован относительно его цели и предназначен для определения актуальности предположений, на основе которых были приняты решения т. Анализ должен также учесть внедрение новых знаний и технологий. При применении процессе менеджмента риска и разработке заявления об области применения этого процесса.

Выявленные изменения могут потребовать переоценки отдельных или всех документированных рисков. Даже небольшие организации должны учитывать глобальные изменения, например, глобальный финансовый кризис глубоко повлиял на некоторых небольших поставщиков, главными потребителями которых были организации, связанные прямо или косвенно с банкротством банка.

Такие внешние события или обстоятельства могут потребовать превентивных изменений структуры менеджмента риска. Организации должны разрабатывать и применять стратегии улучшения менеджмента риска одновременно с улучшением других аспектов своей деятельности.

Постоянное улучшение эффективности работы организации взаимосвязано с постоянным улучшением процесса менеджмента риска. Усовершенствованный процесс менеджмента риска, который основан на оценке риска принимаемых решений, может помочь снизить неопределенность в достижении целей, минимизировать изменчивость и повысить адаптивность организации. Менеджмент риска не должен проводиться на грани возможностей и гибкости реагирования. Данный принцип особенно важен для организаций, которые опасаются использовать новые возможности для улучшения деятельности.

Данный принцип связан с непрерывным поиском возможностей повышения эффективности менеджмента риска, например, внедряя новые информационные технологии при принятии решений. Цели постоянного улучшения должны быть установлены в политике в области менеджмента риска организации.

Необходимо проводить непрерывный формальный и неформальный обмен информацией об этих целях. Постоянное улучшение может включать следующее:. Постоянное улучшение основано на использовании качественных и количественных показателях улучшения. Если е работе использованы поэтапные подходы и модели зрелости, то необходимо разработать показатели постоянного улучшения, которые основаны на ресурсах и культуре организации.

На практике, для достижения некоторых улучшений может потребоваться время, например, может возникнуть необходимость в дополнительном бюджетировании и планировании. При планировании улучшешй необходимо расставить приоритеты, ранжировать выгоды и организовать проведение мониторинга реализации улучшений 8 организации.

При использовании мониторинга и анализа элементов структуры необходимо проводить ежегодный анализ выполнения принципов менеджмента риска и внедрения улучшений. Организация должна оценить и проанализировать соответствие, пригодность и эффективность структуры менеджмента риска. Необходимо использовать систему отчетности об инцидентах, чтобы провести анализ их причины.

Организация должна проводить мониторинг достижений например, проект выполнен вовремя в рамках выделенного боджета. В ранном приложении приведены руководящие указания и стратегии реализации полномочий и обязательств.

Для того чтобы полномочия и обязательства были эффективными, высшее руководство и контролирующие органы организации должны четко описать заинтересованным сторонам свой подход к менеджменту риска, документированию и обмену информацией о соответствующих полномочиях и обязательствах. Разработка полномочий включает принятие решения о направлении действий и определение ответственных за их выполнение. В существующих организациях разработка полномочий влечет за собой изменения.

При идентификации направления действий одновременно необходимо определить обязательства по их выполнению. Полномочия и обязательства — это фундаментальная часть структуры менеджмента риска. Полномочия и обязательства должны быть частью менеджмента организации и структуры и должны быть учтены при их разработке. Полномочия и обязательства должны отражать одиннадцать принципов менеджмента риска, изложенных в ИСО На практике полномочия и соответствующие обязательства организации могут быть выражены и восприняты явным и неявным способом.

Если существующие полномочия и обязательства организации в области менеджмента риска уже не соответствуют перечисленным критериям, следует провести явные и неявные необходимые изменения. Пример — Если контролирующим органом или высшим руководством принято решение, в отношении которого была проведена оценка риска, это является признаком того, что организация приняла на себя обязательства по пониманию этого риска.

Существенной частью адаптации пересмотренных полномочий является разработка плана по изменению понимания требований. Цель этого плана состоит в обеспечении того, что полномочия и преимущества от их выполнения широко поняты, в них верят, а также то. Действия организации, их сравнение с заявлениями о полномочиях имеют наибольшее воздействие на принятие их различными заинтересованными сторонами.

Одним из основных способов выражения полномочий и обмена информацией о них явным способом является установление политики в области менеджмента риска и обмен информацией о ней. Способы выражения политики должны соответствующим образом учитывать принцип менеджмента риска д менеджмент риска должен быть адаптируемым и быть совместимы с общим направлением развития органи-. В противном случав политика в области менеджмента риска не может рассматриваться как часть общей системы, в которой работает организация.

Для более крупных организаций пртятие политики обычно подразумевает разработку формального заявления о полномочиях в области менеджмента риска. Такая политика входит составной частью в общий набор политик и утверждается высшим руководством.

Вовлечение высшего руководства и контролирующих органов и принятие ими соответствующих обязательств являются ключевыми факторами для успеха программ менеджмента риска. Организация должна рассмотреть следующие вопросы, которые помогают установить соответствующие полномочия и обязательства в области менеджмента риска:. Каковы стратегические цели организации? Действительно ли они ясны?

Что является явным и неявным в этих целях? Насколько высшее руководство понимает природу и значимость рисков, решение по которым оно готово взять на себя, и возможностей, которые оно готово использовать для достижения стратегических целей организации?

При принятии решений руководители и работники понимают степень, до которой им индивидуально разрешено представлять организацию с учетом последствий события или ситуации? Отношение к риску должно быть основано на опыте, позволяющем принимать обоснованные решения с учетом риска.

Понимают ли руководители свой суммарный и связанный уровень риска и соответственно могут ли определить приемлемость риска? Понимают пи высшее руководство и исполнительное руководство суммарный и связанный уровень риска для организации е целом? Действительно ли специалистам и ислогыительному руководству ясно, что отношение к риску не является постоянным?

Оно мажет быть изменено под воздействием изменения конъюнктуры рынка и среды. При принятии решения полностью ли исследованы последствия?

Структура риска должна помочь руководителям. Какие существенные риски высшее руководство готово принять на себя и какие возможности оно готово использовать? Какие существенные риски высшее руководство не готово принять на себя? Политика должна быть поддержана явными и неявными способами, правильно выражена и соответствовать шесги критериям, установленным в С.

Высшее руководство и контролирующие органы должны продемонстрировать и укреплять приверженность организации полномочиям и обязательствам в области менеджмента риска с помощью соединения явных и неявных действий, включая следующие:. Стандарт ИСО может быть внедрен во всей организации или в ее части, например, во вспомогательных подразделениях.

Установленные полномочия в области менеджмента риска должны быть обдуманными и учитывать стратегические перспективы и результаты консультаций с контролирующими органами и высшим руководством. Это поможет обеспечить осуществление полномочий организацией. Полномочия и обязательства необходимо анализировать на тактическом и стратегическом уровнях. Организация должна определить и оценить требования к компетентности, навыкам и опыту персонала, провести экспертизу их достижения.

Необходимо внимательно следить за изменениями, происходящими в соответствии с полномочиями в области менеджмента риска. Иногда изменения могут быть радикальными например, изменения в требованиях к работе, мониторинге функционирования и процессах управления , поэтому способность организации к изменениям может быть снижена.

Изменения необходимо рассматривать в связи с другими изменениями, которые находятся на стадии реагыза-ции. Необходимо проводить консультации с работниками, которые будут в значительной степени затронуты изменениями. Полномочия должны быть четко сформулированы в программном заявлении, которое демонстрирует обязательства организации.

Приложение содержит рекомендации по мониторингу и анализу структуры и процессов менеджмента риска е соответствии с ИСО Мониторинг и анализ — два типа действий, направленных на определение достоверности предположений и решений. Эти методы используют для поддержки эффективности функционирования общей структуры менеджмента риска и отдельных этапов процесса менеджмента риска.

Мониторинг включает в себя наблюдение фактического выполнения и сравнение полученных результатов с ожидаемым или требуемым выполнением. Анализ включает периодическую или внезапную проверку текущей ситуации, направленную на выявление изменений в среде, производственных и организационных методах работы.

В процессе анализа необходимо рассмотреть результаты, полученные в процессе мониторинга. Аудит — процесс систематического анализа на основе фактических данных на соответствие установленным критериям.

Каждый аудит — это анализ, но не каждый анализ — аудит. Мониторинг и анализ направлены на обеспечение разумной гарантии того, что риском соответственно управляют. Мониторинг и анализ необходимы для обеспечения понимания организацией своих рисков в соответствии с критериями риска и отношением к риску. Действия по мониторингу и анализу, а также по результатам мониторинга и анализа, часто испогъзуют как систему, способную помочь обнаружить и исправить слабые места, прежде чем произойдут отрицательные воздействия или обеспечить уверенность в том.

Риск может стать дополнительным фактором изменений во внутренней и внешней среде организации. При внимательном отношении к таким изменениям, выполнению работ, несоответствиям и ошибкам организация сможет идентифицировать возможности для улучшения структуры менеджмента риска и работы организации в целом.

Необходимо разработать на местах всестороннюю программу мониторинга и регистрации показателей риска при выполнении работ, которые должны быть интегрированы с другими показателями работы организации. Программа должна помочь в создании системы раннего обнаружения неблагоприятных трендов, которые могут потребовать внедрения предупреждающих действий. Мониторинг и анализ по отдельности могут быть направлены на индивидуальный риск или несколько связанных рисков.

Общую ответственность за действия по мониторингу и анализу несут контролирующие органы и высшее руководство, а не органы контроля, например, подразделения по внутреннему аудиту. Действия по мониторингу и анализу могут быть рассмотрены с точки зрения иерархической структуры. При этом необходимо регулярно проводить действия по мониторингу и анализу на высших уровнях, что. Программа мониторинга и анализа должна верифицировать внедрение и эффективность выполнения политики в области менеджмента риска.

Способ реагирования высшего руководства на результаты программы мо-. Очень важно, чтобы высшее руководство действовало как. Независимость анализа, проводимого внутренними или внешними сторонами, вытекает из отношений проверяющего аудитора и нанимающей стороны. Независимость — основа беспристрастности анализа и объективности выводов.