Разработка инфраструктуры менеджмента риска
ГОСТ Р ИСО 31000-2010 Группа Т58
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Менеджмент риска
ПРИНЦИПЫ И РУКОВОДСТВО
Risk management. Principles and guidelines
ОКС 03.100.01
Дата введения 2011-09-01
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Сведения о стандарте
1 ПОДГОТОВЛЕН Научно-техническим центром "ИНТЕК" на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 "Стратегический и инновационный менеджмент"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. N 883-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 31000:2009* "Менеджмент риска. Принципы и руководство" (ISO 31000:2009 "Risk management - Principles and guidelines")
________________
* Доступ к международным и зарубежным документам, упомянутым здесь и далее по тексту, можно получить, перейдя по ссылке. - Примечание изготовителя базы данных.
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
|
|
Введение
Организации всех типов и размеров сталкиваются с внутренними и внешними факторами и воздействиями, которые порождают неопределенность в отношении того, достигнут ли они своих целей, и когда. Влияние такой неопределенности на цели организации и есть "риск".
Вся деятельность организации включает в себя риск. Организации осуществляют риск-менеджмент посредством его идентификации, его анализа и последующего оценивания, будет ли риск изменен воздействием, чтобы соответствовать установленным критериям риска. На протяжении всего этого процесса они обмениваются информацией и консультируются с заинтересованными сторонами, а также наблюдают и анализируют риск и действия по управлению, которые изменяют риск для гарантии того, что какого-либо воздействия на риск в дальнейшем больше не потребуется. Настоящий стандарт подробно описывает этот систематический и логический процесс.
|
|
Поскольку все организации в определенной степени управляют риском, настоящий стандарт устанавливает ряд принципов, которые необходимо соблюдать, для того чтобы менеджмент риска был эффективным. Настоящий стандарт рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру.
Менеджмент риска* может применяться ко всей организации в любое время в ее многих областях и на многих уровнях, а также к особым функциям, проектам и видам деятельности.
________________
* В силу этого во многих областях установилась различная словоупотребительная практика в отношении понятия "менеджмент риска". Поэтому очень часто в научно-технической литературе встречается словосочетание "риск-менеджмент". Далее по тексту стандарта, где это уместно, также для простоты данное словосочетание используется наряду с общепринятым.
|
|
Несмотря на непрерывное развитие практики менеджмента во многих отраслях, с целью соответствия различным потребностям, внедрение постоянных процессов в рамках общей инфраструктуры может способствовать эффективному и результативному управлению рисками во всей организации. Обобщенный подход, описанный в настоящем стандарте, устанавливает принципы и руководства управления рисками любой формы системным, прозрачным и надежным образом и в рамках любой области и содержания.
Каждая конкретная отрасль или сфера применения риск-менеджмента имеет свои отдельные потребности, потребителей, восприятия и критерии. Поэтому основной особенностью настоящего стандарта является включение "определения ситуации (контекста)" как деятельности, проводимой в начале общего процесса риск-менеджмента. При определении ситуации (контекста) необходимо рассматривать цели организации, окружающую среду, в которой эти цели достигаются, заинтересованные стороны и разнообразие критериев риска, все то, что помогает выявлять и оценивать характер и сложность этих рисков.
|
|
На рисунке 1 показаны взаимосвязи принципов менеджмента риска, инфраструктуры и процессов менеджмента риска, описанных в настоящем стандарте.
Рисунок 1 - Взаимосвязи между принципами, инфраструктурой и процессом менеджмента риска
При применении и поддержании в соответствии с настоящим стандартом риск-менеджмент дает возможность организации:
- повышать возможность достижения целей;
- поддерживать активный менеджмент;
- осознавать необходимость идентификации и воздействия на риски по всей организации;
- улучшать идентификацию возможностей и угроз;
- отвечать соответствующим законодательным и другим обязательным требованиям и международным нормам;
- улучшать обязательную и управленческую отчетность;
- улучшать управление;
- укреплять доверие заинтересованных сторон;
- создавать надежный базис для принятия решений и планирования;
- совершенствовать управление;
- эффективно распределять и использовать ресурсы для воздействия на риск;
- повышать функциональную эффективность и результативность;
- повышать уровень обеспечения безопасности, здоровья, а также защиты окружающей среды;
- совершенствовать предотвращение потерь и менеджмент инцидентов;
- сводить к минимуму потери;
- улучшать обучение в организации;
- повышать устойчивость организации.
Настоящий стандарт предназначен для удовлетворения потребностей широкого круга заинтересованных сторон, включая:
a) лиц, ответственных за разработку политики управления рисками внутри организации;
b) лиц, ответственных за обеспечение эффективности управления рисками в рамках организации в целом или в рамках конкретной области, проекта или деятельности;
c) лиц, которым необходимо оценивать эффективность организации по управлению рисками;
d) разработчиков стандартов, руководств, процедур и добросовестных практик, которые в целом или частично устанавливают как осуществлять риск-менеджмент в рамках конкретных ситуаций в этих документах.
Современные практики и процессы управления многих организаций включают компоненты риск-менеджмента, а многие организации уже используют формальный процесс риск-менеджмента для конкретных типов риска или обстоятельств. В этих случаях организация может принять решение о проведении критического обзора используемых ею практик и процессов в свете настоящего стандарта.
В настоящем стандарте используются оба выражения: как термин "менеджмент риска ("risk management")", так и термин "управление риском" ("managing risk"). В общих чертах "менеджмент риска" относится к архитектуре (принципам, инфраструктуре и процессу) эффективного управления рисками, в то время как "управление рисками" относится к применению этой архитектуры к конкретным рискам.
Международный стандарт был подготовлен рабочей группой по риск-менеджменту Технического управляющего бюро ИСО (ТМВ).
Область применения
Настоящий стандарт устанавливает принципы и общее руководство по риск-менеджменту.
Настоящий стандарт может использовать любое государственное, частное или общественное предприятие, ассоциация, группа лиц или отдельное лицо. Этот стандарт не является специфическим для какой-либо промышленности или отрасли.
Примечание - Всех различных пользователей настоящего стандарта называют для удобства общим термином "организация".
Настоящий стандарт может применяться в течение всего жизненного цикла организации и для широкого спектра деятельности, включая стратегии и решения, операции, процессы, функции, проекты, продукцию, услуги и активы.
Настоящий стандарт может применяться к любому типу риска, независимо от его характера, а также того, имеет ли он отрицательные или положительные последствия.
Несмотря на то что настоящий стандарт предоставляет обобщенное руководство, он не предназначен для обеспечения единообразия риск-менеджмента во всех организациях. При создании и применении планов, касающихся инфраструктуры риск-менеджмента, необходимо учитывать различные потребности конкретной организации, ее частные цели, ситуацию (контекст), структуру, операции, процессы, функции, проекты, продукты, услуги или активы, а также конкретную практику, принятую в организации.
Это следует понимать в том смысле, что настоящий стандарт необходимо использовать для гармонизации процессов управления риском, описанных в существующих действующих и будущих стандартах. Он устанавливает общий подход для поддержки стандартов, распространяющихся на конкретные риски и/или отрасли, и не заменяет эти стандарты.
Настоящий стандарт не предназначен для целей сертификации.
Термины и определения
В настоящем стандарте применяют следующие термины с соответствующими определениями:
2.1 риск (risk): Влияние неопределенности на цели.
Примечание 1 - Влияние - это отклонение от того, что ожидается (положительное и/или отрицательное). Примечание 2 - Цели могут иметь различные аспекты (например, финансовые и экологические цели и цели в отношении здоровья и безопасности) и могут применяться на различных уровнях (стратегических, в масштабах организации, проекта, продукта или процесса). Примечание 3 - Риск часто характеризуется ссылкой на потенциально возможные события (2.17) и последствия (2.18) или их комбинации. Примечание 4 - Риск часто выражают в виде комбинации последствий событий (включая изменения в обстоятельствах) и связанной с этим вероятности или возможности наступления (2.19). Примечание 5 - Неопределенность - это состояние, заключающееся в недостаточности, даже частичной, информации, понимания или знания относительно события, его последствий или его возможности. [Руководство ИСО 73:2009, определение 1.1] |
2.2 менеджмент риска, риск-менеджмент (risk management): Скоординированные действия по управлению организацией с учетом риска (2.1). [Руководство ИСО 73:2009, определение 2.1] |
2.3 инфраструктура менеджмента риска (risk management framework): Набор компонентов, обеспечивающих основы и организационные меры и структуру для разработки, внедрения, мониторинга (2.28), пересмотра и постоянного улучшения менеджмента риска (2.2) в масштабе всей организации. Примечание 1 - Основы включают политику, цели, полномочия и обязательства по управлению риском (2.1). Примечание 2 - Организационные меры и структура включают планы, взаимосвязи, ответственность, ресурсы, процессы и деятельность. Примечание 3 - Инфраструктура менеджмента риска встроена во все стратегические и операционные политики и практики организации. [Руководство ИСО 73:2009, определение 2.1.1] |
2.4 политика менеджмента риска (risk management policy): Заявление общих намерений и направлений деятельности организации в отношении менеджмента риска (2.2). [Руководство ИСО 73:2009, определение 2.1.2] |
2.5 отношение к риску (risk attitude): Подход организации к оценке и, в конечном счете, к использованию благоприятных возможностей, удержанию, принятию или недопущению риска (2.1). [Руководство ИСО 73:2009, определение 3.7.1.1] |
2.6 план менеджмента риска (risk management plan): Документ в инфраструктуре менеджмента риска (2.3), определяющий подход, элементы управления и ресурсы, используемые при менеджменте риска (2.1). Примечание 1 - Элементы менеджмента риска обычно включают процедуры, практики, распределение обязанностей и ответственности, последовательность и время деятельности. Примечание 2 - План менеджмента риска может применяться для конкретного продукта, процесса и проекта, а также к части или ко всей организации. [Руководство ИСО 73:2009, определение 2.1.3] |
2.7 владелец риска (risk owner): Лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками (2.1). [Руководство ИСО 73:2009, определение 3.5.1.5] |
2.8 процесс менеджмента риска (risk management process): Систематическое применение политик, процедур и практик менеджмента к деятельности по обмену информацией, консультированию, установлению ситуации (контекста) и идентификации, анализу, оцениванию, воздействию на риск, мониторингу (2.28) и пересмотру риска (2.1). [Руководство ИСО 73:2009, определение 3.1] |
2.9 установление ситуации (контекста) (establishing the context): Определение внешних и внутренних параметров, принимаемых во внимание при управлении риском, и установление области применения и критериев риска (2.22) для политики менеджмента рисков (2.4). [Руководство ИСО 73:2009, определение 3.3.1] |
2.10 внешняя ситуация (контекст) (external context): Внешняя среда, в которой организации стремятся к достижению своих целей. Примечание - Внешняя ситуация (контекст) может включать: - культурную, социальную, правовую, регулирующую, финансовую, технологическую, экономическую, естественную и рыночную среду на международном, национальном, региональном или на местном уровне; - основные движущие силы и тенденции, влияющие на цели организации; - взаимосвязи с заинтересованными сторонами (2.13), их ожидания и ценности. [Руководство ИСО 73:2009, определение 3.3.1.1] |
2.11 внутренняя ситуация (контекст) (internal context): Внутренняя среда, в которой организация стремится к достижению своих целей. Примечание - Внутренняя ситуация (контекст) может включать: - руководство, организационную структуру, роли и ответственности; - политики, цели и стратегии, доступные с точки зрения их достижения; - возможности, понимаемые в отношении ресурсов и знания (например, капитал, время, люди, процессы, системы и технологии); - информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные); - взаимосвязи с внутренними заинтересованными сторонами, их ожиданиями и ценностями; - организационную культуру; - стандарты, руководства и модели, принятые организацией; - форму и содержание контрактных отношений. [Руководство ИСО 73:2009, определение 3.3.1.2] |
2.12 обмен информацией и консультирование (communication and consultation): Непрерывные и итерационные процессы, которые организация осуществляет для обеспечения, совместного использования или получения информации и ведения диалога с заинтересованными сторонами (2.13), касающегося управления рисками (2.1). Примечание 1 - Информация может касаться наличия, характера, формы, вероятности или возможности (2.19), важности, приемлемости, оценивания (2.24) и воздействия на риск (2.25). Примечание 2 - Консультирование - это двусторонний процесс квалифицированного обмена информацией между организацией и ее заинтересованными сторонами по любому вопросу, перед тем как вынести решение или перед определением направления решения этого вопроса. Консультирование - это: - процесс, который воздействует на принимаемое решение посредством влияния, а не властных полномочий; - отправная точка принятия решений, а не совместное принятие решений. [Руководство ИСО 73:2009, определение 3.2.1] |
2.13 заинтересованная сторона (stakeholder): Лицо или организация, которые могут воздействовать, или на которые могут воздействовать, или которые считают, что на них влияет какое-либо решение или деятельность. Примечание - Лицо, принимающее решения, может быть заинтересованной стороной. [Руководство ИСО 73:2009, определение 3.2.1.1] |
2.14 оценка риска (risk assessment): Общий процесс идентификации риска (2.15), анализа риска (2.21) и оценивания риска (2.24). [Руководство ИСО 73:2009, определение 3.4.1] |
2.15 идентификация риска (risk identification): Процесс обнаружения, распознавания и описания рисков (2.1). Примечание 1 - Идентификация включает распознавание источников риска (2.16), событий (2.17), их причин и возможных последствий (2.18). Примечание 2 - Идентификация риска может использовать исторические данные, теоретический анализ, обоснованную точку зрения и экспертные мнения и потребности заинтересованных сторон (2.13). [Руководство ИСО 73:2009, определение 3.5.1] |
2.16 источник риска (risk source): Элемент, который отдельно или в комбинации имеет собственный потенциал, чтобы вызвать риск (2.1). Примечание - Источник риска может быть материальным и нематериальным. [Руководство ИСО 73:2009, определение 3.5.1.2] |
2.17 событие (event): Возникновение или изменение ряда конкретных обстоятельств. Примечание 1 - Событие может иметь одно или несколько происхождений и может иметь несколько причин. Примечание 2 - Событие может заключаться в том, что какое-то явление не имело места. Примечание 3 - Иногда событие может рассматриваться как "инцидент" или "несчастный случай". Примечание 4 - Событие без последствий (2.18) можно также рассматривать как "случайное избежание", "инцидент", "почти опасное или опасное", "почти произошедшее". [Руководство ИСО 73:2009, определение 3.5.1.3] |
2.18 последствие (consequence): Результат события (2.17), влияющий на цели. Примечание 1 - Событие может привести к ряду последствий. Примечание 2 - Последствие может быть определенным или неопределенным, может иметь положительные и отрицательные влияния на цели. Примечание 3 - Последствия могут выражаться качественно или количественно. Примечание 4 - Первоначальные последствия могут усиливаться за счет эффекта домино. [Руководство ИСО 73:2009, определение 3.6.1.3] |
2.19 вероятность, возможность (likelihood): Шанс того, что что-то может произойти. Примечание 1 - В терминологии менеджмента риска термин "вероятность" или "возможность" означает шанс того, что что-то может произойти, независимо от того, установлено ли это, измерено или определено объективно или субъективно, качественно или количественно, и описывается ли с помощью общих понятий или математически (например, как вероятность или частота за данный период времени). Примечание 2 - Английский термин "likelihood" не имеет прямого перевода на некоторые языки: вместо этого часто используется перевод слова "probability". Однако в английском языке термин (probability) часто понимают в узком математическом смысле. Поэтому в терминологии менеджмента риска термин "likelihood" используется с той целью, чтобы придать ему настолько же широкий смысл, какой имеет слово "probability" во многих языках, кроме английского. [Руководство ИСО 73:2009, определение 3.6.1.1] |
2.20 профиль риска (risk profile): Описание какого-либо набора рисков (2.1). Примечание - Такой набор может включать риски, которые относятся ко всей организации, ее части или определенные иным образом. [Руководство ИСО 73:2009, определение 3.8.2.5] |
2.21 анализ риска (risk analysis): Процесс понимания природы риска (2.1) и определения уровня риска (2.23). Примечание 1 - Анализ риска обеспечивает основу для оценивания риска (2.24) и решений, касающихся воздействия на риск (2.25). Примечание 2 - Анализ риска включает определение степени риска. [Руководство ИСО 73:2009, определение 3.6.1] |
2.22 критерии риска (risk criteria): Признаки, в соответствии с которыми оценивают значимость риска (2.1). Примечание 1 - Критерии риска основываются на целях организации и внешней (2.10) и внутренней ситуации (контекста) (2.11). Примечание 2 - Критерии риска могут быть взяты из стандартов, законов, политик и других требований. [Руководство ИСО 73:2009, определение 3.3.1.3] |
2.23 уровень риска (level of risk): Величина риска (2.1) или комбинации рисков, выраженная как комбинация последствий (2.18) и их вероятности или возможности (2.19). [Руководство ИСО 73:2009, определение 3.6.1.8] |
2.24 оценивание риска (risk evaluation): Процесс сравнения результатов анализа риска (2.21) с установленными критериями риска (2.22) для определения, является ли риск (2.1) и/или его величина приемлемыми или допустимыми. Примечание - Оценивание риска способствует принятию решения относительно воздействия на риск (2.25). [Руководство ИСО 73:2009, определение 3.7.1] |
2.25 воздействие на риск (risk treatment): Процесс модификации (изменения) риска (2.1). Примечание 1 - Воздействие на риск может включать: - избежание риска посредством решения не начинать или не продолжать деятельность, в результате которой возникает риск; - принятие или увеличение риска для использования благоприятной возможности; - устранение источника риска (2.16); - изменение вероятности или возможности (2.19); - изменение последствий (2.18); - разделение риска с другой стороной или сторонами (включая контракты и финансирование риска); - осознанное удержание риска. Примечание 2 - Воздействие на риск, имеющий отрицательные последствия, иногда называют "смягчением риска", "устранением риска", "предупреждением риска" и "снижением риска". Примечание 3 - Воздействие на риск может создавать новые риски или изменять существующие риски. [Руководство ИСО 73:2009, определение 3.8.1] |
2.26 контроль риска (control): Мера, которая модифицирует (изменяет) риск (2.1). Примечание 1 - Контроль риска может включать любой процесс, политику, методику, практику или другие действия, модифицирующие риск. Примечание 2 - Контроль риска может не всегда приводить к желаемому или ожидаемому эффекту. [Руководство ИСО 73:2009, определение 3.8.1.1] |
2.27 остаточный риск (residual risk): Риск (2.1), сохраняющийся после воздействия на риск (2.25). Примечание 1 - Остаточный риск может содержать в себе неидентифицированный риск. Примечание 2 - Остаточный риск может быть также известен как "удержанный риск". [Руководство ИСО 73:2009, определение 3.8.1.6] |
2.28 мониторинг (monitoring): Постоянная проверка, надзор, критическое наблюдение или определение состояния, с целью идентифицировать изменения относительно требуемого или ожидаемого уровня. Примечание - Мониторинг можно применять к инфраструктуре менеджмента риска (2.3), процессу менеджмента риска (2.8), риску (2.1) или контролю риска (2.26). [Руководство ИСО 73:2009, определение 3.8.2.1] |
2.29 пересмотр (review): Деятельность, предпринимаемая для определения пригодности, адекватности и результативности предмета рассмотрения для достижения установленных целей. Примечание - Процедуры пересмотра можно применять к структуре менеджмента риска (2.3), процессу менеджмента риска (2.8), риску (2.1) или контролю риска (2.26). [Руководство ИСО 73:2009, определение 3.8.2.2] |
Принципы
В целях эффективного управления риском организация должна на всех уровнях соответствовать нижеуказанным принципам:
a) риск-менеджмент создает и защищает ценность*.
________________
* В контексте корпоративного и финансового риск-менеджмента - общепринятый перевод термина "стоимость".
Риск-менеджмент наглядно способствует достижению целей и улучшению деятельности, например, обеспечения здоровья и безопасности людей, защиты, соответствия законодательным и другим обязательным требованиям, общественного признания, защиты окружающей среды, качества продукции, менеджмента проектов, результативности функций, руководства и репутации;
b) риск-менеджмент является неотъемлемой частью всех организационных процессов.
Риск-менеджмент не является обособленной деятельностью, которая отделена от основной деятельности и процессов в организации. Риск-менеджмент - это часть обязательств руководства и неотъемлемая часть всех организационных процессов, включая стратегическое планирование и все процессы управления проектами и изменениями;
c) риск-менеджмент является частью процесса принятия решений.
Риск-менеджмент помогает лицам, принимающим решения, делать обоснованный выбор, определять приоритетность действий и проводить различия между альтернативными направлениями действий;
d) риск-менеджмент явным образом связан с неопределенностью.
Риск-менеджмент четко учитывает неопределенность, характер этой неопределенности и как с ней обращаться;
e) риск-менеджмент является систематическим, структурированным и своевременным.
Систематический, регулярный и структурированный подход к риск-менеджменту способствует эффективности и устойчивым, сравнимым и надежным результатам;
f) риск-менеджмент основывается на наилучшей доступной информации.
Входные данные для процесса риск-менеджмента основываются на таких источниках информации, как исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы и экспертные оценки. Однако лица, принимающие решения, должны отдавать себе отчет и принимать во внимание любые ограничения данных или используемого моделирования или возможности расхождений мнений среди экспертов.
g) риск-менеджмент является адаптируемым.
Риск-менеджмент должен соответствовать внешней и внутренней ситуации (контекста) и профилю риска;
h) риск-менеджмент учитывает человеческие и культурные факторы.
Риск-менеджмент признает возможности, восприятия и намерения людей за пределами и внутри организации, которые могут способствовать или затруднять достижение целей организации;
i) риск-менеджмент является прозрачным и учитывает интересы заинтересованных сторон.
Соответствующее и своевременное вовлечение заинтересованных сторон и, в частности, лиц, принимающих решения, на всех уровнях организации гарантирует, что риск-менеджмент остается на надлежащем уровне и отвечает современным требованиям. Это позволяет заинтересованным сторонам быть должным образом представленными и быть уверенными в том, что их мнение принимается во внимание в процессе установления критериев риска;
j) риск-менеджмент является динамичным, итеративным и реагирующим на изменения;
Риск-менеджмент непрерывно распознает изменения и реагирует на них. Как только происходит внешнее или внутреннее событие, контекст или знания изменяются, осуществляются мониторинг и пересмотр рисков, новые риски появляются, некоторые изменяются, другие исчезают;
k) риск-менеджмент способствует постоянному улучшению организации.
Организации должны разрабатывать и применять стратегии повышения совершенства риск-менеджмента одновременно с другими своими аспектами.
В приложении А приведены дальнейшие рекомендации организациям, желающим управлять рисками более эффективно.
Инфраструктура
Общие положения
Успех риск-менеджмента зависит от эффективности инфраструктуры менеджмента, предоставляющей базовые основы и мероприятия, которые должны использоваться во всей организации на всех уровнях. Инфраструктура способствует эффективному управлению рисками посредством применения процесса риск-менеджмента (см. раздел 5) на различных уровнях и в рамках конкретной ситуации (контекста) в организации. Инфраструктура гарантирует, что информация о риске, полученная из процесса риск-менеджмента, должным образом регистрируется и используется в качестве основы для принятия решения и отчетности на всех соответствующих уровнях организации.
В настоящем разделе представлены необходимые элементы инфраструктуры риск-менеджмента и способ, обеспечивающий их взаимосвязь итеративным образом, как показано на рисунке 2.
Рисунок 2 - Взаимосвязь между элементами инфраструктуры риск-менеджмента
Настоящая инфраструктура предназначена не для того, чтобы предписать систему управления, а для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента. Таким образом, организации должны адаптировать элементы инфраструктуры для своих конкретных потребностей.
Если практики и процессы менеджмента, существующие в организации, включают элементы риск-менеджмента, или если организация уже приняла формально процесс риск-менеджмента для отдельных рисков или ситуаций, то их необходимо критически анализировать и оценивать на соответствие настоящему стандарту, включая признаки, содержащиеся в приложении А, чтобы определить их адекватность и эффективность.
Полномочия и обязательства
Внедрение риск-менеджмента и обеспечение его постоянной эффективности требует принятия со стороны руководства организации четко сформулированных и последовательно выполняемых обязательств по реализации плана управления на всех уровнях, а также подробного стратегического планирования для выполнения этих обязательств. Руководство должно:
- определять и поддерживать политику менеджмента риска;
- гарантировать согласованность культуры организации и ее политики менеджмента риска;
- определять критерии эффективности риск-менеджмента, которые должны соотноситься с критериями эффективности организации в целом;
- согласовывать цели риск-менеджмента с целями и стратегиями организации;
- обеспечивать правовое и регулятивное соответствие;
- устанавливать ответственность и обязательства на соответствующих уровнях в масштабах организации;
- обеспечивать распределение необходимых ресурсов для риск-менеджмента;
- предоставлять информацию своим заинтересованным сторонам о выгодах риск-менеджмента и
- обеспечивать, чтобы инфраструктура риск-менеджмента продолжала оставаться соответствующей.
Разработка инфраструктуры менеджмента риска
Дата добавления: 2018-09-23; просмотров: 790; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!