ГОСТ Р ИСО 31000:2010 Менеджмент риска. Принципы и Руководство (ISO 31000:2009 Risk management. Principles and guidelines) — представляет собой семейство стандартов, касающихся менеджмента риска.

В настоящее время семейство стандартов 31000 включает:

ГОСТ Р ИСО 31000:2010 подготовлен научно-техническим центром «ИНТЕК» на основе собственного аутентичного перевода на русский язык международного стандарта ISO 31000:2009. Стандарт введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. номер 883-ст. Настоящий стандарт идентичен международному стандарту ISO 31000:2009 Risk management. Principles and guidelines, кодифицированного Международной организацией по стандартизации (International Organization for Standardization).

ГОСТ Р ИСО 31000:2010 описывает принципы, инфраструктуру и процесс менеджмента риска. Он может быть использован любой организацией, независимо от ее размера, деятельности или сектора. Использование ГОСТ Р ИСО 31000:2010 призвано помочь организациям повысить вероятность достижения целей, улучшить выявление возможностей и угроз, а также эффективно распределять и использовать ресурсы для менеджмента риска. Также он применим для любого вида риска, вне зависимости от его природы и негативных или позитивных последствий его реализации.

Область применения[1]

Деятельность любой организации сопряжена с риском. Поскольку все организации в определённой степени управляют рисками, настоящий стандарт устанавливает ряд принципов, которые необходимо соблюдать, для того чтобы менеджмент риска был эффективным. ГОСТ Р ИСО 31000:2010 рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру.

ГОСТ Р ИСО 31000:2010 предназначен для широкого круга заинтересованных сторон, в том числе: руководства, линейных менеджеров, менеджеров проектов, риск-аналитиков, практикующих риск-менеджеров, аудиторов и владельцев риска.

Единообразие менеджмента риска[1]

Несмотря на то что настоящий стандарт предоставляет обобщенное руководство, он не предназначен для обеспечения единообразия риск-менеджмента во всех организациях. При создании и применении планов, касающихся инфраструктуры риск-менеджмента, необходимо учитывать различные потребности конкретной организации, ее частные цели, ситуацию (контекст), структуру, операции, процессы, функции, проекты, продукты, услуги или активы. а также конкретную практику, принятую в организации.

Это следует понимать в том смысле, что настоящий стандарт необходимо использовать для гармонизации процессов управления риском, описанных в существующих действующих и будущих стандартах. Он устанавливает общий подход для поддержки стандартов, распространяющихся на конкретные риски и/или отрасли, и не заменяет эти стандарты.

ГОСТ Р ИСО 31000:2010 не предназначен для целей сертификации.

Понятие риска[1]

Одним из ключевых изменений, предложенных в ГОСТ Р ИСО 31000:2010, является концептуализации понятия риска. В соответствии с ГОСТ Р ИСО 31000:2010 термин «риск» означает не «шанс или вероятность потерь», а «влияние неопределенности на цели» таким образом слово «риск» применяется для обозначения как позитивных, так и негативных событий.

Принципы управления рисками[1]

Согласно ГОСТ Р ИСО 31000:2010 организация с эффективным риск-менеджментом должна следовать следующим принципам:

  • риск-менеджмент создает и защищает ценность
  • риск-менеджмент является неотъемлемой частью всех организационных процессов
  • риск-менеджмент является частью процесса принятия решений
  • риск-менеджмент явным образом связан с неопределенностью
  • риск-менеджмент является систематическим, структурированным и своевременным
  • риск-менеджмент основывается на наилучшей доступной информации
  • риск-менеджмент является адаптируемым
  • риск-менеджмент учитывает человеческие и культурные факторы
  • риск-менеджмент является прозрачным и учитывает интересы заинтересованных сторон
  • риск-менеджмент является динамичным, итеративным и реагирующим на изменения
  • риск-менеджмент способствует постоянному улучшению организации

Инфраструктура управления рисками[1]

Инфраструктура стандарта заключается в том, что информация о рисках, полученная в рамках процесса управления рисками, надлежащим образом зафиксирована и используется в качестве основы для принятия решений и отчетности на всех уровнях организации.

Общая схема управления рисками в организации согласно ISO 31000 включает:

  • Определение полномочий и обязанностей
  • Поредение внутреннего и внешнего контекста
  • Утверждения политики по управлению рисками
  • Отчетность по рискам
  • Интеграция в организационные процессы
  • Ресурсы
  • Установление внутренней и внешней коммуникации и механизмов отчетности
  • Внедрение процесса управления рисками
  • Мониторинг и контроль
  • Непрерывное совершенствование

Настоящая инфраструктура предназначена не для того, чтобы предписать систему управления, а для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента.

Процесс управления рисками[1]

Согласно стандарту процесс управления рисками должен быть неотъемлемой частью управления и культуры организации, а также адаптирован под все бизнес-процессы организации.

Обмен информацией и консультирование с внешними и внутренними заинтересованными сторонами должны происходить в рамках всех стадий процесса управления рисками. Сам процесс управления рисками включает в себя несколько этапов. Первый этап включает в себя анализ внешней и внутренней среды, определение контекста процесса управления рисками, включая цели, организационную структуру, масштаб и другое, а также на начальном этапе важно определить критерии риска.

Следующий этап непосредственно оценка рисков (идентификация, анализ и оценивание). Идентификация подразумевает определение источника риска, события, причины и последствия реализации риска. Анализ риска предполагает детальное рассмотрение причин и возможных последствий, как негативных, так и позитивных, а также вероятность реализации риска. Результатом анализа может быть как качественная, так и количественная оценка уровня риска. Глубина анализа зависит как от целей, так и от наличия требуемой информации. Оценивание риска заключается, во-первых, в сравнении полученных оценок на этапе анализа с утвержденными в организации критериями риска, во-вторых, в принятии решении о способе реагирования на риск.

На заключительном этапе происходит обработка риска, которая включает в себя выбор той или иной опции по модификации риска, составление планов мероприятий и их реализации. ГОСТ Р ИСО 31000:2010 определяет методы реагирования на риски:

  • Избегание риска путем принятия решения не начинать или не продолжать деятельность, порождающую этот риск
  • Принято или увеличение риска с целью получения возможности
  • Удаление источника риска
  • Изменение вероятности
  • Изменение последствий
  • Передача риск третьей стороне или сторонам (включая контракты и финансирование риска)
  • Осознанное решение по удержанию риска

Каждый из этапов должен быть охвачен мониторингом и контролем с целью анализа эффективности всего процесса управления рисками, выявления изменений во внутреннем и внешнем контексте, и как следствие, изменения и совершенствования «слабых мест».

Актуализация ГОСТ Р ИСО 31000-2010

Международный стандарт ISO 31000:2009 Risk management. Principles and guidelines в данный момент находится на актуализации. Эксперты из более 30 стран мира, включая Россию, работают в рамках Технического Комитета ISO/TC 262 [2], над обновлением стандарта ISO 31000:2009. Ожидается, что обновленная версия документа будет доступна для публичных комментариев в 2017г.

НАПИШИТЕ НАМ

Вы можете задать нам интересующий вас вопрос и мы постараемся ответить вам в кратчайшее время.

Sending

©2017  Автономная некоммерческая организация дополнительного профессионального образования «Институт стратегического анализа рисков управленческих решений»

Log in with your credentials

Forgot your details?