Недействующий
БЕСПЛАТНО проверьте актуальность своей документации
с «Кодекс/Техэксперт АССИСТЕНТ»


ГОСТ Р ИСО 31000-2010

Группа Т58

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Менеджмент риска

ПРИНЦИПЫ И РУКОВОДСТВО

Risk management. Principles and guidelines

ОКС 03.100.01

Дата введения 2011-09-01

Предисловие

1 ПОДГОТОВЛЕН Научно-техническим центром "ИНТЕК" на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 "Стратегический и инновационный менеджмент"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. N 883-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 31000:2009* "Менеджмент риска. Принципы и руководство" (ISO 31000:2009 "Risk management - Principles and guidelines" IDT)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.


Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соотвентствие с ГОСТ Р 1.5 (пункт 3.5)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Июнь 2018 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Организации всех типов и размеров сталкиваются с внутренними и внешними факторами и воздействиями, которые порождают неопределенность в отношении того, достигнут ли они своих целей, и когда. Влияние такой неопределенности на цели организации и есть "риск".

Вся деятельность организации включает в себя риск. Организации осуществляют риск-менеджмент посредством его идентификации, его анализа и последующего оценивания, будет ли риск изменен воздействием, чтобы соответствовать установленным критериям риска. На протяжении всего этого процесса они обмениваются информацией и консультируются с заинтересованными сторонами, а также наблюдают и анализируют риск и действия по управлению, которые изменяют риск для гарантии того, что какого-либо воздействия на риск в дальнейшем больше не потребуется. Настоящий стандарт подробно описывает этот систематический и логический процесс.

Поскольку все организации в определенной степени управляют риском, настоящий стандарт устанавливает ряд принципов, которые необходимо соблюдать для того чтобы менеджмент риска был эффективным. Настоящий стандарт рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру.

Менеджмент риска может применяться ко всей организации в любое время в ее многих областях и на многих уровнях, а также к особым функциям, проектам и видам деятельности.

________________

В силу этого во многих областях установилась различная словоупотребительная практика в отношении понятия "менеджмент риска". Поэтому очень часто в научно-технической литературе встречается словосочетание "риск-менеджмент". Далее по тексту стандарта, где это уместно, также для простоты данное словосочетание используется наряду с общепринятым.


Несмотря на непрерывное развитие практики менеджмента во многих отраслях с целью соответствия различным потребностям, внедрение постоянных процессов в рамках общей инфраструктуры может способствовать эффективному и результативному управлению рисками во всей организации. Обобщенный подход, описанный в настоящем стандарте, устанавливает принципы и руководства управления рисками любой формы системным, прозрачным и надежным образом и в рамках любой области и содержания.

Каждая конкретная отрасль или сфера применения риск-менеджмента имеет свои отдельные потребности, потребителей, восприятия и критерии. Поэтому основной особенностью настоящего стандарта является включение "определения ситуации (контекста)" как деятельности, проводимой в начале общего процесса риск-менеджмента. При определении ситуации (контекста) необходимо рассматривать цели организации, окружающую среду, в которой эти цели достигаются, заинтересованные стороны и разнообразие критериев риска, все то, что помогает выявлять и оценивать характер и сложность этих рисков.

На рисунке 1 показаны взаимосвязи принципов менеджмента риска, инфраструктуры и процессов менеджмента риска, описанных в настоящем стандарте.


Рисунок 1 - Взаимосвязи между принципами, инфраструктурой и процессом менеджмента риска

При применении и поддержании в соответствии с настоящим стандартом риск-менеджмент дает возможность организации:

- повышать возможность достижения целей;

- поддерживать активный менеджмент;

- осознавать необходимость идентификации и воздействия на риски по всей организации;

- улучшать идентификацию возможностей и угроз;

- отвечать соответствующим законодательным и другим обязательным требованиям и международным нормам;

- улучшать обязательную и управленческую отчетность;

- улучшать управление;

- укреплять доверие заинтересованных сторон;

- создавать надежный базис для принятия решений и планирования;

- совершенствовать управление;

- эффективно распределять и использовать ресурсы для воздействия на риск;

- повышать функциональную эффективность и результативность;

- повышать уровень обеспечения безопасности, здоровья, а также защиты окружающей среды;

- совершенствовать предотвращение потерь и менеджмент инцидентов;

- сводить к минимуму потери;

- улучшать обучение в организации;

- повышать устойчивость организации.

Настоящий стандарт предназначен для удовлетворения потребностей широкого круга заинтересованных сторон, включая:

a) лиц, ответственных за разработку политики управления рисками внутри организации;

b) лиц, ответственных за обеспечение эффективности управления рисками в рамках организации в целом или в рамках конкретной области, проекта или деятельности;

c) лиц, которым необходимо оценивать эффективность организации по управлению рисками;

d) разработчиков стандартов, руководств, процедур и добросовестных практик, которые в целом или частично устанавливают как осуществлять риск-менеджмент в рамках конкретных ситуаций в этих документах.

Современные практики и процессы управления многих организаций включают компоненты риск-менеджмента, а многие организации уже используют формальный процесс риск-менеджмента для конкретных типов риска или обстоятельств. В этих случаях организация может принять решение о проведении критического обзора используемых ею практик и процессов в свете настоящего стандарта.

В настоящем стандарте используются оба выражения: как термин "менеджмент риска ("risk management")", так и термин "управление риском" ("managing risk"). В общих чертах "менеджмент риска" относится к архитектуре (принципам, инфраструктуре и процессу) эффективного управления рисками, в то время как "управление рисками" относится к применению этой архитектуры к конкретным рискам.

Международный стандарт был подготовлен рабочей группой по риск-менеджменту Технического управляющего бюро ИСО (ТМВ).

     1 Область применения

Настоящий стандарт устанавливает принципы и общее руководство по риск-менеджменту.

Настоящий стандарт может использовать любое государственное, частное или общественное предприятие, ассоциация, группа лиц или отдельное лицо. Этот стандарт не является специфическим для какой-либо промышленности или отрасли.

Примечание - Всех различных пользователей настоящего стандарта называют для удобства общим термином "организация".


Настоящий стандарт может применяться в течение всего жизненного цикла организации и для широкого спектра деятельности, включая стратегии и решения, операции, процессы, функции, проекты, продукцию, услуги и активы.

Настоящий стандарт может применяться к любому типу риска, независимо от его характера, а также того, имеет ли он отрицательные или положительные последствия.

Несмотря на то что настоящий стандарт предоставляет обобщенное руководство, он не предназначен для обеспечения единообразия риск-менеджмента во всех организациях. При создании и применении планов, касающихся инфраструктуры риск-менеджмента, необходимо учитывать различные потребности конкретной организации, ее частные цели, ситуацию (контекст), структуру, операции, процессы, функции, проекты, продукты, услуги или активы, а также конкретную практику, принятую в организации.

Это следует понимать в том смысле, что настоящий стандарт необходимо использовать для гармонизации процессов управления риском, описанных в существующих действующих и будущих стандартах. Он устанавливает общий подход для поддержки стандартов, распространяющихся на конкретные риски и/или отрасли, и не заменяет эти стандарты.

Настоящий стандарт не предназначен для целей сертификации.

     2 Термины и определения

В настоящем стандарте применяют следующие термины с соответствующими определениями:

2.1 риск (risk): Влияние неопределенности на цели.

Примечание 1 - Влияние - это отклонение от того, что ожидается (положительное и/или отрицательное).

Примечание 2 - Цели могут иметь различные аспекты (например, финансовые и экологические цели и цели в отношении здоровья и безопасности) и могут применяться на различных уровнях (стратегических, в масштабах организации, проекта, продукта или процесса).

Примечание 3 - Риск часто характеризуется ссылкой на потенциально возможные события (2.17) и последствия (2.18) или их комбинации.

Примечание 4 - Риск часто выражают в виде комбинации последствий событий (включая изменения в обстоятельствах) и связанной с этим вероятности или возможности наступления (2.19).

Примечание 5 - Неопределенность - это состояние, заключающееся в недостаточности, даже частичной, информации, понимания или знания относительно события, его последствий или его возможности.


[Руководство ИСО 73:2009, определение 1.1]

2.2 менеджмент риска, риск-менеджмент (risk management): Скоординированные действия по управлению организацией с учетом риска (2.1).

[Руководство ИСО 73:2009, определение 2.1]

2.3 инфраструктура менеджмента риска (risk management framework): Набор компонентов, обеспечивающих основы и организационные меры и структуру для разработки, внедрения, мониторинга (2.28), пересмотра и постоянного улучшения менеджмента риска (2.2) в масштабе всей организации.

Примечание 1 - Основы включают политику, цели, полномочия и обязательства по управлению риском (2.1).

Примечание 2 - Организационные меры и структура включают планы, взаимосвязи, ответственность, ресурсы, процессы и деятельность.

Примечание 3 - Инфраструктура менеджмента риска встроена во все стратегические и операционные политики и практики организации.


[Руководство ИСО 73:2009, определение 2.1.1]

2.4 политика менеджмента риска (risk management policy): Заявление общих намерений и направлений деятельности организации в отношении менеджмента риска (2.2).

[Руководство ИСО 73:2009, определение 2.1.2]

2.5 отношение к риску (risk attitude): Подход организации к оценке и, в конечном счете, к использованию благоприятных возможностей, удержанию, принятию или недопущению риска (2.1).

[Руководство ИСО 73:2009, определение 3.7.1.1]

2.6 план менеджмента риска (risk management plan): Документ в инфраструктуре менеджмента риска (2.3), определяющий подход, элементы управления и ресурсы, используемые при менеджменте риска (2.1).

Примечание 1 - Элементы менеджмента риска обычно включают процедуры, практики, распределение обязанностей и ответственности, последовательность и время деятельности.

Примечание 2 - План менеджмента риска может применяться для конкретного продукта, процесса и проекта, а также к части или ко всей организации.


[Руководство ИСО 73:2009, определение 2.1.3]

2.7 владелец риска (risk owner): Лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками (2.1).

[Руководство ИСО 73:2009, определение 3.5.1.5]