ГОСТ Р 56275-2014 Менеджмент рисков. Руководство по надлежащей практике менеджмента рисков проектов (Переиздание)

Приложение А
(справочное)

Признаки улучшенного менеджмента риска

А.1 Общие положения

Все организации должны стремиться достичь соответствующего уровня функционирования инфраструктуры менеджмента риска одновременно с критичностью решений, которые должны приниматься. Приведенный ниже перечень признаков обеспечивает высокий показательный уровень менеджмента риска. Чтобы помочь организациям измерить собственное качество менеджмента рисков в соответствии с этими критериями, для каждого признака приводится несколько показателей.

А.2 Ключевые результаты

А.2.1 Организация имеет современное, правильное и всестороннее понимание рисков.

А.2.2 Риски организации находятся в пределах ее критериев риска.

А.3 Признаки

А.3.1 Постоянное улучшение

Акцент на постоянное улучшение менеджмента рисков через установление целей деятельности организации, измерение, пересмотр и последующую модификацию процессов, систем, ресурсов, возможностей и навыков.

Это может подтверждаться наличием определенных целей деятельности, согласно которым измеряют деятельность организации и каждого отдельного менеджера. Данные о деятельности организации могут публиковаться и доводиться до сведения всех заинтересованных сторон. Обычно проводят, как минимум, годовой пересмотр деятельности, ревизию процессов и осуществляют установление целей деятельности на следующий период.

Оценка качества менеджмента рисков является неотъемлемой частью оценки всей деятельности организации и системы измерения качества работы подразделений и отдельных работников.

А.3.2 Полная ответственность за риски

Улучшенный менеджмент риска включает всестороннюю, полностью определенную и принятую отчетность и ответственность за риски, средства управления и задачи, воздействующие на риск. Назначенные лица, которые принимают ответственность за риск, обладают необходимыми навыками и ресурсами для того, чтобы проверять эти мероприятия, осуществлять мониторинг рисков, совершенствовать процесс менеджмента рисков и эффективно доносить информацию о рисках и управлению ими до внешних и внутренних заинтересованных лиц.

Это может подтверждаться всеми членами организации, которые осведомлены в полном объеме о рисках и средствах управления, за которые они несут ответственность. Обычно это должно быть отражено в должностных инструкциях, содержаться в информационных базах данных или системах. Распределение ролей по менеджменту рисков, ответственности и обязательств должно быть частью всех ознакомительных программ организации.

Организация должна гарантировать, что ответственные лица оснащены всем необходимым для выполнения своей роли и им предоставлены полномочия, время, обучение, ресурсы и навыки, достаточные для того, чтобы взять на себя данную ответственность.

А.3.3 Применение менеджмента риска при принятии всех решений

Все принимаемые в организации решения, независимо от степени важности и значимости, включают подробное рассмотрение рисков и применение менеджмента рисков.

Это может быть указано в записях собраний и обсуждений, подтверждающих, что подробный анализ рисков имел место. Необходимо обеспечить возможность получения доказательств, что все элементы менеджмента рисков представлены в ключевых процессах принятия решений, осуществляемых в организации, например при обсуждении размещения капитала по крупным проектам, реструктуризации, и организационных изменениях. По этим причинам четко обоснованный менеджмент риска должен просматриваться в масштабах организации как обеспечивающий основу для результативного руководства.

А.3.4 Постоянный обмен информацией

Улучшенный менеджмент риска включает постоянный обмен информацией с внешними и внутренними заинтересованными сторонами, включая всестороннее и периодическое предоставление информации о деятельности по менеджменту рисков, как части надлежащего управления.

Это может быть подтверждено обменом информации с заинтересованными сторонами в качестве неотъемлемого и важного элемента менеджмента рисков. Обмен информацией следует рассматривать как двусторонний процесс: правильно обоснованные решения могут приниматься в отношении уровня рисков и потребности в воздействии на риск в соответствии с установленными должным образом всесторонними критериями риска.

Всестороннее и периодическое внешнее и внутреннее предоставление информации о значительных рисках и о результатах деятельности по менеджменту рисков способствует в значительной мере результативному руководству в масштабах организации.

А.3.5 Полная интеграция в структуру руководства организации

К менеджменту рисков относятся как к центральному процессу менеджмента организации, а риски рассматривают с точки зрения воздействия неопределенности на цели. Структура руководства и процесс менеджмента организации основываются на менеджменте риска. Менеджеры считают результативный менеджмент риска существенным для достижения целей организации.

Это может подтверждаться использованием в важных письменных материалах организации термина "неопределенность" в отношении рисков. Этот признак также обычно отражается в заявлениях организации, касающихся политики, в частности, той, которая относится к менеджменту рисков. Как правило, этот признак может проверяться посредством интервью с менеджерами и на основе их действий и заявлений.