ГОСТ Р 51901.7-2017/ISO/TR 31004:2013
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ РИСКА
Руководство по внедрению ИСО 31000
Risk management. Guidance for the implementation of ISO 31000
ОКС 03.100.01
Дата введения 2018-12-01
1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (АО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 12 сентября 2017 г. N 1060-ст
4 Настоящий стандарт идентичен международному документу ISO/TR 31004:2013* "Менеджмент риска. Руководство по внедрению ИСО 31000" (ISO/TR 31004:2013 "Risk management - Guidance for the implementation of ISO 31000", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Международный стандарт разработан Техническим комитетом по стандартизации ISO/TC 262.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Сентябрь 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
0.1 Общие положения
Организации используют для достижения поставленных целей различные методы менеджмента риска (выявление, обнаружение, понимание и, при необходимости, обработку риска).
Настоящий стандарт может помочь организациям повысить результативность менеджмента риска в соответствии с ИСО 31000, устанавливающим общий подход к менеджменту риска организации.
Настоящий стандарт предназначен для лиц, ответственных за принятие решений, воздействующих на достижение целей организации, включая ответственных за менеджмент риска, экспертов в области риска и специалистов отделов по управлению риском. Настоящий стандарт предназначен для использования всеми заинтересованными лицами, связанными с деятельностью в области риска, включая преподавателей, студентов, а также лиц, участвующих в разработке законодательных и обязательных требований.
Настоящий стандарт следует применять вместе с ИСО 31000, стандарт применим к организациям всех типов и размеров. Основные концепции и определения, необходимые для понимания ИСО 31000, приведены в приложении А. Общие методы, направленные на приведение в соответствие существующих методов менеджмента риска организации требованиям ИСО 31000, приведены в разделе 3. Настоящий стандарт обеспечивает также динамическое регулирование в соответствии с изменением внутренней и внешней среды организации.
В приложениях приведены дополнительные объяснения и примеры внедрения ИСО 31000.
Примеры, описанные в настоящем стандарте, приведены только для иллюстрации.
0.2 Основные положения и принципы
Некоторые понятия и концепции являются фундаментальными для понимания ИСО 31000 и настоящего стандарта, их объяснение приведено в разделе 2 ИСО 31000:2009 и приложении А.
В ИСО 31000 установлено одиннадцать принципов эффективного менеджмента риска. Принципы являются информационной и руководящей основой во всех аспектах менеджмента риска организации. Принципы устанавливают характеристики эффективного менеджмента риска. Организация должна не просто внедрить принципы менеджмента риска, а включить эти принципы во все аспекты менеджмента. Они служат показателями выполнения менеджмента риска и повышают значение эффективной организации менеджмента риска. Принципы менеджмента риска воздействуют на все элементы процесса в переходный период, описанные в настоящем стандарте, возникающие при этом технические проблемы описаны в приложениях. Более детальные рекомендации приведены в приложении В.
В настоящем стандарте использованы термины "высшее руководство" и "контролирующий орган". Термин "контролирующий орган" относят к лицу или группе лиц, которые направляют деятельность организации и управляют организацией на высшем уровне. Термин "контролирующие организации" относят к лицу или группе лиц, которые дают руководящие указания и проверяют деятельность высшего руководства.
Примечание - Во многих организациях функции "контролирующего органа" могут быть возложены на совет директоров, попечительский совет, наблюдательный совет и т.д.
В настоящем стандарте приведены руководящие указания по внедрению в организации эффективного менеджмента риска на основе применения требований ИСО 31000. В стандарте приведены:
- структурированный подход, направленный на приведение менеджмента риска организации в соответствии с требованиями ИСО 31000 с учетом особенностей деятельности организации;
- разъяснение основных положений ИСО 31000;
- руководящие указания по внедрению принципов и структуры менеджмента риска, приведенных в ИСО 31000.
Настоящий стандарт может быть использован государственными, частными и/или общественными организациями, ассоциациями, группой лиц или отдельными лицами.
Примечание - Для удобства различные пользователи настоящего стандарта далее объединены общим термином "организация".
Настоящий стандарт может быть применен ко всем видам деятельности и всем подразделениям организации.
В настоящем стандарте использована нормативная ссылка на следующий стандарт. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ISO 31000:2009, Risk management - Principles and guidelines (Менеджмент риска - Принципы и руководящие указания)
___________________
Заменен на ISO 31000:2018.
3.1 Общие положения
В данном разделе приведено руководство по приведению существующего менеджмента риска организации в соответствие с принципами и требованиями ИСО 31000, при этом необходимо обеспечить непрерывность соответствия менеджмента риска организации этим требованиям.
Приведенная в стандарте общая методология применима при плановом подходе всеми организациями независимо от особенностей мероприятий менеджмента риска организации и включает в себя следующее:
- сравнение существующей деятельности с требованиями ИСО 31000;
- идентификацию необходимых изменений и подготовку плана внедрения этих изменений;
- выполнение непрерывного мониторинга и анализа для обеспечения постоянного улучшения.
Осуществление этих действий позволит организации достичь понимания своего риска и обеспечить соответствие риска критериям и отношению организации к риску.
Независимо от причин внедрения ИСО 31000 применение его положений и требований может позволить организации лучше управлять своими рисками и эффективно достигать поставленных целей. Все организации до некоторой степени управляют риском. Стратегия внедрения ИСО 31000 должна отражать способ управления риском в организации.
Процесс внедрения, описанный в 3.2, позволяет провести сравнительную оценку существующего менеджмента риска организации с требованиями ИСО 31000 и, в случае необходимости, адаптировать и внести необходимые изменения.
В ИСО 31000 идентифицированы различные элементы структуры менеджмента риска. Если эти элементы интегрированы в управление, функции и процессы организации, она может достичь целого ряда преимуществ в работе, связанных со скоростью принятия решений, результативностью и эффективностью работы. Ниже перечислены основные преимущества такой интеграции.
a) Менеджмент риска может быть встроен в общую систему менеджмента и принятия решений организации; независимо от того, является система формальной или неформальной; существующие процессы менеджмента могут быть улучшены в соответствии с ИСО 31000.
b) Понимание неопределенности при управлении организацией становится неотъемлемой частью системы менеджмента, при этом могут быть установлены общие принципы менеджмента организации.
c) Внедрение процесса менеджмента риска учитывает особенности, размер и требования организации.
d) Управление политикой, структурой и процессом(ами) в области менеджмента риска может быть интегрировано в существующие системы менеджмента организации.
e) Отчетность в области менеджмента риска может быть интегрирована в общую отчетность организации.
f) Выполнение действий менеджмента риска становится неотъемлемой частью общего подхода к работе организации.
g) Взаимодействие и связь между отдельными областями менеджмента риска организации (например, менеджмент риска подразделения, финансовый менеджмент риска, менеджмент риска проекта, менеджмент безопасности, обеспечение непрерывности бизнеса, страховой менеджмент) могут быть достигнуты и/или улучшены путем учета риска при достижении целей и урегулировании проблем организации.
h) Организация может улучшить обмен информацией о неопределенности и риске между группами, участвующими в менеджменте риска и различными уровнями управления организации.
i) Направление действий в области менеджмента риска организации могут быть сосредоточены на достижении целей и приняты за общее направление работы организации. Организация может получить косвенные социальные выгоды, поскольку внешние заинтересованные лица организации могут быть мотивированы на улучшение их деятельности в области менеджмента риска*.
_________________
* Текст документа соответствует оригиналу. - Примечание изготовителя базы данных.
j) Обработка риска, средства и методы контроля риском могут стать неотъемлемой частью ежедневной деятельности организации.
3.2 Способы внедрения ИСО 31000
В стандарте ИСО 31000 приведено разъяснение способов эффективного менеджмента риска, однако способы интеграции менеджмента риска в процессы менеджмента организации в стандарте рассмотрены недостаточно. Существуют различные организации с разными отправными точками в области менеджмента риска, однако общий и систематический подход к внедрению применим во всех случаях. Организация должна определить необходимость внесения изменений в существующую структуру менеджмента риска, спланировать и внедрить эти изменения и затем проводить непрерывный мониторинг результативности. Это позволит организации:
- привести существующий в организации менеджмент риска в соответствие с принципами и требованиями, установленными в ИСО 31000, пункт 3;
- применять процесс менеджмента риска, описанный в ИСО 31000, пункт 5;
- установить признаки улучшенного менеджмента риска в соответствии с A.3 приложения A ИСО 31000;
- достигнуть ключевых результатов (см. ИСО 31000, пункт 2).
Данный подход также применим к организациям, в которых достигнуто соответствие требованиям ИСО 31000, для выполнения требований ИСО 31000, пункты 4.6 и 5.6, относительно постоянного улучшения структуры и процессов менеджмента риска.
При внесении изменений в менеджмент риска организации рекомендовано использовать опыт других организаций по управлению аналогичными типами риска или аналогичными процессами.
3.3 Интеграция требований ИСО 31000 в процессы менеджмента организации
3.3.1 Общие положения
Стандарт ИСО 31000 устанавливает структуру и основной процесс менеджмента риска организаций всех типов и их отдельных частей. Рекомендации данного подраздела помогают интегрировать элементы ИСО 31000 в общий менеджмент организации, включая действия, процессы и функции. Организации могут интегрировать положения ИСО 31000 в существующие процессы и/или разработать и внедрить новый подход, основанный на ИСО 31000. В данном подразделе установлены основные элементы структуры, процесса и действий, необходимых для успешной интеграции этих элементов и достижения целей организации. Существует много способов внедрения стандарта ИСО 31000 в организации. Выбор и порядок внедрения элементов должны соответствовать потребностям организации и ее заинтересованным сторонам. Необходимо учесть, что менеджмент риска должен поддерживать общую стратегию управления бизнесом, т.е. помогать организации в достижении цели, защите бизнеса и создании дополнительной ценности организации. Следует также учитывать особенности культуры организации, а также методы управления изменениями и проектами.
Внедрение стандарта ИСО 31000 является динамическим итеративным процессом. Внедрение структуры связано с процессом менеджмента риска, описанным в пункте 5 ИСО 31000. Преимущества от внедрения можно получить от интеграции и постоянного улучшения менеджмента риска во всей организации.
Интеграцию следует рассматривать в условиях динамического изменения среды организации. Организация должна проводить мониторинг изменений, которые вызваны процессом внедрения, а также изменений внутренней и внешней среды. При этом может возникнуть потребность в изменении критериев риска.
3.3.2 Полномочия и обязательства
Все действия по управлению бизнесом обычно начинают с анализа их целесообразности, разработки этапов процесса и оценки экономической эффективности. Эти действия обычно основаны на решении высшего руководства и контролирующего органа о внедрении, выделении необходимых ресурсов и наделении ответственных лиц необходимыми полномочиями.
Обычно процесс внедрения включает следующее: