ГОСТ Р 51901.7-2017/ISO/TR 31004:2013 Менеджмент риска. Руководство по внедрению ИСО 31000 (Переиздание)

Приложение A
(справочное)

Основные концепции и принципы

A.1 Общие положения

В настоящем приложении приведено объяснение некоторых терминов и концепций (например, "риск"), применяемых в ежедневной практике, которые имеют особое значение в ИСО 31000 и настоящем стандарте.

ИСО 31000 определяет риск как "влияние неопределенности на цели".

Примечание - Целесообразно, чтобы пользователи настоящего стандарта ознакомились с терминами и определениями в данном приложении.

A.2 Риск и цели

Организации всех типов сталкиваются в своей работе с внутренними и внешними факторами и воздействиями, которые могут повлиять на срок и степень достижения поставленных целей. Воздействие неполной информации об этих факторах на цели организации является риском.

Цели, упомянутые в ИСО 31000 и настоящем стандарте, - это результаты, к которым стремится организация. Как правило, эти цели выражают намерения и стремления организации и отражают ее явные и неявные задачи, ценности и приоритеты с учетом социальных обязательств, законодательных и обязательных требований. Обычно управление риском становится более простым, если цели выражены в измеримых величинах. Часто бывает, что организация устанавливает разнообразные цели, при этом несогласованность целей может стать дополнительным источником риска.

Вероятность (шанс) - это не только возможность появления события, но и реализации последствий события, а также значимость последствий (положительных и/или отрицательных). Как правило, существует диапазон возможных последствий события, и каждому из них соответствует собственная вероятность. Уровень риска может быть выражен как вероятность возникновения особых последствий (включая диапазон). Последствия связаны непосредственно с целями и возникают, когда какие-то события происходят или не происходят.

Риск - это влияние неопределенности на достижение цели независимо от конкретной области или обстоятельств, поэтому событие или опасность (или другой источник риска) не должны быть описаны как риск. Риск должен быть описан как комбинация вероятности возникновения события (или опасности, или источника риска) и его последствий.

Понимание того, что у риска могут быть положительные или отрицательные последствия, является центральной и жизненно важной концепцией, которая должна быть понята руководством организации. Риск может принести организации опасности и/или возможности.

Риск может быть создан или изменен после принятия решения. Поскольку почти всегда существует некоторая неопределенность, связанная с принятием решений, то почти всегда существует риск. Ответственные за достижение целей должны понимать, что риск является неизбежной частью работы организации, при этом риск может возникнуть или измениться после принятия решения. Риск, связанный с принятием решений, должен быть понят при принятии решения, такой риск является преднамеренным. Это становится возможным при использовании процесса менеджмента риска, описанного в ИСО 31000.

A.3 Неопределенность

Неопределенность, которая вместе с целями вызывает риск, возникает во внутренней и внешней среде работы организации. Неопределенность может быть вызвана:

- последствиями основных социологических, психологических и культурных факторов, связанных с поведением человека;

- воздействиями естественных (природных) процессов, которые характеризуются присущей им изменчивостью, например, погоды, изменениями наблюдений в совокупностях;

- результатом неполной или неточной информации, например, из-за утерянных, измененных, ненадежных, внутренне противоречивых и/или недоступных данных;

- изменениями во времени, например, из-за конкуренции, трендов, новой информации, изменений основополагающих факторов;

- разным восприятием воздействия неопределенности в различных подразделениях организации и заинтересованных лиц.

A.4 Обработка и управление риском

Обработка риска - это действия, выполняемые организацией для изменения риска, которые позволяют достичь поставленных целей.

Обработка риска может изменить риск путем изменения источника опасного события (например, применение методов управления позволяет более точно определить вероятность реализации события) или изменения диапазона возможных последствий и места, где они могут произойти. Обработка риска в соответствии с ИСО 31000 является процессом, который направлен на изменение и/или разработку средств управления и включает сохранение риска.

A.5 Структура менеджмента риска

Структура менеджмента риска связана с действиями в рамках системы менеджмента организации (включая методы, процессы, системы, ресурсы и культуру), которые позволяют управлять риском.

Характеристики структуры менеджмента риска и степень ее интеграции в систему менеджмента организации в конечном счете определяют эффективность менеджмента риска.

Структура должна включать четкие заявления со стороны высшего руководства о намерении организации относительно менеджмента риска (описанные в ИСО 31000 как полномочия и обязательства) и поддержке (ресурсы и возможность), направленной на достижение этого намерения.

Возможности не существуют как единичная система или элемент. Возможности включают многочисленные элементы, интегрированные в общие процессы менеджмента организации. Они могут быть уникальными с точки зрения задач управления риском (например, создание специализированной информационной системы) и/или могут быть аспектами системы менеджмента организации (например, применение методов управления человеческими ресурсами).