ГОСТ Р ИСО 31000-2019 Менеджмент риска. Принципы и руководство (Переиздание)
6.3 Область применения, среда и критерии
6.3.1 Общие положения
Цель определения области применения, среды и критериев заключается в адаптации процесса менеджмента риска, позволяющей эффективно оценивать риск и подбирать соответствующие методы обработки риска. Область применения, среда и критерии включают в себя определение области применения процесса менеджмента риска с учетом понимания внешней и внутренней среды организации.
6.3.2 Определение области применения
Организация должна определить область применения в отношении действий, связанных с менеджментом риска.
Поскольку процесс менеджмента риска может применяться на разных уровнях (например, стратегическом, операционном, программном, проектном или др.), важно четко понимать рассматриваемую область применения, соответствующие цели, которые необходимо учитывать, а также их согласование с организационными целями.
При планировании подхода учитываются следующие факторы:
- цели и решения, которые необходимо принять;
- ожидаемые результаты от шагов, предпринимаемых в рамках этого процесса;
- время, местоположение, определенные допущения и исключения;
- соответствующие инструменты и методы оценки рисков;
- требуемые ресурсы, обязанности и документирование результатов;
- взаимосвязь с другими проектами, процессами и действиями.
6.3.3 Внешняя и внутренняя среда
Внешняя и внутренняя среда - это окружение, в котором организация стремится определить и достичь своих целей.
Понимание среды процесса менеджмента риска должно исходить из внешнего и внутреннего окружения, в котором работает организация, и отражать конкретные условия деятельности, к которым должен применяться процесс менеджмента риска.
Понимание среды важно, потому что:
- менеджмент риска происходит с учетом целей деятельности организации;
- организационные факторы могут быть источником риска;
- цель и область применения процесса менеджмента риска взаимосвязаны с общими целями организации.
Организация должна установить внешнюю и внутреннюю среду процесса менеджмента риска, рассмотрев факторы, упомянутые в 5.4.1.
6.3.4 Определение критериев риска
Организация должна указать размер и тип риска, который она может или не может принять по отношению к своим целям. Она также должна определять критерии для оценки значимости риска и поддержки процессов принятия решений. Критерии риска должны быть согласованы со структурой управления рисками и адаптированы к конкретным целям и объемам рассматриваемой деятельности. Критерии риска должны отражать ценности, цели и ресурсы организации и соответствовать политикам и заявлениям в отношении менеджмента риска. Критерии должны определяться с учетом обязательств организации и мнений причастных сторон.
Хотя критерии риска должны быть установлены в начале процесса оценки риска, они являются динамичными и в случае необходимости должны пересматриваться и корректироваться.
При определении критериев риска необходимо учитывать следующее:
- характер и тип неопределенностей, которые могут повлиять на результаты и достижение целей (как материальные, так и нематериальные);
- способ определения и оценки последствий (как положительных, так и отрицательных) и их вероятность;
- факторы, связанные со временем;
- корректность и согласованность применяемых методов измерений;