ISO 31000
ISO 31000 — семейство стандартов, касающихся риск-ориентированного управления организацией. ИсторияСемейство стандартов ISO 31000 было разработано Техническим комитетом № 262 «Менеджмент риска» Международной организации по стандартизации (ISO). В феврале 2018 года вышла новая версия стандарта. Представленное второе издание стандарта отменяет и вводится взамен технически пересмотренного первого издания (ISO 31000:2009). Российским аналогом ISO 31000 является ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство». СодержаниеВ настоящее время семейство стандартов 31000 включает:
Одним из ключевых изменений, предложенных ранее в ГОСТ Р ИСО 31000-2010, была концептуализация понятия риска. В соответствии с ГОСТ термин «риск» означает не «шанс или вероятность потерь», а «влияние неопределенности на цели» таким образом слово «риск» применяется для обозначения как позитивных, так и негативных событий. Влияние — это отклонение от того, что ожидается. Оно может быть положительным и/или отрицательным, и может способствовать реализации возможностей и устранению угроз, создавать или приводить к возникновению возможностей и угроз. Цели могут иметь различные аспекты и категории и могут применяться на различных уровнях. Риск обычно определяется в терминах источников риска, потенциальных событий, последствий этих событий и их вероятности. Менеджмент риска — скоординированные действия по управлению организацией с учетом риска.
Целью риск-менеджмента является создание и защита стоимости. Риск-менеджмент улучшает производительность, стимулирует инновации и способствует достижению целей. Согласно ISO 31000:2018 организация с эффективным риск-менеджментом должна следовать следующим принципам:
Инфраструктура стандарта заключается в том, что информация о рисках, полученная в рамках процесса управления рисками, надлежащим образом зафиксирована и используется в качестве основы для принятия решений и отчетности на всех уровнях организации. Настоящая инфраструктура предназначена не для того, чтобы предписать систему управления рисками, а для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента. Общая схема управления рисками в организации согласно ISO 31000 включает: лидерство и ответственность (в ГОСТ Р ИСО 31000:2018 особенно выделена); интеграция; разработка; внедрение; мониторинг; улучшение. Нововведением[1] является раздел по внедрению риск менеджмента в организации, который включает:
Успешное внедрение структуры требует участия и осведомленности заинтересованных сторон. Это позволяет организациям прямо учитывать неопределенность при принятии решений, а также обеспечивать, чтобы любая новая или последующая неопределенность была принята во внимание по мере возникновения. Надлежащим образом спроектированная и применяемая структура риск-менеджмента обеспечивает его внедрение во все виды деятельности организации, включая процессы принятия решений, а также надлежащий учет изменений во внешнем и внутреннем контексте.
Процесс риск-менеджмента предполагает систематическое применение политик, процедур и практик для обеспечения обмена информацией и консультирования, определения контекста, а также оценки рисков, воздействия на риски, мониторинга, анализа и документирования рисков, а также ведения отчетности по рискам. Процесс риск-менеджмента должен быть неотъемлемой частью процессов управления и принятия решений и должен быть интегрирован в структуру, деятельность и процессы организации. Он может применяться на стратегическом, операционном, программном или проектном уровнях. В рамках организации процесс риск-менеджмента может иметь множество вариантов применения, адаптированных с учетом необходимости достижения целей организации, а также внешнего и внутреннего контекста. На протяжении всего процесса риск-менеджмента следует учитывать динамичный и переменчивый характер поведения и культуры человека. В рамках организации процесс риск-менеджмента может иметь множество вариантов применения, адаптированных с учетом необходимости достижения целей организации, а также внешнего и внутреннего контекста. Процесс управления рисками состоит из разделов:
Область примененияГОСТ Р ИСО 31000 предоставляет рекомендации по управлению рисками, с которыми сталкиваются организации. Порядок применения данных рекомендаций может быть адаптирован для любой организации и ее контекста. Стандарт содержит общий подход к управлению любыми рисками и не является узкоспециальным или отраслевым. Стандарт может применяться в течение всего жизненного цикла организации и для любой деятельности, включая принятие решений на всех уровнях. Несмотря на то, что данный стандарт предоставляет обобщенное руководство, он не предназначен для обеспечения единообразия риск-менеджмента во всех организациях. При создании и применении планов, касающихся инфраструктуры риск-менеджмента, необходимо учитывать различные потребности конкретной организации, ее частные цели, ситуацию (контекст), структуру, операции, процессы, функции, проекты, продукты, услуги или активы. а также конкретную практику, принятую в организации. Это следует понимать в том смысле, что данный стандарт необходимо использовать для гармонизации процессов управления риском, описанных в существующих действующих и будущих стандартах. Он устанавливает общий подход для поддержки стандартов, распространяющихся на конкретные риски и/или отрасли, и не заменяет эти стандарты. См. такжеПримечания
|