ГОСТ Р ИСО 31000:2010

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и Руководство (ISO 31000:2009 Risk management. Principles and guidelines) — представляет собой семейство стандартов, касающихся риск-ориентированного управления организацией. В феврале 2018 года вышла новая версия стандарта. Представленное второе издание стандарта отменяет и вводится взамен технически пересмотренного первого издания (ИСО 31000:2009).

Ожидается официальное утверждение Федеральным агентством по техническому регулированию и метрологии (ГОСТ). Авторский перевод ISO 31000-2018 - Менеджмент риска. Руководство доступен на портале РИСК-АКАДЕМИЯ[1].

В настоящее время семейство стандартов 31000 включает:

  • ГОСТ Р ИСО 31000 - Менеджмент риска. Принципы и руководство;[2]
  • ГОСТ Р ИСО/МЭК 31010-2011 - Менеджмент риска. Методы оценки риска;
  • ГОСТ Р 51897-2011 - Менеджмент риска. Термины и определения.

Международная организация по стандартизации (ИСО)

Международная организация по стандартизации (ИСО) является всемирной федерацией национальных организаций по стандартизации (комитетов - членов ИСО). Разработка международных стандартов обычно осуществляется техническими комитетами ИСО. Каждый член ИСО, заинтересованный в деятельности соответствующего технического комитета, имеет право быть представленным в этом комитете. Международные организации, как правительственные, так и неправительственные также принимают участие в данной работе в сотрудничестве с ИСО.[3]

Настоящий документ разработан Техническим комитетом ИСО (ТК) № 262 «Менеджмент риска».

Область применения ГОСТ Р ИСО 31000

ГОСТ Р ИСО 31000 предоставляет рекомендации по управлению рисками, с которыми сталкиваются организации. Порядок применения данных рекомендаций может быть адаптирован для любой организации и ее контекста. Стандарт содержит общий подход к управлению любыми рисками и не является узкоспециальным или отраслевым. Стандарт может применяться в течение всего жизненного цикла организации и для любой деятельности, включая принятие решений на всех уровнях.

Единообразие менеджмента риска[2]

Несмотря на то что настоящий стандарт предоставляет обобщенное руководство, он не предназначен для обеспечения единообразия риск-менеджмента во всех организациях. При создании и применении планов, касающихся инфраструктуры риск-менеджмента, необходимо учитывать различные потребности конкретной организации, ее частные цели, ситуацию (контекст), структуру, операции, процессы, функции, проекты, продукты, услуги или активы. а также конкретную практику, принятую в организации.

Это следует понимать в том смысле, что настоящий стандарт необходимо использовать для гармонизации процессов управления риском, описанных в существующих действующих и будущих стандартах. Он устанавливает общий подход для поддержки стандартов, распространяющихся на конкретные риски и/или отрасли, и не заменяет эти стандарты.

Основные термины

Одним из ключевых изменений, предложенных ранее в ГОСТ Р ИСО 31000:2010, была концептуализации понятия риска. В соответствии с ГОСТ Р ИСО 31000:2010 термин «риск» означает не «шанс или вероятность потерь», а «влияние неопределенности на цели» таким образом слово «риск» применяется для обозначения как позитивных, так и негативных событий. В обновлении стардарта в 2018 году определение риска остается неизменным.

Риск - Влияние неопределенности на цели.

  • Примечание 1: Влияние – это отклонение от того, что ожидается. Оно может быть положительным и/или отрицательным, и может способствовать реализации возможностей и устранению угроз, создавать или приводить к возникновению возможностей и угроз.
  • Примечание 2: Цели могут иметь различные аспекты и категории и могут применяться на различных уровнях.
  • Примечание 3: Риск обычно определяется в терминах источников риска, потенциальных событий, последствий этих событий и их вероятности.

Менеджмент риска, риск-менеджмент (risk-management) - Скоординированные действия по управлению организацией с учетом риска.

Принципы управления рисками

Целью риск-менеджмента является создание и защита стоимости. Риск-менеджмент улучшает производительность, стимулирует инновации и способствует достижению целей.Согласно ISO 31000:2018 организация с эффективным риск-менеджментом должна следовать следующим принципам:

  • Интегрированный. Риск-менеджмент является неотъемлемой частью деятельности организации.
  • Структурированный и всеобъемлющий. Структурированный и комплексный подход к риск-менеджменту приводит к согласующимся и сопоставимым результатам.
  • Адаптируемый. Структура и процесс риск-менеджмента соотносятся и настраиваются с учетом внешнего и внутреннего контекста организации, связанного с ее задачами.
  • Инклюзивный. Соответствующее и своевременное вовлечение заинтересованных сторон позволяет учитывать их знания, взгляды и мнения. Это приводит к повышению осведомленности и обоснованности риск-менеджмента.
  • Динамичный. Риски могут возникать, меняться или исчезать по мере изменения внешнего и внутреннего контекста организации. Риск-менеджмент предвосхищает, обнаруживает, признает и реагирует на эти изменения и события соответствующим образом и своевременно.
  • Основанный на наилучшей доступной информации. В качестве входных данных для процесса риск-менеджмента применяются исторические и фактические данные, а также прогнозные ожидания. Риск-менеджмент явно учитывает любые ограничения и неопределенности, связанные с имеющимися данными и ожиданиями. Используемая информация должна быть актуальной, ясной и доступной для заинтересованных сторон.
  • Учитывающий человеческие и культурные факторы. Человеческое поведение и культура существенно влияют на все аспекты риск-менеджмента на каждом уровне и этапе.
  • Постоянно улучшаемый. Риск-менеджмент постоянно совершенствуется благодаря обучению и накоплению опыта.

Инфраструктура управления рисками

Инфраструктура стандарта заключается в том, что информация о рисках, полученная в рамках процесса управления рисками, надлежащим образом зафиксирована и используется в качестве основы для принятия решений и отчетности на всех уровнях организации. Настоящая инфраструктура предназначена не для того, чтобы предписать систему управления рисками, а для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента.

Общая схема управления рисками в организации согласно ISO 31000 включает:

  • Лидерство и ответственность (в ГОСТ Р ИСО 31000:2018 особенно выделена);
  • Интеграция;
  • Разработка;
  • Внедрение;
  • Мониторинг;
  • Улучшение.

Нововведением[4] является раздел по вндрению риск менеджмента в организации, который включает следующие пункты:

  • разработка соответствующего плана с определением сроков и ресурсов;
  • определение того, где, когда, как и кем принимаются различные типы решений в организации;
  • модификация (изменения) применимых процессов принятия решений (при необходимости);
  • обеспечение понимания и правильного применения механизмов управления рисками организации.

Успешное внедрение структуры требует участия и осведомленности заинтересованных сторон. Это позволяет организациям прямо учитывать неопределенность при принятии решений, а также обеспечивать, чтобы любая новая или последующая неопределенность была принята во внимание по мере возникновения. Надлежащим образом спроектированная и применяемая структура риск-менеджмента обеспечивает его внедрение во все виды деятельности организации, включая процессы принятия решений, а также надлежащий учет изменений во внешнем и внутреннем контексте.

Процесс управления рисками

Процесс риск-менеджмента предполагает систематическое применение политик, процедур и практик для обеспечения обмена информацией и консультирования, определения контекста, а также оценки рисков, воздействия на риски, мониторинга, анализа и документирования рисков, а также ведения отчетности по рискам. Процесс риск-менеджмента должен быть неотъемлемой частью процессов управления и принятия решений и должен быть интегрирован в структуру, деятельность и процессы организации. Он может применяться на стратегическом, операционном, программном или проектном уровнях. В рамках организации процесс риск-менеджмента может иметь множество вариантов применения, адаптированных с учетом необходимости достижения целей организации, а также внешнего и внутреннего контекста.

На протяжении всего процесса риск-менеджмента следует учитывать динамичный и переменчивый характер поведения и культуры человека.

В рамках организации процесс риск-менеджмента может иметь множество вариантов применения, адаптированных с учетом необходимости достижения целей организации, а также внешнего и внутреннего контекста.

Процесс управления рисками состоит из:

  • Обмен информацией и консультирование
  • Область применения, контекст и критерии
  • Оценка риска
  • Воздействие на риск
  • Мониторинг и пересмотр
  • Документирование и отчетность
  1. ISO 31000:2018 - Менеджмент риска. Руководство (русский перевод).
  2. 1 2 ГОСТ Р ИСО 31000-2010 | Страница 1 | НАЦИОНАЛЬНЫЕ СТАНДАРТЫ. protect.gost.ru. Проверено 16 июля 2018.
  3. Перевод стандарта ISO31000:2018 - РИСК-АКАДЕМИЯ АНО ДПО ИСАР (англ.), РИСК-АКАДЕМИЯ АНО ДПО ИСАР. Проверено 19 июля 2018.
  4. А.И.Сидоренко. Новый ISO31000:2018 (рус.) // РИСК-АКАДЕМИЯ.