Менеджмент риска РЕКОМЕНДАЦИИ ПО ВНЕДРЕНИЮ Часть 2 Определение процесса менеджмента риска
ПредисловиеЦели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения» Сведения о рекомендациях 1 РАЗРАБОТАНЫ Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») 2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 «Перспективные производственные технологии, менеджмент и оценка рисков» 3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. № 1259-ст 4 ВВЕДЕНЫ ВПЕРВЫЕ Информация о введении в действие (прекращении действия) настоящих рекомендаций, изменениях и поправок к ним, а также тексты изменений и поправок публикуются в информационном указателе «Национальные стандарты»
ВведениеМенеджмент риска является ключевым процессом организации. Эффективная разработка и внедрение процесса менеджмента риска является важным инструментом постоянного улучшения деятельности организации. Процесс менеджмента риска охватывает различные аспекты работы с риском - от идентификации и анализа риска до оценки его допустимости и определения потенциальных возможностей снижения риска посредством выбора и реализации соответствующих действий. Настоящие рекомендации содержат описание процесса менеджмента риска. Процесс менеджмента риска, представленный в настоящих рекомендациях, носит общий характер, и применим для многих отраслей и типов технических систем. Для конкретных отраслей могут существовать отдельные документы, которые устанавливают методологии оценки и анализа риска в конкретных условиях применения. Если требования этих документов не снижают требования настоящих рекомендаций, то их применение является предпочтительным. При проектировании и разработке процесса менеджмента риска в конкретной организации следует учитывать: - миссию, стратегию, политику и цели организации в области менеджмента риска; - особенности изготавливаемой продукции и оказываемых организацией услуг; - основные процессы и процессы менеджмента организации; - установленные и используемые методы анализа и оценки риска; - законодательные требования; - условия эксплуатации продукции. Аналитики, участвующие в анализе риска, должны быть достаточно компетентными. Если система слишком сложна для анализа одним человеком, эту работу должна выполнять группа аналитиков. Эффективность процесса менеджмента риска зависит от степени соответствия менеджмента риска культуре организации, ее философии и бизнес-процессам. Ответственность за менеджмент риска несет весь персонал организации. РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
Дата введения - 2010-12-01 1 Область примененияНастоящие рекомендации устанавливают общее руководство по определению процесса менеджмента риска. Рекомендации по внедрению менеджмента риска могут быть применены к широкому диапазону действий, решений или процессов организации любого типа: государственной, общественной или частной, для группы или отдельного лица (для удобства далее по тексту будет применяться термин «организация»). Настоящие рекомендации определяют элементы процесса менеджмента риска, однако их целью не является унификация систем менеджмента риска. Процесс менеджмента риска является по своему характеру общим и не зависит от вида промышленного производства или сектора экономики, к которому принадлежит организация. Проектирование и реализация процесса и системы менеджмента риска зависят от потребностей организации, ее специфических целей, особенностей продукции и услуг, установленных процессов и методов. Настоящие рекомендации могут быть применены на всех стадиях жизненного цикла организации или проекта, при производстве продукции или использовании активов. Максимальный эффект может получить организация, у которой процесс менеджмента риска охватывает бизнес-процессы организации. 2 Нормативные ссылкиВ настоящих рекомендациях использованы нормативные ссылки на следующие стандарты: ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты ГОСТ Р ИСО 15489-1-2007 Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования 3 Термины и определенияВ настоящих рекомендациях применены термины и определения по ГОСТ Р 51898, ГОСТ Р 51897, Р 50.1.068, а также следующие термины с соответствующими определениями: 3.1 риск (risk): Сочетание вероятности события и его последствий. Примечания 1 Термин «риск» используют обычно тогда, когда существует возможность негативных последствий. 2 В некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата или события. 3 Применительно к безопасности см. ГОСТ Р 51898. [ГОСТ Р 51897-2002, ст. 3.1.1]
3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска, которые направлены на реализацию потенциальных возможностей организации и снижение негативных последствий опасных событий. Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и обмен информацией о риске. [Адаптировано из ГОСТ Р 51897-2002, ст. 3.1.7]
3.3 процесс (process): Совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующая входы в выходы. Примечания 1 Входами к процессу обычно являются выходы других процессов. 2 Процессы в организации, как правило, планируются и осуществляются в управляемых условиях с целью добавления ценности. 3 Процесс, в котором подтверждение соответствия конечной продукции затруднено или экономически нецелесообразно, часто относят к «специальному процессу». [ГОСТ Р ИСО 9000-2008, ст. 3.4.1] 3.4 процесс менеджмента риска (risk management process): Систематические действия по управлению политикой, процедурами и методами, направленными на обмен информацией, установление целей применения, идентификацию, оценку, обработку, мониторинг и анализ риска (3.1). 3.5 оценка риска (risk assessment): Общий процесс идентификации (3.7), анализа риска (3.6) и проведения сравнительной оценки риска (3.9). 3.6 анализ риска (risk analysis): Систематическое использование информации для определения источников и количественной оценки риска. Примечания 1 Анализ риска обеспечивает основу для проведения оценки риска и принятия решений об обработке риска. 2 Информация может включать в себя исторические данные, результаты теоретического анализа, информированное мнение и касаться причастных сторон. [ГОСТ Р 51897-2002, ст. 3.3.2]
3.7 идентификация риска (risk identification): Процесс определения риска, составления перечня риска и описания каждого из элементов риска. [Адаптировано из ГОСТ Р 51897-2002, ст. 3.3.3]
3.8 количественная оценка риска (risk estimation): Процесс присвоения значений вероятности и последствий риска. Примечание - Количественная оценка риска может учитывать стоимость, выгоды, интересы причастных сторон и другие переменные, рассматриваемые при сравнительной оценке риска. [Адаптировано из ГОСТ Р 51897-2002, ст. 3.3.5] 3.9 сравнительная оценка риска (risk evaluation): Процесс сравнения количественной оценки риска с установленными критериями риска для определения значимости риска. Примечания 1 Сравнительная оценка риска может быть использована для содействия решениям по принятию или обработке риска. 2 Применительно к безопасности см. ГОСТ Р 51898. [Адаптировано из ГОСТ Р 51897-2002, ст. 3.3.6].Р 50.1.069-2009
3.10 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации или сокращению риска (3.1). Примечания 1 Термин «обработка риска» иногда используют для обозначения самих мер. 2 Меры по обработке риска могут включать в себя сокращение, разделение или сохранение риска. [Адаптировано из ГОСТ Р 51897-2002, ст. 3.4.1]
3.11 мониторинг (monitor): Проверка, наблюдение, критический обзор или измерение процесса деятельности, действий или системы через запланированные интервалы времени, направленные на идентификацию отличий между наблюдаемым и требуемым или ожидаемым уровнем выполнения деятельности. 3.12 система (system): Совокупность взаимосвязанных и взаимодействующих элементов [ГОСТ Р ИСО 9000, ст. 3.2.1] 4 Основные элементы процесса менеджмента риска4.1 Краткий обзор процесса менеджмента риска Основные элементы процесса менеджмента риска приведены на рисунке 1. К основным элементам процесса менеджмента риска относят следующие: а) обмен информацией и консультации: Должен быть установлен обмен информацией и консультации с внутренними и внешними причастными сторонами на каждой стадии процесса менеджмента риска по процессу в целом. б) установление целей: Следует установить внешние и внутренние цели организации, а также цели в области менеджмента риска для осуществления остальных элементов процесса менеджмента риска. Следует установить критерии риска и определить структуру анализа риска. в) идентификация риска: Рисунок 1 - Общая схема процесса менеджмента риска Следует идентифицировать, где, когда, почему, как и какие события могут нарушить, ухудшить, задержать или ускорить достижение целей. г) анализ риска: Следует идентифицировать и оценить существующие средства управления. Должны быть определены последствия и вероятность возникновения каждого опасного события, а следовательно риск. В процессе анализа должен быть проведен анализ диапазона потенциальных последствий и формы их проявления. д) сравнительная оценка риска: Необходимо сравнить полученные оценки риска с установленными критериями и рассмотреть баланс между возможными преимуществами и неблагоприятными результатами. Это позволяет принять решение о степени и характере обработки риска и соответствующих приоритетах. е) общая оценка риска: Следует разработать и внедрить рентабельные стратегии и планы действий, которые должны быть направлены на увеличение доходов и уменьшение затрат при реализации возможных событий. ж) обработка риска: Следует провести идентификацию набора вариантов обработки риска, оценку этих вариантов, а также подготовку и выполнение планов обработки риска. з) мониторинг и анализ: Необходимо проводить мониторинг результативности всех стадий процесса менеджмента риска. Это важно для постоянного улучшения процесса менеджмента риска и деятельности организации в целом. Для выявления влияния изменяющихся обстоятельств на установленные приоритеты в области менеджмента риска должен проводиться мониторинг риска и результативности обработки риска. Менеджмент риска может быть применен на многих уровнях организации. Он может быть применен на стратегическом, тактическом и операционном уровнях. Менеджмент риска может быть применен к конкретным проектам в помощь при принятии решений или для управления установленными областями риска. На каждой стадии процесса менеджмента риска записи следует поддерживать в рабочем состоянии и сохранять их, что позволит сделать принятые решения по менеджменту риска частью процесса постоянного улучшения. Подробное описание элементов процесса менеджмента риска приведено в 4.2 - 4.8 и в приложении А. 4.2 Обмен информацией и консультации Обмен информацией и консультации являются важной составляющей каждого шага процесса менеджмента риска. Они должны обеспечить эффективный диалог с причастными сторонами, ориентированный, в первую очередь, на обмен мнениями, а не на однонаправленный поток информации от лица, принимающего решения, к другим причастным сторонам. Важно разработать план обмена информацией для внутренних и внешних причастных сторон на самой ранней стадии процесса. Этот план должен учитывать особенности задач анализа риска в конкретной организации и процессов менеджмента риска в целом. Эффективный внутренний и внешний обмен информацией важны для обеспечения того, что лица, ответственные в сфере менеджмента риска, а также инвесторы понимают причины принятых решений и предпринимаемых действий. Причастные стороны обычно имеют суждения о риске на основе своих представлений. Эти представления и суждения могут изменяться из-за различий в оценках и зависят от потребностей, предположений и интересов и могут быть изменены после получения оценки риска, или в результате обсуждения. Так как представления причастных сторон могут оказать существенное влияние на принятые решения, важно, чтобы их воззрения на риск были идентифицированы, учтены в процессе принятия решения и оформлены соответствующими записями. Коллективное обсуждение полезно при определении целей менеджмента риска и области его применения, обеспечения эффективной идентификации опасных событий, учета различных мнений экспертов при проведении анализа и оценки рисков, а также для управления изменениями при обработке риска. Вовлечение причастных сторон также позволяет закрепить риск за менеджерами (владельцами риска), а обязательства - за причастными сторонами. Это позволит причастным сторонам оценить преимущества применяемых средств управления, подтвердить свои потребности и поддержать план обработки риска. Формы о содержании записей о процессе обмена информацией и консультациях зависят от таких факторов, как масштаб и чувствительность организации и причастных сторон к выполняемым действиям. 4.3 Установление целей и области применения 4.3.1 Общие положения При установлении целей и области применения менеджмента риска определяют основные параметры управления и область применения остальной части процесса менеджмента риска. При этом определяют внешнюю и внутреннюю среду организации и цель деятельности в области менеджмента риска. Область применения включает также анализ интерфейсов между внешней и внутренней средой организации. Цели и область применения менеджмента риска обеспечивают согласованность целей, установленных для процесса менеджмента риска с организационной и внешней средой. 4.3.2 Установление внешней области применения Этот этап определяет внешние условия, в которых работает организация. Установление внешней области применения определяет также взаимоотношения между организацией и ее внешней средой и может, например, включать в себя: - внешнюю среду, связанную с бизнесом, социальной сферой, законодательными и обязательными требованиями, культурой, конкуренцией, финансами и политикой; - сильные и слабые стороны, возможности и угрозы организации; - внешние причастные стороны; - ключевых деловых партнеров. Особенно важно учесть мнения и значение для организации внешних причастных сторон и установить политику для обмена информацией с этими сторонами. Установление внешней области применения важно для учета целей причастных сторон при разработке критериев риска, а также вероятных внешних угроз и возможностей. 4.3.3 Установление внутренней области применения Перед началом деятельности в области менеджмента риска на любом уровне необходимо изучить сведения об организации. Ключевыми областями анализа должны быть: - культура; - внутренние причастные стороны; - структура организации; - возможности организации с точки зрения ресурсов, таких как персонал, системы, процессы, капитал; - цели и задачи, а также стратегии, необходимые для их достижения. При необходимости данный перечень может быть дополнен. Установление внутренней области применения важно в силу того, что: - деятельность в области менеджмента риска осуществляется в рамках общих целей и задач организации; - главным риском для большинства организаций является невозможность достижения ее стратегических, деловых или проектных целей, которая может быть воспринята причастными сторонами как то, что организация потерпела неудачу; - политика и цели организации, а также ее стратегические и иные интересы являются основой для определения политики в области менеджмента риска организации; - установленные задачи и критерии проекта или деятельности следует рассматривать в свете целей организации в целом. 4.3.4 Установление целей в области менеджмента риска Организация должна установить цели, задачи, стратегии и параметры деятельности и область применения процесса менеджмента риска. Процесс должен быть реализован с учетом полного анализа потребностей организации, чтобы сбалансировать затраты, преимущества и возможности. Должны быть установлены необходимые ресурсы и записи. Установление области и границ применения менеджмента риска включает в себя: - определение организации, процесса, проекта или деятельности и установленные для них цели и задачи; - определение характера решений, которые должны быть выполнены; - определение ограничений по времени и месту для деятельности по проекту; - идентификацию всех сфер и/или объектов, исследование которых необходимо, а также исследование их области применения, задач и требуемых ресурсов; - определение глубины и широты действий по менеджменту риска, которые должны быть выполнены, включая любые установленные ограничения и исключения. Могут также быть обсуждены особые вопросы, которые охватывают: - распределение ролей, ответственности и полномочий различных частей организации, участвующих в процессе менеджмента риска. - взаимосвязь между проектом или выполняемой деятельностью и другими проектами или частями организации. 4.3.5 Разработка критериев риска Необходимо установить критерии риска. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Критерии должны отражать установленные ранее цели и область применения. Они часто зависят от внутренней политики, целей и задач организации в целом и интересов причастных сторон. Установление критериев зависит от представлений о риске причастных сторон, а также от соответствующих законодательных и/или обязательных требований. Следует помнить, что определение соответствующих критериев необходимо проводить в начале процесса менеджмента риска. Хотя общее описание критериев принятия решений первоначально разработано при установлении области применения менеджмента риска, они могут быть более детально разработаны и/или переработаны впоследствии, после идентификации конкретного риска и выбора метода анализа риска. Критерии риска должны соответствовать типу риска и способу его представления. 4.3.6 Определение структуры остальной части процесса Определение структуры остальной части процесса включает в себя структурирование деятельности, процесса, проекта или изменений в ряде элементов или этапов, которые могут служить логической основой неприемлемости риска. Выбранная структура процесса зависит от характера риска и области применения проекта, процесса или деятельности. 4.4 Идентификация риска 4.4.1 Общие положения На этом этапе следует идентифицировать риски для процесса менеджмента риска. Всесторонняя идентификация опасных событий как хорошо структурированный систематический процесс является критически важной, поскольку не идентифицированные на данном этапе источники опасности могут быть не исследованы при дальнейшем анализе. Идентификация должна охватывать все риски, как управляемые, так и неуправляемые организацией. 4.4.2 Выявление опасных событий Цель этого этапа состоит в составлении всестороннего перечня источников риска и событий, которые могут повлиять на достижение каждой из установленных целей. Перечень должен охватывать события, которые могут задержать или ускорить выполнение целей, повысить или понизить степень достижения целей, или сделать выполнение целей невозможным. Затем на основе перечня более подробно идентифицируют все события, которые могут произойти. 4.4.3 Выявление причин появления события После идентификации возможных событий необходимо рассмотреть причины их возникновения и вероятные сценарии дальнейшего развития. Существует много способов, реализации событий. Важно не пропустить существенные причины событий. 4.4.4 Инструменты и методы идентификации риска Методы, используемые для идентификации риска, включают в себя: анализ контрольных листов, экспертные оценки, анализ экспериментальных и исторических данных, метод блок-схемы, метод мозгового штурма, системный анализ, анализ сценариев, методы системного проектирования. Эти методы более подробно рассмотрены в других частях настоящей серии рекомендаций. Выбор используемого метода зависит от характера анализируемых действий, типа риска, области применения, целей менеджмента риска. 4.5 Анализ риска 4.5.1 Общие положения Анализ риска включает проработку и исследование информации о риске. Анализ риска обеспечивает входные данные для принятия решений относительно необходимости обработки риска, а также предоставляет наиболее подходящие и рентабельные стратегии обработки риска. Анализ риска включает в себя анализ источников опасных событий, их положительных и отрицательных последствий, и вероятностей появления этих событий. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности. В большинстве случаев также должны быть учтены результаты применения существующих средств управления. На предварительном этапе аналогичные опасные события, вызывающие схожие последствия, могут быть объединены, а риски, имеющие слабое влияние на достижение целей, исключены из детального исследования. Для демонстрации полноты и завершенности анализа риска должен быть составлен перечень (если это возможно) исключенных рисков. 4.5.2 Оценка существующих средств управления Должны быть идентифицированы существующие процессы, устройства или методы, которые направлены на минимизацию отрицательных или увеличение положительных последствий рассматриваемых событий. Необходимо оценить сильные и слабые стороны методов. Способы и методы управления риском могут быть найдены на основе анализа предыдущих действий по обработке риска. 4.5.3 Последствия и вероятность Величину последствий события и его вероятность необходимо оценивать с учетом результативности существующих стратегий и средств управления. Событие может иметь многочисленные последствия и влиять на несколько целей организации. Сочетание последствий и вероятности их появления позволяет определить уровень риска. Последствия и вероятность события могут быть оценены и вычислены с использованием статистического анализа. Если не доступны соответствующие достоверные прошлые данные, то могут быть сделаны экспертные оценки, отражающие в этом случае степень уверенности человека или группы людей в том, что событие произойдет, или будет получен указанный результат. Большинство подходящих источников информации и методов отработки данных должны быть использованы в процессе анализа последствий событий и вероятностей их появления. Источники информации могут включать в себя следующее: - данные прошлых лет; - данные практического опыта и экспериментов; - литературные данные; - анализ рыночной конъюнктуры; - результаты общественных консультаций; - опытные образцы и прототипы; - экономические, инжиниринговые или другие модели; - мнения специалистов и экспертные оценки. Методы включают в себя: - структурированные интервью с экспертами в области исследований; - привлечение междисциплинарных групп экспертов; - индивидуальные оценки с использованием анкетных опросов; - использование моделей и компьютерного моделирования. Если возможно, при определении количественной оценки необходимо указывать уровень ее достоверности. Должны быть точно определены все предположения, сделанные при анализе риска. 4.5.4 Типы анализа риска Анализ риска может быть проведен с различной степенью детализации в зависимости от особенностей риска, цели анализа, и доступных данных и ресурсов. В зависимости от конкретных обстоятельств анализ может быть качественным, псевдоколичественным, количественным или их комбинацией. В порядке повышения сложности исследований и затрат методы располагаются следующим образом: качественный, псевдоколичественный и количественный. На практике качественный анализ часто используют вначале для получения общей характеристики риска и определения основных проблем, связанных с риском. Далее необходимо провести более детальный или количественный анализ основных проблем риска. Форма анализа должна быть совместима с критериями сравнительного анализа риска, которые были разработаны ранее при установлении целей и области применения менеджмента риска. Ниже приведено подробное описание различных типов анализа риска. а) Качественный анализ При выполнении качественного анализа для описания масштабов потенциальных последствий опасных событий и вероятности появления этих последствий обычно используют словесное описание. Качественное описание масштаба потенциальных последствий может быть адаптировано к конкретным условиям и может использовать различные описания для различного риска. Качественный анализ может быть использован: - в качестве начальной деятельности по идентификации риска, для которого требуется более детальный анализ; - в ситуации, когда этот вид анализа является наиболее подходящим для принятия решений; - если доступные числовые данные или ресурсы не позволяют провести количественный анализ. Качественный анализ следует проводить по возможности на основе фактической информации и данных. б) Псевдоколичественный анализ При выполнении псевдоколичественного анализа качественным величинам, установленным в процессе качественного анализа, присваивают значения. Цель такого анализа состоит в том, чтобы провести более широкое ранжирование риска, а не рассчитывать реальное значение риска, как при количественном анализе риска. Однако, так как значение, присвоенное каждому риску, не имеет точного соответствия фактическому значению последствий или вероятности, присвоенные значения должны быть сгруппированы и путем использования формул, которые учитывают предельные значения, преобразованы в соответствии с используемым типом значений в конкретный диапазон чисел. Псевдоколичественный анализ необходимо использовать очень осторожно, поскольку присвоенные значения могут неадекватно отражать взаимосвязь последствий и вероятности события, а это может привести к противоречивым, ошибочным или недостоверным выводам. Псевдоколичественный анализ не всегда позволяет должным образом различать риски на практике, особенно в случае экстремальных значений последствий, или вероятности. а) Количественный анализ При выполнении количественного анализа используют числовые значения для оценок последствий и вероятности появления события. При этом используют данные из нескольких источников (таких как упомянутые в п. 4.5.3). Качество анализа зависит от точности и полноты полученных оценок. Используемые модели должны быть валидированы. Последствия могут быть определены путем моделирования результатов событий или набора событий, или методами прогнозирования на основе экспериментальных исследований или данных предыдущих наблюдений. Последствия могут быть описаны с помощью финансовых и технических показателей или результатов воздействия события на человека. Во многих случаях для описания последствий в различные периоды времени в различных местах, для разных групп людей или ситуаций требуется несколько числовых характеристик. Способ представления последствий и вероятности событий, а также способы их объединения должны быть выбраны таким образом, чтобы обеспечить цели оценки риска и различимость исследуемых типов риска. При проведении анализа риска необходимо исследовать неопределенность и изменчивость значений последствий и вероятности события, а также эффективность обмена информацией. Так как некоторые из оценок, полученных при анализе риска, имеют ошибки или погрешности, то должен быть выполнен анализ чувствительности для проверки влияния на достоверность результатов анализа неопределенности предположений и данных. Анализ чувствительности также является способом проверки пригодности и результативности возможных способов управления риском и вариантов обработки риска в соответствии с 4.8.2. 4.6 Сравнительная оценка риска Цель сравнительной оценки риска состоит в принятии на основе результатов анализа риска решений о необходимости обработки риска, и о расстановке приоритетов при выполнении обработки риска. Сравнительная оценка риска включает в себя сопоставление риска, полученного при проведении анализа риска, с ранее установленными критериями. Необходимо проанализировать задачи и возможности организации. Если существует выбор между вариантами, в которых более высокие возможные потери связаны с более высокой потенциальной прибылью, то соответствующий выбор зависит от целей и задач организации. При принятии решений следует учитывать более широкую область применения менеджмента риска и обязательно исследовать допустимость риска для внешних причастных сторон по отношению к организации, получающей в результате определенные преимущества. При некоторых обстоятельствах сравнительная оценка риска может привести к решению о необходимости дальнейшего анализа риска. 4.7 Обработка риска 4.7.1 Общие положения Обработка риска включает в себя идентификацию набора вариантов обработки риска, оценку этих вариантов, а также подготовку и выполнение планов обработки риска. 4.7.2 Идентификация вариантов обработки риска с положительными результатами Варианты обработки риска событий с положительными результатами, являющиеся не обязательно взаимоисключающими или совпадающими, включают в себя: - Активный поиск возможностей обработки риска путем принятия решений о начале или продолжении деятельности, пригодных для создания или поддержки этой деятельности (если это применимо). Использование возможностей обработки риска без анализа потенциальных отрицательных результатов может поставить под угрозу другие возможности или привести к ненужным потерям. - Изменение вероятности появления события, направленное на увеличение вероятности позитивных результатов. - Изменение последствий события, направленное на увеличение прибыли. - Разделение преимуществ. При разделении преимуществ вовлекают другие стороны, которые переносят на себя или разделяют некоторую часть положительных результатов. Обычно при этом они обеспечивают дополнительные преимущества или ресурсы, благодаря которым увеличивается вероятность возникновения преимуществ или прибыли. Способы разделения преимуществ включают в себя использование контрактов и организационных структур, таких как партнерство, совместные предприятия, фермерские сообщества, лицензионные соглашения и др. Разделение положительных результатов обычно предусматривает разделение некоторых затрат. Соглашения по разделению преимуществ часто приводят к новым рискам, связанным, например, с тем, что другая сторона или стороны могут не предоставить ожидаемых преимуществ или ресурсов эффективным образом. - Сохранение остаточных преимуществ. После того как события изменены или разделены, могут еще существовать остаточные преимущества, которые не требуют каких-либо немедленных действий. 4.7.3 Идентификация вариантов обработки риска с отрицательными результатами Варианты обработки риска, имеющего отрицательные результаты, в своих основных положениях аналогичны вариантам обработки риска с положительными результатами, хотя интерпретация и значения у них различны. Варианты включают в себя: - Устранение (предотвращение) риска путем принятия решения не начинать или не продолжать деятельность, которая приводит к возникновению подобного риска (если это возможно). Предотвращение риска может быть неуместно, если для людей или организаций характерна полная неприемлемость данного риска. Несоответствующее предотвращение риска может увеличить значение риска других типов или может привести к потере возможностей получения различных преимуществ. - Изменение вероятности неблагоприятного события для уменьшения вероятности его отрицательных результатов. - Изменение последствий для уменьшения потерь. Изменение последствий включает в себя предупреждающие меры, выполняемые до возникновения события, такие как увеличение инвентаря или защитных устройств, а также меры, выполняемые после реализации события. - Разделение риска. При разделении риска обычно вовлекают другую сторону или стороны, которые переносят на себя или разделяют некоторую часть риска предпочтительно по взаимному согласию. Механизмы разделения включают в себя использование контрактов, страховых схем и организационных структур, таких как партнерство и совместные предприятия для распределения и, возможно, передачи ответственности и обязанностей. Обычно существует некоторая финансовая стоимость разделения части риска с другой организацией, например премия, уплаченная за страхование. Если риски разделены полностью или частично, то организация, передающая риск, приобретает новый риск, связанный с недостаточно эффективным управлением переданным риском другой организацией. - Сохранение риска. После того, как риск изменен или разделен, еще сохраняется остаточный риск. Риск может также быть сохранен по умолчанию, например, в ситуации, когда существует отказ идентифицировать, соответствующим образом разделить или иначе провести обработку риска. 4.7.4 Оценка вариантов обработки риска Выбор наиболее приемлемого варианта обработки риска включает в себя установление баланса между затратами на осуществление каждого варианта обработки риска и полученными при этом преимуществами. Вообще, стоимость менеджмента риска должна быть соразмерна с полученными преимуществами. Принимая подобные затраты в противовес оценкам полученных преимуществ необходимо учесть внешние и внутренние цели и область применения менеджмента риска. Важно рассмотреть все прямые и косвенные затраты и преимущества, такие как материальные и нематериальные, измеряемые в денежных или других единицах измерения. Многие варианты обработки риска могут быть рассмотрены и применены как индивидуально, так и в сочетании с другими. Анализ чувствительности (см. 4.5.5) является единственным способом проверки результативности различных вариантов обработки риска. Организация может извлечь выгоду путем принятия и внедрения комбинации вариантов обработки риска. Например, эффективное использование контрактов и определенных обработок риска может поддерживаться соответствующим страхованием и другими способами финансирования риска. При принятии решений должны быть учтены потребности в более тщательном анализе маловероятного, но значимого риска, обработка которого необходима, но не допустима из-за экономических соображений. Ответственность, возникающая на основе законодательных и социальных требований, может отвергнуть простой финансовый анализ, связанный с получением выгоды. Варианты обработки риска должны быть проанализированы и должны учитывать значение и восприятие риска причастными сторонами, при этом с ними должен быть налажен соответствующий обмен информацией о риске. Если бюджет обработки риска ограничен, план обработки должен точно идентифицировать порядок осуществления индивидуальной обработки риска. Важно сравнить полные затраты в случае появления опасного инцидента, когда не применяются никакие меры, с экономией средств на обработку риска и превентивные действия. Обработка риска может самостоятельно привести к новому риску, для которого должны быть выполнены идентификация, оценка, обработка и проведен его мониторинг. Если после обработки существует остаточный риск, то должно быть принято решение о том, сохранять ли этот риск или повторить процесс обработки риска. 4.7.5 Подготовка и выполнение обработки риска Цель плана обработки риска состоит в документальном оформлении выбранных вариантов обработки. Планы обработки должны включать в себя: - предложенные действия; - необходимые ресурсы; - распределение ответственности, обязанностей и полномочий; - выбор времени обработки; - критерии качества выполнения работы; - отчетность и мониторинг требований. Планы обработки риска должны быть объединены с процессами менеджмента и процессами по бюджетированию организации. Непрерывный анализ является существенным для обеспечения постоянной актуализации плана менеджмента риска. Факторы, воздействующие на вероятность и последствия события, в результате могут измениться, также как факторы, воздействующие на пригодность (приемлемость) или стоимость вариантов обработки риска. Поэтому необходимо повторять цикл менеджмента риска через запланированные регулярные промежутки времени. Сравнение фактического продвижения работ с планами обработки риска обеспечивает важный критерий оценки качества работ и должно быть включено в систему управления организацией, систему измерений и отчетности. Мониторинг и анализ также включают в себя изучение прошлого опыта по процессу менеджмента риска путем анализа событий, планов обработки и полученных результатов. 4.9 Записи по процессу менеджмента риска Каждая стадия процесса менеджмента риска должна быть соответственно зарегистрирована. Все предположения, методы, источники данных, исследования, результаты и причины принятых решений должны быть зарегистрированы. Записи по таким процессам являются важным аспектом успешного корпоративного управления. Решения относительно создания и регистрации записей должны учитывать: - юридические и деловые потребности в записях; - стоимость создания, ведения и хранения записей; - преимущества многократного использования информации (см. ГОСТ Р ИСО 15489-1). Приложение
А
|