Национальный стандарт гост менеджмент риска методы оценки риска



Нормативные материалы

Национальный стандарт РФ ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 680-ст)

Оглавление

Национальный стандарт РФ ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 680-ст)

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0 — 2004 «Стандартизация в Российской Федерации. Основные положения»

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»

3 Утвержден И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. № 680-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 31010:2009 «Менеджмент риска. Методы оценки риска» (ISO/IEC 31010:2009 «Risk management — Risk assessment techniques»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5—2004 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительных приложениях ДА и ДБ

5 ВВЕДЕН ВПЕРВЫЕ

Введение

Практически все организации сталкиваются с необходимостью оценки риска для снижения количества опасных событий и достижения поставленных целей.

Цели организации могут затрагивать различные аспекты ее деятельности: от стратегии до выпуска конкретной продукции, разработки процессов и проектов. Цели могут быть определены в социальной, экологической, технологической, коммерческой, финансовой и экономической областях, а также в области репутации организации, ее безопасности и социального, культурного, политического воздействия на население.

Всей деятельности организации соответствует риск. Менеджмент риска помогает в принятии решений в условиях неопределенности и возможности возникновения событий или обстоятельств (плановых и непредвиденных), воздействующих на достижение целей организации.

Менеджмент риска включает применение логических и системных методов для:

  • обмена информацией и консультаций в области риска;
  • установления области применения при идентификации, анализе, оценке и обработке риска, соответствующего любой деятельности, процессу, функции или продукции;
  • мониторинга и анализа риска;
  • регистрации полученных результатов и составления отчетности.

Оценка риска является частью процесса менеджмента риска и представляет собой структурированный процесс, в рамках которого идентифицируют способы достижения поставленных целей, проводят анализ последствий и вероятности возникновения опасных событий для принятия решения о необходимости обработки риска.

Оценка риска позволяет ответить на следующие основные вопросы:

  • какие события могут произойти и их причина (идентификация опасных событий);
  • каковы последствия этих событий;
  • какова вероятность их возникновения;
  • какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.

Кроме того, оценка риска помогает ответить на вопрос: является уровень риска приемлемым, или требуется его дальнейшая обработка? Настоящий стандарт основан на успешно применяемых методах оценки риска и не содержит новых, неапробированных понятий и методов.

Настоящий стандарт является основополагающим стандартом в области менеджмента риска и предназначен для предприятий различных отраслей промышленности. Нормативные документы, содержащие методы и критерии оценки риска для конкретных отраслей, должны соответствовать требованиям настоящего стандарта.

Область применения

Настоящий стандарт разработан в дополнение к ИСО 31000 и содержит рекомендации по выбору и применению методов оценки риска.

Оценка риска, выполненная в соответствии с настоящим стандартом, применима при выполнении других элементов процесса менеджмента риска.

В настоящем стандарте представлены методы оценки риска и даны ссылки на другие международные стандарты, в которых более подробно описано применение конкретных методов оценки риска.

Настоящий стандарт не предназначен для целей оценки соответствия и использования в качестве обязательных или договорных требований.

Стандарт не содержит конкретных критериев для принятия решения по анализу риска и указаний по применению методов анализа риска в конкретной ситуации.

Настоящий стандарт допускает использование других методов оценки риска с учетом их применимости в конкретной ситуации.

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Полный текст документа представлен на официальном сайте Федерального агентства по техническому регулированию и метрологии (Росстандарт) (ссылку см. ниже)

Источник

Федеральная таможенная служба

Общие сведения о применении таможенными органами системы управления рисками

Общие положения о применяемой в таможенных органах Российской Федерации системе управления рисками и ее основном инструменте – профиле риска

В соответствии с пунктом 1 статьи 14 Таможенного кодекса Евразийского экономического союза (далее – ТК ЕАЭС, Союз) товары, ввозимые на таможенную территорию Евразийского экономического союза (далее – Союз), с момента пересечения таможенной границы Союза находятся под таможенным контролем.

Товары Союза, вывозимые с таможенной территории Союза, в соответствии с положениями пункта 2 статьи 14 ТК ЕАЭС находятся под таможенным контролем с момента регистрации таможенной декларации либо совершения действия, непосредственно направленного на осуществление вывоза товаров с таможенной территории Союза, до фактического пересечения таможенной границы Союза, отзыва таможенной декларации в соответствии со статьей 113 ТК ЕАЭС либо до наступления обстоятельств, указанных в пунктах 9 и 10 статьи 14 ТК ЕАЭС.

Должностными лицами таможенных органов в соответствии с пунктом 2 статьи 310 ТК ЕАЭС проводится таможенный контроль в отношении объектов таможенного контроля с применением к ним определенных ТК ЕАЭС форм таможенного контроля и (или) мер, обеспечивающих проведение таможенного контроля.

В соответствии с пунктом 4 статьи 310 ТК ЕАЭС таможенные органы при проведении таможенного контроля исходят из принципа выборочности объектов таможенного контроля, форм таможенного контроля и (или) мер, обеспечивающих проведение таможенного контроля. Формы таможенного контроля и (или) меры, обеспечивающие проведение таможенного контроля, согласно пункту 5 статьи 310 ТК ЕАЭС, могут применяться таможенными органами для обеспечения соблюдения законодательства государства-члена Союза, контроль за соблюдением которого возложен на таможенные органы этого государства-члена, если это установлено законодательством государств-членов.

Таможенные органы в соответствии с пунктом 1 статьи 378 ТК ЕАЭС используют систему управления рисками (далее – СУР) для выбора объектов таможенного контроля и мер по минимизации рисков.

Правовую основу применения СУР в Российской Федерации составляют положения ТК ЕАЭС (Федеральный закон от 14 ноября 2017 г. № 317-ФЗ «О ратификации Договора о Таможенном кодексе Евразийского экономического союза»), Федерального закона от 3 августа 2018 № 289-ФЗ «О таможенном регулировании в Российской Федерации и о внесении изменений в отдельные законодательные акты Российской Федерации», а также ведомственных нормативных и иных правовых актов.

Используемая в таможенных органах СУР базируется на международных стандартах Всемирной таможенной организации и принципах риск-менеджмента, включая положения, содержащиеся в основополагающих документах в области СУР, таких как:

1) Генеральное приложение к Международной конвенции об упрощении и гармонизации таможенных процедур (Киотской конвенции) в редакции 1999 г. (глава 6. Таможенный контроль), стандарты которого определили базовые подходы к применению СУР при проведении таможенного контроля:

  • таможенный контроль сводится к минимуму, необходимому для обеспечения соблюдения таможенного законодательства (Стандарт 6.2);
  • при проведении таможенного контроля таможенная служба использует СУР (Стандарт 6.3);
  • таможенная служба применяет анализ рисков для определения лиц и товаров, включая транспортные средства, которые должны быть проверены, и степени такой проверки (Стандарт 6.4);
  • в целях совершенствования таможенного контроля таможенная служба стремится к сотрудничеству с участниками торговой деятельности и заключению меморандума о взаимопонимании (Стандарт 6.8).

2) Рамочные стандарты безопасности и облегчения мировой торговли Всемирной таможенной организации (в редакции 2012 г.);

3) Соглашение Всемирной таможенной организации по упрощению процедур торговли (9-я Министерская конференция Всемирной таможенной организации, о. Бали, Индонезия, декабрь 2013 г.);

4) ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство» (международный стандарт 180 31000:2009);

5) ГОСТ Р ИСО/МЭК 31010-2011 Национальный стандарт Российской Федерации «Менеджмент риска. Методы оценки риска» (международный стандарт 180/1ЕС 31010:2009 «Управление рисками-принципы и руководство»);

6) ГОСТ Р 51897-2011/Руководство ИСО 73:2009. Национальный стандарт Российской Федерации. «Менеджмент риска. Термины и определения».

Основными целями использования таможенными органами СУР в соответствии с пунктом 3 статьи 378 ТК ЕАЭС являются:

1) обеспечение эффективности таможенного контроля;

2) сосредоточение внимания на областях риска с высоким уровнем и обеспечение эффективного использования ресурсов таможенных органов;

3) создание условий для ускорения и упрощения перемещения через таможенную границу Союза товаров, по которым не выявлена необходимость применения мер по минимизации рисков.

В целях установления единых подходов к управлению, реализации и совершенствованию СУР в таможенных органах Российской Федерации приказом ФТС России от 18 августа 2015 г. № 1677 [1] утверждена Стратегия и тактика применения СУР, порядок сбора и обработки информации, проведения анализа и оценки рисков, разработки и реализации мер по управлению рисками (за исключением рисков в области ветеринарии, санитарно-эпидемиологического надзора и обеспечения карантина растений) (далее – Стратегия и тактика применения СУР). Стратегия применения таможенными органами СУР заключается в достижении указанных выше целей. Тактика применения СУР определяет совокупность приемов и методов СУР, а также порядок функционирования СУР и реализации процесса управления рисками.

Процесс управления рисками в таможенном деле представляет собой систематизированную деятельность таможенных органов по минимизации вероятности наступления событий, связанных с несоблюдением международных договоров и актов в сфере таможенного регулирования и законодательства государств-членов о таможенном регулировании, и возможного ущерба от их наступления и включает в себя:

  • сбор и обработку информации об объектах таможенного контроля, о совершенных таможенных операциях и результатах таможенного контроля, проведенного как до, так и после выпуска товаров;
  • оценку рисков;
  • описание индикаторов риска;
  • определение мер по минимизации рисков и порядка их применения;
  • разработку и утверждение профилей рисков;
  • выбор объектов таможенного контроля;
  • применение мер по минимизации рисков;
  • анализ и контроль результатов применения мер по минимизации рисков.

В соответствии со Стратегией и тактикой применения СУР в целях определения возможности возникновения риска и последствий нарушений права Союза и законодательства Российской Федерации в случае его возникновения таможенными органами проводится анализ и оценка риска.

Читайте также:  Гост р исо 28927 10

При анализе и оценке риска применяются информационно-программные средства Единой автоматизированной информационной системы таможенных органов, включающие системы управления базами данных, системы быстрой (в том числе визуальной) разработки алгоритмов проведения анализа информации, а также общесистемное и прикладное программное обеспечение.

Анализ и оценка рисков осуществляются должностными лицами таможенных органов с использованием методов оценки рисков и алгоритмов определения областей и индикаторов риска, разработанных таможенными органами с использованием математических, статистических и вероятностных методов анализа (далее — методики анализа рисков).

С помощью методик анализа рисков автоматизируется процесс проведения таможенными органами оценки рисков.

Результат оценки риска является основой для разработки профиля риска или принятия решения о необходимости применения мер по минимизации рисков.

Профиль риска является базовым инструментом СУР, позволяющим воздействовать на риск и его минимизировать.

Профиль риска с учетом положений статьи 376 ТК ЕАЭС представляет собой документ, содержащий сведения об области риска, индикаторах риска и о мерах по минимизации рисков.

В соответствии со статьей 377 ТК ЕАЭС информация, содержащаяся в профилях и индикаторах рисков, является конфиденциальной и не подлежит разглашению, за исключением случаев, устанавливаемых законодательством государств-членов Союза.

Профиль риска формируется в случае выявления по результатам анализа и оценки риска высокого уровня риска нарушения права Союза и законодательства Российской Федерации.

Процесс формирования профиля риска предусматривает необходимость участия должностных лиц различных структурных подразделений таможенных органов и определенный механизм его утверждения, при котором на каждом из этапов оценивается риск нарушения таможенного законодательства и обоснованность содержащихся в нем мер по минимизации рисков.

Результаты применения мер по минимизации рисков в соответствии с профилями рисков учитываются в информационных ресурсах таможенных органов и на постоянной основе анализируются в целях подготовки предложений об актуализации или отмене профилей рисков.

Оценка и контроль эффективности применения мер по минимизации рисков, содержащихся в профилях рисков, осуществляется ФТС России на основе показателей, а также методик их расчета и оценки.

Необходимо отметить, что развитие СУР осуществляется в соответствии с целями и задачами Стратегии развития таможенной службы Российской Федерации до 2030 года, утвержденной распоряжением Правительства Российской Федерации от 23 мая 2020 г. № 1388-р.

Показатели, отражающие результативность применения системы управления рисками в таможенных органах Российской Федерации

Оценка эффективности применения СУР осуществляется на основе множества критериев, ключевыми среди которых являются результативность мер по минимизации рисков, а также количество и доля объектов таможенного контроля, в отношении которых применялись меры по минимизации рисков.

Деятельность ФТС России в части применения СУР оценивается по комплексу показателей, предусмотренных Стратегией развития таможенной службы Российской Федерации до 2030 года и Государственной программой Российской Федерации «Развитие внешнеэкономической деятельности», утвержденной постановлением Правительства Российской Федерации от 15.04.2014 № 330 [2] (далее – Государственная программа).

Так, в соответствии с утвержденной в 2020 году Стратегией развития таможенной службы Российской Федерации до 2030 года для оценки результативности мер по минимизации рисков, применяемых при осуществлении таможенного контроля товаров, применяется контрольный показатель «Доля товарных партий с результативными мерами по минимизации рисков, примененными при таможенном декларировании товаров, в общем количестве товарных партий, в отношении которых применялись меры по минимизации рисков» (не менее 50%).

В соответствии с Государственной программой деятельность таможенных органов по применению СУР оценивается по следующим показателям подпрограммы № 5 «Совершенствование таможенной деятельности»:

  • доля товарных партий, в отношении которых проведен таможенный досмотр, в общем количестве товарных партий, в отношении которых подана декларация на товары;
  • доля нарушений таможенного законодательства и иных правонарушений, выявленных при декларировании товаров с применением СУР, в общем объеме таких нарушений, выявленных таможенными органами по результатам таможенного контроля.

[1] Зарегистрирован в Минюсте России 31.12.2015, рег. № 40462.

[2] С изменениями, внесенными постановлениями Правительства Российской Федерации от 31.03.2017 № 369, от 30.03.2018 № 376, от 28.03.2019 № 349, от 31.03.2020 № 388.

Источник

Обзор международных и национальных стандартов в области управления рисками

Моисеева, А. В. Обзор международных и национальных стандартов в области управления рисками / А. В. Моисеева. — Текст : непосредственный // Молодой ученый. — 2017. — № 10 (144). — С. 261-264. — URL: https://moluch.ru/archive/144/40449/ (дата обращения: 18.06.2021).

В статье приведен исторический экскурс мировой стандартизации в области управления рисками, рассмотрены подходы к определению понятий «риск» и «риск-менеджмент» в соответствии с международными и национальными стандартами. На основе анализа действующих международных и национальных стандартов в области управления рисками дана сравнительная характеристика стандартов COSO ERM, FERMA и ISO 31000. Сделаны выводы о необходимости внедрения комплексного подхода к управлению рисками на современных предприятиях.

Ключевые слова: риск, управление рисками, риск-менеджмент, COSO ERM, FERMA, ISO 31000

В современной конкурентной бизнес-среде управление рисками определяется как «управление угрозами и возможности для наших предприятий в пределах допустимых величин риска» и играет жизненно важную роль в успехе любого бизнеса. Любое предприятие в процессе своей хозяйственной деятельности сталкивается с неопределенностью, связанной с неполнотой и неточностью информации и предполагающей наличие факторов, влияние которых неизвестно. Неопределенность, с одной стороны, таит в себе риск, а с дугой, — открывает широкие возможности.

Природа риска представляет собой многомерную категорию, которая объясняется наличием множества различных, зачастую противоречащих друг другу подходов к определению понятия «риск». В одних источниках риск интерпретируется как опасность или негативные последствия, в других риск — воздействие последствий неопределенности, или потенциала отклонения от того, что планируется или ожидается. В результате, любые действия могут привести к событиям и последствиям, которые представляют собой как «потенциальные» возможности, так и «опасности» для организации.

С целью систематизировать представления о рисках в 1995г. был опубликован первый национальный австралийско-новозеландский стандарт по управлению рисками AS/NZS 4360:1995. Данный стандарт разработан на основе научных трудов и хороших управленческих практик Роберта Мориса, Расселла Галлахера, Дугласа Бароу, Джозефа Кеннет Эрроу и др. AS/NZS 4360:2004 «Risk management» имеет общие рекомендации по управлению рисками для обеспечения высшего руководства государственных, частных или общественных организаций, групп и отдельных лиц четкой основой для планирования и принятия решений, точного определения возможностей и угроз, а также получения необходимых знаний в ситуациях неопределенности и изменчивости. Дальнейшее развитие процессов стандартизации в области риск-менеджмента привело International Organization for Standardization — ISO к созданию единой терминологии (ISO/IEC Guide 73 «Risk Management — Vocabulary») и общих руководящих принципов по управлению рисками (ISO 31000:2009 «Risk management — Principles and guidelines») (Таблица 1).

История развития стандартизации управления рисками

Период

Источник

Краткая характеристика

Стандарт Австралии и Новой Зеландии AS/NZS 4360:2004 «Risk management»

Обеспечивает общее руководство по управлению рисками. Может быть использован на любом предприятии, независимо от его масштабов, конкретной отрасли или сектора экономики.

Канадский стандарт CSA Q 850:1997 «Risk Management Guidelines for Decision Makers»

Содержит описание основных компонентов риска, процесс получения, анализа, оценки и передачи информации, а также поэтапный процесс принятия управленческих решений и их взаимосвязь друг с другом.

Японский стандарт JIS Q 2001:2001 «Guidelines for development and implementation of risk management system»

Содержит принципы и элементы для создания системы управления рисками. Эти принципы и элементы применимы к любым типам организаций и к любым видам рисков.

ISO/IEC Guide 73 «Risk Management — Vocabulary»

Содержит определения общих терминов, связанных с риск-менеджментом. Цель стандарта — создание единой терминологии для описания деятельности, связанной с управлением рисками.

ISO 31000:2009 «Risk management — Principles and guidelines»

Устанавливает общие руководящие принципы по управлению рисками. Может быть использован любым государственным, частным или общественным предприятием, ассоциацией, группой или отдельными лицами. Не является специфическим для какой-либо отрасли или сектора.

С конца XX века развитие стандартизации в области риск-менеджмента наблюдается как на международном, так и на национальном и даже отраслевом уровне. Подтверждением тому являются стандарт разработанный Комитетом спонсорских организаций комиссии Тредвея (COSO, США), стандарт Федерации европейских ассоциаций риск-менеджеров (FERMA), стандарт по управлению рисками ISO 31000:2009, а также национальные стандарты принятые в государствах с англосаксонским правом (Япония, Новая Зеландия и Австралия, Канада, Великобритания и др.).

Ведущую роль среди международных стандартов касающихся менеджмента риска играет семейство стандартов серии ISO 31000, которое в настоящее время включает:

– ISO 31000:2009 «Risk management — Principles and guidelines»/ ГОСТ Р ИСО 31000–2010 — Менеджмент риска. Принципы и руководство;

– ISO/IEC 31010:2009 «Risk management — Risk assessment techniques»/ ГОСТ Р ИСО/МЭК 31010:2009 «Менеджмент риска. Методы оценки риска»;

– ISO Guide 73:2009 «Risk management — Vocabulary — Guidelines for use in standards»/ ГОСТ Р ИСО 73:2009 «Менеджмент риска. Словарь. Руководство по использованию в стандартах».

Вышеперечисленные стандарты были подготовлены рабочей группой по риск-менеджменту Технического управляющего бюро ISO (ТМР) с целью установления общего руководства, единого понимания и использования терминов в области менеджмента риска, а также рекомендации по выбору и применению методов их оценки.

Сравнительная характеристика стандартов управления рисками

Параметр

ISO 31000 Risk management. Principles and guidelines

Enterprise Risk Management (ERM)— Integrated Framework

Standard COSO

A Risk Management Standard FERMA

Обеспечение международного обмена товарами и услугами, создание интегрированной системы управления рисками

Баланс доходности и риска

Высшее руководство и топ-менеджеры государственных, частных или общественных предприятий, ассоциаций, групп или отдельных компаний

Внутренние аудиторы предприятий, акции которых котируются на Нью-Йоркской фондовой бирже

Высшее руководство и топ-менеджеры государственных, частных или общественных предприятий, ассоциаций, групп или отдельных компаний

Влияние неопределенности на цели. Влияние — отклонение от того, что ожидается

События, влияние которых является отрицательным, которые мешают созданию или ведут к снижению стоимости

Комбинация вероятности события и его последствий

Скоординированные действия по управлению организацией с учетом риска

Процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации

Процесс, следуя которому организация системно анализирует риски каждого вида деятельности с целью максимальной эффективности каждого шага и, соответственно, всей деятельности в целом

ISO Guide 73:2009

Ссылки на другие источники не указаны

Ссылки на другие источники не указаны

Отличительная особенность европейских стандартов COSO — обязательность к выполнению предприятиями, чьи акции котируются на Нью-Йоркской фондовой бирже, в то время как FERMA и ISO 31000 носят рекомендательный характер. COSO ERM представляет собой концептуальные основы риск-менеджмент, помогает предприятиям устанавливать взаимосвязи между стратегическими целями, организационной структурой и восьмью основными компонентами процесса управления рисками, а также дает рекомендации в области разработки и внедрения комплексного контроля. Стандарты COSO достаточно объемны и сложны к применению, поэтому некоторые современные предприятия при постановке риск-менеджмента используют за основу стандарт FERMA с дополнением основных элементов из COSO ERM. Рассматривая международный стандарт ISO 31000, стоит отметить его универсальность. В настоящее время стандарт находится на стадии актуализации. Обновленная версия стандарта ожидается быть еще более лаконичной, а процессы управления рисками последовательными и понятными для пользователей.

Читайте также:  Гост валы контроль

Таким образом, управление рисками представляет собой динамично развивающийся вид в области менеджмента. Стандарты по управлению рисками не предназначены для целей сертификации. Ежегодные отчеты International Organization for Standardization — ISO о состоянии стандартов системы менеджмента в мире не содержат информацию о риск-менеджменте, поэтому сложно отследить уровень зрелости системы управления рисками на современных предприятиях. Однако, наличие большого числа международных, национальных, а также отраслевых риск-ориентированных стандартов, говорит об их активном использовании и актуальности. Современное развитие стандартов в области риск-менеджмента ведет к переходу от интуитивного и фрагментального управления рисками к комплексному. Интеграция системы управления рисками в общий управленческий процесс представляет собой инструмент эффективного и результативного управления рисками в соответствии с принципами ГОСТ Р ИСО 31000 и лучшей мировой практикой.

  1. Integrated Framework [Электронный ресурс] COSO Committee of sponsoring organization of the treadway commission [Офиц. сайт]. — Режим доступа: https://www.coso.org/Pages/default.aspx. — Загл. с экрана
  2. Risk management [Электронный ресурс] // FERMA Federation of European Risk Management Association [Офиц. сайт]. Режим доступа: http://www.ferma.eu/risk-management/. — Загл. с экрана
  3. ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство». — Введ. 2010–12–21. — [Электронный ресурс]. — Режим доступа: http://www.novsu.ru/file/1156050. — Загл. с экрана

Ключевые слова

Похожие статьи

Сравнительный анализ методов оценки рисков и подходов.

Процесс рискменеджмента в соответствии со стандартами управления рисками FERMA: 2002, COSO:2004, ISO 31000: 2009 представлен на рисунке 5 [5, 8, 9].

История развития практики и исследований в области управления.

При этом управление рисками заключалось в управлении чистыми рисками, что исключало управление спекулятивными рисками.

В связи с этим был создан ряд международных стандартов по управлению рисками (AIRMIC, ALARM, IRM:2002, ISO/DIS 31000, PMI, AS/NZS.

Организация процедуры управления рисками процессов СМК

Ключевые слова: управление рисками, анализ риска, методы оценки риска. система менеджмента качества. Введение. В преддверии выхода новой версии стандарта ISO 9001–2015, тема управления рисками в СМК становится все более актуальной, т. к. стандарт ISO.

Организация интегрированного рискменеджмента.

Комплексное управление рисками как отдельное направление исследования возникло в 90-х годах ХХ в. Именно в это время промышленные компании осознали

Учитывая зарубежные стандарты в области рискменеджмента, выделим этапы контроллинга рисков [2, с. 3]

Комплексная система управления рисками на предприятиях.

Научный и практический интерес к проблемам риска обусловлен возрастающей сложностью и вероятностным характером современных условий хозяйствования. Динамическое изменение технологий, борьба за потребителя и качество продукции.

Обзор результатов исследования субъективного восприятия риска.

Стандарт «Управление рисками организаций: Интегрированная модель», разработанный Комитетом спонсорских организаций комиссии Тредвея совместно с компанией PricewaterhouseCoopers (COSO ERM).

Проблемы интеграции системы рискменеджмента.

Ключевые слова: риск; культура управления рисками; интегрированный подход; рискменеджмент.

Риск-ориентированный подход к системе внутреннего контроля

Всемирно известная модель внутреннего контроля — модель COSO — рассматривает оценку рисков, как один из пяти базовых компонентов системы внутреннего контроля.

Задача руководства компании заключается в определении рисков и управлении ими.

Управление ИТ-рисками при эксплуатации информационных.

В нашей работе мы провели анализ существующих инструментов управления рисками и выявили, что основным подходом к решению данных задач являются методы стратегического уровня, а не уровня операционного менеджмента.

Похожие статьи

Сравнительный анализ методов оценки рисков и подходов.

Процесс рискменеджмента в соответствии со стандартами управления рисками FERMA: 2002, COSO:2004, ISO 31000: 2009 представлен на рисунке 5 [5, 8, 9].

История развития практики и исследований в области управления.

При этом управление рисками заключалось в управлении чистыми рисками, что исключало управление спекулятивными рисками.

В связи с этим был создан ряд международных стандартов по управлению рисками (AIRMIC, ALARM, IRM:2002, ISO/DIS 31000, PMI, AS/NZS.

Организация процедуры управления рисками процессов СМК

Ключевые слова: управление рисками, анализ риска, методы оценки риска. система менеджмента качества. Введение. В преддверии выхода новой версии стандарта ISO 9001–2015, тема управления рисками в СМК становится все более актуальной, т. к. стандарт ISO.

Организация интегрированного рискменеджмента.

Комплексное управление рисками как отдельное направление исследования возникло в 90-х годах ХХ в. Именно в это время промышленные компании осознали

Учитывая зарубежные стандарты в области рискменеджмента, выделим этапы контроллинга рисков [2, с. 3]

Комплексная система управления рисками на предприятиях.

Научный и практический интерес к проблемам риска обусловлен возрастающей сложностью и вероятностным характером современных условий хозяйствования. Динамическое изменение технологий, борьба за потребителя и качество продукции.

Обзор результатов исследования субъективного восприятия риска.

Стандарт «Управление рисками организаций: Интегрированная модель», разработанный Комитетом спонсорских организаций комиссии Тредвея совместно с компанией PricewaterhouseCoopers (COSO ERM).

Проблемы интеграции системы рискменеджмента.

Ключевые слова: риск; культура управления рисками; интегрированный подход; рискменеджмент.

Риск-ориентированный подход к системе внутреннего контроля

Всемирно известная модель внутреннего контроля — модель COSO — рассматривает оценку рисков, как один из пяти базовых компонентов системы внутреннего контроля.

Задача руководства компании заключается в определении рисков и управлении ими.

Управление ИТ-рисками при эксплуатации информационных.

В нашей работе мы провели анализ существующих инструментов управления рисками и выявили, что основным подходом к решению данных задач являются методы стратегического уровня, а не уровня операционного менеджмента.

Источник

Применение стандарта ISO 31000

Применение стандарта ISO 31000

Обсуждая процессы управления рисками, мы зачастую делаем акцент на процессах, характерных именно для обеспечения информационной безопасности. Однако, риск-менеджмент применяется в организациях не только для управления киберрисками. В различных крупных компаниях, в первую очередь финансовых, применяются фреймворки управления бизнес-рисками для обработки финансовых, юридических, проектных, репутационных и иных рисков. В данной публикации мы рассмотрим стандарт ISO 31000:2018 ”Risk management – Guidelines” («Менеджмент риска — Рекомендации»), который дает общие рекомендации и описывает фреймворк, принципы и сам процесс управления бизнес-рисками без привязки конкретно к рискам ИБ. Приступим!

В серию стандартов ISO 31XXX на текущий момент входят следующие документы:

ISO 31000:2018 ”Risk management – Guidelines” («Менеджмент риска — Рекомендации»), который в отечественной версии имеет название ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».

ISO/TR 31004:2013 «Risk management — Guidance for the implementation of ISO 31000» («Менеджмент риска — Руководство по внедрению стандарта ISO 31000»).

IEC 31010:2019 ”Risk management — Risk assessment techniques” («Менеджмент риска — Методы оценки риска»). Данному стандарту соответствует отечественный ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска», пришедший на смену стандарту ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска».

ISO 31022:2020 «Risk management — Guidelines for the management of legal risk» («Менеджмент риска — Рекомендации по управлению юридическими рисками»).

IWA 31:2020 «Risk management — Guidelines on using ISO 31000 in management systems» («Менеджмент риска — Рекомендации по использованию стандарта ISO 31000 в системах управления»).

В данной публикации мы рассмотрим наиболее значимый заглавный стандарт ISO 31000:2018 (соответствует ГОСТ Р ИСО 31000-2019), который пришел на замену его устаревшей версии ISO 31000:2009 (соответствовал ГОСТ Р ИСО 31000-2010), внеся ряд важных изменений. Данный стандарт предназначен для тех, кто создает и сохраняет ценности, создаваемые компанией, путем управления рисками, принятия решений, выбора и достижения целей, а также с помощью улучшения эффективности процессов. Подчеркивается, что управление рисками — это итеративный процесс, направленный на выбор стратегии и принятие информированных управленческих решений при наличии внешних и внутренних факторов и воздействий, которые могут помешать достижению целей компанией. При этом указано, что управление рисками должно осуществляться на всех уровнях компании, включать взаимодействие со стейкхолдерами, а также учитывать внешние и внутренние факторы (т.н. «контекст»), включая социокультурные факторы. Рекомендации, которые приведены в стандарте, не являются специфичными для какой-либо отрасли и могут быть скорректированы в процессе применения на всех уровнях управления компанией на протяжении всего её жизненного цикла. Стандарт ИСО 31000 дает также достаточно простые определения ключевым терминам риск-менеджмента:

риск (англ. risk) — это воздействие неопределенности на достижение целей; при этом воздействием является позитивное и/или негативное отклонение от ожидаемого результата, приносящее возможности и угрозы;

риск-менеджмент (англ. risk management) — это скоординированные действия по управлению и контролю организации в области рисков;

источник риска (англ. risk source) — это элемент, который самостоятельно или в совокупности с другими факторами может увеличить риск;

событие (англ. event) — это возникновение или изменение определенного набора обстоятельств; при этом у события может быть одна или несколько причин и последствий, а само событие может быть источником риска;

последствие (англ. consequence) — это результат события, повлиявший на достижение целей; при этом последствия могут быть определенными и неопределенными, могут иметь положительное или отрицательное прямое или косвенное влияние на достижение целей, а также могут быть выражены качественно или количественно;

мера управления (англ. control) — мера, которая поддерживает и/или модифицирует риск; при этом меры управления могут включать в себя процессы, политики, устройства, практические действия.

В стандарте ISO 31000:2018 (ИСО 31000-2019) подчеркивается, что цель управления рисками — это создание и сохранение создаваемых компанией ценностей, для чего необходимо придерживаться нижеуказанных принципов управления рисками, помогающих организации управлять воздействием неопределенностей на достижение целей (т.е. на риски как таковые).

Итак, эффективный процесс риск-менеджмента должен обладать следующими свойствами (которые еще называются принципами ИСО 31000):

интегрированный, т.е. являющийся неотъемлемой частью любой деятельности компании;

структурированный и всеобъемлющий, т.е. приводящий к логически связанным и измеримым результатам;

гибкий, т.е. адаптируемый и соответствующий внешнему и внутреннему контексту организации и ее целям;

вовлекающий, т.е. обеспечивающий своевременное и корректное привлечение стейкхолдеров для учета их знаний, мнений и взглядов для повышения осведомленности и принятия более информированных решений при управлении риском;

Читайте также:  Шпонка призматическая высокая гост

динамичный, т.е. учитывающий изменение рисков при модификации контекста организации, вследствие чего риск-менеджмент ожидает, обнаруживает, признает и реагирует на такие изменения и события своевременно и должным образом.

основывающийся на наилучшей информации, т.е. учитывающий историческую и текущую информацию, прогнозы на будущее, любые ограничения и неопределенности данных сведений; при этом информация должна быть своевременной, точной и доступной релевантным стейкхолдерам;

учитывающий человеческие и культурные факторы, т.к. они оказывают существенное влияние на управление рисками на всех этапах и уровнях;

непрерывно улучшающийся, т.е. постоянно совершенствующийся на основе полученного опыта и знаний.

Определившись с терминами и свойствами риск-менеджмента, перейдем непосредственно к фреймворку управления рисками по ISO 31000:2018 (ИСО 31000-2019). Он состоит из следующих составляющих:

1. Поддержка со стороны руководства.

Задача топ-менеджмента состоит в обеспечении деятельности риск-менеджмента на высоком уровне: документальной поддержке в согласовании документов по управлению рисками, выделении ресурсов, назначении ответственных. Это помогает связать риск-менеджмент со стратегией, целями и культурой организации, учесть все обязательные и необязательные требования в области рисков, утвердить уровень риск-аппетита компании, скоммуницировать ценности риск-менеджмента между всеми стейкхолдерами, содействовать систематическому подходу в области мониторинга рисков, а также обеспечить актуальность фреймворка контексту организации. Если в организации есть внутренние надзорные органы, то они должны контролировать процессы управления рисками.

Задачи риск-менеджмента должны решаться на всех уровнях компании соответствующими ответственными лицами, при этом все сотрудники компании должны понимать важность обработки рисков. Риск-менеджмент должен быть частью организационной культуры компании, её бизнес-процессов, стратегии, целей.

3. Создание фреймворка.

3.1. Для создания корректного фреймворка (в стандарте ГОСТ 31000 термин «фреймворк» переведен как «инфраструктура») ответственные лица должны понимать внешний и внутренний контекст компании. Внешний контекст состоит из оценки различных внешних факторов (социальных, политических, культурных, юридических, финансовых, технологических, экономических — как международных, так и локальных), ключевых драйверов и трендов, влияющих на цели компании, а также ожиданий и потребностей стейкхолдеров, контрактных обязательств и взаимоотношений, сложности и взаимозависимости сетей (технических, социальных, финансовых и т.д.). Внутренний контекст компании состоит из миссии и целей, управленческой структуры и ответственных лиц, стратегий, целей и политик, культуры компании, внутренних нормативных документов, возможностей (финансовых, человеческих, процессов, систем и технологий), данных, информационных систем и потоков, внутрикорпоративных взаимозависимостей и взаимосвязей.

3.2. Поддержка со стороны руководства должна выражаться в признании важности риск-менеджмента, внедрении механизмов управления рисками во все бизнес-процессы на всех уровнях компании, назначении ответственных лиц и выделении необходимых ресурсов, арбитраже конфликтных ситуаций, пересмотре и улучшении стратегий риск-менеджмента.

3.3. Назначение организационных ролей, ответственных, должностных обязанностей должно осуществляться руководством, при этом ему следует подчеркивать важность риск-менеджмента и назначать ответственных должностных лиц (владельцев риска).

3.4. Выделение ресурсов также осуществляется руководством, при этом ресурсы могут включать в себя сотрудников, компетенции, опыт, организационные процессы, методы и инструменты, документарное обеспечение деятельности, системы управления знаниями и информацией, обучающие курсы и профессиональное развитие.

3.5. Внедрение методов коммуникации и консультирования подразумевает обмен информацией с целевой аудиторией и получение обратной связи. Следует убедиться, что актуальная и точная информация корректно собирается и передается, а фидбек обрабатывается, что приводит к внедрению улучшений на основе полученной обратной связи.

4. Внедрение фреймворка.

Внедрение состоит из следующих этапов:

разработка плана с учетом временных и иных ресурсов;

определение того, где, кем, как и когда будут приниматься определенные управленческие решения;

изменение процессов принятия решений по мере необходимости;

проверка того, что внутренние договоренности об управлении рисками ясны и соблюдаются.

Для оценки эффективности работы фреймворка управления рисками компании следует периодически оценивать эффективность фреймворка в достижении целей, планов, индикаторов и ожидаемого поведения, а также определять, остается ли фреймворк пригодным для достижения целей компании.

Организациям следует непрерывно отслеживать актуальность внедренного фреймворка и адаптировать его под изменившийся внутренний или внешний контекст. Все выявленные недостатки и/или пути оптимизации должны быть учтены и запланировано их устранение и/или внедрение с назначением ответственных.

Сам итеративный процесс риск-менеджмента состоит из следующих этапов:

1. Коммуникация и консультирование.

Информирование стейкхолдеров, консультирование и получение обратной связи сопровождают все этапы процесса управления рисками. Это требуется для понимания стейкхолдерами текущих рисков, принятия информированных риск-ориентированных бизнес-решений, сбора обратной связи от ответственных и сотрудников с целью улучшения процесса. Кроме того, достигаются цели обмена опытом и экспертизой на всех шагах процесса управления рисками, учета различных точек зрения при определении критериев риска и оценки рисков, предоставления достаточной информации для контроля над рисками и принятия решений, включения в процесс различных сторон для повышения чувства ответственности и сопричастности к процессу риск-менеджмента.

2. Оценка границ процесса управления рисками, контекста и критериев риска.

2.1. Компании следует определить границы действий в рамках процесса риск-менеджмента, который может быть применен на стратегическом, операционном, программном уровне, уровне конкретного проекта и т.д. При определении границ действий в рамках процесса важно учитывать цели и требуемые решения, ожидаемые результаты действий, время, местоположение и специфические факторы, подходящие инструменты и техники процесса, требуемые ресурсы, ответственность, отчетность, а также взаимосвязи с другими проектами и процессами.

2.2. Оценка контекста важна по причине зависимости процессов риск-менеджмента от внешних / внутренних факторов и среды, в которой работает компания, а также из-за того, что организационные факторы могут сами являться источником риска, а цели и рамки процесса риск-менеджмента могут быть взаимосвязаны с целями всей организации.

2.3. Определение критериев риска означает выбор количества и типа рисков, которые компания может или не может принять для достижения своих целей. Определение критериев риска также требуется для оценки важности риска и поддержки процесса принятия решений, с учетом ценностей, целей и ресурсов компании, а также обязательств компании и мнения стейкхолдеров. Несмотря на то, что выбор критериев риска следует осуществлять в начале процесса оценки рисков, они являются динамическими, непрерывно анализируемыми и дополняемыми, если это потребуется.

Для выбора и утверждения критериев риска следует учитывать тип и происхождение неопределенностей, которые могут повлиять на результаты и цели (материальные и нематериальные), критерии оценки и измерения вероятности и возможных последствий (позитивных и негативных), временные факторы, логическую связность измерений, способ определения уровня риска, возможное влияние комбинаций и последовательностей множественных рисков, а также возможности и ресурсы организации.

3.1. Идентификация рисков.

Цель данного шага — поиск, анализ и описание рисков, которые могут помочь или помешать компании в достижении целей. Следует учитывать материальные и нематериальные источники рисков, причины и события, угрозы и возможности, уязвимости и ресурсы, изменения внутреннего и внешнего контекста, показатели возрастающих рисков, природу и ценность активов и ресурсов, последствия и их влияние на цели, ограничения в знаниях и достоверности информации, временные ограничения, а также мнения, предположения и предубеждения вовлеченных сторон.

3.2. Анализ рисков.

Цель анализа рисков — понять природу рисков и их характеристики, в том числе их уровень. Анализ рисков включает в себя учет неопределенностей, источников рисков, последствий, вероятностей, событий, сценариев рисков, мер управления рисками и их эффективность. Анализ рисков может быть произведен с различным уровнем детальности и сложности, в зависимости от целей анализа, доступности и точности информации, имеющихся ресурсов. Техники анализа рисков могут быть качественными, количественными или представлять собой их комбинацию, в зависимости от условий и целей применения. Следует учитывать такие факторы, как вероятность событий и последствий, природа и сила последствий, сложность и взаимосвязанность, временные факторы и изменчивость, эффективность текущих мер управления рисками, уровни конфиденциальности и чувствительности информации. Результаты анализа рисков являются входными данными для следующего этапа оценки рисков, а также для последующего принятия решений об обработке рисков и выборе оптимальной стратегии и методов.

3.3. Оценка рисков.

Цель этапа оценки рисков — помочь в принятии решения о дальнейшей обработке рисков путем сравнения данных анализа рисков и критериев риска в целях определения, требуются ли какие-либо дополнительные действия. В результате данного этапа могут быть приняты решения о том, что дальнейших действий по обработке риска не требуется, либо следует переходить к выбору опций обработки риска, либо нужно вернуться на этап анализа риска для более точного его понимания, либо требуется обеспечить текущий уровень мер управления риском, либо следует провести повторный анализ целей компании. При этом при принятии решения следует учитывать возможные последствия для стейкхолдеров, а результаты самого процесса оценки рисков должны быть задокументированы, скоммуницированы и проверены на соответствующих уровнях компании.

4. Обработка рисков.

Этап обработки рисков служит для выбора и реализации вариантов обработки рисков и является итеративным процессом, включающим в себя формулирование и выбор опций обработки рисков, планирование и реализацию процесса обработки рисков, оценку эффективности произведенной обработки, оценку приемлемости остаточного риска, а в случае неприемлемости — осуществление дополнительной обработки.

Способами обработки рисков являются:

избежание рисков путем прекращения деятельности, которая приводит к росту/появлению риска;

принятие или увеличение риска в целях использования возможностей и достижения целей;

устранение источника риска;

изменение вероятности риска;

изменение возможных последствий от реализации риска;

разделение риска, например, путем страхования;

сохранение риска с принятием соответствующего информированного управленческого решения.

При этом указано, что выбранный способ обработки риска сам может являться причиной появления новых рисков, а в случае, когда имеющиеся способы обработки рисков недостаточны или вообще недоступны, риск следует задокументировать и периодически возвращаться к нему для поиска новых опций его обработки.

Далее следует разработать и реализовать план обработки рисков, который должен содержать последовательность и описание шагов по обработке рисков, а также быть интегрирован в бизнес-процессы компании и управленческие планы. В плане обработки рисков должно содержаться обоснование выбора вариантов обработки рисков, перечень ответственных за согласование и реализацию плана лиц, предлагаемые действия, требующиеся ресурсы, критерии эффективности, ограничения, требующаяся отчетность и контроль, а также критерии для завершения действий.

5. Мониторинг и пересмотр.

Цель данного этапа — проверить и/или улучшить качество и эффективность процессов разработки, реализации и результатов процесса риск-менеджмента. Мониторинг и пересмотр следует осуществлять на всех этапах процесса управления рисками, при этом следует его планировать, собирать и анализировать информацию, записывать результаты и давать обратную связь.

6. Документирование и отчетность.

Сам процесс риск-менеджмента и его результаты должны быть задокументированы и сообщены соответствующим лицам в целях принятия информированных решений, улучшения деятельности в области управления рисками, а также для взаимодействия между стейкхолдерами.

Источник