Что понимают под термином риск международные стандарты
Что понимают под термином риск международные стандарты
ГОСТ Р ИСО/МЭК 31010-2011
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДЫ ОЦЕНКИ РИСКА
Risk management. Risk assessment methods
* По данным официального сайта Стандартинформ
Дата введения 2012-12-01
Сведения о стандарте
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительных приложениях ДА и ДБ
Введение
Практически все организации сталкиваются с необходимостью оценки риска для снижения количества опасных событий и достижения поставленных целей.
Цели организации могут затрагивать различные аспекты ее деятельности: от стратегии до выпуска конкретной продукции, разработки процессов и проектов. Цели могут быть определены в социальной, экологической, технологической, коммерческой, финансовой и экономической областях, а также в области репутации организации, ее безопасности и социального, культурного, политического воздействия на население.
Всей деятельности организации соответствует риск. Менеджмент риска помогает в принятии решений в условиях неопределенности и возможности возникновения событий или обстоятельств (плановых и непредвиденных), воздействующих на достижение целей организации.
Менеджмент риска включает применение логических и системных методов для:
— обмена информацией и консультаций в области риска;
— установления области применения при идентификации, анализе, оценке и обработке риска, соответствующего любой деятельности, процессу, функции или продукции;
— мониторинга и анализа риска;
— регистрации полученных результатов и составления отчетности.
Оценка риска является частью процесса менеджмента риска и представляет собой структурированный процесс, в рамках которого идентифицируют способы достижения поставленных целей, проводят анализ последствий и вероятности возникновения опасных событий для принятия решения о необходимости обработки риска.
Оценка риска позволяет ответить на следующие основные вопросы:
— какие события могут произойти и их причина (идентификация опасных событий);
— каковы последствия этих событий;
— какова вероятность их возникновения;
— какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.
Кроме того, оценка риска помогает ответить на вопрос: является уровень риска приемлемым, или требуется его дальнейшая обработка? Настоящий стандарт основан на успешно применяемых методах оценки риска и не содержит новых, неапробированных понятий и методов.
Настоящий стандарт является основополагающим стандартом в области менеджмента риска и предназначен для предприятий различных отраслей промышленности. Нормативные документы, содержащие методы и критерии оценки риска для конкретных отраслей, должны соответствовать требованиям настоящего стандарта.
1 Область применения
Настоящий стандарт разработан в дополнение к ИСО 31000 и содержит рекомендации по выбору и применению методов оценки риска.
Оценка риска, выполненная в соответствии с настоящим стандартом, применима при выполнении других элементов процесса менеджмента риска.
В настоящем стандарте представлены методы оценки риска и даны ссылки на другие международные стандарты, в которых более подробно описано применение конкретных методов оценки риска.
Настоящий стандарт не предназначен для целей оценки соответствия и использования в качестве обязательных или договорных требований.
Стандарт не содержит конкретных критериев для принятия решения по анализу риска и указаний по применению методов анализа риска в конкретной ситуации.
Настоящий стандарт допускает использование других методов оценки риска с учетом их применимости в конкретной ситуации.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты*:
3 Термины и определения
В настоящем стандарте применены термины и определения по Руководству ИСО/МЭК 73.
4 Понятие оценки риска
4.1 Цели и преимущества
Основной целью оценки риска является представление на основе объективных свидетельств информации, необходимой для принятия обоснованного решения относительно способов обработки риска.
Оценка риска обеспечивает:
— понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей организации;
— получение информации, необходимой для принятия решений;
— понимание опасности и ее источников;
— идентификацию ключевых факторов, формирующих риск, уязвимых мест организации и ее систем;
— возможность сравнения риска с риском альтернативных организаций, технологий, методов и процессов;
— обмен информацией о риске и неопределенностях;
— информацию, необходимую для ранжирования риска;
— предотвращение новых инцидентов на основе исследования последствий произошедших инцидентов;
— выбор способов обработки риска;
— соответствие правовым и обязательным требованиям;
— получение информации, необходимой для обоснованного решения о принятии риска в соответствии с установленными критериями;
— оценку риска на всех стадиях жизненного цикла продукции.
4.2 Оценка риска и структура менеджмента риска
Оценка риска, установленная в настоящем стандарте, соответствует структуре и процессу менеджмента риска, установленным ИСО 31000.
Структура менеджмента риска предусматривает установление политики, процедуры и организационных мероприятий, направленных на внедрение менеджмента риска во всех подразделениях организации.
Организация должна официально сформулировать политику и стратегию в области менеджмента риска, а также применять соответствующие методы оценки риска.
Ответственные за оценку риска должны знать:
— область деятельности и цели организации;
— уровень приемлемого риска и способы обработки неприемлемого риска;
— способы интеграции процессов оценки риска в процессы менеджмента организации;
— методы оценки риска и способы их применения в процессе менеджмента риска;
— систему подотчетности, распределения ответственности и полномочий в области оценки риска;
— требуемые и доступные ресурсы для выполнения оценки риска;
— способы регистрации и анализа оценки риска.
4.3 Оценка риска и процесс менеджмента риска
4.3.1 Общие положения
Оценка риска является основным элементом процесса менеджмента риска, включающего в соответствии с ИСО 31000 следующие элементы:
— обмен информацией и консультации;
— установление области применения менеджмента риска;
— оценку риска (включая идентификацию риска, анализ риска и сравнительную оценку риска);
— мониторинг и анализ риска.
Являясь основным элементом процесса менеджмента риска, деятельность по оценке риска должна быть интегрирована в другие элементы этого процесса.
ГОСТ Р ИСО 31000-2010. Национальный стандарт Российской Федерации. Менеджмент риска. Принципы и руководство»
Поскольку все организации в определённой степени управляют рисками, настоящий стандарт устанавливает ряд принципов, которые необходимо соблюдать, для того чтобы менеджмент риска был эффективным.
Стандарт описывает принципы, инфраструктуру и процесс менеджмента риска. Он может быть использован любой организацией, независимо от ее размера, деятельности. Использование ГОСТ Р ИСО 31000-2010 призвано помочь организациям повысить вероятность достижения целей, улучшить выявление возможностей и угроз, а также эффективно распределять и использовать ресурсы для менеджмента риска. Также он применим для любого вида риска, вне зависимости от его природы и негативных или позитивных последствий его реализации.
ГОСТ Р ИСО 31000-2010 рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру.
Стандарт предназначен для широкого круга заинтересованных сторон, в том числе: руководства, линейных менеджеров, менеджеров проектов, риск-аналитиков, практикующих риск-менеджеров, аудиторов и владельцев риска.
Стандарт идентичен международному стандарту ИСО 31000:2009 «Менеджмент риска. Принципы и руководство»
Что понимают под термином риск международные стандарты
ГОСТ Р ИСО 31000-2019
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИНЦИПЫ И РУКОВОДСТВО
Risk management. Principles and guidelines
Дата введения 2020-03-01
Предисловие
1 ПОДГОТОВЛЕН Некоммерческим партнерством «Русское Общество Управления Рисками» (НП «РусРиск») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»
Международный стандарт разработан Техническим комитетом ISO/ТС 262.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)
6 Некоторые элементы настоящего стандарта могут являться объектами патентных прав.
Федеральный орган исполнительной власти в сфере стандартизации не несет ответственности за патентную чистоту содержания стандарта или за объективность указанной разработчиком информации о патентных правах патентообладателя (лицензиара), а также за условия лицензирования патентов, использованных в стандарте
7 ПЕРЕИЗДАНИЕ. Апрель 2021 г.
Введение
Настоящий стандарт предназначен для лиц, чья деятельность направлена на создание и защиту ценностей организаций путем менеджмента риска, принятия решений, постановки и достижения целей, повышения эффективности деятельности.
Организации всех типов и размеров сталкиваются с внешними и внутренними факторами и влиянием, которое создает неопределенность в отношении достижения поставленных целей.
Менеджмент риска является итеративным процессом и помогает организациям в определении стратегии, достижении целей и принятии обоснованных решений.
Менеджмент риска является частью корпоративного управления организации и имеет фундаментальное значение для управления на всех уровнях. Он способствует совершенствованию системы управления организацией.
Менеджмент риска затрагивает любые виды деятельности, осуществляемые в рамках организации, и включает взаимодействие с причастными сторонами.
Менеджмент риска учитывает внешнюю и внутреннюю среду организации, включая поведение людей и культурные факторы.
Менеджмент риска основан на принципах, структуре и процессе, описанных в этом документе, как показано на рисунке 1. Вышеперечисленные компоненты могут быть частично или полностью внедрены в организации, однако они могут потребовать адаптации или улучшения для более эффективного, результативного и последовательного менеджмента риска.
Настоящий стандарт устанавливает ряд принципов, которые необходимо соблюдать, для того чтобы менеджмент риска был эффективным. Настоящий стандарт рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали структуру и процесс менеджмента риска, что будет способствовать росту ценности организаций.
1 Область применения
В настоящем стандарте содержатся руководящие указания по менеджменту рисков, которым подвержены организации. Эти руководящие указания могут быть адаптированы для любой организации вне зависимости от рода ее деятельности.
Настоящий стандарт обеспечивает общий подход к менеджменту любых типов риска и не ограничивается конкретной отраслью или видом деятельности.
Настоящий стандарт может использоваться на протяжении всего периода существования организации и может применяться к любой деятельности, включая процесс принятия решений на всех уровнях управления.
2 Нормативные ссылки
Нормативные ссылки отсутствуют.
3 Термины и определения
В настоящем стандарте применены следующие термины и определения. ИСО и МЭК поддерживают стандартизованную базу терминов по следующим адресам:
— IEC Electropedia (международный электротехнический словарь) доступен по адресу: http://www.electropedia.org
3.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.
3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска (3.1).
3.3 причастная (заинтересованная) сторона (stakeholder): Любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска.
3.4 источник риска (risk source): Объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска (3.1).
3.5 событие (event): Возникновение или изменение специфического набора условий.
3.6 последствие (consequence): Результат воздействия события (3.5) на объект.
3.7 правдоподобность (появления события) (likelihood): Характеристика возможности и частоты появления события.
3.8 управление (риском) (control): Меры, направленные на изменение риска (3.1).
3.8.1 сравнительная оценка риска: Процесс сравнения результатов анализа риска с критериями риска для определения приемлемости риска.
4 Принципы
Целью менеджмента риска является создание и защита ценностей организации. Менеджмент риска повышает производительность, поощряет инновации и поддерживает достижение целей.
Принципы, представленные на рисунке 2, устанавливают характеристики эффективного и результативного менеджмента риска, отражают его ценности и объясняют его назначение и цель. Эти принципы являются основой менеджмента риска и должны учитываться при создании структуры и процесса менеджмента риска организации. Соблюдение принципов позволит организации управлять влиянием неопределенности в отношении достижения целей организации.
Эффективный менеджмент риска требует соблюдения принципов, представленных на рисунке 2, и может быть раскрыт следующим образом:
Интегрированный менеджмент риска является неотъемлемой частью всей деятельности организации.
b) Структурированность и комплексность
Структурированный и комплексный подход к менеджменту риска способствует согласованным и сопоставимым результатам.
Структура и процесс менеджмента риска настраиваются и соразмерны внешней и внутренней среде организации, ее целям.
Что понимают под термином риск международные стандарты
ГОСТ Р ИСО 31000-2010
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИНЦИПЫ И РУКОВОДСТВО
Risk management. Principles and guidelines
Дата введения 2011-09-01
Предисловие
1 ПОДГОТОВЛЕН Научно-техническим центром «ИНТЕК» на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 «Стратегический и инновационный менеджмент»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. N 883-ст
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соотвентствие с ГОСТ Р 1.5 (пункт 3.5)
6 ПЕРЕИЗДАНИЕ. Июнь 2018 г.
Введение
Организации всех типов и размеров сталкиваются с внутренними и внешними факторами и воздействиями, которые порождают неопределенность в отношении того, достигнут ли они своих целей, и когда. Влияние такой неопределенности на цели организации и есть «риск».
Вся деятельность организации включает в себя риск. Организации осуществляют риск-менеджмент посредством его идентификации, его анализа и последующего оценивания, будет ли риск изменен воздействием, чтобы соответствовать установленным критериям риска. На протяжении всего этого процесса они обмениваются информацией и консультируются с заинтересованными сторонами, а также наблюдают и анализируют риск и действия по управлению, которые изменяют риск для гарантии того, что какого-либо воздействия на риск в дальнейшем больше не потребуется. Настоящий стандарт подробно описывает этот систематический и логический процесс.
Поскольку все организации в определенной степени управляют риском, настоящий стандарт устанавливает ряд принципов, которые необходимо соблюдать для того чтобы менеджмент риска был эффективным. Настоящий стандарт рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру.
Менеджмент риска может применяться ко всей организации в любое время в ее многих областях и на многих уровнях, а также к особым функциям, проектам и видам деятельности.
В силу этого во многих областях установилась различная словоупотребительная практика в отношении понятия «менеджмент риска». Поэтому очень часто в научно-технической литературе встречается словосочетание «риск-менеджмент». Далее по тексту стандарта, где это уместно, также для простоты данное словосочетание используется наряду с общепринятым.
Несмотря на непрерывное развитие практики менеджмента во многих отраслях с целью соответствия различным потребностям, внедрение постоянных процессов в рамках общей инфраструктуры может способствовать эффективному и результативному управлению рисками во всей организации. Обобщенный подход, описанный в настоящем стандарте, устанавливает принципы и руководства управления рисками любой формы системным, прозрачным и надежным образом и в рамках любой области и содержания.
Каждая конкретная отрасль или сфера применения риск-менеджмента имеет свои отдельные потребности, потребителей, восприятия и критерии. Поэтому основной особенностью настоящего стандарта является включение «определения ситуации (контекста)» как деятельности, проводимой в начале общего процесса риск-менеджмента. При определении ситуации (контекста) необходимо рассматривать цели организации, окружающую среду, в которой эти цели достигаются, заинтересованные стороны и разнообразие критериев риска, все то, что помогает выявлять и оценивать характер и сложность этих рисков.
На рисунке 1 показаны взаимосвязи принципов менеджмента риска, инфраструктуры и процессов менеджмента риска, описанных в настоящем стандарте.
При применении и поддержании в соответствии с настоящим стандартом риск-менеджмент дает возможность организации:
— повышать возможность достижения целей;
— поддерживать активный менеджмент;
— осознавать необходимость идентификации и воздействия на риски по всей организации;
— улучшать идентификацию возможностей и угроз;
— отвечать соответствующим законодательным и другим обязательным требованиям и международным нормам;
— улучшать обязательную и управленческую отчетность;
— укреплять доверие заинтересованных сторон;
— создавать надежный базис для принятия решений и планирования;
— эффективно распределять и использовать ресурсы для воздействия на риск;
— повышать функциональную эффективность и результативность;
— повышать уровень обеспечения безопасности, здоровья, а также защиты окружающей среды;
— совершенствовать предотвращение потерь и менеджмент инцидентов;
— сводить к минимуму потери;
— улучшать обучение в организации;
— повышать устойчивость организации.
Настоящий стандарт предназначен для удовлетворения потребностей широкого круга заинтересованных сторон, включая:
a) лиц, ответственных за разработку политики управления рисками внутри организации;
b) лиц, ответственных за обеспечение эффективности управления рисками в рамках организации в целом или в рамках конкретной области, проекта или деятельности;
c) лиц, которым необходимо оценивать эффективность организации по управлению рисками;
d) разработчиков стандартов, руководств, процедур и добросовестных практик, которые в целом или частично устанавливают как осуществлять риск-менеджмент в рамках конкретных ситуаций в этих документах.
Современные практики и процессы управления многих организаций включают компоненты риск-менеджмента, а многие организации уже используют формальный процесс риск-менеджмента для конкретных типов риска или обстоятельств. В этих случаях организация может принять решение о проведении критического обзора используемых ею практик и процессов в свете настоящего стандарта.
В настоящем стандарте используются оба выражения: как термин «менеджмент риска («risk management»)», так и термин «управление риском» («managing risk»). В общих чертах «менеджмент риска» относится к архитектуре (принципам, инфраструктуре и процессу) эффективного управления рисками, в то время как «управление рисками» относится к применению этой архитектуры к конкретным рискам.
Международный стандарт был подготовлен рабочей группой по риск-менеджменту Технического управляющего бюро ИСО (ТМВ).
1 Область применения
Настоящий стандарт устанавливает принципы и общее руководство по риск-менеджменту.
Настоящий стандарт может использовать любое государственное, частное или общественное предприятие, ассоциация, группа лиц или отдельное лицо. Этот стандарт не является специфическим для какой-либо промышленности или отрасли.
Настоящий стандарт может применяться в течение всего жизненного цикла организации и для широкого спектра деятельности, включая стратегии и решения, операции, процессы, функции, проекты, продукцию, услуги и активы.
Настоящий стандарт может применяться к любому типу риска, независимо от его характера, а также того, имеет ли он отрицательные или положительные последствия.
Несмотря на то что настоящий стандарт предоставляет обобщенное руководство, он не предназначен для обеспечения единообразия риск-менеджмента во всех организациях. При создании и применении планов, касающихся инфраструктуры риск-менеджмента, необходимо учитывать различные потребности конкретной организации, ее частные цели, ситуацию (контекст), структуру, операции, процессы, функции, проекты, продукты, услуги или активы, а также конкретную практику, принятую в организации.
Это следует понимать в том смысле, что настоящий стандарт необходимо использовать для гармонизации процессов управления риском, описанных в существующих действующих и будущих стандартах. Он устанавливает общий подход для поддержки стандартов, распространяющихся на конкретные риски и/или отрасли, и не заменяет эти стандарты.
Настоящий стандарт не предназначен для целей сертификации.
2 Термины и определения
В настоящем стандарте применяют следующие термины с соответствующими определениями:
2.1 риск (risk): Влияние неопределенности на цели.
[Руководство ИСО 73:2009, определение 1.1]
2.2 менеджмент риска, риск-менеджмент (risk management): Скоординированные действия по управлению организацией с учетом риска (2.1).
[Руководство ИСО 73:2009, определение 2.1]
2.3 инфраструктура менеджмента риска (risk management framework): Набор компонентов, обеспечивающих основы и организационные меры и структуру для разработки, внедрения, мониторинга (2.28), пересмотра и постоянного улучшения менеджмента риска (2.2) в масштабе всей организации.
[Руководство ИСО 73:2009, определение 2.1.1]
2.4 политика менеджмента риска (risk management policy): Заявление общих намерений и направлений деятельности организации в отношении менеджмента риска (2.2).
[Руководство ИСО 73:2009, определение 2.1.2]
2.5 отношение к риску (risk attitude): Подход организации к оценке и, в конечном счете, к использованию благоприятных возможностей, удержанию, принятию или недопущению риска (2.1).
[Руководство ИСО 73:2009, определение 3.7.1.1]
2.6 план менеджмента риска (risk management plan): Документ в инфраструктуре менеджмента риска (2.3), определяющий подход, элементы управления и ресурсы, используемые при менеджменте риска (2.1).
[Руководство ИСО 73:2009, определение 2.1.3]
2.7 владелец риска (risk owner): Лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками (2.1).
[Руководство ИСО 73:2009, определение 3.5.1.5]