ISO 31000 – менеджмент рисков Что такое ISO 31000? ISO 31000 содержит рекомендации по управлению рисками, с которыми сталкиваются организации. Применение этих руководящих принципов может быть адаптировано к любой организации и ее контексту. Также

10 ноября 2020

ISO 31000 – менеджмент рисков

 

Что такое ISO 31000?

ISO 31000 содержит рекомендации по управлению рисками, с которыми сталкиваются организации. Применение этих руководящих принципов может быть адаптировано к любой организации и ее контексту. Также он обеспечивает общий подход к управлению любым типом риска и не является отраслевым или отраслевым.

ISO 31000:2018 может использоваться на протяжении всего существования организации и применяться к любой деятельности, включая принятие решений на всех уровнях.

 

По сравнению с более старыми стандартами управления рисками стандарт 31000 вводит инновации в нескольких областях:

  • Дается новое определение риска как влияния неопределенности на возможность достижения целей организации, подчеркивается важность определения целей перед попыткой контролировать риски
  • Вводит (иногда спорное) понятие «аппетита к риску», или уровень риска, который организация принимает на себя в обмен на ожидаемую ценность
  • Определяет структуру управления рисками с различными организационными процедурами, ролями и обязанностями в управлении рисками
  • Излагается философия управления, в которой управление рисками рассматривается как неотъемлемая часть принятия стратегических решений и управления изменениями

 

Процесс управления рисками включает в себя следующие виды деятельности:

  • Идентификация рисков: определение того, что может помешать нам достичь наших целей.
  • Анализ рисков: понимание источников и причин выявленных рисков; изучение вероятностей и последствий с учетом существующих средств контроля, выявление уровня остаточного риска.
  • Оценка риска: сравнение результатов анализа риска с критериями риска для определения того, является ли остаточный риск допустимым.
  • Обработка риска: изменение величины и вероятности последствий, как положительных, так и отрицательных, для достижения чистого увеличения выгоды.
  • Установление контекста: эта деятельность состоит из определения сферы охвата процесса управления рисками, определения целей организации и установления критериев оценки рисков. Контекст включает как внешние элементы (нормативная среда, рыночные условия, ожидания заинтересованных сторон), так и внутренние элементы (управление организацией, культура, стандарты и правила, возможности, существующие контракты, ожидания работников, информационные системы и т. д.).
  • Мониторинг и анализ: эта задача состоит в измерении эффективности управления рисками по показателям, которые периодически пересматриваются на предмет их соответствия. Она включает в себя проверку на предмет отклонений от плана управления рисками, проверку того, являются ли рамки, политика и план управления рисками по-прежнему адекватными, учитывая внешний и внутренний контекст организации, отчетность о рисках, прогресс в реализации плана управления рисками и насколько хорошо соблюдается политика управления рисками, а также анализ эффективности системы управления рисками.
  • Общение и консультации. Эта задача помогает понять интересы и проблемы заинтересованных сторон, проверить, что процесс управления рисками фокусируется на правильных элементах, а также помогает объяснить обоснование решений и конкретных вариантов обработки рисков.

 

Структура управления рисками должна включать:

  • архитектура рисков: роли и обязанности

отдельных лиц и комитетов, поддерживающих процесс управления рисками

  • стратегия: цели деятельности по управлению рисками в организации
  • протоколы: как будет реализовываться стратегия и управлять рисками (процедуры, индикаторы, отчетность о рисках и процедуры эскалации)

The ISO 31000 risk management process