ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство

Приложение А
(справочное)

Признаки улучшенного менеджмента риска

А.1 Общие положения

Все организации должны стремиться достичь соответствующего уровня функционирования их инфраструктуры риск-менеджмента одновременно с критичностью решений, которые должны приниматься. Ниже приведенный перечень признаков представляет высокий показательный уровень риск-менеджмента. Чтобы помочь организациям измерить собственное качество управления рисками в соответствии с этими критериями, для каждого признака приводится несколько показателей.

А.2 Ключевые результаты

А.2.1 Организация имеет современное, правильное и всестороннее понимание своих рисков.

А.2.2 Риски организации находятся в пределах ее критериев риска.

А.3 Признаки

А.3.1 Постоянное улучшение

Акцент делают на постоянное улучшение риск-менеджмента через установление целей деятельности организации, измерение, пересмотр и последующую модификацию процессов, систем, ресурсов, возможностей и навыков.

Это может подтверждаться наличием определенных целей деятельности, согласно которым измеряют деятельность организации и каждого отдельного менеджера. Данные о деятельности организации могут публиковаться и доводиться до сведения. Обычно проводят, как минимум, годовой пересмотр деятельности и затем ревизию процессов и осуществляют установление целей деятельности на следующий период.

Оценка качества риск-менеджмента является неотъемлемой частью оценки всей деятельности организации и системы измерения качества работы подразделений и отдельных работников.

А.3.2 Полная ответственность за риски

Улучшенный риск-менеджмент включает всестороннюю, полностью определенную и принятую отчетность и ответственность за риски, средства управления и задачи воздействия на риск. Назначенные лица, которые полностью принимают ответственность, обладают необходимыми навыками и ресурсами для того, чтобы проверять эти мероприятия, осуществлять мониторинг рисков, совершенствовать мероприятия по управлению рисками и эффективно доносить информацию о рисках и управлении ими до внешних и внутренних заинтересованных лиц.

Это может подтверждаться всеми членами организации, которые осведомлены в полном объеме о рисках, средствах управления и задачах, за которые они несут ответственность. Обычно это должно быть отражено в должностных инструкциях, содержаться в информационных базах данных или системах. Распределение ролей в менеджменте рисков, ответственности и обязательств должно быть частью всех ознакомительных программ организации.

Организация должна гарантировать, что ответственные лица оснащены всем необходимым для выполнения своей роли и им предоставлены полномочия, время, обучение, ресурсы и навыки, достаточные для того, чтобы взять на себя ответственность.

А.3.3 Применение менеджмента риска при принятии всех решений

Все принимаемые в организации решения, независимо от уровня важности и значимости, включают в себя подробное рассмотрение рисков и применение риск-менеджмента до определенной степени.

Это может быть указано в записях собраний и обсуждений, подтверждающих, что подробные обсуждения рисков имели место. Необходимо обеспечить возможность увидеть, что все элементы риск-менеджмента представлены в ключевых процессах принятия решений, осуществляемых в организации, например, обсуждений размещения капитала по крупным проектам, реструктуризации, и организационных изменений. По этим причинам четко обоснованный риск-менеджмент должен просматриваться в масштабах организации как обеспечивающий основу для результативного руководства.

А.3.4 Постоянный обмен информацией

Улучшенный риск-менеджмент включает постоянный обмен информацией с внешними и внутренними заинтересованными сторонами, включая всестороннее и периодическое представление информации о деятельности по риск-менеджменту как части надлежащего управления.

Это может быть подтверждено обменом информации с заинтересованными сторонами как неотъемлемым и важным элементом риск-менеджмента. Обмен информацией правильно рассматривать как двусторонний процесс, такой, что правильно обоснованные решения могут приниматься в отношении уровня рисков и потребности в воздействии на риск в соответствии с установленными должным образом и всесторонними критериями риска.

Всестороннее и периодическое внешнее и внутреннее представление информации о значительных рисках и о результатах деятельности по риск-менеджменту способствует в значительной мере результативному руководству в масштабах организации.

А.3.5 Полная интеграция в структуру руководства организации

К риск-менеджменту относятся как к центральному процессу менеджмента организации, а риски рассматривают с точки зрения воздействия неопределенности на цели. Структура руководства и процесс основываются на риск-менеджменте. Менеджеры считают результативный риск-менеджмент существенным для достижения целей организации.

Это может подтверждаться формулировками менеджеров и в важных письменных материалах в организации с использованием термина "неопределенность" в отношении рисков. Этот признак также обычно отражается в заявлениях организации, касающихся политики, в частности, той, которая относится к управлению рисками. Как правило, этот признак может проверяться посредством интервью с менеджерами и на основе их действий и заявлений.