Стандарт ГОСТ Р ИСО 31000-2010 в России был введен в действие еще в 2011 году, однако в деятельности большинства средних и мелких организаций он к настоящему моменту не только не внедрен, но руководство и владельцы этих организаций даже не знают о его существовании. Структурно стандарт состоит из введения, терминов и определений, применяемых в стандарте, принципов, инфраструктуры, процесса управления рисками, а также приложения в котором устанавливаются признаки улучшенного менеджмента риска.
Введение
Каждая организация постоянно подвергается неопределенности, чье влияние и есть «риск». Организации осуществляют риск-менеджмент посредством идентификации риска, его анализа и последующего оценивания в целях соответствия установленным критериям. Риск-менеджмент дает возможность повышать возможность достижения целей, осознавать необходимость идентификации и воздействия на риски по всей организации, улучшать идентификацию возможностей и угроз, отвечать соответствующим законодательным и другим обязательным требованиям и международным нормам, улучшать управление, сводить к минимуму потери, повышать устойчивость организации и многое другое.
Данный стандарт не предназначен как для обеспечения единообразия риск-менеджмента во всех организациях так и для целей сертификации.
Термины и определения
Стандартом устанавливаются ряд терминов и определений, связанных с понятием риск, его инфраструктурой, ситуацией влияющий на риск, процессом управления риском и многое другое.
Принципы
- риск-менеджмент создает и защищает стоимость.
- риск-менеджмент является неотъемлемой частью всех организационных процессов.
- риск-менеджмент является частью процесса принятия решений.
- риск-менеджмент явным образом связан с неопределенностью.
- риск-менеджмент является систематическим, структурированным и своевременным.
- риск-менеджмент основывается на наилучшей доступной информации.
- риск-менеджмент является адаптируемым.
- риск-менеджмент учитывает человеческие и культурные факторы.
- риск-менеджмент является прозрачным и учитывает интересы заинтересованных сторон.
- риск-менеджмент является динамичным, итеративным и реагирующим на изменения.
- риск-менеджмент способствует постоянному улучшению организации.
Инфраструктура
Эффективность риск-менеджмента в организации во многом определяется наличием соответствующей инфраструктуры (понимание организации и ее ситуации, установление политики менеджмента риска, ответственность, интеграция в организационные процессы, ресурсы, установление внутренних механизмов обмена информацией и отчетности, установление внешних механизмов обмена информацией и отчетности). Руководству организации необходимо обеспечить эффективное функционирование системы риск-менеджмента в деятельности организации.
Внедрение менеджмента риска
При внедрении менеджмента риска необходимо внедрить соответствующую инфраструктуру, постоянно ее улучшать. Внедрение системы риск-менеджмента должно проходить на всех должных функциональных уровнях организации, при этом необходимо обеспечить ее соответствующий мониторинг и пересмотр.
Процесс
Процесс риск-менеджмента должен быть неотъемлемой частью менеджмента, частью культуры и практики организации и соответствовать бизнес-процессам организации. На всех этапах процесса риск-менеджмента необходимо обеспечить обмен информацией и консультирование с внешними и внутренними заинтересованными сторонами. Непосредственно сам процесс состоит из определения ситуации, оценки риска (идентификация, анализ и оценивание) и воздействия на риск. В дальнейшем необходимо обеспечить мониторинг и пересмотр риск-менеджмента (периодически или произвольно).
Приложение: признаки улучшенного менеджмента риска
Все организации должны стремиться достичь соответствующего уровня функционирования их инфраструктуры риск-менеджмента. В документе приводится перечень признаков по ключевым результатам, а также признаки, которые показывают, что происходит постоянное улучшение риск-менеджмента, в организации существует полная ответственность за риски, менеджмента риска применяется при принятии всех решений, происходит обмен информацией и полная интеграция в структуру руководства организации.