ГОСТРИСО 31000—2010
5.3.4 Установление ситуации процесса менеджмента риска
Необходимо устанавливать цели, стратегии, область применения и параметры деятельности
организации или тех ее частей, где применяется процесс риск-менеджмента. Риск-менеджмент следует
проводить с полным рассмотрением необходимости обоснования ресурсов, используемых при его осу
ществлении. Следует также определять требуемые ресурсы, ответственность и полномочия, а также
порядок учета.
Ситуация (контекст) процесса риск-менеджмента изменяется в зависимости от потребностей
организации. Она может включать, но не ограничиваться этим:
- определение задач и целей деятельности по риск-менеджменту;
- определение ответственностей за процесс риск-менеджмента и в рамках этого процесса;
- определение области применения, а также глубины иширотыдеятельности по риск-менеджмен
ту. которую необходимо осуществлять, включая особые включения и исключения.
- определениедеятельности, процесса, функции, проекта, продукта, услуги или активов с учетом
времени и расположения;
- определение взаимосвязей между конкретным проектом, процессом или деятельностью идру
гими проектами, процессами или видами деятельности организации:
- определение методологий оценки риска;
- определение способа оценки производительности и эффективности риск-менеджмента;
- определение и указание решений, которые необходимо принять;
- идентификацию, охват или объемы необходимого обучения, их уровни и цели, ресурсы, требуе
мые для такого обучения.
Внимание, уделяемоеэтим идругим соответствующим факторам, должно гарантировать, что при
нятый подход риск-менеджмента соответствует обстоятельствам, организации и рискам, воздействую
щим на достижение ее целей.
5.3.5 Определение критериев риска
Организация должна определить критерии, которые необходимо использовать для оценки значи
мости риска. Критерии должны отражать ценности, цели и ресурсы организации. Некоторые критерии
могут основываться или возникать из правовых и регулятивных требований, а такжедругих требований,
которые взяла на себя организация. Критерии рискадолжны бытьсогласованы с политикой управления
рисками организации (см. 4.3.2), должны быть определены в начале каждого процесса риск-менед
жмента и должны постоянно рассматриваться.
При определении критериев риска факторы, которые необходимо рассматривать, должны вклю
чать следующее:
- характер и типы причин ипоследствий, которые могут возникать, ито. как их следует измерять;
- как следует определять возможность;
- временные рамки возможности и/или последствия(ий);
- как должен быть определен уровень риска;
- точки зрения заинтересованных сторон;
- уровень, на котором риск становится приемлемым или допустимым;
- принимать ли во внимание множественные риски, и если да, то каким образом и какие комбина
ции следует рассматривать.
5.4 Оценка риска
5.4.1 Общие положения
Оценка риска — это полный процесс идентификации риска, анализа риска и оценивания риска.
П р и м е ч а н и е — Стандарт ИСО/МЭК 31010 предлагает руководство по методам оценки риска.
5.4.2 Идентификация риска
Организация должна идентифицировать источники риска, области воздействия, события (вклю
чая изменения в обстоятельствах) и их причины, а также их потенциальные последствия. Цель данного
этапа заключается в составлении всеобъемлющего перечня рисков, основанных на тех событиях, кото
рые могут создавать, повышать, предотвращать, снижать, ускорять или задерживать достижение це
лей. Важно идентифицировать риски, связанные с решением не использовать благоприятные
возможности. Всеобъемлющая идентификация является критически важной, потому что риск, который
не был идентифицирован на данном этапе, не будет включен в будущий анализ.
13