ГОСТ Р 70350—2022
- сопоставимость полученных результатов при использовании универсальной модели измерения
зрелости ограничена.
6 Методы сбора информации идоказательств
Объем документации менеджмента риска организации будет варьироваться в зависимости от ее
размера и комплексности. В более крупных организациях обычно есть формализованные руководства и
инструкции, раскрывающие и дополняющие политику менеджмента риска, организационные схемы,
должностные инструкции, блок-схемы информационных систем и т. д. Организации меньших размеров
обычно имеют значительно меньше документации.
В таких случаях отдельные аспекты менеджмента риска могут быть неформальными и недоку
ментированными, но при этом выполняться регулярно и эффективно. Подобные действия можно те
стировать так же, как и задокументированные действия. Тот факт, что элементы менеджмента риска не
задокументированы, не обязательно означает, что они неэффективны или не могут быть оценены. В то
же время соответствующий потребностям организации уровень документации, как правило, делает
мониторинг более эффективным. Это полезно и в других отношениях: документирование облегчает
сотрудникам понимание того, как работает процесс, и их конкретные роли, а также упрощает внесение
изменений при необходимости.
Принимая решение задокументировать сам процесс оценки, оценщик обычно опирается на су
ществующее документирование менеджмента риска организации. Существующее документирование
обычно дополняется наблюдениями, подготовленными оценщиком, включая доказательства проверок
и анализов, выполненных в процессе оценки. Для получения доказательств оценщик может использо
вать различные методы, в том числе:
- очные наблюдения — например присутствуя при реализации деятельности по менеджменту ри
ска на разных уровнях организации: от заседаний Совета до программ и проектов, работы отдельных
подразделений и сотрудников;
- интервью;
- изучение документов — например, повесток заседаний, подтверждающих документов и прото
колов Совета, коллегиального исполнительного органа и других коллегиальных органов организации,
стратегических планов и подтверждающих документов по решениям о выделении ресурсов;
- изучение и использование результатов предыдущих оценок;
- аналитические методы — например, анализ первопричин обнаруженных областей для совер
шенствования;
- построение карты процесса;
- статистический анализ — например, анализ типов происшествий или предаварийных ситуаций;
- верификация и оценка моделей рисков;
- проведение опросов/анкетирования;
- анализ самооценки контрольных процедур.
Нередко в рамках сбора достаточной информации и доказательств для формирования заклю
чения также используется комбинация различных методов. Оценщик выбирает наиболее подходящие
для выполняемой оценки методы. Оценщик также оценивает наличие достаточных ресурсов и навыков
для выполнения всей работы, необходимой для обеспечения достаточного обоснования заключения.
Оценщик должен проанализировать, может ли быть разумным отказаться от выражения мнения или
добавить оговорку за счет исключения определенных областей или рисков из объема мнения, если у
него отсутствуют достаточные ресурсы или навыки.
Выводы оценщика должны быть фактическими, объективными и подкрепляться достаточными
доказательствами. Достаточность подразумевает, что доказательства являются фактическими, адек
ватными и убедительными, чтобы разумный, информированный человек пришел к тем же выводам, что и
оценщик. Свидетельства оценки должны быть надлежащим образом задокументированы и органи
зованы.
В случае если высшее руководство намеревается сделать заявление внешним сторонам об эф
фективности менеджмента риска, ему следует рассмотреть возможность разработки и сохранения
документации в поддержку этого заявления. Характер и объем документирования оценщика обычно
более существенны, когда результаты оценки будут раскрываться внешним сторонам. Такая докумен
тация может быть полезна, если результаты оценки впоследствии будут оспорены.
7