ГОСТ Р 70350—2022
- поддержание и развитие навыков и компетенций в области менеджмента риска среди участ
ников;
- политику и план менеджмента риска;
- ограничения, которые могут оказывать влияние на эффективность менеджмента риска.
Оценщик также анализирует, позволяют ли компоненты инфраструктуры обеспечить риск-
ориентированный подход к управлению организации в рамках ключевых направлений деятельности,
включая (но не ограничиваясь) долгосрочное и краткосрочное планирование, операционную, инвести
ционную, финансовую и проектную деятельность.
Результаты любой проверки документов в рамках оценки должны быть подтверждены путем ана
лиза того, эффективно ли работает менеджмент риска на практике. Это означает, что данный тип дея
тельности по обеспечению разумной уверенности не должен ограничиваться инфраструктурой менед
жмента риска и всегда должен рассматривать следующие вопросы:
- риски эффективно идентифицируются и надлежащим образом анализируются;
- имеется адекватное и соответствующее воздействие на риски;
- высшее руководство осуществляет эффективный мониторинг и пересмотр для выявления из
менений в рисках и мерах по воздействию/контрольных процедурах.
Исходя из этого в дополнение к оценке инфраструктуры выделяются три подхода по достижению
разумной уверенности, которые могут использоваться при оценке менеджмента риска:
- подход через элементы процесса менеджмента риска;
- подход на основе ключевых принципов менеджмента риска;
- подход на основе модели зрелости менеджмента риска.
Хотя подходы являются самодостаточными, каждый из них предлагает разные точки зрения на
эффективность менеджмента риска в организации. Часто использование комбинации всех подходов
может дать наиболее информативные и объективные результаты. Менеджмент риска должен быть со
ответствующим образом адаптирован к организации, ее размеру, целям культуры и профилю рисков.
Следовательно, процесс подтверждения разумной уверенности также должен быть адаптирован к по
требностям организации.
5.1 Подход через элементы процесса менеджмента риска
Данный подход проверяет наличие и реализацию каждого элемента процесса менеджмента риска
согласно ГОСТ Р ИСО 31000. Нередко руководители склонны считать, что выполнение процесса менед
жмента риска обеспечивается в любом случае, поэтому ключевым условием применения подхода яв
ляется получение достаточного документального подтверждения соответствующих заявлений высшего
руководства о выполнении каждого из элементов на практике.
Элемент 1. Обмен информацией и консультирование
К критериям данного элемента относятся закрепление порядка обмена информацией и консуль
тирования и их фактическое выполнение, использование ИТ-средств для обмена информацией и кон
сультирования, а также информационных и технологических систем для поддержки процесса менед
жмента риска организации в целом и др.
Элемент 2. Область применения, среда и критерии
К критериям данного элемента относится определение области применения процесса менед
жмента риска с учетом понимания внешней и внутренней среды организации, а также критериев для
оценки значимости риска и поддержки процессов принятия решений (шкал оценок, уровней эскалации
риска) и др.
Элемент 3. Идентификация риска
К критериям данного элемента относятся разработка и внедрение методов по идентификации ри
сков применительно к целям организации исходя из области применения процесса менеджмента риска
и среды организации, идентификация как угроз, так и возможностей, и др.
Элемент 4. Анализ риска
К критериям данного элемента относятся определение и применение подхода к формулированию
и документированию риска, включая его источники, последствия, вероятность и сценарии реализации,
взаимосвязь с другими рисками, использование ключевых индикаторов риска и др.
Элемент 5. Оценивание риска
К критериям данного элемента относятся наличие формализованного подхода к оцениванию ри
ска, включая как качественные (экспертные), так и количественные методы, определение величины
текущего и остаточного риска на основе выбранных методов, подхода к ранжированию рисков исходя
из установленных критериев и др.
4