Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение D
(справочное)
Мониторинг и анализ
D.1 Общее
D.1.1 Общие положения
Приложение содержит рекомендации по мониторингу и анализу структуры и процессов менеджмента риска в соответствии с ИСО 31000:2009, пункты 4.5, 4.6 и 5.6.
Мониторинг и анализ - два типа действий, направленных на определение достоверности предположений и решений. Эти методы используют для поддержки эффективности функционирования общей структуры менеджмента риска и отдельных этапов процесса менеджмента риска.
Мониторинг включает в себя наблюдение фактического выполнения и сравнение полученных результатов с ожидаемым или требуемым выполнением. Мониторинг включает непрерывную проверку или исследование, экспертное наблюдение, критическое обследование или непрерывное определение статуса, необходимое для идентификации отклонений от уровня выполнения (требуемого или ожидаемого), а также изменений области определения.
Анализ включает периодическую или внезапную проверку текущей ситуации, направленную на выявление изменений в среде, производственных и организационных методах работы. Анализ - это действие, предпринятое для определения пригодности, соответствия и результативности структуры и процесса для достижения поставленных целей. В процессе анализа необходимо рассмотреть результаты, полученные в процессе мониторинга.
Аудит - процесс систематического анализа на основе фактических данных на соответствие установленным критериям. Каждый аудит - это анализ, но не каждый анализ - аудит.
Мониторинг и анализ совместно помогают установить соответствие функционирования менеджмента риска ожидаемым показателям, необходимость улучшений, внедрение изменений, необходимость регулирования или пересмотра структуры или отдельных элементов процесса.
Мониторинг и анализ направлены на обеспечение разумной гарантии того, что риском соответственно управляют, идентифицируют недостатки менеджмента риска и возможности его улучшения. Мониторинг и анализ необходимы для обеспечения понимания организацией своих рисков в соответствии с критериями риска и отношением к риску. Мониторинг и анализ требуют применения системного интегрированного подхода к системе менеджмента организации в целом.
Действия по мониторингу и анализу, а также по результатам мониторинга и анализа, часто используют как систему, способную помочь обнаружить и исправить слабые места, прежде чем произойдут отрицательные воздействия или обеспечить уверенность в том, что уровень текущего риска соответствует критериям риска организации. Эти действия могут также быть использованы для предоставления внутренним и внешним заинтересованным сторонам разумной гарантии эффективности организации.
Риск может стать дополнительным фактором изменений во внутренней и внешней среде организации. Аналогично, мониторинг внешней среды может повысить готовность организации к изменениям, которые могут предоставить дополнительные возможности для улучшения работы или нововведений. При внимательном отношении к таким изменениям, выполнению работ, несоответствиям и ошибкам организация сможет идентифицировать возможности для улучшения структуры менеджмента риска и работы организации в целом.
Необходимо разработать на местах всестороннюю программу мониторинга и регистрации показателей риска при выполнении работ, которые должны быть интегрированы с другими показателями работы организации.
Программа должна помочь в создании системы раннего обнаружения неблагоприятных трендов, которые могут потребовать внедрения предупреждающих действий.
Мониторинг и анализ по отдельности могут быть направлены на индивидуальный риск или несколько связанных рисков. Они могут помочь фокусироваться на риске и/или методах его обработки или управления.
D.1.2 Ответственность за мониторинг и анализ
Общую ответственность за действия по мониторингу и анализу несут контролирующие органы и высшее руководство, а не органы контроля, например, подразделения по внутреннему аудиту. Полезным дополнением к процессу отчетности системы менеджмента могут стать функции обеспечения качества, независимый функциональный анализ и мониторинг выполнения обязательных требований, потому что эти действия обеспечивают альтернативные данные о процессе.
Действия по мониторингу и анализу могут быть рассмотрены с точки зрения иерархической структуры. При этом необходимо регулярно проводить действия по мониторингу и анализу на высших уровнях, что, при должной организации, обеспечивает самый высоких уровнях результативности. Однако программа мониторинга и анализа должна включать все три элемента.
Программа мониторинга и анализа должна верифицировать внедрение и эффективность выполнения политики в области менеджмента риска. Способ реагирования высшего руководства на результаты программы мониторинга может повлиять на поведение работников. Очень важно, чтобы высшее руководство действовало как образец для подражания.
D.1.3 Независимость анализа
Независимость анализа, проводимого внутренними или внешними сторонами, вытекает из отношений проверяющего (аудитора) и нанимающей стороны.
Независимость - основа беспристрастности анализа и объективности выводов. Проверяющие и аудиторы должны быть независимы от проверяемых (контролируемых) настолько, насколько возможно. При этом аудиторы не должны допускать в работе предвзятости и конфликта интересов.
Для целей внутреннего аудита аудиторы должны быть независимы от руководителей проверяемых подразделений. Проверяющие и аудиторы должны стараться быть объективными на всех этапах процесса аудита, чтобы гарантировать, что результаты и заключения базируются только на доказательствах.
В небольших организациях часто достаточно трудно обеспечить полную независимость проверяющих и аудиторов от руководителей проверяемых подразделений, но необходимо приложить максимальные усилия, чтобы избежать предвзятости и конфликта интересов.
Независимость проверяющих и аудиторов помогает сделать проверки и аудиты эффективным и надежным методом поддержки политики в области менеджмента риска и методов управления. Это помогает организации получить необходимую информацию, на основе которой могут быть внедрены необходимые улучшения.
Такие проверки часто ориентированы на проверку соответствия стандартам (внутренним и/или внешним), процедурам или законодательным требованиям. В процессе проверок также рассматривают пригодность, результативность и эффективность методов управления, например, проверка действий в области менеджмента риска на соответствие принципам ИСО 31000.
Во многих организациях проводят анализ со стороны руководства и консультирование (например, силами советников по вопросам менеджмента риска, сотрудников службы контроля и менеджеров по качеству), в рамках которых проводят проверки. При этом о результатах внутреннего аудита, как правило, сообщают контролирующему органу и высшему руководству. Целью проведения анализа и проверок является обеспечение гарантий контролирующему органу и высшему руководству организации в том, что:
- критерии риска совместимы с целями и условиями работы организации;
- использован соответствующий систематический процесс для идентификации, оценки и обработки риска, и этот процесс непрерывно функционирует;
- проводят необходимую обработку недопустимого риска;
- применяют подходящие и эффективные способы управления для обработки недопустимого риска;
- планы обработки риска успешно внедряются.
Проведение независимого анализа не снимает и не снижает ответственности и обязанностей руководителей по проведению мониторинга и анализа на соответствующем уровне.
D.1.4 Получение необходимой информацию
Как и для других аспектов менеджмента риска, в процессе мониторинга и анализа необходимо использование наилучшей имеющейся информации [см. принцип f)]. Чтобы информация соответствовала цели, информация должна относиться к работе пользователей и быть достоверна. Полноценность информации повышается, если она сопоставима, поддается проверке, своевременна и понятна. Информация может быть получена из двух типов источников:
a) прямых данных: наблюдения и измерения фактических показателей или результатов процесса;
b) косвенных данных: измерения, полученные в процессе или в результате анализа.
Сочетание измерений из различных источников необходимо выбирать исходя из потребностей (в зависимости от доступности) или удобства (своевременность, стоимость и т.д.).
D.1.5 Отчетность о процессе анализа
Отчетность должна предоставить информацию контролирующим органам, высшему руководству и заинтересованным сторонам организации о соответствии риска критериям риска и наличии планов обработки риска, которые помогут достичь поставленных целей в области риска. Дополнительно отчетность может предоставить информацию о новых видах риска.
Весь набор информации о риске (например, в реестре риска) необходимо периодически обновлять. Тип и частота создания отчетов зависит от характера, размера и области применения оценки риска в организации.
В результате процесса анализа или аудита должен быть разработан отчет, в котором необходимо подвести итоги и сделать заключение об оценке соответствия установленным критериям. В отчете могут быть представлены рекомендации относительно улучшения системы на основе наблюдений проверяющих. Иногда проверяющий может дать предложения непосредственно по критериям риска. Действия по результатам анализа должны быть сосредоточены на улучшении системы и направлены на первопричины проблем.
D.1.6 Корректирующие действия и постоянное улучшение
Организация должна установить соответствующие процессы, чтобы обеспечить активное рассмотрение рекомендаций руководством организации и инициирование внедрения необходимых мероприятий. Необходимо довести до сведения контролирующих органов и заинтересованных сторон информацию предпринимаемых ответных действий и проводить мониторинг этих действий до их полного внедрения.
D.2 Мониторинг и анализ структуры
D.2.1 Общие положения
Целью мониторинга и анализа является поддержание структуры менеджмента риска в актуализированном состоянии. Структура направлена на элементы и процессы системы менеджмента организации, которые позволяют управлять риском.
В ИСО 31000:2009, пункт 4, приведено руководство о необходимых элементах структуры и их взаимосвязи с внутренней и внешней областью применения и средой организации.
Изменения могут происходить во внутренней или внешней области применения и среде организации, поэтому необходимо постоянно адаптировать структуру менеджмента риска, чтобы обеспечить ее постоянную эффективность.
Даже при отсутствии внутренних или внешних изменений, которые требуют изменений структуры, все равно необходимо обеспечить, чтобы в любое время структура функционировала, как запланировано. Для организаций, переходящих к применению ИСО 31000, может возникнуть необходимость проверки элементов структуры плана внедрения, чтобы обеспечить его корректное осуществление. Для организаций, которые уже внедрили ИСО 31000, необходимо обеспечить проверку наличия и непрерывного функционирования компонентов структуры, как запланировано.
D.2.2 Ответственность
При распределении обязанностей в области менеджмента риска руководители, ответственные за обеспечение регулярного анализа и мониторинга структуры на соответствие установленным показателям, ответственное лицо (например, руководитель высшего звена) или подразделение организации (например, отдел менеджмента риска) должны стать хранителями структуры, их ключевая ответственность должна состоять в том, чтобы обеспечить постоянную эффективность структуры.
D.2.3 Установление базового уровня
Организация должна установить базовый уровень менеджмента риска в организации. Этот уровень может быть описан различными способами, но должен включать:
a) элементы структуры (см. ИСО 31000:2009, пункт 4.3), которые обеспечивают возможность достижения поставленных целей;
b) степень поддержки, оказываемой контролирующими органами и высшим руководством, которая выражена через полномочия и обязательства в области менеджмента риска (которая часто выражается в форме политики в области менеджмента риска).
Предназначенная форма и архитектура структуры менеджмента риска должны быть зарегистрированы после разработки, а информация о них доступна, например, в виде таблицы (см. таблицу D.1). Это помогает создать основу или ориентир для сравнений, который может быть использован в процессе мониторинга и анализа.
Таблица D.1 - Пример таблицы перечня элементов структуры
Элемент |
Область применения |
Цели |
Ключевые действия |
Ответственность и график работ |
Меры по внедрению |
Статус выполнения |
Ответственность |
Уровень ответственности |
Поддержка текущей политики организации в области менеджмента риска |
- Определение критериев; - создание отчетных документов; - делегирование полномочий |
- Издание политики; - разработка графика и матрицы ответственности; - дата следующего анализа |
... |
... |
Ресурсы: Обучение |
Организационный уровень |
Обеспечение элементов менеджмента риска для процесса обучения. Обеспечение доступности обновлений в процессе обучения |
- Разработка рекомендаций; - разработка программы обучения; - обеспечение обучения преподавателей |
- Разработка: менеджмента риска организации; - детализация: менеджмента подразделений - дата следующего анализа: хх/хх/хх |
- Действие: ежемесячный отчет; - качество: опрос или аудит обучения |
... |
Организация должна установить показатели выполнения работ, которые связаны с целями организации и являются признаком результативности общей структуры менеджмента риска. Показатели выполнения, иногда называемые остаточными показателями, включают:
- инциденты, аварии и ошибки;
- фактические потери;
- несоответствия;
- жалобы потребителей;
- неуплаченный долг;
- готовность системы;
- степень достижения целей организации;
- степень достижения целей менеджмента риска.
D.2.4 Оценка изменений характеристик и среды организации
Организация должна установить наличие материальных изменений внутренней или внешней среды и области применения с момента разработки или изменения структуры менеджмента риска.
Практическая помощь Внутренние характеристики, которые могут измениться, включают: - структуру; - методы управления и требования; - политику, внутренние стандарты и модели; - договорные требования; - стратегические и операционные системы, затронутые внутренними или внешними факторами (например, изменение законодательных и обязательных требований); - возможности и ресурсы (например, финансовый капитал, репутация, капитал, время, люди, процессы, системы и технологии); - знания, навыки и интеллектуальная собственность; - информационные системы и потоки; - социальное, экологическое и культурное поведение; - другие приоритеты и постулаты организации, которые могут быть восприняты как конкурирующие с намерениями организации в области менеджмента риска. |
Ведущие показатели, которые могут указать на изменения во внешней среде и области применения, обычно определяют по отчетам и обзорам, которые отражают изменения и тренды в сфере промышленности, в которой работает организация.
Примеры включают:
- товарную оценку, показатели банковского процента, бонусы, обменные курсы, индексы фондового рынка, индекс потребительских цен (тренд);
- индекс (тренд);
- уровень или инциденты мошенничества в подобных организациях;
- объем рынка и потенциал роста, а также внезапные изменения в объемах заказов;
- политическую и социальную стабильность, социальное недовольство и активность.
Если область применения и среда организации изменились, то необходимо пересмотреть существующую структуру менеджмента риска с учетом выявленных изменений. Целью этого является подтверждение пригодности структуры и процессов установленным целям и приоритетам организации.
В результате анализа организация может изменить базовый уровень структуры менеджмента риска.
Пример 1 - Изменения в структуре организации могут потребовать пересмотра политики в области менеджмента риска и перераспределения ответственности и ресурсов для эффективного управления. Если размер организации увеличился, например, из-за слияния или приобретения компаний, то необходимо пересмотреть объем ресурсов, выделяемых на менеджмент риска, и провести подробный анализ всех различий в подходе к менеджменту риска между организациями. Может возникнуть необходимость разработать переходный план, который позволит внедрить все необходимые изменения, выявленные в результате анализа.
Пример 2 - Если появились новые законодательные требования, то аспекты структуры, связанные с ответственностью, обучением, получением информации или созданием отчетов, возможно, потребуют пересмотра или расширения.
D.2.5 Анализ структуры
Если в организации однажды уже проведена оценка характеристик, внешней среды и области применения, то необходимо провести более широкий, всесторонний анализ структуры, чтобы определить:
a) что выполнение плана менеджмента риска происходит как запланировано;
b) принятые структура и процессы работают как запланировано;
c) уровень риска находится в пределах установленных критериев;
d) менеджмент риска положительно влияет на основные цели организации;
e) соответствующие вовлеченные стороны получают достаточно отчетов, что позволяет им эффективно исполнять свои функции и обязанности в структуре управления;
f) персонал организации обладает достаточными навыками, знаниями и компетентностью в области менеджмента риска, чтобы выполнять возложенные обязанности;
g) ресурсов, выделенных на менеджмент риска, достаточно;
h) опыт, извлеченный из фактических результатов работ, включая потери, ошибки и возможности, изучен и из него сделаны необходимые выводы;
i) достигаются цели, установленные в области менеджмента риска.
Организация должна утвердить регулярный график анализа. Если обстоятельства изменяются, то график анализа необходимо изменить исходя из текущих целей, например, если последствия риска появляются внезапно или они очень серьезные.
Результаты такого анализа должны включать в себя:
- полный отчет о функционировании структуры менеджмента риска;
- отчет об этапах и прогрессе выполнения плана менеджмента риска (включая анализ всех задержек);
- общий отчет о зрелости организации в области риска в соответствии с передовым опытом;
- рекомендации о необходимых изменениях для улучшения качества менеджмента риска и его результативности в организации;
- актуализацию политики, целей и планов в области менеджмента риска по мере необходимости;
- актуализацию описания области применения и среды работы организации;
- отчет о трендах ключевых показателей риска;
- план действий по работе с изменениями, направленный на достижение целей в области менеджмента риска.
D.3 Мониторинг и анализ процесса
D.3.1 Общие положения
Цель мониторинга и анализа процесса менеджмента риска состоит в обеспечении того, что этот процесс:
- соответствует бизнесу организации;
- работает как запланировано.
Риски и соответствующие методы управления и обработки риска могут изменяться на протяжении длительного периода, ответственные за менеджмент риска должны знать о значении этих изменений. Отказ от обработки может привести к недопустимому риску. Кроме того, методы управления, цель которых состоит в выявлении недостатков и модификации риска, могут быть изменены с точки зрения их пригодности и результативности. Это связано с тем, что если не проводить регулярный мониторинг и анализ риска, то его значение может стать недопустимым в соответствии с критериями приемлемого риска организации, а, следовательно, у организации, возможно, нет понимания ее рисков.
На основе результатов мониторинга и анализа необходимо вернуться к этапу установления области применения и среды и пересмотреть их. При этом следует сохранить основу для возобновления оценки риска путем обеспечения повторяющегося и динамического характера процесса менеджмента риска и разработки структуры менеджмента риска.
D.3.2 Ответственность
Мониторинг должен стать неотъемлемой частью менеджмента. Риск и методы его обработки должны быть подконтрольны ответственным за их мониторинг. Эта ответственность должна быть зарегистрирована в должностных инструкциях и соответствующих документах.
Организация должна разработать единые корпоративные показатели эффективности менеджмента риска, которые должны отражать диапазон ключевых критериев, на основе которых работники могут проводить документальный анализ, например показателей, которые могут учесть финансовые аспекты, требования заинтересованных сторон, внутреннюю эффективность, а также задачи по обучению и росту. Фактическая эффективность работ по отношению к перечню показателей может быть измерена на всех уровнях организации и результаты измерений направлены ответственным лицам.
Организация должна проводить мониторинг планов обработки риска, чтобы удостовериться в их успешной и своевременной реализации.
D.3.3 Изучение полученного опыта
Организация должна учиться на своих ошибках, включая потери, отклонения, несоответствия и возможности, которые были идентифицированы заранее, но на них не отреагировали.
При таком анализе необходимо ответить на следующие вопросы:
Что произошло?
Как и почему получен такой результат?
Нужно ли пересмотреть изначальные предположения?
Какие ответные меры были предприняты (или не предприняты)?
Вероятность повторного получения такого результата?
Каковы все дополнительные ответные меры или предпринятые действия?
Ключевые пункты, которые должны быть изучены и лица, которые должны быть информированы о них.
D.3.4 Мониторинг
D.3.4.1 Существуют следующие типичные подходы к мониторингу:
а) Владельцы риска могут исследовать среду для наблюдения за изменениями в области применения и среды. Частота таких исследований зависит от уровня риска и динамики изменений среды. В некоторых случаях достаточно разработать отчетность по отклонениям от установленных показателей. Владелец риска сравнивает соответствующие внешние или внутренние факторы с областью применения, чтобы определить, произошли ли изменения. При этом необходимо обеспечить регулярный обмен информацией и консультации с заинтересованными сторонами, чтобы определить, не изменились ли их взгляды или цели.
b) Владельцы риска проводят мониторинг планов обработки риска на предмет своевременности действий и адекватного реагирования на изменения среды.
c) Владельцы средств контроля несут ответственность за мониторинг состояния средств контроля и проводят их периодическую проверку или непрерывный мониторинг. Наибольшей эффективности менеджмента риска можно добиться тогда, когда он полностью интегрирован в процесс принятия решений и систему менеджмента организации. Необходимо использовать управление эффективностью, чтобы проводить мониторинг риска и результативности процесса менеджмента риска. Показатели эффективности должны отражать диапазон ключевых целей организации, установленных в начале процесса менеджмента риска при определении области применения менеджмента риска. Такие показатели эффективности могут быть разработаны в отношении определенных видов риска, методов управления и применения процесса менеджмента риска.
Примечание - При работе с риском желательно, чтобы средства контроля также принадлежали ответственному за их работу. Обычно владелец или оператор, работающий со средством контроля не является владельцем риска. Это не затрагивает общую ответственность владельца риска по обработке риска и разработке, внедрению, применению, мониторингу и оценке соответствующих средств контроля.
D.3.4.2 Показатели эффективности могут помочь измерению результатов (например, определять потери или доходы) или показателей процессов (например, своевременное завершение планов обработки риска). Обычно используют набор различных показателей, но показатели эффективности обычно не указывают причины изменений. Поэтому в условиях быстро изменяющейся среды показатели процесса могут стать более полезными.
При выборе показателей важно проверить, что:
- они измеримы;
- их использование эффективно с точки зрения требований своевременности, усилий и ресурсов;
- процесс измерений или наблюдений поощряет или облегчает желательные действия и не мотивирует к нежелательным действиям (например, фальсификацию данных);
- вовлеченные лица понимают процесс и ожидаемую выгоду, а также имеют возможность участвовать в разработке показателей;
- результаты измерены, работа проанализирована и доведена до заинтересованных лиц в форме, которая облегчает изучение опыта и улучшение организации.
D.3.4.3 При применении управления эффективностью к процессу менеджмента риска, нужно отметить, что:
- измерение эффективности требует ресурсов, которые должны быть идентифицированы и выделены при разработке показателей эффективности;
- некоторые действия в области менеджмента риска трудно измерить, но это не делает их менее важными. В этом случае можно использовать замещающие показатели, например, ресурсы, выделенные на деятельность в области менеджмента риска, могут быть заместительной мерой приверженности эффективному менеджменту риска;
- разница между данными измерений по показателям эффективности и инстинктивным представлениям о фактическом состоянии очень важна и должна быть исследована, например, если руководители не заинтересованы в менеджменте риска из-за низкого (по оценкам) уровня риска, то все равно проблему необходимо исследовать и не отклонять;
- внезапное ухудшение показателей обычно привлекает внимание, однако прогрессивное ухудшение показателей может быть столь же проблематичным, поэтому необходимо проводить мониторинг и анализ трендов показателей эффективности.
D.3.5 Анализ со стороны руководства
Необходимо регулярно проводить анализ со стороны руководства процессов, систем и действий для обеспечения того, чтобы:
a) новые риски не возникали;
b) методы управления и обработки риска оставались соответствующими и эффективными.
Такой анализ со стороны руководства необходимо проводить в соответствии с утвержденной программой (например, на основе подхода, установленного в ИСО 19011).
В процессе анализа со стороны руководства могут быть использованы методы, аналогичные непрерывному мониторингу, при этом целесообразно, чтобы для обеспечения более объективного анализа их проводило лицо, непосредственно не вовлеченное в процесс. Периодичность анализа может быть установлена исходя из уровня риска, цикла бизнес-планирования, динамики изменения среды или совещаний контролирующего органа, ответственного за менеджмента риска.
Если обнаружены проблемы, организация должна рассмотреть, как они появились и почему они не были обнаружены ранее.
Обеспечение средствами контроля лежит на ответственных руководителях (владельцах риска) и является частью их обычных функций и обязанностей. Выделение специальных средств контроля владельцам средств контроля облегчает их внедрение, но применение специальных средств контроля может потребовать дополнительного обучения персонала. Если запланированы изменения в организации или обнаружены внешние изменения, то могут произойти изменения:
- во внешней или внутренней среде, заинтересованных сторонах и их взглядах;
- области применения менеджмента риска, целях и критериях риска организации;
- видах и уровнях риска;
- необходимости обработки риска;
- влиянии и результативности методов управления риском.
При разработке или пересмотре бизнес-планов или стратегических планов для организации очень важно проводить анализ со стороны руководства видов риска, обработки риска и методов управления риском. В этом случае могут быть разработаны или пересмотрены цели организации, поэтому целесообразно использовать процесс оценки риска для анализа предварительных вариантов планов, чтобы обеспечить достижимость целей и определить соответствующие мероприятия по обработке риска. Лица, ответственные за выполнение процесса менеджмента риска, должны регулярно проводить анализ событий, продукции и результатов, чтобы идентифицировать возможности для улучшения.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.