Приложение С (справочное). Способы выражения полномочий и обязательств. Национальный стандарт РФ ГОСТ Р 51901.7-2017/ISO/TR 31004:2013 "Менеджмент риска. Руководство по внедрению ИСО 31000" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 12.09.2017 N 1060-ст)

Приложение С
(справочное)

Способы выражения полномочий и обязательств

С.1 Общие положения

В данном приложении приведены руководящие указания и стратегии реализации полномочий и обязательств, а также способы обмена информацией о них в организации.

Для того чтобы полномочия и обязательства были эффективными, высшее руководство и контролирующие органы организации должны четко описать заинтересованным сторонам свой подход к менеджменту риска, документированию и обмену информацией о соответствующих полномочиях и обязательствах. Полномочия в области менеджмента риска, как правило, приводит к изменению в деятельности, культуре, политике, процессах и способах выполнения работ в области менеджмента риска, которые должны быть отражены в структуре менеджмента риска. Полномочия и обязательства могут быть изложены в кратком заявлении, которое должно быть широко распространено.

Разработка полномочий включает принятие решения о направлении действий и определение ответственных за их выполнение. В существующих организациях разработка полномочий влечет за собой изменения. При идентификации направления действий одновременно необходимо определить обязательства по их выполнению.

Полномочия и обязательства - это фундаментальная часть структуры менеджмента риска. Полномочия и обязательства должны быть частью менеджмента организации и структуры и должны быть учтены при их разработке.

Полномочия и обязательства должны отражать одиннадцать принципов менеджмента риска, изложенных в ИСО 31000:2009, пункт 3.

На практике полномочия и соответствующие обязательства организации могут быть выражены и восприняты явным и неявным способом. Неявные способы выражения (например, ежедневные действия высшего руководства и контролирующих органов, и способы действий, преобладающие в культуре организации), как правило, обеспечивают более сильный стимул, чем явные способы выражения (например, документированная политика в области менеджмента риска).

С.2 Методы представления полномочий и обязательств

С.2.1 Ключевые характеристики

Полномочия и обязательства должны соответствовать следующим критериям:

a) быть совместимыми со стратегическим планом, целями, политиками, способами обмена информацией и системой менеджмента организации;

b) быть совместимыми с критериями риска, определенными контролирующими органами;

c) соответствовать принципам ИСО 31000 и быть направленными на улучшение менеджмента риска в соответствии с ИСО 31000:2009 (приложение А);

d) обеспечивать простоту обмена информацией и проверку на понимание внутри и вне организации;

e) иметь обоснованные ожидания успешного выполнения;

f) быть ориентированными на обязанности владельцев риска.

Если существующие полномочия и обязательства организации в области менеджмента риска уже не соответствуют перечисленным критериям, следует провести явные и неявные необходимые изменения.

Пример - Если контролирующим органом или высшим руководством принято решение, в отношении которого была проведена оценка риска, это является признаком того, что организация приняла на себя обязательства по пониманию этого риска.

Существенной частью адаптации пересмотренных полномочий является разработка плана по изменению понимания требований. Цель этого плана состоит в обеспечении того, что полномочия и преимущества от их выполнения широко поняты, в них верят, а также то, что организация последовательно добивается осуществления этих полномочий. Действия организации, их сравнение с заявлениями о полномочиях имеют наибольшее воздействие на принятие их различными заинтересованными сторонами.

С.2.2 Установление политики и обязательств в области менеджмента риска и обмен информацией о них

Одним из основных способов выражения полномочий и обмена информацией о них явным способом является установление политики в области менеджмента риска и обмен информацией о ней. В ИСО 31000:2009, пункт 4.3.2 определено, что организация должна не только точно установить свою политику в области менеджмента риска, но также проводить обмен информацией о ней внутри и вне организации. В ИСО 31000:2009, пункт 4.3.2 также идентифицированы специальные положения, которые обычно отражены в политике в области менеджмента риска.

Способы выражения политики должны соответствующим образом учитывать принцип менеджмента риска g) (менеджмент риска должен быть адаптируемым) и быть совместимы с общим направлением развития организации. В противном случае политика в области менеджмента риска не может рассматриваться как часть общей системы, в которой работает организация.

Для более крупных организаций принятие политики обычно подразумевает разработку формального заявления о полномочиях в области менеджмента риска. Такая политика входит составной частью в общий набор политик и утверждается высшим руководством. Обмен информацией о политике в области менеджмента риска и усиление этой политики необходимо проводить посредством системы менеджмента организации.

Практическая помощь Вовлечение высшего руководства и контролирующих органов и принятие ими соответствующих обязательств являются ключевыми факторами для успеха программ менеджмента риска. Организация должна рассмотреть следующие вопросы, которые помогают установить соответствующие полномочия и обязательства в области менеджмента риска: Каковы стратегические цели организации? Действительно ли они ясны? Что является явным и неявным в этих целях? Насколько высшее руководство понимает природу и значимость рисков, решение по которым оно готово взять на себя, и возможностей, которые оно готово использовать для достижения стратегических целей организации? Готово ли высшее руководство установить ясное и понятное управление риском в организации? Какие шаги высшее руководство сделало для обеспечения надзора за менеджментом риска? При принятии решений руководители и работники понимают степень, до которой им (индивидуально) разрешено представлять организацию с учетом последствий события или ситуации? Отношение к риску должно быть основано на опыте, позволяющем принимать обоснованные решения с учетом риска. Понимают ли руководители свой суммарный и связанный уровень риска и соответственно могут ли определить приемлемость риска? Понимают ли высшее руководство и исполнительное руководство суммарный и связанный уровень риска для организации в целом? Действительно ли специалистам и исполнительному руководству ясно, что отношение к риску не является постоянным? Оно может быть изменено под воздействием изменения конъюнктуры рынка и среды. При одобрении высшим руководством риска необходимо предусмотреть до некоторой степени гибкое отношение к его применению. При принятии решения полностью ли исследованы последствия? Структура риска должна помочь руководителям, при этом руководители принимают на себя соответствующий уровень риска бизнеса с учетом потенциального вознаграждения. Какие существенные риски высшее руководство готово принять на себя и какие возможности оно готово использовать? Какие существенные риски высшее руководство не готово принять на себя? Вне зависимости от политики в области менеджмента риска, эта политика должна действовать наравне с другими политиками организации. Политика должна быть поддержана явными и неявными способами, правильно выражена и соответствовать шести критериям, установленным в С.2.1.

С.2.3 Укрепление приверженности

Высшее руководство и контролирующие органы должны продемонстрировать и укреплять приверженность организации полномочиям и обязательствам в области менеджмента риска с помощью соединения явных и неявных действий, включая следующие:

- прояснение того, что цели в области менеджмента риска могут быть связаны или не связаны с другими целями менеджмента;

- прояснение того, что эффективность менеджмента риска связана с постановкой целей организации;

- обеспечение интеграции действий в области менеджмента риска, выполняемых в соответствии с полномочиями, в существующие процессы менеджмента, в том числе процессы стратегического менеджмента, проектирования и оперативной деятельности;

- требование проведения регулярного мониторинга и отчетности о структуре и процессах менеджмента риска организации, обеспечивающих их соответствие и эффективность;

- мониторинг адекватности понимания организацией видов своих рисков, соответствующих установленным критериям, и предпринятых действий по ликвидации последствий в случае несоответствия этим критериям;

- обеспечение принципа лидерства руководства, когда руководитель показывает пример своими действиями;

- возобновление обязательств и полномочий при изменениях сроков, событий и состава высшего руководства.

Стандарт ИСО 31000 может быть внедрен во всей организации или в ее части, например, во вспомогательных подразделениях.

С.3 Руководство по разработке полномочий и обязательств

Установленные полномочия в области менеджмента риска должны быть обдуманными и учитывать стратегические перспективы и результаты консультаций с контролирующими органами и высшим руководством. Это поможет обеспечить осуществление полномочий организацией.

Полномочия и обязательства необходимо анализировать на тактическом и стратегическом уровнях. Организация должна определить и оценить требования к компетентности, навыкам и опыту персонала, провести экспертизу их достижения.

Необходимо внимательно следить за изменениями, происходящими в соответствии с полномочиями в области менеджмента риска. Следить за тем, кто руководит изменениями, и кто нуждается в руководстве и/или поддержке. Иногда изменения могут быть радикальными (например, изменения в требованиях к работе, мониторинге функционирования и процессах управления), поэтому способность организации к изменениям может быть снижена. Изменения необходимо рассматривать в связи с другими изменениями, которые находятся на стадии реализации, и учитывать необходимость их интеграции.

Необходимо проводить консультации с работниками, которые будут в значительной степени затронуты изменениями, в особенности, лицами ответственными за отдельные направления менеджмента риска организации (например, обеспечение здоровья и безопасности людей, менеджмент безопасности). Смысл изменений должен быть понятен персоналу.

Полномочия должны быть четко сформулированы в программном заявлении, которое демонстрирует обязательства организации.

Практическая помощь Некоторые способы достижения соответствия представлены ниже: - рассмотрение способов разъяснения полномочий организации и того, как они подкрепляются дальнейшими действиями; - рассмотрение сроков, влияющих на полномочия (необходимо уважать наравне с другими аспектами деятельности) организации, хотя до тех пор, пока структура менеджмента риска полностью не реализована, преимущества ее внедрения не будут полностью поняты, менеджмент риска не будет столь же эффективен, как мог бы быть); - идентификация ключевых лиц, ответственных за инициирование необходимых изменений в подходе к менеджменту риска, руководство и внедрение действий по менеджменту риска; - определение аспектов структуры и действий в области менеджмента риска, для которых необходим мониторинг со стороны высшего руководства, управление мониторингом и сбором и представлением такой информации; - включение выполнения менеджмента риска в качестве регулярной повестки дня во все ключевые совещания и встречи высшего руководства; - разработка эффективных методов обмена информацией о работе менеджмента риска (например, публикации информационного бюллетеня для персонала в стиле отчета по менеджменту риска); - исследование критериев для начала проведения анализа полномочий со стороны руководства.