Приложение Е (справочное). Интегрирование менеджмента риска в общую систему менеджмента организации. Национальный стандарт РФ ГОСТ Р 51901.7-2017/ISO/TR 31004:2013 "Менеджмент риска. Руководство по внедрению ИСО 31000" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 12.09.2017 N 1060-ст)

Приложение Е
(справочное)

Интегрирование менеджмента риска в общую систему менеджмента организации

Е.1 Общие положения

Менеджмент риска - неотъемлемая часть системы менеджмента организации. В стандарте ИСО 31000 организациям рекомендовано разработать, внедрить и непрерывно улучшать структуру менеджмента риска, целью которой является объединение менеджмента риска в систему менеджмента организации (включая управление и стратегию). Интеграция должна обеспечить, чтобы информация о риске использовалась для принятия решений на всех уровнях организации. Люди и организации управляют риском каждый день, когда они принимают решения. Менеджмент риска уже естественно присутствует в ситуации, когда мы решаем сделать что-то. Кто-то это делает лучше, кто-то хуже, но все могут улучшить качество менеджмента риска и принятия решений, что приводит к улучшению способов достижения целей и повышению доверия. Если целью интеграции менеджмента риска является повышение ценности, то вполне логично воздействовать на то, что уже существует вместо того, чтобы заменять существующее чем-то другим. При этом нелогично добавлять что-то или принуждать к иному способу действий, если что-то уже происходит как естественная функция принятия решений.

Интеграция не просто включает внедрение установленных и стандартизированных методов и процессов менеджмента риска в существующую систему(ы) менеджмента, а требует адаптации и изменений методов и процессов для удовлетворения потребностей лиц, принимающих решения, и подстроить их под существующие процессы принятия решений.

В настоящем приложении приведены некоторые практические примеры того, как менеджмент риска может быть интегрирован в существующую систему(ы) менеджмента.

Е.2 Что такое система менеджмента?

Все организации используют определенную систему менеджмента. Недавно формализованные системы менеджмента, состоящие из множества требований, были созданы, чтобы служить основой, в соответствии с которой организация может установить практику и процедуры управления работой. Существует много международных и национальных стандартов, которые описывают систему менеджмента в целом или ее отдельные элементы.

Система менеджмента - это ряд взаимосвязанных или взаимодействующих элементов организации, направленных на установление политики и целей, а также процессов достижения этих целей. С точки зрения управления бизнесом, достичь большей эффективности возможно при внедрении интегрированной системы менеджмента.

Например, менеджмент качества, описанный в ИСО 9001, содержит эффективный подход к удовлетворенности потребителя, в то время как менеджмент риска работает с воздействиями неопределенности на цели, которые могут относиться не только к потребителям, но также и другим заинтересованным лицам. Многие организации внедрили систему менеджмента качества, основанную на требованиях ИСО 9001, поэтому менеджмент риска может быть интегрирован в такую систему менеджмента путем разработки совместных действий, избегая дублирования.

Е.3 Интегрированная система менеджмента и менеджмент риска

Кроме интеграции менеджмента риска в процессы основного бизнеса, существует потребность в разработке взаимодействия между всеми подходами системы менеджмента, например, менеджментом качества, экологическим менеджментом, системой техники безопасности, менеджментом безопасности, оценкой соответствия, финансовым менеджментом и даже со страховым менеджментом, связанным с событиями, которые могут быть в финансовом отношении переданы другим организациям.

Отдельные системы менеджмента должны сформировать интегрированную систему менеджмента, основанную на политике и стратегии всей организации. Если организация имеет отдельные системы менеджмента для управления особыми рисками, структура менеджмента риска должна быть распространена и на другие системы.

Такой подход к менеджменту риска может помочь:

a) повысить ориентированность высшего руководства на стратегические цели организации;

b) обеспечить обработку всех рисков в интегрированной системе менеджмента в соответствии с принципами и руководящими указаниями ИСО 31000.

Этот подход может включать следующее:

- применение в системе менеджмента качества методов менеджмента риска, связанных с менеджментом риска проекта и продукции;

- работу с неопределенностью в экологическом менеджменте, например, работу с инцидентами и потенциальными авариями, деятельность в опасном помещении, утилизацию опасных материалов и веществ;

- интегрирование обработки риска в функциональную деятельность, такую как обеспечение безопасности работ;

- обработку риска, связанного с угрозой безопасности, например насильственными действиями против организации, ее служащих или потребителей;

- работу с рисками, связанными с информационными технологиями (ИТ), например, прерывания ИТ-операций, потери данных, нарушения конфиденциальности и обеспечения непрерывности бизнеса;

- управление риском, связанным с обеспечением непрерывности бизнеса, гарантирующим быстрое реагирование на опасные события и инциденты;

- установление средств контроля, направленных на защиту активов организации, обеспечение правильной отчетности, обеспечение соответствия законодательным и обязательным требованиям или управление страховым риском для снижения страховой премии.

Е.4 Внедрение менеджмента риска в структуру системы менеджмента качества

Е.4.1 Общие положения

Процесс менеджмента риска должен быть интегрирован в процессы принятия решений организации, независимо от уровня и функционального подразделения, в которых приняты эти решения.

Е.4.2 Идентификация и понимание принятия решения

Следующие методы помогают понять, когда и где решения принимают, в соответствии с циклом "Планируй - Делай - Проверяй - Действуй" (PDCA).

a) Идентификация всех форм формализованных методов принятия решений, существующих в организации. В крупных организациях используют многочисленные процедуры, которые требуют формального одобрения широкого диапазона решений, например, одобрения ежегодного стратегического плана, капиталовложений, нового штата, модификации управлений процессом, перемещение штата.

b) Использование блок-схем или других методов, позволяющих нанести на карту основные методы принятия решений и последовательности их реализации, применяемых к определенным проектам и ко всем аспектам бизнеса. Этот метод позволяет рассмотреть процесс принятия решений по подразделениям или по основным функциям и должен быть применен при разработке проекта принимаемого решения. Если в организации существуют действия, управление которыми осуществляется с применением формализованной системы менеджмента (например, руководства по применению ИСО 9001), то принятие решения в таких системах должно стать частью этого анализа. Точно так же, если в организации существует делегирование полномочий по принятию решений, то такое делегирование должно быть включено в анализ. В результате должна сложиться последовательная и документированная система того, где решения приняты, кто принимает решения, и какие существуют процессы, вовлеченные в такие решения.

Сочетание вышеупомянутых методов должно повысить степень организационного и личного понимания процесса принятия решений.

Е.4.3 Оценка риска

При принятии некоторых решений (например, разработка и реализация новой продукции или планирование и внедрение основного проекта) уместно включать формальную оценку риска в различные стадии проекта. Например, в большинстве проектов существует много точек принятия решений, таких как выполнение, экономическое обоснование, бюджетирование, планирование, внедрение и передача. В каждой из этих точек формальная оценка риска необходима при выборе варианта принятия решений. Это увеличивает вероятность успешного выполнения проекта и повышает его эффективность. Для оценки риска производственных решений для использования вовлеченным персоналом могут быть разработаны простые стандартизированные формы процесса менеджмента риска. Такие методы особенно подходят в ситуациях, где персонал работает без непосредственного контроля. Ключевым компонентом этих методов принятия решений является понимание использованных предположений. По определению, предположения - источник неопределенности.

Такие стандартизированные процессы менеджмента риска могут быть определены для различных типов принятия оперативных решений, отдельных групп работников, выполняющих особую задачу и конкретной среды, где они происходят. Простые системы могут быть закодированы в карманном, проверочном контрольном листе и выданы вовлеченному персоналу.

Е.4.4 Внедрение в структуру менеджмента риска

Выполнение методов, приведенных ниже, требует регулирования и пересмотра структуры менеджмента риска, например:

- внесения поправок в политику в области менеджмента риска организации;

- организации мероприятий, направленных на выполнение первоначального анализа и картографии практики принятия решений;

- внесения поправок в руководящие процедуры;

- обучения менеджеров и вовлеченного персонала;

- специального обучения персонала, выполняющего работу в соответствии с определенной системой менеджмента (например, персонала, работающего с особыми типами риска);

- регулирования гарантийной системы организации и системы информирования о менеджменте риска;

- обеспечения результативного внутреннего обмена информацией и консультаций.