1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "Институт стандартизации") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 августа 2025 г. N 972-ст

4 Настоящий стандарт идентичен международному документу ISO/TS 31050:2023 "Менеджмент риска. Руководство по менеджменту новых рисков для повышения адаптивности" (ISO/TS 31050:2023 "Risk management - Guidelines for managing an emerging risk to enhance resilience", IDT).

Международный документ подготовлен Техническим комитетом ИСО/ТК 262 "Менеджмент риска" в сотрудничестве с Техническим комитетом ИСО/ТК 292 "Безопасность и устойчивость".

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тексте настоящего стандарта, выделенные курсивом, приведены для пояснения текста оригинала

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Новые риски <1> характеризуются своей новизной, недостаточностью данных и отсутствием подтвержденной информации и знаний, необходимых для принятия решений. Поскольку эти риски потенциально могут быть сопряжены с серьезными угрозами и возможностями, управление ими необходимо осуществлять в рамках менеджмента риска организации. Такой менеджмент должен учитывать изменения обстоятельств или условий, связанных с различными аспектами внешней среды организации, и влияние на внутреннюю среду организации.

--------------------------------

<1> Термин "новые риски" применительно к настоящему стандарту рассматривается в контексте, указанном в настоящем структурном элементе.

К новым рискам могут относиться, например:

- риски, возникающие в результате непредвиденных изменений в организации;

- риски, возникающие в результате инноваций или социального и технологического развития;

- риски, связанные с новыми или ранее не выявленными источниками рисков;

- риски, возникающие в результате появления новых процессов, продуктов, услуг, либо в результате изменения текущих (процессов, продуктов, услуг).

Последствия новых рисков могут включать, например:

- воздействие непредвиденных опасностей и угроз с неопределенными последствиями;

- усиление воздействия опасностей и угроз от известных источников риска (риск-факторов);

- упущенные или приобретенные возможности.

Менеджмент новых рисков должен ориентироваться на знания и зависеть от необходимости накапливать проверяемые данные и информацию, особенно если они ограничены, непоследовательны или противоречивы. Интерпретация этой информации формирует знания и создает аналитические данные для принятия стратегических, тактических и операционных решений.

В настоящем стандарте представлены руководящие принципы применения ИСО 31000 для менеджмента новых рисков с целью повышения адаптивности организации. Основное внимание уделяется новым рискам, потенциально имеющим наиболее значительные последствия для организации и ее целей. Применение принципов и процесса, установленных в ИСО 31000, для менеджмента новых рисков требует понимания различных аспектов среды, в которой функционирует организация. В частности, к этому можно отнести:

- постоянное тщательное изучение изменяющихся обстоятельств или условий, которые могут привести к появлению риска, помогает развивать знания и предоставлять информацию, необходимую для принятия стратегических, тактических и оперативных решений;

- выявление изменений в организационной среде часто является ранним признаком или сигналом, определяющим уязвимые места и источники новых рисков;

- менеджмент новых рисков основан на применении принципов ИСО 31000 в условиях крайней неопределенности, растущей изменчивости, сложности и неоднозначности многочисленных аспектов среды, в которой работает организация.

Особые указания даются по следующим вопросам:

- как понять природу и особенности новых рисков (см. раздел 4);

- как принципы менеджмента риска применяются к новым рискам (см. раздел 5);

- как процесс менеджмента риска, установленный ИСО 31000, применяется к новым рискам (см. раздел 6);

- как можно повысить адаптивность к внешним воздействиям с помощью менеджмента новых рисков (см. раздел 7);

- как использовать процесс сбора аналитических данных о рисках для новых рисков (см. раздел 8).

Более подробная информация представлена в приложениях A - F.

Применение настоящего стандарта поможет организациям получить следующие преимущества:

- повышение осведомленности, уменьшение вероятности невыявления новых рисков;

- раннее распознавание новых рисков и повышение уровня готовности и адаптивности к новым рискам;

- своевременное распространение данных и обмен информацией между заинтересованными сторонами;

- формирование согласованных действий и мер в отношении новых рисков во всех аспектах среды организации.

Настоящий стандарт представляет собой руководство по менеджменту новых рисков, с которыми может столкнуться организация, и дополняет положения ИСО 31000.

Настоящий стандарт применим к любой организации, на любом этапе и к любой ее деятельности. Применение настоящего стандарта может быть адаптировано для различных организаций или их среды.

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO 22300, Security and resilience - Vocabulary (Безопасность и устойчивость к негативным внешним воздействиям. Словарь)

ISO 22316, Security and resilience - Organizational resilience. Principles and attributes (Безопасность и устойчивость к негативным внешним воздействиям. Устойчивость организации. Принципы и качественные признаки)

ISO 31000, Risk management - Guidelines (Менеджмент риска. Принципы и руководство)

IEC 31010, Risk management - Risk assessment techniques (Менеджмент риска. Технологии оценки риска)

В настоящем стандарте применены термины и определения по ИСО 22300, ИСО 22316, ИСО 31000, МЭК 31010, а также следующие термины с соответствующими определениями.

Терминологические базы данных ИСО и МЭК доступны по следующим интернет-адресам:

- платформа онлайн-просмотра ИСО по адресу: http://www.iso.org/obp;

- Электропедия МЭК по адресу: http://www.electropedia.org/.

3.1 атрибут адаптивности (resilience attribute): Свойство или характеристика способности организации сохранять устойчивость под воздействием и адаптироваться к изменяющейся среде.

3.2 знания (knowledge): Результат усвоения информации через обучение.

Примечание 1 - Знания могут быть получены через исследования, опыт или образование.

Примечание 2 - Знания включают информацию, факты, принципы, теории и практики, которые связаны с той или иной областью работы или учебы.

Примечание 3 - Знание может быть индивидуальным или коллективным. Коллективные знания получаются в результате сотрудничества людей и высвобождения своих неявных и интуитивных знаний.

[ИСО 56000:2020, 3.4.1]

3.3 аналитические данные (intelligence): Результат сбора, анализа и интерпретации данных, информации и знаний (3.2).

Примечание - Аналитические данные могут быть разных видов, например (включая, но не ограничиваясь): сведения о рынке, технологиях, конкурентной среде, интеллектуальной собственности или о бизнесе.

[ИСО 56006:2021, 3.1]

3.4 адаптивность организации (к негативным внешним воздействиям) (organizational resilience): Способность организации сохранять устойчивость под воздействием, восстанавливаться и адаптироваться в условиях изменяющейся среды.

[ISO 22300:2021, 3.1.167, с изменениями - добавлено "восстанавливаться (recover)" и в определении "среда (environment)" заменено на "среда (context)"]

3.5 радикальная инновация/инновационный прорыв (radical innovation/breakthrough innovation): Инновация с высокой степенью изменения.

Примечание 1 - Изменение может касаться сущности организации или ее воздействия.

Примечание 2 - Радикальные инновации находятся на противоположном конце шкалы от поэтапных инноваций.

[ИСО 56000:2020, 3.1.1.1]

3.6 подрывная инновация (disruptive innovation): Инновация (3.1.1), изначально предназначенная для удовлетворения менее требовательных потребностей, вытесняя установленные предложения.

Примечание 1 - По сравнению с существующими предложениями подрывные инновации изначально являются более простыми предложениями с более низкими результатами деятельности, и они, как правило, более экономически эффективны, требуют меньше ресурсов и предлагаются по более низкой цене.

Примечание 2 - Сбой происходит, когда значительное количество пользователей или клиентов приняли инновацию.

Примечание 3 - Подрывные инновации могут создать новые рынки и сети создания ценности, обратившись к новым пользователям и внедрив новые модели бизнеса и реализации ценности.

[ИСО 56000:2020, 3.1.1.2]

Характер новых рисков (см. примеры в приложении A и пример данных, которые необходимо собрать о них, в приложении B) может включать:

- риски, которые ранее не выявлялись организацией или с которыми организация раньше не встречалась;

- знакомые риски в новой или незнакомой среде, к которым не применимы существующие знания;

- существенно эволюционирующий риск;

- системные риски (см. приложение C);

- новую комбинацию рисков.

Если организация не учитывает новые риски, это не означает, что они ее не затронут. Во многих случаях изначально невозможно сформулировать интересующие сценарии, оценить объективную вероятность события, предвидеть последствия или определить варианты управления. Чтобы лучше понять характер конкретного нового риска, следует рассмотреть природу аналогичных рисков, которые лучше изучены.

Вышеперечисленные риски могут быть обусловлены изменением условий, в которых организация стремится достичь своих целей, таких как:

- организационная структура;

- доступ к капиталу и возможностям;

- взаимодействие или взаимозависимость с социальными, геополитическими, экологическими, экономическими, технологическими, правовыми факторами, восприятием (см. приложение D) и этическими факторами;

- внутреннее управление, культурные и функциональные аспекты деятельности.

Новые риски необходимо выявлять и характеризовать упреждающе, основываясь на наблюдении за изменениями в организационной среде. Новые риски обычно представлены набором новых обстоятельств или условий, не идентифицированных ранее, или изменениями в характеристиках уже идентифицированных рисков. Изменения могут быть связаны, например,

- с общественными нормами;

- организационной культурой;

- восприятием;

- данными или информацией, интерпретированной на основе данных о риске или о том, как этот риск развивается.

Примечание - В некоторых случаях риски возникают в малоизвестной среде.

Эффективный и действенный менеджмент новых рисков требует постоянного получения знаний о функциях организации, среде/контексте, опыте, доступе к данным и характеристиках нового риска (например, путем применения аналитических данных для управления рисками, см. раздел 8 и приложение E). Полученные данные, информация и знания должны быть соответствующим образом зарегистрированы (см. 6.7 и приложение B).

Особое значение для получения новых знаний о новых рисках могут иметь следующие факторы:

a) возможные отклонения от ожидаемых результатов или последствий, как положительные, так и отрицательные, и их объективную вероятность;

b) источники и природа рисков;

c) другие факторы, такие как скорость развития риска и возможность его обнаружения.

Если организация ранее не сталкивалась с определенными изменениями в своей среде, возможно, что данные, связанные с этими изменениями, ограничены, или что все характеристики новых рисков не очевидны (например, для системных рисков, см. приложение C). Понимание особенностей среды новых рисков зависит от имеющихся знаний в отношении природы и источника, количества и времени, изменчивости, неопределенность среды/контекста, сложных и неоднозначных обстоятельств. Следовательно, имеющихся знаний может быть недостаточно для выявления изменений в характеристиках и потенциальных источниках риска или, в случае выявления новых проблем, для определения объективной вероятности и последствий отклонений от ожиданий.

Из-за высокой неопределенности интерпретация данных и информации может быть предвзятой вследствие индивидуального восприятия (см. приложение D).

Вновь возникающие характеристики риска следует классифицировать, например, с учетом следующих элементов:

a) элементы знаний, включая, например:

- неизвестные изменения в организационной среде,

- слабые сигналы об изменениях, с учетом интерпретации и предвзятости,

- недостаточные данные для определения объективной вероятности и последствий;

b) элементы неадаптивности, включая, например:

- условия или обстоятельства, которые могут быстро или непредсказуемо измениться,

- влияние изменений и последствий неизвестной переменной,

- нестабильность данных и информации;

c) элементы неопределенности, включая, например:

- переход от ранних признаков и сигналов к новым рискам,

- определение источников новых рисков;

d) элементы сложности, включая, например:

- высокий уровень взаимосвязанности систем, частей или процессов,

- неизвестные взаимозависимости во всей среде организации,

- взаимодействие новых рисков с другими рисками или видами деятельности, что может привести к нелинейным последствиям,

- системный характер некоторых рисков (см. приложение C),

- высокую степень сложности потенциальных решений и последствий;

e) элементы неоднозначности, включая, например:

- ограниченные данные, открытые для многочисленных интерпретаций и индивидуального восприятия,

- отсутствие прецедента для развития знаний и получения аналитических данных,

- отсутствие ясности в отношении причин и следствий изменений в среде/контексте;

f) элементы измерения времени, включая, например:

- скорость изменений в среде организации,

- скорость изменения характеристик новых рисков;

g) элементы управляемости, включая, например, влияние факторов, не поддающихся управлению организацией, как во внутренней, так и во внешней среде;

h) поведенческие элементы, включая, например, влияние неожиданных изменений в среде, людях, системах или процессах (см. приложение D).

Не все вышеперечисленные характеристики обязательно применимы ко всем новым рискам, и они не уникальны для новых рисков. Однако вышеперечисленные категории представляют собой общие характерные особенности для новых рисков, которые следует учитывать при менеджменте новых рисков.

Знания о новых рисках должны основываться на количестве и качестве имеющихся данных и их пригодности в качестве достоверной информации для поддержки принятия решений. Для эффективного менеджмента новых рисков необходимо учитывать возможность использования систем, способных собирать и интерпретировать данные о способностях, возможностях, изменениях и тенденциях во внешней среде, принимая во внимание, что знания о характеристиках новых рисков и их влиянии на цели организации могут зависеть от данных, которые еще отсутствуют или являются ограниченными.

Следует отметить, что в отсутствие адекватных знаний на понимание новых рисков могут влиять индивидуальное восприятие, когнитивные предубеждения, групповая динамика, дезинформация или неправильная интерпретация, препятствующие достоверной оценке вероятности и последствий. В таких случаях менеджмент новых рисков должен быть направлен на оценку их правдоподобия [4] и повышения адаптивности организации [5].

По мере развития новых рисков со временем меняются и знания о них и их характеристиках.

Примечание - На начальном этапе может быть мало понимания о том, какие проблемы могут возникнуть в конкретных обстоятельствах. По мере сбора и интерпретации данных и информации знания расширяются, позволяя организациям идентифицировать новые риски и принимать решения об их возможных последствиях.

Это необходимо определить в рамках цикла анализа рисков. Применение знаний в качестве стратегических аналитических данных, а также для улучшения процесса принятия решений должно быть систематическим (см. раздел 8 и приложение E).

Качество (например, целостность, надежность, точность, своевременность, актуальность) имеющихся данных и информации важно для получения знаний, необходимых для присвоения значений измеряемым элементам характеристик нового риска, включая последствия и объективную вероятность. Организация должна создать систему своевременного получения данных о слабых сигналах или ранних признаках, а также их анализа и анализа изменений в характеристиках новых рисков. Этот анализ должен включать в себя неопределенность информации, ее ограничения, связанные с пониманием развития новых рисков, а также тенденции и закономерности в среде организации, указывающие на источник возможных новых рисков.

Характеристика новых рисков должна включать аспекты, связанные со временем, такие как скорость появления информации, необходимой для понимания и управления рисками. Понимание временных характеристик новых рисков также влияет на сбор и анализ данных, интерпретацию информации и получение знаний для своевременного принятия решений в области менеджмента новых рисков.

Время до появления необходимой информации также влияет на возможности менеджмента риска и объем необходимых знаний.

Ключевые показатели времени как характеристики новых рисков должны включать:

a) размер (скорость) изменения условий или обстоятельств;

b) скорость развития нового риска;

c) время, прошедшее с момента изменения обстоятельств или условий до идентификации нового риска;

d) время достижения зрелости данных, необходимых для получения информации, знаний и аналитических данных;

e) время между изменением условий и появлением слабых сигналов или ранних признаков;

f) время от идентификации риска до наступления события.

Характеристики нового риска, которые потенциально могут привести к неопределенным или неожиданным изменениям и неадаптивности, могут включать:

- внезапное осознание того, что обстоятельства недостаточно хорошо поняты и что организации не известны потенциально важные данные;

- неожиданные и непредвиденные поэтапные изменения среды, возможностей и понимания последствий этих изменений;

- быструю и непредсказуемую изменчивость и непредвиденные изменения в организационной среде.

Информация должна постоянно обновляться в целях лучшего понимания причин этих изменений. Характеристики и знания должны быть включены в процесс принятия эффективных и действенных решений по новым рискам.

Понимание различных аспектов среды организации следует рассматривать как ключ к эффективной идентификации, анализу и оценке нового риска (см. 4.1). Изменения в каком-либо одном или во всех аспектах внешней среды приводят к изменениям в среде организации, способным оказать положительное или отрицательное воздействие на цели организации.

Слабые сигналы и первые признаки изменений в любом аспекте среды организации являются предвестниками потенциального нового риска. В таких обстоятельствах организации должны отслеживать выявленные изменения в любом аспекте своей среды и постоянно собирать и анализировать данные, чтобы определить значимость изменений в любом элементе или аспекте и разработать сценарии.

Тщательный мониторинг и анализ изменений в среде, а также растущая доступность данных об объективной вероятности, скорости изменений, масштабе и изменчивости возникновения, временных горизонтах и аспектах среды организации, - все это способствует ясности и лучшему пониманию выявленных проблем и потенциальных новых рисков.

На начальных этапах разработки нового риска организация, особенно не обладающая (или обладающая незначительными) знаниями или опытом работы с новыми рисками, должна понимать, что данные могут быть недоступными, ограниченными, непоследовательными, неточными или ложными. Поэтому процесс интерпретации данных в поддающуюся проверке информацию для принятия решений должен быть направлен на снижение значительной неопределенности.

Хотя постоянный мониторинг и анализ изменений характеристик нового риска, как правило, повышает качество и количество собираемых данных, организация должна помнить об обстоятельствах, при которых не все изменения в ее среде могут быть выявлены или охвачены анализом сценариев.

Адаптивность организации позволяет ей выполнять свои задачи, выживать и процветать. Изменения в организационной среде часто являются ранними признаками или определяют угрозы и возможности, уязвимости и источники нового риска.

Что касается возможных угроз, адаптивность организации позволяет ей подготовиться к ним, компенсировать их воздействие, восстановиться после них и адаптироваться к изменяющимся условиям. Что касается возможностей, то адаптивность организации позволяет организациям адаптироваться к изменениям, создавать внутреннюю ценность и уверенно принимать на себя взвешенные риски (см. ИСО 22316).

Эффективный и действенный менеджмент новых рисков должен помочь предотвратить и смягчить возможные неудачи в использовании возможностей или негативные последствия для важных целей организации или даже для ее выживания.

Поэтому организациям следует принять и применять принципы адаптивности и показатели адаптивности (см. приложение F). Организации должны развивать способности и характеристики, которые повышают их способность выживать и процветать. Способность организации предвидеть изменения, готовиться к ним и реагировать на них должна быть ключевым требованием для эффективного менеджмента новых рисков. Таким образом, адаптирующиеся организации должны характеризоваться способностями, которые включают следующее:

- предвидение: способность подготовиться к неожиданным или маловероятным событиям, развивая способности и функции предвидения, необходимые для того, чтобы справиться с любым неожиданным событием, как благоприятным, так и неблагоприятным. Это также означает готовность раньше конкурентов воспользоваться потенциальными возможностями, открывающимися благодаря изменениям во внешней среде;

- сопротивляемость и восстановление: способность противостоять неблагоприятным ситуациям, восстанавливаться после потрясений и возвращаться в нормальное состояние, выходящее за рамки поддержания и восстановления функциональности организации, с упором на развитие организационных процессов и возможностей;

- адаптация: способность эффективно разрабатывать ответные меры в зависимости от ситуации, приспосабливаться к разрушительным событиям и в конечном итоге участвовать в деятельности по преобразованию, чтобы извлечь выгоду из деструктивных событий.

Необходимо измерить уровень адаптивности организации перед деструктивным событием, и он должен зависеть от того, насколько успешно организация справилась с аналогичным непредвиденным событием. Адаптивность организации должна включать в себя потенциал, позволяющий эффективно предвидеть новые риски и адаптироваться к ним.

Целью менеджмента риска является создание и защита ценностей организации. Для достижения этой цели в ИСО 31000 изложен ряд принципов [см. рисунок 1 a)]. Эти принципы в равной степени применимы и к менеджменту новых рисков.

Рисунок 1 - Принципы и процесс в ИСО 31000

В 5.2 - 5.9 приведены дополнительные рекомендации по применению этих принципов для менеджмента новых рисков. Применяя эти принципы, организация должна обеспечивать, чтобы новые риски:

- постоянно анализировались на стадии их возникновения для повышения уровня знаний и улучшения понимания их характеристик и состояния;

- оценивались с учетом широкого спектра возможных будущих ситуаций.

Кроме того, организация должна обеспечить адекватное управление угрозами и возможностями, признавая ограниченность, непоследовательность и изменчивость информации и данных.

Дополнительных указаний, помимо тех, что содержатся в ИСО 31000, не приводится.

При необходимости организация должна применять гибкий подход для сбора и интерпретации данных, получения информации и преобразования знаний в аналитические данные для использования лицами, принимающими решения (см. раздел 8 и приложение E).

Организация должна непосредственно учитывать вопрос о том, удовлетворяет ли требованиям комплексного подхода к менеджменту риска сбор данных (как структурированных, так и неструктурированных), их интерпретация в качестве информации и применяемые знания.

Подход должен подчеркивать важность последовательной работы по выявлению новых рисков и информированию о них.

Организация должна обеспечить, чтобы ее система и процесс менеджмента риска были адаптированы для отражения изменчивости, неопределенности, сложности и неоднозначности новых рисков в соответствии с миссией, целями и стратегиями организации.

Организация должна надлежащим образом своевременно выявлять и привлекать к сотрудничеству соответствующих лиц, заинтересованных в новом риске, чтобы расширить объем знаний организации путем изучения опыта различных заинтересованных сторон, который организация может применить.

Даже если качество данных низкое, а информация ограничена, организация должна продолжать признавать достоверность сведений, если источник обладает достаточным авторитетом и опытом.

Организация должна учитывать возможность неожиданных и разрушительных изменений в среде. Она должна своевременно развивать способность предвидеть, обнаруживать изменения и реагировать на них. Таким образом, организация должна оставаться достаточно гибкой, подвижной и адаптируемой, чтобы учитывать вероятные изменения во внешней среде.

Организация должна обеспечить, чтобы ее система менеджмента риска включала компоненты, предназначенные для прогнозирования изменяющихся обстоятельств и реагирования на них, и чтобы процесс менеджмента риска был достаточно гибким. Члены организации должны быть способны адаптировать и применять различные инструменты и методы для учета особенностей новых рисков.

Признавая отсутствие предыстории и актуальной текущей информации при оценке новых рисков, организация должна обеспечить постоянное совершенствование сбора и проверки данных, а также анализа данных для извлечения информации, относящейся к новым рискам, с целью получения наилучшей информации для принятия решений.

В разделе 8 содержатся дополнительные указания по сбору всех имеющихся данных и получению ценных аналитических данных для принятия решений в отношении новых рисков.

Организация должна признать, что недостаточность данных, связанных с новыми рисками, может сделать несостоятельными устоявшиеся взгляды. По этой причине информация о новых рисках может существенно повлиять на культуру и поведение людей. Поэтому следует ценить содействие экспертов внутри организации и за ее пределами.

Организация должна признать, что доступность и интерпретация данных в достоверную информацию могут существенно меняться по мере развития новых рисков. Первые представления могут оказаться неверными, а ранее сложившиеся убеждения могут быть поставлены под сомнение.

Организация должна обеспечить, чтобы менеджмент новых рисков приводил к новым возможностям для общества и бизнеса, новому обучению и новому опыту, включая критический анализ результатов предыдущих анализов рисков. Организация должна четко определить этот новый уровень понимания как катализатор развития знаний, новых и усовершенствованных процессов и практик в рамках менеджмента риска и за его пределами.

Организация должна обеспечить постоянное совершенствование, ведущее к эффективному и действенному менеджменту новых рисков. Эти улучшения должны включать в себя сбор данных, преобразование информации и обмен ею, а также создание и расширение знаний в процессе менеджмента риска.

Эффективный менеджмент новых рисков требует дальновидности, которая также необходима для эффективной работы по анализу рынка, разработке новых продуктов и услуг как в государственном, так и в частном секторе. Менеджмент новых рисков является основой успеха при разработке целей и оказании услуг, направленных на удовлетворение текущих потребностей и подготовку к будущему.

Организация должна применять процесс менеджмента риска, описанный в ИСО 31000:2018, раздел 6 [см. рисунок 1 b)], для менеджмента новых рисков. Она должна интегрировать эту деятельность в свою структуру, систему, операции и процессы. Актуальность новых рисков должна рассматриваться на всех уровнях и в рамках каждой функции организации.

При применении процесса, изложенного в ИСО 31000, к новым рискам необходимо использовать структурированный подход с достаточной гибкостью для адаптации к новейшей информации по мере роста понимания новых рисков. Например, знания, полученные в ходе анализа рисков, могут быть использованы для прогнозирования изменений в среде.

Новые риски могут влиять друг на друга и на другие риски, с которыми сталкивается организация. Организация должна рассматривать новые риски как часть более широкой системы, а не как отдельные и индивидуальные проблемы, учитывая возможные взаимозависимости и взаимосвязи. Подход, анализирующий зависимости, взаимоотношения и взаимосвязи, должен обеспечить глубокое понимание, а не просто изучение отдельных компонентов риска без представления всей системы.

Применение аналитических данных по управлению рисками, описанный в разделе 8 и приложении E, может помочь организациям и их руководителям в применении процесса менеджмента риска, описанного в ИСО 31000.

В дополнение к ИСО 31000:2018 (см. 6.2) применяют следующие рекомендации.

Организация должна определить заинтересованные стороны внутри организации и за ее пределами и установить пути обмена информацией, чтобы в случае необходимости принятия мер средства коммуникации уже были установлены. Как и в случае с любым риском, заинтересованные стороны должны включать тех, кого следует информировать, тех, с кем будут проводиться консультации, и тех, кто будет участвовать в различных элементах процесса менеджмента риска. Заинтересованные стороны могут меняться с течением времени, и разные заинтересованные стороны могут быть связаны с различными элементами менеджмента риска. Например, разносторонний уникальный опыт и знания могут помочь выявить новые риски, в то время как для анализа конкретного риска могут потребоваться специальные профильные эксперты.

Взаимодействие с соответствующими заинтересованными сторонами помогает выявлять новые риски и позволяет заинтересованным сторонам предоставлять информацию в поддержку решений и обеспечивать обратную связь по их реализации. Это позволяет обмениваться информацией и знаниями о новых рисках с различными заинтересованными сторонами (например, экспертами, регулирующими органами, акционерами, потребителями, СМИ, партнерами, поставщиками, государственными службами, гражданами). Таким образом, они могут достичь общего понимания рисков и причин, лежащих в основе любых действий, необходимых для управления ими.

При первом выявлении нового риска может иметься мало информации о его последствиях, поэтому существует вероятность появления различных точек зрения и представлений о его значении для организации. Обмен информацией необходим для того, чтобы справиться с различным восприятием, которое может возникнуть (например, из-за влияния социальных сетей или представления ложной или вводящей в заблуждение информации в СМИ).

Быстрое развитие новых рисков может потребовать оперативного принятия решений, что усиливает необходимость улучшения обмена информацией и консультирования. Следует учитывать возможность того, что другие организации или заинтересованные стороны (например, партнеры, клиенты, поставщики) сталкивались с подобными ситуациями, чтобы попытаться получить соответствующие данные и информацию.

Организация должна:

- создать эффективные средства сбора актуальной информации о новых рисках и ее передачи для противодействия дезинформации;

- быстро доводить до сведения организации изменения в среде и новые риски, выявленные в ходе любого этапа процесса менеджмента риска;

- развивать способность быстро охватывать заинтересованные стороны для обеспечения двусторонней связи (например, для предоставления критически важной информации о новых рисках, получения обратной связи и предоставления организации возможности адаптироваться и реагировать на изменяющиеся обстоятельства);

- создать средства, с помощью которых лица, оценивающие новые риски, могут воздействовать на соответствующие уровни власти с целью принятия планов, если и когда новые риски достигнут определенных пороговых значений;

- укреплять доверие между соответствующими заинтересованными сторонами (это особенно сложно, когда критическая информация является неопределенной или неоднозначной, или когда нет возможности для устранения рисков);

- поощрять и расширять возможности соответствующих заинтересованных сторон, независимо от их положения или статуса, предупреждать соответствующих лиц о том, где, по их мнению, может возникнуть новый риск.

В дополнение к ИСО 31000:2018, 6.3, применяют следующие рекомендации.

Организация должна учитывать многочисленные аспекты среды, в которой она существует. Источники риска могут возникать из отношений, взаимодействий или взаимозависимостей организации с общественными, геополитическими, экологическими, экономическими, технологическими, правовыми и этическими факторами, а также из внутреннего управления, культурных и функциональных аспектов ее деятельности. Широкий взгляд на среду и временной горизонт должны рассматриваться как источники риска; слабые сигналы и ранние признаки изменений могут появляться за пределами непосредственной среды. Широкий и глубокий охват контекстной информации имеет решающее значение для эффективного менеджмента новых рисков.

В дополнение к пониманию текущей среды, организация должна искать изменения и тенденции, которые могут стать источником новых рисков. Изменения в среде могут быть как внутренними (например, расширение деятельности в новых областях), так и внешними (например, новые технологии). Они могут влиять на организацию напрямую или косвенно, через аффилированные организации и сектора. Изменения могут быть постепенными (например, изменение климата, смена этапа, стихийное бедствие) или быстрыми (например, пандемия). В некоторых случаях потенциал изменения среды уже можно определить как риск.

Значимость любых изменений в среде должна оцениваться на функциональном и стратегическом уровнях, поскольку изменения могут иметь значительные стратегические и функциональные последствия.

При рассмотрении среды нового риска применяются следующие рекомендации:

- объем деятельности, связанной с новыми рисками, должен быть достаточно широким, чтобы охватить любые изменения, которые могут привести к возникновению рисков для целей организации. Он может включать политические, экономические, социологические, технологические, правовые и экологические изменения, а также изменения в человеческих ресурсах организации;

- необходимо определить границы организации, систем, процессов, проектов или видов деятельности, для которых будут оцениваться риски;

- должны быть определены и поняты внешние факторы, которые могут повлиять (положительно или отрицательно) на способность организации достичь своих целей, и способы их изменения;

- должны быть поняты аспекты внутренней среды организации, которые могут повысить чувствительность и уязвимость к новым рискам;

- необходимо создать механизмы мониторинга изменений внутренней и внешней среды, включая тенденции и изменения, которые могут происходить постепенно;

- следует разработать и проанализировать сценарии, позволяющие понять возможные будущие состояния;

- необходимо постоянно отслеживать изменения того, как развивается среда организации (не только сами изменения, но и то, как они воспринимаются в среде организации, что может стать источником нового риска);

- необходимо оценивать адаптивность и ее показатели при обнаружении соответствующих новых рисков (см. раздел 7).

Периодический анализ внутренней и внешней среды должен дополняться постоянным тщательным изучением изменений. Это позволяет обновлять данные для улучшения понимания новых рисков и получать соответствующую информацию для их непрерывного менеджмента (см. также раздел 8 и приложение E).

Для понимания среды/контекста новых рисков следует использовать различные источники информации. Они могут включать, например, тщательное изучение интернета, контакты с отраслевыми ассоциациями и другими профессиональными организациями, а также неформальные профессиональные сети.

Примечание - Использование таких мнемотехник, как PESTLE (политические, экономические, социальные, технологические, правовые, экологические) или STEEPLE (социальные, технологические, экономические, экологические, политические, правовые, этические), может помочь обеспечить структурированный подход, который направляет внимание на различные области анализируемой среды.

Организация должна установить критерии и простые правила для принятия решения о значимости нового риска. Однако в случае нового риска зачастую недостаточно данных и слишком много сложностей или двусмысленностей, чтобы применять простые правила для определения значимости. Решение о необходимости принятия мер в отношении нового риска, скорее всего, будет носить консультативный характер и учитывать имеющиеся данные по различным аспектам, таким как:

- степень убежденности и обоснование того, что конкретное последствие может наступить (правдоподобность);

- характер последствий и величина их возможного влияния на цели;

- кажущаяся объективная вероятность наступления конкретного сценария.

Примечание - Объективная вероятность наступления риска, правдоподобность и неопределенность масштаба последствий являются отличительными характеристиками, поэтому они не являются взаимозаменяемыми терминами;

- уровень неопределенности в оценках последствий и объективной вероятности наступления риска;

- скорость, с которой происходят изменения;

- шкала времени, в течение которого могут наступить последствия;

- практичность мер контроля;

- мнение соответствующих заинтересованных сторон.

Для новых рисков причинно-следственные связи не всегда полностью устанавливаются. Поэтому при принятии решений, связанных с риском, организация может руководствоваться подходом, основанным на осторожности и прозрачности (см. [6]), особенно когда деятельность может нанести потенциальный вред здоровью человека или окружающей среде.

В дополнение к ИСО 31000:2018, 6.4, применяют рекомендации, приведенные в 6.4.2 - 6.4.4.

На начальном этапе организация, скорее всего, не имеет предшествующих знаний и опыта работы с новыми рисками, которые трудно распознать и описать.

Изменения в среде создают и формируют развитие новых рисков. Источниками новых рисков могут быть, например, глобальная перемена в отношениях, инновационные технологии, действия других организаций, политическое и экономическое давление, а также экологические и социальные изменения.

Они могут иметь положительные и отрицательные последствия для множества целей, а также нарастающие последствия и кумулятивные эффекты, которые зачастую сразу не очевидны. Поэтому особое внимание следует уделять использованию нескольких методов/техник и источников информации для определения масштаба положительных и отрицательных последствий, которые могут возникнуть из-за одного источника риска.

Структурированный подход к выявлению новых рисков помогает не упустить ничего очевидного, но некоторые неструктурированные методы выявления и сбора данных полезны для обеспечения и поощрения образного мышления. Использование нескольких взаимодополняющих методов и методик может обеспечить более полное выявление рисков.

Организация должна:

- проводить регулярное и всестороннее изучение среды, в которой она работает, с учетом различных точек зрения, или использовать соответствующие методы/техники для выявления изменений в среде и новых рисков;

- стремиться выявлять новые риски на стратегическом уровне и в рамках всей организации, если применяется процесс менеджмента риска (риски, имеющие особое значение для отдельных проектов или отделов, могут быть менее заметны или с меньшей вероятностью будут рассмотрены в ходе стратегического анализа на более высоком уровне);

- анализировать тенденции, которые в конечном итоге могут привести к появлению новых рисков;

- описывать источники рисков и возможные сценарии, связанные с ними;

- активно искать сценарии как с положительным, так и с отрицательным исходом;

- изучать взаимосвязанные риски и среды;

- определять показатели новых рисков, которые позволят заблаговременно предупредить о надвигающихся последствиях или новых возможностях и появляющихся угрозах, и отслеживать эти показатели;

- постоянно отслеживать данные таким образом, чтобы описания рисков обновлялись по мере получения последней информации.

Описанные в МЭК 31010 технологии, используемые для идентификации и анализа рисков, могут быть применены и к новым рискам. Методы сценариев полезны для выявления последствий, нарастающих последствий и кумулятивных эффектов, которые ранее не встречались. Анализ сценариев предполагает определение множества возможных сценариев, которые могут развиваться в зависимости от среды, и планирование ответных мер, которые приведут к предпочтительным будущим состояниям.

Также ценность представляют методы, позволяющие применять разносторонний подход.

Анализ рисков должен быть направлен на понимание риска, чтобы можно было принимать обоснованные решения. Понимание должно быть обеспечено для принятия решений:

- о том, является ли новый риск значимым для организации (см. 6.3.2);

- о том, как организация должна реагировать на новый риск и с какой срочностью;

- о выборе доступных вариантов запланированных действий.

Организация должна уделять особое внимание новым рискам в случае, если исходные данные ограничены, знания о риске характеризуются значительной неопределенностью (например, в отношении возможных сценариев, последствий или эффективности контроля), или интерпретации данных о том, как на информацию для принятия решений влияют когнитивные предубеждения (см. приложение D). В таких случаях организация должна собирать наилучшие доступные данные и информацию, используя авторитетные источники. По возможности данные и информация должны быть проверены.

Учитывая характеристики новых рисков, организация должна проанализировать источники новых рисков, возможные события и сценарии, а также их положительное и отрицательное влияние на цели. Также следует рассмотреть возможность нарастающих последствий и кумулятивных эффектов.

Сценарии также можно использовать для изучения вероятного эффекта от ответных мер на новые риски. Методы теории игр (см. МЭК 31010) также можно использовать для учета действий других игроков (предполагается, что они действуют в своих собственных интересах). Для каждого сценария организация должна рассмотреть масштабы последствий для различных целей, их предполагаемую объективную вероятность и неопределенность этих оценок.

Если первоначальные оценки являются весьма неопределенными, возможны следующие варианты:

a) расширить знания, проконсультировавшись с другими экспертами или проведя дополнительные исследования;

b) подтвердить недостающую информацию, используя диапазон объективной вероятности наступления риска (т.е. сделать саму объективную вероятность случайной переменной);

c) использовать аналогичную и более понятную информацию;

d) четко сообщить, что знания могут быть основаны на ограниченной информации или индивидуальном восприятии, чтобы лица, принимающие решения, понимали, на чем будет основано их суждение.

Имеющиеся доказательства, подтверждающие оценки, должны быть задокументированы (см. 6.7).

Последствия и объективная вероятность могут быть объединены для получения оценки уровня риска. Однако независимая информация о возможных последствиях и степени их вероятности иногда может быть более ценной для тех, кто принимает решения, чем объединение этих данных в уровень риска. Всегда необходимо документировать данные и сообщать о неопределенности в информации и оценках.

Новые риски могут иметь место в случаях, когда можно выявить изменения в среде или наблюдать ранние последствия, но при этом существует одна или несколько из следующих проблем:

- нет четкого представления о возможных сценариях развития событий;

- связь между причиной и следствием неясна;

- последствия и объективная вероятность не могут быть описаны или оценены;

- нет возможности понять весь масштаб проблемы;

- нет единого решения.

Примечание - Такие риски иногда называют "катастрофическими рисками".

Для этих рисков следует использовать подход, основанный на мерах предосторожности, а способы управления должны быть определены таким образом, чтобы их можно было корректировать по мере уточнения ситуации. Организация должна развивать, насколько это возможно, способность предвидеть, готовиться, реагировать и адаптироваться к неожиданным последствиям (см. раздел 7), продолжая поиск информации и данных (см. раздел 8). Выявление слабых сигналов изменений особенно важно для таких рисков.

По мере накопления данных следует обновлять описание сценариев, причинно-следственных связей, оценок последствий и объективной вероятности, а также другую дополнительную информацию. В ходе этого процесса предполагаемая значимость нового риска может существенно измениться. Некоторые новые риски могут оказаться несущественными, значимость же других может возрастать. Развитие понимания возможных сценариев также может привести к идентификации новых рисков.

Необходимо определить временные аспекты, имеющие отношение к сценариям, поскольку от этого зависит неотложность дальнейшего сбора и обработки данных. В качестве примеров можно привести следующие:

- краткосрочные новые риски - это риски, которые уже сейчас могут иметь важные последствия для организации. Эти риски требуют незамедлительного внимания, поэтому необходимо выделить ресурсы на сбор и анализ данных и срочно искать дальнейшие знания;

- среднесрочные новые риски - это риски, серьезные последствия которых не ожидаются в краткосрочной перспективе, но они могут развиться по мере изменения среды. Накопление знаний посредством эффективной интерпретации информации является ключевым видом деятельности, и его можно использовать для определения возможных способов управления, реализация которых может занять некоторое время;

- долгосрочные новые риски, как ожидается, не будут иметь немедленных последствий для целей, но среда может измениться и привести к возникновению значительных рисков в будущем. Для таких рисков проводится мониторинг среды и определяются показатели, которые могут выявить необходимость пересмотра этих рисков.

Также важна скорость изменений, например, скорость изменений:

- среды организации;

- последствий;

- аналитических данных для управления рисками на протяжении всего цикла анализа рисков.

Примечание - Степень зрелости аналитических данных по рискам может быть измерена как "приемлемое качество знаний" (см. E.4).

Помимо анализа рисков по отдельности, следует рассмотреть взаимное влияние рисков.

Следует также изучить влияние изменившихся обстоятельств на выявленные риски. Принятые допущения должны быть пересмотрены с учетом изменений среды, чтобы понять, меняются ли эти риски. Мнение о том, что средства управления будут эффективны в новых обстоятельствах, не всегда оправдано, и, по возможности, это следует проверить или измерить.

Результаты анализа должны быть оценены в соответствии с критериями риска. Следует также учитывать социальные, нормативные, культурные, экологические и этические аспекты. Значимость новых рисков также должна учитываться при принятии деловых решений и компромиссов, когда речь идет о риске.

В отношении некоторых рисков не требуется принятия немедленных решений о действиях. Причины этого:

- недостаточно информации для принятия решения;

- риски считаются малозначимыми для организации;

- временная шкала для любых последствий длинная.

Такие риски все равно следует отслеживать.

Недостаток данных, информации и знаний о новом риске может привести к значительной неопределенности в отношении последствий и того, как они могут возникнуть. При оценке значимости риска и принятии решения о мерах реагирования может быть целесообразно использовать подход, основанный на мерах предосторожности.

Восприятие риска зависит от целей и предвзятого мнения людей. Это особенно характерно для незнакомых новых рисков, для оценки которых зачастую недостаточно данных.

В некоторых случаях, когда существует значительная неопределенность в отношении потенциальных последствий или их вероятности, полезно определить возможные действия, а затем рассмотреть, какие из них являются практически осуществимыми и полезными. Этот подход также используется, когда рассматриваемые последствия являются чрезвычайно серьезными, например, возможность летального исхода.

По мере получения данных о новых рисках изменения в предполагаемой значимости риска должны учитываться в процессе принятия решений в организации. В некоторых случаях, по мере накопления знаний, первые признаки нового риска могут оказаться необоснованными. Тогда приоритеты меняются, и контроль может быть сокращен или, возможно, прекращен.

Информация о рисках, которые считаются значительными, должна передаваться, при необходимости, по всей организации, чтобы они могли быть учтены при принятии решений.

Организация должна распределить обязанности и полномочия для выявления изменений и реагирования на изменения в имеющихся данных и информации о новых рисках и доведения их до сведения лиц, принимающих решения.

В случае с новым риском изменения, происходящие по мере развития среды или накопления знаний, могут означать, что действия, необходимые для управления риском, также меняются. Поэтому необходимо постоянно оценивать эффективность и действенность процедур и при необходимости вносить изменения. Поскольку последствия и вероятность часто неизвестны, организация должна развивать способность предвидеть, готовиться и реагировать на многочисленные неизвестности, а также адаптироваться к неожиданным ситуациям.

В дополнение к ИСО 31000:2018 (см. 6.5) применяют следующие рекомендации.

Организация должна:

- анализировать варианты обработки новых рисков.

Примечание - Анализ сценариев и анализ дерева событий могут быть полезны для сравнения различных методов обработки, см. МЭК 31010;

- включать новые риски, которые могут иметь серьезные последствия для ее планирования непрерывности бизнеса;

- оставаться гибкой, постоянно оценивая свою среду как на предмет необходимых действий по управлению, так и на предмет адаптации к непредвиденным событиям;

- тестировать применяемые меры по обработке рисков;

- интегрировать планы по учету новых рисков в свои операции и процессы планирования.

В дополнение к ИСО 31000:2018, 6.6, применяют следующие рекомендации.

Организация должна применять эффективные и непрерывные усилия по контролю и оценке эффективности менеджмента риска, а также по анализу соответствия структуры, политики и плана в отношении новых рисков.

Процессы, используемые для понимания среды и оценки нового риска, должны контролироваться и периодически пересматриваться на предмет эффективности и, при необходимости, совершенствования.

Поскольку новые риски связаны с изменениями, особенно важно постоянно отслеживать результаты процесса. Например, организация должна отслеживать информацию о среде, выявленных рисках, имеющихся данных и информации, значимости риска и предпринимаемых действиях. Таким образом, можно оперативно реагировать на любые новые изменения.

Организация должна постоянно отслеживать среду на предмет изменения обстоятельств и их последствий (см. 6.3.1). Необходимо отслеживать имеющиеся данные и информацию о новом риске, чтобы уточнять понимание конкретных проблем. Необходимо определить показатели, по которым можно определить начало изменений, и отслеживать эти показатели.

Эффективность существующих средств управления и предлагаемых методов обработки также должна отслеживаться по мере углубления понимания риска, включая критический анализ результатов предыдущего опыта в этом отношении. Организация должна создать системы, позволяющие изучать опыт работы с новым риском как часть постоянного совершенствования.

В дополнение к ИСО 31000:2018, 6.7, применяют следующие рекомендации.

Информация о новом риске, используемые носители информации и порядок ее обновления и представления зависят от потребностей организации и ее заинтересованных сторон.

В целом, следует использовать документацию, касающуюся нового риска:

- для предоставления своевременной информации о новых рисках лицам, принимающим решения;

- для обеспечения уверенности заинтересованных сторон как внутри организации, так и за ее пределами, в том, что менеджмент новых рисков осуществляется;

- для отслеживания изменений и ранее полученных данных о новых рисках и средствах их контроля по мере получения информации;

- для отслеживания прогресса в выполнении планов менеджмента риска и планов обработки рисков.

Документированная информация о новом риске должна содержать описание риска и различных потенциальных сценариев (см. приложение B). В документированную информацию следует включать проверенные количественные данные, способствующие пониманию, если таковые имеются.

В контексте менеджмента новых рисков законодательные или нормативные обязательства в некоторых юрисдикциях могут требовать независимой отчетности по менеджменту новых рисков от назначенных должностных или ответственных лиц в организации. Документированная информация о новых рисках должна быть доступна, должна поддерживаться и обновляться. Пример описания новых рисков и шаблона для документирования приведен в приложении B.

Применение принципов и процесса менеджмента новых рисков, установленных в настоящем стандарте, должно помочь организациям повысить свою адаптивность к внешним воздействиям за счет расширения их возможностей по выявлению изменений в среде, которые могут представлять собой слабые сигналы или ранние признаки потенциальных новых рисков.

Способность организации предвидеть изменяющиеся обстоятельства, реагировать на них и адаптироваться к ним необходимо повысить за счет сбора имеющихся данных и анализа, который позволяет осмысленно интерпретировать информацию и получать необходимые знания для принятия решений по новым рискам. Подготовку сценариев новых рисков на основе имеющихся данных и информации необходимо использовать с целью обеспечения лучшего понимания взаимосвязи между развитием нового риска и степенью влияния деструктивных событий на функциональность организации. Пример на рисунке 2 основан на сценарии, демонстрирующем масштабы потерь и восстановления функциональности в зависимости от времени, прошедшего с момента первых предупреждений о новом риске, и способность организации предвидеть, подготовиться и отреагировать на негативные последствия нового риска.

Примечание - Адаптировано из [7]. Возможно множество сценариев.

Возможности организации по обеспечению адаптивности определяют время, прошедшее между каждым этапом восстановления после происшествия, и соответствующее влияние на степень потери и последующего восстановления функциональности организации. Способность организации адаптироваться и использовать изменяющиеся обстоятельства может быть отражена в повышении функциональности после подрывного события. На рисунке 3 аналогично показана взаимосвязь между масштабами потерь и восстановления после подрывного события и влиянием атрибутов адаптивности и возможностей организации на следующие потенциальные результаты:

a) функциональность после подрывного события, превышающая ранее существовавшие условия (адаптивная способность);

b) функциональность, восстановленная до ранее существовавших условий (способность к непрерывности);

c) функциональность до подрывного события, не полностью восстановленная (ограниченная способность);

d) потеря минимально необходимой функциональности и остановка системы (недостаточная способность).

Примечание - Адаптировано из [8].

Постоянное тщательное изучение многочисленных сред/контекстов помогает организациям лучше понять новые риски и получить знания, необходимые для создания, измерения и повышения атрибутов устойчивости организации.

Эти атрибуты организации могут способствовать выявлению и анализу новых рисков и любых изменений в их характеристиках. Это сокращает время, проходящее с момента раннего признака до начала подрывного события, и повышает гибкость организации в принятии ответных мер и адаптации к изменяющимся обстоятельствам. Развитие/совершенствование способности к восстановлению должно представлять собой проактивный подход (например, стресс-тестирование системы для внесения улучшений), см. [7].

Адаптивная организация (см. рисунок 3) должна быть способна воспринимать изменяющиеся условия и адаптироваться к ним, включая потенциально выгодные изменения (например, в случае радикальных инноваций или прорывных инноваций). Организация должна быть готова предвидеть, реагировать и адаптироваться к изменениям, вызванным такими инновациями, которые могут возникнуть в самой организации или на рынке (например, чтобы смочь использовать возможности, предоставляемые инновациями, для получения конкурентных преимуществ). Повышение адаптивности также следует рассматривать как меру предосторожности в отношении непредвиденных рисков.

Новые риски могут иметь характеристики, которые могут повлиять на способность организации адаптироваться в изменяющейся среде, а также на другие аспекты характеристик адаптивности организации, такие как:

a) видение, цель и основные ценности;

b) принятие решений по стратегическим вопросам;

c) лидерство в периоды значительной неопределенности;

d) культура поведения, творчество и инновации;

e) способность интерпретировать информацию и применять знания;

f) распределение и размещение ресурсов;

g) сети и взаимоотношения;

h) координация дисциплин, вовлеченных в менеджмент новых рисков;

i) способность постоянно совершенствовать системы и процессы.

Значительная неопределенность в отношении новых рисков также способна изменить среду, в которой разрабатываются, принимаются и реализуются вышеуказанные атрибуты адаптивности. Степень влияния изменений в среде на продемонстрированную организацией способность предвидеть, планировать, реагировать и адаптироваться к изменениям, является запаздывающим индикатором адаптивности организации.

Для того чтобы оценить свою адаптивность до выявления последствий нового риска, организация должна отслеживать свои атрибуты адаптивности и проводить их стресс-тестирование, используя мероприятия и испытания, предназначенные для сценариев потенциальных новых рисков. Эти сценарии могут быть сформулированы, например, на основе предварительного анализа данных и непрерывного изучения различных организационных сред.

Во время и после значительного разрушительного события, связанного с новым риском, организация должна оценить эффективность своих атрибутов адаптивности, ссылаясь на рисунок 3 и следующие выборочные показатели адаптивности организации:

показатели, зависящие от времени:

- время между изменением среды и признанием нового риска;

- время, прошедшее с момента идентификации риска до наступления соответствующих событий;

- время, прошедшее с момента наступления риска до начала потери функциональности;

- продолжительность воздействия на цели организации;

- время, прошедшее с момента события до возвращения к ранее существовавшим условиям;

показатели производительности и эффективности:

- скорость потери функциональности в различной степени;

- степень потери, выраженная в процентах от функциональности;

- продолжительность потери функциональности;

- реакция на положительные изменения для использования возможностей;

- влияние потери функциональности на цели организации;

основные показатели адаптивности:

- адаптивность видения, целей, задач и ценностей;

- степень реализации возможностей от новых рисков;

- постоянное повышение способности к подготовке, восприятию, реагированию, восстановлению и адаптации/трансформации.

Организация должна адаптировать показатели адаптивности, которые могут быть согласованы между ее заинтересованными сторонами, которые:

- включают значения из любых релевантных источников, таких как мнения экспертов (качественные), измерения и большие объемы данных (количественные);

- позволяют проводить сравнительный анализ атрибутов адаптивности организаций (особенно ключевых показателей) по согласованию с соответствующими заинтересованными сторонами;

- обеспечивают оперативную совместимость коммуникационных и технических систем и их прозрачность для участников сектора;

- описывают атрибуты адаптивности всесторонне, четко и без двусмысленности.

Организация должна применять показатели адаптивности для оценки своей адаптивности к новым рискам и включать их в соответствующие сценарии рисков, требования к стресс-тестированию и процедурам. Пример показателя адаптивности приведен в приложении F.

Последовательность получения аналитических данных о новых рисках и этапы процесса показаны на рисунке 4. Аналитические данные имеют место на разных уровнях: стратегическом, тактическом и оперативном. Они должны применяться для накопления и расширения знаний о новых рисках.

Для менеджмента новых рисков следует применять аналитические данные посредством:

- постоянного изучения с целью сбора, анализа и интерпретации данных, информации и знаний о новых рисках, возникающих в среде, которое зачастую характеризуется непредсказуемой изменчивостью, высокой степенью неопределенности, сложностью сети и быстрыми темпами изменений;

- учета того, что данные о новых рисках, собранные в таких меняющихся условиях, ограничены (по качеству и количеству), а необходимость их срочной интерпретации часто приводит к увеличению двусмысленности имеющейся информации;

- учета данных о других соответствующих известных рисках;

- осознания критичности аналитических данных для принятия эффективных решений в связи с ограниченностью имеющихся данных и информации о новых рисках.

Эффективность аналитических данных по управлению рисками, а также ее принципы и процесс описаны в приложении E.

Организация должна применять знания, приобретенные в ходе получения аналитических данных по управлению рисками, относящиеся к новым рискам, на каждом этапе процесса менеджмента риска в соответствии с ИСО 31000. По мере роста доверия к имеющимся данным и информации о новом риске качество знаний и аналитических данных будет улучшать процесс принятия решений по новым рискам на каждом этапе процесса ИСО 31000 (см. раздел 6, рисунки 5 и E.1).

Лица, принимающие решения, включая высшее руководство и владельцев рисков, должны на постоянной основе применять эти данные в процессе менеджмента риска, чтобы предвидеть дальнейшие изменения в среде и принимать своевременные и обоснованные решения по стратегии и планированию обработки новых рисков. Они также должны признать важность проверки достоверности аналитических данных, полученных на основе накопленных знаний о новых рисках. При проверке того, как информация была преобразована в знания, следует учитывать неопределенность, присущую человеческим суждениям, и возможность когнитивной предвзятости, связанной с индивидуальным восприятием (см. приложение D). Эта неопределенность отражает меняющиеся обстоятельства, которые могут повлиять на решения с неизвестными или неопределенными результатами.

В процессе DIKI (см. рисунок 4) следует применять итеративный подход с проверкой на каждом этапе, поскольку существуют значительные уровни неопределенности в отношении новых рисков, что может привести к появлению новых вопросов, требующих дополнительной проверки.

Применение подхода, основанного на принципе "осторожности" (см. 6.4.4), в сочетании с применением аналитических данных по управлению рисками повышает эффективность менеджмента новых рисков. Применяя цикл знаний, следует находить возможности для сотрудничества и обмена информацией. Системный подход к менеджменту новых рисков должен также учитывать взаимодействие и взаимозависимость. Необходимо обмениваться информацией со всеми заинтересованными сторонами, на которых потенциально могут повлиять изменения в организационной среде, а также обмениваться информацией с заинтересованными сторонами, на которых непосредственно влияют конкретные изменения.

Примечание - См. подробности на рисунке E.1.

Примечание - См. [9], [10] и [11].

Следующие изменения в среде могут быть источниками новых рисков:

- стихийные бедствия (экстремальные погодные явления). Геологическая служба США опубликовала исследование по сценарию зимнего шторма [13], в котором рассматривается воздействие атмосферного явления на реке (глобальный погодный феномен, приносящий значительное количество дождя или снега) с прогнозируемым периодом восстановления 1000 лет. Согласно полученным данным, наводнение превысит уровень защиты от наводнений во многих районах, что приведет к эвакуации более миллиона жителей, прямому материальному ущербу на сумму примерно 400 миллиардов долларов США и затратам на вынужденный перерыв в деятельности на сумму около 325 миллиардов долларов США;

- проблемы интернета вещей (IoT) (кибернетические). IoT произведет революцию в цифровом мире. Цифровая революция открывает широкий спектр возможностей для жизнеспособных предприятий, способных изменить свои продукты, услуги и процессы, сделав их интеллектуальными, автономными и подключенными. Однако такие возможности сопровождаются угрозами. Расширение возможностей подключения и зависимость от цифровых процессов ставят вопросы о безопасности сетей и данных, адаптивности, долгосрочном обслуживании и обновлении программного обеспечения. Убытки могут возникнуть из-за сбоев в работе систем и злонамеренных атак хакеров и злоумышленников. Также могут возникнуть юридические и комплаенс-риски из-за отсутствия единых стандартов регулирования в разных странах;

- резистентность к антибиотикам (здоровье). Резистентность возникает, когда микроорганизмы, такие как бактерии, вирусы, грибки и паразиты, изменяются таким образом, что делают определенные лекарства неэффективными. Когда микроорганизмы становятся резистентны к большинству антибиотиков, их часто называют "супербактерии". Это вызывает серьезную озабоченность, поскольку такая инфекция может привести к значительным человеческим и финансовым потерям;

- отсутствие открытости искусственного интеллекта (AI). С развитием искусственного интеллекта и когнитивных вычислений машины могут начать принимать решения от имени человека. Передача решений и отсутствие прозрачности или человеческого надзора могут привести к непредвиденным рискам или непредсказуемым результатам, что создает сложные проблемы с ответственностью. Кроме того, все большее значение приобретают этические, социальные и рыночные аспекты, связанные с искусственным интеллектом;

- автономные машины (кибернетика, AI). Благодаря новым разработкам в области мехатроники, ускоренного обучения и искусственного интеллекта наблюдается стремительный прогресс в области автономных машин, затрагивающий большинство отраслей промышленности, военное дело и повседневную жизнь. Автономные транспортные средства широко разрекламированы, и это, вероятно, изменит картину рисков для различных направлений страхового бизнеса;

- переходный риск глобального потепления (климат). Переходные риски возникают по мере того, как мир стремится адаптироваться к глобальному потеплению и сократить выбросы парниковых газов (особенно CO₂). Это влияет на страховые компании в плане разработки продуктов и связанных с ними обязательств, а также на способы инвестирования. Одним из особых переходных рисков является возникновение уцененных активов. Это активы, которые устаревают в результате изменения политики (например, угольный сектор, дизельные автомобили) или в результате установления платы в области углеродного регулирования (например, избыток самолетов).

Примеры и перечни, приведенные в данном приложении, не являются исчерпывающими, ограничивающими или предписывающими. Информация, постоянно получаемая о новом риске, должна содержать:

a) четкую идентификацию понятия нового риска [например, автоматически присвоенный идентификационный код (ID)];

b) метаданные, связанные с происхождением: автор, время, организация и т.д.;

c) название понятия нового риска;

d) описание (предыстория риска) возможных сценариев, включая взаимосвязь с другими рисками;

e) результаты предварительной оценки, касающиеся:

- характеристики воздействия, как положительного, так и отрицательного (например, системные, кумулятивные, серийные потери, потенциальные выгоды),

- географических и временных данных (где и когда появился риск),

- управления, обмена информацией, политики, технологии и т.д.,

- фаз жизненного цикла (какая фаза, например, конец срока службы),

- области человеческой деятельности (например, энергетика, транспорт),

- возможных экономических и других воздействий (положительные и отрицательные),

- владельца(ев) риска,

- уровня знаний (возникновение и зрелость),

- методов и инструментов оценки, которые могут быть применены,

- руководящих принципов или правил оценки, если таковые имеются,

- возможных показателей риска и адаптивности;

f) информацию об оценке и результаты оценки, включая:

- источники и взаимосвязь нового риска и потенциальных сценариев,

- описание и, при необходимости, величину последствий (положительных и отрицательных),

- эффективность и действенность соответствующих применяемых мер контроля,

- информацию о вероятности наступления (сценарии и последствия),

- потенциальные временные шкалы, скорость и темпы изменений,

- ссылки на документы и источники информации, на которых основан анализ,

- возможности и угрозы, которые могут быть выявлены в изменяющейся среде,

- используемые методы и инструменты анализа и ссылки на отчеты об их результатах,

- неопределенности в анализе данных и интерпретации информации,

- возможные слабые сигналы или ранние признаки происходящих изменений;

g) рекомендуемые действия по обработке, включая временные рамки и ответственность;

h) остаточный риск;

i) механизмы мониторинга среды и обновления информации о новых рисках;

j) ссылки и соответствующие предшествующие случаи и знания;

k) ссылки на документы, содержащие более подробную информацию.

Многие новые риски носят системный характер, поскольку они возникают и развиваются в цепи тесно связанных динамических систем, что является одной из основных характеристик современных плюралистических обществ. Понятие "системный риск" подчеркивает взаимосвязанность угроз, с которыми сегодня сталкиваются организации. Организация экономического сотрудничества и развития (OECD) выбрала категорию системных рисков для учета новых рисков, угрожающих основным системам общества, таким как инфраструктура, здравоохранение и телекоммуникации. Системные риски относятся к явлениям риска, которые распространяются от регионального до национального и глобального уровня.

Системные риски можно отличить от других видов рисков по следующим пяти признакам;

a) системные риски характеризуются высоким уровнем сложности. Причинные процессы трудно понять, когда речь идет об анализе системных рисков. С одной стороны, это связано с присущей рассматриваемым системам сложностью (например, критически важным инфраструктурам, корпорациям, экосистемам и их компонентам). С другой стороны, сложность обусловлена тем, что системные риски могут сочетаться с обычными рисками (например, опасными природными явлениями);

b) системные риски носят трансграничный и межсекторальный характер. Хотя их происхождение можно проследить до одной конкретной системы и/или инцидента, их волновой эффект распространяется на другие системы, где они оказывают дальнейшее воздействие. Поэтому они бросают вызов традиционным подходам к анализу рисков и управлению, которые часто основаны на разделении и фрагментации;

c) системные риски развиваются нелинейно из-за недетерминированных причинно-следственных связей. Системные риски характеризуются сочетанием известных факторов и неизвестных триггеров или провоцирующих факторов, которые развиваются случайным образом или находятся на границе измеряемости;

d) многие системные риски характеризуются нелинейными взаимосвязями, обычно связанными с критическими точками или периодами. При достижении критической точки затронутые системы в короткое время резко меняют условия своего существования;

e) регулирование и общественное восприятие потенциально разрушительных последствий системных рисков часто запаздывают. Некоторые системные риски, такие как изменение климата, привлекли внимание общественности, однако политика управления системными рисками часто воспринимается заинтересованными сторонами и общественностью как разрозненная, недостаточная и непоследовательная.

Организациям следует обратить внимание на особенности системных рисков, особенно:

- на взаимозависимость;

- сложную структуру воздействующих факторов, неопределенностей и нелинейных отношений, которая требует системного подхода к управлению новыми рисками.

Организациям следует быть готовыми к непредвиденным стрессовым факторам новых рисков и к тому, что новые риски могут вызвать нарастающие последствия или кумулятивный эффект. Для предотвращения, смягчения или преодоления системных угроз необходимы эффективные, интегральные и инклюзивные стратегии управления. В частности, при оценке рисков, а также в процессе управления ими следует учитывать интересы заинтересованных сторон и общественности.

Примечание - См. [7] и [12].

Менеджмент новых рисков зависит от возможности получения наилучшей доступной информации, которой можно обмениваться и передавать в виде аналитических данных для принятия стратегических решений. Аналитические данные - это результат сбора, анализа и интерпретации данных, информации и знаний. Взаимосвязь между данными, информацией, знаниями и аналитическими данными (DIKI) показана в разделе 8 (см. рисунок 4).

На стратегическом уровне аналитические данные предоставляются высшему руководству, чтобы оно могло принимать решения, влияющие на видение, стратегию, политику и цели организации, а также принимать решения внутри организации в связи с предполагаемыми или возможными новыми рисками.

На оперативном уровне аналитические данные направляются уполномоченным лицам для принятия решений в отношении новых рисков, а также связанные с ними риски, находящиеся под их контролем, а также на конкретную цепочку ценностей.

Организация должна принять и применять аналитические данные для развития знаний и информации для принятия решений по менеджменту новых рисков в соответствии с процессом менеджмента рисков ИСО 31000, чтобы передать знания о новом риске лицам, которые несут ответственность, подотчетны и уполномочены управлять этими рисками.

Ключевые элементы применения аналитических данных по управлению рисками включают этапы, приведенные в E.2 - E.4.

E.2 Применение аналитических данных и менеджмент новых рисков

Применение аналитических данных по управлению рисками к новым рискам создает основу для обмена информацией и консультирования процесса менеджмента новых рисков, описанного в разделе 6, и состоит из двух взаимосвязанных итеративных циклов (см. рисунок E.1).

Примечание - Адаптировано из ИСО 56006:2021, рисунок 1.

Непрерывное изучение многочисленных аспектов организационной среды помогает выявить небольшие изменения в данных, обстоятельствах и/или поведении, временные интервалы между этими изменениями, а также их последствия и возможное влияние на организацию и ее цели. Распознавание незначительных изменений в среде и скорость наблюдаемых изменений во время систематического анализа (этап мониторинга и анализа процесса ИСО 31000) может указывать на ранние признаки или показатели потенциального нового риска для целей организации в отношении угроз или возможностей.

Непрерывное изучение среды (см. рисунок E.1) в многочисленных средах может улучшить качество и количество имеющихся данных о выявленных изменениях в среде в качестве дополнительного вклада в применение внутренних аналитических данных.

Четыре этапа внутреннего цикла процесса применения аналитических данных по управлению рисками описаны в E.4.2 - E.4.5.

Этап формирования структуры для новых рисков:

- устанавливает объем знаний, необходимых в рамках применения аналитических данных: что владелец риска хочет понять (лучше), как и почему;

- определяет внешние и внутренние проблемы, имеющие отношение к изменению среды;

- обеспечивает согласование применения аналитических данных с критическими аспектами/взаимоотношениями бизнес-процесса, где изменение среды указывает на потенциальный риск или новый риск;

- устанавливает критерии для определения:

Этап сбора и анализа данных о новых рисках можно разделить на два этапа: этап сбора и проверки данных и этап анализа данных для извлечения информации.

Этап сбора и проверки данных включает в себя определение и выбор источников данных и информации, поиск и добычу данных и информации, проверку и поддержание качества и количества, а также выявление закономерностей, готовых к интерпретации.

Этот этап направлен на получение проверенных данных и информации, готовых для анализа. Эти данные и информация могут быть получены из внутренних или внешних источников. Качество данных и информации можно оценить с учетом надежности, точности, пригодности и адекватности.

Данные могут быть проверены путем их тестирования, включая, без ограничения:

- согласованность, точность, актуальность, адекватность и надежность данных;

- неиспользуемые, неупорядоченные или несогласованные данные;

- анализ чувствительности;

- выявление и обработку выбросов.

Анализ данных преобразует набор исходных данных в набор полезной информации. На этом подэтапе используются аналитические инструменты, определенные в ходе построения структуры, для получения комплексной информации (например, корреляции, тенденции, карты, последовательности, кластеры, образцы) из необработанных данных, полученных из различных источников. Анализ может быть организован с помощью таких элементарных операций, как отбор, классификация, извлечение, членение, уточнение, сравнение, соотнесение, инстанцирование, корреляция и преобразование.

Для установления закономерностей и тенденций и/или визуализации можно использовать общие автоматизированные инструменты, способные работать со значительными объемами данных и информации (например, статистические инструменты или программное обеспечение, средства поиска данных, картографирование и визуализация, классификации, таксономия, лексический или семантический анализ).

На этом этапе информация формируется на основе данных, собранных и обработанных в результате наблюдений за изменениями или инновациями в организационной среде. Возможные опережающие индикаторы нового риска подвергаются интерпретации и преобразованию в значимую и ценную информацию для генерирования знаний.

Интерпретация данных о ранних признаках или слабых сигналах изменения среды и обстоятельств, а также о наличии потенциальных новых проблем может способствовать формированию адекватных знаний для разработки вероятных сценариев новых рисков.

По мере того, как наблюдаются небольшие изменения в системах и организационной среде, эти изменения интерпретируются, чтобы понять, "как и почему" происходят изменения. Характер и причины изменений в среде зависят от индивидуальных особенностей восприятия рисков.

Небольшие изменения в среде и данных могут указывать на то, что возникающая проблема имеет значительные последствия, например, ранние признаки или слабые сигналы о новом риске. Эти интерпретации могут быть основаны на индивидуальном восприятии/ощущении риска, сформированном на основе образования, разума и логики, или на аналогичном прошлом опыте и субъективных суждениях.

Результатом интерпретации являются знания, полезные для менеджмента риска и принятия решений. Примеры включают:

- слабые сигналы о деятельности конкурентов, которые могут быть интерпретированы как возможности или угрозы для бизнес-процесса;

- определение приоритетов технического развития, которые могут быть интерпретированы как сильные и/или слабые стороны деятельности;

- переоценку совокупности знаний в поддержку плана развития по выполнению установленной миссии.

Обратная связь и итерирование между интерпретацией и сбором/анализом данных могут зависеть от конкретного случая (например, чтобы добавить или изменить набор данных, применить различные инструменты аналитики, избежать возможного ошибочного толкования).

Повышение уровня знаний о новых рисках зависит от того, как контекстуальные данные об изменяющихся обстоятельствах и их преобразование в полезную и понятную информацию доводятся до лиц, принимающих решения (например, в виде сценариев).

Знания о новых рисках - это результат интерпретации проверенной информации. Новые знания объясняют теоретические и практические аспекты, способствующие неожиданным изменениям в организационной среде и возможности преобразования возникающих проблем в новые риски.

По мере того, как явные и неявные знания о новых рисках продолжают развиваться в ходе итеративного процесса тщательного изучения среды, наблюдения и обучение на основе изменений помогут лицам, принимающим решения, определить вероятность и последствия события или явления, связанного с новым риском.

Рост организационных знаний должен сбалансировать рост неопределенности и сложности, возникающих в результате изменений. Повышение уровня знаний должно позволить организации усовершенствовать способность лучше понимать неопределенность и сложность, связанные с изменениями в среде, и создать возможность для определения сценариев потенциального нового риска, их причины, последствия и способов их контроля.

На четвертом этапе внутреннего цикла, описанного выше (см. рисунок E.1), можно дать положительный ответ на вопрос "достаточный уровень знаний?", если есть достаточная уверенность в том, что:

- сделанные предположения считаются обоснованными;

- имеется достаточное количество надежных и релевантных данных/информации;

- соответствующие явления понятны;

- используемые модели способны давать прогнозы с требуемой точностью;

- существует согласие между экспертами.

По мере повышения доверия к имеющимся данным и информации о новых рисках качество знаний и оперативной информации будет способствовать более эффективному принятию решений в отношении новых рисков и повышения адаптивности.

Примечание - Пример одного показателя - см. [7].