1 РАЗРАБОТАНЫ Некоммерческим партнерством "Русское общество управления рисками" (РусРиск)

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 октября 2014 г. N 1276-ст

4 ВВЕДЕНЫ ВПЕРВЫЕ

Информация об изменениях к настоящим рекомендациям публикуется в ежегодном указателе "Руководящие документы, рекомендации и правила", а текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ежемесячном информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Основной задачей при планировании процессов управления риском в различных организациях является поиск наиболее подходящих и действенных инструментов снижения рисков.

После завершения этапа анализа рисков в процессе менеджмента риска разработчик получает информацию о присущих рисках организации и разнице между этими рисками и допустимым уровнем. Для тех рисков, которые выше допустимого уровня, необходимо разработать план обработки риска. Он состоит из комплекса мероприятий по воздействию на риск. При этом, как правило, существует несколько мероприятий, которые могут снизить один и тот же риск. Для выбора наиболее эффективных мероприятий применяются принципы оценки эффективности воздействий на риски.

Настоящие рекомендации предназначены для практического применения на этапе обработки риска в процессе формирования наиболее эффективного плана обработки риска. Применение основных положений настоящих рекомендаций позволит организации разработать и модифицировать по мере необходимости комплекс мероприятий по обработке риска, наиболее соответствующий потребностям, целям и возможностям организации.

Настоящие рекомендации содержат руководство для применения при разработке, внедрении, эксплуатации и аудите систем управления риском в части оценки эффективности методов воздействия на риски для конкретной организации, а также содержит рекомендации по формированию наиболее приемлемого (оптимального) варианта обработки рисков. Настоящие рекомендации предназначены для применения:

- лицами, участвующими в управлении риском;

- менеджерами проектов;

- менеджерами и руководителями организаций, вовлеченными в процесс управления рисками;

- разработчиками межгосударственных стандартов и другой нормативной документации;

- разработчиками национальных стандартов, нормативных документов, процедур, правил и стандартов организации;

- любыми государственными, частными или общественными предприятиями, ассоциациями, группами лиц или отдельными лицами.

В настоящих рекомендациях использованы нормативные ссылки на следующие нормативные документы:

ГОСТ Р 51897-2011 Менеджмент риска. Термины и определения

ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска

ГОСТ Р 51901.21-2012 Менеджмент риска. Реестр риска. Общие положения

Р 50.1.069-2009 Менеджмент риска. Рекомендации по внедрению. Часть 2. Определение процесса менеджмента риска

Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

В настоящих рекомендациях применены термины и определения по ГОСТ Р 51898, ГОСТ Р 51897, Р 50.1.069, а также следующие термины с соответствующими определениями.

3.1 риск (risk): Сочетание вероятности события и его последствий.

Примечания

1 Термин "риск" используют обычно тогда, когда существует возможность негативных последствий.

2 В некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата или события.

3 Применительно к безопасности см. ГОСТ Р 51898-2011.

3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска, которые направлены на реализацию потенциальных возможностей организации и снижение негативных последствий опасных событий.

Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и обмен информацией о риске.

[Адаптировано из ГОСТ Р 51897-2011]

3.3 сравнительная оценка риска (risk evaluation): Процесс сравнения количественной оценки риска с установленными критериями риска для определения значимости риска.

Примечания

1 Сравнительная оценка риска может быть использована для содействия решениям по принятию или обработке риска.

2 Применительно к безопасности см. ГОСТ Р 51898.

[Адаптировано из ГОСТ Р 51897-2011]

3.4 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации или сокращению риска.

Примечания

1 Термин "обработка риска" иногда используют для обозначения самих мер.

2 Меры по обработке риска могут включать в себя избежание, сокращение (оптимизация), разделение или сохранение риска.

[Адаптировано из ГОСТ Р 51897-2011]

3.5 снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности негативных последствий или того и другого вместе, связанных с риском.

3.6 уменьшение (последствия события) (mitigation): Ограничение любого негативного последствия конкретного риска.

3.7 предотвращение риска (risk avoidance): Решение не быть вовлеченным в опасную ситуацию или действие, предупреждающее вовлечение в нее.

Примечание - Решение может быть принято на основе результатов оценивания риска.

3.8 сохранение риска (risk retention): Принятие по желанию организации принять потери или выгоды от конкретного риска.

Примечание - Сохранение риска не включает в себя обработку риска в результате страхования или перенос риска другими средствами.

3.9 принятие риска (risk acceptance): Решение принять риск.

Примечание - Принятие риска зависит от критериев риска.

3.10 остаточный риск (residual risk): Риск, остающийся после обработки риска.

Примечание - Применительно к безопасности см. ГОСТ Р 51898-2011.

3.11 мониторинг (monitor): Проверка, наблюдение, критический обзор или измерение процесса деятельности, действий или системы через запланированные интервалы времени, направленные на идентификацию отличий между наблюдаемым и требуемым или ожидаемым уровнем выполнения деятельности.

3.12 допустимый риск (tolerable risk): Риск, являющийся для организации приемлемым и не угрожающим достижению целей, стоящих перед организацией.

4.1 Место и роль оценки эффективности воздействия на риск в процессе менеджмента риска

Оценка эффективности воздействия на риск производится на этапе обработки риска (см. ГОСТ Р ИСО/МЭК 31010). Обработка риска - это процесс, в котором последовательно производится идентификация существующих вариантов обработки риска, их оценка, выбор наиболее эффективных вариантов, подготовка и выполнение планов обработки риска, а также анализ и оценка остаточного риска.

Выбор наиболее эффективных вариантов обработки рисков производится на основании оценки эффективности воздействия на риск. Под воздействием на риск понимается одно или несколько мероприятий, снижающих вероятность и/или влияние риска на цели организации. При этом существует возможность выбора наиболее приемлемого (оптимального) варианта обработки рисков из ряда возможных комплексов мероприятий по воздействию на риск. Наиболее эффективным вариантом обработки рисков является тот, который обеспечивает снижение рисков до допустимого уровня при минимальных затратах. Применение оценки эффективности воздействий на риски позволит выделить наиболее эффективные мероприятия и сформировать оптимальный план обработки рисков.

Согласно Р 50.1.069 основными методами обработки риска являются:

- устранение (предотвращение);

- сокращение (изменение вероятности и/или последствий);

- разделение;

- сохранение риска;

- комбинация различных методов.

Устранение (предотвращение) риска. Данный метод обработки риска предполагает отказ от деятельности, вызывающей возникновение риска.

Предотвращение риска может быть уместно, если для людей или организаций характерна полная неприемлемость данного риска. При этом предотвращение риска может привести к упущенным возможностям или неполучению преимуществ, связанных с отказом от той или иной деятельности.

Сокращение риска. Ориентировано на уменьшение величины риска за счет воздействия на вероятность и/или влияние рискового события.

Изменение вероятности неблагоприятного события обеспечивается за счет реализации комплекса мероприятий, направленных на предотвращение причин (факторов) реализации рискового события. К данной группе относятся действия и мероприятия, реализуемые до наступления рискового события. Наиболее эффективными являются те мероприятия, которые воздействуют на наибольшее число причин (факторов) рискового события и обеспечивают наибольшее снижение вероятности рискового события.

Изменение последствий для уменьшения потерь обеспечивается за счет реализации комплекса мероприятий, направленных на ограничение степени влияния последствий рискового события на цели организации. К данной группе относятся действия и мероприятия, предпринимаемые после реализации рискового события. Наиболее эффективными являются те мероприятия, которые обеспечивают максимальное ограничение влияния последствий рискового события на цели организации.

Разделение риска. При разделении риска обычно вовлекают другую сторону или стороны, которые переносят на себя или разделяют некоторую часть риска, предпочтительно по взаимному согласию. Механизмы разделения включают в себя использование контрактов, организационных структур, таких как партнерство и совместные предприятия для распределения и, возможно, передачи ответственности и обязанностей. Разделение рисков с контрагентами может быть предусмотрено определенными условиями контрактов и договоров.

Если риски разделены полностью или частично, то организация, передающая риск, приобретает новый риск, связанный с недостаточно эффективным управлением переданным риском другой организацией. Соответственно, при оценке эффективности мероприятий, относящихся к данной группе, необходимо сопоставлять эффект от снижения рисков с величиной вновь возникающих рисков, а также учитывать расходы, связанные с передачей риска третьей стороне.

Сохранение риска. После того, как риск изменен или разделен, еще сохраняется остаточный риск. Риск может также быть сохранен по умолчанию, например, в ситуации, когда существующий уровень риска находится в пределах допустимого уровня и не оказывает значительного воздействия на цели организации. При принятии решения о сохранении риска необходимо сопоставлять уровень данного риска с величиной допустимого риска. Метод сохранения риска не влечет дополнительных затрат на мероприятия по снижению риска, но обуславливает дополнительные угрозы в том случае, если вероятность или степень воздействия риска на поставленные цели были недооценены, превысили допустимую величину и нанесли незапланированный ущерб.

Комбинация методов. При формировании программы обработки риска существует ряд возможных комбинаций мероприятий по воздействию на риски, относящихся к тому или иному методу обработки риска. Принятие решения по выбору оптимальной программы обработки риска из множества вариантов воздействия прямым образом влияет на эффективность реализации программы управления рисками. Непосредственно результат данного решения отражается на следующих показателях:

- бюджет на мероприятия по управлению риском;

- размер остаточного уровня риска;

- размер внутренних ресурсов организации, используемых в процессе менеджмента риска;

- размер последствий от применения мероприятий по воздействию на риски.

4.2 Критерии оценки эффективности воздействия на риск

Для формирования оптимального плана обработки рисков необходимо провести анализ и оценку эффективности воздействия на риск каждого рассматриваемого мероприятия.

Многие из предложенных мероприятий могут обеспечить снижение остаточного риска до допустимого уровня, а в некоторых случаях оптимальный результат достигается только за счет сочетания нескольких мероприятий по воздействию на риск. При этом зачастую одно мероприятие оказывает воздействие сразу на несколько рисков.

Выбор оптимального варианта предусматривает соотношение затрат на внедрение относительно выгод в соответствии с юридическими нормативными и иными требованиями. Также необходимо принимать во внимание, что существуют риски, которые могут потребовать тот метод воздействия, который не будет оправдан с экономической точки зрения, но необходим с учетом целей, стоящих перед организацией. Например, безопасность жизни и здоровья людей, экологическое воздействие, репутация и др.

Некоторые мероприятия по воздействию на риск могут быть приняты во внимание и применены совместно или по отдельности. При выборе мероприятий по воздействию на риск организация должна также принимать во внимание интересы и возможности участвующих в процессе менеджмента риска лиц и наиболее подходящие способы коммуникации с ними.

В случаях, когда мероприятия по воздействию на риск являются одинаково эффективными, некоторые из них могут быть более приемлемы для отдельных заинтересованных сторон, чем другие.

План по обработке рисков должен ясно идентифицировать приоритетный порядок, в котором будут применяться отдельные мероприятия по воздействию на риск. Обработка риска сама по себе может вызвать риск. Значительным риском может быть ошибка или неэффективность обработки рисков.

В целях формирования оптимального плана обработки риска необходимо провести анализ и выбор каждого мероприятия с применением критериев оценки эффективности воздействия на риск. Ниже приведены основные критерии:

- степень воздействия на вероятность рискового события;

- степень воздействия на последствия рискового события;

- соотношения затрат на применение данного воздействия на риск с ожидаемым эффектом;

- соотношения остаточного и допустимого риска;

- соотношение эффекта от применения воздействия на риск с упущенной выгодой;

- соотношение эффекта от воздействия на риск с уровнем рисков, возникающих вследствие данного воздействия.

Критерий степени воздействия на вероятность рискового события выражается в разнице между присущей и остаточной вероятностью реализации рискового события. Данный критерий является приоритетным при планировании любой программы обработки рисков, поскольку оценивает возможность применения превентивных мероприятий, позволяющих предотвратить возникновение рискового события и избежать как прямых, так и косвенных потерь, связанных с реализацией данного риска. Данный критерий должен быть применен в приоритетном порядке ко всем рискам, особенно к критическим, а также к тем, которые имеют законодательно установленные пределы допустимости.

Критерий степени воздействия на последствия рискового события выражается в разнице между присущим и остаточным уровнем последствий от реализации рискового события после применения планируемых мероприятий по обработке риска. В отличие от воздействия на вероятность рискового события, воздействие на его последствия не позволяет предотвратить само рисковое событие, но может снизить размер последствий от его реализации. Большие значения разности между присущим и остаточным уровнем последствий соответствуют более эффективным мероприятиям по воздействию на риск.

Критерий соотношения затрат на применение воздействия на риск с ожидаемым эффектом выражается в соотношении суммы затрат на мероприятия по воздействию на риск и разницы между присущим и остаточным риском.

где k - значение критерия;

C - размер затрат на воздействие;

R_int - присущий риск;

R_res - остаточный риск.

Критерий позволяет выделить наименее затратные и наиболее эффективные для организации методы воздействия на риск. При прочих равных условиях необходимо выбирать те методы воздействия, к которым риски наиболее чувствительны и которые при этом являются наименее затратными. То есть наиболее эффективными являются те мероприятия, которым соответствует наименьшее значение критерия. Мероприятия со значением критерия более единицы в общем случае являются неэффективными. План действий по обработке риска считается оптимальным, если эффект от реализации мероприятий по воздействию на риски превышает расходы на данные мероприятия не менее, чем на 30% - 50%. Следует иметь в виду, что оценка эффекта от воздействия в отличие от затрат, как правило, не может быть оценена достоверно с большой степенью точности. Поэтому при применении данного критерия необходимо учитывать возможную погрешность оценки эффекта.

Критерий соотношения остаточного и допустимого риска равен отношению остаточного к допустимому уровню риска. Воздействие на риск считается эффективным при значениях данного критерия, меньших единицы, то есть в случае, если остаточный риск меньше допустимого:

где k - значение критерия;

R_res - остаточный риск;

R_tol - допустимый риск.

Критерий соотношения эффекта от применения воздействия на риск с упущенной выгодой выражается в отношении оценки упущенной выгоды к ожидаемому эффекту от воздействия на риск:

где k - значение критерия;

- эффект воздействия на риск;

B_l - размер упущенной выгоды.

В силу неопределенности значений числителя и знаменателя рекомендуется принять порог эффективности на уровне k <= 0,5, то есть упущенная выгода не должна превышать 50% от планируемого эффекта. Данный критерий применяется для оценки эффективности мероприятий по воздействию на риск в основном в тех случаях, когда предусматривается отказ от определенных видов деятельности, контрактов, направлений инвестирования средств и др. В большинстве случаев такие мероприятия рассматриваются при применении метода устранения (предотвращения) риска.

Критерий соотношения эффекта от воздействия на риск с уровнем рисков, возникающих вследствие данного воздействия, равен отношению размера негативных побочных эффектов от воздействия на них к размеру снижения риска:

где k - значение критерия;

R_add - размер упущенной выгоды;

- эффект воздействия на риск.

Поскольку в процессе применения мер воздействия на риск могут возникнуть негативные последствия на деятельность организации, необходимо включать в программу обработки присущих рисков организации только те методы воздействия, негативные последствия от которых оценены и заведомо не превосходят ожидаемого эффекта от их внедрения.

4.3 Алгоритм формирования эффективной обработки риска организации

4.3.1 Анализ исходной информации

Для выявления наиболее эффективных методов воздействия на риски необходимо проанализировать следующую информацию:

- цели организации;

- идентифицированные и оцененные риски организации;

- степень управленческой зрелости организации;

- допустимые уровни рисков (в том числе законодательно регулируемые);

- цели организации относительно менеджмента риска;

- существующая система (элементы системы) менеджмента риска.

Цель данного этапа формирования эффективной программы по обработке рисков - собрать информацию, необходимую для выделения приоритетных для управления рисков, позволяющего определить уровень сложности и основные инструменты оптимизации методов воздействия. Информация о целях организации используется при ранжировании рисков по значимости. Степень управленческой зрелости организации определяет достижимый уровень глубины и набор математических методов сравнительного анализа вариантов обработки риска, а также дает предварительную картину по наиболее эффективным методам воздействия на риски. Информация о допустимом для организации уровне рисков позволяет провести сравнительный анализ с присущим уровнем рисков и выделить риски с наибольшим отклонением от допустимого уровня. Сведения, касающиеся системы менеджмента риска в организации, могут быть использованы для наилучшего использования уже имеющихся ресурсов обработки риска (см. ГОСТ Р ИСО 31000 и ГОСТ Р 51901.21).

4.3.2 Ранжирование рисков по степени критичности и значимости для организации

Целью данного этапа формирования программы обработки риска является разделение рисков из реестра рисков [2] на группы с учетом имеющейся информации:

- риски, требующие обязательного применения мер воздействия по снижению до допустимого уровня;

- риски, меры воздействия на которые и их количество должны определяться с учетом целей организации и ресурсов на управление рисками;

- риски, не требующие снижения и находящиеся в пределах допустимого уровня.

Для рисков, подлежащих обязательному снижению до допустимого уровня, необходимо разработать программу обработки, состоящую из мер воздействия, обеспечивающую необходимый уровень риска с достаточной надежностью при минимальных затратах.

Для второй группы рисков область снижения может быть определена, исходя из целей организации, имеющихся средств воздействия и их стоимости путем оптимизации.

Для третьей группы рисков рекомендуется применять систему мониторинга.

4.3.3 Формирование ранжированного списка приоритетных мероприятий по воздействию на риски организации

Цель данного этапа составления программы обработки рисков - сформировать комплекс мероприятий по воздействию на риски (вариант обработки риска), максимально соответствующий (качественно и количественно) целям и возможностям организации.

Для ранжирования мероприятий по эффективности воздействия на риски рекомендуется использовать алгоритм, включающий в себя следующие действия (рисунок 3):

1) Сравнение всей совокупности рассматриваемых мероприятий между собой по степени воздействия на вероятность и последствия, выбор приоритетных мероприятий. Приоритетными являются те, которые обеспечивают наибольшее снижение присущих рисков.

2) Сравнение приоритетных мероприятий по уровню затрат, выбор наименее затратных. Формирование перечня приоритетных наименее затратных мероприятий.

3) Сопоставление разницы между присущим и остаточным риском с величиной упущенных возможностей, связанных с применением мероприятий по воздействию на риски.

4) Исключение мероприятий с высоким значением упущенных возможностей. Кроме случаев, если мероприятие необходимо в силу критичности и приоритетности риска.

5) Сопоставление разницы между присущим и остаточным риском с величиной рисков, возникающих вследствие применения мероприятий по воздействию на риски. Исключение мероприятий с высоким уровнем дополнительных угроз. При необходимости - разработка мероприятий по управлению вторичными рисками, оценка затрат на них.

6) Формирование перечня приоритетных наименее затратных мероприятий с учетом дополнительных угроз и возможностей.

Для рисков, характеризующихся значительным размером потенциального ущерба, невозможно выбрать единственный наилучший метод воздействия, поскольку каждому интервалу последствий соответствует свой наилучший метод воздействия либо их комбинация. В таком случае рекомендуется рассматривать варианты с наименьшим соотношением затрат к ожидаемому эффекту на каждом интервале при условии достижения допустимого уровня риска.

Для организаций, имеющих высокий уровень зрелости системы управления риском, рекомендуется разработка индивидуальных алгоритмов оценки эффективности воздействия на риск и формирования оптимальных планов обработки рисков с применением математических моделей. Формирование индивидуальных алгоритмов производится с учетом приоритетности критериев оценки эффективности воздействия на риск и целей организации в области управления рисками.

4.3.4 Сравнительная оценка рисков

Технический этап проверки сформированной программы обработки рисков на соответствие уровню допустимого риска организации проводится в следующем порядке:

1) Если остаточный уровень риска выше допустимого, необходимо вернуться к 4.3.2 и расширить перечень мероприятий.

2) Если остаточный уровень риска значительно ниже допустимого, необходимо вернуться к перечислению 2) рисунка 3 и 4.3.3 и ограничить перечень мероприятий, исключив наиболее затратные.

4.3.5 Сопоставление затрат на обработку рисков с величиной бюджета

После завершения планирования всех мероприятий по воздействию на риски, производится итоговая оценка затрат на реализацию всего комплекса мероприятий:

1) Если затраты на мероприятия выше запланированного бюджета, необходимо вернуться к этапу 4.3.3 и проработать дополнительные менее затратные мероприятия по воздействию на риски.

2) Если подбор дополнительных менее затратных мероприятий невозможен, необходимо пересмотреть уровень бюджета или уровень допустимого риска, в противном случае влияние рисков на деятельность организации будет неприемлемо высоким.

4.3.6 Утверждение программы действий по обработке рисков

В случае успешного прохождения всех этапов алгоритма формирования эффективного перечня мероприятий по обработке присущих рисков организации, необходимо сформировать и утвердить план действий по обработке рисков на следующий отчетный период. Как правило, план формируется на год. План должен содержать подробный перечень действий, ответственное лицо за исполнение каждого мероприятия, а также срок и периодичность выполнения каждого действия по обработке рисков. План действий должен быть согласован с участниками процесса и утвержден высшим руководством организации.

4.3.7 Мониторинг эффективности процессов воздействия на риск

Непрерывный мониторинг необходим для обеспечения постоянной актуализации плана обработки риска. Факторы, воздействующие на вероятность и последствия события, могут измениться так же, как и факторы, воздействующие на приемлемость или стоимость вариантов обработки риска. Поэтому необходимо регулярно актуализировать результаты анализа риска, а также эффективности применяемых мероприятий по воздействию на риски.

Сравнение плановых и фактических показателей эффективности обработки рисков обеспечивает регулярное совершенствование процесса управления рисками, своевременную актуализацию и оптимизацию планов воздействия на риски организации.

Мониторинг и анализ также включают в себя сбор статистических данных по процессу обработки риска путем анализа событий, планов обработки и полученных результатов.