Embed Size (px)
Citation preview
ФИНАЛНАВЕРЗИЈА
ИнтернационалниСтандард 31000
Управљање ризиком - Принципи и смерницеManagement du risque — Principes et lignes directrices Садржај страна Предговор УВОД ........................................................................................................................ v 1 Обим ....................................................................................................................... 1 2 ТЕРМИНИ И ДЕФИНИЦИЈЕ .............................................................................. 1 3 Принципи ............................................................................................................... 7 4 Систем .................................................................................................................... 8 4.1Општи ................................................................................................................... 8 4.2 Овлашћења и посвећеност ................................................................................. 9 4.3 Дизајн система за управљање ризицима .........................................................10 4.3.1 Разумевање организације и њеног садржаја ............................................... 10 4.3.2 Успостављање политике управљања ризиком .......................................... 10 4.3.3 Одговорност ................................................................................................... 11 4.3.4 Интеграција у организационе процесе .........................................................11 4.3.5 Средства........................................................................................................... 11 4.3.6 Успостављање интерне комуникације и механизама извештавања .......... 12 4.3.7 Успостављање екстерне комуникације и механизама извештавања ......... 12 4.4. Имплементација управљања ризиком ........................................................... 124.4.1 Имплементација система за управљање ризиком ....................................... 124.4.2 Имплементација процеса управљања ризиком ........................................... 134.5 Праћење и преглед система ...............................................................................13 4.6 Континуирано унапређење система ................................................................. 13 5 Процеси ................................................................................................................. 13 5.1 Опште................................................................................................................... 13 5.2 Комуникације и консултација .......................................................................... 13
5.3 Успостављање контекста ................................................................................. 15 5.3.1 Опште.............................................................................................................. 15 5.3.2 Успостављање екстерног контекста ............................................................ 15 5.3.3 Успостављање интерног контекста ............................................................. 15 5.3.4 Успостављање контекста у процесима управљања ризицима ............... 16 5.3.5 Дефинисање критеријума ризика ................................................................ 17 5.4 Вредновање ризика .......................................................................................... 17 5.4.1 Опште............................................................................................................. 17 5.4.2 Идентификација ризика ............................................................................... 17 5.4.3 Анализа ризика ............................................................................................. 18 5.4.4 Вредновање ризика ...................................................................................... 18 5.5 Третирање ризика ........................................................................................... 18 5.5.1 Опште............................................................................................................. 18 5.5.2 Избор опција обраде ризика ........................................................................ 19 5.5.3 Припрема и имплементација планова третмана ризика ......................... 20 5.6 Надзор и прегледање........................................................................................ 20
5.7 Бележење процеса управљања ризицима ...................................................... 21 Додатак A (информативно) Својства напредног управљања ризицима .......... 22 Библиографија ....................................................................................................... 24
Предговор
ИСО (Међународна организација за стандардизацију) је светска федерација националних тела за стандардизацију (чланице ИСО тела).Рад припреме међународних стандарда се обично одвија кроз деловање ИСО техничких комитета. Сваки члан органа заинтересованог за предмет за који је технички комитет успостављен има право да буде представљен на том одбору. Међународне организације, владине и невладине, које су у вези са ИСО, такође учествују у раду. ИСО уско сарађује са Међународном електротехничком комисијом (ИЕЦ) о свим питањима електротехничке стандардизације.. Међународни стандарди израђују се у складу са правилима садржаним у Директивама ИСО / ИЕЦ, Део 2.Основни задатак техничких комитета је припрема међународних стандарда. Нацрт међународног стандарда које су усвојили одговарајући технички комитети шаљу се свим чланицама ИСО на гласање. Публикације као међународни стандард захтева одобрење од стране најмање 75% од чланица у гласању.Скреће се пажња на могућност да неки од елемената овог документа могу бити предмет патентних права. ИСО не може бити одговоран за идентификацију било ког или свих делова подложног правима интелектуалне својине.ИСО 31000 је припремљен од стране ИСО Техничког Управног одбора Радне групе за управљање ризиком.УВОД Организације свих врста и величина суочавају се са интерним и екстерним факторима и утицајима које чине неизвесним да ли ће и када ће да остваре своје циљеве. Ефекат овог неизвесности о циљевима организације је "ризик".Све активности организације укључују ризик. Организације управљају ризиком тако што га идентификују, анализира и онда процењују да ли ризик треба да буде модификован третманом у циљу задовољавања својих критеријума ризика. Током овог процеса, они комуницирају и консултују се са заинтересованим странама и прате и оцењују ризик и контроле које су измене ризика како би се осигурало да ли је даље третирање ризика потребно. Овај међународни стандард описује систематски и логичан процес до детаља.Док све организације управљају ризиком у извесној мери, овај међународни стандард утврђује број принципа који треба да буду задовољени да би се ефикасно управљало ризиком. Овај међународни стандард препоручује да организације развију, имплементирају и континуирано побољшавају системе чија је сврха да интегрише процес за управљање ризиком у укупно управљање организацијом, стратегијом и планирањем, управљањем, извештавањем, политиком, вредностима и културом.Управљање ризиком се може применити на целу организацију, на многим областима и нивоима, у било које време, као и специфичне функције, пројекти и активности.Иако је пракса управљања ризиком развијена током времена и у многим секторима у циљу задовољавања различитих потреба, усвајање процеса у складан свеобухватан систем може помоћи да се обезбеди ефикасно управљање ризиком, детаљно и складно у целој организацији.Генерички приступ описан у овом међународном стандарду пружа принципе и смернице за управљање било којим обликом ризика на систематичан, транспарентан и кредибилан начин и у било ком обиму и контексту.Сваки одређени сектор или примена управљања ризицима са собом носи својим индивидуалним потребама, публику, схватања и критеријуме. Према томе, кључна карактеристика овог међународног стандарда је укључивање "успостављања контекста", као активност на почетку овог генеричких процеса управљања ризиком. Успостављање
контекста ће снимити циљевие организације, окружење у којима се бави тим циљевима, заинтересованим странама и разноликост ризика критеријума - који ће вам помоћи открити и проценити природу и сложеност ризика.Однос између принципа за управљање ризиком, систем у којем се појављује и управљања процесом ризика описан у овом међународном стандарду су приказани на слици 1.Када се примене и одржавају у складу са овим међународним стандардом, управљање ризиком омогућава организацији да, на пример:- повећавају вероватноћу остваривања циљева;- подстицати проактивно управљање;- буде свестан потребе да се идентификује и третира ризик у целој организацији; - побољша идентификацију могућности и претњи; - у складу са релевантним правним и регулаторним захтевима и међународним нормама;- побољша финансијско извештавање;- побољшање управљања; - побољша поверење заинтересованих страна и поверење; - успоставља поуздану основу за доношење одлука и планирање- унапређује контроле;- ефективно распоређује и користи ресурсе за третирање ризика;- унапређује ефективност и ефикасност;- унапређује здравствене и безбедносне перформансе, као и заштиту окружења;- побољшати превенцију губитка и управљање инцидентима;- минимизује губитке;- побољшава организационо учење побољшање организационе еластичности. Овај међународни стандард је намењен да задовољи потребе широког спектра заинтересованих страна, укључујући: а) оне који су одговорни за развој политике управљања ризиком у систему своје организације; б) оне одговорне за обезбеђивање да ризик ефикасно управља у систему организације као целине или у одређеној области, пројекат или активност ц) оне који треба да процени ефективност организације у управљању ризиком; и д) програмера стандарда, водича, процедуре и правила понашања који, у целини или делимично, наведено како
да се управља ризиком у оквиру специфичног контекста ових докумената.Текуће праксе управљања и процеса у многим организацијама обухватају компоненте за управљање ризиком. Код многих организација су већ усвојени формални процеси управљања ризиком за поједине врсте ризика и околности. У таквим случајевима, организација може да одлучи да спроведе критички осврт на постојеће праксе и процесе у светлу овог међународног стандарда. У овом међународном стандарду, изрази "управа ризиком" и "управљање ризиком" се обадва користе. Уопштено речено, "управа ризиком" се односи на архитектуру (принципи, систем и процес) за ефикасно управљање ризицима, док се "управљање ризиком" односи на примену архитектура на посебне ризике.
а
) К
реи
ра
вр
едн
ост
б)
Са
став
ни
део
ор
ган
иза
ци
он
их
пр
оц
еса
в)
Де
о о
дл
учи
ва
ња
г) Е
ксп
ли
ци
тно
ад
ре
сир
а
н
еизв
есн
ост
ид
) С
ис
тем
атск
о,
стр
укту
ри
ран
о и
б
ла
гов
рем
ен
оф
) Н
а о
сн
ов
у н
ајб
ољ
е
д
ост
упн
е и
нф
ор
мац
ије
г) п
о м
ер
их)
Узи
ма
у о
бзи
р љ
уд
ске
и
кул
тур
не
фа
кто
ре
и)
Тр
ансп
арен
тни
и
и
нкл
узи
вн
ој)
Ди
нам
ич
ки, и
тер
ати
ва
н и
р
еагу
је н
а п
ро
мен
ек)
Ол
акш
ав
а ст
алн
о
ун
апр
еђе
ње
и
пр
ош
ир
ење
о
рга
ни
зац
ије
Пр
ин
ци
пи
за
упр
ављ
ање
ри
зико
м (
тач
ка 3
)
Слика 1 - Односи између управљања ризиком принципа, система и процеса
УПРАВЉАЊЕ РИЗИЦИМА — ПРИНЦИПИ И СМЕРНИЦЕ
Обим
Овај међународни стандард даје начела и генеричке смернице о управљању ризицима.Овај међународни стандард се може користити од стране било ког јавног, приватног или заједница предузеће, удружење, група или појединаца. Дакле, овај међународни стандард није специфичан за било коју индустрију или сектор.НАПОМЕНА ради бољег разумевања, сви различити корисници овог међународног стандарда дефинишу се под општим термином "организација".Овај међународни стандард може се применити током живота организације, као и на широк спектар активности, укључујући и стратегије и одлуке, операције, процесе, функције, пројекте, производе, услуга и средстава.Овај међународни стандард може да се примени на било коју врсту ризика, без обзира на његову природу, без обзира да ли имају позитивне или негативне последице.Иако овај међународни стандард даје генеричке смернице, није циљ да промовише једнообразност управљања ризицима унутар различитих организација.Дизајн и имплементација планова за управљање ризиком и система ће морати да узму у обзир различите потребе и специфичности организације, својим посебним циљевима, контекст, структуру, операције, процесе, функције, пројекти, производа, услуга или имовине и специфичне праксе запослених .Намера је да се овај међународни стандард користи за усклађивање ризика процеса управљања у постојеће и будуће стандарде. Он пружа заједнички приступ за подршку стандарда који се баве специфичним ризицима и / или сектора, и не замењује те стандарде.Овај међународни стандард није намењен за потребе сертификације.
2. Термини и дефиниције
За потребе овог документа, следећи термини и дефиниције.
2.1 Ризик
утицај неизвесности о циљевимаНАПОМЕНА 1 ефекат је одступање од очекиваног - позитиван и / или негативан.НАПОМЕНА 2 Циљеви могу да имају различите аспекте (као што су финансијски, здравље и безбедност, као и циљеве заштите животне средине), а могу се појавити на различитим нивоима (као што су стратешки, организација на нивоу, пројекат, производа и процеса).НАПОМЕНА 3 Ризик се често карактерише у односу на потенцијалне догађаје (2.19) и последице (2.20), или комбинација ових.НАПОМЕНА 4 ризик се често изражава у смислу комбинације последица догађаја (укључујући и промене у околностима) и повезаних вероватноћа (2.21) појаве.НАПОМЕНА 5 Неизвесност је стање, чак и делимично, недостатка информација у вези са, разумевањем или знањем о догађају, његовим последицама, или вероватноћама.[ИСО Водич 73:2009, дефиниција 1.1]
2.2 управљање ризицима и координисане активности усмеравања и контролисања организација у вези са ризиком (2.1)[ИСО Водич 73:2009, дефиниција 2.1]2.3 Системско управљање ризиком скуп компоненти које обезбеђују фондације и организационе аранжмане за пројектовање, имплементацију, праћење (2.30), преиспитивање и стално побољшање управљања ризиком (2.2) у целој организацијиНАПОМЕНА 1 темељи су политика, циљеви, мандат и обавезу да управљају ризиком (2.1).НАПОМЕНА 2 организациони аранжмани су планови, везе, одговорности, ресурси, процеси и активности.НАПОМЕНА 3 управљања ризиком системски је уграђено у укупну стратешку и
оперативну политику и праксу организације.[ИСО Водич 73:2009, дефиниција 2.1.1]2.4 управљање ризиком Изјава о политици укупне намере и правац организације у вези са управљањем ризицима (2.2)[ИСО Водич 73:2009, дефиниција 2.1.2]2.5 Став организације према ризику, приступ процени и евентуално даљем задржавању ризика или избегавању ризика (2.1)[ИСО Водич 73:2009, дефиниција 3.7.1.1]2.6 Тежња за ризиком, количина и врста ризика (2.1) који је организација спремна да настави, задржи или преузме[ИСО Водич 73:2009, дефиниција 3.7.1.2]2.7 аверзија према ризику, став да се избегне ризик (2.1)[ИСО Водич 73:2009, дефиниција 3.7.1.4]2.8 План управљања ризиком, шема у систему управљања ризиком (2.3) наводећи приступе, управљање компонентама и ресурсе да се примени на управљање ризиком (2.1)НАПОМЕНА 1 Управљање компоненте обично укључују процедуре, праксе, додела одговорности, редослед и време активности.НАПОМЕНА 2 управљања ризиком план може да се примени на одређену, производ процеса и пројеката, као и део или целу организацију.[ИСО Водич 73:2009, дефиниција 2.1.3]2.9 Носилац ризика или ентитет који има одговорност и овлашћење да управља ризиком (2.1)[ИСО Водич 73:2009, дефиниција 3.5.1.4]2.10 Процес управљања ризикомсистематска примена политике управљања, процедуре и праксе са активностима комуницирања, консалтинг, оснивање контекста, и идентификовање, анализа, процена, третирање, праћење (2.30) и преглед ризика (2.1)[ИСО Водич 73:2009, дефиниција 3.1]2.11 утврђивање контекста
дефинисање екстерне и интерне параметре које треба узети у обзир приликом управљања ризиком, као и постављање обим и ризик критеријума (2.24) за политику управљања ризиком (2.4)[ИСО Водич 73:2009, дефиниција 3.3.1] 2.12 спољни контекст
спољашње окружење у којем организација настоји да постигне своје циљеве НАПОМЕНА Спољни контекст- може да садржи:- Културно, друштвено, политичко, правно, регулаторно, финансијско, технолошко, економско, природно и конкурентно окружење, било на међународном, националном, регионалном или локалном нивоу;- Кључни покретачи и трендови који утичу на циљеве организације; и- Односе са, и схватања и вредности, екстерне заинтересоване стране (2.15). [ИСО Водич 73:2009, дефиниција 3.3.1.1]
2.13 унутрашњи контекст
унутрашње окружење у коме организација жели да постигне своје циљеве НАПОМЕНА Интерни контекст може да садржи:- Управљања, организационе структуре, улоге и одговорности;- Политике, циљеве и стратегије које су на снази да се они остваре;- Могућности, схваћена у смислу ресурса и знања (на пример, капитал, време, људи, процеси, системи и технологије);
- Перцепције и вредности интерних заинтересованих страна;- Информациони системи, информациони токови и процеси доношења одлука (и формално и неформално);- Односе са, и схватања и вредности, интерно заинтересованих страна;- Организације културе;- Стандарди, смернице и моделе усвојен од стране организација, и- Облик и степен уговорних односа. [ИСО Водич 73:2009, дефиниција 3.3.1.2]
2.14 комуникације и консултација
континуирани и итеративни процеси који организација спроводи да обезбеди, деле или добијају информације и да се укључе у дијалог са заинтересованим странама (2.15) и други у вези са управљањем ризиком (2.1)НАПОМЕНА 1 информације могу односити на постојање, природу, облик, вероватноће (2.21), тежине, евалуација, прихватљивост, третирање или други аспекати управљања ризиком.НАПОМЕНА 2 Консултација је двосмерни процес информисања, комуникација између организације и њених учесника или других о неком питању пре доношења одлуке или утврђивање правца о одређеном питању. Консултација је:- Процес који утиче на одлуке кроз утицај пре него наредбодавно; и- Улаз за доношење одлука, а не заједничко одлучивање. [ИСО Водич 73:2009, дефиниција 3.2.1]
2.15 заинтересоване стране
особе или организација који могу да утичу или доживљавају себе да буду погођене одлукама или активностима НАПОМЕНА доносилац одлука може бити заинтересована страна. [ИСО Водич 73:2009, дефиниција 3.2.1.1]
2.16 процене ризика укупан процес идентификације ризика (2.17), анализа ризика (2.23) и процени ризика (2.26)[ИСО Водич 73:2009, дефиниција 3.4.1]2.17 идентификовање процеса проналажења, препознавање и описивање ризика (2.1)НАПОМЕНА 1 идентификацији ризика укључује идентификацију ризика извора (2.18), догађаји (2.19), њихове узроке и њихове потенцијалне последице (2.20).НАПОМЕНА 2 идентификацији ризика може укључивати и историјске податке, теоријске анализа, информисање и стручна мишљења, као и заинтересоване стране и (2.15) потребе.[ИСО Водич 73:2009, дефиниција 3.5.1]2.18 ризик извор елемент који самостално или у комбинацији има суштинске потенцијал да доведе до ризика (2.1)НАПОМЕНА Извор ризика може бити материјални или нематеријални.[ИСО Водич 73:2009, дефиниција 3.5.1.1]догађајпојава или промена одређеног сплета околности
[ИСО Водич 73:2009, дефиниција 3.5.1.2]2.20 последица исход догађаја (2.19) који утичу на циљевеНАПОМЕНА 1 догађај може да доведе до низа последица.НАПОМЕНА 2 Последица може да буде сигурна или несигурна и може да има позитиван или негативан утицај на циљеве. НАПОМЕНА 3 Последице могу бити изражене квалитативно или квантитативно.НАПОМЕНА 4 Почетне последице могу ескалирати кроз разорне ефекте. [ИСО Водич 73:2009, дефиниција 3.6.1.3]2.21 вероватноћа
шанса да се нешто дешаваНАПОМЕНА 1 У терминологији управљања ризиком, реч "вероватно" се користи да се односи на могућност неког дешавања, било да је то дефинисано, мерено или одређено објективно или субјективно, квалитативно или квантитативно, описно, коришћењем општих услова или математички (као што су вероватноћа или фреквенције у одређеном временском периоду).НАПОМЕНА 2 енглески термин "вероватно" нема директни еквивалент у неким језицима, него еквивалент израза "вероватно" се често користи. Међутим, у енглеском језику, "вероватноћа" се често уско тумачи као математички термин. Дакле, у терминологији управљања ризицима, "вероватноћа" се користи са намером да би имала исто широко тумачење као термин "вероватноћа", кога има у многим другим језицима осим енглеском.[ИСО Водич 73:2009, дефиниција 3.6.1.1]
2.22 профил ризика опис било којег скупа ризика (2.1)НАПОМЕНА сет ризика може да садржи и оне које се односе на целокупну организацију, део организације или другачије дефинисано.[ИСО Водич 73:2009, дефиниција 3.8.2.5]2.23 Анализа процеса ризика да би се схватила природa ризика (2.1) и да се одреди ниво ризика (2.25)НАПОМЕНА 1 Анализа ризика представља основу за процену ризика (2.26) и одлуке о третману ризику (2.27).НАПОМЕНА 2 Анализа ризика обухвата процену ризика. [ИСО Водич 73:2009, дефиниција 3.6.1]2.24 критеријуми ризика пројектног задатка према којима се процењује значај ризика (2.1)НАПОМЕНА 1 критеријуми ризика су засновани према организационим циљевима, и спољном (2.12) и унутрашњем контексту (2.13).НАПОМЕНА 2 критеријуми ризика могу се извести из стандарда, закона, политика и других захтева. [ИСО Водич 73:2009, дефиниција 3.3.1.3]2.25 нивоа ризика величине ризика (2.1), изражен у смислу комбинације последице (2.20) и вероватноће (2.21)[ИСО Водич 73:2009, дефиниција 3.6.1.8]2.26 процес евалуације ризика поређења резултата анализе ризика (2.23) са критеријумом ризика (2.24) да утврди да ли је то ризик(2.1) и / или његова величина прихватљива или за толерисање НАПОМЕНА Процена ризика помаже доношењу одлуке о третману ризику (2.27). [ИСО Водич 73:2009, дефиниција 3.7.1]2.27 третман ризика процес модификације ризика (2.1) НАПОМЕНА 1 Третман ризика може обухватити:- избегавајуње ризика одлуком да се не почне или настави са активностима које доводе до ризика;- Преузимање или повећање ризика у циљу искоришћења указане прилике;- уклањање извора ризика (2.18);- промене вероватноће (2.21);- промене последица (2.20);- дељење ризика са другом страном или странама (укључујући уговоре и ризик финансирања), и- задржавање ризика на основу изабраних информацијаНАПОМЕНА 2 третмани ризика који се баве негативним последицама се понекад називају "отклањање ризика", "превенција ризика" и "смањења ризика". НАПОМЕНА 3 Третман ризика може да креира нове ризике или промени постојеће ризике. [ИСО Водич 73:2009, дефиниција 3.8.1]2.28 Контрола мере која је изменила ризик (2.1)
НАПОМЕНА 1 Контроле су било који процес, политика, уређај, праксе, или друге радње које мењају ризик.НАПОМЕНА 2 Контроле не морају увек вршити намењен или претпоставља ефекат измене.[ИСО Водич 73:2009, дефиниција 3.8.1.1]2.29 преостали ризик (2.1) ризик који остаје и после третмана ризика (2.27)НАПОМЕНА 1 преостали ризик може садржати нове неидентификоване ризике. НАПОМЕНА 2 преостали ризика може бити познат као и "задржани ризик". [ИСО Водич 73:2009, дефиниција 3.8.1.6]2.30 праћењеконтинуиране провере, надзор, критичко посматрање или утврђивање статуса како би се утврдиле промене у нивоу перформанси захтева или очекивањаНАПОМЕНА мониторинг се може применити на систем управљања ризиком (2.3), процес управљања ризиком (2.10), ризик(2.1) или контрола (2.28). [ИСО Водич 73:2009, дефиниција 3.8.2.1] 2.31 прегледактивности предузетих да се одлучи о применљивости, адекватности и ефективности предмета за постизање утврђених циљеваНАПОМЕНА прегледи се могу применити на систем управљања ризиком (2.3), процес управљања ризиком (2.10), ризик (2.1) или контролу (2.28).[ИСО Водич 73:2009, дефиниција 3.8.2.2]
3. Принципи
За управљање ризицима да би била ефикасна, организација треба да делује на свим нивоима у складу са принципима испод.а) Управљање ризиком ствара и штити вредност.Управљање ризиком, доказано, доприноси остварењу циљева и унапређењу перформанси, на пример, људско здравље и безбедност, сигурност, правна и регулаторна сагласност, јавно прихватање, заштиту животне средине, квалитет производа, управљање пројектима, ефикасност у пословању, управљање и углед.б) Управљање ризиком је саставни део свих организационих процеса.Управљање ризиком није самостални активност која је одвојена од главне активности и процесе организације. Управљање ризиком је део одговорности менаџмента и саставни део свих организационих процеса, укључујући и стратешко планирање и све пројекта и процесе управљања променама.ц) Управљање ризиком је део доношења одлука.Управљање ризиком помаже доносиоцима одлука да информисани доносе одлуке, уз приоритете акције и разлику између алтернативних праваца деловања.г) Управљање ризиком експлицитно адресира неизвесности.Управљање ризиком експлицитно узима у обзир неизвесности, природу дате неизвесност, и како се може решити.д) Управљање ризиком је систематско, структурирано и благовремено. Систематски, благовремено и структуриран приступ управљању ризиком доприноси ефикасности и доследан, упоредив и поуздан резултате. ф) Управљање ризиком се заснива на најбољим доступним информацијама. Улази у процес управљања ризиком су засновани на информацијама извора као што су историјски подаци, искуства, интересантне повратне информације, посматрање, прогнозе и мишљења стручњака. Међутим, доносиоци одлука треба да се информишу о, и треба да узме у обзир, свако ограничење података или моделирање које се користи или могућност разилажења међу стручњацима. г) Управљање ризиком је скројено тј. управљање ризиком је усклађено са спољашњим и унутрашњим контекстом организације и профилом ризика.
х) Управљање ризиком узима људске и културне факторе у обзир. Управљање ризиком препознаје способности, перцепције и намере спољних и унутрашњих људи који могу да олакшају или ометају остваривање циљева организације. а) Управљање ризиком је транспарентно и свеобухватно. Одговарајуће и правовремено укључивање заинтересованих страна и, посебно, доносиоцима одлука на свим нивоима организације, обезбеђује да је управљање ризиком и даље релевантно и ажурно. Учешће такође омогућава учесницима да буду на прави начин и да се њихови ставови узети у обзир у одређивању ризика критеријумима. ј) Управљање ризиком је динамичан, итеративан процес и реагује на промене. Како се спољни и унутрашњи догађаји, контекст и искуства промене, надзор и преглед се одвијају, нови ризици се појављују, неки промене, а други нестају. Дакле, управљање ризиком стално осећа и реагује на промене. к) управљање ризицима омогућава стално унапређење организације. Организација треба да развије и имплементира стратегију да побољшају своју зрелост за управљање ризиком заједно са свим другим аспектима њихове организације. Анекс А пружа додатне савете за организације које желе да управљају ризиком ефикасније.
4. Систем
4.1 Опште
Успех управљања ризиком ће зависити од ефикасности управљања система који поставља аранжмане које ће уградити у целој организацији на свим нивоима.Систем помаже у управљању ризицима ефикасно кроз примену процеса управљања ризиком (видети тачку 5), на различитим нивоима и у систему посебних контекста организације.Систем обезбеђује да информација о ризику насталих из ових процеса буде довољно да би се користиле као основ за доношење одлука и одговорност на свим релевантним организационим нивоима.Ова клаузула описује неопходне компоненте система за управљање ризиком и начин на који они међусобно односе на итеративни начин, као што је приказано на слици 2..
Слика 2 - Однос између компоненти система за управљање ризиком
Овај систем није намењен да пропише систем управљања, већ да помогне организацији да интегрише управљање ризиком у свој укупни систем управљања. Због тога, организације треба да прилагоде компоненте система за њихове специфичне потребе.Ако у организације постојеће праксе управљања и процеси обухватају компоненте управљања ризицима или ако организација има већ формално усвојена правила управљање ризицима, процесе за поједине врсте ризика или ситуације, онда то треба критички размотрити и проценити по овом међународном стандарду, укључујући и атрибуте садржане у Анексу, како би се утврдио њихов адекватност и ефективност.
4.2 Налози и обавезе
Увођење управљања ризиком и обезбеђење ефикасности у покрету, захтевају снажну и одрживу посвећеност од стране руководства организације, као и стратешко и ригорозна планирање да се постигне обавезност на свим нивоима. Менаџмент треба да:- дефинише и одобрава политику за управљање ризиком;- обезбеде да организације културе и политике управљања ризиком буду усклађени;- одредити показатеље управљања ризиком као и перформансе које се усклађују са показатељима учинка организације;- усклади циљеве управљање ризиком са циљевима и стратегијама организације;- обезбедити правну и регулаторну усаглашеност;- додели одговорности и одговорности на одговарајућим нивоима у организацији; - осигура неопходна средства за управљање ризиком; - комуникацију у вези управљања ризиком учини доступном за све заинтересоване стране, и - обезбеди да систем за управљање ризиком и даље остане одговарајући. 4.3 Пројектовање система за управљање ризиком
4.3.1 Разумевање организације и њених садржаја
Пре почетка пројектовања и имплементације система за управљање ризиком, важно је да се процени и разуме и спољни и унутрашњи контекст организације, јер ови могу значајно утицати на дизајн система.Процена спољни контекст организације може да укључују, али не ограничавајући се на: а) друштвено и културно, правно, финансијско, технолошко, економско, природно и конкурентно окружење, без обзира да ли на међународном, националном, регионалном или локалном плану б) кључни покретачи и трендови који утичу на циљеве организације; и ц) односе са, и схватања и вредности, спољних актера. Процена унутрашњег контекста организације могу да укључују, али се не ограничавају на: - управљања, организационе структуре, улоге и одговорности; - политике, циљеве и стратегије које су на снази за њихово остварење; - способности, схваћене у смислу ресурса и знања (нпр. капитал, време, људи, процеси,система и технологија); - информациони системи, информациони токови и процеси доношења одлука (и формално и неформално); - односи са, и схватања и вредности, интерно заинтересованих страна и културу организације; - стандарде, смернице и модели усвојен од стране организације; и - облик и обим уговорних односа.
4.3.2 Успостављање политике управљања ризиком
Политика управљања ризиком треба јасно да изрази циљеве организације, своју посвећеност истим, управљања ризиком обично се односи на следеће: - образложење организације за управљање ризиком; - везе између циљева организације и стила политике управљања ризиком; - одговорност и одговорности за управљање ризиком; - начин на који су решавају сукобљени интересе; - обавезу да неопходна средства буду на располагању као помоћ онима на које се може рачунати као на одговорне за управљање ризиком;- начин на који се управљање ризиком тако да резултати буду мерљиви и јасно исказани - посвећеност да се преиспита и побољша политика управљања ризицима и систем периодично и као одговор на догађај или промене околности. Политика управљања ризиком треба да буде на одговарајући начин саопштена.
4.3.3 Одговорност
Организација треба да обезбеди да постоји одговорност, ауторитет и одговарајуће надлежности за управљање ризиком, укључујући и имплементацију и одржавање управљања ризиком процеса и обезбеди адекватност, ефективност и ефикасност било које контроле. Ово се може олакшати:- идентификовањем ризика власника који има одговорност и овлашћење да управља ризицима;- идентификовања који је одговоран за развој, имплементацију и одржавање система за управљање ризиком;- идентификовањем друге одговорности људи на свим нивоима у организацији у процесу управљања ризиком;- успостављање мерења перформанси и спољне и / или интерног извештавања и пуно развијање процеса, и- обезбеди одговарајући ниво препознавања
4.3.4 Интеграција у организационе процесе
Управљање ризиком треба да буде уграђенo у све процесе организације и праксу на начин који је релевантан, ефективан и ефикасан.Управљања процесима ризика треба да постане део, а не одвојено од, организационих процеса. Конкретно, управљање ризиком треба да буде уграђен у развој политике, бизниса и стратешког планирања и ревизије, као и процесе управљања променама.Ту би требало да буде организација на нивоу управљања ризиком плана како би се осигурало да се спроводи политика управљања ризиком и да је управљање ризиком уграђено у пракси организације и свијм процесима. План управљања ризиком може се интегрисати са осталим организационим плановима, као што су на пример, стратешки план.
4.3.5 Ресурси
Организација треба да издвоје одговарајућа средства за управљање ризиком. Треба размотрити следеће:- људи, вештине, искуство и способности;- ресурси потребних за сваки корак у процесу управљања ризиком; - организација процеса ризика, метода и алата који ће се користити за управљање ризиком; - документоване поступке и процедуре ; - информације и системе за управљање знањем и - програм обуке.
4.3.6 Успостављање интерне комуникације и механизама извештавања
Организација треба да успостави интерну комуникацију и механизаме извештавање у циљу подршке и подстицања одговорности у преузимању ризика. Ови механизми треба да обезбеде да:
- кључне компоненте система за управљање ризиком, као и све накнадне измене, буду на одговарајући начин саопштене;- постојање адекватна интерног извештавања у систему, његова ефикасност и резултати;- релевантне информације добијене из примене управљања ризицима буду доступне на одговарајућим нивоима и временима, и- постоје процеси за консултације са унутрашњим заинтересованим странама.Ови механизми треба да обухватају процесе консолидације информација о ризику када је то потребно из различитих извора, узимајући у обзир осетљивост.
4.3.7 Успостављање екстерне комуникације и механизама извештавања
Организација треба да развије и спроведе план како ће комуницирати са спољнимзаинтересованим странама. Ово треба да обухвати: - ангажовање одговарајућих спољних актера и обезбеђивање ефикасне размене информација;- екстерно извештавања у складу са правним, регулаторним, и захтевима управљања;- пружање повратне информације и извештавање о комуникацији и консултацијама;- употребе комуникације у циљу изградње поверења у организацију;- комуницира са заинтересованим странама у случају кризе или непредвиђеног стања. Ови механизми треба да обухватају процесе да се консолидују информације о ризику када је то потребно из различитих извора, узимајући у обзир осетљивост.
4.4 Примена управљања ризиком
4.4.1 Имплементација система за управљање ризиком
У спровођењу система организације за управљање ризиком, организација треба да:
- дефинише одговарајуће време и стратегије за имплементацију система; - примењује политику управљања ризицима и организационим процесима; - у складу са законским и регулаторним захтевима; - обезбедити да доношење одлука, укључујући развој и постављање циљева, буде усаглашено са резултатима процеса управљања ризиком;- држи обуке и информише, и- комуницира и консултује се са заинтересованим странама како би се осигурало да њен систем за управљање ризиком и даље буде одговарајући. 4.4.2 Примена процеса управљања ризиком
У управљању ризиком треба да буде обезбеђено да се процес процеса управљања ризиком, како је наведено у тачки 5, примењује кроз план за управљање ризиком на свим релевантним нивоима и функцијама организације као део своје праксе и процеса.
4.5 Надзор и преглед система
Да би се обезбедило да је управљање ризиком ефикасно и наставља да подржава организационе перформансе, организације треба да:
- мере управљања ризиком перформанси у односу показатеља који се ревидира на сврсисходности; - периодично мере напредак у односу, као и одступање од, плана управљања ризиком; - периодично прегледају да ли је управљања ризиком система, политике и планирања, још увек потребно, с обзиром спољашње и унутрашње контексте организација; - извештај о ризику, напредак са планом управљања ризицима и колико добро се политика управљања ризиком прати и - преглед ефективност система за управљање ризиком.
4.6 Континуирано унапређење система
На основу резултата мониторинга и критике, одлука треба да буде о томе како ће управљање ризиком система, политике и плана бити побољшано. Ове одлуке треба да доведу до побољшања у области управљања организације ризика и стила управљања ризиком. 5. Процес
5.1 Опште
Управљање процесима ризика процес треба да буде - саставни део управљања, - уграђено у стилу и пракси, и - прилагођен пословним процесима организације. Састоји се од активности описаних у 5.2 до 5.6. Процес управљања ризиком је приказан на слици 3.
Слика 3 - Управљање процесима ризика
5.2 Комуникација и консултације
Комуникација и консултације са спољне и унутрашње заинтересованим странама треба да се одвијају у свим фазама управљања процесима ризика. Због тога, планови за комуникацију и консултације треба да буду развијени у раној фази. Овде би требало да се решавају питања у вези са самим ризиком, његовим узроцима, његове последице (ако је познато), као и мере које се предузимају да се исправе. Ефективну екстерну и интерну комуникацију и консултације треба одржати како би се осигурало да они који су одговорни за спровођење процеса управљања ризиком и заинтересоване стране, разумеју основе на којима се доносе одлуке, као и разлоге због којих су обавезна поједине радње.Консултативни тимски приступ може:
- помоћи да се успоставе одговарајући садржај; - обезбеди да се интереси заинтересованих страна разумеју и разматрају; - помоћи да ризици буду адекватно идентификовани; - интегрисати различите области стручности заједно за анализу ризика; - обезбедити да различити погледи на одговарајући начин буду узети у обзир приликом дефинисања критеријума ризика и процене ризика; - обезбедити подршку за план третмана;- побољшати одговарајуће управљање променама у процесу управљања ризиком и- развити одговарајућу екстерну и интерну комуникацију и план консултације. Комуникација и консултације са заинтересованим странама је важнa јер они доносе суд о ризику на основу њихових перцепција ризика. Та опажања могу да варирају услед разлика у вредностима, потребама, претпоставке, концепте и бриге заинтересованих страна. Каkо
њихови ставови могу да имају значајан утицај на одлуке, схватања заинтересованих страна треба да буде идентификована, снимљена, и узети у обзир у процесу доношења одлука.Комуникације и консултација треба да олакша истиниту, релевантну, прецизну и разумљиву размену информација, узимајући у обзир аспекте поверљивости и личног интегритета.
5.3 Успостављање контекста
5.3.1 Опште
Успостављањем контекста, организација артикулише своје циљеве и дефинише екстерне и интерне параметре које треба узети у обзир када се управља ризиком, и поставља обим и критеријум ризика преосталих процеса. Док су многи од тих параметара слични онима узетим у обзир код дизајна система управљања ризиком (видети 4.3.1), при успостављању контекст за процес управљања ризиком, они треба да буду узети у обзир са више детаља, а посебно како се односе на обим посебних процеса управљања ризиком.
5.3.2 Успостављање спољног контекста
Спољни контекст је спољашње окружење у коме организација жели да постигне своје циљеве.Разумевање спољног контекста је важно да би се осигурало да циљеве и бриге екстерно заинтересованих страна буду узете у обзир када се развијају критеријуми ризика. Они се заснивају на нивоу контекста целе организације, али са специфичним детаљима правних и регулаторних захтева, перцепције заинтересованих страна и другим аспектима ризика специфичних за обим процеса управљања ризиком. Спољни контекст може да садржи, али није ограничен на:- друштвено и културно, политичко, правно, финансијско, технолошко, економско, природно и конкурентско окружење, било на међународном, националном, регионалном или локалном нивоу;- кључни покретачи и трендови који утичу на циљеве организације; и- односе са, схватањима и вредностима екстерних заинтересованих страна.
5.3.3 Успостављање унутрашњег контекста
Унутрашњи контекст је унутрашње окружење у коме организација жели да постигне своје циљеве.Управљања процесима ризика треба да буде у складу са културом организације, процеса, структура и стратегија. Интерни контекст је све у систему организације што може утицати на начин на који организација управља ризиком. Треба га утврдити, јер:а) се управљање ризицима одвија у контексту циљева организације;б) циљеве и критеријуме за одређене пројекте, процесе или активности треба посматрати у светлу циљева организације као целине, ив) неке организације не успевају да препознају могућности да остваре своје стратешке пројекте или пословне циљеве, а то утиче на текуће организационе активности, кредибилитет, поверење и вредности.Неопходно је да разумемо унутрашњи садржај. Ово може да укључује, али није ограничено на: - управљања, организационе структуре, улоге и одговорности; - политике, циљеве и стратегије који су у место за њихово остварење; - способности, схваћено у смислу ресурса и знања (на пример, капитал, време, људи, процеси, системи и технологије), - односе са и схватања и вредности интерних заинтересованих страна и стил организације;
- информационе системе, информационе токове и процесе доношења одлука (и формално и неформално), и; - стандарде, смернице и модели усвојен од стране организације - облик и обим уговорних односа. 5.3.4 Успостављање контекста процеса управљања ризиком
Циљеви, стратегије, обим и параметара активности организације, односно они делови организације, где се ризик процес управљања примењује, треба да буду успостављени.Управљање ризиком треба да буду предузето уз пуно уважавање потреба да се оправдају ресурси који се користе у обављању управљања ризиком.Потребне ресурсе, одговорности и овлашћења, као и чување евиденција треба да буде назначено.Контекст процеса управљања ризиком ће варирати у складу са потребама организације. Он може укључивати, али није ограничен на: - дефинисање циљева и објеката управљања ризиком активности; - дефинисање одговорности за и унутар процеса управљања ризицима; - дефинисање обима, као и дубину и ширину ризика извршавања делатности управљања, укључујући и специфична укључивања и искључивања; - дефинисање активности, процеса, функција, пројеката, производа, услуга или имовине у смислу времена и локације, - дефинисање односа између одређеног пројекта, процес или активност и других пројеката, процеса или активности организације; - дефинисање методологије за процену ризика; - дефинисање начина рада и ефикасности процењивања у управљању ризиком; - идентификовање уз навођење неопходних одлука које морају да буду донете и - идентификовање, одређивање поља или системски потребних студија, њихов обим и циљеве, а средства потребна за ове студије. Пажња на ове и друге релевантне факторе треба помоћи да се осигура да приступ управљању ризиком буде усвојен примерено околностима организације и ризика који утичу на остваривање њених циљева.
5.3.5 Дефинисање критеријума ризика
Организација треба да дефинише критеријуме који ће се користити да процени значај ризика. Критеријуми треба да одражавају вредности организације, циљеве и средства. Неки критеријуми могу бити наметнути, или произилазе из правних и регулаторних и других услова који обавезују организацију. Критеријуми ризика треба да буду у складу са политиком ризикаорганизације (видети 4.3.2), бити дефинисани на почетку сваког процеса управљања ризиком и стално подложни разматрањима.Приликом дефинисања критеријума ризика, фактори које треба размотрити треба да обухвате следеће:- природу и врсту узрока и последица које се могу јавити и како ће се мерити;- како ће вероватноћа бити дефинисана;- термин(е) вероватноће и / или последице(а);- како да се утврди ниво ризика;- ставове заинтересованих страна;- ниво на коме ризик постаје прихватљив или подношљив, и- да ли комбинацију више ризика треба узети у обзир и, ако да, како и које комбинације треба узети у обзир. 5.4 Вредновање ризика
5.4.1 Општe
Вредновање ризика је укупан процес идентификације ризика, анализa ризика и проценa
ризика.НАПОМЕНА ИЕЦ 31010 даје смернице о техникама вредновања ризика.
5.4.2 Идентификација ризика
Организација треба да идентификује изворе ризика, области утицаја, догађаја (укључујући и промене у околностима) и њихове узроке и њихове потенцијалне последице. Циљ овог корака је да се генеришe свеобухватнa листa ризика на основу тих догађаја који могу да створе, повећаjу, спречe, деградираjу, убрзавају или успоравају остварење циљева. Важно је да се идентификују ризици у вези са неискоришћењем повољних прилика. Свеобухватна идентификација је критична, јер ризик да се не идентификују у овој фази неће бити укључен у даљу анализу.Идентификација би требало да обухватају ризике безобзира да ли је њихов извор под контролом организације, иако извор или узрок ризика не мора бити видљив. Идентификација ризика треба да обухвати испитивање о ударним ефектима одређене последице, укључујући и каскаде и кумулативни ефекат. Она такође треба да размотри широк спектар последица, чак и ако порекло или узрок ризика нису видљиви. Као и идентификовање шта се све може десити, неопходно је узети у обзир могуће узроке и сценарије који показују до каквих последица може да дође. Све значајне узроке и последице треба узети у обзир.Организација треба да примени алате идентификације ризика и технике које су усклађене са њеним циљевима и могућностима, као и ризицима са којима се суочавају. Релевантне и ажурне информације су важне у идентификовању ризика. Ово треба да укључи одговарајуће основне информације где год је то могуће. Људи са одговарајућим знањем треба да буду укључени у идентификовању ризика.
5.4.3 Анализа ризика
Анализа ризика обухвата и развијање разумевања ризика. Анализа ризика омогућава улаз на процени ризика и одлучивању о томе да ли ризицима треба да буду третирани, као и на већини одговарајућих стратегија и метода третмана ризика. Анализа ризика може да обезбеди улаз у доношењу одлука у којима се налазе и опције избора укључења различитих врста и нивоа ризика.Анализа ризика обухвата разматрање узрока и извора ризика, њихове позитивне и негативне последице, као и вероватноћа да ли ће се последице десити. Фактори који утичу на последице и вероватноће треба да се идентификују. Ризик је анализиран утврђивањем последица и вероватноће, као и другим атрибутима ризика. Догађај може да има више последица и може да утиче на више циљева. Постојеће контроле и њихову ефективност и ефикасност треба узети у обзир.Начин на који су последица и вероватноћа изражена и начин на који се они комбинују да би утврдили ниво ризика треба да одражава врсту ризика, информације доступне и сврху за коју процену ризика ће да се излаз користи. Ово би требало да све буде у складу са критеријумима ризика. Такође је важно узети у обзир међузависност различитих ризика и њихових извора. Поверење у одређивање нивоа ризика и осетљивости на предуслове и претпоставке морају се узети у обзир у анализи, и саопштио да би они који одлучују ефикасно доносили одлуке као и, по потреби, другим заинтересованим странама. Фактори као што су разлике у мишљењу међу стручњацима, неизвесност, доступност, квалитет, квантитет и релевантност текућих информација, или ограничења на моделирању треба навести и морају бити наглашени.Анализа ризика се може предузети у различитим степенима детаља, у зависности од ризика, у циљу анализе и податке, информација и ресурса који су доступни. Анализа може бити квалитативна, полу-квантитативна или квантитативна, или комбинација ових, у
зависности од околности.Последице и вероватноће се могу утврдити моделовањем исхода догађаја или скуп догађаја, или екстраполација од експерименталних студија или из доступних података. Последице могу бити изражене у погледу материјалних и нематеријалних утицаја. У неким случајевима, више од једне нумеричке вредности или дескриптора је потребно навести последице и вероватноће за различита времена, места, групе или ситуације.
5.4.4 Вредновање ризика
Сврха вредбивања ризика је да помогне у доношењу одлука, на основу резултата анализе ризика, којим ризицима је потребна обрада и приоритет за третирање и имплементацију.Оцене ризика укључују поређење нивоа ризика нађених током анализе процеса са критеријумима ризика према посматраном контексту. На основу овог поређења, потребе за третирањем може се разматрати.При одлучивању треба узети у обзир шири контекст ризика и укључити разматрање толеранције ризика у смислу да га осим организације сноси страна која има користи од ризика. Одлуке треба да буду у складу са правним, регулаторним и другим захтевима.У неким околностима, вредновање ризика може довести до одлуке да се предузме даља анализа. Вредновање ризика, такође може да доведе до одлуке да се не третира ризик на било који начин осим одржавања постојећих контрола. Ова одлука ће зависити од става организације према ризику и успостављених критеријума ризика.
5.5 третман ризика
5.5.1 Опште
Третман ризика подразумева избор једне или више опција за измену ризика, а који спроводе ове опције. Једном имплементирани, третмани дају или модификује контроле.Третман ризика подразумева цикличне процесе: - процена третмана ризика; - одлучивање да ли се преостали нивоа ризика да толерисати; - ако није подношљив, генерисати нов третман опасности - процена делотворности тог третмана. Опције третирања ризика нису нужно међусобно искључиве, или пожељне у свим околностима. Опције могу да укључују следеће: а) избегавање ризика одлуком да се не почне или настави са активностима које доводи до ризика, б) Прихватање или повећање ризика у циљу потраге за пословном приликом ц) уклањање извора ризика д) мењање вероватноће, е) промене последица; ђ) размене ризика са другом страном или странама (укључујући уговоре и ризик финансирања) и е) задржавање достигнутог ризик на бази информисања пре одлучивања.
5.5.2 Избор опција третмана ризика
Избор најпогодније опција третирања ризика подразумева балансирање трошкова и напора имплементације у односу на остварени приход, узимајући у обзир правне, регулаторне и друге услове, као што су друштвена одговорност и заштита природне средине. Одлуке треба да узму у обзир ризике који може гарантовати третман ризика који није оправдан по економским показатељима, на пример, тежак (висока негативна последица), али ретка (мале вероватноће) појављивања ризика.Број могућности третирања може се посматрати и примењивати појединачно или у комбинацији.Организација може нормално имати користи од усвајања комбинације могућности лечења.
Приликом избора могућности третирања ризика, организација треба да размотри вредности и перцепције учесника и најприкладнији начини за комуникацију са њима. Где могу могућности третирања ризика или утицаја на ризик да буду на другим местима у организацији или са другим заинтересованим странама, оне би требало да буду укључене у одлучивање. Иако подједнако ефикасни, нека видови третмана ризика могу бити прихватљивији за неке заинтересоване стране у односу на друге.План обраде ризика треба да јасно идентификује редослед приоритета у који би требало да буду имплементирани код индивидуалног третмана ризика.Третман ризика само по себи може бити ризичан. Значајан ризик може бити неуспех или неефикасности мера третмана ризика. Мониторинг треба да буде саставни део плана третмана ризика који ће гарантовати да мере остају на снази.Третман ризика може довести и до секундарних ризика које треба оцењивати, смањивати, надгледати и прегледати. Ове секундарне ризике треба укључити у исти план третмана као оригиналне ризике и не третирати као нови ризик. Везу између две ризика треба идентификовати и одржавати.
5.5.3 Припрема и имплементација планова третмана ризика
Сврха планова третирања ризика је да документ како ће изабрани третмани да се спроводе. Информације у плановима третирања треба да укључе: - разлоге за избор могућности третирања, укључујући очекиване користи које се добијају; - оне који су одговорни за одобравање плана и оних који су одговорни за спровођење плана; - предложене активности; - захтеве ресурса, укључујући потенцијалне обавезе; - мере перформанси и ограничења; - извештавање и праћења захтева и- термине и распореде. Планови третирања треба да буду интегрисани са менаџментом процеса организације и договорени са одговарајућим актерима.Доносиоци одлука и друге заинтересоване стране треба да буду свесни природе и обима преосталог ризика након третмана ризика.Преостали ризик треба да буде документован и подвргнут праћењу, прегледу и, по потреби, даљем третирању. 5.6 Надзор и преиспитивање
И надзор и ревизија треба да буду планирани део процеса управљања ризиком и укључују редовно преиспитивање или надзоре. То може бити периодична или ад хоц, тј. према потреби.Одговорности за праћење и ревизију треба да буду јасно дефинисане. Организација за праћење и преглед процеса треба да обухвати све аспекте процеса управљања ризиком у циљу:- обезбеђења да су контроле ефективне и ефикасне у оба дизајна и рада; - добијање додатних информације за побољшање процене ризика; - анализе и учења поука из догађаја (укључујући промашаје “за мало”), промене, текуће успехе и неуспехе; - откривању промена у спољном и унутрашњем садржају, укључујући промене критеријума ризика и самог ризика, што може захтевати ревизију третмана ризика и приоритета, као и идентификовање нових ризике. Напредак у спровођењу планова третмана ризика обезбеђују мере перформансе.Резултати могу бити укључени у укупне перформансе организације за управљање, мерење и спољне и унутрашње извештавање о активностима. Резултати прегледања и надзора треба да се евидентирају и екстерно и интерно пријављују по потреби, и такође треба да се користе као инпут за ревизију система за управљање ризиком (видети 4.5).
5.7 Евидентирање процеса управљања ризиком
Активности управљања ризицима треба да буду праћене. У процесу управљања ризиком, записи обезбеђују основу за унапређење метода и алата, као и у целокупном процесу. Одлукама које се односе на стварање евиденције треба узети у обзир: - потребе организације за континуирано учење; - предности поново употребљених информације за сврхе управљања; - трошкове и напоре који су укључени у креирању и одржавању евиденције; - правне, регулаторне и оперативне потребе за евиденцију ; - методе приступа, лакоћа повраћаја података и медији за складиштење тј архивирање; - период задржавања и - осетљивост информација.
Анекс(Информативни)
Атрибути појачаног управљање ризиком
А.1 Опште
Све организације треба да буде усмерена на одговарајући ниво перформанси својих система управљања ризиком, у складу са критичност и одлуке које треба да буду направили.Листе атрибута испод представља висок ниво перформанси у управљању ризиком. Да би се помогло организацијама у мерењу својих перформанси у односу ових критеријума, неки опипљиви показатељи су дати за сваки атрибут.
А.2 Кључни резултати
А.2.1 организација има актуелно, ажурно, исправно и свеобухватно разумевање ризике.А.2.2 ризици организације у оквиру њених критеријума ризика.А.3 атрибутиА.3.1 акценат је стављен на континуирано побољшање у управљању ризицима кроз постављање организационих перформанси циљева, мерења, прегледа и касније модификације процеса, система, ресурса, способности и вештина.То је приказано постојањем експлицитних циљева перформанси у односу на које се мери организација и индивидуалних менаџера перформансе. Перформансе организације могу бити објављене и саопштене. Нормално, ту ће бити најмање годишњи преглед перформанси и онда ревизија процеса, и постављање ревидираног рада циљева за наредни период. Ова процена управљања перформансама ризика је саставни део процене учинка целокупне организације и систем мерења за одељења и појединце.А.3.2 Побољшано управљање ризицима обухвата свеобухватну, потпуно дефинисану и потпуно прихваћену одговорност за ризике, контролу и задате третмане ризика. Одређени људи у потпуности прихватају одговорност, на одговарајући начин су обучени и имају адекватне ресурсе за проверу контроле, прате ризике, побољшавају контроле и ефикасно комуницирају о ризицима и њиховом управљању са спољним и унутрашњим заинтересованим странама.То доводи до тога да сви чланови организације буду потпуно свесни ризика, контроле и задатака за које су одговорни. Нормално, ово ће бити забележено у посао / место описа, базе података или информационих система. Дефиниција управљања ризиком улоге, расположивости и одговорности треба да буду део свих програма индукције организације.Организација обезбеђује да они који су одговорни будуу опремљени да испуне ту улогу
пружајући им власт, време, обуку, ресурсе и довољно вештине да преузму своје одговорности.А.3.3 Сво одлучивање унутар организације, без обзира на ниво важности и значаја, обухвата експлицитно разматрање ризика и примену управљања ризиком у одговарајућој извесној мери.Ово указује да се евиденције састанака и одлука да се врше експлицитни разговори о ризицима догодила. Поред тога, требало би да буде могуће да се види да су све компоненте управљања ризиком заступљене у кључним процесима за доношење одлука у организацији, на пример, за одлуке о расподели капитала, о најважнијим пројектима и на реструктурисања и организационе промене. Из тих разлога, чврсто засновано управљање ризиком се види у систему организације и обезбеђивање основе за ефикасно управљање.А.3.4 Побољшано управљање ризицима обухвата сталну комуникације са спољним и унутрашњим заинтересованим странама, укључујући свеобухватно и честе извештавање о перформансама управљања ризиком, као део доброг управљања. Ово може да указује на комуникацију са заинтересованим странама, као саставни и суштински део управљања ризиком. Комуникација се с правом види као двосмерни процес, тако да се може правилно информисати о одлукама о нивоу ризика и потребе за третманом ризика насупрот правилно утврђеног и свеобухватног критеријума ризика.Свеобухватно и често спољашње и унутрашње извештавање о значајним ризицима и о перформансама управљања ризиком доприноси битно за ефикасно управљање у организацији.А.3.5 Управљање ризиком се посматра као централно у руковођењу организацијом процеса, тако да се ризици посматрају у погледу ефекта неизвесности о циљевима. Структура управљања и процеса су засновани на управљању ризиком. Ефективно управљање ризиком је по мишљењу менаџера, од суштинског значаја за постизање циљева организације.На то указује језик менаџера и важног писаног материјала у организацији, користећи термин "несигурност" у вези са ризицима. Овај атрибут се такође нормално огледа у изјавама и политици организације, посебно оних који се односе на управљање ризиком. Нормално, овај атрибут би да се потврди кроз интервјуе са менаџерима и кроз евиденцију о њиховим поступцима и изјавама.
ICS 03.100.01
