Советы по внедрению ГОСТ Р ИСО 31000. См также:
Структура и процессы управления рисками должны быть адаптированы к внешней среде, в которой работает организация. Внешний контекст может включать:
Структура и процессы управления рисками должны быть адаптированы к внутренней среде, в которой организация стремится достичь своих целей. Внутренний контекст может включать:
Риск-менеджеры (эксперты) должны стремиться понимать конкретные отраслевые / нормативные требования к управлению рисками для компании (во многих отраслях есть международные или национальные органы, которые часто определяют конкретные требования к управлению рисками), а также выяснять любые ожидания заинтересованных сторон. Также необходимо проверить, соответствуют ли текущие методы управления рисками этим требованиям.
Структура управления рисками может быть централизована (управление корпоративными рисками отвечает за координацию всех видов деятельности, связанных с управлением рисками) или децентрализованным (каждый сотрудник, ответственный за принятие решений, несет ответственность за свою связанную с этим деятельность по управлению рисками). Риск-менеджеры (эксперты) должны учитывать, что обе структуры могут быть уместными и проверить, соответствует ли существующая структура управления рисками характеру бизнеса, передовой практике отрасли и профилю организационного риска.
Разработка структуры управления рисками должна способствовать интеграции процесса управления рисками в процесс принятия решений и общего управления организацией. Организации со зрелой риск-культурой обеспечивают условия, в которых соответствующие методы оценки риска и принятия решений используются для различных целей, например:
Выбор метода оценки риска будет зависеть от наличия ресурсов:
Некоторые методы и степень детализации анализа могут быть предусмотрены законодательством.
Вне зависимости от используемой методики оценки рисков, руководители рисков должны обеспечить полную прозрачность выбора инструмента и ключевые допущения, сделанные в ходе оценки риска. Ограничения, неопределенности и допущения, влияющие на оценку риска, должны быть четко рассмотрены на каждом этапе оценки риска и задокументированы прозрачным образом. Лица, принимающие решения, могут использовать источники информации, такие как исторические данные, опыт, обратную связь с заинтересованными сторонами, наблюдение, прогнозы и заключение экспертов, однако они всегда должны учитывать соответствующие объяснения для поддержки своих и других заинтересованных сторон. Это может охватывать:
Следует проявлять дополнительную осторожность при использовании методов оценки риска из-за влияния когнитивных искажений и фундаментальных недостатков разработки в качественных оценках риска, как описано в [1].
Риск-менеджеры (эксперты) должны выбрать пример прошлых оценок риска для проверки того, что информация о допущениях и ограничениях отдельных методов оценки риска была записана и раскрыта всем заинтересованным сторонам. Риск-менеджеры (эксперты) должны проверить, подходят ли методы оценки риска (изложенные на этапе разработки структуры управления рисками) для различных типов решений, внутреннего и внешнего контекста организации.
[1] Thomas, Philip & Bratvold, Reidar & Bickel, J. (2013). Риск использования матриц риска. SPE Экономика и менеджмент. 6. 10.2118 / 166269-МС. Ограничения качественных методов оценки рисков должны раскрываться менеджерами по рискам.