Термины и Определения, относящиеся к риску

ISO Guide 73:2009  Менеджмент рисков. Словарь

Область применения ISO Guide 73:2000:

Настоящий стандарт устанавливает определения общих терминов в области менеджмента риска. Настоящий стандарт обеспечивает общее и согласованное понимание терминологии, последовательный подход, описание действий, относящихся к менеджменту риска, а также применение однородной терминологии в процессах и структурах в области менеджмента риска.

ISO Guide 73:2009 предназначен для использования:

- участниками процесса менеджмента риска;

- участниками деятельности в рамках международных организаций по стандартизации ISO и IEC;

- разработчиками национальных стандартов или стандартов в различных отраслях, руководств, процедур и технических кодексов установившейся практики, касающихся менеджмента риска.

Риск - Влияние неопределенности на конечные цели

Под термином «влияние» имеется ввиду отклонение от ожидаемого в положительную или отрицательную сторону.

«Цели» могут иметь различные аспекты (такие как финансы, здоровье и безопасность, окружающая среда) и могут применяться на разных уровнях (стратегические, в масштабах организации, проекты, продукт и процесс).

Риск часто характеризуется исходя из вероятности событий и их последствий или же их сочетанием.

Часто «риск» выражается в виде комбинации последствий события (в том числе, изменения обстоятельств) и связанной с этим возможности возникновения.

Неопределенность – это состояние, характеризующееся недостатком информации, связанной с пониманием или знанием о событии, его последствий или вероятности.

Менеджмент рисков - скоординированные действия, направленные на руководство и управление организацией с учетом рисков

Структура менеджмента рисков - набор компонентов, которые представляют собой основы и организационные меры, обеспечивающие разработку, внедрение, мониторинг, пересмотр и постоянное улучшение системы менеджмента рисков всей организации

Термин «основы» включает политику, цели, сферу компетенции и обязательство управлять рисками.

«Организационные меры» включают планы, взаимоотношения, ответственность, ресурсы, процессы и деятельность.

Структура системы менеджмента рисков встраивается в стратегические и операционные политики и практики.

Политика менеджмента рисков - заявление общих намерений и направлений организации, связанных с менеджментом рисков

План менеджмента рисков - схема в рамках структуры менеджмента риска, которая уточняет подходы, элементы менеджмента и ресурсы, которые должны быть применены к менеджменту рисков

Компоненты менеджмента, как правило, включают процедуры, практики, распределение обязанностей, последовательность и сроки выполнения деятельности.

План менеджмента рисков может быть применен к определенному продукту, процессу, проекту, к части или ко всей организации.

Процесс менеджмента рисками - систематическое применение политик менеджмента, процедур и практик к деятельности по связи, консультированию, формированию контекста, идентификации, анализу, оцениванию, обработке, мониторингу и пересмотру рисков

Связь и консультирование - постоянный и итерационный процесс, который осуществляет организация, чтобы  предоставлять, распределять и получать информацию, а также вовлекать в диалог заинтересованные стороны  касательно менеджмента рисков.

Понятие «информация» может относиться к наличию, природе, форме, возможности, значимости, оценке, приемлемости и обработке менеджмента рисков.

Консультирование – это процесс двустороннего обмена информацией между организацией и заинтересованными сторонами перед принятием решения или определением пути решения вопроса. Консультирование – это:
— процесс, который воздействует на принятие решения скорее посредством влияния, чем силы;
— входная информация для принятия решения, но не совместное принятие решения.

Заинтересованная сторона - физическое лицо или организация, которые могут оказывать воздействие, подвергаться воздействию или считать, что они подвергаются воздействию в результате решения или деятельностью.

Лицо, принимающее решение, может быть заинтересованной стороной.

Восприятие риска - мнение заинтересованных сторон о риске

Восприятие риска отражает потребности заинтересованных сторон, их проблемы, знания, мнение и ценности.

Формирование контекста - определение внешних и внутренних характеристик, которые нужно принимать во внимание в менеджменте рисками; установке области действия и критериев риска для политики менеджмента рисками

Внешний контекст - внешняя среда, в которой организация стремится достичь своих целей

Внешний контекст может включать:
— культурную, социальную, политическую, законодательную, регуляторную, финансовую, технологическую, экономическую, природную и конкурентную среду, либо международную, либо национальную, региональную или местную;
— ключевые движущие силы и тенденции, которые влияют на цели организации;
— отношения между внешними заинтересованными сторонами, их восприятие и ценности.

Внутренний контекст - внутренняя окружающая среда, в которой организация пытается достичь своих целей

Внутренний контекст может включать:
— руководство, организационную структуру, функции и подотчетность;
— политики, цели и стратегии, применяемых для реализации целей;
— потенциальные возможности применительно к ресурсам и знаниям    (например: капитал, время, персонал, процессы, системы и технологии);
— информационные системы и информационные потоки и процессы принятия решений (как формальные, так и неформальные);
— отношения между внутренними заинтересованными сторонам, их восприятие и ценности;
— культуру организации;
—стандарты, руководства и модели, принятые организацией;
— формы и степень договорных взаимоотношений.

Идентификация рисков - процесс обнаружения, признания и описания рисков

Процесс идентификации рисков включает определение источников риска, событий, их причин и потенциальных последствий.

Идентификация рисков может включать данные за прошлые периоды, теоретический анализ, информацию и экспертные мнения, а также потребности заинтересованных сторон.

Описание рисков - структурированное заявление о рисках, которое, как правило, состоит из четырех элементов: источников, событий, причин и последствий

Источник риска - элемент, который или сам или в сочетании, имеет свойственную ему способность приводить к возникновению рисков

Источник риска может быть материальным или нематериальным

Событие - возникновение или изменение определенных стечений обстоятельств

Событие может быть простым или сложным, а также оно может иметь несколько причин.

Событие может являться несостоявшимся событием.

Иногда «событие» может выражаться через понятия «инцидент» и «несчастный случай».

Событие без последствий можно соотносить с терминами «промах», «инцидент», «угроза происшествия» или «опасное положение».

Опасность - источник потенциального ущерба

Опасность может быть источником риска

Владелец риска - физическое или юридическое лицо, которое несет ответственность и полномочия за управление рисками

Анализ рисков - процесс осмысления природы рисков и определения уровня рисков

Анализ рисков является основанием для оценивания риска и принятия решений по обработке рисков

Анализ рисков включает оценку риска

Возможность - шанс возникновения события

В терминологии, применяемой в области риск-менеджмента, понятие «вероятность» относится к возможности возникновения какого-либо события, либо определенного, измеримого или объективно /субъективно детерминированного, качественно или количественно, и описанного, используя общие или математические термины такие как вероятность или частота за данный период времени].

В некоторых языках английский термин «likelihood» не имеет прямого эквивалента, поэтому вместо него зачастую  используется термин «probability». Однако, в английском языке термин «probability» имеет узкоспециальное применение, как математический термин. Следовательно, в терминологии, применяемой в области риск-менеджмента, термин «likelihood» используется в таком же широком толковании, как и термин «probability» в других языках.

Подверженность воздействию - степень, в которой организация и/или заинтересованная сторона подвергаются влиянию события

Последствие - результат события, влияющий на цели

Одно событие может вызывать ряд последствий.

Последствие может быть определенным или же неопределенным, а также может иметь положительное или отрицательное влияние на цели.

Последствия могут быть выражены как качественно, так и количественно.

Первоначальные последствия могут увеличиваться из-за возникновения эффекта цепной реакции.

Вероятность - степень возможности возникновения события,  выраженная числами от 0 до 1, где 0 это невозможность, а 1 – абсолютная достоверность.

Частота - количество событий или результатов за определенную единицу времени

Частота может применяться к произошедшим событиям или к потенциальным событиям в будущем, если  это может использоваться как мера возможности/ вероятности.   

Уязвимость - присущие свойства чего-либо, являющиеся результатом восприимчивости к источникам риска, которые могут привести к событию с последствием.

Матрица рисков - инструмент для ранжирования и отображения рисков методом определения границ последствий и возможности.

Уровень риска - масштабность  риска или комбинация рисков, выраженная через сочетание последствий и возможности их возникновения

Оценивание риска - процесс сравнения результатов анализа рисков с критериями риска с целью определения допустимости или приемлемости  риска и/или его величины 

Оценка риска содействует принятию решения по вопросу обработки риска

Подход к риску - подход организации к оцениванию риска с последующим его уменьшением, сдерживанием, принятием или уклонением от риска

Риск-аппетит - уровень и тип риска, которые организация желает достигнуть или сохранить

Допустимость риска - готовность организации или заинтересованных сторон сосуществовать с рисками после их обработки для того, чтобы достичь их целей

На допустимость риска могут влиять законодательные или регуляторные требования

Отвод риска - подход, заключающийся в уходе от риска

Агрегация рисков - объединение нескольких рисков в один с целью более полного понимания общего риска

Принятие риска - осознанное решение принять определенный риск

Принятие  риска может произойти без обработки риска или же в процессе его обработки.

Принятые риски подлежат мониторингу и пересмотру.

Обработка риска - процесс модификации риска

Обработка риска может включать в себя:

 - уклонение от риска, путем решения не начинать или не продолжать деятельность, которая приводит к повышению риска;

- принятие или повышение риска для того, чтобы использовать возможности;

 -  устранение источника риска;

- изменение возможности;

- изменение последствий;

- разделение рисков с другой стороной/сторонами [включая контракты и финансирование рисков;

- сохранение риска путем принятия решения.

Обработка риска, которая касается негативных последствий, также иногда именуются как «смягчение риска», «исключение риска», «предотвращение риска» и «уменьшение риска».

Обработка рисков может порождать новые риски или модифицировать уже существующие риски.

Управление - мера, которая модифицирует риск

Управление включает любой процесс, политику, методику, практику или другое действие, которое модифицирует риск.

Уклонение от риска - осознанное решение не быть вовлеченным в, или уйти от деятельности для того, чтобы не подвергаться действию определенного риска

Уклонение от риска может быть на основе результатов оценивания риска и/или на основе законодательных и регулятивных обязательств.

Распределение рисков - форма обработки рисков, которая включает согласованное разделение рисков между другими сторонами

Законодательные или регулятивные требования могут ограничивать, запрещать или уполномочивать распределение рисков.

Распределение рисков может быть выполнено/реализовано посредством  контракта о страховании или же других его форм.

Степень распределения риска может зависеть от  надежности и прозрачности договора о распределении.

Перенос риска является формой распределения риска.

Финансирование риска - форма обработки риска, которая подразумевает возможные меры по предоставлению денежных средств для покрытия/оплаты  и смягчения финансовых последствий в случае их возникновения

Приемлемость риска - принятие потенциальной выгоды от прибыли или бремени убытков, которые возникают по причине определенного риска

Приемлемость риска подразумевает принятие остаточного риска

Уровень приемлемости риска может зависеть от критерия риска.

Мониторинг - постоянная проверка, надзор, внимательное наблюдение или определение ситуации для того, чтобы идентифицировать отклонение от требуемого или ожидаемого уровня выполнения деятельности

Мониторинг может применяться в рамках риск-менеджмента, к процессам риск-менеджмента, рискам или  мероприятиям по управлению рисками

Пересмотр - действие, направленное на определение соответствия, адекватности и результативности объекта пересмотра с целью достижения установленных целей

Пересмотр может применяться к структуре менеджмента рисков, процессам риск-менеджмента, рискам или мероприятиям по управлению рисками

Отчетность по рискам - форма информирования, которая предполагает предоставление сведений внутренним или внешним заинтересованным сторонам о текущем состоянии рисков, а также об управлении рисками

Реестр рисков - записи, содержащие сведения об идентифицированных рисках

Иногда вместо термина «реестр рисков» используется «журнал рисков».

Профиль рисков - описание любой группы рисков

Группа рисков может состоять из рисков, которые относятся ко всей организации, ее части или как определено в остальных случаях.

Аудит деятельности по риск-менеджменту - систематический, независимый и документированный процесс  получения объективных доказательств и объективного их оценивания для того, чтобы определить степень адекватности и  результативности структуры риск-менеджмента и выбранных его составляющих.