Термины и Определения, относящиеся к риску
ISO Guide 73:2009 Менеджмент рисков. Словарь
Область применения ISO Guide 73:2000:
Настоящий стандарт устанавливает определения общих терминов в области менеджмента риска. Настоящий стандарт обеспечивает общее и согласованное понимание терминологии, последовательный подход, описание действий, относящихся к менеджменту риска, а также применение однородной терминологии в процессах и структурах в области менеджмента риска.
ISO Guide 73:2009 предназначен для использования:
– участниками процесса менеджмента риска;
– участниками деятельности в рамках международных организаций по стандартизации ISO и IEC;
– разработчиками национальных стандартов или стандартов в различных отраслях, руководств, процедур и технических кодексов установившейся практики, касающихся менеджмента риска.
Риск – Влияние неопределенности на конечные цели
Под термином «влияние» имеется ввиду отклонение от ожидаемого в положительную или отрицательную сторону.
«Цели» могут иметь различные аспекты (такие как финансы, здоровье и безопасность, окружающая среда) и могут применяться на разных уровнях (стратегические, в масштабах организации, проекты, продукт и процесс).
Риск часто характеризуется исходя из вероятности событий и их последствий или же их сочетанием.
Часто «риск» выражается в виде комбинации последствий события (в том числе, изменения обстоятельств) и связанной с этим возможности возникновения.
Неопределенность – это состояние, характеризующееся недостатком информации, связанной с пониманием или знанием о событии, его последствий или вероятности.
Менеджмент рисков – скоординированные действия, направленные на руководство и управление организацией с учетом рисков
Структура менеджмента рисков – набор компонентов, которые представляют собой основы и организационные меры, обеспечивающие разработку, внедрение, мониторинг, пересмотр и постоянное улучшение системы менеджмента рисков всей организации
Термин «основы» включает политику, цели, сферу компетенции и обязательство управлять рисками.
«Организационные меры» включают планы, взаимоотношения, ответственность, ресурсы, процессы и деятельность.
Структура системы менеджмента рисков встраивается в стратегические и операционные политики и практики.
Политика менеджмента рисков – заявление общих намерений и направлений организации, связанных с менеджментом рисков
План менеджмента рисков – схема в рамках структуры менеджмента риска, которая уточняет подходы, элементы менеджмента и ресурсы, которые должны быть применены к менеджменту рисков
Компоненты менеджмента, как правило, включают процедуры, практики, распределение обязанностей, последовательность и сроки выполнения деятельности.
План менеджмента рисков может быть применен к определенному продукту, процессу, проекту, к части или ко всей организации.
Процесс менеджмента рисками – систематическое применение политик менеджмента, процедур и практик к деятельности по связи, консультированию, формированию контекста, идентификации, анализу, оцениванию, обработке, мониторингу и пересмотру рисков
Связь и консультирование – постоянный и итерационный процесс, который осуществляет организация, чтобы предоставлять, распределять и получать информацию, а также вовлекать в диалог заинтересованные стороны касательно менеджмента рисков.
Понятие «информация» может относиться к наличию, природе, форме, возможности, значимости, оценке, приемлемости и обработке менеджмента рисков.
Консультирование – это процесс двустороннего обмена информацией между организацией и заинтересованными сторонами перед принятием решения или определением пути решения вопроса. Консультирование – это:
— процесс, который воздействует на принятие решения скорее посредством влияния, чем силы;
— входная информация для принятия решения, но не совместное принятие решения.
Заинтересованная сторона – физическое лицо или организация, которые могут оказывать воздействие, подвергаться воздействию или считать, что они подвергаются воздействию в результате решения или деятельностью.
Лицо, принимающее решение, может быть заинтересованной стороной.
Восприятие риска – мнение заинтересованных сторон о риске
Восприятие риска отражает потребности заинтересованных сторон, их проблемы, знания, мнение и ценности.
Формирование контекста – определение внешних и внутренних характеристик, которые нужно принимать во внимание в менеджменте рисками; установке области действия и критериев риска для политики менеджмента рисками
Внешний контекст – внешняя среда, в которой организация стремится достичь своих целей
Внешний контекст может включать:
— культурную, социальную, политическую, законодательную, регуляторную, финансовую, технологическую, экономическую, природную и конкурентную среду, либо международную, либо национальную, региональную или местную;
— ключевые движущие силы и тенденции, которые влияют на цели организации;
— отношения между внешними заинтересованными сторонами, их восприятие и ценности.
Внутренний контекст – внутренняя окружающая среда, в которой организация пытается достичь своих целей
Внутренний контекст может включать:
— руководство, организационную структуру, функции и подотчетность;
— политики, цели и стратегии, применяемых для реализации целей;
— потенциальные возможности применительно к ресурсам и знаниям (например: капитал, время, персонал, процессы, системы и технологии);
— информационные системы и информационные потоки и процессы принятия решений (как формальные, так и неформальные);
— отношения между внутренними заинтересованными сторонам, их восприятие и ценности;
— культуру организации;
—стандарты, руководства и модели, принятые организацией;
— формы и степень договорных взаимоотношений.
Идентификация рисков – процесс обнаружения, признания и описания рисков
Процесс идентификации рисков включает определение источников риска, событий, их причин и потенциальных последствий.
Идентификация рисков может включать данные за прошлые периоды, теоретический анализ, информацию и экспертные мнения, а также потребности заинтересованных сторон.
Описание рисков – структурированное заявление о рисках, которое, как правило, состоит из четырех элементов: источников, событий, причин и последствий
Источник риска – элемент, который или сам или в сочетании, имеет свойственную ему способность приводить к возникновению рисков
Источник риска может быть материальным или нематериальным
Событие – возникновение или изменение определенных стечений обстоятельств
Событие может быть простым или сложным, а также оно может иметь несколько причин.
Событие может являться несостоявшимся событием.
Иногда «событие» может выражаться через понятия «инцидент» и «несчастный случай».
Событие без последствий можно соотносить с терминами «промах», «инцидент», «угроза происшествия» или «опасное положение».
Опасность – источник потенциального ущерба
Опасность может быть источником риска
Владелец риска – физическое или юридическое лицо, которое несет ответственность и полномочия за управление рисками
Анализ рисков – процесс осмысления природы рисков и определения уровня рисков
Анализ рисков является основанием для оценивания риска и принятия решений по обработке рисков
Анализ рисков включает оценку риска
Возможность – шанс возникновения события
В терминологии, применяемой в области риск-менеджмента, понятие «вероятность» относится к возможности возникновения какого-либо события, либо определенного, измеримого или объективно /субъективно детерминированного, качественно или количественно, и описанного, используя общие или математические термины такие как вероятность или частота за данный период времени].
В некоторых языках английский термин «likelihood» не имеет прямого эквивалента, поэтому вместо него зачастую используется термин «probability». Однако, в английском языке термин «probability» имеет узкоспециальное применение, как математический термин. Следовательно, в терминологии, применяемой в области риск-менеджмента, термин «likelihood» используется в таком же широком толковании, как и термин «probability» в других языках.
Подверженность воздействию – степень, в которой организация и/или заинтересованная сторона подвергаются влиянию события
Последствие – результат события, влияющий на цели
Одно событие может вызывать ряд последствий.
Последствие может быть определенным или же неопределенным, а также может иметь положительное или отрицательное влияние на цели.
Последствия могут быть выражены как качественно, так и количественно.
Первоначальные последствия могут увеличиваться из-за возникновения эффекта цепной реакции.
Вероятность – степень возможности возникновения события, выраженная числами от 0 до 1, где 0 это невозможность, а 1 – абсолютная достоверность.
Частота – количество событий или результатов за определенную единицу времени
Частота может применяться к произошедшим событиям или к потенциальным событиям в будущем, если это может использоваться как мера возможности/ вероятности.
Уязвимость – присущие свойства чего-либо, являющиеся результатом восприимчивости к источникам риска, которые могут привести к событию с последствием.
Матрица рисков – инструмент для ранжирования и отображения рисков методом определения границ последствий и возможности.
Уровень риска – масштабность риска или комбинация рисков, выраженная через сочетание последствий и возможности их возникновения
Оценивание риска – процесс сравнения результатов анализа рисков с критериями риска с целью определения допустимости или приемлемости риска и/или его величины
Оценка риска содействует принятию решения по вопросу обработки риска
Подход к риску – подход организации к оцениванию риска с последующим его уменьшением, сдерживанием, принятием или уклонением от риска
Риск-аппетит – уровень и тип риска, которые организация желает достигнуть или сохранить
Допустимость риска – готовность организации или заинтересованных сторон сосуществовать с рисками после их обработки для того, чтобы достичь их целей
На допустимость риска могут влиять законодательные или регуляторные требования
Отвод риска – подход, заключающийся в уходе от риска
Агрегация рисков – объединение нескольких рисков в один с целью более полного понимания общего риска
Принятие риска – осознанное решение принять определенный риск
Принятие риска может произойти без обработки риска или же в процессе его обработки.
Принятые риски подлежат мониторингу и пересмотру.
Обработка риска – процесс модификации риска
Обработка риска может включать в себя:
– уклонение от риска, путем решения не начинать или не продолжать деятельность, которая приводит к повышению риска;
– принятие или повышение риска для того, чтобы использовать возможности;
– устранение источника риска;
– изменение возможности;
– изменение последствий;
– разделение рисков с другой стороной/сторонами [включая контракты и финансирование рисков;
– сохранение риска путем принятия решения.
Обработка риска, которая касается негативных последствий, также иногда именуются как «смягчение риска», «исключение риска», «предотвращение риска» и «уменьшение риска».
Обработка рисков может порождать новые риски или модифицировать уже существующие риски.
Управление – мера, которая модифицирует риск
Управление включает любой процесс, политику, методику, практику или другое действие, которое модифицирует риск.
Уклонение от риска – осознанное решение не быть вовлеченным в, или уйти от деятельности для того, чтобы не подвергаться действию определенного риска
Уклонение от риска может быть на основе результатов оценивания риска и/или на основе законодательных и регулятивных обязательств.
Распределение рисков – форма обработки рисков, которая включает согласованное разделение рисков между другими сторонами
Законодательные или регулятивные требования могут ограничивать, запрещать или уполномочивать распределение рисков.
Распределение рисков может быть выполнено/реализовано посредством контракта о страховании или же других его форм.
Степень распределения риска может зависеть от надежности и прозрачности договора о распределении.
Перенос риска является формой распределения риска.
Финансирование риска – форма обработки риска, которая подразумевает возможные меры по предоставлению денежных средств для покрытия/оплаты и смягчения финансовых последствий в случае их возникновения
Приемлемость риска – принятие потенциальной выгоды от прибыли или бремени убытков, которые возникают по причине определенного риска
Приемлемость риска подразумевает принятие остаточного риска
Уровень приемлемости риска может зависеть от критерия риска.
Мониторинг – постоянная проверка, надзор, внимательное наблюдение или определение ситуации для того, чтобы идентифицировать отклонение от требуемого или ожидаемого уровня выполнения деятельности
Мониторинг может применяться в рамках риск-менеджмента, к процессам риск-менеджмента, рискам или мероприятиям по управлению рисками
Пересмотр – действие, направленное на определение соответствия, адекватности и результативности объекта пересмотра с целью достижения установленных целей
Пересмотр может применяться к структуре менеджмента рисков, процессам риск-менеджмента, рискам или мероприятиям по управлению рисками
Отчетность по рискам – форма информирования, которая предполагает предоставление сведений внутренним или внешним заинтересованным сторонам о текущем состоянии рисков, а также об управлении рисками
Реестр рисков – записи, содержащие сведения об идентифицированных рисках
Иногда вместо термина «реестр рисков» используется «журнал рисков».
Профиль рисков – описание любой группы рисков
Группа рисков может состоять из рисков, которые относятся ко всей организации, ее части или как определено в остальных случаях.
Аудит деятельности по риск-менеджменту – систематический, независимый и документированный процесс получения объективных доказательств и объективного их оценивания для того, чтобы определить степень адекватности и результативности структуры риск-менеджмента и выбранных его составляющих.