Приложение А. Пример документирования оценки риска
| ЦЕЛЬ - Совершить поездку из пункта А в пункт В, чтобы успеть на важную встречу к определенному времени | ||||||||
| Оценка внутренне присущего риска | Имеющиеся меры контроля | Оценка остаточного риска | Планируемые меры | Планируемая дата выполнения | Ответственный | |||
| Риск | Влияние | Вероятность | Влияние | Вероятность | ||||
| Опоздание на поезд приводит к моему опозданию на важную встречу | Сильное | Высокая | Сесть на предыдущий поезд | Сильное | Низкая | Дальнейшие меры не планируются | Й. А. Сам | |
| Поезд не может ехать из-за плохой погоды | Сильное | Низкая | Нет контроля | Сильное | Низкая | Установить оборудование телефонной конференц-связи для чрезвычайных случаев | Август | Н. Е. Кто |
| Поезд задержан из-за путевых работ | Сильное | Средняя | Выяснить, не ведутся ли путевые работы и договориться о более гибких условиях времени встречи | Среднее | Низкая | Дальнейшие меры не планируются | Й. А. Сам |
Приложение В. Общая оценка эффективности риск-менеджмента
Принципы оценки эффективности
Планирование оценки эффективности.
1.1 Стратегия оценки эффективности: общая оценка эффективности может быть получена только если разработан стратегический план такой оценки;
1.2 Процесс оценки эффективности: процессы оценки эффективности должны быть встроены в существующие процессы деятельности.
Установление четких границ оценки эффективности.
Для получения общей картины процессы оценки эффективности должны охватывать весь жизненный цикл риск-менеджмента организации. Это не означает, что каждый риск и каждая мера контроля должны анализироваться для получения оценки эффективности. Тем не менее, осуществляемый анализ должен обеспечивать
2.1 Оценку стратегии риск-менеджмента. Выяснение степени, в которой все линейные руководители анализируют риски и меры контроля в своей сфере ответственности;
2.2 Оценку управления рисками и мерами контроля. Такая оценка должна охватывать все основные риски и достаточное количество других рисков, чтобы обеспечивать уверенность в получении целостного представления;
2.3 Оценку адекватности процесса анализа и оценки. Качество должно быть достаточным, чтобы процесс анализа вызывал доверие.
Подтверждающие данные и документы.
Данные и документы, подтверждающие оценку эффективности, должны быть достаточными по охвату (см. пункт 2.2 выше) и значимости (см. пункт 4.2 ниже) для подтверждения выводов, и должны быть
релевантными;
надежными;
доступными для понимания;
не должны содержать существенных неточностей;
нейтральными, лишенными необъективности;
такими, чтобы другое лицо при их анализе обоснованно приходило к такому же выводу.
Оценка.
4.1 Цели оценки:
оценить адекватность политики и стратегии риск-менеджмента для достижения его целей;
оценить адекватность процессов риск-менеджмента, разработанных для снижения остаточного риска до уровня склонности к риску;
выявить недостатки в предоставленных подтверждающих данных и документах или в глубине или охвате проведенного анализа;
выявить недостатки в мерах контроля и (или) избыточные меры контроля, найти возможности для постоянного совершенствования; и
обеспечить поддержку в подготовке ОВК.
4.2 При оценке подтверждающих данных и документов для получения общей оценки или заключения следует учитывать все критерии, установленные для подтверждающих данных и документов в пункте 3. Тем не менее, важно признавать, что
Не все подтверждающие данные и документы имеют равную значимость для формирования оценки эффективности. Значимость подтверждающих данных и документов следует оценивать
По независимости: чем в большей степени независимыми являются подтверждающие данные и документы, тем в большей степени на них можно полагаться. Тем не менее, могут иметь место обстоятельства, влияющие на надежность полученной информации, например, чтобы независимые внешние данные и документы были надежными, источник информации также должен быть компетентным;
По релевантности: при формировании общей оценки эффективности необходимо удостоверяться в том, что подтверждающие данные и документы относятся к элементам жизненного цикла риск-менеджмента, считающимся значимыми; таким образом, данные и документы, имеющие отношение к более значимым рискам, в большей степени релевантны для получения общей оценки эффективности;
Подтверждающие данные и документы могут быть недостаточными по количеству и качеству, если не удовлетворяются критерии, применяемые к таким данным и документам, что приводит к ограниченности оценок, которые могут быть получены на их основе. Например, получение большего объема данных не компенсирует недостатки, если качество данных является низким или источник данных ненадежен.