Руководство по внедрению iso - Arganabio.ru - инструкции по эксплуатации и многое другое

ГОСТ Р 51901.7-2017/ISO/TR 31004:2013

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ РИСКА

Руководство по внедрению ИСО 31000

Risk management. Guidance for the implementation of ISO 31000

ОКС 03.100.01

Дата введения 2018-12-01

Предисловие

1 ПОДГОТОВЛЕН Открытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (АО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 12 сентября 2017 г. N 1060-ст

4 Настоящий стандарт идентичен международному документу ISO/TR 31004:2013* «Менеджмент риска. Руководство по внедрению ИСО 31000» (ISO/TR 31004:2013 «Risk management — Guidance for the implementation of ISO 31000», IDT).

Международный стандарт разработан Техническим комитетом по стандартизации ISO/TC 262.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Сентябрь 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Общие положения

Организации используют для достижения поставленных целей различные методы менеджмента риска (выявление, обнаружение, понимание и, при необходимости, обработку риска).

Настоящий стандарт может помочь организациям повысить результативность менеджмента риска в соответствии с ИСО 31000, устанавливающим общий подход к менеджменту риска организации.

Настоящий стандарт предназначен для лиц, ответственных за принятие решений, воздействующих на достижение целей организации, включая ответственных за менеджмент риска, экспертов в области риска и специалистов отделов по управлению риском. Настоящий стандарт предназначен для использования всеми заинтересованными лицами, связанными с деятельностью в области риска, включая преподавателей, студентов, а также лиц, участвующих в разработке законодательных и обязательных требований.

Настоящий стандарт следует применять вместе с ИСО 31000, стандарт применим к организациям всех типов и размеров. Основные концепции и определения, необходимые для понимания ИСО 31000, приведены в приложении А. Общие методы, направленные на приведение в соответствие существующих методов менеджмента риска организации требованиям ИСО 31000, приведены в разделе 3. Настоящий стандарт обеспечивает также динамическое регулирование в соответствии с изменением внутренней и внешней среды организации.

В приложениях приведены дополнительные объяснения и примеры внедрения ИСО 31000.

Примеры, описанные в настоящем стандарте, приведены только для иллюстрации.

0.2 Основные положения и принципы

Некоторые понятия и концепции являются фундаментальными для понимания ИСО 31000 и настоящего стандарта, их объяснение приведено в разделе 2 ИСО 31000:2009 и приложении А.

В ИСО 31000 установлено одиннадцать принципов эффективного менеджмента риска. Принципы являются информационной и руководящей основой во всех аспектах менеджмента риска организации. Принципы устанавливают характеристики эффективного менеджмента риска. Организация должна не просто внедрить принципы менеджмента риска, а включить эти принципы во все аспекты менеджмента. Они служат показателями выполнения менеджмента риска и повышают значение эффективной организации менеджмента риска. Принципы менеджмента риска воздействуют на все элементы процесса в переходный период, описанные в настоящем стандарте, возникающие при этом технические проблемы описаны в приложениях. Более детальные рекомендации приведены в приложении В.

В настоящем стандарте использованы термины «высшее руководство» и «контролирующий орган». Термин «контролирующий орган» относят к лицу или группе лиц, которые направляют деятельность организации и управляют организацией на высшем уровне. Термин «контролирующие организации» относят к лицу или группе лиц, которые дают руководящие указания и проверяют деятельность высшего руководства.

Примечание — Во многих организациях функции «контролирующего органа» могут быть возложены на совет директоров, попечительский совет, наблюдательный совет и т.д.

1 Область применения

В настоящем стандарте приведены руководящие указания по внедрению в организации эффективного менеджмента риска на основе применения требований ИСО 31000. В стандарте приведены:

— структурированный подход, направленный на приведение менеджмента риска организации в соответствии с требованиями ИСО 31000 с учетом особенностей деятельности организации;

— разъяснение основных положений ИСО 31000;

— руководящие указания по внедрению принципов и структуры менеджмента риска, приведенных в ИСО 31000.

Настоящий стандарт может быть использован государственными, частными и/или общественными организациями, ассоциациями, группой лиц или отдельными лицами.

Примечание — Для удобства различные пользователи настоящего стандарта далее объединены общим термином «организация».

Настоящий стандарт может быть применен ко всем видам деятельности и всем подразделениям организации.

2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных — последнее издание (включая все изменения).

ISO 31000:2009

, Risk management — Principles and guidelines (Менеджмент риска — Принципы и руководящие указания)

___________________

Заменен на ISO 31000:2018.

3 Внедрение ИСО 31000

3.1 Общие положения

В данном разделе приведено руководство по приведению существующего менеджмента риска организации в соответствие с принципами и требованиями ИСО 31000, при этом необходимо обеспечить непрерывность соответствия менеджмента риска организации этим требованиям.

Приведенная в стандарте общая методология применима при плановом подходе всеми организациями независимо от особенностей мероприятий менеджмента риска организации и включает в себя следующее:

— сравнение существующей деятельности с требованиями ИСО 31000;

— идентификацию необходимых изменений и подготовку плана внедрения этих изменений;

— выполнение непрерывного мониторинга и анализа для обеспечения постоянного улучшения.

Осуществление этих действий позволит организации достичь понимания своего риска и обеспечить соответствие риска критериям и отношению организации к риску.

Независимо от причин внедрения ИСО 31000 применение его положений и требований может позволить организации лучше управлять своими рисками и эффективно достигать поставленных целей. Все организации до некоторой степени управляют риском. Стратегия внедрения ИСО 31000 должна отражать способ управления риском в организации.

Процесс внедрения, описанный в 3.2, позволяет провести сравнительную оценку существующего менеджмента риска организации с требованиями ИСО 31000 и, в случае необходимости, адаптировать и внести необходимые изменения.

В ИСО 31000 идентифицированы различные элементы структуры менеджмента риска. Если эти элементы интегрированы в управление, функции и процессы организации, она может достичь целого ряда преимуществ в работе, связанных со скоростью принятия решений, результативностью и эффективностью работы. Ниже перечислены основные преимущества такой интеграции.

a) Менеджмент риска может быть встроен в общую систему менеджмента и принятия решений организации; независимо от того, является система формальной или неформальной; существующие процессы менеджмента могут быть улучшены в соответствии с ИСО 31000.

b) Понимание неопределенности при управлении организацией становится неотъемлемой частью системы менеджмента, при этом могут быть установлены общие принципы менеджмента организации.

c) Внедрение процесса менеджмента риска учитывает особенности, размер и требования организации.

d) Управление политикой, структурой и процессом(ами) в области менеджмента риска может быть интегрировано в существующие системы менеджмента организации.

e) Отчетность в области менеджмента риска может быть интегрирована в общую отчетность организации.

f) Выполнение действий менеджмента риска становится неотъемлемой частью общего подхода к работе организации.

g) Взаимодействие и связь между отдельными областями менеджмента риска организации (например, менеджмент риска подразделения, финансовый менеджмент риска, менеджмент риска проекта, менеджмент безопасности, обеспечение непрерывности бизнеса, страховой менеджмент) могут быть достигнуты и/или улучшены путем учета риска при достижении целей и урегулировании проблем организации.

h) Организация может улучшить обмен информацией о неопределенности и риске между группами, участвующими в менеджменте риска и различными уровнями управления организации.

i) Направление действий в области менеджмента риска организации могут быть сосредоточены на достижении целей и приняты за общее направление работы организации. Организация может получить косвенные социальные выгоды, поскольку внешние заинтересованные лица организации могут быть мотивированы на улучшение их деятельности в области менеджмента риска*.

j) Обработка риска, средства и методы контроля риском могут стать неотъемлемой частью ежедневной деятельности организации.

3.2 Способы внедрения ИСО 31000

В стандарте ИСО 31000 приведено разъяснение способов эффективного менеджмента риска, однако способы интеграции менеджмента риска в процессы менеджмента организации в стандарте рассмотрены недостаточно. Существуют различные организации с разными отправными точками в области менеджмента риска, однако общий и систематический подход к внедрению применим во всех случаях. Организация должна определить необходимость внесения изменений в существующую структуру менеджмента риска, спланировать и внедрить эти изменения и затем проводить непрерывный мониторинг результативности. Это позволит организации:

— привести существующий в организации менеджмент риска в соответствие с принципами и требованиями, установленными в ИСО 31000, пункт 3;

— применять процесс менеджмента риска, описанный в ИСО 31000, пункт 5;

— установить признаки улучшенного менеджмента риска в соответствии с A.3 приложения A ИСО 31000;

— достигнуть ключевых результатов (см. ИСО 31000, пункт 2).

Данный подход также применим к организациям, в которых достигнуто соответствие требованиям ИСО 31000, для выполнения требований ИСО 31000, пункты 4.6 и 5.6, относительно постоянного улучшения структуры и процессов менеджмента риска.

При внесении изменений в менеджмент риска организации рекомендовано использовать опыт других организаций по управлению аналогичными типами риска или аналогичными процессами.

3.3 Интеграция требований ИСО 31000 в процессы менеджмента организации

3.3.1 Общие положения

Стандарт ИСО 31000 устанавливает структуру и основной процесс менеджмента риска организаций всех типов и их отдельных частей. Рекомендации данного подраздела помогают интегрировать элементы ИСО 31000 в общий менеджмент организации, включая действия, процессы и функции. Организации могут интегрировать положения ИСО 31000 в существующие процессы и/или разработать и внедрить новый подход, основанный на ИСО 31000. В данном подразделе установлены основные элементы структуры, процесса и действий, необходимых для успешной интеграции этих элементов и достижения целей организации. Существует много способов внедрения стандарта ИСО 31000 в организации. Выбор и порядок внедрения элементов должны соответствовать потребностям организации и ее заинтересованным сторонам. Необходимо учесть, что менеджмент риска должен поддерживать общую стратегию управления бизнесом, т.е. помогать организации в достижении цели, защите бизнеса и создании дополнительной ценности организации. Следует также учитывать особенности культуры организации, а также методы управления изменениями и проектами.

Внедрение стандарта ИСО 31000 является динамическим итеративным процессом. Внедрение структуры связано с процессом менеджмента риска, описанным в пункте 5 ИСО 31000. Преимущества от внедрения можно получить от интеграции и постоянного улучшения менеджмента риска во всей организации.

Интеграцию следует рассматривать в условиях динамического изменения среды организации. Организация должна проводить мониторинг изменений, которые вызваны процессом внедрения, а также изменений внутренней и внешней среды. При этом может возникнуть потребность в изменении критериев риска.

3.3.2 Полномочия и обязательства

Все действия по управлению бизнесом обычно начинают с анализа их целесообразности, разработки этапов процесса и оценки экономической эффективности. Эти действия обычно основаны на решении высшего руководства и контролирующего органа о внедрении, выделении необходимых ресурсов и наделении ответственных лиц необходимыми полномочиями.

Обычно процесс внедрения включает следующее:

a) получение необходимых полномочий и принятие обязательств;

b) анализ слабых мест;

c) индивидуальную адаптацию и определение масштаба работ, на основе потребностей, культуры, создания и защиты ценности организации;

d) сравнительную оценку риска, связанную с переходом;

e) разработку бизнес-плана:

— установление целей, приоритетов и показателей;

— разработка экономического обоснования ситуации, включая соответствие целям организации;

— определение области применения, подотчетности, графика работ и ресурсов;

f) идентификацию условий внедрения менеджмента риска, включая обмен информацией с заинтересованными сторонами.

3.3.3 Проектирование и разработка структуры

3.3.3.1 Организация должна оценить существующие подходы к менеджменту риска, включая область применения, среду и культуру.

a) Необходимо провести анализ всех законодательных и обязательных требований, требований потребителей и требований сертификации, исходя из применяемых организацией стандартов. Цель этого этапа состоит в том, чтобы при проектировании и разработке структуры и плана внедрения менеджмента риска учесть индивидуальные особенности организации и адаптировать их в соответствии со структурой, культурой и общей системой менеджмента организации.

b) Важно рассмотреть процесс менеджмента риска и аспекты существующей структуры менеджмента риска, обеспечивающей этот процесс.

c) Необходимо установить соответствующие критерии риска. Критерии риска должны быть совместимы с целями и отношением организации к риску. При изменении целей необходимо соответственно изменять критерии риска.

Для проектирования и разработки новой структуры необходимо провести сравнительную оценку:

— принципов и альтернативных характеристик в соответствии с ИСО 31000;

— предыдущей структуры, оценка которой должна помочь сравнить особенности существующей практики менеджмента риска с требованиями следующих подразделов ИСО 31000:

— 4.3.2 (политика в области менеджмента риска);

— 4.3.3 (распределение ответственности и полномочий);

— 4.3.4 (интеграция в процессы организации);

— 4.3.5 (ресурсы);

— 4.3.6 и 4.3.7 (внутренний и внешний обмен информацией и отчетность);

— процесса менеджмента риска, путем сравнения элементов существующих процессов с требованиями пункта 5 ИСО 31000 и анализа основных принципов, которые лежат в основе и обеспечивают целесообразность процесса с точки зрения принципов, установленных в ИСО 31000, пункт 3 (например, применим ли данный процесс к принятию решений на всех уровнях и во всех подразделениях организации). Необходимо оценить:

— обеспечивает ли текущий процесс лицам, принимающим решения, необходимую информацию о риске, чтобы принятые решения были качественными и соответствовали целям организации или превышали их;

— достаточен ли существующий подход к менеджменту риска для управления связанными рисками и рисками, возникающими в нескольких местах.

3.3.3.2 Требования к проектированию и разработке структуры должны быть идентифицированы.

Организация должна на основе сравнительной оценки (см. 3.3.3.1) принять решение о том, какие аспекты текущего менеджмента риска:

a) можно использовать в будущем (распространить на другие типы принятия решений);

b) требуют исправления и улучшения;

c) больше не увеличивают ценность и должны быть исключены.

Организация должна разрабатывать, документировать способы управления риском и проводить обмен информацией о них. Объем и содержание внутренних стандартов, руководящих принципов и моделей, связанных с менеджментом риска, должны отражать культуру и среду организации.

В документах может быть определено следующее:

— риск, которым необходимо последовательно управлять во всей организации;

— разные уровни ответственности в области менеджмента риска;

— требования к компетентности и обязанностям всех лиц, ответственных за менеджмент риска;

— вовлеченные внутренние и внешние заинтересованные стороны посредством всестороннего обмена информацией и консультаций;

— информация о риске и результатах применения процесса менеджмента риска, которые должны быть последовательно и безопасно зарегистрированы, с соответствующим доступом к этой информации.

Организация должна проводить анализ требований менеджмента риска, необходимых методов, обучения и ресурсов через запланированные интервалы времени, при значимых изменениях организации и/или ее среды или в ситуации, когда в результате мониторинга и анализа идентифицированы пробелы или неэффективность работы.

3.3.3.3 Должны быть определены область применения, цели, задачи, ресурсы, показатели результативности и критерии мониторинга и анализа.

3.3.3.4 Должны быть установлены методы внутреннего и внешнего обмена информацией и отчетности.

3.3.4 Внедрение менеджмента риска

Необходимо разработать детальный план внедрения менеджмента риска, чтобы обеспечить осуществление последовательных изменений и требуемые ресурсы. План должен быть поддержан ресурсами, необходимыми для его выполнения, при этом бюджетирование должно стать частью процесса планирования.

План внедрения менеджмента риска необходимо проанализировать в соответствии с ИСО 31000:2009, пункт 5.4 результаты сравнения должны быть переведены в действия по обработке риска.

План должен помочь прослеживать действия по внедрению менеджмента риска и помочь обмену информацией с высшим руководством и контролирующим органом. План необходимо анализировать и пересматривать через запланированные интервалы времени.

План должен обеспечить:

— детальное описание конкретных действий, их последовательности, исполнителей и срока завершения. Эти действия могут включать внесение изменений во внутренние стандарты и руководства, возможности для разъяснения и обучения, внесение изменений в распределение ответственности и полномочий и отчетность;

— идентификацию всех действий, выполняемых как часть широкомасштабных действий, связанных с развитием организации, или действий, которые связаны иным способом (например, разработку учебного материала и требований к обучающим лицам);

— определение обязанностей по выполнению плана;

— способы обмена информацией о завершении, продвижении и проблемах в процессе работы;

— идентификацию и регистрацию критериев анализа плана.

Внедрение плана менеджмента риска может занять некоторое время до его завершения, поэтому план должен быть реализован последовательно. Целесообразно уделять первостепенное значение тем изменениям, которые оказывают наибольшее влияние на достижение поставленных целей. Внедрение плана менеджмента риска может быть проведено в различных подразделениях организации и на различных стадиях зрелости организации в области менеджмента риска. Внедрение плана менеджмента риска может быть выполнено более эффективно, если его выполнение объединить с другими программами изменений.

3.3.5 Мониторинг и анализ

Организация должна проводить прослеживание, анализ и регулярный (ежемесячный, ежеквартальный и т.п.) обмен информацией с высшим руководством о продвижении внедрения плана менеджмента риска.

Отчеты о выполнении плана менеджмента риска и предпринимаемых действиях необходимо регулярно валидировать после непредубежденного и объективного рассмотрения и анализа. Результаты анализа должны включать экспертизу структуры, процессов, риска и воздействия на окружающую среду.

Организация должна проводить периодический анализ стратегии выполнения, измерения продвижения и последовательности выполнения плана менеджмента риска, а также идентификации отклонений от этого плана. Анализ должен быть инициирован в случае, если идентифицированы критерии анализа, изложенные в плане.

Необходимо провести сравнительную оценку результативности изменений и управления риском, а также идентифицировать полученный опыт и возможности для улучшений.

О существенных проблемах при проведении мониторинга необходимо незамедлительно информировать ответственных лиц.

Полученные результаты необходимо заново рассмотреть на этапе определения области применения и других ранних этапах. Необходимо идентифицировать новые виды риска, изменения существующего риска, которые были обнаружены. Текущий статус структуры должен быть зарегистрирован для внедрения улучшений (см. ИСО 31000:2009, 4.6 и 5.7).

3.4 Постоянное улучшение

Структура менеджмента риска и процесс менеджмента риска должны быть проанализированы для оценки соответствия их структуры и содержания, а также оценки их влияния на повышения ценности организации в соответствии с поставленными целями. Если результаты анализа и мониторинга показывают, что могут быть осуществлены улучшения, то они должны быть внедрены как можно скорее.

Организации, внедрившие ИСО 31000, должны быть ориентированы на постоянный поиск и внедрение возможностей для улучшения. Действия, используемые в процессе перехода, также могут быть полезны для осуществления периодических проверок отклонений от процесса.

Существуют различные способы внедрения постоянного улучшения, включая следующие:

— обычный мониторинг и анализ структуры менеджмента риска и процесса менеджмента риска, которые идентифицируют возможности улучшения;

— новые знания, к которым получен доступ;

— существенные изменения во внутренней и внешней среде организации.

Приложение A

(справочное)

Основные концепции и принципы

A.1 Общие положения

В настоящем приложении приведено объяснение некоторых терминов и концепций (например, «риск»), применяемых в ежедневной практике, которые имеют особое значение в ИСО 31000 и настоящем стандарте.

ИСО 31000 определяет риск как «влияние неопределенности на цели».

Примечание — Целесообразно, чтобы пользователи настоящего стандарта ознакомились с терминами и определениями в данном приложении.

A.2 Риск и цели

Организации всех типов сталкиваются в своей работе с внутренними и внешними факторами и воздействиями, которые могут повлиять на срок и степень достижения поставленных целей. Воздействие неполной информации об этих факторах на цели организации является риском.

Цели, упомянутые в ИСО 31000 и настоящем стандарте, — это результаты, к которым стремится организация. Как правило, эти цели выражают намерения и стремления организации и отражают ее явные и неявные задачи, ценности и приоритеты с учетом социальных обязательств, законодательных и обязательных требований. Обычно управление риском становится более простым, если цели выражены в измеримых величинах. Часто бывает, что организация устанавливает разнообразные цели, при этом несогласованность целей может стать дополнительным источником риска.

Вероятность (шанс) — это не только возможность появления события, но и реализации последствий события, а также значимость последствий (положительных и/или отрицательных). Как правило, существует диапазон возможных последствий события, и каждому из них соответствует собственная вероятность. Уровень риска может быть выражен как вероятность возникновения особых последствий (включая диапазон). Последствия связаны непосредственно с целями и возникают, когда какие-то события происходят или не происходят.

Риск — это влияние неопределенности на достижение цели независимо от конкретной области или обстоятельств, поэтому событие или опасность (или другой источник риска) не должны быть описаны как риск. Риск должен быть описан как комбинация вероятности возникновения события (или опасности, или источника риска) и его последствий.

Понимание того, что у риска могут быть положительные или отрицательные последствия, является центральной и жизненно важной концепцией, которая должна быть понята руководством организации. Риск может принести организации опасности и/или возможности.

Риск может быть создан или изменен после принятия решения. Поскольку почти всегда существует некоторая неопределенность, связанная с принятием решений, то почти всегда существует риск. Ответственные за достижение целей должны понимать, что риск является неизбежной частью работы организации, при этом риск может возникнуть или измениться после принятия решения. Риск, связанный с принятием решений, должен быть понят при принятии решения, такой риск является преднамеренным. Это становится возможным при использовании процесса менеджмента риска, описанного в ИСО 31000.

A.3 Неопределенность

Неопределенность, которая вместе с целями вызывает риск, возникает во внутренней и внешней среде работы организации. Неопределенность может быть вызвана:

— последствиями основных социологических, психологических и культурных факторов, связанных с поведением человека;

— воздействиями естественных (природных) процессов, которые характеризуются присущей им изменчивостью, например, погоды, изменениями наблюдений в совокупностях;

— результатом неполной или неточной информации, например, из-за утерянных, измененных, ненадежных, внутренне противоречивых и/или недоступных данных;

— изменениями во времени, например, из-за конкуренции, трендов, новой информации, изменений основополагающих факторов;

— разным восприятием воздействия неопределенности в различных подразделениях организации и заинтересованных лиц.

A.4 Обработка и управление риском

Обработка риска — это действия, выполняемые организацией для изменения риска, которые позволяют достичь поставленных целей.

Обработка риска может изменить риск путем изменения источника опасного события (например, применение методов управления позволяет более точно определить вероятность реализации события) или изменения диапазона возможных последствий и места, где они могут произойти. Обработка риска в соответствии с ИСО 31000 является процессом, который направлен на изменение и/или разработку средств управления и включает сохранение риска.

A.5 Структура менеджмента риска

Структура менеджмента риска связана с действиями в рамках системы менеджмента организации (включая методы, процессы, системы, ресурсы и культуру), которые позволяют управлять риском.

Характеристики структуры менеджмента риска и степень ее интеграции в систему менеджмента организации в конечном счете определяют эффективность менеджмента риска.

Структура должна включать четкие заявления со стороны высшего руководства о намерении организации относительно менеджмента риска (описанные в ИСО 31000 как полномочия и обязательства) и поддержке (ресурсы и возможность), направленной на достижение этого намерения.

Возможности не существуют как единичная система или элемент. Возможности включают многочисленные элементы, интегрированные в общие процессы менеджмента организации. Они могут быть уникальными с точки зрения задач управления риском (например, создание специализированной информационной системы) и/или могут быть аспектами системы менеджмента организации (например, применение методов управления человеческими ресурсами).

A.6 Критерии риска

Критерии риска — это параметры, установленные организацией, которые позволяют описывать риск и принимать решения относительно уровня риска с учетом отношения организации к риску. Эти решения позволяют оценить риск и выбрать способы его обработки.

A.7 Менеджмент, менеджмент риска и управление риском

Менеджмент включает скоординированные действия, которые позволяют руководить и управлять организацией для достижения поставленных целей.

Менеджмент риска — это составной компонент менеджмента организации, поскольку включает скоординированные действия, связанные с воздействием неопределенности на поставленные цели. Именно поэтому для обеспечения результативности менеджмента риска необходима максимальная интеграция этого процесса в систему менеджмента и процессы организации.

Приложение B

(справочное)

Применение принципов ИСО 31000

B.1 Общие положения

Все организации управляют риском в той или иной степени, поэтому в стандарте ИСО 31000:2009 установлены одиннадцать принципов, которые необходимо внедрить для обеспечения эффективности менеджмента риска. В принципах менеджмента риска приведены:

a) разъяснения относительно эффективного управления риском (например, менеджмент риска создает и защищает ценность организации);

b) характеристики менеджмента риска, которые позволяют менеджменту риска быть эффективным (например, принцип b), который определяет, что менеджмент риска — неотъемлемая часть всех процессов организации).

В стандарте ИСО 31000 каждый принцип представлен в виде двух частей: краткого заголовка и его подробного разъяснения.

При разработке целей менеджмента риска организации необходимо учитывать все одиннадцать принципов, однако, значение отдельных принципов может быть изменено в соответствии с особенностями применения их в конкретной ситуации.

Успешное внедрение этих принципов влияет на результативность и эффективность менеджмента риска в организации. Всегда должны быть учтены все одиннадцать принципов, даже при том, что значение отдельных принципов менеджмента риска может быть изменено исходя из особенностей рассматриваемой части структуры и ее применения.

Несмотря на то, что принципы изложены кратко, значение каждого из них должно быть понято, чтобы обеспечить их непрерывное выполнение.

В дальнейшем результаты этого вида анализа должны быть учтены при разработке и/или улучшении структуры менеджмента риска (например, при распределении ответственности и полномочий, предоставлении обучения, обмене информацией с заинтересованными лицами, разработке и проведении непрерывного мониторинга и анализа реализации менеджмента риска).

В данном приложении приведено описание способов применения каждого принципа, при этом для некоторых из них приведены практические рекомендации по их применению.

B.2 Принципы

B.2.1 Менеджмент риска создает и защищает ценность

B.2.1.1 Принцип

a) менеджмент риска создает и защищает ценность.

Менеджмент риска наглядно способствует достижению целей и улучшению деятельности, например, обеспечения здоровья и безопасности людей, защиты соответствия законодательным и другим обязательным требованиям, общественного признания, защиты окружающей среды, качества продукции, менеджмента проектов, результативности функций, руководства и репутации.

B.2.1.2 Как применять принцип

Данный принцип помогает понять, что цель менеджмента риска состоит в создании и защите ценности организации, и помочь в реализации ее целей. Внедрение этого принципа необходимо, чтобы помочь организации идентифицировать факторы (внутренние и/или внешние), которые инициируют и создают неопределенность, воздействующую на достижение целей организации и управлять ими.

Взаимосвязь между результативностью менеджмента риска и достижением успеха организации необходимо явно продемонстрировать и довести до сведения всех вовлеченных сторон. Данный принцип разъясняет, что риском нельзя управлять ради него самого, но необходимо управлять ради достижения поставленных целей организации и их превышения.

Некоторые показатели и их значения трудно измерить (например, в денежном выражении), но они могут в значительной степени способствовать повышению производительности, улучшению репутации и соответствию законодательным и обязательным требованиям. Человеческие, социальные и экологические ценности особенно важны при управлении безопасностью и обеспечением здоровья людей и связанным риском, а также при управлении нематериальными активами, поэтому для описания таких ценностей необходимо использовать качественные, а не количественные показатели.

B.2.2 Менеджмент риска — неотъемлемая часть всех процессов организации

B.2.2.1 Принцип

b) Менеджмент риска — неотъемлемая часть всех процессов организации.

Менеджмент риска — не автономное действие, которое является отдельным от основных видов деятельностей и процессов организации. Менеджмент риска — часть обязанностей менеджмента и неотъемлемая часть всех организационных процессов, включая стратегическое планирование и процессы управления проектом и управления изменениями.

B.2.2.2 Как применять принцип

Действия организации, включая принимаемые решения, вызывают риск. Изменения во внешней среде, которые неподконтрольны организации, могут инициировать появления нового риска. Все действия и процессы организации происходят во внутренней и внешней среде, в которой присутствует неопределенность. Из этого следует, что:

a) структура менеджмента риска должна быть реализована путем интеграции ее компонентов в общую систему менеджмента и в процесс принятия решений организации, независимо от того, является система менеджмента организации документированной или нет; существующие процессы менеджмента могут быть улучшены путем внедрения положений стандарта ИСО 31000;

b) процесс менеджмента риска должен быть неотъемлемой частью действий, создающих риск; если риск понят организацией после принятия решения, то необходимо изменить принятое решение;

c) если документированной системы менеджмента организации не существует, то структура менеджмента риска может служить основой для ее создания.

Если менеджмент риска не интегрирован в другую деятельность и процессы менеджмента, то эта деятельность может быть воспринята как дополнительная административная задача или бюрократическое нововведение, которое не создает и/или не защищает ценность.

Существует два основных метода применения принципа:

— в процессе разработки (включая поддержку и улучшение) структуры менеджмента риска;

— при применении процесса менеджмента риска к принятию решений и связанным действиям.

Метод выражения намерений организации (т.е. полномочий и обязательств) в области менеджмента риска должен быть аналогичен выражению других намерений (см. приложение С). Везде, где применимо, компоненты структуры менеджмента риска должны быть включены в компоненты существующих систем менеджмента (см. приложение E и ИСО 31000).

Аудиторские компании могут играть важную роль при анализе способов принятия решения руководством, а также анализа применения процесса менеджмента риска.

B.2.3 Менеджмент риска — часть принятия решений

B.2.3.1 Принцип

c) Менеджмент риска — часть принятия решений.

Менеджмент риска помогает лицам, принимающим решения, сделать информированный выбор, расположить по приоритетам действия и сделать выбор между альтернативными планами действий.

B.2.3.2 Как применять принцип

Данный принцип показывает, что менеджмент риска лежит в основе принятия обоснованного решения. Менеджмент риска должен быть интегрирован в действия, поддерживающие достижение целей, и процесс принятия решений. В процессе принятия решений следует последовательно оценивать риск и, если необходимо, его обрабатывать. Принятие или непринятие решений включает риск и важно осознавать риск в обеих ситуациях.

Менеджмент риска должен быть частью принятия решения. Риск следует учитывать заранее (превентивно) до принятия решения, а не по факту принятия решения. Например, следующим образом:

— решения о стратегических проблемах должны учитывать неопределенность при изменениях факторов внешней среды и изменений ресурсов организации;

— процесс инноваций должен не только учитывать неопределенность, которая определяет успех инноваций, но также риск, связанный с человеческими, социальными, экологическими аспектами инноваций, требованиями безопасности и соответствия законодательным и обязательным требованиям (например, безопасность товаров);

— в планах относительно большого объема инвестиций должны быть определены этапы принятия решений, на которых следует проводить оценку риска.

В политике организации в области менеджмента риска и обмена информацией о нем должен быть отражен данный принцип.

В других частях структуры организации следует учитывать способ принятия решения, так чтобы процесс на всех этапах принятия решения был эффективным и последовательным, например, при управлении проектом, инвестиционной оценке или закупках.

Ответственные за принятие решений на всех уровнях и во всех подразделениях организации должны понимать политику в области менеджмента риска организации и должны обладать необходимой компетентностью, чтобы эффективно применять процесс менеджмента риска при принятии решений. При этом необходимо четко распределить ответственность и полномочия, обеспечить профессиональное обучение и проводить анализ выполнения работы.

Практическая помощь

Для достижения максимального эффекта от применения данного принципа необходимо с самого начала подробно ответить на следующие вопросы:

Как принцип может помочь создать и защитить ценность?

Как и где в организации принимают решения?

Кто вовлечен в принятие решений?

Какие знания и навыки необходимы для тех, кто принимает решения, чтобы сделать менеджмент риска частью принятия решений?

Как лица, принимающие решения, приобретают знания и навыки, в которых они нуждаются?

Какое руководство и поддержка необходимы для существующего персонала?

Как будущий персонал при введении в должность будет обучен методу принятия решений?

Как будут затронуты интересы внешних заинтересованных лиц?

Что необходимо изменить в процессах принятия решений в организации?

Как проводить мониторинг прогресса в реализации этого принципа?

B.2.4 Менеджмент риска явным образом связан с неопределенностью

B.2.4.1 Принцип

d) Менеджмент риска явным образом связан с неопределенностью.

Менеджмент риска четко учитывает неопределенность, характер этой неопределенности и способы ее обработки

B.2.4.2 Как применять принцип

Процесс менеджмента риска уникален среди других типов менеджмента тем, что связан с воздействием неопределенности на поставленные цели. Риск можно оценить и успешно обработать только в случае, если поняты особенности и источник неопределенности.

Организация должна рассмотреть неопределенность всех типов, при этом нельзя ее недооценивать или переоценивать.

Направленность на анализ неопределенности важна также при выборе способов обработки риска, анализе воздействия и надежности методов управления. Также следует учитывать неопределенность, связанную с поддержкой процесса менеджмента риска, например, оценки успешности передачи информации при проведении консультаций с заинтересованными сторонами или оценки достаточности выбранных интервалов мониторинга для выявления изменений.

Лица, вовлеченные в управление риском, должны понимать значение неопределенности, типы и источники неопределенности. Количество и виды методов оценки риска, направленных на снижение неопределенности, должны соответствовать важности принимаемого решения, при этом предпочтительно применять разнонаправленные методы.

Предположения, на основе которых приняты решения, должны быть зарегистрированы в процессе менеджмента риска (ИСО 31000:2009, пункт 5.7). Предположения обычно отражают некоторую форму неопределенности. Неопределенность, выявленная на различных этапах процесса, должна быть учтена.

При оценке риска важно оценить неопределенность, связанную с оценкой и ранжированием вероятности и последствий.

В процессе анализа риска и предполагаемой обработки риска необходимо исследовать чувствительность, т.е. фактическое влияние неопределенности на риск.

Практическая помощь

Лица, принимающие решения, должны, прежде всего, выяснить: «Каковы предположения в данном случае?» и «Как неопределенность связана с предположениями?». Эта практика не должна быть ограничена формальными оценками риска, например, она может быть применена при прогнозировании.

— При анализе внутренней и внешней среды организации при определении области применения, необходимо исследовать и учесть все особенности, связанные с высокой изменчивостью. Это источники неопределенности. Следует определить способы непрерывного мониторинга и анализа этих особенностей.

Если неопределенность существует только в пределах известного диапазона, то необходимо следить за значением неопределенности в данном диапазоне.

B.2.5 Менеджмент риска является систематическим, структурированным и своевременным

B.2.5.1 Принцип

e) Менеджмент риска является систематическим, структурированным и своевременным.

Систематический, регулярный и структурированный подход к менеджменту риска способствует эффективности и устойчивым, сравнимым и надежным результатам.

B.2.5.2 Как применять принцип

Последовательный подход к управлению риском в процессе принятия решения помогает обеспечить эффективность работы и создает атмосферу доверия и успеха в организации. Для этого необходимо применение организационных методов, которые позволяют учитывать риск, связанный со всеми принятыми решениями, и использовать последовательные критерии риска, связанные с достижением целей организации и соответствием области применения ее деятельности.

Своевременный подход показывает, что процесс менеджмента риска применен в оптимальной точке в процессе принятия решений. Частично, это зависит от разработанной структуры, к которой также применяют этот принцип. Если соображения относительно риска сделаны слишком рано или слишком поздно, а также если возможности, связанные со снижением риска, упущены, то могут потребоваться существенные затраты, связанные с пересмотром решения. Необходимо оценить и понять зависимость от времени учета риска, чтобы определить наиболее эффективный подход к менеджменту риска.

Структурированный подход подразумевает применение процесса менеджмента риска так, как описано в ИСО 31000:2009, пункте 5, включая подготовку к этим действиям. В зависимости от своих потребностей организация должна совместить принятые методы управления риска с методами менеджмента (например, метод снизу вверх или сверху вниз на соответствующем уровне менеджмента организации).

B.2.6 Менеджмент риска основан на наилучшей доступной информации

B.2.6.1 Принцип

f) Менеджмент риска основывается на наилучшей доступной информации.

Входные данные для процесса менеджмента риска основаны на таких источниках информации, как исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы и экспертные оценки. Однако лица, принимающие решения, должны принимать во внимание любые ограничения данных и моделирования, а также возможности расхождений мнений среди экспертов.

B.2.6.2 Как применять принцип

Для организации важно получить наилучшую доступную информацию, чтобы иметь правильное понимание риска. Следовательно, мероприятия менеджмента риска должны включать методы (например, исследование) сбора и генерирования информации. Однако, несмотря на предпринимаемые усилия, иногда доступная информация может быть ограничена, например, ожидания относительно будущих событий могут быть ограничены использованием методов статистического прогнозирования.

Организация должна понять чувствительность решений по отношению к неопределенности информации. Достоверность оценки риска зависит, частично, от точности и прецизионности критериев риска. Сбор данных, связанных с риском, (например, данных о возникновении инцидентов и другой информации, полученной на фактических данных) может помочь при статистическом прогнозировании.

На практике основной целью часто становится принятие решений на основе фактических данных, хотя это не всегда возможно по времени или доступным ресурсам. В таких ситуациях выводы на основе экспертных оценок необходимо объединять с доступной информацией. При этом необходимо избегать смещения в сторону экспертных оценок. Кроме того, на основе прошлых данных не всегда возможен точный прогноз. В ситуациях с потенциально высокими последствиями отсутствие информации может иметь немедленное действие, если есть доказательства возможного вреда, а не безусловного доказательства наличия вреда.

Этот принцип также применим при разработке (или улучшении) структуры менеджмента риска, поскольку существуют аспекты структуры, которые могут определить успех использования этого принципа. Например, аспекты, связанные с обеспечением возможности исследования или связанные со сбором, анализом, обновлением и доступностью информации, необходимой для осуществления процесса.

Достоверность и точность информации необходимо регулярно анализировать для обеспечения ее адекватности, своевременности и достоверности в соответствии с зарегистрированными предположениями. Необходимо обеспечить периодический анализ, а также пересмотр или коррекцию структуры менеджмента риска по проблемным вопросам.

Практическая помощь

При разработке и проектировании способов обмена информацией об инцидентах необходимо сначала тщательно рассмотреть цели использования информации. Определить, при решении каких вопросов может помочь эта информация, кто настоящие и будущие ее конечные пользователи, как необходимо сортировать информацию, как повысить степень совместимости информации, как можно получить доступ к информации. После ответа на эти вопросы целесообразно разработать форму отчетности с учетом воздействий изменений на качество полученной информации в долгосрочном периоде.

Необходимо описать область применения информации (включая регистрацию даты разработки или изменения), которая должна стать частью более подробных и документированных описаний ключевых рисков (например, реестра риска). Это позволяет пользователям реестра риска учесть изменения области применения, которые могут произойти впоследствии при возникновении изменений риска.

Если при оценке используют предположения, то пояснения относительно этих предположений, включая все ограничения, должны быть точно зарегистрированы и поняты.

При разработке способов обработки риска необходимо определить, как будет проводиться мониторинг применения средств контроля методов управления, как результаты мониторинга могут стать доступны лицам, принимающим решения и использующим такие средства.

B.2.7 Менеджмент риска является адаптируемым

B.2.7.1 Принцип

g) Менеджмент риска является адаптируемым.

Менеджмент риска должен соответствовать внешней и внутренней области применения (среде) и профилю риска.

B.2.7.2 Как применять принцип

В стандарте ИСО 31000 изложен общий подход к созданию менеджмента риска, применимый ко всем типам организаций и всем типам риска. Каждая организация имеет культуру, показатели, критерии риска и область применения деятельности. Менеджмент риска должен учитывать особенности организации и удовлетворять ее потребностям.

Нет никакого единственно правильного способа разработки и реализации структуры и процессов менеджмента риска, поскольку необходимы гибкость и адаптация для каждой организации. При разработке следует учитывать многие аспекты, включая размер, культуру, сферу деятельности, конфигурацию и стиль управления организации.

Различные виды риска могут потребовать разработки и применения различных специализированных процессов в организации. Процессы менеджмента риска должны соответствовать требованиям ИСО 31000, при этом могут быть различия в системах, моделях и уровне применяемых оценок риска (например, при оценке риска, связанного с информационными технологиями (ИТ), инвестиционного риска или риска, связанного с конкурентами). Каждый процесс должен быть адаптирован для определенной цели.

Основная цель структуры состоит в обеспечении применимости процесса менеджмента риска к принятию решений наиболее эффективным способом, который отражает политику организации. При этом в разработанной структуре необходимо отразить место и способы принятия решений, учесть законодательные требования или другие внешние обязательства организации.

Важно иметь в виду, что адаптация не подразумевает различия в элементах структуры (см. пункт 5 ИСО 31000:2009) или этапах процесса (см. пункт 5 ИСО 31000:2009). Все они важны для эффективного менеджмента риска.

Данный принцип важен во время разработки и улучшения структуры менеджмента риска, а также при определении способов структурирования аспектов процесса.

Данный принцип может также показать, что организация должна исследовать внутренние проблемы, например, текучесть кадров (если этот показатель высокий, то может потребоваться применение соответствующих средств корректировок, чтобы обеспечить выполнение всеми новыми работниками требований менеджмента риска).

Адаптивность структуры необходима для достижения интеграции с процессами принятия решений организации. При этом необходимо изменение процессов принятия решений, чтобы соответствовать модифицированной структуре менеджмента риска.

Практическая помощь

При разработке структуры менеджмента риска необходимо определить вовлеченных лиц и учесть их требования и потребности.

— Работа над более глубоким пониманием основных понятий ИСО 31000 может помочь обеспечить необходимые охват, структуру и процесс менеджмента риска в соответствии с альтернативными признаками эффективного менеджмента риска, приведенными в ИСО 31000:2009, приложение А. Наоборот, поверхностное понимание не приведет к этой цели.

B.2.8 Менеджмент риска учитывает человеческие и культурные факторы

B.2.8.1 Принцип

h) Менеджмент риска учитывает человеческие и культурные факторы.

Менеджмент риска признает возможности, восприятия и намерения людей за пределами и внутри организации, которые могут способствовать или затруднять достижение целей организации.

B.2.8.2 Как применять принцип

Данный принцип помогает учесть представления и потребности заинтересованных лиц. При этом необходимо понимать, что на такие представления и потребности могут оказывать влияние на социальные, культурные и иные характеристики. Анализируемые факторы должны включать социальные, политические и культурные аспекты, а также концепцию времени. Общие типы ошибок включают следующее:

a) отказ обнаружить ранние признаки опасности и реагировать на них;

b) безразличие к мнениям людей или отсутствие знаний о них;

c) использование упрощенных стратегий обработки информации и нежелание работать со сложными вопросами;

d) отказ признать сложность проблемы.

При разработке структуры и применении всех аспектов процесса менеджмента риска необходимо установить требования, чтобы понять и использовать в работе человеческие и культурные факторы.

Разработка структуры и обмен информации о риске должны учитывать культурные характеристики и уровни знаний аудитории.

Практическая помощь

Руководители должны своими действиями показывать, что они способствуют и поддерживают уважение и понимание индивидуальных различий людей.

Люди ценят, когда спрашивают их мнение.

Как правило, организации вознаграждают за то, что для них ценно. Если выбор, поощрение и вознаграждение работников напрямую не связаны с фактическим выполнением работ в области менеджмента риска, то маловероятно, что такая работа будет соответствовать стандартным требованиям к менеджменту риска. Усилия людей должны быть признаны и оценены.

Как правило, неблагоразумно полагаться только на единоличное управление, необходимо привлечение различных мнений, чтобы работать с риском.

Для транснациональных корпораций благоразумно признать значение культуры при определении поведения людей.

Практическая помощь

Ниже приведены примеры полезных вопросов относительно человеческих и организационных факторов:

Структура организации соответствует потребностям организации?

Формально ответственные лица точно идентифицированы?

Все должностные инструкции содержат точный перечень ответственности и полномочий работников?

Действительно ли все каналы обмена информацией точны и эффективны?

Иногда необходимо проверить правильность понимания и интерпретации обмена информацией на всех уровнях в организации?

Проводят ли в организации мониторинг морального климата?

Проводят ли анализ форм взаимодействия между командами?

Существуют ли способы получения и признания слухов, а также способы реагирования на них в организации, достаточно ли этих способов, чтобы не допустить отрицательного воздействия слухов?

Существует ли четкое определение, пересмотр и содействие политике?

Если в политике есть проблемы, необходим ли анализ процесса?

Придерживается ли организация политики и процедур? Если нет, необходим ли дополнительный анализ? Они внедрены в жизнь?

Привлекают ли внутренних и внешних аудиторов к выявлению опасного или неэтичного поведения работников в организации?

B.2.9 Менеджмент риска является прозрачным и учитывает интересы заинтересованных сторон

B.2.9.1 Принцип

i) Менеджмент риска является прозрачным и учитывает интересы заинтересованных сторон.

Соответствующее и своевременное вовлечение заинтересованных сторон и, в частности, лиц, принимающих решения, на всех уровнях организации обеспечивает, что менеджмент риска остается на надлежащем уровне и отвечает современным требованиям. Это позволяет заинтересованным сторонам быть должным образом представленными и быть уверенными в том, что их мнение принимается во внимание в процессе установления критериев риска.

B.2.9.2 Как применять принцип

Данный принцип может воздействовать на разных уровнях. Этот принцип может быть отражен в политике в области менеджмента риска организации (например, «Мы будем информировать и консультироваться с заинтересованными сторонами везде, где возможно, чтобы они понимали наши цели и могли выразить свои знания и представления, которые могут помочь при принятии решений нашей организации»).

Консультации с заинтересованными сторонами являются частью этапа внедрения процесса менеджмента риска и их необходимо планировать и относиться к этому очень аккуратно. Именно здесь доверие может быть построено или разрушено. Для обеспечения эффективности и повышения уверенности в результатах, соответствующие заинтересованные стороны должны быть вовлечены во все аспекты процесса менеджмента риска, включая разработку процесса консультаций и обмена информацией.

При внедрении данного принципа необходимо учитывать проблемы, связанные с конфиденциальностью, безопасностью и частной жизнью, например, доступ к отдельным пунктам реестра риска может быть ограничен.

Практическая помощь

При обучении менеджменту риска могут быть использованы ролевые игры, связанные с обучением обмену информацией и консультациям по подготовке кадров в области менеджмента риска.

Необходимо оценить самочувствие лиц, получающих информацию.

Необходимо обеспечить регулярную обратную связь, чтобы продемонстрировать эффективность процесса на практике.

Необходимо поощрять выявление новых мнений, эти мнения и представления следует поощрять, признавать, ценить, и везде, где применимо, необходимо обеспечить обратную связь о них.

B.2.10 Менеджмент риска является динамичным, итеративным и реагирующим на изменения

B.2.10.1 Принцип

j) Менеджмент риска является динамичным, итеративным и реагирующим на изменения.

Менеджмент риска непрерывно распознает изменения и реагирует на них. Как только происходит внешнее или внутреннее событие, область применения или знания изменяются, необходимо проводить мониторинг и пересмотр рисков, при этом новые риски появляются, некоторые изменяются, другие исчезают.

B.2.10.2 Как применять принцип

Все изменения в целях организации или аспектах внутренней или внешней среды неизбежно влияют на риск (например, внутреннее изменение структуры, появление нового главного поставщика или изменение в законодательстве). Аналогично изменения в области деятельности организации (например, приобретение другой компании, или заключение нового основного контракта) могут потребовать изменений в структуре менеджмента риска (например, в обучении). Процессы менеджмента риска должны быть разработаны с учетом динамики изменений организации (например, скорости изменения).

В стандарте ИСО 31000 изложено два режима мониторинга и анализа (для структуры и процесса). Каждый из них предназначен для своей цели и каждый требует осмысления и реализации.

Организация должна проводить мониторинг и анализ структуры для обеспечения соответствия принципам менеджмента риска, политике в области менеджмента риска и поддержки применения процесса принятия решений.

Необходимо включать мониторинг и анализ в каждый из основных этапов процесса менеджмента риска.

Организация должна проводить анализ своих методов управления риском, чтобы обеспечить их непрерывную результативность при реагировании на изменения. Например, эффективность методов управления зависит от их применения квалифицированными специалистами, поэтому при значимых изменениях в составе персонала такие средства могут стать неэффективными.

Организация должна тщательно адаптировать процессы мониторинга и анализа, в особенности они должны быть чувствительны к факторам изменения, которые могут оказать наибольшее воздействие. В процессе мониторинга и анализа необходимо оценить значения контролируемых показателей. При этом необходимо актуализировать такие показатели при возникновении изменений или новых обстоятельств.

Мониторинг и анализ — это уникальные виды деятельности (см. ИСО 31000:2009, пункты 4.5 и 5.6). Мониторинг связан с непрерывным наблюдением за основными параметрами для определения их соответствия установленным требованиям. Анализ проводят периодически, он должен быть структурирован относительно его цели и предназначен для определения актуальности предположений, на основе которых были приняты решения (т.е. разработана структура). Анализ должен также учесть внедрение новых знаний и технологий.

Практическая помощь

При применении процесса менеджмента риска и разработке заявления об области применения этого процесса, компоненты, которые наиболее вероятно подвергнутся изменению (например, особенности внешней среды), должны быть идентифицированы, следует также проводить мониторинг их изменения. Выявленные изменения могут потребовать переоценки отдельных или всех документированных рисков.

Работников необходимо поощрять, сообщать о беспокойстве по поводу существующего положения вещей (включая информацию о разоблачениях).

Даже небольшие организации должны учитывать глобальные изменения, например, глобальный финансовый кризис 2008 глубоко повлиял на некоторых небольших поставщиков, главными потребителями которых были организации, связанные прямо или косвенно с банкротством банка. Такие внешние события или обстоятельства могут потребовать превентивных изменений структуры менеджмента риска.

B.2.11 Менеджмент риска способствует постоянному улучшению организации

B.2.11.1 Принцип

k) Менеджмент риска способствует постоянному улучшению организации.

Организации должны разрабатывать и применять стратегии улучшения менеджмента риска одновременно с улучшением других аспектов своей деятельности.

B.2.11.2 Как применять принцип

Постоянное улучшение эффективности работы организации взаимосвязано с постоянным улучшением процесса менеджмента риска. Усовершенствованный процесс менеджмента риска, который основан на оценке риска принимаемых решений, может помочь снизить неопределенность в достижении целей, минимизировать изменчивость и повысить адаптивность организации. Однако необходимо следить, чтобы процесс менеджмента риска не был переусложнен. Менеджмент риска не должен проводиться на грани возможностей и гибкости реагирования.

Данный принцип особенно важен для организаций, которые опасаются использовать новые возможности для улучшения деятельности. Такие возможности могут возникнуть внутри (например, опыт реагирования на инциденты) или вне (например, появление новых инструментов и знаний, способных улучшить менеджмент риска) организации.

Данный принцип связан с непрерывным поиском возможностей повышения эффективности менеджмента риска, например, внедряя новые информационные технологии при принятии решений.

Цели постоянного улучшения должны быть установлены в политике в области менеджмента риска организации. Необходимо проводить непрерывный формальный и неформальный обмен информацией об этих целях. Постоянное улучшение может включать следующее:

— улучшение степени интеграции деятельности в области менеджмента риска в общую деятельность организации;

— повышение качества оценки риска;

— улучшение структуры, например, повышение качества и улучшение доступности информации;

— повышение скорости принятия решений.

Постоянное улучшение основано на использовании качественных и количественных показателях улучшения. Если в работе использованы поэтапные подходы и модели зрелости, то необходимо разработать показатели постоянного улучшения, которые основаны на ресурсах и культуре организации. Необходимо признать, что зачастую в основе успеха лежат многочисленные попытки человека добиться улучшения. Цели эффективного менеджмента риска направлены исключительно на повышение вероятности того, что организация полностью достигнет своих целей. Чем быстрее организация сможет достигнуть эффективного менеджмента риска, тем более эффективно она сможет достичь поставленных целей.

На практике, для достижения некоторых улучшений может потребоваться время, например, может возникнуть необходимость в дополнительном бюджетировании и планировании. При планировании улучшений необходимо расставить приоритеты, ранжировать выгоды и организовать проведение мониторинга реализации улучшений в организации.

Практическая помощь

При использовании мониторинга и анализа элементов структуры необходимо проводить ежегодный анализ выполнения принципов менеджмента риска и внедрения улучшений.

Организация должна оценить и проанализировать соответствие, пригодность и эффективность структуры менеджмента риска.

Необходимо использовать систему отчетности об инцидентах, чтобы провести анализ их причины. При этом необходимо исследовать не только текущие причины инцидента, но также провести анализ особенностей структуры менеджмента риска, которая позволила инциденту произойти.

Организация должна проводить мониторинг достижений (например, проект выполнен вовремя в рамках выделенного бюджета), чтобы понять, какие особенности структуры менеджмента риска позволили добиться успеха и могут быть использованы для укрепления успеха в будущем.

Приложение C

(справочное)

Способы выражения полномочий и обязательств

C.1 Общие положения

В данном приложении приведены руководящие указания и стратегии реализации полномочий и обязательств, а также способы обмена информацией о них в организации.

Для того чтобы полномочия и обязательства были эффективными, высшее руководство и контролирующие органы организации должны четко описать заинтересованным сторонам свой подход к менеджменту риска, документированию и обмену информацией о соответствующих полномочиях и обязательствах. Полномочия в области менеджмента риска, как правило, приводит к изменению в деятельности, культуре, политике, процессах и способах выполнения работ в области менеджмента риска, которые должны быть отражены в структуре менеджмента риска. Полномочия и обязательства могут быть изложены в кратком заявлении, которое должно быть широко распространено.

Разработка полномочий включает принятие решения о направлении действий и определение ответственных за их выполнение. В существующих организациях разработка полномочий влечет за собой изменения. При идентификации направления действий одновременно необходимо определить обязательства по их выполнению.

Полномочия и обязательства — это фундаментальная часть структуры менеджмента риска. Полномочия и обязательства должны быть частью менеджмента организации и структуры и должны быть учтены при их разработке.

Полномочия и обязательства должны отражать одиннадцать принципов менеджмента риска, изложенных в ИСО 31000:2009, пункт 3.

На практике полномочия и соответствующие обязательства организации могут быть выражены и восприняты явным и неявным способом. Неявные способы выражения (например, ежедневные действия высшего руководства и контролирующих органов, и способы действий, преобладающие в культуре организации), как правило, обеспечивают более сильный стимул, чем явные способы выражения (например, документированная политика в области менеджмента риска).

C.2 Методы представления полномочий и обязательств

C.2.1 Ключевые характеристики

Полномочия и обязательства должны соответствовать следующим критериям:

a) быть совместимыми со стратегическим планом, целями, политиками, способами обмена информацией и системой менеджмента организации;

b) быть совместимыми с критериями риска, определенными контролирующими органами;

c) соответствовать принципам ИСО 31000 и быть направленными на улучшение менеджмента риска в соответствии с ИСО 31000:2009 (приложение А);

d) обеспечивать простоту обмена информацией и проверку на понимание внутри и вне организации;

e) иметь обоснованные ожидания успешного выполнения;

f) быть ориентированными на обязанности владельцев риска.

Если существующие полномочия и обязательства организации в области менеджмента риска уже не соответствуют перечисленным критериям, следует провести явные и неявные необходимые изменения.

Пример — Если контролирующим органом или высшим руководством принято решение, в отношении которого была проведена оценка риска, это является признаком того, что организация приняла на себя обязательства по пониманию этого риска.

Существенной частью адаптации пересмотренных полномочий является разработка плана по изменению понимания требований. Цель этого плана состоит в обеспечении того, что полномочия и преимущества от их выполнения широко поняты, в них верят, а также то, что организация последовательно добивается осуществления этих полномочий. Действия организации, их сравнение с заявлениями о полномочиях имеют наибольшее воздействие на принятие их различными заинтересованными сторонами.

C.2.2 Установление политики и обязательств в области менеджмента риска и обмен информацией о них

Одним из основных способов выражения полномочий и обмена информацией о них явным способом является установление политики в области менеджмента риска и обмен информацией о ней. В ИСО 31000:2009, пункт 4.3.2 определено, что организация должна не только точно установить свою политику в области менеджмента риска, но также проводить обмен информацией о ней внутри и вне организации. В ИСО 31000:2009, пункт 4.3.2 также идентифицированы специальные положения, которые обычно отражены в политике в области менеджмента риска.

Способы выражения политики должны соответствующим образом учитывать принцип менеджмента риска g) (менеджмент риска должен быть адаптируемым) и быть совместимы с общим направлением развития организации. В противном случае политика в области менеджмента риска не может рассматриваться как часть общей системы, в которой работает организация.

Для более крупных организаций принятие политики обычно подразумевает разработку формального заявления о полномочиях в области менеджмента риска. Такая политика входит составной частью в общий набор политик и утверждается высшим руководством. Обмен информацией о политике в области менеджмента риска и усиление этой политики необходимо проводить посредством системы менеджмента организации.

Практическая помощь

Вовлечение высшего руководства и контролирующих органов и принятие ими соответствующих обязательств являются ключевыми факторами для успеха программ менеджмента риска. Организация должна рассмотреть следующие вопросы, которые помогают установить соответствующие полномочия и обязательства в области менеджмента риска:

Каковы стратегические цели организации? Действительно ли они ясны? Что является явным и неявным в этих целях?

Насколько высшее руководство понимает природу и значимость рисков, решение по которым оно готово взять на себя, и возможностей, которые оно готово использовать для достижения стратегических целей организации?

Готово ли высшее руководство установить ясное и понятное управление риском в организации?

Какие шаги высшее руководство сделало для обеспечения надзора за менеджментом риска?

При принятии решений руководители и работники понимают степень, до которой им (индивидуально) разрешено представлять организацию с учетом последствий события или ситуации? Отношение к риску должно быть основано на опыте, позволяющем принимать обоснованные решения с учетом риска.

Понимают ли руководители свой суммарный и связанный уровень риска и соответственно могут ли определить приемлемость риска?

Понимают ли высшее руководство и исполнительное руководство суммарный и связанный уровень риска для организации в целом?

Действительно ли специалистам и исполнительному руководству ясно, что отношение к риску не является постоянным? Оно может быть изменено под воздействием изменения конъюнктуры рынка и среды. При одобрении высшим руководством риска необходимо предусмотреть до некоторой степени гибкое отношение к его применению.

При принятии решения полностью ли исследованы последствия? Структура риска должна помочь руководителям, при этом руководители принимают на себя соответствующий уровень риска бизнеса с учетом потенциального вознаграждения.

Какие существенные риски высшее руководство готово принять на себя и какие возможности оно готово использовать? Какие существенные риски высшее руководство не готово принять на себя? Вне зависимости от политики в области менеджмента риска, эта политика должна действовать наравне с другими политиками организации.

Политика должна быть поддержана явными и неявными способами, правильно выражена и соответствовать шести критериям, установленным в C.2.1.

C.2.3 Укрепление приверженности

Высшее руководство и контролирующие органы должны продемонстрировать и укреплять приверженность организации полномочиям и обязательствам в области менеджмента риска с помощью соединения явных и неявных действий, включая следующие:

— прояснение того, что цели в области менеджмента риска могут быть связаны или не связаны с других целями менеджмента;

— прояснение того, что эффективность менеджмента риска связана с постановкой целей организации;

— обеспечение интеграции действий в области менеджмента риска, выполняемых в соответствии с полномочиями, в существующие процессы менеджмента, в том числе процессы стратегического менеджмента, проектирования и оперативной деятельности;

— требование проведения регулярного мониторинга и отчетности о структуре и процессах менеджмента риска организации, обеспечивающих их соответствие и эффективность;

— мониторинг адекватности понимания организацией видов своих рисков, соответствующих установленным критериям, и предпринятых действий по ликвидации последствий в случае несоответствия этим критериям;

— обеспечение принципа лидерства руководства, когда руководитель показывает пример своими действиями;

— возобновление обязательств и полномочий при изменениях сроков, событий и состава высшего руководства.

Стандарт ИСО 31000 может быть внедрен во всей организации или в ее части, например, во вспомогательных подразделениях.

C.3 Руководство по разработке полномочий и обязательств

Установленные полномочия в области менеджмента риска должны быть обдуманными и учитывать стратегические перспективы и результаты консультаций с контролирующими органами и высшим руководством. Это поможет обеспечить осуществление полномочий организацией.

Полномочия и обязательства необходимо анализировать на тактическом и стратегическом уровнях. Организация должна определить и оценить требования к компетентности, навыкам и опыту персонала, провести экспертизу их достижения.

Необходимо внимательно следить за изменениями, происходящими в соответствии с полномочиями в области менеджмента риска. Следить за тем, кто руководит изменениями, и кто нуждается в руководстве и/или поддержке. Иногда изменения могут быть радикальными (например, изменения в требованиях к работе, мониторинге функционирования и процессах управления), поэтому способность организации к изменениям может быть снижена. Изменения необходимо рассматривать в связи с другими изменениями, которые находятся на стадии реализации, и учитывать необходимость их интеграции.

Необходимо проводить консультации с работниками, которые будут в значительной степени затронуты изменениями, в особенности, лицами ответственными за отдельные направления менеджмента риска организации (например, обеспечение здоровья и безопасности людей, менеджмент безопасности). Смысл изменений должен быть понятен персоналу.

Полномочия должны быть четко сформулированы в программном заявлении, которое демонстрирует обязательства организации.

Практическая помощь

Некоторые способы достижения соответствия представлены ниже:

— рассмотрение способов разъяснения полномочий организации и того, как они подкрепляются дальнейшими действиями;

— рассмотрение сроков, влияющих на полномочия (необходимо уважать наравне с другими аспектами деятельности) организации, хотя до тех пор, пока структура менеджмента риска полностью не реализована, преимущества ее внедрения не будут полностью поняты, менеджмент риска не будет столь же эффективен, как мог бы быть);

— идентификация ключевых лиц, ответственных за инициирование необходимых изменений в подходе к менеджменту риска, руководство и внедрение действий по менеджменту риска;

— определение аспектов структуры и действий в области менеджмента риска, для которых необходим мониторинг со стороны высшего руководства, управление мониторингом и сбором и представлением такой информации;

— включение выполнения менеджмента риска в качестве регулярной повестки дня во все ключевые совещания и встречи высшего руководства;

— разработка эффективных методов обмена информацией о работе менеджмента риска (например, публикации информационного бюллетеня для персонала в стиле отчета по менеджменту риска);

— исследование критериев для начала проведения анализа полномочий со стороны руководства.

Приложение D

(справочное)

Мониторинг и анализ

D.1 Общее

D.1.1 Общие положения

Приложение содержит рекомендации по мониторингу и анализу структуры и процессов менеджмента риска в соответствии с ИСО 31000:2009, пункты 4.5, 4.6 и 5.6.

Мониторинг и анализ — два типа действий, направленных на определение достоверности предположений и решений. Эти методы используют для поддержки эффективности функционирования общей структуры менеджмента риска и отдельных этапов процесса менеджмента риска.

Мониторинг включает в себя наблюдение фактического выполнения и сравнение полученных результатов с ожидаемым или требуемым выполнением. Мониторинг включает непрерывную проверку или исследование, экспертное наблюдение, критическое обследование или непрерывное определение статуса, необходимое для идентификации отклонений от уровня выполнения (требуемого или ожидаемого), а также изменений области определения.

Анализ включает периодическую или внезапную проверку текущей ситуации, направленную на выявление изменений в среде, производственных и организационных методах работы. Анализ — это действие, предпринятое для определения пригодности, соответствия и результативности структуры и процесса для достижения поставленных целей. В процессе анализа необходимо рассмотреть результаты, полученные в процессе мониторинга.

Аудит — процесс систематического анализа на основе фактических данных на соответствие установленным критериям. Каждый аудит — это анализ, но не каждый анализ — аудит.

Мониторинг и анализ совместно помогают установить соответствие функционирования менеджмента риска ожидаемым показателям, необходимость улучшений, внедрение изменений, необходимость регулирования или пересмотра структуры или отдельных элементов процесса.

Мониторинг и анализ направлены на обеспечение разумной гарантии того, что риском соответственно управляют, идентифицируют недостатки менеджмента риска и возможности его улучшения. Мониторинг и анализ необходимы для обеспечения понимания организацией своих рисков в соответствии с критериями риска и отношением к риску. Мониторинг и анализ требуют применения системного интегрированного подхода к системе менеджмента организации в целом.

Действия по мониторингу и анализу, а также по результатам мониторинга и анализа, часто используют как систему, способную помочь обнаружить и исправить слабые места, прежде чем произойдут отрицательные воздействия или обеспечить уверенность в том, что уровень текущего риска соответствует критериям риска организации. Эти действия могут также быть использованы для предоставления внутренним и внешним заинтересованным сторонам разумной гарантии эффективности организации.

Риск может стать дополнительным фактором изменений во внутренней и внешней среде организации. Аналогично, мониторинг внешней среды может повысить готовность организации к изменениям, которые могут предоставить дополнительные возможности для улучшения работы или нововведений. При внимательном отношении к таким изменениям, выполнению работ, несоответствиям и ошибкам организация сможет идентифицировать возможности для улучшения структуры менеджмента риска и работы организации в целом.

Необходимо разработать на местах всестороннюю программу мониторинга и регистрации показателей риска при выполнении работ, которые должны быть интегрированы с другими показателями работы организации.

Программа должна помочь в создании системы раннего обнаружения неблагоприятных трендов, которые могут потребовать внедрения предупреждающих действий.

Мониторинг и анализ по отдельности могут быть направлены на индивидуальный риск или несколько связанных рисков. Они могут помочь фокусироваться на риске и/или методах его обработки или управления.

D.1.2 Ответственность за мониторинг и анализ

Общую ответственность за действия по мониторингу и анализу несут контролирующие органы и высшее руководство, а не органы контроля, например, подразделения по внутреннему аудиту. Полезным дополнением к процессу отчетности системы менеджмента могут стать функции обеспечения качества, независимый функциональный анализ и мониторинг выполнения обязательных требований, потому что эти действия обеспечивают альтернативные данные о процессе.

Действия по мониторингу и анализу могут быть рассмотрены с точки зрения иерархической структуры. При этом необходимо регулярно проводить действия по мониторингу и анализу на высших уровнях, что, при должной организации, обеспечивает самый высоких уровнях* результативности. Однако программа мониторинга и анализа должна включать все три элемента.

Программа мониторинга и анализа должна верифицировать внедрение и эффективность выполнения политики в области менеджмента риска. Способ реагирования высшего руководства на результаты программы мониторинга может повлиять на поведение работников. Очень важно, чтобы высшее руководство действовало как образец для подражания.

D.1.3 Независимость анализа

Независимость анализа, проводимого внутренними или внешними сторонами, вытекает из отношений проверяющего (аудитора) и нанимающей стороны.

Независимость — основа беспристрастности анализа и объективности выводов. Проверяющие и аудиторы должны быть независимы от проверяемых (контролируемых) настолько, насколько возможно. При этом аудиторы не должны допускать в работе предвзятости и конфликта интересов.

Для целей внутреннего аудита аудиторы должны быть независимы от руководителей проверяемых подразделений. Проверяющие и аудиторы должны стараться быть объективными на всех этапах процесса аудита, чтобы гарантировать, что результаты и заключения базируются только на доказательствах.

В небольших организациях часто достаточно трудно обеспечить полную независимость проверяющих и аудиторов от руководителей проверяемых подразделений, но необходимо приложить максимальные усилия, чтобы избежать предвзятости и конфликта интересов.

Независимость проверяющих и аудиторов помогает сделать проверки и аудиты эффективным и надежным методом поддержки политики в области менеджмента риска и методов управления. Это помогает организации получить необходимую информацию, на основе которой могут быть внедрены необходимые улучшения.

Такие проверки часто ориентированы на проверку соответствия стандартам (внутренним и/или внешним), процедурам или законодательным требованиям. В процессе проверок также рассматривают пригодность, результативность и эффективность методов управления, например, проверка действий в области менеджмента риска на соответствие принципам ИСО 31000.

Во многих организациях проводят анализ со стороны руководства и консультирование (например, силами советников по вопросам менеджмента риска, сотрудников службы контроля и менеджеров по качеству), в рамках которых проводят проверки. При этом о результатах внутреннего аудита, как правило, сообщают контролирующему органу и высшему руководству. Целью проведения анализа и проверок является обеспечение гарантий контролирующему органу и высшему руководству организации в том, что:

— критерии риска совместимы с целями и условиями работы организации;

— использован соответствующий систематический процесс для идентификации, оценки и обработки риска, и этот процесс непрерывно функционирует;

— проводят необходимую обработку недопустимого риска;

— применяют подходящие и эффективные способы управления для обработки недопустимого риска;

— планы обработки риска успешно внедряются.

Проведение независимого анализа не снимает и не снижает ответственности и обязанностей руководителей по проведению мониторинга и анализа на соответствующем уровне.

D.1.4 Получение необходимой информации

Как и для других аспектов менеджмента риска, в процессе мониторинга и анализа необходимо использование наилучшей имеющейся информации [см. принцип f),]*. Чтобы информация соответствовала цели, информация должна относиться к работе пользователей и быть достоверна. Полноценность информации повышается, если она сопоставима, поддается проверке, своевременна и понятна. Информация может быть получена из двух типов источников:

a) прямых данных: наблюдения и измерения фактических показателей или результатов процесса;

b) косвенных данных: измерения, полученные в процессе или в результате анализа.

Сочетание измерений из различных источников необходимо выбирать исходя из потребностей (в зависимости от доступности) или удобства (своевременность, стоимость и т.д.).

D.1.5 Отчетность о процессе анализа

Отчетность должна предоставить информацию контролирующим органам, высшему руководству и заинтересованным сторонам организации о соответствии риска критериям риска и наличии планов обработки риска, которые помогут достичь поставленных целей в области риска. Дополнительно отчетность может предоставить информацию о новых видах риска.

Весь набор информации о риске (например, в реестре риска) необходимо периодически обновлять. Тип и частота создания отчетов зависит от характера, размера и области применения оценки риска в организации.

В результате процесса анализа или аудита должен быть разработан отчет, в котором необходимо подвести итоги и сделать заключение об оценке соответствия установленным критериям. В отчете могут быть представлены рекомендации относительно улучшения системы на основе наблюдений проверяющих. Иногда проверяющий может дать предложения непосредственно по критериям риска. Действия по результатам анализа должны быть сосредоточены на улучшении системы и направлены на первопричины проблем.

D.1.6 Корректирующие действия и постоянное улучшение

Организация должна установить соответствующие процессы, чтобы обеспечить активное рассмотрение рекомендаций руководством организации и инициирование внедрения необходимых мероприятий. Необходимо довести до сведения контролирующих органов и заинтересованных сторон информацию предпринимаемых ответных действий и проводить мониторинг этих действий до их полного внедрения.

D.2 Мониторинг и анализ структуры

D.2.1 Общие положения

Целью мониторинга и анализа является поддержание структуры менеджмента риска в актуализированном состоянии. Структура направлена на элементы и процессы системы менеджмента организации, которые позволяют управлять риском.

В ИСО 31000:2009, пункт 4, приведено руководство о необходимых элементах структуры и их взаимосвязи с внутренней и внешней областью применения и средой организации.

Изменения могут происходить во внутренней или внешней области применения и среде организации, поэтому необходимо постоянно адаптировать структуру менеджмента риска, чтобы обеспечить ее постоянную эффективность.

Даже при отсутствии внутренних или внешних изменений, которые требуют изменений структуры, все равно необходимо обеспечить, чтобы в любое время структура функционировала, как запланировано. Для организаций, переходящих к применению ИСО 31000, может возникнуть необходимость проверки элементов структуры плана внедрения, чтобы обеспечить его корректное осуществление. Для организаций, которые уже внедрили ИСО 31000, необходимо обеспечить проверку наличия и непрерывного функционирования компонентов структуры, как запланировано.

D.2.2 Ответственность

При распределении обязанностей в области менеджмента риска руководители, ответственные за обеспечение регулярного анализа и мониторинга структуры на соответствие установленным показателям, ответственное лицо (например, руководитель высшего звена) или подразделение организации (например, отдел менеджмента риска) должны стать хранителями структуры, их ключевая ответственность должна состоять в том, чтобы обеспечить постоянную эффективность структуры.

D.2.3 Установление базового уровня

Организация должна установить базовый уровень менеджмента риска в организации. Этот уровень может быть описан различными способами, но должен включать:

a) элементы структуры (см. ИСО 31000:2009, пункт 4.3), которые обеспечивают возможность достижения поставленных целей;

b) степень поддержки, оказываемой контролирующими органами и высшим руководством, которая выражена через полномочия и обязательства в области менеджмента риска (которая часто выражается в форме политики в области менеджмента риска).

Предназначенная форма и архитектура структуры менеджмента риска должны быть зарегистрированы после разработки, а информация о них доступна, например, в виде таблицы (см. таблицу D.1). Это помогает создать основу или ориентир для сравнений, который может быть использован в процессе мониторинга и анализа.

Таблица D.1 — Пример таблицы перечня элементов структуры


Элемент	Область применения	Цели	Ключевые действия	Ответственность и график работ	Меры по внедрению	Статус выполнения
Ответст- венность	Уровень ответствен- ности	Поддержка текущей политики организации в области менеджмента риска	— Опреде- ление критериев; — создание отчетных документов; — делегиро- вание полномочий	— Издание политики; — разработка графика и матрицы ответственности; — дата следующего анализа	…	…
Ресурсы: Обучение	Организа- ционный уровень	Обеспечение элементов менеджмента риска для процесса обучения. Обеспе- чение доступности обновлений в процессе обучения	— Разработка рекомен- даций; — разработка программы обучения; — обеспечение обучения препода- вателей	— Разработка: менеджмента риска организации; — детализация: менеджмента подразделений — дата следующего анализа: хх/хх/хх	— Действие: ежемесячный отчет; — качество: опрос или аудит обучения	…

Организация должна установить показатели выполнения работ, которые связаны с целями организации и являются признаком результативности общей структуры менеджмента риска. Показатели выполнения, иногда называемые остаточными показателями, включают:

— инциденты, аварии и ошибки;

— фактические потери;

— несоответствия;

— жалобы потребителей;

— неуплаченный долг;

— готовность системы;

— степень достижения целей организации;

— степень достижения целей менеджмента риска.

D.2.4 Оценка изменений характеристик и среды организации

Организация должна установить наличие материальных изменений внутренней или внешней среды и области применения с момента разработки или изменения структуры менеджмента риска.

Практическая помощь

Внутренние характеристики, которые могут измениться, включают:

— структуру;

— методы управления и требования;

— политику, внутренние стандарты и модели;

— договорные требования;

— стратегические и операционные системы, затронутые внутренними или внешними факторами (например, изменение законодательных и обязательных требований);

— возможности и ресурсы (например, финансовый капитал, репутация, капитал, время, люди, процессы, системы и технологии);

— знания, навыки и интеллектуальная собственность;

— информационные системы и потоки;

— социальное, экологическое и культурное поведение;

— другие приоритеты и постулаты организации, которые могут быть восприняты как конкурирующие с намерениями организации в области менеджмента риска.

Ведущие показатели, которые могут указать на изменения во внешней среде и области применения, обычно определяют по отчетам и обзорам, которые отражают изменения и тренды в сфере промышленности, в которой работает организация.

Примеры включают:

— товарную оценку, показатели банковского процента, бонусы, обменные курсы, индексы фондового рынка, индекс потребительских цен (тренд);

— индекс (тренд);

— уровень или инциденты мошенничества в подобных организациях;

— объем рынка и потенциал роста, а также внезапные изменения в объемах заказов;

— политическую и социальную стабильность, социальное недовольство и активность.

Если область применения и среда организации изменились, то необходимо пересмотреть существующую структуру менеджмента риска с учетом выявленных изменений. Целью этого является подтверждение пригодности структуры и процессов установленным целям и приоритетам организации.

В результате анализа организация может изменить базовый уровень структуры менеджмента риска.

Пример 1 — Изменения в структуре организации могут потребовать пересмотра политики в области менеджмента риска и перераспределения ответственности и ресурсов для эффективного управления. Если размер организации увеличился, например, из-за слияния или приобретения компаний, то необходимо пересмотреть объем ресурсов, выделяемых на менеджмент риска, и провести подробный анализ всех различий в подходе к менеджменту риска между организациями. Может возникнуть необходимость разработать переходный план, который позволит внедрить все необходимые изменения, выявленные в результате анализа.

Пример 2 — Если появились новые законодательные требования, то аспекты структуры, связанные с ответственностью, обучением, получением информации или созданием отчетов, возможно, потребуют пересмотра или расширения.

D.2.5 Анализ структуры

Если в организации однажды уже проведена оценка характеристик, внешней среды и области применения, то необходимо провести более широкий, всесторонний анализ структуры, чтобы определить:

a) что выполнение плана менеджмента риска происходит как запланировано;

b) принятые структура и процессы работают как запланировано;

c) уровень риска находится в пределах установленных критериев;

d) менеджмент риска положительно влияет на основные цели организации;

e) соответствующие вовлеченные стороны получают достаточно отчетов, что позволяет им эффективно исполнять свои функции и обязанности в структуре управления;

f) персонал организации обладает достаточными навыками, знаниями и компетентностью в области менеджмента риска, чтобы выполнять возложенные обязанности;

g) ресурсов, выделенных на менеджмент риска, достаточно;

h) опыт, извлеченный из фактических результатов работ, включая потери, ошибки и возможности, изучен и из него сделаны необходимые выводы;

i) достигаются цели, установленные в области менеджмента риска.

Организация должна утвердить регулярный график анализа. Если обстоятельства изменяются, то график анализа необходимо изменить исходя из текущих целей, например, если последствия риска появляются внезапно или они очень серьезные.

Результаты такого анализа должны включать в себя:

— полный отчет о функционировании структуры менеджмента риска;

— отчет об этапах и прогрессе выполнения плана менеджмента риска (включая анализ всех задержек);

— общий отчет о зрелости организации в области риска в соответствии с передовым опытом;

— рекомендации о необходимых изменениях для улучшения качества менеджмента риска и его результативности в организации;

— актуализацию политики, целей и планов в области менеджмента риска по мере необходимости;

— актуализацию описания области применения и среды работы организации;

— отчет о трендах ключевых показателей риска;

— план действий по работе с изменениями, направленный на достижение целей в области менеджмента риска.

D.3 Мониторинг и анализ процесса

D.3.1 Общие положения

Цель мониторинга и анализа процесса менеджмента риска состоит в обеспечении того, что этот процесс:

— соответствует бизнесу организации;

— работает как запланировано.

Риски и соответствующие методы управления и обработки риска могут изменяться на протяжении длительного периода, ответственные за менеджмент риска должны знать о значении этих изменений. Отказ от обработки может привести к недопустимому риску. Кроме того, методы управления, цель которых состоит в выявлении недостатков и модификации риска, могут быть изменены с точки зрения их пригодности и результативности. Это связано с тем, что если не поводить* регулярный мониторинг и анализ риска, то его значение может стать недопустимым в соответствии с критериями приемлемого риска организации, а, следовательно, у организации, возможно, нет понимания ее рисков.

На основе результатов мониторинга и анализа необходимо вернуться к этапу установления области применения и среды и пересмотреть их. При этом следует сохранить основу для возобновления оценки риска путем обеспечения повторяющегося и динамического характера процесса менеджмента риска и разработки структуры менеджмента риска.

D.3.2 Ответственность

Мониторинг должен стать неотъемлемой частью менеджмента. Риск и методы его обработки должны быть подконтрольны ответственным за их мониторинг. Эта ответственность должна быть зарегистрирована в должностных инструкциях и соответствующих документах.

Организация должна разработать единые корпоративные показатели эффективности менеджмента риска, которые должны отражать диапазон ключевых критериев, на основе которых работники могут проводить документальный анализ, например показателей, которые могут учесть финансовые аспекты, требования заинтересованных сторон, внутреннюю эффективность, а также задачи по обучению и росту. Фактическая эффективность работ по отношению к перечню показателей может быть измерена на всех уровнях организации и результаты измерений направлены ответственным лицам.

Организация должна проводить мониторинг планов обработки риска, чтобы удостовериться в их успешной и своевременной реализации.

D.3.3 Изучение полученного опыта

Организация должна учиться на своих ошибках, включая потери, отклонения, несоответствия и возможности, которые были идентифицированы заранее, но на них не отреагировали.

При таком анализе необходимо ответить на следующие вопросы:

Что произошло?

Как и почему получен такой результат?

Нужно ли пересмотреть изначальные предположения?

Какие ответные меры были предприняты (или не предприняты)?

Вероятность повторного получения такого результата?

Каковы все дополнительные ответные меры или предпринятые действия?

Ключевые пункты, которые должны быть изучены и лица, которые должны быть информированы о них.

D.3.4 Мониторинг

D.3.4.1 Существуют следующие типичные подходы к мониторингу:

а) Владельцы риска могут исследовать среду для наблюдения за изменениями в области применения и среды. Частота таких исследований зависит от уровня риска и динамики изменений среды. В некоторых случаях достаточно разработать отчетность по отклонениям от установленных показателей. Владелец риска сравнивает соответствующие внешние или внутренние факторы с областью применения, чтобы определить, произошли ли изменения. При этом необходимо обеспечить регулярный обмен информацией и консультации с заинтересованными сторонами, чтобы определить, не изменились ли их взгляды или цели.

b) Владельцы риска проводят мониторинг планов обработки риска на предмет своевременности действий и адекватного реагирования на изменения среды.

c) Владельцы средств контроля несут ответственность за мониторинг состояния средств контроля и проводят их периодическую проверку или непрерывный мониторинг. Наибольшей эффективности менеджмента риска можно добиться тогда, когда он полностью интегрирован в процесс принятия решений и систему менеджмента организации. Необходимо использовать управление эффективностью, чтобы проводить мониторинг риска и результативности процесса менеджмента риска. Показатели эффективности должны отражать диапазон ключевых целей организации, установленных в начале процесса менеджмента риска при определении области применения менеджмента риска. Такие показатели эффективности могут быть разработаны в отношении определенных видов риска, методов управления и применения процесса менеджмента риска.

Примечание — При работе с риском желательно, чтобы средства контроля также принадлежали ответственному за их работу. Обычно владелец или оператор, работающий со средством контроля не является владельцем риска. Это не затрагивает общую ответственность владельца риска по обработке риска и разработке, внедрению, применению, мониторингу и оценке соответствующих средств контроля.

D.3.4.2 Показатели эффективности могут помочь измерению результатов (например, определять потери или доходы) или показателей процессов (например, своевременное завершение планов обработки риска). Обычно используют набор различных показателей, но показатели эффективности обычно не указывают причины изменений. Поэтому в условиях быстро изменяющейся среды показатели процесса могут стать более полезными.

При выборе показателей важно проверить, что:

— они измеримы;

— их использование эффективно с точки зрения требований своевременности, усилий и ресурсов;

— процесс измерений или наблюдений поощряет или облегчает желательные действия и не мотивирует к нежелательным действиям (например, фальсификацию данных);

— вовлеченные лица понимают процесс и ожидаемую выгоду, а также имеют возможность участвовать в разработке показателей;

— результаты измерены, работа проанализирована и доведена до заинтересованных лиц в форме, которая облегчает изучение опыта и улучшение организации.

D.3.4.3 При применении управления эффективностью к процессу менеджмента риска, нужно отметить, что:

— измерение эффективности требует ресурсов, которые должны быть идентифицированы и выделены при разработке показателей эффективности;

— некоторые действия в области менеджмента риска трудно измерить, но это не делает их менее важными. В этом случае можно использовать замещающие показатели, например, ресурсы, выделенные на деятельность в области менеджмента риска, могут быть заместительной мерой приверженности эффективному менеджменту риска;

— разница между данными измерений по показателям эффективности и инстинктивным представлениям о фактическом состоянии очень важна и должна быть исследована, например, если руководители не заинтересованы в менеджменте риска из-за низкого (по оценкам) уровня риска, то все равно проблему необходимо исследовать и не отклонять;

— внезапное ухудшение показателей обычно привлекает внимание, однако прогрессивное ухудшение показателей может быть столь же проблематичным, поэтому необходимо проводить мониторинг и анализ трендов показателей эффективности.

D.3.5 Анализ со стороны руководства

Необходимо регулярно проводить анализ со стороны руководства процессов, систем и действий для обеспечения того, чтобы:

a) новые риски не возникали;

b) методы управления и обработки риска оставались соответствующими и эффективными.

Такой анализ со стороны руководства необходимо проводить в соответствии с утвержденной программой (например, на основе подхода, установленного в ИСО 19011).

В процессе анализа со стороны руководства могут быть использованы методы, аналогичные непрерывному мониторингу, при этом целесообразно, чтобы для обеспечения более объективного анализа их проводило лицо, непосредственно не вовлеченное в процесс. Периодичность анализа может быть установлена исходя из уровня риска, цикла бизнес-планирования, динамики изменения среды или совещаний контролирующего органа, ответственного за менеджмента* риска.

Если обнаружены проблемы, организация должна рассмотреть, как они появились и почему они не были обнаружены ранее.

Обеспечение средствами контроля лежит на ответственных руководителях (владельцах риска) и является частью их обычных функций и обязанностей. Выделение специальных средств контроля владельцам средств контроля облегчает их внедрение, но применение специальных средств контроля может потребовать дополнительного обучения персонала. Если запланированы изменения в организации или обнаружены внешние изменения, то могут произойти изменения:

— во внешней или внутренней среде, заинтересованных сторонах и их взглядах;

— области применения менеджмента риска, целях и критериях риска организации;

— видах и уровнях риска;

— необходимости обработки риска;

— влиянии и результативности методов управления риском.

При разработке или пересмотре бизнес-планов или стратегических планов для организации очень важно проводить анализ со стороны руководства видов риска, обработки риска и методов управления риском. В этом случае могут быть разработаны или пересмотрены цели организации, поэтому целесообразно использовать процесс оценки риска для анализа предварительных вариантов планов, чтобы обеспечить достижимость целей и определить соответствующие мероприятия по обработке риска. Лица, ответственные за выполнение процесса менеджмента риска, должны регулярно проводить анализ событий, продукции и результатов, чтобы идентифицировать возможности для улучшения.

Приложение E

(справочное)

Интегрирование менеджмента риска в общую систему менеджмента

E.1 Общие положения

Менеджмент риска — неотъемлемая часть системы менеджмента организации. В стандарте ИСО 31000 организациям рекомендовано разработать, внедрить и непрерывно улучшать структуру менеджмента риска, целью которой является объединение менеджмента риска в систему менеджмента организации (включая управление и стратегию). Интеграция должна обеспечить, чтобы информация о риске использовалась для принятия решений на всех уровнях организации. Люди и организации управляют риском каждый день, когда они принимают решения. Менеджмент риска уже естественно присутствует в ситуации, когда мы решаем сделать что-то. Кто-то это делает лучше, кто-то хуже, но все могут улучшить качество менеджмента риска и принятия решений, что приводит к улучшению способов достижения целей и повышению доверия. Если целью интеграции менеджмента риска является повышение ценности, то вполне логично воздействовать на то, что уже существует вместо того, чтобы заменять существующее чем-то другим. При этом нелогично добавлять что-то или принуждать к иному способу действий, если что-то уже происходит как естественная функция принятия решений.

Интеграция не просто включает внедрение установленных и стандартизированных методов и процессов менеджмента риска в существующую систему(ы) менеджмента, а требует адаптации и изменений методов и процессов для удовлетворения потребностей лиц, принимающих решения, и подстроить их под существующие процессы принятия решений.

В настоящем приложении приведены некоторые практические примеры того, как менеджмент риска может быть интегрирован в существующую систему(ы) менеджмента.

E.2 Что такое система менеджмента?

Все организации используют определенную систему менеджмента. Недавно формализованные системы менеджмента, состоящие из множества требований, были созданы, чтобы служить основой, в соответствии с которой организация может установить практику и процедуры управления работой. Существует много международных и национальных стандартов, которые описывают систему менеджмента в целом или ее отдельные элементы.

Система менеджмента — это ряд взаимосвязанных или взаимодействующих элементов организации, направленных на установление политики и целей, а также процессов достижения этих целей. С точки зрения управления бизнесом, достичь большей эффективности возможно при внедрении интегрированной системы менеджмента.

Например, менеджмент качества, описанный в ИСО 9001, содержит эффективный подход к удовлетворенности потребителя, в то время как менеджмент риска работает с воздействиями неопределенности на цели, которые могут относиться не только к потребителям, но также и другим заинтересованным лицам. Многие организации внедрили систему менеджмента качества, основанную на требованиях ИСО 9001, поэтому менеджмент риска может быть интегрирован в такую систему менеджмента путем разработки совместных действий, избегая дублирования.

E.3 Интегрированная система менеджмента и менеджмент риска

Кроме интеграции менеджмента риска в процессы основного бизнеса, существует потребность в разработке взаимодействия между всеми подходами системы менеджмента, например, менеджментом качества, экологическим менеджментом, системой техники безопасности, менеджментом безопасности, оценкой соответствия, финансовым менеджментом и даже со страховым менеджментом, связанным с событиями, которые могут быть в финансовом отношении переданы другим организациям.

Отдельные системы менеджмента должны сформировать интегрированную систему менеджмента, основанную на политике и стратегии всей организации. Если организация имеет отдельные системы менеджмента для управления особыми рисками, структура менеджмента риска должна быть распространена и на другие системы.

Такой подход к менеджменту риска может помочь:

a) повысить ориентированность высшего руководства на стратегические цели организации;

b) обеспечить обработку всех рисков в интегрированной системе менеджмента в соответствии с принципами и руководящими указаниями ИСО 31000.

Этот подход может включать следующее:

— применение в системе менеджмента качества методов менеджмента риска, связанных с менеджментом риска проекта и продукции;

— работу с неопределенностью в экологическом менеджменте, например, работу с инцидентами и потенциальными авариями, деятельность в опасном помещении, утилизацию опасных материалов и веществ;

— интегрирование обработки риска в функциональную деятельность, такую как обеспечение безопасности работ;

— обработку риска, связанного с угрозой безопасности, например насильственными действиями против организации, ее служащих или потребителей;

— работу с рисками, связанными с информационными технологиями (ИТ), например, прерывания ИТ-операций, потери данных, нарушения конфиденциальности и обеспечения непрерывности бизнеса;

— управление риском, связанным с обеспечением непрерывности бизнеса, гарантирующим быстрое реагирование на опасные события и инциденты;

— установление средств контроля, направленных на защиту активов организации, обеспечение правильной отчетности, обеспечение соответствия законодательным и обязательным требованиям или управление страховым риском для снижения страховой премии.

E.4 Внедрение менеджмента риска в структуру системы менеджмента качества

E.4.1 Общие положения

Процесс менеджмента риска должен быть интегрирован в процессы принятия решений организации, независимо от уровня и функционального подразделения, в которых приняты эти решения.

E.4.2 Идентификация и понимание принятия решения

Следующие методы помогают понять, когда и где решения принимают, в соответствии с циклом «Планируй — Делай — Проверяй — Действуй» (PDCA).

a) Идентификация всех форм формализованных методов принятия решений, существующих в организации. В крупных организациях используют многочисленные процедуры, которые требуют формального одобрения широкого диапазона решений, например, одобрения ежегодного стратегического плана, капиталовложений, нового штата, модификации управлений процессом, перемещение штата.

b) Использование блок-схем или других методов, позволяющих нанести на карту основные методы принятия решений и последовательности их реализации, применяемых к определенным проектам и ко всем аспектам бизнеса. Этот метод позволяет рассмотреть процесс принятия решений по подразделениям или по основным функциям и должен быть применен при разработке проекта принимаемого решения. Если в организации существуют действия, управление которыми осуществляется с применением формализованной системы менеджмента (например, руководства по применению ИСО 9001), то принятие решения в таких системах должно стать частью этого анализа. Точно так же, если в организации существует делегирование полномочий по принятию решений, то такое делегирование должно быть включено в анализ. В результате должна сложиться последовательная и документированная система того, где решения приняты, кто принимает решения, и какие существуют процессы, вовлеченные в такие решения.

Сочетание вышеупомянутых методов должно повысить степень организационного и личного понимания процесса принятия решений.

E.4.3 Оценка риска

При принятии некоторых решений (например, разработка и реализация новой продукции или планирование и внедрение основного проекта) уместно включать формальную оценку риска в различные стадии проекта. Например, в большинстве проектов существует много точек принятия решений, таких как выполнение, экономическое обоснование, бюджетирование, планирование, внедрение и передача. В каждой из этих точек формальная оценка риска необходима при выборе варианта принятия решений. Это увеличивает вероятность успешного выполнения проекта и повышает его эффективность. Для оценки риска производственных решений для использования вовлеченным персоналом могут быть разработаны простые стандартизированные формы процесса менеджмента риска. Такие методы особенно подходят в ситуациях, где персонал работает без непосредственного контроля. Ключевым компонентом этих методов принятия решений является понимание использованных предположений. По определению, предположения — источник неопределенности.

Такие стандартизированные процессы менеджмента риска могут быть определены для различных типов принятия оперативных решений, отдельных групп работников, выполняющих особую задачу и конкретной среды, где они происходят. Простые системы могут быть закодированы в карманном, проверочном контрольном листе и выданы вовлеченному персоналу.

E.4.4 Внедрение в структуру менеджмента риска

Выполнение методов, приведенных ниже, требует регулирования и пересмотра структуры менеджмента риска, например:

— внесения поправок в политику в области менеджмента риска организации;

— организации мероприятий, направленных на выполнение первоначального анализа и картографии практики принятия решений;

— внесения поправок в руководящие процедуры;

— обучения менеджеров и вовлеченного персонала;

— специального обучения персонала, выполняющего работу в соответствии с определенной системой менеджмента (например, персонала, работающего с особыми типами риска);

— регулирования гарантийной системы организации и системы информирования о менеджменте риска;

— обеспечения результативного внутреннего обмена информацией и консультаций.

Приложение ДА

(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА.1


Обозначение ссылочного международного стандарта	Степень соответствия	Обозначение и наименование соответствующего национального стандарта
ISO 31000:2009	IDT	ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство»
Примечание — В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов: — IDT — идентичный стандарт.

__________________

Действует ГОСТ Р ИСО 31000-2019.

Библиография


[1]	ISO 9000, Quality management systems — Fundamentals and vocabulary
[2]	ISO 9001, Quality management systems — Requirements
[3]	ISO 19011, Guidelines for auditing management systems
[4]	ISO Guide 73:2009, Risk management — Vocabulary
[5]	IEC 31010, Risk management — Risk assessment techniques


УДК 658.562.012:006.354		ОКС 03.100.01

Ключевые слова: менеджмент риска, риск, управление риском, принципы менеджмента риска, процесс менеджмента риска, мониторинг риска, неопределенность

Источник

Утвержден и введен в действие

Приказом Федерального агентства

по техническому регулированию

и метрологии

от 12 сентября 2017 г. N 1060-ст

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ РИСКА

РУКОВОДСТВО ПО ВНЕДРЕНИЮ ИСО 31000

Risk management. Guidance for the implementation

of ISO 31000

(ISO/TR 31004:2013 Risk management — Guidance

for the implementation of ISO 31000, IDT)

ГОСТ Р 51901.7-2017/ISO/TR 31004:2013

Группа Т59

ОКС 03.100.01

Дата введения

1 декабря 2018 года

Предисловие
Введение
1 Область применения
2 Нормативные ссылки
3 Внедрение ИСО 31000
ОСНОВНЫЕ КОНЦЕПЦИИ И ПРИНЦИПЫ
ПРИМЕНЕНИЕ ПРИНЦИПОВ ИСО 31000
СПОСОБЫ ВЫРАЖЕНИЯ ПОЛНОМОЧИЙ И ОБЯЗАТЕЛЬСТВ
ИНТЕГРИРОВАНИЕ МЕНЕДЖМЕНТА РИСКА В ОБЩУЮ СИСТЕМУ МЕНЕДЖМЕНТА ОРГАНИЗАЦИИ
СВЕДЕНИЯ О СООТВЕТСТВИИ ССЫЛОЧНЫХ МЕЖДУНАРОДНЫХ СТАНДАРТОВ НАЦИОНАЛЬНЫМ СТАНДАРТАМ
БИБЛИОГРАФИЯ

Источник

Текст ГОСТ Р ИСО 28004-2-2019 Системы менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 2. Руководство по внедрению ИСО 28000 в морских портах, относящихся к среднему и малому бизнесу

ГОСТ Р ИСО 28004-2-2019

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Системы менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000

Часть 2

РУКОВОДСТВО ПО ВНЕДРЕНИЮ ИСО 28000 В МОРСКИХ ПОРТАХ, ОТНОСЯЩИХСЯ К СРЕДНЕМУ И МАЛОМУ БИЗНЕСУ

Security management systems for the supply chain. Guidelines for the implementation of ISO 28000. Part 2. Guidelines for adopting ISO 28000 for use in medium and small seaport operations

ОКС 03.100.01

Дата введения 2020-07-01

Предисловие

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией «Международный менеджмент, качество, сертификация» (АНО «ММКС») совместно с Обществом с ограниченной ответственностью «Палекс» и Ассоциацией по сертификации «Русский Регистр» на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. N 1437-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 28004-2:2014* «Системы менеджмента безопасности для цепи поставок. Руководство по внедрению ИСО 28000. Часть 2. Руководство по применению ИСО 28000 для использования операторами морских портов малого и среднего размера» (ISO 28004-2:2014 «Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations», IDT)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. — .

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации«. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт подготовлен на основе ИСО 28004-2:2014. Настоящая часть серии стандартов ИСО 28004 является руководством и способствует информированию средних и малых морских портов, желающих внедрить ИСО 28000. Дополнительная информация предназначена для улучшения, но не изменения общего руководства, в настоящее время определенного в ИСО 28004.

Никаких изменений в ИСО 28004-2 не внесено, кроме дополнений справочного характера.

Настоящий стандарт обеспечивает взаимосвязь с другими стандартами ИСО и соответствующими техническими спецификациями.

Существует несколько установленных и ожидающих рассмотрения соответствующих стандартов ИСО, которые вместе с этой частью ИСО 28004 предоставляют дополнительные указания и инструкции для операторов морских портов для составления их планов мер по обеспечению управления безопасностью и оценки способности этих мер защищать целостность цепи поставок грузов, находящихся под их непосредственным контролем. Стандарты ИСО 20858, ИСО 28001, ИСО 28002, ИСО 28003, включая серию стандартов ИСО 28004, упоминаются в ИСО 28004-2 и предназначены для предоставления операторам конкретных указаний. Соответствие этих стандартов ИСО 28000 представлено в таблице 1.

Таблица 1 — Соответствующие стандарты ИСО


Стандарт ИСО	Техническое описание
ИСО 28004-1	Предоставляет руководство для органов по сертификации по оценке соответствия организации требованиям ИСО 28000
ИСО 20858	Предоставляет интерпретацию профессионального Международного кодекса по охране судов и портовых средств (IMO ISPS) и руководство по оценке плана управления безопасностью порта и установленным операционным процедурам
ИСО 28001	Содержит требования по безопасности, отвечающие основным требованиям безопасности Программы уполномоченных экономических операторов Всемирной таможенной организации (ВТамО)
ИСО 28002	Предоставляет руководство по разработке мер повышения устойчивости цепи поставок организации
ИСО 28003	Предоставляет руководство для органов по сертификации по оценке соответствия организации требованиям ИСО 28000

1 Область применения

В настоящем стандарте определены возможные риски и угрозы в цепи поставок, процедуры для проведения оценки риска/угроз и критерии оценки соответствия и результативности документированных планов управления безопасностью в соответствии с ИСО 28000 и руководящими принципами внедрения серии стандартов ИСО 28004. Результатом этих усилий станет система оценки уровня доверия, основанная на качестве системы менеджмента безопасности, реализуемой морским портом для обеспечения безопасности и непрерывности деятельности цепи поставок грузов, обрабатываемых морским портом. Рейтинговую систему следует использовать в качестве средства определения измеримого уровня достоверности того, что операции по безопасности морского порта соответствуют требованиям ИСО 28000 для защиты целостности цепи поставок.

Организации, выбирающие сертификацию третьей стороной, могут дополнительно продемонстрировать, что они вносят значительный вклад в безопасность цепи поставок.

2 Обзор

2.1 Цель

Целью настоящего стандарта является предоставление руководства по внедрению ИСО 28000 средним и малым портам. Это руководство содержит критерии самооценки, которые могут быть использованы этими портами при внедрении ИСО 28000. Хотя критерии самооценки не приведут к сертификации третьей стороной, их можно использовать для определения жизнеспособности плана управления безопасностью заинтересованной стороны порта для обеспечения целостности цепи поставок в соответствии с положениями и рекомендациями по безопасности, указанными в ИСО 28000 и серии стандартов ИСО 28004. Цель состоит в том, чтобы разработать рейтинговую шкалу оценки риска, которую можно использовать для оценки способности плана управления безопасностью порта обеспечивать непрерывную защиту и непрерывную работу цепи поставок груза, получаемого, хранящегося и передаваемого морским портом. Использование этих критериев самооценки позволит определить, соответствует ли морской порт каждому требованию ИСО 28000 с достаточной степенью детализации.

2.2 Предпосылки

Международный кодекс безопасности судов и портовых средств (ISPS) требует, чтобы каждый морской портовый комплекс разработал комплексный план управления безопасностью портового комплекса с грузом, находящимся под его непосредственным контролем. План управления безопасностью порта должен учитывать те приложения, системы безопасности и оперативные меры, которые предназначены для защиты персонала, портовых сооружений, судов у причала, грузовых транспортных единиц (включая железнодорожные и наземные) в пределах физических возможностей портового комплекса от риска инцидента безопасности (ИСО 20858 предоставляет четкие рекомендации по выполнению этих требований). Стандарт ИСО 28000 и серия стандартов ИСО 28004 устанавливают руководящие принципы для защиты глобальной цепи поставок на очень высоком уровне, но не предоставляют достаточно конкретных деталей, которые позволили бы обеспечить последовательный уровень реализации для охвата всех положений и программ безопасности для больших, средних и малых морских портов, которые являются неотъемлемыми частями инфраструктуры безопасности глобальной цепи поставок. Чтобы обеспечить долгосрочную и последовательную безопасность цепи поставок, необходимо, чтобы каждая из заинтересованных сторон в этой интегрированной глобальной сети была оценена и несла ответственность за содействие обеспечению безопасности и бесперебойной доставке груза.

Средние и малые морские порты являются неотъемлемой частью инфраструктуры доставки в цепи поставок, особенно с учетом того, что данные порты, как правило, являются первыми точками входа для большинства товаров, которые отправляются и распределяются по местным и международным направлениям. Данные средние и малые порты являются портами подачи товаров, отправляемых в более крупные мегапорты, для консолидации и распределения грузов для дальних перевозок в другие мегапорты и по всему миру. Следовательно, крайне важно, чтобы в средних и малых морских портах были соблюдены и поддерживались проверенные меры безопасности, которые могут обеспечить защиту и дальнейшее безопасное прохождение товаров, перевозимых через их портовые сооружения.

В то время как ИСО 28000 и серия стандартов ИСО 28004 предоставляют общие обзоры ожидаемых требований для обеспечения безопасности цепи поставок, существуют ограниченные инструкции, измеримые требования и критерии приемлемости, которые позволяют предприятию создавать и реализовывать план управления безопасностью, что обеспечит соблюдение установленных норм в ИСО 28000. Поэтому настоящий стандарт предназначен для предоставления методов, процедур, руководящих принципов и критериев приемлемости, которые будут использоваться для определения уровня соответствия требованиям безопасности серии стандартов ИСО 28004.

2.3 ИСО 28000, пункт 4.3.1 — требования к оценке риска, угрожающего безопасности

ИСО 28000, пункт 4.3.3: «При установлении и пересмотре своих целей организация должна учитывать нормативно-законодательные и другие требования по безопасности». Кодекс ISPS, принятый каждым государством-членом, устанавливает такие требования к оценке риска безопасности. Следовательно, согласно пункту 4.3.1 ИСО 28000 заинтересованная сторона морского порта и управляющая организация должны установить и поддерживать процедуру для постоянной идентификации угроз и оценки рисков безопасности, связанных с менеджментом риска для безопасности, а также для выявления и реализации необходимых мероприятий управленческого контроля для защиты цепи поставок. Методы идентификации угроз, оценки риска и менеджмента риска, включая контроль, должны соответствовать характеру и масштабам операций морского порта. Эта оценка должна учитывать вероятность возникновения события и все его последствия для заинтересованной стороны морского порта, угрозы для непрерывности деятельности, безопасности цепи поставок, необходимость восстановления после бедствия. В частности, оценка риска должна предусматривать минимум следующее:

a) угрозы и риски для деятельности, включающей управление безопасностью, человеческий фактор и другие действия, которые оказывают влияние на результаты деятельности организации, условия или безопасность;

b) события природного характера (штормы, наводнения, сильные ветры и т.д.), которые могут сделать мероприятия и оборудование неэффективными;

c) факторы, находящиеся вне контроля организации, такие как сбои в поставляемом извне оборудовании и услугах, изменения в местной и международной политике и правилах безопасности, а также политические изменения, влияющие на владение и эксплуатацию морского порта;

d) угрозы и риски заинтересованных сторон, такие как несоблюдение нормативных требований, финансовые ограничения или изменения в правах собственности, которые влияют на деятельность порта и безопасность цепи поставок;

e) проектирование, установка, проверка и техническое обслуживание оборудования для обеспечения безопасности, включая установку новых систем и обучение персонала эксплуатации, ремонту и техническому обслуживанию;

f) сбои критической информации, систем управления данными и связи, используемых для управления и защиты цепи поставок.

Организации, являющиеся заинтересованными сторонами морского порта, ответственные за обеспечение защиты безопасности товаров цепи поставок, должны обеспечить наличие результатов этих оценок и соответствующих мер безопасности для обеспечения целостности цепи поставок. План управления безопасностью морского порта должен содержать положения и процедуры для выполнения целей системы безопасности, эксплуатационных требований, оценки риска, минимизации последствий, непрерывности деятельности и этапов восстановления после бедствия. В частности, план должен учитывать следующее:

— определение требований к проектированию, спецификации, установке и эксплуатации охранных устройств и систем;

— идентификацию кадрового ресурса безопасности, уровней квалификации и обучения, необходимых для эксплуатации и обслуживания устройств и систем безопасности (ИСО 28000, пункт 4.4.2);

— определение общей оценки угроз и рисков в организации и структуре менеджмента для минимизации выявленных рисков;

— обеспечение непрерывности функционирования и этапы восстановления после бедствия, которые будут реализованы для восстановления систем безопасности для защиты цепи поставок и восстановления морского порта до полного рабочего состояния.

Организация должна документировать и поддерживать вышеуказанную информацию в актуальном состоянии. Организация должна иметь персонал, обученный пониманию и применению планов и процедур управления безопасностью и операций, указанных в плане. Методология организации по идентификации угрозы, оценке риска и минимизации последствий должна:

— быть четко определенной в отношении ее области применения, ролей и обязанностей заинтересованных сторон, ожидаемого характера и сроков риска и угроз, чтобы обеспечить проактивность действий, а не реагирование;

— идентифицировать и контролировать сбор информации от источников для документирования существующих и определения будущих угроз безопасности и рисков, связанных с цепью поставок;

— предусмотреть классификацию угроз и рисков и идентификацию шагов по минимизации последствий для тех рисков и угроз, которые следует либо избегать, либо устранять или которыми следует управлять;

— обеспечивать мониторинг действий для обеспечения результативности и своевременности их внедрения (ИСО 28000, пункт 4.5.1) для обеспечения бесперебойной защиты цепи поставок.

План управления безопасностью морского порта должен быть запланированной частью процедуры непрерывного совершенствования для поддержания в актуальном состоянии персонала и систем морского порта с выявленными угрозами, рисками и эксплуатационной безопасностью, необходимыми для сохранения цепи поставок.

Процессы идентификации угроз, оценки рисков, менеджмента риска и их результаты должны быть основой для разработки и внедрения комплексной системы безопасности цепи поставок. Важно, чтобы связи между процессами идентификации угроз, оценкой рисков, менеджментом риска и другими элементами системы менеджмента безопасности были четко установлены, постоянно отслеживались и обновлялись для отражения любых изменений в оценке угроз и рисков портовых операций для обеспечения безопасности цепи поставок.

2.4 Требования к оценке риска

2.4.1 Общие положения

Процессы идентификации угроз, оценки рисков и минимизации рисков являются ключевыми инструментами управления, контроля и устранения рисков для обеспечения безопасности и непрерывной работы цепи поставок. План управления безопасностью морского порта должен охватывать каждую из этих областей и обеспечивать конкретные роли и обязанности для каждой из заинтересованных сторон, участвующих в защите цепи поставок.

2.4.2 Рассмотрение оценки риска средних и малых портов

Цель документа — оценка риска для цепи поставок, характеристики шагов, которые должны предприниматься для минимизации и предотвращения серьезных нарушений в цепи поставок грузов, перевозимых через морские порты среднего и малого размеров. Эти морские порты обычно являются начальной точкой входа для большого сегмента товаров, отправляемых в крупные и международные мегапорты. Грузы поступают в порты из мест, расположенных выше по цепи поставок, через железнодорожные, автомобильные и другие транспортные средства, которые либо перевозят, либо собирают груз, хранящийся в местах расположения портов. Поэтому цель состоит в том, чтобы определить и оценить способность портовых операций защищать груз и поддерживать ожидаемые темпы доставки товаров по мере прохождения товаров через морской порт.

Входные данные — это информация о сборке, обработке, хранении, погрузке/разгрузке груза и окончательные требования к исходящей перевозке, а также план операций в порту и планы управления безопасностью, которые функционируют в соответствии с планом непрерывности деятельности (СООР), разрабатываемым с учетом выявленного и предполагаемого рисков, связанных с количеством, потоком и типом груза, обрабатываемого портом. Для каждого выявленного риска и/или угрозы потоку товаров через порт должен быть разработан план по предотвращению или минимизации воздействия рисков, включающий перечень работ и официальные планы аварийного восстановления для обеспечения кооперации порта и потока товаров. Данные планы, которые разрабатываются и поддерживаются портами и соответствующими заинтересованными сторонами, в дальнейшем пройдут оценку и им будет присвоен номер сертификата/уровня доверия, который можно использовать для измерения уровня соответствия стандарту ИСО 28000 и серии стандартов ИСО 28004 по обеспечению безопасности цепи поставок.

Основным результатом этого документа будет набор руководящих принципов для оценки соответствия плана управления безопасностью морского порта требованиям серии стандартов ИСО 28004. Руководство будет охватывать идентификацию угроз, оценку рисков и менеджмент риска для операций морского порта, а также документированные процедуры и практики, применяемые заинтересованными сторонами морского порта для предотвращения, обнаружения нарушений, реагирования на них и приведения порта в нормальное рабочее состояние для обеспечения безопасности и непрерывности деятельности цепи поставок.

2.4.3 Намерение

Намерение состоит в том, чтобы создать и задокументировать набор процедур для определения способности средних и малых портов соответствовать требованиям безопасности цепи поставок, указанным в ИСО 28000 и серии стандартов ИСО 28004, для идентифицированных угроз и оценки рисков для операций в морском порту. Процессы идентификации угроз безопасности, оценки рисков и менеджмент риска являются ключевыми инструментами в управлении и снижении рисков безопасности для подробных инструкций деятельности в цепи поставок. Угрозы и риски для безопасности могут значительно различаться в инфраструктуре цепи поставок от незначительных инцидентов до полномасштабных нарушений безопасности грузов. Цель состоит в том, чтобы (а) идентифицировать и охарактеризовать те угрозы и риски, которые характерны для небольших морских портов, и определить возможное воздействие на операции по безопасности порта; (b) оценить процессы минимизации последствий угроз в морском порту и меры по их предупреждению, разработанные в ответ на эти угрозы/риски; (с) оценить способность морского порта поддерживать целостность цепи поставок для товаров, транспортируемых через его объекты. План управления безопасностью морского порта будет затем оценен для определения способности морского порта обеспечивать безопасность цепи поставок от выявленных угроз и рисков для их деятельности.

2.4.4 Процесс

Процессы идентификации угроз безопасности, оценка риска и менеджмент риска в значительной степени варьируются в разных отраслях — от простой оценки до сложного количественного анализа с обширной документацией. Поэтому организации и учреждения, являющиеся заинтересованными сторонами морского порта, должны поддерживать комплексный план управления безопасностью, учитывающий эти угрозы и риски для их деятельности.

Заинтересованная сторона, организации и агентства, ответственные за безопасность цепи поставок, а также сами порты обязаны создавать и поддерживать план управления безопасностью, который идентифицирует все вероятные угрозы и риски безопасности для операций портов, создает стратегии минимизации последствий и процедуры восстановления для обеспечения целостности цепи поставок. Каждая операция в морском порту будет оцениваться по качеству и возможностям реализованного плана управления безопасностью для полной защиты цепи поставок от выявленных угроз и рисков, которые она контролирует или на которые оказывает влияние. Для измерения возможностей обеспечения безопасности морского порта должны быть использованы такие показатели результативности деятельности (KPI), которые позволяют установить, что:

— политика и цели по безопасности достигаются;

— все идентифицированные угрозы и риски цепи поставок управляются, контролируются и/или снижаются, так как соответствующие меры были приняты и были эффективны;

— персонал службы безопасности хорошо осведомлен и обучен методам защиты, обнаружения, минимизации последствий и процедурам восстановления, необходимым для защиты цепи поставок;

— разработан план непрерывности деятельности/операций (СООР) и восстановления после инцидента с адекватными положениями для быстрого восстановления оборудования и систем безопасности порта, предназначенных для защиты цепи поставок;

— на местах реализован процесс постоянного улучшения для того, чтобы учиться на любых нарушениях системы менеджмента безопасности, включая инциденты и почти-ошибки;

— регулярно проводятся учения и подготовка по безопасности для того, чтобы гарантировать, что заинтересованные стороны/персонал осведомлены о своих назначенных ролях и обязанностях по безопасности и реагированию на инциденты безопасности.

Показатели результативности (KPI) для управления угрозами и рисками цепи поставок включают вероятность их возникновения, уязвимость систем безопасности, ожидаемое воздействие на безопасность операций порта и шаги по восстановлению для обеспечения непрерывности защиты безопасности.

Оценка показателей результативности будет отражать способность плана устранять или снижать практически достижимый минимальный риск безопасности, уменьшая либо вероятность возникновения, либо потенциальную серьезность воздействия инцидентов, связанных с безопасностью.

2.4.5 Ожидаемые выходы

Для операций средних и малых морских портов существует минимум девять областей универсальных рисков и угроз, которые могут привести к серьезным нарушениям в цепи поставок для перевозимого, обрабатываемого, хранящегося и передаваемого груза организациями, заинтересованными сторонами морского порта и ответственными за обеспечение целостности груза в порту. Данные области включают в себя следующее:

— аварии, которые происходят на портовых объектах, с участием персонала, с оборудованием, с разливами грузов и жидкостей;

— преступная деятельность, такая как кража, вандализм и контрабанда;

— пожар в зданиях, на оборудовании порта, на борту судов и в прилегающих к порту районах;

— финансовые проблемы с заинтересованными сторонами портовых операций и перевозок;

— волнения рабочего персонала, включая забастовки; нехватку персонала и профессиональной подготовки;

— поломки механизмов/оборудования, которые выводят из строя основные опорные элементы (краны, оборудование связи, погрузчики) на длительные периоды времени;

— политические волнения, связанные с правительственными ограничениями, новой политикой и нормативными актами, которые оказывают воздействие на портовые операции;

— террористические акты, которые включают физические атаки/нарушения портовых операций и/или нарушения грузопотока из-за обнаружения контрабанды, что вынуждает порт закрываться до удаления контрабанды и наведения порядка в порту для возобновления нормальной работы;

— проблемы, связанные с погодой, такие как природные явления (сильные штормы, ветер, жара, холод, лед, снег и наводнения), которые могут нарушить работу и сделать меры безопасности неэффективными и оборудование непригодным в течение периода от нескольких часов до нескольких дней/недель.

Каждая из этих девяти областей, указанных выше, представляет уровень риска для непрерывных операций в морском порту, который может повлиять на безопасность цепи поставок. После определения входных параметров, которые позволяют оценить характер и уровень риска для операций морского порта для каждой из этих областей угроз и риска, эти входные данные становятся основой для разработки стратегий минимизации последствий, чтобы свести к минимуму причины их возникновения и сформулировать планы восстановления, когда они происходят. Для каждой из указанных областей в последующих пунктах рассматриваются стратегии оценки риска, стратегии минимизации последствий и рекомендации по восстановлению после бедствия.

2.4.6 Ожидаемый выход/результат

Целью данного руководства является установление принципов, по которым организация может определить, подходят ли процессы идентификации угроз, оценки риска и менеджмента риска и достаточны ли они для защиты целостности цепи поставок или нет. Процесс сертификации позволит операторам морских портов и заинтересованным сторонам цепи поставок оценить вероятность того, что их товары и операции будут надежно защищены и обработаны своевременно в соответствии с разработанной политикой безопасности, процедурами и графиками доставки, согласованными между заинтересованными в транспортировании сторонами и их конечными пользователями-получателями. План управления безопасностью морского порта, содержащий информацию о внедренных мерах безопасности, будет оценен, и ему будет присвоен доверительный уровень (в баллах), указывающий на его оцениваемое качество и способность гарантировать целостность цепи поставок.

2.4.7 Процесс сертификации

Чтобы гарантировать последовательность и завершение заслуживающего доверия процесса оценки, процесс сертификации должна проводить компетентная независимая организация. Сам процесс будет состоять из перечня оценочных баллов и критериев, охватывающих области угроз и рисков для безопасности цепи поставок, которые определены в плане управления безопасностью морского порта. Цель состоит в том, чтобы иметь полностью обученный персонал и/или представителей опытных независимых организаций, обладающих необходимыми техническими знаниями для анализа и оценки установленных планов управления безопасностью. ИСО 20858 содержит конкретные рекомендации по определению компетентности и технических знаний, необходимых персоналу для проведения оценки безопасности морских портовых средств в соответствии с требованиями ИСО 28000. Кроме того, ИСО 20858 предоставляет конкретные руководящие указания и требования к документации для оценки регистрации качества плана управления безопасностью порта. Оценка и сертификация независимой квалифицированной третьей стороной предусматривается для выполнения следующих действий:

— подтверждения для сообщества пользователей того, что морской порт соответствует намеченным целям и стандартам, указанным в ИСО 28000 и серии стандартов ИСО 28004, для обеспечения целостности цепи поставок;

— создания повторяемого процесса, который можно использовать в качестве стандартизированной основы для измерения и сравнения планов управления безопасностью морских портов с отраслевыми стандартами.

Оценка будет основываться на способности порта отвечать критериям сертификации в соответствии с выявленным риском, процедурой минимизации последствий и планами восстановления, связанными с уровнем операций в морском порту, грузопотоками, типом груза, географическим положением и системами безопасности заинтересованных сторон, структурой деятельности для обеспечения безопасности цепи поставок. Результатом процесса оценки будет присвоение показателя оценки качества, который определяет, какого уровня доверия (от 1 до 5, при этом 5 является самым высоким) заслуживает план управления безопасностью морского порта и насколько он может защитить поставки от идентифицированных рисков и угроз для операций морского порта.

3 Области риска цепи поставок морского порта

3.1 Общие положения

Далее повторно рассматриваются девять областей риска морского порта, включая идентификацию типов связанных рисков, оценку риска, шаги по минимизации последствий для снижения риска, рекомендации по восстановлению для возобновления систем защиты портовых операций до их нормального рабочего состояния. В зависимости от темпа операций, организационной структуры заинтересованных сторон, потока товаров через морской порт, географического положения, правительственных и политических соображений каждый морской порт будет иметь различные уровни угроз и рисков для своих портовых операций по обеспечению безопасности и бесперебойности транспортных услуг для цепи поставок. Те из них, которые относятся к каждому морскому порту, должны быть учтены в плане управления безопасностью и актуализированы в случае появления новых угроз, рисков и/или изменений в рабочем состоянии морского порта.

3.2 Аварии. Портовые операции

3.2.1 Природа риска

Происшествия могут быть чисто случайными по своему характеру и/или могут быть отнесены к категории происшествий, которые происходят ожидаемо и которые можно было бы предотвратить с использованием более эффективного надзора за управлением, обучением персонала и оперативными процедурами. Безопасность цепи поставок должна быть основана на постоянном наблюдении и охране груза во время его нахождения в порту сотрудниками службы безопасности с использованием охранных систем и оборудования. Любое происшествие, которое нарушает контроль за грузом и безопасность груза, должно быть устранено с использованием конкретных планов, чтобы свести к минимуму случаи возникновения угрозы, предотвратить происшествия, где это возможно, и выполнить шаги по восстановлению, чтобы обеспечить безопасность в цепи поставок.

Тяжелая техника, погрузочные краны, транспортные средства для перевозки грузов, рельсы и устройства для разгрузки грузов — все это создает проблемы безопасности для персонала морского порта, который эксплуатирует эти системы и контролирует безопасность грузов в цепи поставок в порту. Промышленные аварии с участием персонала, с оборудованием, с грузами и/или с разливами жидкостей/химикатов могут нарушать целостность цепи поставок, если меры безопасности и операции в морском порту нарушаются в течение любого значительного промежутка времени.

3.2.2 Оценка риска

Должна быть проведена оценка вероятности возникновения и тяжести последствий идентифицированного риска. В зависимости от природы происшествия должна быть определена вероятность возникновения и ожидаемое воздействие на безопасность и непрерывность деятельности/операций. Оценка должна быть связана с конкретным воздействием на безопасность (потеря ключей, системы мониторинга и защиты) и на ожидаемые уязвимые места в случае нарушения защиты. Все случаи (даже те, которые имеют ограниченное воздействие на безопасность и портовые операции) должны быть оценены. Должна быть проведена оценка каждого происшествия с целью определения уровня риска в отношении цепи поставок на основе способности операторов морского порта быстро восстанавливать и верифицировать работу систем безопасности и на основе того, что целостность цепи поставок не затронута. Любой инцидент, оцененный как имеющий высокий риск для операций по обеспечению безопасности цепи поставок, должен выявлять конкретные уязвимые места, которые могут быть подвержены этому инциденту.

Аварии, в которых участвуют ключевые сотрудники службы безопасности, должны быть немедленно идентифицированы с положениями о замене персонала на тех, кто обучен выполнять необходимые задачи и обязанности. План управления безопасностью должен устранять эти уязвимые места и создавать шаги по минимизации последствий, чтобы избежать (если возможно) или запланировать шаги по восстановлению для обеспечения постоянной защиты цепи поставок.

3.2.3 Стратегии минимизации последствий

Операторы порта и заинтересованные стороны должны определить типы аварий, произошедших в портах, и количественно оценить их конкретное воздействие на портовые операции. Промышленные аварии с участием персонала, с оборудованием, с грузами и с разливами жидкостей/химикатов могут быть количественно оценены с использованием накопленных данных, характеризующих частоту, серьезность воздействия на операции и принятые превентивные меры для минимизации их повторения. Должны быть приняты превентивные меры безопасности, которые предупреждают персонал и напоминают ему о проблемах безопасности и процедурах их предотвращения.

План управления безопасностью должен учитывать конкретные процедуры, шаги, которые необходимо будет выполнить, чтобы предотвратить в дальнейшем последствия и привести систему в рабочее состояние после каждого события. Планы по минимизации последствий в зависимости от характера и ожидаемого воздействия для каждого из оцениваемых рисков должны быть достаточно подробными, чтобы заинтересованные стороны могли предпринять конкретные шаги по защите цепи поставок и привести морской порт в рабочее состояние.

3.2.4 Руководство по восстановлению

План управления безопасностью должен предусматривать конкретные шаги, которые можно рассчитать и оценить, чтобы определить способность морского порта обеспечивать безопасность цепи поставок и возобновлять нормальную работу. По авариям, которые затрагивают ключевой персонал службы безопасности и/или оборудование и операционные системы безопасности, должны быть оформлены документы, содержащие процедуры восстановления, которые определяют конкретные шаги по замене персонала, оборудования и систем безопасности. Резервный и/или заменяющий персонал должен быть обучен всем аспектам безопасности цепи поставок, включая процедуры физической защиты, проверки и обнаружения, а также использованию защитных устройств и автоматизированных систем. При авариях, останавливающих портовые операции, следует учитывать процедуры, которые будут применяться для защиты груза, находящегося в пути или хранящегося в порту, до восстановления нормальной работы порта.

Качество плана восстановления следует оценивать в соответствии с ИСО 28000 по его способности обеспечивать непрерывность операций по безопасности цепи поставок в морском порту, и на основании критериев оценки ему присваивается доверительный уровень.

3.3 Риски преступной деятельности

3.3.1 Природа риска

Преступная деятельность в морском порту и деятельность, связанная с отгрузкой и прибытием товаров, отправляемых в морской порт, или получением груза из источника фазы предконтроля, может привести к немедленному прекращению всех перевозок в морском порту. Преступная деятельность может потребовать закрытия и/или изоляции зон оперативной поддержки до тех пор, пока она не будет расследована правоохранительными органами. Кроме того, кража важных предметов оборудования и компонентов может оказывать воздействие на операции до тех пор, пока запасные детали не будут приобретены и введены в эксплуатацию. В зависимости от характера и серьезности проблемы задержки могут быть измерены в днях, если операции порта из-за нее сокращены. Если преступная деятельность связана с персоналом порта, то заинтересованные стороны оператора порта должны будут принять специальные меры для восстановления целостности операций порта и восстановления утраченного доверия со стороны сообщества цепи поставок.

3.3.2 Оценка риска

Криминогенными (по определению) являются теневые виды деятельности, которые скрыты и трудны для выявления. Они могут иметь множество форм: от кражи товаров и услуг, контрабанды наркотиков, оружия, людей, товаров до взяточничества и мошенничества. Все эти действия направлены на нарушение безопасности и целостности цепи поставок. Потеря товаров, транспортирование контрабанды, мошенничество и подкуп персонала, используемого для обеспечения операций по безопасности порта, включая цепь поставок, могут воздействовать на целостность цепи поставок и подрывать репутацию морского порта и заинтересованных сторон. Вероятность возникновения и серьезность идентифицированного риска для операций необходимо будет оценить. В зависимости от характера преступной деятельности необходимо будет определить вероятность возникновения и ожидаемое воздействие на непрерывность операций. Все случаи, даже те, которые имеют ограниченное воздействие на операции безопасности порта, должны быть оценены. Если деятельность включает в себя замену критически значимого защитного оборудования и/или критически значимого персонала, то оценка должна включать наличие и закупку конкретного предмета оборудования, его установку и тестирование, а также наличие квалифицированного и обученного персонала, способного при необходимости восстановить системы до полного рабочего состояния.

Незаконный ввоз контрабандных товаров создает особый набор обстоятельств, когда они обнаружены/выявлены сотрудниками службы безопасности порта. Обнаружение незаконных наркотических средств, оружия, опасных материалов и/или людей потребует вмешательства правоохранительных органов, конфискации и хранения запрещенного груза. Каждое событие потенциально может остановить поток грузов и оказать влияние на непрерывность операций. План управления безопасностью должен учитывать эти нарушения. Процедуры безопасности должны быть скорректированы или улучшены, чтобы предотвратить будущие инциденты. Криминальная кража или взлом компьютеров и компьютерных файлов должны быть конкретно рассмотрены и должна быть сделана оценка воздействия и времени, необходимого для восстановления потерянных данных. План управления безопасностью должен содержать специальные положения для защиты важных файлов данных, включая планы управления безопасностью портов, которые в случае утери или компрометации могут поставить под угрозу цепь поставок и операции порта.

Преступление в форме хищения или хакерской атаки на компьютеры и компьютерные файлы должно быть предметом особого рассмотрения для оценки воздействия и времени, необходимого для восстановления потерянных данных. План управления безопасностью должен иметь специальные положения для защиты важных файлов данных, включая планы управления безопасностью портов, которые в случае утери или разглашения могут поставить под угрозу цепь поставок и операции порта.

3.3.3 Стратегии минимизации последствий

При выявлении преступной деятельности в плане должны быть определены конкретные шаги, которым будет следовать каждая заинтересованная организация и каждое ведомство для прекращения, задержания и оценки ущерба/потерь для груза в цепи поставок. Планы по минимизации последствий должны быть достаточно подробными, чтобы заинтересованные стороны могли предпринять конкретные шаги по защите цепи поставок и привести морской порт в рабочее состояние в зависимости от характера и ожидаемого воздействия для каждого из оцениваемых рисков.

Предупреждение, выявление и задержание преступников потребует координации действий между местными правоохранительными органами и заинтересованными сторонами порта, ответственными за обеспечение защиты безопасности операций морского порта. План управления безопасностью должен учитывать конкретные процессы и процедуры для предотвращения, мониторинга, обнаружения, расследования типов выявленных областей криминального риска на основе накопленных данных и исследовательских данных, собранных местными и международными правоохранительными органами. Разработка планов периодических и выборочных проверок грузов наряду с автоматизированным сканированием и использованием оборудования обнаружения поможет в выявлении контрабандных грузов и сдерживании будущей преступной деятельности. Кража товаров, ввозимых и хранящихся в порту, может быть сведена к минимуму — введением ограничения на доступ в порт и проведением проверок безопасности, инспекций и положительной идентификации всего персонала и транспортных средств, въезжающих/находящихся внутри порта. План должен охватывать активное и пассивное контрольное оборудование (камеры, охранники, карты доступа/считыватели), которое можно использовать для обеспечения безопасности цепи поставок груза 24/7.

Если установлено, что преступная деятельность связана с идентифицируемым источником на фазе предконтроля, то дополнительные инспекции безопасности должны быть направлены на эти источники, и/или должны быть введены ограничения, накладываемые на груз из указанных идентифицированных источников доставки.

Подозрительный источник доставки должен требовать дополнительных проверок и договоренностей с правоохранительными органами для оказания помощи в идентификации, проверке и конфискации контрабандного груза и в задержании лиц, причастных к преступной деятельности.

Для контроля и снижения риска участия в преступной деятельности персонала морских портов в плане должны быть предусмотрены подробные процедуры найма и проверки персонала. Эти процедуры должны включать мероприятия для проверки данных, обучение этике для всего персонала и периодические проверки. Руководство также должно иметь процедуру безопасности для ограничения доступа к портовым средствам с использованием контрольных точек безопасности, требующих положительной идентификации для всего персонала и посетителей, заходящих на объекты.

3.3.4 Руководство по восстановлению

План управления безопасностью должен предусматривать конкретные шаги, которые можно рассчитать и оценить, чтобы определить способность морского порта обеспечивать безопасность цепи поставок и возобновить нормальную работу. Роли и обязанности каждого участника должны быть четко указаны наряду с конкретными действиями, которые следует выполнять в ответ на каждую выявленную преступную деятельность. Для каждого фактического события процессы оценки безопасности и предупреждения в морском порту должны оцениваться, чтобы определить, насколько хорошо реализованные системы и/или процедуры были способны обнаруживать преступную деятельность и реагировать на нее. Если в отчетах после действий выявлены слабые места, необходимо внести коррективы, чтобы устранить любые выявленные недостатки в плане защиты безопасности цепи поставок.

Если обнаруживается, что системы и/или процедуры являются несовершенными, то необходимо усовершенствовать системы и процедуры безопасности, чтобы уменьшить или исключить возможность возникновения недостатков в будущем. В тех случаях, когда персонал морского порта был причастен к преступной деятельности, необходимо будет улучшить процедуры найма и проверки персонала, а также ввести в действие политику, обеспечивающую дополнительный надзор для предотвращения подобных случаев в будущем.

Качество плана восстановления следует оценивать в соответствии с ИСО 28000 по его способности обеспечивать непрерывность операций по безопасности цепи поставок в морском порту и на основании критериев оценки ему присваивается доверительный уровень.

3.4 Риски возникновения пожара

3.4.1 Природа риска

Пожар в морском порту может привести к серьезным нарушениям, если он разрушит важные здания, системы безопасности, основное оборудование, транспортное оборудование и охраняемый груз. Кроме того, пожары на судах, пришвартованных в порту, а также пожары в прилегающих районах могут привести к задержкам с доставкой товаров в морской порт. Воздействие крупного пожара в морском порту может привести к отключению оборудования на длительный период времени, особенно если системы безопасности и обработки грузов вышли из строя. Повреждение крайне важных физических и автоматизированных систем защиты (заборы, камеры охраны, системы камер, компьютеры и компьютерные системы, системы связи) потребует приведения этих систем в рабочее состояние до возобновления нормальной работы морского порта. План управления безопасностью должен учитывать области потенциального риска возникновения пожара и иметь планы и процедуры плана непрерывности деятельности/операций (COOP) и аварийного восстановления после бедствия, чтобы обеспечить безопасность груза в цепи поставок порта. Особое внимание должно быть уделено обеспечению того, чтобы ни одна из важных систем безопасности не была нарушена каким-либо пожаром, а также защите груза от возможного вмешательства со стороны учреждений за пределами порта, реагирующих на пожар.

Стратегии предупреждения пожаров и минимизации последствий, в том числе возможности морского порта по тушению пожаров для быстрого устранения огня, а также планы восстановления после бедствия будут оказывать влияние на безопасность порта и возможности обработки грузов заинтересованными сторонами порта. Должна быть проведена оценка плана управления безопасностью морского порта, чтобы определить, являются ли профилактические меры, обучение персонала и шаги по восстановлению достаточными и эффективными для обеспечения целостности цепи поставок для груза, находящегося под непосредственным контролем морского порта во время пожара.

3.4.2 Оценка риска

Необходимо оценивать вероятность возникновения и серьезность последствий идентифицированного риска для портовых операций. В зависимости от характера пожара и степени ущерба, нанесенного эксплуатационным возможностям морского порта, необходимо будет определить ожидаемое воздействие на непрерывность операций. Оценка должна учитывать ожидаемое время задержки и необходимые процедуры восстановления, чтобы вернуть портовые операции в нормальное рабочее состояние. Все инциденты в виде пожаров, даже те, которые оказывают ограниченное воздействие на портовые операции, должны быть оценены. Если инциденты связаны с восстановлением объектов и/или заменой важного оборудования для защиты безопасности, тогда оценка должна включать наличие и закупку требуемых изделий, установку и тестирование (при необходимости) для восстановления системы до полного рабочего состояния. Отдельное решение должно быть разработано по утрате компьютеров и компьютерных файлов, которые поддерживают управление, контроль и связь между местными, региональными и международными органами безопасности. Должна быть проведена оценка воздействия и времени, необходимого для восстановления этих данных и доступа к связи.

Предполагаемая продолжительность простоя, вызываемого каждым случаем, должна быть определена с точки зрения часов, дней и недель. Ожидаемая продолжительность простоя в результате инцидента будет основным фактором для разработки стратегий минимизации последствий и процедур восстановления, которые должны быть учтены заинтересованной стороной в плане управления безопасностью порта для обеспечения непрерывности операций.

3.4.3 Стратегии минимизации последствий

План управления безопасностью должен учитывать конкретные процессы, которые будут реализованы для предотвращения, защиты целостности цепи поставок и максимально быстрого восстановления системы до рабочего состояния после каждого происшествия. Все время, в том числе во время реагирования на инцидент, цепь поставок груза должна быть защищена. Должны быть разработаны планы перемещения любого груза на пути пожара, переключения на резервные системы для любых систем безопасности, затронутых пожаром, и назначения/переназначения любого дополнительного персонала для физического мониторинга и обеспечения доступа к цепи поставок и критическим системам защиты во время инцидента. Планы минимизации последствий должны быть достаточно подробными, чтобы описывать конкретные роли, обязанности и шаги, которые должны быть предприняты заинтересованными сторонами для реализации процедуры предупреждения и реагирования на инцидент. В плане должны быть учтены ожидаемые задержки и время простоя систем безопасности, которые влияют на работу морского порта, а также какие процедуры будут реализованы морским портом для обеспечения безопасности цепи поставок в течение этого временного периода.

3.4.4 Руководство по восстановлению

План управления безопасностью должен предусматривать конкретные шаги, которые можно рассчитать и оценить, чтобы определить способность морского порта обеспечить безопасность цепи поставок и возобновить нормальную работу. Если портовое сооружение будет выведено из эксплуатации в течение длительного периода времени, то необходимо будет разработать обходной план, чтобы перенаправить обычный поток на фазы предконтроля и постконтроля по цепи поставок в другие места. Для любых поврежденных систем должен быть предусмотрен процесс проверки и сертификации, который подтверждает правильность работы заменяющих систем. План управления безопасностью должен предусматривать альтернативные системы защиты для замены любых автоматизированных систем защиты, которые вышли из строя и не могут обеспечить безопасность груза в цепи поставок. В плане должны быть рассмотрены системы ручного управления, дополнительные охранники, места временного безопасного хранения с должным образом обученным персоналом как временная коррекция для поддержки постоянного потока товаров через порт до тех пор, пока автоматизированные системы и обычные операции не будут восстановлены.

3.5 Финансовые риски заинтересованных сторон

3.5.1 Природа риска

Финансовое благополучие заинтересованных сторон, участвующих в операциях в морских портах, необходимо отслеживать и оценивать на основе их способности выполнять свои конкретные функции и обязанности по защите целостности цепи поставок и поддержке операций порта. Финансовая нагрузка на заинтересованную сторону порта может оказать воздействие на ряд областей, включая наличие достаточного количества обученного персонала, техническое обслуживание и обеспечение запасными частями, а также контроль и защиту безопасности. Бюджетные ограничения могут повлиять на качество и результативность мер безопасности, необходимых для защиты цепи поставок, а также необходимых мер для поддержания уровня услуг для обеспечения бесперебойной непрерывной работы цепи поставок. Заинтересованная сторона морского порта должна быть в состоянии противостоять растущему перечню рисков и угроз для цепи поставок. Это может потребовать приобретения дополнительного оборудования для обеспечения безопасности и дополнительного персонала для минимизации этих угроз и рисков. В дополнение, непредвиденные расходы из-за случайных событий, таких как несчастные случаи, пожары, разрушительные штормы, криминальная и террористическая деятельность, могут серьезно повлиять на финансовые возможности заинтересованных сторон в сфере осуществления операций цепи поставок.

Финансовое воздействие в результате реагирования на новые угрозы и риски, а также случайные события следует учитывать в плане управления безопасностью. При выявлении потенциальных недостатков, которые могут воздействовать на защиту безопасности цепи поставок, план управления безопасностью должен учитывать мероприятия по минимизации последствий, которые необходимо предпринять заинтересованными сторонами для изменения операций порта в целях защиты груза, находящегося под их непосредственным контролем.

3.5.2 Оценка риска

План управления безопасностью морского порта должен содержать процедуры для мониторинга и оценки финансового состояния каждой из заинтересованных сторон, занимающихся обеспечением безопасности, обработкой и транспортированием грузов в цепи поставок, входящих и выходящих из порта. Их конкретные роли и обязанности должны быть оценены для выявления отдельных точек сбоя, которые могут повлиять на безопасность и доставку товаров, если они не в состоянии предоставить необходимые услуги для обеспечения целостности цепи поставок и портовых операций.

Необходимо определить любую точку, где возможны ошибки/нарушения, и провести оценку ожидаемого воздействия на безопасность и портовые операции. Бюджетные ограничения необходимо проанализировать, чтобы определить их воздействие на текущие и будущие операции, а также необходимо предпринять для поддержания требуемого уровня безопасности и эксплуатационной готовности морского порта. Особое внимание необходимо уделить операциям на фазе предконтроля, где финансовые проблемы могут воздействовать на способность заинтересованных сторон осуществлять надлежащие меры безопасности и надзор, определенные в ИСО 28000.

3.5.3 Стратегии минимизации последствий

План управления безопасностью должен обеспечивать возможность общей и стоимостной оценок, если потенциальные финансовые проблемы могут оказать воздействие на операции в морском порту. Для этих единичных критических точек ошибок/нарушений должны быть созданы альтернативы, обеспечивающие непрерывность требуемой работы служб безопасности цепи поставок, служб безопасности и эксплуатации порта. Для обеспечения наличия средств, необходимых для поддержания оперативных потребностей цепи поставок, стратегии минимизации последствий должны включать в себя план, содержащий целесообразный процесс финансового планирования и прогнозирования бюджета с запланированными периодами проведения финансового анализа. Если в критических областях поддержки обнаружен дефицит, то необходимо предпринять конкретные шаги возможных обходов и/или сокращения услуг, которые не влияют на целостность цепи поставок.

Финансовые проблемы заинтересованных сторон на фазе предконтроля, которые оказывают влияние на безопасность доставки груза в морской порт, следует решать в том случае, если для этого потребуется дополнительный источник ресурсов для защиты целостности груза, входящего в порт. Если стоимость дополнительных источников ресурсов превышает ожидаемую отдачу от инвестиций по обработке груза, придется рассмотреть вопрос об отказе от груза до тех пор, пока не будут даны гарантии того, что процедура обработки груза будет выполнена в соответствии с ИСО 28000 и серией стандартов ИСО 28004.

3.5.4 Руководство по восстановлению

План управления безопасностью должен предусматривать конкретные шаги, которые можно рассчитать и оценить, чтобы определить способность морского порта обеспечивать безопасность цепи поставок и возобновлять нормальную работу. Если заинтересованная сторона порта не в состоянии адекватно выполнить свою роль и свои обязанности по поддержке цепи поставок, то в плане должны быть рассмотрены альтернативные шаги для обеспечения безопасности и рабочего состояния морского порта. План управления безопасностью должен содержать проверенный оперативный бюджет, который определяет необходимые источники финансовых ресурсов для обеспечения непрерывности операций цепи поставок и темпов операций для поддержки ожидаемого потока товаров через морской порт.

3.6 Риски, связанные с трудовыми отношениями

3.6.1 Природа рисков

Безопасность цепи поставок во многом зависит от качества и количества персонала, предназначенного для обеспечения безопасности груза в порту. Сотрудники службы безопасности должны быть полностью подготовлены для выполнения конкретных задач по безопасности в соответствии с ролями и обязанностями, определенными им в плане управления безопасностью цепи поставок. Любой риск, который вызывает нехватку обученного персонала для мониторинга, эксплуатации и реализации процедуры безопасности морского порта, подвергнет риску цепь поставок. Необходимо определить проблемы, связанные с трудовыми ресурсами, которые могут повлиять на нормальную работу порта, и установить процедуры для обеспечения непрерывной работы систем безопасности морского порта. Перерыв в работе, вызванный волнениями рабочего персонала (забастовка, замедление работы), нехваткой персонала для поддержки операций и/или наличием плохо обученного персонала, может поставить под угрозу процедуру безопасности, разработанную для защиты потока товаров через порт. Персонал порта должен быть хорошо осведомлен, проинформирован о существующей процедуре и полностью обучен процедурам предупреждения бедствий и восстановления после бедствий. Кроме того, должны быть разработаны планы на случай непредвиденных обстоятельств, чтобы обеспечить доступ к дополнительным источникам кадровых ресурсов для удовлетворения потребности в кадрах для проведения критически значимых операций в порту и защиты цепи поставок.

3.6.2 Оценка риска

Защита цепи поставок и непрерывная работа порта будут зависеть от качества и достаточного количества обученного персонала для поддержки операций порта. Должны быть определены проблемы, связанные с трудовыми ресурсами, включая забастовки, и проведена оценка с точки зрения их воздействия на управление и реализацию процедуры обеспечения безопасности порта. Для каждой важной должности персонала, которая может повлиять на операции порта и безопасность, должна быть проведена оценка уязвимости системы при условии, что эти источники человеческих ресурсов недоступны. Должна быть идентифицирована возможная утрата ключевого персонала по любой причине (забастовка, болезнь, увольнение), а планы и процедуры на случай непредвиденных обстоятельств — подвергнуты оценке, чтобы определить их способность обеспечивать непрерывность работы порта и его безопасность. Оценка должна учитывать ожидаемое время задержки, воздействие на защиту безопасности цепи поставок и требуемую процедуру восстановления для возвращения портовых операций в нормальное рабочее состояние.

3.6.3 Стратегия минимизации последствий

Для обеспечения бесперебойной работы порта планы управления безопасностью и планы эксплуатации порта должны включать достаточное количество обученного персонала для выполнения обычных и любых непредвиденных операций, вызванных утратой ключевого персонала. Должна существовать специальная процедура, чтобы обеспечить подготовку временного и любого замещающего персонала для поддержки нехватки персонала, вызванной проблемами с трудовыми ресурсами, которые могут нарушить трафик и безопасность цепи поставок. План управления безопасностью должен предусматривать подготовку ключевого персонала для выполнения нескольких функций и обязанностей, чтобы иметь в наличии достаточное количество квалифицированного персонала для сведения к минимуму проблем, связных с трудовыми ресурсами, и возможных нарушений, которые могут быть вызваны нехваткой источников кадровых ресурсов. План должен иметь резервные руководства для критических ситуаций, чтобы в случае возникновения нехватки персонала в этих областях трафик и безопасность цепи поставок не подвергались непредвиденным последствиям.

3.6.4 Руководство по восстановлению

План управления безопасностью должен предусматривать конкретные шаги, которые можно рассчитать и оценить, чтобы определить способность морского порта обеспечивать безопасность цепи поставок и возобновлять нормальную работу. Нехватка персонала и/или плохо обученный персонал могут поставить под угрозу целостность операций цепи поставок. Поэтому в плане должны быть предусмотрены условия для набора дополнительно обученного персонала в относительно короткие сроки. Заинтересованная сторона порта должна быть в состоянии обеспечить наличие контингента из обученного и квалифицированного персонала для каждой из ключевых должностей, которые могут повлиять на деятельность, если она останется вакантной. Кроме того, в плане должны быть рассмотрены процедуры обучения и набора ключевых замещающих сотрудников, назначенных в контингент резервного персонала.

3.7 Риски механических поломок оборудования

3.7.1 Природа рисков

Механическая поломка основных предметов оборудования может замедлить и/или остановить работу. Отказ системы безопасности порта и защиты груза отразится на целостности цепи поставок груза. Если критически значимое оборудование не будет работать в течение какого-либо длительного периода времени, то это повлияет на безопасность груза и непрерывность операций. Отказ оборудования и систем более широкого спектра может привести к сокращению и/или остановке запланированного потока товаров через порт, если резервные системы не будут подключены к сети для поддержки нормального потока операций.

Отказ оборудования может произойти в любом эксплуатационном оборудовании порта — от погрузочного крана, грузовых транспортных средств до компьютерных систем и систем контроля и защиты безопасности морского порта и цепи поставок. Отказ систем обнаружения, таких как видеонаблюдение, оборудование для внутриполостного сканирования и программное обеспечение систем слежения за базами данных, приведет к замедлению или остановке движения груза через порт. Риск для цепи поставок будет высоким, если из-за отказа этих систем груз в цепи поставок останется незащищенным в течение значительного периода времени.

3.7.2 Оценка риска

Сбои или поломки систем защиты и безопасности портов и цепи поставок могут поставить под угрозу безопасность грузов в цепи поставок. Если резервные или альтернативные системы защиты не могут быть быстро задействованы, то обработку и перемещение груза следует прекратить до тех пор, пока системы защиты не будут введены в действие. Целостность цепи поставок зависит от постоянно и непрерывно действующей гарантии защиты, которая обеспечивает сквозную защиту груза во время его транспортирования до конечного пункта назначения. Если меры безопасности вышли из строя, то риск для цепи поставок можно считать высоким в любое время. При выходе систем защиты безопасности из строя перемещение груза должно быть остановлено и должны быть внедрены дополнительные системы физической безопасности для защиты груза до тех пор, пока системы безопасности порта не будут возвращены в оперативный режим работы. План управления безопасностью порта должен учитывать эти непредвиденные обстоятельства и предоставлять систему отчетности, которая документирует перерыв в защите и шаги, предпринятые для подтверждения того, что в течение этого периода не было никаких нарушений безопасности.

3.7.3 Стратегии минимизации последствий

Чтобы обеспечить постоянную защиту груза в цепи поставок, должны быть предусмотрены планы обеспечения дополнительной физической защиты, работающие в ручном режиме, пока все автоматизированные системы защиты, на которые повлияло нарушение, не будут восстановлены в рабочее состояние. Если оборудование/системы отключены от сети в течение какого-либо длительного периода, то должны быть предусмотрены меры по прекращению движения груза до тех пор, пока не будут созданы резервные системы и предприняты операционные шаги для защиты цепи поставок и подтверждения того, что груз не находился под угрозой, пока системы не работали. Стратегии минимизации последствий должны учитывать планы профилактического технического обслуживания, чтобы оборудование и системы работали в полную силу, а планы действий в чрезвычайных ситуациях должны обеспечивать альтернативные операции при неожиданных сбоях оборудования/системы.

План профилактического обслуживания должен быть ключевым элементом стратегии минимизации последствий. При определении того, как минимизировать воздействие отказов оборудования/систем на непрерывность деятельности, необходимо учитывать установленный план профилактического технического обслуживания и знание среднего времени между отказами (MTBF) и средним временем ремонта (MTTR). Для того чтобы избежать непредвиденных поломок, оборудование и системы, достигшие ожидаемого времени обслуживания MTBF, должны пройти техническое обслуживание либо их необходимо заменить. Время ремонта оборудования MTTR будет определять ожидаемое время простоя и то, какие стратегии восстановления должны быть в наличии, чтобы восстановить работоспособность систем. Согласование графиков технического обслуживания с запланированным временем простоя между требованиями по обработке грузов позволит ограничить нарушение потока движения в порту.

3.7.4 Руководство по восстановлению

План управления безопасностью должен предусматривать конкретные шаги, которые можно рассчитать и оценить, чтобы определить способность морского порта обеспечивать безопасность цепи поставок и возобновлять нормальную работу. Если системы безопасности порта находятся в автономном режиме и не могут обеспечить защиту груза, должны быть разработаны планы по остановке операций порта до восстановления системы. Резервные системы и оборудование должны быть легко доступными, а персонал должен быть обучен их внедрению после обнаружения отказа системы. В тех случаях, когда эти автоматизированные системы требуют длительного времени для ремонта, влияющего на непрерывность операций, процедуры и руководства должны быть рассмотрены в плане восстановления безопасности для защиты цепочки поставок до тех пор, пока все системы безопасности не будут работать. Для любых заменяемых и/или ремонтируемых систем безопасности портов должен быть предусмотрен процесс проверки и сертификации, который подтверждает, что заменяющие системы работают должным образом, предоставляя необходимые услуги защиты безопасности.

3.8 Политические и государственные риски

3.8.1 Природа рисков

Политические проблемы, изменения в руководстве и политике местных органов власти могут оказывать непосредственное воздействие на портовые операции, заинтересованные стороны и на то, как в порту реализуются меры безопасности. Постановления Правительства могут повлиять на управление портов, на работу портов и на то, какие органы будут уполномочены защищать цепи поставок. Эти изменения могут повлиять на ограничения владения портом, потребовать изменений в таможенных и инспекционных процедурах и ограничить финансирование для безопасности порта и поддержки правоохранительных органов. План управления безопасностью порта должен отражать определенные роли и обязанности для каждой из заинтересованных сторон, которые управляют операциями порта и обеспечивают защиту безопасности цепи поставок. Изменения и/или ограничения, обусловленные политическими решениями в структуре организационной отчетности и критических ролях и обязанностях заинтересованных сторон, могут повлиять на непрерывность операций и безопасность цепи поставок.

План управления безопасностью должен учитывать те изменения, которые вводят международные правительства и руководящие органы (ЕС, ВТО, США, НАТО), непосредственно влияющие на операции по цепи поставок, и требования защиты безопасности. В связи с растущей обеспокоенностью по поводу террористической и криминальной деятельности во всем мире международные правительства, организации, грузоотправители и конечные пользователи требуют усовершенствованных процедур обнаружения и предотвращения проникновения из транспортных систем в запрещенные зоны портов материалов, связанных с оружием массового уничтожения, и наркотиков. Должны быть проанализированы политические изменения, которые могут повлиять на способность операторов порта обеспечивать бесперебойную защиту цепи поставок.

3.8.2 Оценка риска

Следует проводить анализ политических и нормативных актов, затрагивающих заинтересованные стороны и агентства, уполномоченные поддерживать портовые операции и защищать цепь поставок. Должна быть проведена оценка для определения уровня риска, связанная с вынужденными изменениями. Для каждого выявленного изменения в местных и международных правительственных правилах должна быть проведена оценка способности заинтересованных сторон порта внедрять изменения и минимизировать любые риски, связанные с этими изменениями. Изменения в правилах защиты цепи поставок могут серьезно повлиять на защиту цепи поставок и могут увеличить операционные риски, если изменения не будут реализованы должным образом. Принятые правительством правила, требующие дополнительных мер безопасности, могут влиять на непрерывность операций и источники ресурсов (персонал, оборудование, финансирование), необходимые для защиты цепи поставок. Новые правила (такие, как усиленное сканирование груза) на предмет контрабанды и оружия массового уничтожения (ОМУ) могут потребовать дополнительного оборудования для обнаружения, средств и обученного персонала по использованию и обслуживанию оборудования.

Для каждого идентифицированного изменения необходимо провести оценку возможностей заинтересованной стороны для реализации изменения. Те изменения, которые определены как относящиеся к среднему или высокому риску, потребуют, чтобы план управления безопасностью порта учитывал конкретные шаги по минимизации последствий для снижения риска, связанного с обязательным изменением.

3.8.3 Стратегии минимизации последствий

План управления безопасностью должен ссылаться на конкретные процессы, которые должны быть реализованы, если происходят изменения в политической и/или правительственной сфере и нормативных актах, которые влияют на деятельность по защите безопасности цепи поставок. Если государственная политика создает риски для операций в портах и/или для безопасности цепи поставок, план управления безопасностью должен учитывать вероятные шаги, которые должна предпринять заинтересованная сторона для реализации изменений и минимизации риска для системы. В плане управления безопасностью должны быть учтены конкретные политики, которые меняют роли и обязанности заинтересованных сторон, с указанием чрезвычайных мер, обеспечивающих непрерывную защиту безопасности цепи поставок. Стратегические изменения, которые затрагивают кадровое обеспечение либо для замены, либо для принятия новых обязанностей, должны включать элементы обучения, которые должны быть учтены в плане управления безопасностью. Риск для системы будет представлять собой необходимую кривую обучения, связанную с любыми изменениями политики, которые влияют на существующие положения о безопасности, реализуемые в морском порту. Введение новых требований должно быть проверено, подтверждено и проконтролировано, чтобы гарантировать, что они работают по мере необходимости, не добавляют дополнительного риска системе и обеспечивают любую дополнительную безопасность, как это предусмотрено изменением.

Если политические изменения и изменения в директивах/программах влияют на штат сотрудников в плане его замены или принятия новых обязанностей, то в плане управления безопасностью необходимо учесть элементы обучения. При политических изменениях, оказывающих влияние на существующую систему безопасности в порту, риск, возникающий для системы, потребует реализации функции обучения.

Чтобы убедиться, что внедрение новых требований не вносит дополнительного риска для системы и обеспечивает дополнительную безопасность, предусмотренную изменением, оно должно быть проверено, пройти валидацию и мониторинг.

3.8.4 Руководство по восстановлению

План управления безопасностью морского порта должен предусматривать конкретные шаги для реализации любых необходимых изменений государственной политики, которые влияют на безопасность операций морского порта и цепь поставок. Этапы восстановления должны включать любые изменения в управлении, в штатном расписании и/или во внедрении и эксплуатации новых процедур безопасности, правил и оборудования. План управления безопасностью должен предусматривать конкретные шаги, которые можно рассчитать и оценить, чтобы определить способность морского порта обеспечивать безопасность цепи поставок и возобновлять нормальную работу после внесения любых изменений. Для любых новых политик и/или систем защиты безопасности порта должен быть предусмотрен процесс инспекции и сертификации, который проверяет правильность работы этих политик и систем, обеспечивающих необходимые услуги защиты безопасности.

3.9 Риски, связанные с терроризмом

3.9.1 Природа рисков

Террористические атаки — это всемирная глобальная террористическая угроза, которая реализуется во многих формах, и ни одно место не застраховано от этих атак. Случайный характер атак трудно предвидеть и часто очень трудно обнаружить. Террористическая деятельность предназначена для срыва и уничтожения операций, включая физический ущерб объектам, людям, угрозу кибератак, которые могут нарушить работу компьютеров, коммуникаций и сетей безопасности. Повреждения портовых сооружений могут включать оборудование, погрузочные краны, портовые сооружения, грузы и суда, заходящие в порты. Вторичной угрозой является обнаружение опасного груза, содержащего оружие массового уничтожения (ОМУ) и другие материалы для изготовления бомб, которые потребуют закрытия порта до тех пор, пока эти материалы не будут безопасно удалены. Любой из этих примеров может серьезно повлиять на работу порта и иметь долгосрочный эффект в будущих операциях, если портовые средства будут повреждены.

3.9.2 Оценка риска

Террористическая деятельность может привести к закрытию порта на неопределенный срок и нарушению целостности цепи поставок. Малые и средние морские порты могут иметь ограниченные ресурсы для обнаружения и защиты операций порта от целенаправленной террористической деятельности. Меньшие порты фидерного типа особенно уязвимы к проблемам с опасным грузом, который обычно входит в цепь поставок в этих фидерных портах от местного наземного и железнодорожного грузового транспорта. В то время как вероятность целевой террористической деятельности в малых портах имеет низкий показатель, любой инцидент может привести к закрытию порта и созданию достаточной потери трафика через порт. Трафик может не возвратиться к исходному состоянию после восстановления операций порта, если сообщество пользователей будет рассматривать порт, как порт с потенциальным риском будущих операций.

Защита цепи поставок и непрерывности деятельности порта будут зависеть от качества и необходимого количества компетентного персонала, обученного мониторингу и обнаружению возможной угрозы для цепи поставок и операций порта. Оценка риска должна учитывать возможность возникновения, наличие места для мониторинга и обнаружения возможной террористической угрозы, а также конкретные роли и обязанности, которые будут выполняться каждой заинтересованной стороной или организацией при обнаружении и/или возникновении угрозы в морском порту.

Особое внимание должно быть уделено растущей угрозе кибератак на системы передачи информации и данных, защищающих цепь поставок. Для обнаружения и предотвращения кибератак должны быть установлены компьютерные и сетевые системы обнаружения взломов систем безопасности, предотвращения утечки данных, предотвращения кражи информации о планах защиты безопасности, повреждения файлов критических данных и/или фальсификации данных о доставке, чтобы скрыть опасные грузы. Должна быть проведена детальная оценка качества и возможностей, установленных компьютерных и сетевых систем защиты, чтобы определить уязвимость систем по отношению к возможным кибератакам.

3.9.3 Стратегии минимизации последствий

Стратегии минимизации последствий должны учитывать необходимость определения и защиты критически значимых объектов морского порта и систем безопасности, а также планируемые меры по предупреждению (после обнаружения) любой террористической деятельности. Шаги раннего обнаружения и предупреждения являются лучшей защитой от случайных и хорошо спланированных террористических актов. Терроризм — это глобальная проблема, и заинтересованным сторонам порта необходимо установить связи с глобальными, региональными и местными правоохранительными органами и спецслужбами, чтобы получать информационные оповещения о любой известной террористической деятельности, которая сосредоточена в их областях.

Террористическая деятельность (по определению) будет скрытой операцией, которая потребует от портов передавать информацию в спецслужбы для раннего предупреждения и оповещения о любой потенциальной деятельности, направленной на цепь поставок и операции морского порта. План управления безопасностью требует устанавливать связи с правоохранительными органами и спецслужбами и тщательно внедрять документированные процедуры обнаружения и реагирования на потенциальный террористический акт. В частности, план управления безопасностью должен включать следующие шаги по минимизации последствий:

— установление связей со спецслужбами и правоохранительными органами, которые отслеживают террористическую деятельность;

— внедрение документированной процедуры по реагированию в случае выявления потенциальной угрозы;

— использование технологического оборудования и систем для мониторинга портовых сооружений и выявления возможной террористической деятельности;

— использование инспекционного оборудования и оборудования для сканирования груза с целью обнаружения ОМУ и опасных материалов, спрятанных в грузе, перевозимом через порт;

— внедрение документированной процедуры действий при обнаружении опасного груза для его задержания, изоляции и утилизации, чтобы быстро вернуть порт в нормальное состояние;

— непрерывное обучение для повышения осведомленности персонала о проблемах наблюдения и обнаружения потенциальных террористических угроз;

— процедура обеспечения безопасного доступа в порт с позитивной идентификацией персонала и посетителей и защиты от несанкционированного движения легковых и грузовых автомобилей, пытающихся проникнуть в портовые сооружения.

Кроме того, в плане должны быть конкретно указаны роли и обязанности каждой из заинтересованных сторон при мониторинге, обнаружении, обмене данными и реагировании на возможные угрозы. Должны быть предусмотрены условия для периодических учебных сессий для проверки готовности заинтересованных сторон, безопасности систем обнаружения и шагов реагирования на инцидент.

3.9.4 Руководство по восстановлению

Должно быть сделано все, чтобы обнаружить и предотвратить террористический акт. Восстановление может быть экстенсивным, если основные элементы порта повреждены. Кроме того, грузоотправители потеряют доверие к порту, если угроза террористической деятельности высока. Если любой инцидент фактически произойдет, то после возвращения порта в нормальное рабочее состояние потребуется значительный объем усилий в области маркетинга для восстановления уровня доверия и целостности услуг, предлагаемых портом для защиты цепи поставок.

Качество плана восстановления следует оценивать в соответствии с ИСО 28000 и серией стандартов ИСО 28004 по его способности обеспечивать непрерывность операций в морском порту, и на основании критериев оценки ему присваивается доверительный уровень.

3.10 Погодные риски

3.10.1 Природа рисков

Экстремальные погодные условия могут повлиять на способность операторов порта безопасно загружать и разгружать суда, перемещать грузы вокруг морского порта и обеспечивать безопасность грузов, если охранные системы зависят от погодных условий (потеря мощности, плохая видимость и заблокированный доступ к защищаемым районам). Прогнозы погоды для операций в морских портах обычно обеспечивают достаточное заблаговременное предупреждение, что позволяет предпринять превентивные меры для сведения к минимуму воздействия сильных штормов и/или неблагоприятных погодных условий, которые могут привести к остановке работы порта. Исходя из географического положения и погодных условий в исторической ретроспективе ожидается, что в течение года в морском порту будут происходить некоторые задержки в работе, вызванные дождем, снегом, льдом, сильными ветрами и в некоторых случаях наводнениями. Эти условия в дополнение к чрезвычайно низким и высоким температурам будут в некоторой степени влиять на поток перевозок в морском порту, а также на способность морского порта обеспечивать безопасность грузов, если системы безопасности будут выведены из строя из-за погодных условий.

План управления безопасностью должен иметь хорошо проработанные документированные планы действий в экстремальных погодных условиях, способных поставить под угрозу безопасность груза, обрабатываемого портом. Погодные условия, которые приводят к остановке работы порта и повреждению критически значимого оборудования, систем безопасности и средств, следует учитывать с использованием накопленных данных о вероятности возникновения экстремальных погодных условий и о том, какие шаги были предприняты в прошлом для восстановления нормального режима работы порта.

3.10.2 Оценка риска

Экстремальные погодные условия могут разрушить портовые сооружения и замедлить перемещение грузов в морском порту. Если на обеспечение безопасности порта оказывают влияние погодные условия, целостность цепи поставок может быть нарушена, если альтернативные планы защиты грузов в цепи поставок не внедрены надлежащим образом. Сильные штормы (дождь, ветер, снег), вызывающие наводнения, морские волнения и повреждения в линиях электропередачи в зданиях и в портовом оборудовании (в результате сильного ветра), замедляют и/или приостанавливают операции в порту. Для защиты груза в порту и поддержания способности персонала управлять мерами безопасности груза в цепи поставок должна быть проведена оценка индивидуального потенциального риска экстремально холодной погоды, приводящей к сезонной ледовой блокировке и температурам замерзания, влияющим на оборудование и персонал.

Каждый из этих возможных рисков имеет вероятность возникновения, основанную на накопленных данных о погодных условиях для каждого географического порта. Несмотря на некоторую степень предсказуемости, планы управления безопасностью должны учитывать и оценивать те факторы риска, которые делают порт неспособным поддерживать позитивный контроль безопасности и защиту цепи поставок. В частности, необходимо оценить риск, связанный с потерей мощности и любым ущербом программным системам, критическим системам защиты портов и системам мониторинга безопасности, а также составить планы минимизации последствий для минимизации риска, угрожающего целостности цепи поставок.

3.10.3 Стратегия минимизации последствий

План управления безопасностью должен ссылаться на конкретные процессы, которые должны быть реализованы, чтобы предотвратить серьезные задержки, защитить целостность цепи поставок и как можно быстрее восстановить систему до рабочего состояния после каждого происшествия. Правильный прогноз погоды должен обеспечить достаточное предварительное уведомление об угрозе сложных погодных условий, которые могут нарушить работу порта. Поэтому (как часть плана управления) должны быть предусмотрены меры для мониторинга погодных условий и предоставления оповещений заинтересованным сторонам, когда погодные условия могут нарушить обслуживание. Используя погодные данные в исторической ретроспективе и их воздействие на портовые операции, в плане следует учитывать ожидаемые задержки в течение определенного периода года, которые могут быть отнесены к каждому погодному состоянию, и данные о том, какие операции в порту и процедуры безопасности были реализованы для минимизации воздействия на цепь поставок.

Для таких условий, как сезонное похолодание и обледенение, которые влияют на портовые операции и системы безопасности, план должен учитывать альтернативные пути для обеспечения непрерывности операций и защиты цепи поставок. В плане управления безопасностью (в зависимости от серьезных изменений ожидаемой погоды) заранее должны учитываться определенные планы, процедуры и процессы, а персонал должен быть обучен шагам, которые необходимо предпринять для защиты цепи поставок. Планы по минимизации последствий должны быть достаточно подробными и содержать конкретные роли, обязанности и мероприятия, которые должны быть приняты заинтересованной стороной для реализации процедуры предупреждения в ответ на ожидаемые погодные условия.

3.10.4 Руководство по восстановлению

Погодные условия, влияющие на цепь поставок и деятельность портов, достаточно предсказуемы, и, как правило, предупреждение предоставляется достаточно заблаговременно, чтобы принять превентивные меры для защиты цепи поставок. Исторические данные о суровых погодных условиях, этапах предупреждения и процедурах восстановления должны быть задокументированы и проанализированы, чтобы определить наилучшие этапы восстановления для обеспечения непрерывности портовых операций. Во всех случаях критические системы, которые могут повлиять на работу портов и безопасность цепи поставок, должны иметь определенные резервные системы/оборудование и обученный персонал для выполнения шагов восстановления. Восстановление может быть экстенсивным, если основные элементы порта и системы безопасности повреждены и выведены из строя в течение длительных периодов времени.

4 Оценочные критерии плана управления безопасностью порта и процесс присвоения рейтинга

4.1 Общие положения

Процесс анализа и оценки обеспечения безопасности в плане управления безопасностью порта основывается на определении его соответствия международным стандартам ИСО и способности внедренной системы безопасности эффективно обеспечивать сохранность груза в цепи поставок. Для обеспечения соответствия требованиям безопасности ИСО 28000 планы управления безопасностью организаций заинтересованных сторон средних и малых портов следует периодически анализировать для определения их дееспособности и эффективности в защите цепи поставок от идентифицированных угроз и рисков в отношении операторов портов. Периодический анализ должен включать проверку процедур обеспечения безопасности порта для обнаружения, защиты и реагирования на инциденты или чрезвычайные ситуации, вызванные нарушениями безопасности и угрозами. Проверки можно проводить как внутренними силами, так и независимыми группами обученных специалистов по безопасности. Оценки следует проводить по набору показателей результативности деятельности по управлению (KPI), эксплуатации, снижения рисков и восстановления, чтобы установить уровень уверенности в том, что планы управления безопасностью морского порта достаточны для обеспечения целостности цепи поставок для всех грузов, обрабатываемых морским портом.

ИСО 20858 предусматривает конкретные дополнительные указания и утвержденный чек-лист оценки возможностей и полноты плана управления безопасностью порта по устранению угроз и рисков для целостности цепи поставок. Настоящий стандарт вместе с соответствующими положениями ИСО 20858 предоставляет набор расширенных инструкций и руководств, которые можно использовать для оценки и определения того, соответствуют ли реализованные планы требованиям ИСО 28000 и серии стандартов ИСО 28004 и достаточны ли они для защиты цепи поставок грузов, находящихся под контролем порта.

4.2 Процесс оценки плана управления безопасностью и процедуры

Заинтересованная сторона среднего и малого морского порта должна разработать и поддерживать комплексный план управления безопасностью и документы, включающие процедуры для обеспечения целостности цепи поставок. План управления следует периодически проверять и оценивать для того, чтобы внедренные процедуры безопасности были достаточными для защиты цепи поставок от идентифицированных угроз и рисков для операций морского порта. Планы защиты безопасности следует оценивать по набору показателей результативности (KPI), чтобы определить полноту, качество и эффективность разработанного плана заинтересованной стороны морского порта в соответствии с требованиями, указанными в ИСО 28000. Оценка также будет включать соответствие следующим документам:

— WCO SAFE «Рамочные стандарты по безопасности»;

— «Таможенно-торговое партнерство США против терроризма» (С-ТРАТ);

— Правила уполномоченного экономического оператора (АЕО).

4.3 Критерии для оценки соответствия

Следующие установленные показатели результативности деятельности (KPI) в качестве критериев следует использовать для измерения качества и эффективности плана управления безопасностью для защиты целостности цепи поставок от идентифицированных угроз и рисков для операций морского порта. Показатели результативности деятельности включают эксплуатационную готовность (планы действий, готовность персонала и возможности систем) порта к обнаружению, защите и реагированию на типы угроз/риска, определенные в девяти возможных типах инцидентов. В частности, критерии оценки позволяют оценить качество оперативных планов, готовность персонала и эффективность автоматизированных систем безопасности для защиты груза, находящегося в порту и под непосредственным контролем организации морского порта. Планы управления безопасностью должны быть оценены для каждой из девяти областей риска, чтобы определить, насколько правильно и точно разработан план, идентифицированы и учтены угрозы, риски, меры по минимизации последствий и этапы восстановления для защиты цепи поставок.

Оценка показателей и тщательный анализ плана управления безопасностью направлены на следующее:

— актуальны ли методы предупреждения проблем с безопасностью, возможности персонала, планы обеспечения непрерывности COOP и проектный анализ DR в отношении выявленных угроз и рисков для операций морского порта?

— выявили ли заинтересованные стороны и уполномоченные организации все возможные угрозы и риски для операций, охватывающих девять областей риска?

— являются ли выявленные угрозы и риски актуальными в отношении меняющихся глобальных угроз и рисков для цепи поставок?

— доскональность плана по устранению каждого из выявленных потенциальных рисков и угроз для морского порта, включая список инцидентов и чрезвычайных ситуаций, которые произошли в морском порту в исторической ретроспективе;

— идентификацию ответственного(ых) лица (лиц) и вертикали управления для реагирования на конкретные угрозы, риски, чрезвычайные ситуации и инциденты;

— верификацию работы оборудования для обеспечения безопасности и верификацию планов обслуживания для обеспечения непрерывности услуг;

— наличие необходимой информации во время чрезвычайной ситуации, например чертежи компоновки предприятия, данные о безопасности и особые процедуры реагирования для защиты цепи поставок груза;

— планы и процедуры реагирования, которые должны выполняться внутренними и внешними заинтересованными сторонами и любым внешним персоналом, находящимся на территории, включая процедуры эвакуации;

— оценку эффективности работы сотрудников службы безопасности морского порта по процедурам распознавания, защиты и реализации плана управления безопасностью для защиты цепи поставок, включая ответственность, полномочия и обязанности персонала с конкретными ролями в ходе чрезвычайной ситуации (например, сотрудники охраны, пожарные, сотрудники скорой помощи, специалисты по радиологической утечке/токсическому загрязнению);

— доскональность процедуры, описывающей, как меры безопасности и условия безопасности восстанавливаются в краткосрочной и среднесрочной перспективе, проверяются и сертифицируются для правильной работы;

— идентификацию, расположение и защиту материального обеспечения, записей, данных и оборудования, а также какие действия необходимы для защиты критических предметов во время чрезвычайной ситуации;

— определение, есть ли в наличии на местах определенные процедуры, роли и обязанности для взаимодействия со службами экстренной помощи и службами быстрого реагирования;

— эффективность процедур обмена информацией с заинтересованными сторонами, организациями и учреждениями, принимающими решения сообщать, давать и получать необходимые разрешения и рекомендации для реагирования на чрезвычайные ситуации;

— полноту планов восстановления после инцидента для возобновления операций порта с конкретными пошаговыми процедурами восстановления, требованиями к ресурсам и расчетными временными рамками для восстановления систем безопасности порта до полного рабочего состояния.

В дополнение, план управления безопасностью оценивается на предмет участия внешних уполномоченных организаций в планировании и реагировании на чрезвычайные ситуации, чтобы убедиться, что их роли и обязанности четко задокументированы и адекватны для поддержки диапазона угроз и рисков работы морского порта.

4.4 Использование ИСО 20858 для процедур оценки и определения безопасности

ИСО 20858 предоставляет руководство и инструкции по определению, которые могут быть использованы операторами порта для оценки способности их плана управления безопасностью порта защищать целостность цепи поставок. В ИСО 20858 (раздел 4) содержится руководство по подтверждению необходимых знаний, которые требуются персоналу для оценки планов управления безопасностью, чек-листа для оценки планов и сценариев возможных угроз и инцидентов безопасности, которые могут повлиять на работу порта. В частности, в ИСО 20858 (подраздел 4.3) приведена подробная таблица, содержащая более чем 128 факторов оценки состояния безопасности портов, которые можно использовать для оценки соответствия, возможностей, эффективности и готовности планов управления безопасностью порта к защите груза, находящегося под непосредственным контролем порта. В ИСО 20858 (подраздел 4.4) приведен список возможных сценариев угроз и сценариев безопасности, относящихся к элементам девяти областей риска (см. 2.4.5). Для всего, что находится под непосредственным управлением портов, как указано в ИСО 20858 (подраздел 4.2), и для настоящего стандарта следует включить следующее:

— все средства портов, морские, железнодорожные и наземные операции, которые проводятся в пределах физических границ портового сооружения;

— судоходные, наземные и железнодорожные транспортные каналы, используемые для приближения к объектам порта;

— области, непосредственно связанные с портовыми сооружениями, которые находятся за пределами установленного периметра безопасности;

— услуги по поставке, хранению и складированию грузов, используемые для укладки или обработки груза до/во время/после морской перевозки в пределах портовой инфраструктуры;

— средства для проверки, мониторинга, контроля, доступа к данным и документации по грузу для морских, железнодорожных и наземных перевозок обрабатываются, охраняются и доступны в пределах портовой инфраструктуры.

Область применения данной оценки распространяется на все портовые эксплуатационные и инфраструктурные объекты, погрузочные доки, зоны хранения, автоматизированные и физические системы контроля и защиты, а также железнодорожные, наземные и судовые транспортные системы.

4.5 Рейтинговая система оценки плана управления безопасностью

План управления безопасностью средних и малых морских портов должен пройти оценку для определения уровня его соответствия требованиям обеспечения безопасности, указанным в ИСО 28000. Процесс оценки направлен на качество плана управления безопасностью морского порта и обеспечение защиты цепи поставок груза от выявленных операционных рисков и угроз для морского порта. Критерии оценки для определения способности планов защитить безопасность и непрерывную работу цепи поставок представлены в таблице 2. Пятиуровневая рейтинговая система начинается с уровня 1 «Неприемлемый» и заканчивается уровнем 5 «Исключительный». Номер рейтинга присваивается для обозначения оцененной уязвимости и вероятности того, что план управления безопасностью достаточен для защиты целостности цепи поставок.

Таблица 2 — Критерии оценки для плана управления безопасностью


Уровень 1	Неприемлемый Высокая вероятность, что план системы управления порта не предоставляет адекватные условия для обеспечения бесперебойного потока грузов через морской порт. В плане не учтены все выявленные зоны риска и угрозы, которые оказывают влияние на цепь поставок грузов, поступающих в порт, уязвимые для сбоев и нарушений безопасности. План управления безопасностью не имеет достаточной детализации для определения шагов по предупреждению, минимизации последствий и восстановлению после бедствий, необходимых для защиты цепи поставок и обеспечения непрерывности деятельности (операций)
Уровень 2	Предельный Средняя или высокая вероятность того, что непрерывность деятельности (операций) и безопасность цепи поставок могут быть нарушены для идентифицированных областей риска и угроз, положений о предупреждении и восстановлении, которые отражены в плане управления безопасностью порта. План управления безопасностью охватывает некоторые, но не все выявленные области риска и угроз. План показывает взаимную компенсацию силы и слабости с акцентом на слабость, которая потенциально может включать непрерывность и безопасность цепи поставок. В плане недостаточно подробно рассматриваются этапы предупреждения, минимизации последствий и восстановления после бедствия для защиты цепи поставок и обеспечения непрерывности деятельности/операций
Уровень 3	Приемлемый Низкая или средняя вероятность того, что непрерывность деятельности/операций и безопасность цепи поставок могут быть нарушены выявленными зонами риска и угроз на основе положений о предупреждении и восстановлении, рассмотренных в порту и отраженных в плане управления безопасностью. Управление безопасностью охватывает все идентифицированные области риска и угроз и включает документированные процедуры предупреждения, минимизации последствий и восстановления после бедствия, которые имеют больше преимуществ, которые могут оказать воздействие на безопасность и поток товаров через морской порт, чем недостатков
Уровень 4	Выдающийся Средняя или высокая вероятность того, что непрерывная работа и безопасность цепи поставок могут быть поставлены под угрозу в выявленных областях риска и угроз на основе положений о предотвращении и восстановлении, указанных в плане управления безопасностью порта. Управление безопасностью охватывает все идентифицированные области риска безопасности и имеет шаги по предотвращению, смягчению последствий и аварийному восстановлению, которые демонстрируют больше преимуществ (сильных сторон), чем недостатков (слабых сторон), которые могут повлиять на безопасность и поток товаров через морской порт
Уровень 5	Исключительный Средняя или высокая вероятность того, что непрерывность деятельности/операций и безопасность цепочки поставок могут быть поставлены под угрозу в выявленных областях риска и угроз на основе положений о предотвращении и восстановлении, указанных в плане управления безопасностью порта. Управление безопасностью охватывает все выявленные зоны риска для безопасности и имеет шаги по предотвращению, минимизации последствий и восстановлению после бедствий, которые демонстрируют больше преимуществ (сильных сторон), чем недостатков (слабых сторон), которые могут повлиять на безопасность и поток товаров через морской порт

Библиография


[1]	ISO 20858, Ships and marine technology — Maritime port facility security assessments and security plan development (Суда и морские технологии. Оценка охраны и разработка планов охраны портовых средств)
__________________ В Российской Федерации действует ГОСТ Р 53660-2009 (ИСО 20858:2004) «Суда и морские технологии. Оценка охраны и разработка планов охраны портовых средств».
[2]	ISO 28000, Specification for security management systems for the supply chain (Система менеджмента безопасности цепи поставок)
_______________ В Российской Федерации действует ГОСТ Р 53663-2009 (ИСО 28000:2005) «Система менеджмента безопасности цепи поставок. Требования».
[3]	ISO 28001, Security management systems for the supply chain — Best practices for implementing supply chain security, assessments and plans — Requirements and guidance (Система менеджмента безопасности цепи поставок. Наилучшие методы обеспечения безопасности цепи поставок. Оценки и планы)
_______________ В Российской Федерации действует ГОСТ Р 53662-2009 (ИСО 28001:2005) «Система менеджмента безопасности цепи поставок. Наилучшие методы обеспечения безопасности цепи поставок. Оценки и планы».
[4]	ISO 28002, Security management systems for the supply chain — Development of Resilience in the supply chain — Requirements with guidance for use (Системы менеджмента безопасности для цепи поставок. Развитие устойчивости в цепи поставок. Требования и руководство по применению)
_______________ Официальный перевод этого стандарта находится в Федеральном информационном фонде стандартов.
[5]	ISO 28003, Security management systems for the supply chain — Requirements for bodies providing audit and certification of supply chain security management systems (Системы менеджмента безопасности для цепи поставок. Требования к органам, проводящим аудит и сертификацию системы менеджмента безопасности цепи поставок)
_______________ Официальный перевод этого стандарта находится в Федеральном информационном фонде стандартов.
[6]	ISO 28004-1, Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 1: General principles (Системы менеджмента безопасности цепи поставок. Руководство по внедрению ISO 28000. Часть 1. Основные принципы)
_______________ Официальный перевод этого стандарта находится в Федеральном информационном фонде стандартов.


УДК 656.614.3.004:006.354	ОКС 03.100.01

Ключевые слова: система менеджмента, безопасность, цепь поставок, руководство, внедрение, применение, использование, оператор, морской порт, средний и малый порты

Электронный текст документа

и сверен по:

, 2020

Источник