Реестр риска расчеты с описанием пример. Реестр основных операционных рисков производственного управления в г. Тюмень по состоянию на года. А.2 Матрица риска

риски , которые считают важными для проекта, при этом не допускается обсуждение выдвинутых рисков . Далее риски сортируют по категориям и уточняют.

Метод Дельфи аналогичен методу мозгового штурма, но его участники не знают друг друга. Ведущий с помощью списка вопросов для получения идей, касающихся рисков проекта, собирает ответы экспертов. Далее ответы экспертов анализируются, распределяются по категориям и возвращаются экспертам для дальнейших комментариев. Консенсус и список рисков получается через несколько циклов этого процесса. В методе Дельфи исключается давление со стороны коллег и боязнь неловкого положения при высказывании идеи.

Таблица 5.7. Шаблон реестра рисков
ИДЕНТИФИКАЦИЯ РИСКА
Дата возникновения риска Дата регистрации риска Наименование и описание риска Инициатор Причины Последствия Владелец риска Дата окончания действия риска
.
.
Таблица 5.8. Пример заполнения реестра рисков (упрощенный)
Первопричина Условие Последствие
Необеспеченность кадрами Могут быть объединены Таблица 5.9. Пример заполнения расширенного журнала рисков
Тип риска Описание риска Проактивные мероприятия Реактивные мероприятия Вероятность Последствия Фактор риска
Технологический Заказчик может задержать выпуск продукта из-за постоянных изменений и дополнений требований к продукту
  1. Разделить требования на "абсолютно необходимые" и "хорошо бы было иметь", до запуска системы выполнять только абсолютно необходимые требования
  2. Убедиться в том, что руководство заказчика понимает и поддерживает подход, что заявки на изменения будут выполняться после завершения основных работ везде, где это возможно
  1. Обсудить изменение сроков ввода системы в эксплуатацию из-за накопившегося объема изменений для обеспечения необходимого уровня качества финального продукта
 8 6 48
Финансовый Заказчик настаивает на бесплатном исправлении всех ошибок (в данном случае речь идет только о тех пунктах, которые мы также можем признать ошибками), что может привести к серьезным финансовым потерям
  1. Включить в план работ бюджет и время программистов на исправление ошибок по результатам тестирования.
  2. Разъяснять ключевым представителям заказчика, что выявление и исправление ошибок является частью технологии разработки ПО
  1. В случае невозможности достижения договоренности поднять вопрос на уровень управляющего комитета
 8 6 48

Р 50.1.084-2012 Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации

установить закладку

установить закладку

Менеджмент риска

РЕЕСТР РИСКА

Руководство по созданию реестра риска организации

Risk management. Risk register. Guidelines on construction of organization risk register

Дата введения 2013-12-01

Предисловие

1 РАЗРАБОТАНЫ Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД")

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1283

4 ВВЕДЕНЫ ВПЕРВЫЕ

Информация об изменениях к настоящим рекомендациям публикуется в ежегодном указателе "Руководящие документы, рекомендации и правила", а текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ежемесячном информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Реестр риска является одним из способов представления и хранения информации об опасных событиях и риске. Наличие реестра риска позволяет организации получить информацию, относящуюся к конкретному источнику опасности, последствиям, объекту воздействия опасных событий и т.д. Однако разработка реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также большого объема информации.

Необходимость разработки и ведения реестра риска организация определяет самостоятельно.

3.2 реестр риска (risk register): Форма записи информации об идентифицированном риске.

Примечание - Вместо термина "реестр риска" иногда используют термин "журнал риска".

3.3 опасность (hazard): Источник потенциального вреда.

Примечание - Опасность может быть источником риска.

3.4 менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.

4 Порядок разработки реестра риска организации

4.1 Общие положения

Организация должна определить необходимость разработки, этапы, форму и способы ведения реестра риска. Основные цели разработки реестра риска организации, его место в системе менеджмента риска, преимущества и недостатки реестра риска установлены в ГОСТ Р 51901.21 .

Реестр риска организации является формой ведения записей об идентифицированных опасных событиях, оценке соответствующего им риска, способах и сроках его обработки. При ведении реестра риска необходимо учитывать соответствующие обязательные требования, а также иную доступную информацию о видах опасности и риске ее возникновения. В зависимости от особенностей организации форма и содержание реестра риска могут быть изменены или дополнены по отношению к типовой форме реестра риска, приведенной в таблице 1 ГОСТ Р 51901.22 .

При разработке реестра риска организации необходимо учитывать:

  • политику, цели и стратегию организации в области менеджмента риска;
  • особенности изготавливаемой продукции и оказываемых организацией услуг;
  • основные производственные процессы и процессы менеджмента организации;
  • установленные и используемые методы анализа и оценки риска;
  • законодательные требования;
  • условия эксплуатации выпускаемой продукции.

Ответственность за менеджмент риска должна быть возложена на ответственного менеджера по риску или группу менеджмента риска, в том числе ответственность за контроль и мониторинг риска. Требования к менеджерам по риску установлены в ГОСТ Р 51901.21 .

Разработка, утверждение, ведение и актуализация реестра риска организации должна проводиться в соответствии с п.5 ГОСТ Р 51901.22 .

Обмен информацией по реестру риска и обеспечение конфиденциальности информации, связанной с реестром риска, необходимо проводить с учетом требований п.6 ГОСТ Р 51901.22 и рекомендаций, установленных в Р 50.1.070 .

Пример упрощенного метода оценки риска и разработки сокращенного варианта реестра риска малой организации приведен в Приложении А.

4.2 Этапы процесса менеджмента риска организации

Основные этапы разработки реестра риска организации должны соответствовать этапам процесса менеджмента риска. При этом содержание этапов зависит от особенностей менеджмента риска организации. Принципы менеджмента риска установлены в ГОСТ Р ИСО 31000 . Основные элементы процесса менеджмента риска для малых организаций приведены на рисунке 1.

Рисунок 1 - Общая схема процесса менеджмента риска

Описание основных элементов процесса менеджмента риска малых организаций приведено в Р 50.1.069 .

4.3 Карта процесса менеджмента риска организации

На основе процесса менеджмента риска в соответствии с ГОСТ Р 51901.21 организация может составить карту процесса менеджмента риска. При разработке карты процесса для малых организаций рекомендуется сохранить основные элементы менеджмента риска (идентификация опасных событий, количественная оценка риска, анализ и сравнительная оценка риска, обработка риска, мониторинг и пересмотр), при этом их содержание может быть уточнено в зависимости от особенностей деятельности организации.

4.4 Разработка реестра риска организации

4.4.1 Общие положения

Результаты действий, выполняемых на каждом этапе процесса менеджмента риска, должны быть представлены в реестре риска. Правила построения реестра риска приведены в ГОСТ Р 51901.22 . Типовая форма реестра риска приведена в таблице 1 ГОСТ Р 51901.22 .

Распределение ответственности за разработку и ведение реестра риска организации должно соответствовать этапам процесса менеджмента риска, поскольку внесение информации в реестр риска и ее корректировку следует выполнять после завершения каждого этапа процесса менеджмента риска.

Основные этапы разработки реестра риска организации описаны в п.п.4.4.2-4.4.6.

4.4.2 Установление целей и области применения реестра риска

Организация должна установить внешние и внутренние цели организации, а также цели в области менеджмента риска для выполнения остальных элементов процесса менеджмента риска. Рекомендации по определению области применения менеджмента риска приведены в Р 50.1.068 .

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами реестра риска могут быть:

  • организация в целом, ее структурное подразделение или его часть;
  • продукция, услуга, процесс или вид деятельности;
  • персонал или отдельные работники.

Общие требования к определению области применения реестра риска установлены в ГОСТ Р 51901.21 .

4.4.3 Разработка критериев риска

Организация должна установить критерии риска. Критерии должны отражать цели и область применения. Они часто зависят от интересов причастных сторон, а также от соответствующих законодательных и/или обязательных требований. Критерии риска могут быть эксплуатационными, техническими, финансовыми, юридическими, законодательными, социальными, экологическими, гуманитарными и/или др.

Общее описание критериев принятия решений должно быть разработано при установлении области применения менеджмента риска. Критерии риска должны быть уточнены и/или переработаны после идентификации конкретного вида риска и выбора метода анализа риска. Критерии риска должны соответствовать типу риска и способу его представления.

Критерии риска обычно вносят в реестр риска организации, однако для малых организаций критерии риска могут быть установлены в документированных процедурах или иных документах организации по менеджменту риска.

4.4.4 Идентификация опасных событий

Идентификация опасных событий должна включать в себя определение явлений и событий, которые могут воздействовать на объекты реестра риска, установленные в области применения реестра риска. Общие требования к идентификации опасных событий для включения в реестр риска установлены в п.4.2 ГОСТ Р 51901.21 .

Для малых, небольших организаций идентификация опасных событий может состоять из трех этапов:

  • определение методов идентификации риска;
  • выявление опасных событий;
  • выявление причин появления опасного события.

Вначале организация должна определить методы идентификации риска. При идентификации риска могут быть использованы следующие методы: анализ контрольных листов, экспертные оценки, анализ экспериментальных и хронологических данных, анализ структурной схемы надежности, метод мозгового штурма, системный анализ, анализ сценариев, методы системного проектирования. Эти методы более подробно рассмотрены в ГОСТ Р ИСО/МЭК 31010 . Выбор метода зависит от вида риска, области применения и целей менеджмента риска организации, а также применяемых и требуемых средств контроля и методов управления риском организации.

Методы идентификации риска обычно вносят в реестр риска организации, однако для небольших организаций методы идентификации риска могут быть определены в документированных процедурах или иных документах организации по менеджменту риска.

Следующим шагом является идентификация опасных событий, на котором организация должна составить общий перечень опасных событий, которые могут неблагоприятно повлиять на ее деятельность и выполнение целей. На основе перечня необходимо подробно описать каждое идентифицированное опасное событие, которое может произойти. При составлении перечня опасных событий может быть использована классификация опасностей, приведенная в приложении А ГОСТ Р 51901.21 .

Наименование опасного события должно быть сформулировано понятной фразой. Для опасного события, наименование которого является достаточно длинным, может быть использовано краткое наименование.

После идентификации возможных опасных событий необходимо рассмотреть источники и причины их возникновения, а также возможные последствия для деятельности организации.

Опасные события, их источники и возможные последствия вносят в реестр риска организации (в независимости от ее размера).

При проведении этапа идентификации опасностей рекомендуется учитывать требования ГОСТ Р 51901.23 .

4.4.5 Анализ риска

Общие требования к анализу риска опасных событий для включения в реестр риска установлены в п.4.3 ГОСТ Р 51901.22 .

Анализ риска включает исследование источников опасных событий, их последствий и вероятностей появления этих событий. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности. Кроме того, организация должна проанализировать и оценить применяемые средства контроля и методы управления. Величину последствий события и его вероятность необходимо оценивать с учетом результативности существующих стратегий, средств контроля и методов управления.

Анализ риска организации может быть проведен с различной степенью детализации в зависимости от особенностей риска, цели анализа, доступных данных и ресурсов. Анализ риска может быть качественным, количественным или комбинированным. Для малых организаций качественный анализ обычно используют для получения общей оценки риска и определения проблем, связанных с риском. Если организация примет решение о необходимости дальнейшего детального анализа, то могут быть применены количественные или комбинированные методы анализа риска. Описание данных видов анализа риска приведено в Р 50.1.069 и ГОСТ Р ИСО/МЭК 31010 .

Способы представления последствий и вероятности событий в реестре риска должны быть выбраны таким образом, чтобы обеспечить выполнение целей анализа риска.

При проведении анализа риска необходимо учитывать неопределенность и изменчивость оценок последствий и вероятности события, а также эффективность обмена информацией о риске. При внесении в реестр риска количественных данных следует (по возможности) указывать соответствующую им неопределенность.

4.4.6 Сравнительная оценка риска

Общие требования к сравнительной оценке риска для включения в реестр риска установлены в подразделе 4.4 ГОСТ Р 51901.22 .

Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при выполнении обработки риска.

При выполнении сравнительной оценки риска следует руководствоваться требованиями ГОСТ Р 51901.23 .

Результаты сравнительной оценки риска обычно вносят в реестр риска организации, если иное не определено в документированных процедурах или иных документах организации по менеджменту риска.

4.4.7 Обработка риска

Общие требования к обработке риска для включения в реестр риска установлены в подразделе 4.5 ГОСТ Р 51901.22 .

На этапе обработки риска проводят выбор стратегии обработки риска, оценку последствий, вероятности опасного события и риска (с учетом применения выбранной стратегии обработки риска), определяют мероприятия по обработке риска, сроки и ответственных за их выполнение, оценивают результаты обработки риска.

Для малых организаций обязательными элементами реестра риска, связанными с этапом обработки риска, являются определение мероприятий по обработке риска, сроков их планового и фактического выполнения.

Обычно бюджет обработки риска малой организации ограничен, поэтому способы обработки должны также устанавливать порядок обработки каждого риска. Организация должна сравнить общие затраты в случае появления опасного события, когда не применяются никакие меры, с экономией средств, полученных после обработки риска и применении предупреждающих действий.

4.4.8 Мониторинг риска и пересмотр реестра риска

Общие требования к мониторингу риска и пересмотру реестра риска установлены в подразделе 4.6 ГОСТ Р 51901.22 .

Организация должна обеспечивать непрерывность процесса менеджмента риска, поэтому необходимо проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре риска.

Результаты мониторинга риска обычно вносят в реестр риска организации, однако для малых организаций эти результаты могут быть определены в документированных процедурах или иных документах организации по менеджменту риска.

Приложение А
(справочное)


Пример упрощенного метода оценки риска и разработки сокращенного варианта реестра риска малой организации

А.1 Общие положения

Структура и состав реестра риска зависят от особенностей организации. Типовая форма реестра риска приведена в ГОСТ Р 51901.22 . Малые организации могут использовать сокращенную (упрощенную) форму реестра риска, пример которой приведен в таблице А.1.

Таблица А.1 - Упрощенная форма реестра риска

Иденти-
фикатор опасного события

Наиме-
нование и описание опасного события

Ответст-
венный менеджер по риску

Последст-
вия опасного события

Вероят-
ность опасного события

Оценка риска

Мероприятия по обработке риска

Срок выполнения мероприятий по обработке риска

Приме-
чания

При заполнении реестра риска могут быть использованы следующие шкалы:

шкала последствий : 5 - последствия катастрофические, 4 - последствия значительные, 3 - последствия умеренные, 2 - последствия небольшие, 1 - последствия малозначительные;

шкала вероятности опасного события : 5 - вероятность очень высокая, 4 - вероятность высокая, 3 - вероятность средняя, 2 - вероятность низкая, 1 - вероятность очень низкая;

оценка риска: риск приемлемый (0-4), риск контролируемый (5-8), риск значимый (9-25);

мероприятия по обработке риска: (0) риск отсутствует, действия не предпринимаются; (0-4) низкий риск, предпринимаются только низкозатратные действия; (5-8) средний риск, предпринимаются действия с учетом времени их выполнения и экономической целесообразности; (9-25) высокий риск, необходимо срочное выполнение мероприятия по снижению риска; (16-25) высокий риск, применение незамедлительных (аварийных) действий по снижению риска.

А.2 Матрица риска

А.2.1 Общие положения

Метод оценки риска опасных событий приведен в ГОСТ Р 51901-23*, однако малые организации могут применять упрощенные методы оценки риска, при этом необходимо учитывать неопределенность таких оценок риска.

________________

* Вероятно ошибка оригинала. Следует читать: ГОСТ Р 51901.23 . - Примечание изготовителя базы данных.

Малые организации могут использовать матрицу риска для оценки значимости риска. Для систематической и последовательной оценки риска необходимо разработать матрицу риска в соответствии со следующими этапами:

  • оценка вероятности опасного события (А.2.2);
  • оценка последствий опасного события (А.2.3);
  • составление матрицы риска (А.2.4);
  • определение мероприятий по обработке риска (А.2.5).

В настоящем примере приведен наиболее простой вариант матрицы риска. Организация в зависимости от условий оценки риска может разработать свою матрицу риска.

А.2.2 Оценка вероятности опасного события

В малой организации в зависимости от объекта реестра риска менеджер по риску должен ответить на вопрос какова вероятность реализации опасного события при применении указанных средств контроля и методов управления мероприятий по снижению риска. При этом можно использовать таблицу А.2.

Таблица А.2 - Оценка вероятности опасного события

Если существуют сомнения в оценке вероятности возникновения опасного события, то ранг опасности события повышают.

А.2.3 Оценка последствий опасного события

В зависимости от области воздействия опасного события, менеджер по риску должен оценить последствия опасного события при существующих средствах контроля, методах управления и мероприятиях по снижению риска. Для этого можно использовать таблицу А.3.

Таблица А.3 - Оценка последствий опасного события

Последствие , в баллах

Описание последствий

Объекты воздействия опасного события*

катастрофические последствия

Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура

значительные последствия

Люди, экономика, инфраструктура, окружающая среда, социальная среда

умеренные последствия

Люди, экономика, инфраструктура

небольшие последствия

Экономика, инфраструктура

малозначительные последствия

Социальная среда

* Объекты воздействия опасного события приведены только для примера.

Если существуют сомнения в оценке последствий опасного события, то ранг этого события повышают.

А.2.4 Составление матрицы риска

В данном примере использован наиболее простой способ оценки риска - качественная оценка последствий и вероятности опасного события. При этом риск рассчитывают как произведение последствий на вероятность :

Ранги последствий и вероятности определяют по таблицам 2 и 3.

Полученные результаты позволяют построить матрицу риска (таблица А.4), которую можно использовать как основу для идентификации приемлемого и неприемлемого риска.

Таблица А.4 - Матрица риска

Качественная оценка вероятности опасного события

Последствия

малозначительные (1)

небольшие (2)

умеренные (3)

значительные (4)

катастрофические (5)

Очень низкая (1)

Низкая (2)

Средняя (3)

Высокая (4)

Очень высокая (5)

Примечание - Оценка риска (ранг риска): приемлемый (0-4), контролируемый (5-8), значимый (9-25).

Для большей наглядности в реестре риска оценка риска может быть выделена цветом:

зеленый цвет - приемлемый риск (0-4);

желтый цвет - контролируемый риск (5-8);

красный (темно-красный) цвет - серьезный и значимый риск (9-25).

Идентифицированные виды риска могут быть ранжированы как в подразделениях, так и во всей организации. Ранжирование основано на матрице риска (произведение последствий и вероятности) и позволяет идентифицировать большую часть существенных рисков.

А.2.5 Определение стратегии и мероприятий по обработке риска

В зависимости от оценки риска (см. таблицу А.4) должны быть определены предпринимаемые действия по каждому риску, зарегистрированному в реестре риска. В таблице А.5 приведен пример предпринимаемых действий с учетом оценки риска.

Таблица А.5 - Пример предпринимаемых действий с учетом оценки риска

Оценка риска

Предпринимаемые действия

Приемлемый риск (0)

Риск отсутствует, действия не предпринимаются

Приемлемый риск (0-4)

Низкий риск, предпринимаются только низкозатратные действия

Контролируемый риск (5-8)

Средний риск, предпринимаются действия с учетом времени реализации и экономической эффективности мер по снижению риска

Серьезный риск (9-25)

Высокий риск, необходимо предпринять срочные меры по снижению риска

Значимый риск (16-25)

Очень высокий риск, необходимо предпринять незамедлительные (аварийные) меры по снижению риска

Мероприятия по снижению риска или обработке риска могут быть включены в реестр риска и/или могут быть разработаны в виде отдельного документа. В этом случае в реестре риска должна быть дана ссылка на этот документ. В приведенном примере мероприятия по обработке риска включены в реестр риска.

А.3 Дополнительные положения

Поскольку реестр риска постоянно актуализируется необходимо регистрировать даты записей о риске и всех внесенных изменений. Если план мероприятий включен в регистр риска, цель и сроки завершения действий, предусмотренных планом, должны быть зарегистрированы.

Колонка комментариев или примечаний в реестре риска позволяет делать ссылки на необходимую информацию, например, проведение совещания, на котором обсуждались проблемы данного риска.

Реестр рисков проекта содержит информацию в табличной удобочитаемой форме об известных, идентифицированных рисках проекта. Реестр рисков проекта должен всегда содержать актуальную информацию, от этого в полной мере зависит качество работы команды проекта с рисками.Обычно реестр рисков проекта содержит следующую информацию:

  • ID — уникальный идентификационный номер риска проекта. При использовании , этот номер должен совпадать с ID риска, указанным в ИСУП.
  • Описание риска — детальное описание риска проекта.
  • Категория — категория риска в соответствии с КСУП. Например, инвестиционный риск, технологический риск, риск, связанный с командой проекта и прочее.
  • Тип — тип риска: положительный или отрицательный. Положительные риски играют на руку команде проекта и несут в себе дополнительные преимущества, позволяющие быстрее реализовать проект. Отрицательные же риски, наоборот, снижают вероятность успешного завершения проекта.
  • Влияние — степень влияние риска на один из четырех ключевых параметров проекта: стоимость, сроки, содержание или качество. Обычно оценивается значениями 0.05, 0.1, 0.2, 0.4, 0.8.

  • Общее влияние — общее влияние риска зависит от выбранной модели (max — используется максимальное значение, avg — используется среднее значение) и определяется на основании влияния риска на четыре параметра.
  • Вероятность — вероятность возникновения риска. Обычно оценивается значениями 0.1, 0.3, 0.5, 0.7, 0.9.
  • Значение — фактически величина риска, рассчитывается как произведение Общего влияния на Вероятность .
  • Стратегия — стратегия реагирования на риск. Выбирается одна из семи стратегий. Для отрицательных рисков: уклонение, снижение, совместное использование . Для положительных рисков: передача, использование, усиление . Для всех рисков: принятие .
  • Мероприятия — описание мероприятий по работе с риском, в соответствии с выбранной стратегией реагирования.
  • Ответственный — ФИО члена команды проекта, ответственного за работу с риском.
Похожие публикации