Calcoli del registro dei rischi che descrivono un esempio. Registro dei principali rischi operativi della gestione della produzione a Tyumen a partire dall'anno. A.2 Matrice di rischio

rischi ritenuti importanti per il progetto, mentre non è consentita la discussione dei rischi sollevati. Quindi i rischi vengono ordinati in categorie e specificati.

Metodo Delphiè simile al metodo del brainstorming, ma i partecipanti non si conoscono. Il facilitatore utilizza un elenco di domande per farsi un'idea sui rischi del progetto, raccogliendo risposte dagli esperti. Quindi le risposte degli esperti vengono analizzate, classificate e restituite agli esperti per ulteriori commenti. Un consenso e un elenco dei rischi si ottengono attraverso diversi cicli di questo processo. Il metodo Delphi elimina la pressione dei pari e la paura dell'imbarazzo quando si esprime un'idea.

Tabella 5.7. Modello di registro dei rischi
IDENTIFICAZIONE DEL RISCHIO
Data emergenza rischio Data registrazione rischio Nome e descrizione rischio Iniziatore cause Conseguenze Titolare del rischio Data di scadenza del rischio
.
.
Tabella 5.8. Esempio di compilazione del registro dei rischi (semplificato)
Causa ultima Condizione Conseguenze
Mancanza di personale Può essere combinato Tabella 5.9. Un esempio di compilazione di un diario di rischio esteso
Tipo di rischio Descrizione del rischio Eventi proattivi Attività reattive Probabilità Conseguenze Fattore di rischio
Tecnologico Il cliente può ritardare il rilascio del prodotto a causa di continue modifiche e integrazioni ai requisiti del prodotto
  1. Dividere i requisiti in "assolutamente necessario" e "sarebbe bello avere", prima di avviare il sistema, soddisfare solo i requisiti assolutamente necessari
  2. Garantire che la direzione del cliente comprenda e supporti l'approccio secondo cui le richieste di modifica verranno elaborate dopo il completamento del lavoro principale, ove possibile
  1. Discutere la modifica dei tempi di messa in servizio del sistema a causa del volume accumulato di modifiche per garantire il livello di qualità richiesto del prodotto finale
 8 6 48
Finanziario Il cliente insiste sulla correzione gratuita di tutti gli errori (in questo caso stiamo parlando solo di quei punti che possiamo anche riconoscere come errori), che possono portare a gravi perdite finanziarie
  1. Includere nel piano di lavoro il budget e il tempo dei programmatori per correggere gli errori in base ai risultati dei test.
  2. Spiega ai principali rappresentanti dei clienti che l'identificazione e la correzione dei bug fa parte della tecnologia di sviluppo IN POI
  1. Se è impossibile raggiungere un accordo, sollevare la questione al livello del comitato direttivo
 8 6 48

R 50.1.084-2012 Gestione del rischio. Registro dei rischi. Linee guida per il registro dei rischi dell'organizzazione

imposta un segnalibro

imposta un segnalibro

Gestione del rischio

REGISTRO DEI RISCHI

Linee guida per il registro dei rischi dell'organizzazione

Gestione del rischio. Registro dei rischi. Linee guida sulla costruzione del registro dei rischi dell'organizzazione

Data di introduzione 01/12/2013

Prefazione

1 SVILUPPATO AUTONOMO organizzazione non profit"Centro di ricerca per il controllo e la diagnostica dei sistemi tecnici" (ANO "NITs KD")

2 INTRODOTTO Il Comitato Tecnico per la standardizzazione TC 10 "Gestione del rischio"

3 APPROVATO E ATTUATO con decreto dell'Agenzia federale di regolamentazione tecnica e metrologia del 29 novembre 2012 N 1283

4 PRESENTATO PER LA PRIMA VOLTA

Le informazioni sulle modifiche a queste raccomandazioni sono pubblicate nell'indice annuale "Documenti di orientamento, raccomandazioni e regole" e il testo delle modifiche e degli emendamenti - nell'indice informativo mensile " Standard nazionali". In caso di revisione (sostituzione) o cancellazione di tali raccomandazioni, sarà pubblicato un avviso corrispondente nell'indice informativo mensile "Norme nazionali". sistema informativo uso generale - sul sito ufficiale Agenzia federale sulla regolamentazione tecnica e la metrologia su Internet

introduzione

Un registro dei rischi è uno dei modi per presentare e archiviare informazioni su eventi e rischi pericolosi. La presenza di un registro dei rischi consente a un'organizzazione di ottenere informazioni relative a una specifica fonte di pericolo, conseguenze, oggetto di influenza di eventi pericolosi, ecc. Tuttavia, lo sviluppo di un registro dei rischi, soprattutto in presenza di un gran numero di fonti di pericolo, richiede molto impegno, tempo, risorse finanziarie, così come una grande quantità di informazioni.

L'organizzazione determina la necessità di sviluppare e mantenere un registro dei rischi in modo indipendente.

3.2 registro dei rischi(registro dei rischi) modulo per la registrazione delle informazioni su un rischio identificato.

NOTA Il termine "registro dei rischi" viene talvolta utilizzato al posto del termine "registro dei rischi".

3.3 Pericolo(pericolo): una fonte di potenziale danno.

NOTA Il pericolo può essere una fonte di rischio.

3.4 gestore del rischio(gestore del rischio) specialista nell'identificazione, valutazione, analisi, elaborazione, monitoraggio del rischio e altre attività nel campo della gestione del rischio di un'organizzazione.

4 Procedura per lo sviluppo del registro dei rischi di un'organizzazione

4.1 Disposizioni generali

L'organizzazione dovrebbe determinare la necessità di sviluppo, fasi, forma e metodi per mantenere un registro dei rischi. Gli obiettivi principali dello sviluppo del registro dei rischi di un'organizzazione, il suo posto nel sistema di gestione dei rischi, i vantaggi e gli svantaggi del registro dei rischi sono stabiliti in GOST R 51901.21.

Il registro dei rischi di un'organizzazione è una forma di conservazione delle registrazioni degli eventi pericolosi identificati, la valutazione del rischio ad essi associato, i metodi e i tempi del suo trattamento. Quando si tiene un registro dei rischi, è necessario tenere conto dei requisiti obbligatori pertinenti, nonché di altre informazioni disponibili sui tipi di pericolo e sul rischio che si verifichi. A seconda delle specificità dell'organizzazione, la forma e il contenuto del registro dei rischi possono essere modificati o integrati rispetto alla forma standard del registro dei rischi riportata nella Tabella 1 GOST R 51901.22.

Quando si sviluppa un registro dei rischi, un'organizzazione dovrebbe considerare:

  • la politica, gli obiettivi e la strategia di gestione del rischio dell'organizzazione;
  • caratteristiche dei prodotti fabbricati e dei servizi forniti dall'organizzazione;
  • il principale processi di produzione e i processi di gestione dell'organizzazione;
  • metodi stabiliti e utilizzati di analisi e valutazione del rischio;
  • requisiti legali;
  • condizioni operative dei prodotti fabbricati.

La responsabilità della gestione del rischio dovrebbe essere assegnata al gestore del rischio responsabile o al gruppo di gestione del rischio, inclusa la responsabilità del controllo e del monitoraggio del rischio. I requisiti per i gestori del rischio sono stabiliti in GOST R 51901.21.

Lo sviluppo, l'approvazione, la manutenzione e l'aggiornamento del registro dei rischi dell'organizzazione dovrebbero essere effettuati in conformità con la clausola 5 GOST R 51901.22.

Lo scambio di informazioni sul registro dei rischi e la garanzia della riservatezza delle informazioni relative al registro dei rischi deve essere effettuato tenendo conto dei requisiti della clausola 6 di GOST R 51901.22 e delle raccomandazioni stabilite in R 50.1.070.

Un esempio di un metodo di valutazione del rischio semplificato e lo sviluppo di un registro del rischio ridotto per una piccola organizzazione è fornito nell'Appendice A.

4.2 Fasi del processo di gestione del rischio dell'organizzazione

Le tappe fondamentali nello sviluppo del registro dei rischi di un'organizzazione dovrebbero essere coerenti con le fasi del processo di gestione del rischio. Allo stesso tempo, il contenuto delle fasi dipende dalle caratteristiche della gestione del rischio dell'organizzazione. I principi della gestione del rischio sono stabiliti in GOST R ISO 31000. Gli elementi principali del processo di gestione del rischio per le piccole organizzazioni sono mostrati nella Figura 1.

Figura 1 - Schema generale del processo di gestione del rischio

Una descrizione degli elementi principali del processo di gestione del rischio per le piccole organizzazioni è fornita in R 50.1.069.

4.3 Mappa del processo di gestione del rischio dell'organizzazione

Sulla base del processo di gestione del rischio in conformità con GOST R 51901.21, l'organizzazione può elaborare una mappa del processo di gestione del rischio. Quando si sviluppa una mappa dei processi per le piccole organizzazioni, si raccomanda di mantenere gli elementi di base della gestione del rischio (identificazione di eventi pericolosi, valutazione quantitativa del rischio, analisi del rischio e valutazione comparativa, trattamento del rischio, monitoraggio e revisione), mentre il loro contenuto può essere chiarito a seconda delle caratteristiche delle attività dell'organizzazione.

4.4 Sviluppo del registro dei rischi di un'organizzazione

4.4.1 Generale

I risultati delle azioni eseguite in ogni fase del processo di gestione del rischio dovrebbero essere riportati in un registro dei rischi. Le regole per la costruzione di un registro dei rischi sono riportate in GOST R 51901.22... Il modulo standard del registro dei rischi è mostrato nella tabella 1 di GOST R 51901.22.

L'assegnazione della responsabilità per lo sviluppo e la manutenzione del registro dei rischi di un'organizzazione dovrebbe essere coerente con le fasi del processo di gestione dei rischi, poiché l'inserimento e la revisione delle informazioni nel registro dei rischi dovrebbero essere effettuate dopo che ogni fase del processo di gestione dei rischi è stata completata. stato completato.

Le fasi principali nello sviluppo del registro dei rischi dell'organizzazione sono descritte nelle clausole 4.4.2-4.4.6.

4.4.2 Stabilire gli obiettivi e la portata del registro dei rischi

L'organizzazione deve stabilire gli obiettivi esterni ed interni dell'organizzazione e gli obiettivi di gestione del rischio per l'esecuzione dei restanti elementi del processo di gestione del rischio. Una guida sulla definizione dell'ambito della gestione del rischio è fornita in R 50.1.068.

Quando si definiscono gli obiettivi e la portata del registro dei rischi, vengono prima determinati gli oggetti del registro dei rischi. Gli oggetti del registro dei rischi possono essere:

  • l'organizzazione nel suo insieme, la sua suddivisione strutturale o parte di esso;
  • prodotto, servizio, processo o attività;
  • personale o singoli lavoratori.

I requisiti generali per determinare l'ambito del registro dei rischi sono stabiliti in GOST R 51901.21.

4.4.3 Sviluppo di criteri di rischio

L'organizzazione dovrebbe stabilire criteri di rischio. I criteri dovrebbero riflettere lo scopo e la portata. Spesso dipendono dagli interessi delle parti coinvolte, nonché dai relativi requisiti legali e/o regolamentari. I criteri di rischio possono essere operativi, tecnici, finanziari, legali, legislativi, sociali, ambientali, umanitari e/o altri.

Una descrizione generale dei criteri decisionali dovrebbe essere sviluppata quando si stabilisce l'ambito della gestione del rischio. I criteri di rischio dovrebbero essere affinati e/o rivisti dopo aver identificato un tipo specifico di rischio e aver scelto un metodo di analisi del rischio. I criteri di rischio dovrebbero essere appropriati per il tipo di rischio e il modo in cui viene presentato.

I criteri di rischio sono generalmente registrati nel registro dei rischi dell'organizzazione, tuttavia, per le piccole organizzazioni, i criteri di rischio possono essere stabiliti nelle procedure documentate dell'organizzazione o in altri documenti di gestione del rischio.

4.4.4 Identificazione di eventi pericolosi

L'identificazione degli eventi pericolosi dovrebbe includere l'identificazione di fenomeni ed eventi che possono influenzare gli elementi del registro dei rischi identificati nell'ambito del registro dei rischi. I requisiti generali per l'identificazione degli eventi pericolosi per l'inclusione nel registro dei rischi sono stabiliti nella clausola 4.2. GOST R 51901.21.

Per le piccole, piccole organizzazioni, l'identificazione di eventi pericolosi può consistere in tre fasi:

  • determinazione delle modalità di identificazione del rischio;
  • identificazione di eventi pericolosi;
  • identificazione delle ragioni del verificarsi di un evento pericoloso.

L'organizzazione deve prima determinare le modalità di identificazione del rischio. Nell'identificazione del rischio, possono essere utilizzati i seguenti metodi: analisi di liste di controllo, valutazioni di esperti, analisi di dati sperimentali e storici, analisi diagramma strutturale affidabilità, metodo di brainstorming, analisi dei sistemi, analisi di scenario, metodi di progettazione dei sistemi. Questi metodi sono discussi in modo più dettagliato in GOST R ISO / IEC 31010. La scelta del metodo dipende dal tipo di rischio, dall'ambito e dagli obiettivi di gestione del rischio dell'organizzazione e dai controlli e metodi utilizzati e richiesti per gestire il rischio dell'organizzazione.

I metodi di identificazione dei rischi sono generalmente registrati nel registro dei rischi dell'organizzazione, ma per le piccole organizzazioni i metodi di identificazione dei rischi possono essere definiti nelle procedure documentate dell'organizzazione o in altri documenti di gestione dei rischi.

Il passo successivo è l'identificazione degli eventi pericolosi, in cui l'organizzazione deve redigere un elenco generale di eventi pericolosi che potrebbero influenzare negativamente le sue attività e il raggiungimento degli obiettivi. Sulla base dell'elenco, è necessario descrivere in dettaglio ciascun evento pericoloso identificato che può verificarsi. Quando si compila un elenco di eventi pericolosi, è possibile utilizzare la classificazione di pericolo fornita nell'Appendice A. GOST R 51901.21.

Il nome dell'evento pericoloso deve essere formulato in una frase comprensibile. Per un evento pericoloso il cui nome è sufficientemente lungo, può essere utilizzato un nome breve.

Dopo aver identificato possibili eventi pericolosi, è necessario considerare le fonti e le cause del loro verificarsi, nonché le possibili conseguenze per le attività dell'organizzazione.

Gli eventi pericolosi, le loro fonti e le possibili conseguenze sono inseriti nel registro dei rischi dell'organizzazione (indipendentemente dalle sue dimensioni).

Quando si esegue la fase di identificazione dei pericoli, si consiglia di tenere conto dei requisiti di GOST R 51901.23.

4.4.5 Analisi del rischio

I requisiti generali per l'analisi del rischio di eventi pericolosi per l'inclusione nel registro dei rischi sono stabiliti nella clausola 4.3 di GOST R 51901.22.

L'analisi dei rischi include un'indagine sulle fonti di eventi pericolosi, le loro conseguenze e le probabilità di accadimento di tali eventi. Allo stesso tempo, dovrebbero essere identificati anche i fattori che influenzano le conseguenze e la probabilità dell'evento. Il rischio dovrebbe essere analizzato tenendo conto della combinazione delle conseguenze dell'evento e della sua probabilità. Inoltre, l'organizzazione dovrebbe riesaminare e valutare i controlli ei metodi utilizzati. L'entità delle conseguenze di un evento e la sua probabilità devono essere valutate tenendo conto dell'efficacia delle strategie, dei controlli e dei metodi di gestione esistenti.

L'analisi dei rischi di un'organizzazione può essere eseguita con vari gradi di dettaglio a seconda della natura del rischio, dello scopo dell'analisi, dei dati e delle risorse disponibili. L'analisi del rischio può essere qualitativa, quantitativa o combinata. Per le piccole organizzazioni analisi qualitativa solitamente utilizzato per ottenere valutazione complessiva rischio e identificazione dei problemi di rischio. Se l'organizzazione decide sulla necessità di un'ulteriore analisi dettagliata, allora quantitativa o metodi combinati analisi del rischio. Una descrizione di questi tipi di analisi dei rischi è fornita in R 50.1.069 e GOST R ISO/IEC 31010.

Il modo in cui le conseguenze e la probabilità di eventi sono presentate nel registro dei rischi dovrebbe essere scelto per garantire il raggiungimento degli obiettivi dell'analisi dei rischi.

L'analisi del rischio dovrebbe tenere conto dell'incertezza e della variabilità nelle stime delle conseguenze e della probabilità di un evento, nonché dell'efficacia della comunicazione del rischio. Quando i dati quantitativi sono inseriti nel registro dei rischi, dovrebbe essere indicata l'incertezza associata (se possibile).

4.4.6 Valutazione comparativa del rischio

I requisiti generali per la valutazione comparativa dei rischi per l'inclusione nel registro dei rischi sono stabiliti nella sottosezione 4.4. GOST R 51901.22.

La proposta valutazione comparativa il rischio per le piccole organizzazioni è la decisione sulla necessità del trattamento del rischio e sulla prioritizzazione del trattamento del rischio sulla base dei risultati dell'analisi del rischio e dei criteri di accettazione del rischio.

Quando si esegue una valutazione comparativa del rischio, è necessario essere guidati dai requisiti di GOST R 51901.23.

I risultati della valutazione comparativa del rischio sono generalmente registrati nel registro dei rischi dell'organizzazione, se non diversamente specificato nelle procedure documentate dell'organizzazione o in altri documenti per la gestione del rischio.

4.4.7 Trattamento del rischio

I requisiti generali per il trattamento del rischio per l'inclusione nel registro dei rischi sono stabiliti nella sottosezione 4.5 di GOST R 51901.22.

Nella fase del trattamento del rischio, viene effettuata la scelta di una strategia di trattamento del rischio, una valutazione delle conseguenze, la probabilità di un evento pericoloso e del rischio (tenendo conto dell'applicazione della strategia di trattamento del rischio selezionata), misure per il trattamento del rischio , vengono determinati i tempi ei responsabili della loro attuazione e vengono valutati i risultati del trattamento dei rischi.

Per le piccole organizzazioni, gli elementi obbligatori del registro dei rischi associati alla fase di trattamento del rischio sono la definizione delle attività di trattamento del rischio, i tempi della loro attuazione pianificata ed effettiva.

In genere, il budget per il trattamento del rischio di una piccola organizzazione è limitato, quindi i metodi di trattamento dovrebbero anche stabilire come viene gestito ciascun rischio. L'organizzazione deve confrontare i costi totali di un evento pericoloso che si verifica quando non viene intrapresa alcuna azione con i risparmi ottenuti dal trattamento del rischio e dalle azioni preventive.

4.4.8 Monitoraggio dei rischi e revisione del registro dei rischi

I requisiti generali per il monitoraggio dei rischi e la revisione del registro dei rischi sono stabiliti nella sottosezione 4.6. GOST R 51901.22.

L'organizzazione deve garantire la continuità del processo di gestione dei rischi, pertanto è necessario monitorare regolarmente tutte le tipologie di rischio e rivedere le iscrizioni nel registro dei rischi.

I risultati del monitoraggio del rischio sono generalmente registrati nel registro dei rischi dell'organizzazione, tuttavia, per le piccole organizzazioni, questi risultati possono essere determinati nelle procedure documentate dell'organizzazione o in altri documenti sulla gestione del rischio.

Appendice A
(riferimento)


Un esempio di un metodo di valutazione del rischio semplificato e lo sviluppo di un registro del rischio ridotto per una piccola organizzazione

A.1 Generale

La struttura e la composizione del registro dei rischi dipendono dalle caratteristiche dell'organizzazione. Il modulo standard del registro dei rischi è fornito in GOST R 51901.22. Le piccole organizzazioni possono utilizzare una forma abbreviata (semplificata) del registro dei rischi, un esempio del quale è mostrato nella tabella A.1.

Tabella A.1 - Forma semplificata del registro dei rischi

Identità
riparatore di eventi pericolosi

Nome
novità e descrizione di un evento pericoloso

Responsabilità
responsabile del rischio militare

L'ultimo
attraverso un evento pericoloso

Probabilità
gravità di un evento pericoloso

Valutazione del rischio

Modalità di trattamento del rischio

Scadenza per l'attuazione delle misure di trattamento dei rischi

Esempio-
chania

In fase di compilazione del registro dei rischi si possono utilizzare le seguenti scale:

scala delle conseguenze: 5 - conseguenze catastrofiche, 4 - conseguenze significative, 3 - conseguenze moderate, 2 - conseguenze piccole, 1 - conseguenze insignificanti;

la scala della probabilità di un evento pericoloso: 5 - la probabilità è molto alta, 4 - la probabilità è alta, 3 - la probabilità è media, 2 - la probabilità è bassa, 1 - la probabilità è molto bassa;

valutazione del rischio: rischio accettabile (0-4), rischio controllato (5-8), rischio significativo (9-25);

misure di trattamento del rischio: (0) nessun rischio, nessuna azione intrapresa; (0-4) basso rischio, vengono intraprese solo azioni a basso costo; (5-8) rischio medio, le azioni sono intraprese tenendo conto dei tempi della loro attuazione e della fattibilità economica; (9-25) alto rischio, è necessaria l'attuazione urgente di misure per ridurre il rischio; (16-25) alto rischio, l'uso di azioni immediate (di emergenza) per ridurre il rischio.

A.2 Matrice di rischio

A.2.1 Generale

Il metodo per valutare il rischio di eventi pericolosi è fornito in GOST R 51901-23 *, tuttavia, le piccole organizzazioni possono utilizzare metodi semplificati di valutazione del rischio, mentre è necessario tenere conto dell'incertezza di tali valutazioni del rischio.

________________

* Probabilmente un errore nell'originale. Dovresti leggere: GOST R 51901.23... - Nota del produttore del database.

Le piccole organizzazioni possono utilizzare una matrice di rischio per valutare l'importanza di un rischio. Per una valutazione del rischio sistematica e coerente, è necessario sviluppare una matrice di rischio secondo le seguenti fasi:

  • valutazione della probabilità di un evento pericoloso (A.2.2);
  • valutazione delle conseguenze di un evento pericoloso (A.2.3);
  • elaborazione di una matrice di rischio (A.2.4);
  • identificazione delle modalità di trattamento del rischio (A.2.5).

Questo esempio mostra la versione più semplice della matrice di rischio. L'organizzazione, a seconda delle condizioni di valutazione del rischio, può sviluppare una propria matrice di rischio.

A.2.2 Valutazione della probabilità di un evento pericoloso

In una piccola organizzazione, a seconda dell'oggetto del registro dei rischi, il gestore del rischio deve rispondere alla domanda su quale sia la probabilità che si verifichi un evento pericoloso quando vengono applicati i controlli e i metodi di gestione specificati per la mitigazione del rischio. In questo caso si può utilizzare la tabella A.2.

Tabella A.2 - Valutazione della probabilità di un evento pericoloso

Se vi sono dubbi nella valutazione della probabilità di un evento pericoloso, il grado di pericolo dell'evento viene aumentato.

A.2.3 Valutazione delle conseguenze di un evento pericoloso

A seconda dell'area di impatto dell'evento pericoloso, il gestore del rischio dovrebbe valutare le conseguenze dell'evento pericoloso con i controlli esistenti, le pratiche di gestione e le misure di mitigazione del rischio. Per fare ciò, puoi usare la tabella A.3.

Tabella A.3 - Valutazione delle conseguenze di un evento pericoloso

Conseguenza, in punti

Descrizione delle conseguenze

Oggetti d'impatto di un evento pericoloso *

conseguenze disastrose

Persone, ambiente, economia, governo e governo municipale, ambiente sociale, infrastrutture

conseguenze significative

Persone, economia, infrastrutture, ambiente, ambiente sociale

conseguenze moderate

Persone, economia, infrastrutture

piccole conseguenze

Economia, infrastrutture

conseguenze minori

Contesto sociale

* Gli oggetti di influenza di un evento pericoloso sono forniti solo a titolo esemplificativo.

Se ci sono dubbi sulla valutazione delle conseguenze di un evento pericoloso, il rango di questo evento viene aumentato.

A.2.4 Compilazione di una matrice di rischio

V questo esempioè stato utilizzato il metodo più semplice di valutazione del rischio: una valutazione qualitativa delle conseguenze e della probabilità di un evento pericoloso. In questo caso, il rischio è calcolato come il prodotto delle conseguenze e la probabilità:

I gradi di conseguenza e le probabilità sono determinati dalle tabelle 2 e 3.

I risultati ottenuti consentono di costruire una matrice di rischio (Tabella A.4), che può essere utilizzata come base per l'identificazione dei rischi accettabili e inaccettabili.

Tabella A.4 - Matrice di rischio

Valutazione qualitativa della probabilità di un evento pericoloso

Conseguenze

minore (1)

piccolo (2)

moderato (3)

significativo (4)

catastrofico (5)

Molto basso (1)

Basso (2)

Medio (3)

Alto (4)

Molto alto (5)

NOTA Valutazione del rischio (grado di rischio): accettabile (0-4), controllato (5-8), significativo (9-25).

Per maggiore chiarezza nel registro dei rischi, la valutazione del rischio può essere evidenziata a colori:

verde - rischio accettabile (0-4);

colore giallo - rischio controllato (5-8);

il colore rosso (rosso scuro) è un rischio serio e significativo (9-25).

I tipi di rischio identificati possono essere classificati sia all'interno dei reparti che in tutta l'organizzazione. La classifica si basa su una matrice di rischio (prodotto di conseguenze e probabilità) e consente di identificare la maggior parte dei rischi significativi.

A.2.5 Determinazione della strategia e delle misure di trattamento del rischio

A seconda della valutazione del rischio (cfr. tabella A.4), dovrebbero essere determinate le azioni da intraprendere per ciascun rischio registrato nel registro dei rischi. La tabella A.5 fornisce un esempio delle azioni da intraprendere tenendo conto della valutazione del rischio.

Tabella A.5 - Esempio di azioni da intraprendere tenendo conto della valutazione del rischio

Valutazione del rischio

Azioni prese

Rischio accettabile (0)

Nessun rischio, nessuna azione intrapresa

Rischio accettabile (0-4)

Basso rischio, vengono intraprese solo azioni a basso costo

Rischio controllato (5-8)

Rischio medio, le azioni vengono intraprese tenendo conto dei tempi di attuazione e dell'efficacia in termini di costi delle misure di mitigazione del rischio

Rischio grave (9-25)

È necessario adottare misure urgenti di mitigazione del rischio ad alto rischio

Rischio significativo (16-25)

Devono essere adottate misure immediate (di emergenza) di mitigazione del rischio molto alto

Le attività di mitigazione o trattamento del rischio possono essere incluse in un registro dei rischi e/o sviluppate come documento separato. In questo caso, il registro dei rischi deve fornire un collegamento a questo documento. Nell'esempio mostrato, le attività di trattamento del rischio sono incluse nel registro dei rischi.

A.3 Disposizioni aggiuntive

Poiché il registro dei rischi è costantemente aggiornato, è necessario registrare le date delle registrazioni dei rischi e delle eventuali modifiche apportate. Se il piano di azione è incluso nel registro dei rischi, devono essere registrati lo scopo e la tempistica del completamento delle azioni previste dal piano.

La colonna di commenti o note nel registro dei rischi consente di fare riferimento alle informazioni necessarie, ad esempio, tenendo una riunione in cui sono state discusse questioni di questo rischio.

Il registro dei rischi di progetto contiene informazioni in forma tabellare e leggibile sui rischi di progetto noti e identificati. Il registro dei rischi di progetto dovrebbe sempre contenere informazioni aggiornate, la qualità del lavoro del team di progetto con i rischi dipende completamente da questo.Di solito, il registro dei rischi di progetto contiene le seguenti informazioni:

  • ID- unico un numero di identificazione rischio di progetto. Se utilizzato, questo numero deve corrispondere all'ID rischio mostrato nel PMIS.
  • Descrizione del rischio- una descrizione dettagliata del rischio del progetto.
  • Categoria- categoria di rischio secondo il KSPP. Ad esempio, rischio di investimento, rischio tecnologico, rischio associato al team di progetto, ecc.
  • Un tipo- tipo di rischio: positivo o negativo. I rischi positivi giocano a favore del team di progetto e comportano vantaggi aggiuntivi che consentono una più rapida implementazione del progetto. D'altra parte, i rischi negativi riducono la probabilità di un completamento positivo del progetto.
  • Influenza- il grado di influenza del rischio su uno dei quattro parametri chiave del progetto: costo, tempistica, contenuto o qualità. Solitamente stimato a valori di 0,05, 0,1, 0,2, 0,4, 0,8.

  • Impatto totale- l'impatto complessivo del rischio dipende dal modello scelto ( max- viene utilizzato il valore massimo, medio- viene utilizzato il valore medio) ed è determinato sulla base dell'influenza del rischio su quattro parametri.
  • Probabilità- la probabilità di accadimento del rischio. Solitamente stimato come 0,1, 0,3, 0,5, 0,7, 0,9.
  • Senso- infatti, l'entità del rischio è calcolata come il prodotto Influenza totale sul Probabilità.
  • Strategia- strategia di risposta al rischio. Viene selezionata una delle sette strategie. Per rischi negativi: schivare, abbassare, condividere... Per rischi positivi: trasmissione, uso, amplificazione... Per tutti i rischi: Adozione.
  • Eventi- una descrizione delle misure per affrontare il rischio, in accordo con la strategia di risposta prescelta.
  • Responsabile- Nome del membro del team di progetto responsabile della gestione del rischio.
Pubblicazioni simili