что такое реестр неприемлемых рисков

Что такое реестр неприемлемых рисков

ГОСТ Р 51901.21-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Risk management. Risk register. General

Дата введения 2013-12-01

Предисловие

1 РАЗРАБОТАН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

5 ПЕРЕИЗДАНИЕ. Июль 2020 г.

Введение

Реестр риска является одним из способов представления и хранения информации об опасных событиях и риске. В реестр риска обычно включают основные виды опасностей, применяемые методы оценки и снижения риска и мероприятия по предупреждению, снижению и обработке риска. При разработке реестра риска необходимо учитывать соответствующие законодательные и обязательные требования, а также иную доступную информацию о видах опасности и риске их возникновения. Однако составление реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также накопления необходимого объема информации.

Необходимость разработки и ведения реестра риска организация определяет самостоятельно.

1 Область применения

В настоящем стандарте установлены общие принципы разработки и ведения реестра риска и требования к персоналу, ответственному за составление реестра риска.

Реестр риска является одним из способов представления информации о риске. Необходимость разработки и ведения реестра риска организация определяет самостоятельно.

Реестр риска может применяться как элемент системы менеджмента риска или самостоятельно. В системе менеджмента риска реестр риска не является обязательным элементом, для представления информации о риске могут быть использованы другие способы.

Настоящий стандарт предназначен для менеджеров по риску, руководителей организаций и технических экспертов по оценке опасных событий, инцидентов и аварий, а также для ответственных за разработку политики менеджмента риска, составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска организации.

Реестр риска позволяет организациям на местном, региональном и федеральном уровнях обмениваться данными о риске и применять апробированные методы предупреждения опасных событий, инцидентов и реагирования на них.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 31010 Менеджмент риска. Методы оценки риска

Действует ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска».

ГОСТ Р 51897/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р 51901.22 Менеджмент риска. Реестр риска. Правила построения

ГОСТ Р 51901.23 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.

3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

3.3 реестр риска (risk register): Форма записи информации об идентифицированном риске.

3.4 менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.

4 Общее описание реестра риска

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях.

В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении. Эта информация вместе с данными о выполнении установленных планов и оценкой планируемой деятельности в стоимостном выражении формирует представление о воздействии опасного события на организацию. Аналитики и менеджеры по риску на основе анализа информации реестров риска подразделений (при наличии) составляют единый реестр риска организации. Полученные данные могут быть использованы для корректировки области применения менеджмента риска, его целей и других элементов менеджмента риска.

Назначение реестра риска:

1) Реестр риска является планом действий, так как в реестре риска кроме идентификации опасностей и оценки риска определены необходимые мероприятия по снижению риска, сроки их внедрения и ответственные за их выполнение.

2) Реестр риска является основой для обмена информацией руководства с персоналом и другими заинтересованными лицами, поскольку содержит перечень текущих проблем организации, связанных с риском, и сведения о том, как, кто и когда этими проблемами управляет.

Разработка и внедрение реестра риска организации обеспечивает:

— установление для каждого опасного события действий по восстановлению деятельности организации, что способствует достижению ее целей;

— эффективное распределение ресурсов, позволяющее снизить объем совокупных инвестиций в основной и оборотный капитал и оптимизировать распределение капитала;

— идентификацию благоприятных событий и возможностей быстрой и эффективной реализации возникающих преимуществ;

— прогнозирование возможных неблагоприятных событий, позволяющее снизить их последствия, связанные с ними затраты, невыполнение графика работ и/или потери;

— прозрачность отчетности, ее достоверности, своевременности отражения наиболее важных аспектов деятельности организации;

— обеспечение соответствия законодательным и обязательным требованиям и идентификацию риска несоответствия этим требованиям.

Представленная на рисунке 1 карта процесса менеджмента риска позволяет идентифицировать основные этапы менеджмента риска организации.

Результаты действий, выполняемых на каждом этапе процесса менеджмента риска, должны быть представлены в реестре риска. Типовая форма реестра риска приведена в ГОСТ Р 51901.22.

Основными этапами разработки и ведения реестра риска являются:

— определение области применения реестра риска;

— распределение ответственности в соответствии с этапами процесса менеджмента риска;

— заполнение реестра риска по мере выполнения этапов менеджмента риска;

— пересмотр и актуализация реестра риска.

При создании, внедрении и поддержке реестра риска в организации следует учитывать:

— политику, стратегические и тактические цели организации в области менеджмента риска;

— особенности изготавливаемой продукции и оказываемых организацией услуг;

— основные производственные процессы и процессы менеджмента организации;

— установленные и используемые методы анализа и оценки риска;

— законодательные и обязательные требования;

— требования причастных сторон;

— условия использования выпускаемой продукции.

5 Преимущества и недостатки использования реестра риска

Использование реестра риска является неотъемлемой частью успешной практики менеджмента риска организации. Эффективное ведение реестра риска позволяет улучшать результаты бизнеса путем идентификации и анализа возможных проблем и принимать более обоснованные решения.

Структурированный подход к ведению реестра риска также позволяет идентифицировать больше возможностей для постоянного улучшения.

Основные принципы ведения реестра риска являются общими и в значительной степени не зависят от организационной структуры предприятия.

Информация, полученная из реестра риска, предоставляет персоналу всех уровней организации возможность управления риском, связанным с их деятельностью.

Основные преимущества использования реестра риска включают:

Источник

Управление рисками: модель процесса и компетенций

Дмитрий Могилко

Асессор по модели EFQM

Партнёр ГК «Современные технологии управления» ()

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

Рис. 2. Диаграмма «галстук-бабочка»

Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

Примечание: объекты воздействия опасного события приведены для примера.

Таблица 3. Шкала оценивания вероятности наступления опасного события

Оценка вероятности, %	Качественная оценка вероятности, баллы
Очень высокая — 81–100	Очень высокая — 5
Высокая — 61–80	Высокая — 4
Средняя — 21–60	Средняя — 3
Низкая — 1–20	Низкая — 2
Очень низкая — менее 1	Очень низкая — 1

Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

Таблица 4. Матрица риска, ранги

Качественная оценка вероятности опасного события	Последствия
	Малозначительные (1)	Небольшие (2)	Умеренные (3)	Значительные (4)	Катастрофические (5)
Очень низкая (1)	1	2	3	4	5
Низкая (2)	2	4	6	8	10
Средняя (3)	3	6	9	12	15
Высокая (4)	4	8	12	16	20
Очень высокая (5)	5	10	15	20	25

Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

По результатам анализа определяется уровень риска в следующих интервалах:

После оценки риска наступает этап его обработки / модификации посредством:

Обработка риска включает следующие этапы:

Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

Основные требования к навыкам менеджеров по риску включают способности:

Оценка риска осуществляется группой, включающей следующие роли:

Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

Рис. 3. IDEF0-модель процесса менеджмента риска

Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

Таблица 5. Основные параметры паспорта риска

Код регистрации (в реестре) и название риска (опасного события)

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].

Тип риска (внешний или внутренний)

При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].

Вид риска (экономический, технический, социальный, экологический)

Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].

Владелец риска (ответственный за менеджмент риска)

Риск-менеджеры (эксперты по оценке риска)

Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:

Заинтересованные (причастные) стороны, подверженные риску

Источник и условия возникновения риска (опасного события)

Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].

Уровень (балл) последствий воздействия риска (опасного события)

Уровень (балл) вероятности возникновения опасного события

После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].

Оценка уровня (ранга) риска

Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].

Решение о необходимости обработки риска

Мероприятия по обработке риска (снижению вероятности и/или последствий)

Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:

Ответственный за обработку риска

Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:

Срок выполнения мероприятий по обработке риска

Этапы обработки риска включают в себя:

Индикаторы мониторинга риска

Сведения о результативности и эффективности обработки риска (оценка и опыт)

Направления улучшения инфраструктуры риск-менеджмента

Периодичность актуализации оценки риска (реестра риска)

Дата актуализации сведений о риске (в реестре)

Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

Рис. 5. Карточка раздела документа

Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

Рис. 7. Отчет «Паспорт риска»

Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

Рис. 9. Лист «Риски» Excel-отчета по мониторингу

Рис. 10. Лист «Требования» Excel-отчета по мониторингу

Для удобства навигации отчет содержит необходимые автоматические ссылки.

Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.

Источники информации:

Опубликовано по материалам:
«Менеджмент качества», 03/2019.

Источник

Идентификация опасностей и оценка рисков

Одной из отличительных особенностей системы управления охраной труда, которая соответствует требованиям национального стандарта СТБ 18001 является то, что указанная система базируется на процедуре идентификации опасностей и оценки рисков.

Что же понимается под идентификацией опасностей и оценкой рисков?

Обратимся к СТБ 18001. Согласно п.3.5 данного стандарта под идентификацией опасности понимается процедура установление наличия опасности и определение ее характеристик.

Согласно п.3.20 стандарта под оценкой рисков понимается процесс оценки величины риска и принятия решения, является ли он приемлемым с учетом осуществляемых мер управления.

Проанализировав эти термины можно сделать вывод, что работа по оценке рисков и определении мер управления должна начинаться с идентификации опасностей, выявив и описав опасности можно приступать непосредственно к оценке риска на тех рабочих местах, на которых уже были зафиксированы те или иные опасности. А оценив риск, необходимо обеспечить его ранжирование, т.е. упорядочение в зависимости от полученных значений. И далее, с учетом рангов (в данном случае используется ранжирование по типу: приемлемый/неприемлемый, а также низкий, средний и высокий риск) обеспечить разработку и реализацию тех или иных мероприятий, направленных на снижение значения риска и(или) на его полное устранение. На процессе идентификации опасностей и оценки рисков базируется процедура по установлению целей в области охраны труда и последующее формирование Программы управления охраной труда (в указанную программу должны включаться те мероприятия, которые необходимы для снижения рисков).

Иными словами, процесс идентификации опасностей и оценки рисков включает в себя следующие этапы:

С чего же можно начинать процедуру «поиска» потенциальных опасностей? Инженеру по охране труда в этом помогут следующие записи и документы:

При идентификации опасностей необходимо рассматривать не только опасности и риски от деятельности, выполняемой своим персоналом, но и опасности, возникающие от деятельности подрядчиков и посетителей, а также от использования продукции и услуг, поставленных другими организациями.

Идентификация опасностей проводится для:

По результатам идентификации опасностей для всех профессий рабочих и должностей служащих, согласно штатному расписанию, а также для определенных видов деятельности, формируется реестр опасностей организации (пример реестра опасностей здесь).

Далее необходимо оценить риски. Степень любого риска, вытекающего из выявленных опасностей, оценивается с учетом:

Один из самых несложных методов оценки рисков, который используют многие организации, это т.н. «Метод оценки рисков по вероятности возникновения и серьезности последствий». Суть метода в следующем, величина риска (его количественное выражение) прямо пропорциональна вероятности его возникновения и тяжести (серьезности) последствий. Т.е. для определения величины риска необходимо оценить с какой вероятностью то или иное событие может произойти и каковы могут быть последствия. Для расчетов используется формула:

R = P x S,

P — вероятность возникновения опасности, балл;

S — серьезность последствий воздействия опасности, балл.

Значения P и S варьируются в диапазоне от 1 до 5, где 1 – наименьшая вероятность и наименьшая серьезность последствий, а 5 – наоборот, наибольшая.

Пример оценки рисков приведен ниже:

Чтобы оценить риск падения работника на входном лестничном марше в здание необходимо ответить на 2 вопроса: а какова вероятность этого события и каковы могут быть последствия. Для более объективной оценки вероятности и серьезности последствий используются имеющие данные по несчастным случаям, записи журналов ежедневного контроля и иные сведения. Так, если за последний год неоднократно были замечания по содержанию лестничных маршев и дорожек, а в статистике несчастных случаев есть похожие случаи по отрасли (или даже в самой организации), то в данном случае определить величину вероятности и серьезности последствий, а следовательно и риска, можно будет более приближенно к реальности.

От того насколько точно были определены риски зависит и актуальность последующих мер управления.

Также организации необходимо определиться, какие же риски она считает для себя неприемлемыми (по которым меры управления должны разрабатываться и внедряться в первую очередь и под жестким контролем выполнения). Можно установить, что риски:

Это и есть т.н. ранжирование рисков.

Результаты оценки рисков, проведенных согласно вышеуказанной методике, оформляются обычно в виде карт оценки рисков (пример карты оценки рисков здесь) с обязательным отражением в них:

Все идентифицированные риски подлежат управлению. При определении мер управления рисками (с целью снижения воздействия факторов опасностей) или при рассмотрении изменений существующих мер управления могут применяться следующие меры по сокращению рисков:

На основе ранжирования рисков устанавливаются цели в области ОТ, которые служат основой для составления Программ управления ОТ (Планов мероприятий по ОТ), направленных на обеспечение безопасных условий труда, профилактику производственного травматизма, повышение квалификации работников (п.4.3.3 СТБ 18001-2009). Данные действия могут также повлечь за собой актуализацию Политики руководства в области охраны труда (п.4.2 СТБ 18001-2009).

После выполнения разработанных мероприятий проводится повторная оценка рисков с учетом предпринятых действий и анализ эффективности мероприятий по управлению рисками.

Повторную оценку целесообразно проводить не реже 1 раза в год перед проведением процедуры анализа высшим руководством СУОТ (п.5.6 СТБ 18001-2009).

Источник

• ← электроплита с духовкой маленькая для дачи
• список оборудования для котельной в частном доме →

№	Параметр	Требования и рекомендации
1