Riscul vine cu orice activitate antreprenorială.

În procesul de implementare a proiectului, activități operaționale, activități de investiții și activitati financiare. Toate activitățile sunt asociate cu riscuri tipice oricărui proiect de investiții.

O PI poate prevedea anumite mecanisme de stabilizare care să asigure protecția participanților la PI în cazul unei modificări nefavorabile a condițiilor de implementare a acestuia, măsuri de reducere a nivelului riscurilor și compensare a acestora. Dacă este vorba de riscuri interne, atunci este posibilă reducerea gradului de risc propriu-zis (datorită costurilor suplimentare pentru crearea rezervelor și stocurilor, îmbunătățirea tehnologiilor și reducerea ratei accidentelor de producție, datorită stimulentelor materiale pentru îmbunătățirea calității produsului, crearea capacităților de rezervă etc.) datorită la stimulente materiale pentru angajații serviciului IT și alți angajați implicați în lucrul cu noul SI, precum și din cauza costurilor suplimentare pentru crearea de rezerve și stocuri, efectuarea operațiunii de probă a SI etc.

Utilizarea oricăror mecanisme de stabilizare necesită costuri suplimentare, a căror valoare depinde de condițiile de implementare a proiectului, de interesele participanților săi și de evaluările gradului de risc. Este necesar să se țină cont de diferite valori ale primei de risc în funcție de obiectivele proiectului și de factorii care influențează implementarea acestuia. Cu cât proiectul de implementare este mai mare (de exemplu, proiectul de implementare a IP corporativă), cu atât este mai mare nivelul riscului acestuia.

Toate riscurile asociate cu implementarea PI, în funcție de sursele de apariție și de posibilitățile de eliminare, pot fi împărțite în externe (obiective, sistematice sau nediversificabile) și interne (subiective, nesistematice sau diversificabile).

Riscurile externe și interne sunt interdependente.

Riscuri externe nu depind de o anumită întreprindere sau întreprinzător individual. Aceste riscuri sunt prezente în toate etapele implementării IP. Acestea apar ca urmare a unor evenimente externe care afectează piața în ansamblu, afectează veniturile tuturor întreprinderilor pentru toate PI și nu pot fi eliminate complet prin diversificare.

Riscurile externe includ: politice, legislative, macroeconomice, riscuri de dezastre naturale (riscuri de forță majoră). Adesea, riscul de țară este inclus în rata de actualizare pentru a ține seama de riscurile externe.

Riscuri interne cauzate de factori specifici unei anumite întreprinderi sau antreprenor individual. Aceste riscuri afectează veniturile întreprinderilor individuale pentru PI individual și diferă în diferite etape ale PI. Ele pot fi în mare măsură eliminate prin diversificare.

Pentru IP, factorii specifici care provoacă apariția riscurilor interne includ următorii:

depășirea termenelor de punere în funcțiune a SI, a bugetului de implementare;

o creștere semnificativă a implementării SI;

schimbarea necesității de achiziție de software și hardware, lipsa resurselor umane etc.;

întreruperi în furnizarea hardware-ului achiziționat, lipsa consultanților implicați sau nivelul de competență al acestora;

pierderea contractelor ca urmare a depanării incorecte sau a întreruperilor în funcționarea SI;

accidente și defecțiuni în funcționarea hardware sau software etc.

Pe o bază structurală, riscurile interne includ:

1 riscuri de proprietate asociate cu probabilitatea de pierdere a proprietății unei întreprinderi sau a unui antreprenor individual din diverse motive (din cauza furtului, incendiului, neglijenței);

2 riscuri de producție asociate cu pierderile din cauza opririi producției din cauza diverșilor factori și, mai ales, daune la capitalul fix și de lucru, precum și riscurile asociate cu introducerea de noi echipamente și tehnologii noi în producție (de exemplu, introducerea de noi SI );

3
riscuri comerciale asociate pierderilor datorate întârzierii plăților, refuzului de plată în perioada de transport al mărfurilor, nelivrarea materiilor prime și componentelor sau livrarea acestora cu abatere de la datele programate etc.;

4 riscuri financiare asociate cu probabilitatea pierderii resurselor financiare din cauza investiției iraționale de capital.

În diferite faze ale implementării PI pentru implementarea PI, există diverse riscuri interne.

Luați în considerare erorile tipice care apar la etapa de luare a deciziei privind implementarea SI.

1 Elaborarea slabă a strategiei de automatizare (compania nu are o strategie IT coerentă pe termen lung corespunzătoare amplorii și ritmului de creștere a afacerii sale).

2 Fascinație pentru tendințele modei în legătură cu anumite produse atunci când alegeți IP.

3 Căutarea unui ideal care să corespundă perfect specificului întreprinderii.

4 Lobby pentru introducerea IP de către una dintre diviziile întreprinderii - rezultatul poate fi o discrepanță între sistem și nevoile altor divizii cheie.

5 Compilarea incorectă a sarcinii de licitație - sarcina nu este compilată conform cerințelor cheie pentru IP, ci prin simpla colectare și rezumare a cererilor de la toate departamentele. Această abordare, de regulă, ține cont doar de cerințele actuale ale departamentelor, și nu de obiectivele strategice ale companiei în ansamblu.

Cea mai frecventă greșeală la alegere IP - entuziasm pentru partea tehnică a lucrurilor în detrimentul oportunității funcționale, dictat de obiectivele finale ale implementării. Pentru ca evaluarea să nu fie unilaterală, este necesar de la bun început să se implice în alegerea sistemului angajații departamentelor „subiecte”, precum și managerii de vârf ai companiei.

În stadiul de implementare Cele mai semnificative riscuri ale proiectului sunt următoarele.

1 Nepregătirea conducerii de vârf a întreprinderii pentru schimbări în procesele de afaceri ale întreprinderii și în structura organizatorică.

2 Selectarea nereușită a consultanților externi pentru proiect (pe baza principiului costului minim sau pe baza parteneriate cu un anumit furnizor de software). La alegerea unui contractor de proiect - un consultant, trebuie respectate următoarele criterii: profesionalism, fiabilitate și predictibilitate a rezultatelor.

3 Impactul factorului uman în procesul de implementare a proiectului (schimbări de tehnologie, proceduri și formate de lucru, necesitatea de a lua în considerare reacția angajaților la implementare).

4 Delegarea competențelor cheie de conducere și executive către departamentul IT. Echipa de proiect trebuie să includă în mod necesar angajați cheie ai tuturor departamentelor „subiecte”, care vor lucra apoi cu sistemul implementat.

Trebuie remarcat faptul că recomandările pentru depășirea dificultăților în implementarea și funcționarea SI ar trebui elaborate pe baza specificului unei anumite întreprinderi. În primul rând, conducerea întreprinderii și serviciul IT trebuie să fie conștienți de faptul că în viitor întreprinderea va trebui să depună eforturi constante pentru îmbunătățirea SI. Trecerea de la „modul de proiectare” de funcționare la faza de îmbunătățire și modificare este o problemă semnificativă pentru unele întreprinderi, a cărei soluție necesită un studiu și o planificare atentă. O sarcină importantă în cercetarea riscurilor este de a determina stadiul în care apariția unui anumit risc este mai probabil să apară.

La etapa de implementare riscurile inerente etapelor anterioare ale proiectului, așa-numitele riscuri de staging, încep să se manifeste pe deplin. Acestea sunt completate și de riscuri „transversale”, care sunt realizate aproape în fiecare etapă a proiectului. Cele transversale includ, în primul rând, riscurile politice interne - adesea un proiect de introducere a PI servește ca pârghie a luptei politice într-o întreprindere. Dacă proiectul afectează sfera intereselor vitale ale echipelor mari și ale managerilor superiori care controlează proprietatea, produsul și flux de fonduri Cu toate acestea, chiar și cu planificarea și organizarea perfectă a implementării, pot apărea probleme semnificative.

Există, de asemenea, un risc transversal asociat cu distribuirea volumului de muncă între client și consultant. Proporția muncii prestate de consultanți ar trebui să scadă pe parcursul proiectului, altfel întreprinderea client va avea dificultăți în funcționarea ulterioară a SI fără consultanți. Proiectul se poate dezvolta slab și din cauza influenței factorului uman (rezistența personalului, oboseala psihologică din proiect), precum și din cauza comunicațiilor ineficiente stabilite în cadrul întreprinderii.

Respingerea proiectului din partea personalului, de regulă, apare din lipsa de informații: conducerea întreprinderii nu este conștientă de ceea ce face echipa de proiect, iar angajații nu văd rostul implementării la toate. Atitudinea negativă a personalului poate fi depășită prin lucrări explicative în timp util și regulate, care ar trebui să fie responsabilitatea membrilor echipei de proiect.

După finalizarea proiectului, încep să apară riscuri pe termen lung care împiedică utilizarea eficientă și dezvoltarea ulterioară a IP în întreprindere. Principalele riscuri pe termen lung sunt generate de suportul inadecvat pentru schimbările externe și interne. Un risc important pe termen lung este asociat cu factorul uman - sfârșitul participării la proiectul consultanților. În plus, există riscul de încălcare a securității informațiilor - o posibilă scurgere de informații comerciale din companie.

Conducerea în rândul riscurilor pe termen lung (atât în ​​ceea ce privește gravitatea daunelor, cât și complexitatea minimizării) aparține factorilor asociați cu reorganizarea întreprinderii, precum și cu pierderea flexibilității proceselor de afaceri.

Cu toate acestea, riscurile pe termen lung au un efect secundar asupra ciclu de viață ESTE. În primul rând, este necesară o planificare competentă și implementarea cu succes a IP.

Scopul descrierii riscurilor proiectelor IT este de a identifica aceste riscuri în prealabil și de a lua un set de măsuri preventive înainte de începerea proiectului. Este recomandabil să se evidențieze principalele măsuri care vizează prevenirea apariției situatii de riscîn proiecte IT:

1 documentația obligatorie a obiectivelor proiectului, precum și toate modificările în documentația de proiect care apar pe parcursul implementării acestuia;

2 creșterea motivației angajaților prin stimulente financiare;

3 implicarea unor specialiști terți calificați;

4 instruirea membrilor echipei și a conducerii superioare a întreprinderii în metodologia managementului de proiect etc.

Printre riscurile tipice pentru toate implementările IP a IP, se pot distinge următoarele:

1 riscuri de proiectare la crearea unui sistem (încorporate în proiectarea SI);

2 riscuri organizaționale (include impactul factorului uman asupra procesului de implementare și funcționare a SI, ca urmare - interpretarea incorectă a datelor prelucrate cu ajutorul SI);

3 riscuri tehnice, cum ar fi timpul de nefuncționare, defecțiuni, pierderea sau coruperea datelor etc.;

4 riscuri de pierdere a afacerii (riscuri de afaceri) asociate cu funcționarea sistemului (care decurg din riscuri tehnice).

Riscurile proiectului apar în etapa de proiectare sau livrare a SI. Acestea pot include, de exemplu, riscul de învechire a anumitor soluții software sau tehnice, precum și riscurile de întârziere a livrării componentelor IS. Cu toate acestea, având în vedere timpul relativ scurt necesar pentru furnizarea și implementarea SI, precum și condițiile pentru implementarea unor astfel de proiecte, unde, de regulă, toate problemele legate de furnizare și implementare sunt decise de către o singură companie furnizor, probabilitatea unor astfel de riscuri este scăzută.

Este posibil să se estimeze costul riscurilor organizaționale prin mijloace experte. Multe dintre riscurile organizaționale, cu o probabilitate suficientă de apariție, pot reduce întregul efect al automatizării la zero sau chiar pot dezvălui prejudiciul din automatizare, astfel încât analiza lor trebuie abordată cu o atenție deosebită.

Cele mai evidente riscuri organizaționale includ următoarele.

1 Sabotaj de personal. Acest risc anulează toate eforturile de introducere a PI. Poate apărea din mai multe motive: de exemplu, teama de a pierde un loc de muncă din cauza reducerii planificate a personalului, dorința de a ascunde rezultatele reale ale muncii unui angajat, de a evita dezvăluirea incompetenței etc.

2 Concluzii eronate făcute pe baza analizei datelor obținute ca urmare a funcționării SI, i.e. interpretarea incorectă a datelor prelucrate în IS.

3 Transferul informațiilor acumulate în sistem către concurenți ca urmare a furtului sau trădării de către personal etc.

Activitatea planificată a serviciului IT al întreprinderii, precum și a departamentului de dezvoltare și planificare strategică, ar trebui să includă elaborarea de recomandări pentru a reduce riscurile proiectului de implementare a IP. De asemenea, este necesar să se efectueze operarea de probă a SI, să se lucreze cu consultanți calificați și furnizori de echipamente de încredere și să se includă în estimarea preliminară a costurilor pentru proiectul de implementare a SI plăți suplimentare către angajații implicați în lucrul cu SI. Factori importanți pentru minimizarea riscurilor sunt, de asemenea: atitudinea atentă a managementului de vârf față de PI cu privire la implementarea PI și elaborarea preliminară a unei strategii generale de automatizare a întreprinderii.

În acest moment, nu există o clasificare unică a riscurilor proiectelor întreprinderii. Cu toate acestea, pot fi identificate următoarele riscuri principale inerente proiectului de deschidere și dezvoltare a unui centru de formare corporativă.

Din moment ce luând în considerare toate riscurile creării de instrumente software pe această etapă deschiderea unei întreprinderi „It - progress” este inadecvată, atunci este necesar să se analizeze riscurile deschiderii unei întreprinderi angajate în dezvoltarea și vânzarea de software.

Tabel 2.1 - Riscuri de deschidere a unei întreprinderi de dezvoltator software

Continuarea tabelului 2.1

Registrul de risc al proiectului conține informații într-o formă tabelară, care poate fi citită de om, despre riscurile de proiect cunoscute și identificate. Registrul de risc al proiectului trebuie să conțină întotdeauna informații la zi, calitatea muncii echipei de proiect cu riscuri depinde pe deplin de aceasta. De obicei, registrul de risc al proiectului contine urmatoarele informatii:

• ID— numărul unic de identificare a riscului de proiect. Când este utilizat, acest număr trebuie să se potrivească cu ID-ul de risc specificat în PMIS.
• Descrierea riscului — descriere detaliata riscul proiectului.
• Categorie— categoria de risc în conformitate cu KSUP. De exemplu, riscul de investiție, riscul tehnologic, riscul asociat cu echipa de proiect și așa mai departe.
• Tip— tip de risc: pozitiv sau negativ. Riscurile pozitive joacă în mâinile echipei de proiect și au beneficii suplimentare care permit ca proiectul să fie finalizat mai rapid. Riscurile negative, dimpotrivă, reduc probabilitatea de finalizare cu succes a proiectului.
• Influență- gradul de impact al riscului asupra unuia dintre cei patru parametri cheie ai proiectului: cost, calendar, sfera de aplicare sau calitate. De obicei evaluat cu valori 0,05, 0,1, 0,2, 0,4, 0,8.

• Influenta generala— impactul global al riscului depinde de modelul ales ( max- se utilizează valoarea maximă, medie- se utilizează valoarea medie) și se determină pe baza impactului riscului asupra a patru parametri.
• Probabilitate- probabilitatea apariţiei unui risc. De obicei evaluat cu valori 0,1, 0,3, 0,5, 0,7, 0,9.
• Sens— de fapt, amploarea riscului este calculată ca produs Influenta generala pe Probabilitate.
• Strategie— strategia de răspuns la risc. Se alege una dintre cele șapte strategii. Pentru riscuri negative: evaziune, reducere, partajare. Pentru riscuri pozitive: transmisie, utilizare, amplificare. Pentru toate riscurile: Adopţie.
• Evenimente— o descriere a măsurilor de abordare a riscului, în conformitate cu strategia de răspuns aleasă.
• Responsabil— Numele membrului echipei de proiect responsabil cu gestionarea riscului.

R 50.1.084-2012 Managementul riscului. Registrul de risc. Ghid pentru crearea unui registru de risc organizațional

setați un marcaj

setați un marcaj

Managementul riscului

REGISTRUL RISCURILOR

Ghid pentru crearea unui registru de risc organizațional

managementul riscurilor. registrul riscurilor. Orientări privind construirea registrului riscurilor organizației

Data introducerii 2013-12-01

cuvânt înainte

1 PROIECTAT DE AUTONOM organizație non profit„Centrul de cercetare pentru control și diagnosticare sisteme tehnice"(ANO "NIC KD")

2 INTRODUS de Comitetul Tehnic de Standardizare TC 10 „Managementul riscurilor”

3 APROBAT ȘI DAT ÎN VIGOARE prin Ordinul Agenției Federale pentru Reglementare Tehnică și Metrologie din 29 noiembrie 2012 N 1283

4 INTRODUS PENTRU PRIMA Oara

Informațiile despre modificările aduse acestor recomandări sunt publicate în indexul anual " Documente de orientare, recomandări și reguli”, iar textul modificărilor și modificărilor – în indexul lunar de informare „Standarde naționale”. În cazul revizuirii (înlocuirii) sau anulării acestor recomandări, se va publica un anunț corespunzător în indexul lunar de informații „Naționale”. Standarde". Informațiile relevante, notificările și textele sunt, de asemenea, găsite în Sistem informatic utilizare generală - pe site-ul oficial al Agenției Federale pentru Reglementare Tehnică și Metrologie pe Internet

Introducere

Registrul de risc este o modalitate de a prezenta și stoca informații despre evenimente și riscuri periculoase. Prezența unui registru de risc permite unei organizații să obțină informații legate de o anumită sursă de pericol, consecințe, ținta evenimentelor periculoase etc. Cu toate acestea, dezvoltarea unui registru de risc, mai ales când un numar mare surse de pericol, necesită mult efort, timp, resurse financiare, precum și o cantitate mare de informații.

Necesitatea dezvoltării și menținerii unui registru de risc este determinată de organizația însăși.

3.2 registrul riscurilor(registrul riscurilor): un formular pentru înregistrarea informațiilor despre un risc identificat.

NOTĂ Termenul „registru de risc” este uneori folosit în locul termenului „registru de risc”.

3.3 Pericol(pericol): Sursă de vătămare potențială.

NOTĂ Pericolul poate fi o sursă de risc.

3.4 manager de risc(manager de risc): specialist în identificarea, evaluarea, analiza, prelucrarea, monitorizarea riscului, precum și în alte activități din domeniul managementului riscului unei organizații.

4 Cum se elaborează un registru al riscurilor entității

4.1 Dispoziții generale

Organizația ar trebui să determine necesitatea dezvoltării, etapele, forma și metodele de menținere a unui registru de risc. Principalele obiective ale dezvoltării registrului de risc al unei organizații, locul acestuia în sistemul de management al riscului, avantajele și dezavantajele registrului de risc sunt stabilite în GOST R 51901.21.

Registrul de risc al organizației este o formă de evidență a evenimentelor periculoase identificate, evaluarea riscului corespunzător, metodele și momentul procesării acestuia. Atunci când se ține un registru de risc, este necesar să se țină seama de cerințele obligatorii relevante, precum și de alte informații disponibile privind tipurile de pericol și riscul apariției acestuia. În funcție de caracteristicile organizației, forma și conținutul registrului de risc pot fi modificate sau completate în raport cu forma standard a registrului de risc prezentată în tabelul 1. GOST R 51901,22.

Atunci când se elaborează registrul de risc al unei organizații, ar trebui să se țină cont de:

• politica, obiectivele și strategia organizației în domeniul managementului riscului;
• caracteristicile produselor fabricate și ale serviciilor furnizate de organizație;
• principal Procese de producțieși procesele de management ale organizației;
• metode stabilite și utilizate de analiză și evaluare a riscurilor;
• cerinte legale;
• conditiile de functionare ale produselor fabricate.

Responsabilitatea pentru managementul riscului ar trebui să fie atribuită managerului de risc responsabil sau echipei de management al riscului, inclusiv responsabilitatea pentru controlul și monitorizarea riscurilor. Cerințele pentru managerii de risc sunt stabilite în GOST R 51901.21.

Elaborarea, aprobarea, întreținerea și actualizarea registrului de risc al organizației ar trebui să fie efectuate în conformitate cu clauza 5. GOST R 51901,22.

Schimbul de informații cu privire la registrul de risc și asigurarea confidențialității informațiilor legate de registrul de risc trebuie efectuate ținând cont de cerințele clauzei 6 din GOST R 51901.22 și de recomandările stabilite în R 50,1,070.

Un exemplu de metodă simplificată de evaluare a riscurilor și dezvoltarea unui registru de risc abreviat organizație mică este prezentată în Anexa A.

4.2 Etape în procesul de management al riscului al organizației

Principalii pași în dezvoltarea registrului de risc al unei organizații ar trebui să fie în concordanță cu etapele procesului de management al riscului. În același timp, conținutul etapelor depinde de caracteristicile managementului riscului organizației. Principiile de management al riscului sunt stabilite în GOST R ISO 31000. Elementele principale ale procesului de management al riscului pentru organizațiile mici sunt prezentate în Figura 1.

Poza 1 - Schema generala proces de management al riscului

O descriere a principalelor elemente ale procesului de management al riscului pentru organizațiile mici este dată în R 50,1,069.

4.3 Harta procesului de management al riscului organizațional

Pe baza procesului de management al riscului în conformitate cu GOST R 51901.21, o organizație poate întocmi o hartă a procesului de management al riscului. La elaborarea unei hărți a proceselor pentru organizațiile mici, se recomandă reținerea principalelor elemente ale managementului riscului (identificarea evenimentelor periculoase, evaluarea cantitativă a riscurilor, analiza riscului și evaluarea comparativă, tratarea riscurilor, monitorizarea și revizuirea), în timp ce conținutul acestora poate fi rafinat. în funcţie de caracteristicile activităţilor organizaţiei.

4.4 Elaborarea unui registru al riscurilor organizației

4.4.1 Generalități

Rezultatele acțiunilor efectuate la fiecare etapă a procesului de management al riscului trebuie raportate în registrul de risc. Regulile pentru construirea unui registru de risc sunt date în GOST R 51901,22. Forma standard registrul de risc este prezentat în tabelul 1 GOST R 51901.22.

Alocarea responsabilității pentru dezvoltarea și întreținerea registrului de risc al unei organizații ar trebui să fie în concordanță cu etapele procesului de management al riscului, deoarece informațiile din registrul de risc ar trebui să fie introduse și actualizate după finalizarea fiecărei etape a procesului de management al riscului.

Principalele etape ale dezvoltării registrului de risc al unei organizații sunt descrise în paragrafele 4.4.2-4.4.6.

4.4.2 Stabilirea scopului și domeniului de aplicare a registrului de risc

Organizația trebuie să stabilească obiectivele interne și externe ale organizației, precum și obiectivele de management al riscului, pentru implementarea elementelor rămase ale procesului de management al riscului. Îndrumări privind definirea domeniului de aplicare a managementului riscului sunt oferite în R 50,1,068.

La definirea obiectivelor și domeniului de aplicare a registrului de riscuri, obiectele registrului de risc sunt mai întâi definite. Obiectele registrului de risc pot fi:

• organizație în ansamblu, subdiviziune structurală sau o parte a acestuia;
• produs, serviciu, proces sau activitate;
• personal sau lucrători individuali.

Cerințe generale pentru a determina domeniul de aplicare al registrului de risc sunt stabilite în GOST R 51901.21.

4.4.3 Dezvoltarea criteriilor de risc

Organizația trebuie să stabilească criterii de risc. Criteriile ar trebui să reflecte scopul și domeniul de aplicare. Ele depind adesea de interesele părților implicate, precum și de cerințele legale și/sau de reglementare relevante. Criteriile de risc pot fi operaționale, tehnice, financiare, juridice, legislative, sociale, de mediu, umanitare și/sau altele.

descriere generala criteriile de decizie ar trebui dezvoltate la stabilirea domeniului de aplicare a managementului riscului. Criteriile de risc ar trebui rafinate și/sau revizuite după identificarea unui anumit tip de risc și alegerea unei metode de analiză a riscului. Criteriile de risc ar trebui să fie adecvate tipului de risc și modului în care este prezentat.

Criteriile de risc sunt de obicei incluse în registrul de risc al organizației, dar pentru organizațiile mai mici, criteriile de risc pot fi stabilite în procedurile documentate ale organizației sau în alte documente de management al riscului.

4.4.4 Identificarea evenimentelor periculoase

Identificarea evenimentelor periculoase ar trebui să includă identificarea fenomenelor și evenimentelor care pot afecta articolele registrului de risc stabilite în sfera registrului de risc. Cerințele generale pentru identificarea evenimentelor periculoase pentru includerea în registrul de risc sunt stabilite în clauza 4.2 GOST R 51901,21.

Pentru organizațiile mici, mici, identificarea evenimentelor periculoase poate consta în trei etape:

• definirea metodelor de identificare a riscurilor;
• identificarea evenimentelor periculoase;
• identificarea cauzelor unui eveniment periculos.

Organizația trebuie să determine mai întâi metodele de identificare a riscului. Următoarele metode pot fi utilizate în identificarea riscului: analiza listei de verificare, evaluarea inter pares, analiza datelor experimentale și istorice, analiza diagramă bloc fiabilitate, metoda brainstorming, analiza sistemului, analiza scenariilor, metode de proiectare a sistemului. Aceste metode sunt discutate mai detaliat în GOST R ISO / IEC 31010. Alegerea metodei depinde de tipul de risc, sfera și obiectivele managementului riscului organizației, precum și de controalele și metodele aplicabile și necesare pentru gestionarea riscului organizației.

Metodele de identificare a riscurilor sunt de obicei înscrise în registrul de risc al organizației, cu toate acestea, pentru organizațiile mai mici, metodele de identificare a riscurilor pot fi definite în proceduri documentate sau în alte documente ale managementului riscului organizației.

Următorul pas este identificarea evenimentelor periculoase, la care organizația trebuie să întocmească o listă generală a evenimentelor periculoase care îi pot afecta negativ activitățile și atingerea obiectivelor. Pe baza listei, este necesar să se descrie în detaliu fiecare eveniment periculos identificat care poate apărea. Atunci când se întocmește o listă de evenimente periculoase, poate fi utilizată clasificarea pericolelor din Anexa A. GOST R 51901,21.

Denumirea evenimentului periculos trebuie formulată într-o expresie clară. Pentru un eveniment periculos al cărui nume este suficient de lung, poate fi folosit un nume scurt.

După identificarea eventualelor evenimente periculoase, este necesar să se ia în considerare sursele și cauzele apariției acestora, precum și posibilele consecințe asupra activităților organizației.

Evenimentele periculoase, sursele lor și posibilele consecințe sunt incluse în registrul de risc al organizației (indiferent de mărimea acesteia).

La efectuarea etapei de identificare a pericolelor, se recomandă să țineți cont de cerințele GOST R 51901.23.

4.4.5 Analiza riscului

Cerințele generale pentru analiza riscului evenimentelor periculoase pentru includerea în registrul de risc sunt stabilite în clauza 4.3 din GOST R 51901.22.

Analiza riscurilor include studiul surselor evenimentelor periculoase, al consecințelor acestora și al probabilității ca aceste evenimente să apară. În același timp, ar trebui identificați și factorii care afectează consecințele și probabilitatea evenimentului. Riscul trebuie analizat luând în considerare combinația dintre consecințele evenimentului și probabilitatea acestuia. În plus, organizația ar trebui să revizuiască și să evalueze controalele și controalele existente. Amploarea consecințelor unui eveniment și probabilitatea acestuia trebuie evaluate în raport cu eficacitatea strategiilor, controalelor și practicilor de management existente.

Analiza riscului organizațional poate fi efectuată în diferite grade de detaliu, în funcție de natura riscului, scopul analizei, datele și resursele disponibile. Analiza riscului poate fi calitativă, cantitativă sau combinată. Pentru organizații mici analiza calitativa de obicei folosit pentru a obține evaluare generală riscul și identificarea problemelor asociate cu riscul. Dacă organizația decide că este necesară o analiză mai detaliată, atunci pot fi aplicate metode cantitative sau combinate de analiză a riscurilor. O descriere a acestor tipuri de analiză a riscurilor este dată în R 50,1,069și GOST R ISO/IEC 31010.

Modul în care sunt prezentate consecințele și probabilitatea evenimentelor în registrul de risc trebuie ales astfel încât să se asigure că obiectivele analizei de risc sunt îndeplinite.

Analiza riscurilor trebuie să ia în considerare incertitudinea și variabilitatea estimărilor consecințelor și probabilității unui eveniment, precum și eficacitatea comunicării riscurilor. La introducerea datelor cantitative în registrul de risc, trebuie indicată (dacă este posibil) incertitudinea asociată.

4.4.6 Evaluarea comparativă a riscurilor

Cerințele generale pentru evaluarea comparativă a riscurilor pentru includerea în registrul de risc sunt stabilite în subsecțiunea 4.4 GOST R 51901,22.

scop evaluare comparativă Riscul unei organizații mici este adoptarea, pe baza rezultatelor analizei riscului și a criteriilor de acceptabilitate a riscului, a deciziilor privind necesitatea tratării riscului și a prioritizării tratamentului riscului.

Atunci când se efectuează o evaluare comparativă a riscurilor, ar trebui să fie ghidat de cerințele GOST R 51901.23.

Rezultatele unei evaluări comparative a riscurilor sunt de obicei introduse în registrul de risc al organizației, cu excepția cazului în care se specifică altfel în procedurile documentate ale organizației sau în alte documente de management al riscului.

4.4.7 Tratarea riscului

Cerințele generale pentru tratamentul riscului pentru includerea în registrul de risc sunt stabilite în subsecțiunea 4.5 din GOST R 51901.22.

În etapa de tratare a riscului, se selectează o strategie de tratare a riscului, se evaluează consecințele, probabilitatea apariției unui eveniment periculos și a riscului (ținând cont de aplicarea strategiei alese de tratare a riscului), măsurile de tratare a riscurilor, termenele limită și cei responsabili pentru acestea. se determină implementarea și se evaluează rezultatele tratării riscurilor.

Pentru organizațiile mici, elementele obligatorii ale registrului de risc asociate etapei de tratare a riscului sunt definirea măsurilor de tratare a riscurilor, momentul implementării lor planificate și efective.

De obicei, bugetul unei organizații mici pentru tratarea riscurilor este limitat, așa că metodele de tratament trebuie să stabilească și ordinea în care este tratat fiecare risc. Organizația ar trebui să compare costul total al unui eveniment periculos care apare atunci când nu se întreprinde nicio acțiune împotriva economiilor de costuri realizate prin tratarea riscului și aplicarea acțiunilor preventive.

4.4.8 Monitorizarea riscurilor și revizuirea registrului de riscuri

Cerințele generale pentru monitorizarea riscurilor și revizuirea registrului de risc sunt stabilite în subsecțiunea 4.6 GOST R 51901,22.

Organizația trebuie să asigure continuitatea procesului de management al riscului, prin urmare, este necesară monitorizarea periodică a tuturor tipurilor de risc și revizuirea înregistrărilor în registrul de risc.

Rezultatele monitorizării riscurilor sunt de obicei înregistrate în registrul de risc al organizației, dar pentru organizațiile mai mici, aceste rezultate pot fi identificate în procedurile documentate ale organizației sau în alte documente de management al riscului.

anexa a
(referinţă)

Un exemplu de metodă simplificată de evaluare a riscurilor și dezvoltarea unei versiuni abreviate a unui registru de risc al unei organizații mici

A.1 General

Structura și componența registrului de risc depind de caracteristicile organizației. O formă tipică a registrului de risc este dată în GOST R 51901.22. Organizațiile mai mici pot utiliza o formă abreviată (simplificată) a registrului de risc, un exemplu al căruia este prezentat în Tabelul A.1.

Tabelul A.1 — Forma simplificată a registrului de risc

La completarea registrului de risc pot fi utilizate următoarele scale:

scara consecințelor: 5 - consecințe catastrofale, 4 - consecințe semnificative, 3 - consecințe moderate, 2 - consecințe minore, 1 - consecințe nesemnificative;

scala de probabilitate a evenimentelor periculoase: 5 - probabilitate foarte mare, 4 - probabilitate mare, 3 - probabilitate medie, 2 - probabilitate mică, 1 - probabilitate foarte mică;

evaluarea riscului: risc acceptabil (0-4), risc controlat (5-8), risc semnificativ (9-25);

măsuri de tratare a riscurilor: (0) niciun risc, nicio acțiune întreprinsă; (0-4) risc scăzut, sunt întreprinse doar acțiuni cu costuri reduse; (5-8) risc mediu, se întreprind acțiuni ținând cont de momentul implementării lor și de fezabilitatea economică; (9-25) risc ridicat, nevoie urgentă de atenuare a riscului; (16-25) risc ridicat, aplicarea de acțiuni imediate (de urgență) pentru reducerea riscului.

A.2 Matricea riscurilor

A.2.1 Generalități

Metoda de evaluare a riscurilor pentru evenimente periculoase este dată în GOST R 51901-23 *, cu toate acestea, organizațiile mici pot utiliza metode simplificate de evaluare a riscurilor, ținând cont de incertitudinea unor astfel de evaluări ale riscurilor.

________________

*Probabil o eroare originală. Trebuie citit: GOST R 51901,23. - Nota producătorului bazei de date.

Organizațiile mici pot folosi o matrice de risc pentru a evalua semnificația unui risc. Pentru o evaluare sistematică și consecventă a riscurilor, este necesar să se elaboreze o matrice de risc în conformitate cu următorii pași:

• evaluarea probabilității unui eveniment periculos (A.2.2);
• evaluarea consecințelor unui eveniment periculos (A.2.3);
• compilarea unei matrice de risc (A.2.4);
• definirea măsurilor de tratare a riscurilor (A.2.5).

Acest exemplu arată cea mai simplă versiune a matricei de risc. Organizația, în funcție de condițiile de evaluare a riscurilor, își poate dezvolta propria matrice de risc.

A.2.2 Evaluarea probabilității unui eveniment periculos

Într-o organizație mică, în funcție de obiectul registrului de risc, managerul de risc trebuie să răspundă la întrebarea care este probabilitatea ca un eveniment periculos să se producă atunci când se aplică controalele și metodele specificate de gestionare a măsurilor de reducere a riscului. Tabelul A.2 poate fi folosit pentru aceasta.

Tabelul A.2 — Estimarea probabilității unui eveniment periculos

Dacă există îndoieli în evaluarea probabilității de apariție a unui eveniment periculos, atunci rangul pericolului evenimentului este crescut.

A.2.3 Evaluarea consecințelor unui eveniment periculos

În funcție de aria de impact a unui eveniment periculoasă, managerul de risc trebuie să evalueze consecințele unui eveniment periculoasă cu controalele existente, metodele de management și măsurile de reducere a riscului. Tabelul A.3 poate fi folosit pentru aceasta.

Tabelul A.3 — Evaluarea consecințelor unui eveniment periculos

Dacă există îndoieli cu privire la evaluarea consecințelor unui eveniment periculos, atunci rangul acestui eveniment este crescut.

A.2.4 Întocmirea matricei de risc

În acest exemplu, este utilizată cea mai simplă metodă de evaluare a riscului - o evaluare calitativă a consecințelor și probabilității unui eveniment periculos. În acest caz, riscul este calculat ca produs al consecințelor cu probabilitatea:

Rangurile consecințelor și probabilităților sunt determinate conform tabelelor 2 și 3.

Rezultatele obţinute permit construirea unei matrice de risc (Tabelul A.4), care poate fi folosită ca bază pentru identificarea riscului acceptabil şi inacceptabil.

Tabelul A.4 — Matricea riscurilor

Pentru o mai mare claritate în registrul de risc, evaluarea riscului poate fi evidențiată color:

verde - risc acceptabil (0-4);

culoare galbenă - risc controlat (5-8);

roșu (roșu închis) este un risc grav și semnificativ (9-25).

Tipurile de risc identificate pot fi clasificate atât în ​​departamente, cât și în cadrul organizației. Clasamentul se bazează pe o matrice de risc (produsul consecințelor și al probabilității) și face posibilă identificarea majorității riscurilor semnificative.

A.2.5 Determinarea strategiei și măsurilor de tratare a riscurilor

În funcție de evaluarea riscului (a se vedea tabelul A.4), ar trebui determinate acțiunile care trebuie întreprinse pentru fiecare risc înregistrat în registrul de risc. Tabelul A.5 oferă un exemplu de acțiuni care trebuie întreprinse pe baza evaluării riscurilor.

Tabelul A.5 — Exemplu de acțiuni care trebuie întreprinse pe baza evaluării riscurilor

Măsurile de reducere a riscurilor sau de tratare a riscurilor pot fi incluse în registrul riscurilor și/sau pot fi elaborate ca document separat. În acest caz, un link către acest document ar trebui să fie furnizat în registrul de risc. În exemplul prezentat, activitățile de tratare a riscurilor sunt incluse în registrul de risc.

A.3 Dispoziții suplimentare

Deoarece registrul de risc este actualizat constant, este necesar să se înregistreze datele înregistrărilor de risc și orice modificări efectuate. În cazul în care planul de acțiune este inclus în registrul de risc, trebuie consemnate scopul și termenele de finalizare a acțiunilor prevăzute de plan.

Coloana de comentarii sau note din registrul de risc vă permite să vă conectați la informații relevante, cum ar fi organizarea unei întâlniri în care riscul a fost discutat.

metoda Delphi similar cu metoda brainstorming, dar participanții ei nu se cunosc între ei. Facilitatorul folosește o listă de întrebări pentru a obține idei despre riscurile proiectului, colectează răspunsuri de la experți. În continuare, răspunsurile experților sunt analizate, clasificate și returnate experților pentru comentarii suplimentare. Consensul și lista riscurilor se obține prin mai multe cicluri ale acestui proces. Metoda Delphi elimină presiunea din partea colegilor și teama de jenă atunci când exprima o idee.