Руководство по рискам пример

Чтобы грамотно управлять угрозами для бизнеса, мы решили использовать метод фреймворка PMBoK от PMI. Разработчики предлагают поделить процесс управления на 6 этапов:

  1. Планирование управления
  2. Идентификация факторов
  3. Качественная оценка
  4. Количественная оценка
  5. Планирование реакции
  6. Мониторинг и контроль

Такая методология предполагает активный подход в работе с источниками проектных угроз. Пассивное реагирование на последствия допустимо при появлении непредвиденных факторов. Но пассивная реакция на угрозы, которые можно предугадать недопустима — можем сильно увеличить смету, сорвать сроки или потрелять заказчика. В современных бизнес-реалиях пассивная реакция равноценна осознанному убийству проекта.

Такую схему из 6 этапов предлагает PMBoK.

Планирование управления

На этапе планирования выбираем стратегии организации процесса управления и правила взаимодействия участников и заинтересованных сторон. Мы сможем уточнить выбранные методы, инструменты и уровень организации управления.

Вот такую проектную схему предлагают разработчики PMBoK.

Диаграмма потоков данных планирования управления рисками в PMBoK.

3 главных аспекта правильного планирования:

  • формирование благоприятной среды управления — гармонизация отношений внутри команды
  • использование заранее заготовленных схем и шаблонов процессов управления
  • создание описательной части и плана управления угрозами

Основной процессный инструмент — совещание. В нем принимают участники все члены команды, а иногда и инвесторы, когда речь идет про угрозы для инвестиционного проекта. Результат их работы — создание плана управления. Это полноценный регламент, которым команда руководствуется при противодействии угрозам.

Обычно в плане управления указывают:

  • методы и инструменты управления
  • роли участников при возникновении рисковых ситуация
  • допустимые значения и диапазоны угроз
  • принципы и правила внесения изменений в работу
  • форматы отчетности и документации по проектным угрозам
  • способы мониторинга и ответственные

Идентификация

На этом этапе выявляют и документируют проектные угрозы. Результат — перечень возможных проблем с ранжированием по степени опасности. Сначала команда выявляет рисковые факторы, затем проводит исследования и идентифицирует угрозы. Нужно понимать, что не все угрозы можно идентифицировать на старте. Обычно по мере развития проекта количество возможных рисковых событий увеличивается.

Чтобы увеличить вероятность идентификации, есть смысл использовать грамотную классификацию рисковых событий. Например, мы в Oko используем классификацию по степени по степени контролируемости.

Классификация рисковых событий по степени их контролируемости.

Использование этой классификации помогает определить, под какие неконтролируемые угрозы стоит планировать резервы. Нужно учитывать и то, что контролируемость рисковых событий еще не гарантирует успеха в их управлении. Также отмечу, что не всегда удается четко классифицировать угрозы, поэтому есть смысл использовать и другие способы классификации. Например, по источникам.

Пример классификации рисковых событий в зависимости от их источника.

При формулировании угрозы важно использовать двух составные понятия: с указанием на источник события и саму угрозу. Например, «угроза срыва сроков реализации из-за отсутствия определенности с функционалом» или «риск отсутствия финансирования из-за нестабильной ситуации с бюджетом у компании-заказчика». Результат — создание реестра возможных рисковых ситуаций.

Фрагмент реестра рисковых ситуаций.

Анализ и оценка рисков проекта

Здесь мы совмещаем качественную и количественную оценку.

Качественный анализ — оценка экспертных мнений и взглядов на возможные неблагоприятные последствия, обусловленные выявленными факторами. Качественный анализ более поверхностный, но часто его достаточно. Он позволяет получит на выходе:

  • перечень рисковых событий, сгруппированный по приоритету
  • перечень событий, которые нужно дополнительно проанализировать
  • комплексную оценку угрозы для команды в целом

При анализе экспертные оценки делят на две категории: оценки вероятности наступления рисковых событий и оценки их влияния. Для их корректного анализа создают специальную матрицу с оценками. Например, вот такую матрицу предлагают разработчики PMBoK.

Матрица вероятности/воздействия угроз и благоприятных возможностей из PMBoK.

На основе этой матрицы можем получить три пороговых уровня: незначительные, средние и недопустимые угрозы. Оценка — это приоритет риска. В зависимости от того, в какую из категорий попадает рисковое событие, а также в зависимости от оценки, которую получает угроза, разрабатываются конкретные мероприятия по купированию и предотвращению последствий.

Чтобы оценить степень угрозы у себя в компании, мы придумали такую матрицу, в которой эта степень зависит от вероятности реализации риска и его влияния на показатели работы. Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень угрозы — бороться с ней нужно активнее.

Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень рисковой угрозы.

Количественный анализ рисков проекта направлен на получение конкретных оценок вероятности наступления рискового события. Количественный анализ значительно более трудоемкий, но и более точный. Он требует качества входных данных, использования развитых математических моделей и более высокой компетентности от персонала. Поэтому его используют только для сложных проектов.

Количественная оценка помогает проанализировать:

  • вероятность достижения конечной цели
  • степень воздействия угроз на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться
  • события, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на результат
  • фактические расходы, предполагаемые сроки окончания

Обычно для количественного анализа используют такие методологии:

Вероятностный анализ — оценка на основе статистики по прошлым проекта с учетом вероятностной погрешности.

Анализ чувствительности — оценка влияния основных параметров финансовой модели на результирующий показатель в целях выявления наиболее существенных переменных для проекта.

Имитационное моделирование — оценка, сделанная на основе многократных опытов с моделью.

Чтобы не усложнять себе жизнь, для количественного анализа лучше использовать специальный софт. Иначе от огромного массива данных и случайных чисел будет боль голова.

Планирование реакции

Когда вы определили угрозы, выяснили, на что они влияют и дали им оценку, нужно продумать реакцию, которая поможет минимизировать последствия от угрозы. Обычно на этом этапе придумывают меры, которые с высокой вероятностью помогут добиться успеха по проекту, несмотря даже на неопределенные рисковые события.

В своей практике мы выработали 4 варианта реакций, которые помогают нам ликвидировать или хотя бы минимизировать последствия от возможных проблем. Вот какие стратегии можно использовать.

1. Уклонение. Корректируем план управления таким образом, чтобы исключить возможность наступления негативных событий или снизить последствия от их наступления. Например, пересмотреть график или изменить объем работы путем удаления некритичных модификаций.

2. Передача. Перекладываем ответственность за негатив на третью сторону. Например, заключаем договор страхования, берем предоплату, предусматриваем в договоре с заказчиком неустойку. Иногда на это потребуются дополнительные деньги.

3. Снижение. Формируем предупредительные меры по снижению вероятности наступления негативных событий или последствий их наступления. Например, при формировании команды включаем в нее возможных дублеров — на случай, если разработчик заболеет, а дизайнер-фрилансер решит пропасть на неделю без предупреждения.

4. Использование. Превращаем негатив в позитив. Пример риска проекта: квалификация тестировщика вызывает у руководителя группы вопросы, есть вероятность срыва сроков и снижения качества продукта. Думаем, что делать — в качестве дублера привлекаем более опытного тестировщика. Мы увеличим бюджет, но сократим сроки на выполнение важных для нас процессов с гарантией их качества.

На основании выбранного варианта реагирования предпринимаются дальнейшие действия. Например, в PMBoK рекомендуют вносить изменения в документацию или план проекта.

Диаграмма потоков данных планирования реакции на угрозы из PMBoK.

Мониторинг и управление

Последний этап — системная работа над выявлением новых угроз, их контроль и реакция в соответствии с планом управления. Обычно эту работу ведут на всех этапах реализации продукта, вплоть до подписания акта приема-передачи. Чем ближе конец работы, тем сильнее последствия может вызвать угроза.

Важно отслеживать состояние как выявленных, так и потенциально новых рисковых событий. Дополнительно отслеживают динамику изменений, отклонений, трендов и состояние резервов, которые используют для нивелирования угроз.

Важный момент: проектный менеджер не может быть владельцем всех угроз и отвечать за всех одновременно. Поэтому есть смысл назначить ответственного по каждому риску отдельно.

В процессе мониторинга и контроля обычно выбирают и тестируют альтернативные стратегии, корректируют план для внедрения новых тактик. Все изменения и дополнения вносятся в новый план, ответственные регулярно готовят отчет, проводят совещания и обсуждают угрозы с коллегами.

Источник

Дмитрий Могилко

Бизнес-архитектор

Эксперт-консультант ВЭШ СПГЭУ

Асессор по модели EFQM

Партнёр ГК «Современные технологии управления» (г. Санкт-Петербург)

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

  1. Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
    • внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
    • внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
  2. Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
  3. Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
  4. Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
    Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:

    • природный;
    • биосоциальный;
    • техногенный;
    • экологический;
    • профессиональный;
    • информационный;
    • экономический;
    • террористический;
    • кибернетический;
    • иной [6].
  5. Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
    • идентификатор;
    • наименование и описание, в том числе:
      ○  источник опасного события;
      ○  объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
      ○  последствия опасного события [3];
    • этап жизненного цикла продукции (услуги) при возникновении опасного события;
    • возможные последствия;
    • необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].

    В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

    • идентифицированные опасные события (инциденты — центральные узлы диаграммы);
    • источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
    • установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).

    Рис. 2. Диаграмма «галстук-бабочка»

  6. Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

    Таблица 1. Реестр риска (упрощенная форма)

    Идентифи­катор опасного события Наименование и описание опасного события Ответствен­ный менеджер по риску Последствия опасного события (I) Вероятность опасного события (L) Оценка риска (I × L) Мероприя­тия по обработке риска Срок выполнения мероприятий по обработке риска Примечания
    План Факт
                       
                       
  7. Следующим за идентификацией этапом процесса управления риском является анализ его природы и уровня. При анализе риска определяются:
    • источники данных;
    • средства контроля;
    • методы анализа;
    • последствия реализации опасного события;
    • вероятность наступления опасного события;
    • оценка уровня риска [6].

    Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

    • шкала последствий (табл. 2);
    • шкала вероятности (табл. 3).
    Таблица 2. Шкала оценивания последствий опасного события

    Последствие (I),
    баллы     		Описание
    последствий     		Объекты воздействия опасного события
    5 Катастрофические последствия Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура
    4 Значительные последствия Люди, экономика, инфраструктура, окружающая среда, социальная среда
    3 Умеренные последствия Люди, экономика, инфраструктура
    2 Небольшие последствия Экономика, инфраструктура
    1 Малозначительные последствия Социальная среда

    Примечание: объекты воздействия опасного события приведены для примера.

    Таблица 3. Шкала оценивания вероятности наступления опасного события

    Оценка вероятности,
    %     		Качественная оценка вероятности, баллы
    Очень высокая — 81–100 Очень высокая — 5
    Высокая — 61–80 Высокая — 4
    Средняя — 21–60 Средняя — 3
    Низкая — 1–20 Низкая — 2
    Очень низкая — менее 1 Очень низкая — 1

    Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

    Таблица 4. Матрица риска, ранги

    Качественная оценка вероятности опасного события Последствия
    Малозначительные (1) Небольшие (2) Умеренные (3) Значительные (4) Катастрофические (5)
    Очень низкая (1) 1 2 3 4 5
    Низкая (2) 2 4 6 8 10
    Средняя (3) 3 6 9 12 15
    Высокая (4) 4 8 12 16 20
    Очень высокая (5) 5 10 15 20 25

  8. Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

    • определение критериев приемлемости риска;
    • сопоставление оценки риска с критериями приемлемости;
    • заключение о приемлемости риска и необходимости его обработки [6].

    По результатам анализа определяется уровень риска в следующих интервалах:

    • ранг 0 — риск отсутствует, никакие действия не предпринимаются;
    • 0–4 — риск низкий, предпринимаются низкозатратные действия;
    • 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
    • 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
    • 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].

  9. После оценки риска наступает этап его обработки / модификации посредством:

    • избежания, т. е. отказа от деятельности;
    • принятия;
    • устранения источника риска;
    • изменения его вероятности;
    • изменения его последствий;
    • разделения риска с другой стороной [2].

    Обработка риска включает следующие этапы:

    • определение целей обработки риска;
    • определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
    • разработка и осуществление плана обработки риска [3].

  10. Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

    • измеряться в процентах, представлять собой число (номер) или соотношение;
    • определяться сопоставимыми значениями за определенный промежуток времени;
    • иметь базовые значения;
    • иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].

Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

  • соблюдать принципы менеджмента риска;
  • нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
  • формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].

Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

  • знание политики, стратегии и целей организации в области менеджмента риска;
  • понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
  • знание процессов и специфики работы организации;
  • знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
  • знание и правильное использование терминов менеджмента риска;
  • знание карты этого процесса;
  • знания в области применения реестра риска.

Основные требования к навыкам менеджеров по риску включают способности:

  1. Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
  2. Применять критерии допустимого риска организации.
  3. Задействовать методы оценки риска.
  4. Использовать методы разработки и ведения реестра риска.
  5. Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
  6. Использовать методы анализа менеджмента риска и управления документацией в этой области.
  7. Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
  8. Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
    • перечень опасных событий, связанный с ними риск и способы обработки;
    • оценку эффективности мер по обработке ключевых видов рисков;
    • произошедшие изменения за отчетный период;
    • необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
    • предполагаемую причину неэффективности мероприятий по обработке риска;
    • необходимые действия для выполнения мероприятий по обработке риска;
    • меры повышения эффективности риск-менеджмента [6].
  9. Обеспечивать понимание риска персоналом организации.
  10. Согласовывать процесс риск-менеджмента с общей системой процессов организации.
  11. Внедрять решения, принятые по результатам оценки риска.
  12. Поддерживать и постоянно улучшать систему риск-менеджмента.

Оценка риска осуществляется группой, включающей следующие роли:

  • владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
  • руководитель группы — управляет выполнением оценки риска;
  • эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
  • помощник — оказывает помощь при оценке риска, организует совещания по ней;
  • участник — активно участвует в процессе оценки риска [3].

Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

  • цель: постоянное определение, анализ, обработка и мониторинг рисков;
  • выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
  • виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.

В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

Рис. 3. IDEF0-модель процесса менеджмента риска

Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

Таблица 5. Основные параметры паспорта риска

Параметр Требования и рекомендации
1

Код регистрации (в реестре) и название риска (опасного события)

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].

2

Тип риска (внешний или внутренний)

При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].

3

Вид риска (экономический, технический, социальный, экологический)

Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].

4

Владелец риска (ответственный за менеджмент риска)

  • Владелец риска — лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками [2].
  • Ответственность за менеджмент риска, в том числе за его контроль и мониторинг, должна быть возложена на ответственного менеджера по риску или группу менеджмента риска [7].
5

Риск-менеджеры (эксперты по оценке риска)

  • Для идентификации рисков необходимо привлекать людей, обладающих соответствующими знаниями [2].
  • Высшее руководство должно назначить во всех подразделениях организации квалифицированный персонал, ответственный за внедрение результатов анализа и оценки риска [5].
6

Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:

  • организация в целом, ее структурное подразделение или его часть;
  • продукция, услуга, процесс или вид деятельности;
  • персонал или отдельные работники [7].
7

Заинтересованные (причастные) стороны, подверженные риску

  • При выборе вариантов воздействия на риск организация должна рассматривать значения и восприятие заинтересованных сторон и наиболее подходящие способы обмена информации с ними [2].
  • Основные заинтересованные стороны должны быть привлечены к работе по установлению целей и области применения оценки риска, а в дальнейшем — в группу оценки риска для обеспечения объективности выводов [3].
8

Источник и условия возникновения риска (опасного события)

Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].

9

Уровень (балл) последствий воздействия риска (опасного события)

  • При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств [2].
  • Группа оценки риска должна внимательно проанализировать весь диапазон последствий для каждого опасного события, при этом необходимо использовать таблицу последствий. Каждый вид последствий должен быть зарегистрирован в реестре риска [3].
10

Уровень (балл) вероятности возникновения опасного события

После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].

11

Оценка уровня (ранга) риска

Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].

12

Решение о необходимости обработки риска

  • Оценивание риска включает сравнение уровня риска, выявленного в процессе анализа, с установленными критериями риска во время рассмотрения ситуации (контекста) [2].
  • Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при ее выполнении [7].
13

Мероприятия по обработке риска (снижению вероятности и/или последствий)

Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:

  • детальное обоснование причин для выбора метода обработки риска;
  • ожидаемые преимущества выбранного метода обработки риска;
  • предлагаемые действия;
  • необходимые ресурсы;
  • распределение ответственности и полномочий;
  • календарный план выполнения работ;
  • критерии качества работы;
  • требования к обмену информацией и мониторингу [3].
14

Ответственный за обработку риска

Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:

  • менеджеров по риску, если в качестве стратегии снижения риска выбраны его устранение, снижение или оптимизация;
  • ответственную сторону, если в качестве стратегии снижения риска выбрана его передача;
  • ответственного, наделенного полномочиями принятия риска, если оно выбрано в качестве стратегии снижения риска [6].
15

Срок выполнения мероприятий по обработке риска

Этапы обработки риска включают в себя:

  • выбор стратегии обработки риска;
  • оценку последствий, вероятности опасного события и риска после применения выбранной стратегии обработки;
  • идентификацию мероприятий по обработке риска;
  • определение сроков выполнения мероприятий по обработке риска;
  • определение ответственных за выполнение мероприятий;
  • оценку результатов обработки риска [6].
16

Индикаторы мониторинга риска

  • Должна быть четко определена ответственность за проведение мониторинга и пересмотра рисков. Процессы мониторинга и пересмотра, осуществляемые организацией, должны затрагивать все аспекты процесса риск-менеджмента. Результаты мониторинга и пересмотра должны быть документированы [2].
  • Организация должна обеспечивать непрерывность процесса менеджмента риска, по этому необходимо проводить регулярный мониторинг всех его видов и пересмотр записей в реестре [7].
  • Для повышения эффективности контрольных процедур с помощью ключевых индикаторов риска необходимо:
    ○  выбрать индикаторы для каждого значимого риска;
    ○  определить интервалы значений индикаторов, соответствующие приемлемому риску, высокому риску и т. п.;
    ○  документировать проведение мониторинга индикаторов и предоставления соответствующей отчетности руководству [9].
  • Все организации должны иметь перечень индикаторов риска, которые видоизменяются с течением времени. Перечень индикаторов должен подвергаться периодическому анализу и пересмотру [9].
  • Службы внутреннего контроля и аудита должны с определенной периодичностью производить проверки ключевых индикаторов риска на своевременность предоставления, достоверность данных, актуальность [9].
  • Отчет должен содержать и структурировать следующую информацию:
    ○  источник информации для каждого индикатора;
    ○  лицо, ответственное за предоставление данных;
    ○  частоту обновления данных;
    ○  планирование, сроки и время исполнения [9].
17

Сведения о результативности и эффективности обработки риска (оценка и опыт)

  • В реестр риска включают также оценку выполнения мероприятий по обработке риска [6].
  • В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:
    ○  реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска;
    ○  карту риска, которая отражает динамику изменения состояния защищенности организации во времени;
    ○  панель риска, содержащую информацию о ключевых индикаторах риска и динамике их изменения во времени;
    ○  отчеты о выполнении планов обработки риска;
    ○  аналитическое заключение о защищенности организации — детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба [9].
18

Направления улучшения инфраструктуры риск-менеджмента

  • Организациям рекомендуется разрабатывать, внедрять и постоянно улучшать инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру [2].
  • В рамках системы менеджмента риска необходимо установить систему отчетности об оценке риска, эффективности средств контроля и методов управления и мероприятий по обработке риска [5].
19

Периодичность актуализации оценки риска (реестра риска)

  • Процесс менеджмента риска должен быть непрерывным, поэтому менеджерам по риску следует проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре, направленный на обеспечение достижения целей организации и выполнения установленных требований к риску. Для этого необходимы:
    ○  проведение регулярного анализа каждого риска, направленного на оценку полноты и правильности соответствующих описаний и расчетов, их соответствия существующим угрозам, последствиям, оценкам вероятности их появления, выбранной стратегии менеджмента риска и достаточности мер, направленных на снижение риска;
    ○  идентификация ключевых видов риска ответственным за менеджмент риска организации и обмен информацией о них с причастными сторонами;
    ○  актуализация мероприятий, направленных на снижение риска [6].
  • Анализ и пересмотр реестра риска следует проводить не реже одного раза в год. Периодичность анализа и пересмотра реестра риска устанавливает высшее руководство организации. Анализ и пересмотр реестра должны включать в себя обсуждение проблем, связанных с новыми видами идентифицированного риска и исключением из реестра риска устаревшей информации [6].
20

Дата актуализации сведений о риске (в реестре)

Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:

  • названия параметров риска указываются в поле «Раздел» атрибутов документа;
  • содержание (значение) параметров риска заносится в поле «Комментарий» атрибутов документа;

    • Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

  • требования к параметрам риска указываются в поле «Комментарий» раздела атрибутов объекта (рис. 5).

    • Рис. 5. Карточка раздела документа

Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

Рис. 7. Отчет «Паспорт риска»

Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

  1. Лист «Матрица рисков» (рис. 8):
    • средневзвешенный уровень рисков организации (например, 10,25);
    • матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
    • список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.

    2. Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

  2. Лист «Риски» (рис. 9):
    • ранг уровня риска (например, 12);
    • сведения (содержание) о параметрах риска;
    • параметры риска (ссылки).

    3. Рис. 9. Лист «Риски» Excel-отчета по мониторингу

  3. Лист «Требования» (рис. 10):
    • наименование раздела (нормативно-справочного) документа;
    • требования и рекомендации стандартов для параметра риска.

    4. Рис. 10. Лист «Требования» Excel-отчета по мониторингу

Для удобства навигации отчет содержит необходимые автоматические ссылки.

ВЫВОДЫ

Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.

Источники информации:

  1. ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования».
  2. ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».
  3. ГОСТ Р 51901.23–2012 «Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска».
  4. Р 50.1.068–2009 «Менеджмент риска. Рекомендации по внедрению. Часть 1: Определение области применения».
  5. ГОСТ Р 51901.21–2012 «Менеджмент риска. Реестр риска. Общие положения».
  6. ГОСТ Р 51901.22–2012 «Менеджмент риска. Реестр риска. Правила построения».
  7. Р 50.1.084–2012 «Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации».
  8. ГОСТ Р ИСО/МЭК 30010–2011 «Менеджмент риска. Методы оценки риска».
  9. Р 50.1.090–2014 «Менеджмент риска. Ключевые индикаторы риска».
  10. ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств».
  11. Создание пользовательских отчетов.

Опубликовано по материалам:
«Менеджмент качества», 03/2019.

Октябрь 2019 г.

Рекомендуемые материалы по тематике

Направления дальнейшего развития процессного управления в банках

Глоссарий

Глоссарий

ОАО «Завод Продмаш»: Как выстроить производственную систему и обеспечить ее развитие

Источник

В 2022 году оценка профессиональных рисков (далее — ОПР) стала обязательной для всех работодателей. Какие методы проведения ОПР существуют и как выбрать наиболее подходящий вам, как поэтапно организовать оценку профрисков, откуда получать информацию об опасностях, как вовлечь работников и правильно оформить результаты процедуры – об этом и не только рассказываем в нашем подробном гайде.

Снежана Кузьменко

Руководитель отдела охраны труда EcoStandard group

Обзоры, интервью, свежие новости и изменения в законодательстве — оперативно в нашем Telegram-канале. О самых важных событиях — в нашей группе ВКонтакте.

Основные определения

Риск-ориентированный подход к управлению деятельностью организаций набирает все большую популярность. Статья 214 ТК РФ обязала работодателя систематически выявлять опасности и профессиональные риски, а также проводить их регулярный анализ и оценку. Грамотный руководитель применяет риск-ориентированное мышление по отношению ко всем аспектам своего бизнеса, но риски, связанные с опасностью для жизни и здоровья работников, должны иметь первостепенную важность для работодателя.

В процедуре оценки профессиональных рисков (ОПР), как и в целом в обеспечении безопасности труда, постоянно фигурируют три понятия: вред, опасность и риск. Чем они отличаются? Приведём определения согласно ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем.

Итак, риск связан с вероятностью событий и их последствиями; профессиональные риски связаны с опасными событиями, которые могут произойти в процессе работы. Соответственно, для обеспечения безопасности на работе их нужно контролировать, оценивать и снижать; все эти действия объединяет одно слово – управлять. Подытожить всё вышесказанное помогут определения из статьи 209 ТК РФ:

Управление профессиональными рисками – комплекс взаимосвязанных мероприятий, являющихся элементами системы управления охраной труда и включающих в себя меры по выявлению, оценке и снижению уровней профессиональных рисков.

Система управления охраной труда – комплекс взаимосвязанных и взаимодействующих между собой элементов, устанавливающих политику и цели в области охраны труда у конкретного работодателя и процедуры по достижению этих целей.

Зачем нужно оценивать риски?

Цель оценки и управления профессиональными рисками, как мы и сказали ранее – обеспечение безопасности и сохранение здоровья работника в процессе трудовой деятельности. Сам процесс позволяет ответить на следующие вопросы:

  • какие события могут произойти и какова их причина?
  • каковы последствия этих событий?
  • какова вероятность их возникновения?
  • какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций?
  • уровень риска является приемлемым или требуется его дальнейшая обработка?

Таким образом, от анализа возможных событий и предпосылок к ним мы приходим к разработке мер по снижению вероятности их возникновения.

Сравнение ОПР и СОУТ

При первом столкновении с ОПР можно заметить, что в системе управления охраной труда есть процедура, похожая на оценку профрисков – это специальная оценка условий труда. И там, и там специалист занимается идентификацией опасностей на рабочем месте; отсюда возникает логичный вопрос – почему это разные процедуры? Хотя у них действительно много схожего, есть и существенные различия. Проясним этот вопрос с помощью сравнительной таблицы.

Когда проводится оценка?

В соответствии с требованиями п.5.1 ГОСТ 12.0.230.5-2018 оценка профессиональных рисков должна проводиться организацией:

а) в случаях, если ранее такая оценка не проводилась;

б) при любых изменениях.

Согласно тому же стандарту, процедура может проводиться организацией во внеплановом порядке и периодически в плановом. Это значит, что организация может самостоятельно установить для себя периодичность проведения ОПР, если считает, что такой контроль необходим. Обязательно процедура проводится при значительных изменениях условий труда, поэтому прежде чем внедрить изменения либо вскоре после их внедрения необходимо подумать, как снизить уровень появившихся рисков.

Кто проводит оценку?

Оценку профессиональных рисков может проводить:

  • работодатель своими силами;
  • экспертные организации, выполняющие оценку на договорной основе.

Работодатель сам решает, какой из подходов для него предпочтительнее, опираясь на свои трудовые и финансовые ресурсы. Нанимая эксперта на аутсорс, нужно учитывать, что это значительно упрощает задачу для работодателя, но ему всё равно предстоит поучаствовать в процессе. Опишем возможности эксперта сторонней организации при проведении ОПР и укажем процедуры, в котором ему нужна будет информация от заказчика.

Алгоритм проведения оценки профессиональных рисков

Все мероприятия по управлению профессиональными рисками можно разделить на 4 этапа.

Этап 1. Подготовительный

  1. Подготовить и издать приказ по организации (скачайте образец приказа).

    2. В приказе определяются ответственные за проведение процедуры и устанавливаются сроки её проведения. Комиссия по организации проведения ОПР должна состоять как минимум из 3 человек.

  2. Составить, согласовать и утвердить график проведения работ по идентификации опасностей и оценке рисков (скачайте образец графика).
  3. Проинформировать работников о начале работы.
  4. Подготовить контрольные листы (чек-листы), анкеты, опросные листы.
  5. Подготовить совещания со специалистами, имеющими знания в анализируемой деятельности.

Этап 2. Выявление профессиональных опасностей рабочего места

  1. Составить перечень рабочих мест, на которых будет проводиться идентификация опасностей (скачайте образец перечня).
    1. Выявить и зарегистрировать все опасности и их источники.
    2. Составить перечень работ и операций, при выполнении которых присутствует конкретная опасность.
    3. Проанализировать результаты выявления опасностей.
    4. Проверить полноту и правильность проведённой работы.
    5. Утвердить реестр идентифицированных опасностей на рабочих местах.

    Этап 3. Оценка уровня профессиональных рисков рабочего места

    1. Выбрать метод оценки уровней профессиональных рисков.
    2. Определить степень и допустимость риска.
    3. Провести оценку профессиональных рисков.
    4. Составить карту уровня профессионального риска.

    Этап 4. Управление профессиональными рисками

    1. Составить план мероприятий по снижению уровня профессионального риска.
    2. Реализовать эти мероприятия.
    3. Продолжать работу над снижением уровней профессиональных рисков.

    Как выявлять опасности?

    Рекомендации по классификации, обнаружению, распознаванию и описанию опасностей законодательно утверждены приказом Минтруда от 31.01.2022 N 36. Все эти действия относятся ко второму этапу алгоритма ОПР из предыдущего раздела статьи.

    Подробнее остановимся на самом трудоёмком процессе – выявлении опасностей на рабочих местах. Очевидно, что в этом может помочь непосредственный осмотр рабочего места, но откуда ещё можно получить информацию об опасностях? Выделим четыре основных источника.

    Общение с людьми: непосредственное общение с работниками и(или) их представителями, жалобы и обращения работников по поводу имеющихся опасностей.

    Результаты прошлых процедур: СОУТ, производственный контроль (в т.ч. ступенчатый контроль), прошлые ОПР, материалы расследования произошедших несчастных случаев и профзаболеваний.

    Общая документация: рабочие процедуры и инструкции, отчёты о техобслуживании, техническая документация на оборудование, протоколы совещаний по охране труда и других совещаний в организации.

    Статистика: данные по оказанию первой медицинской помощи и использованию аптечек первой помощи, статистика производственного травматизма, происшествий, профессиональной заболеваемости.

    Вовлечение самих работников в процесс ОПР сделает процедуру более эффективной и информативной: предложите им оценить риски в рамках недели безопасности, проведите квест по идентификации рисков во Всемирный день охраны труда или внедрите эту меру как часть СУОТ на регулярной основе.

    Образец карточки риска, которую можно выдавать работникам для самостоятельного заполнения, можно скачать здесь.

    Как выбрать метод оценки рисков?

    Рекомендации по выбору методов оценки уровней профессиональных рисков и по снижению уровней таких рисков закреплены в приказе Минтруда от 28.12.2021 №926.

    В рекомендациях содержатся:

    1. Критерии, рекомендуемые работодателю при выборе методов оценки уровней профрисков;
    2. Краткое описание методов анализа профессиональных рисков;
    3. Описание процесса анализа профессиональных рисков и примеры оценочных средств.

      Согласно приказу, работодатель имеет право самостоятельно выбрать метод оценки профрисков исходя из специфики своей деятельности.

      Методы оценки профессиональных рисков по масштабам применения разделяются на:

      • используемые для всей организации в целом;
      • используемые на уровне отдельного проекта или структурного подразделения;
      • используемые на уровне конкретного производственного процесса или оборудования.

      Выбор метода оценки риска также зависит от временного диапазона проявления оцениваемого риска:

      • риск краткосрочный (выполнение однократных заданий);
      • риск среднесрочный (внедрение нового оборудования, проходящего апробацию);
      • риск долгосрочный (поэтапное изменение технологической системы);
      • метод, применимый к любому временному диапазону.

      Рекомендуемые методы оценки уровня профессиональных рисков приведены в таблице.

      Результаты процедуры

      Результатом оценки профессионального риска является количественная (качественная) оценка степени ущерба для здоровья работников от действия вредных и опасных факторов рабочей среды и трудовой нагрузки по вероятности нарушений здоровья с учетом их тяжести. Данные о возможном ущербе, вероятности его наступления и уровне профессионального риска заносятся в карты уровня профессионального риска.

      Эти данные являются обоснованием для принятия управленческих решений по ограничению риска и оптимизации условий труда работников.

      Образец карты уровня профессионального риска можно скачать здесь.

      Как выбрать меры по управлению рисками?

      При разработке мер управления профрисками рекомендуется рассматривать риски с учётом их значимости (приоритетности), а также эффективности представленных защитных мер. Это может быть:

      1. Исключение опасной и вредной работы (процедуры, сырья, материалов, оборудования и т.д.).
      2. Замена опасной работы (процедуры, сырья, материалов, оборудования.
      3. Реализация инженерных (технических) методов ограничения риска воздействия опасностей на работников.
      4. Реализация административных методов.
      5. Использование средств индивидуальной защиты.

      Универсальных рекомендаций по выбору конкретных мер по управлению рисками нет, так как этот процесс индивидуален и зависит от специфики организации. Например, в одном случае можно снизить риск с помощью покупки дополнительного страхующего оборудования, изменения эргономики рабочего места или изменения технологии; в другом случае окажется, что сам технологический процесс можно убрать из цепочки и устранить риск полностью. Такие решения принимаются специалистом по охране труда совместно с коллегами из других департаментов.

      От того, насколько долго присутствует риск при выполнении работы (краткосрочный, среднесрочный или долгосрочный риск) зависит уровень сотрудников, которых нужно привлекать к принятию решения о мерах по управлению риском:

      • стратегический уровень (высшее руководство);
      • операционный уровень (уровень структурного подразделения);
      • тактический уровень (сам работник или его непосредственный руководитель).

      Для удобной организации процесса рекомендуем составлять план управления рисками; образец плана можно скачать здесь.

      После реализации выбранных мероприятий проводится повторная оценка профессиональных рисков.

      Полезные стандарты и НПА

      Приведём законодательные акты и стандарты, полезные для организации процедуры оценки профессиональных рисков.

      Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ;

      Приказ Минтруда России от 29 октября 2021 года N 776н «Об утверждении Типового положения о системе управления охраной труда»

      Приказ Минтруда России от 31 января 2022 года N 36 «Об утверждении Рекомендаций по классификации, обнаружению, распознаванию и описанию опасностей»

      Приказ Минтруда России от 28 декабря 2021 года N 926 «Об утверждении Рекомендаций по выбору методов оценки уровней профессиональных рисков и по снижению уровней таких рисков»

      ГОСТ 12.0.230.4-2018. Межгосударственный стандарт. Система стандартов безопасности труда. Система управления охраной труда. Методы идентификации опасностей на различных этапах выполнения работ

      ГОСТ 12.0.230.5-2018 Система стандартов безопасности труда. Системы управления охраной труда. Методы оценки риска для обеспечения безопасности выполнения работ

      ГОСТ 12.0.002-2014 Система стандартов безопасности труда. Термины и определения

      ГОСТ 12.0.230-2007 Системы управления охраной труда. Общие требования

      ГОСТ Р ИСО 45001-2020 Системы менеджмента безопасности труда и охраны здоровья. Требования и руководство по применению

      ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска

      ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения (Документ отменен. Вместо него «Системы менеджмента качества. Основные положения и словарь» ГОСТ р ИСО 9000-2015, утв. Приказом Росстандарта от 28.09.2015 № 1390-СТ)

      ГОСТ Р ИСО 31000-2019 Менеджмент риска. Принципы и руководство

      ГОСТ Р 54145-2010 Руководство по применению организационных мер безопасности и оценки рисков. Общая методология

      Штрафы

      Непроведение оценки уровней профессиональных рисков может повлечь административную ответственность, предусмотренную ч.1 ст.5.27.1 КоАП РФ. Кодексом установлены штрафы:

      • на должностных лиц – в размере от двух до пяти тысяч рублей;
      • на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица – от двух до пяти тысяч рублей;
      • на юридических лиц – от пятидесяти до восьмидесяти тысяч рублей.
Источник

Понравилась статья? Поделить с друзьями:

А вот и еще наши интересные статьи:

  • Мануал для rav 4
  • Телефон панасоник стационарный трубка инструкция автодозвон
  • Бетасерк инструкция для чего принимают таблетки
  • Итразол инструкция по применению цена капсулы взрослым
  • Пандора 3700 инструкция по установке dxl

    • 0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии