Risk management. Risk register. Principles of development
Дата введения - 1 декабря 2013 г.
Введен впервые
Предисловие
1 Разработан Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД")
2 Внесен Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1285-ст
4 Введен впервые
Введение
Реестр риска является одним из способов представления и хранения информации об опасных событиях и риске. В реестр риска обычно включают основные виды опасностей, применяемые методы оценки и снижения риска и мероприятия по предупреждению, снижению и обработке риска. При разработке реестра риска необходимо учитывать соответствующие законодательные и обязательные требования, а также иную доступную информацию о видах опасности и риске их возникновения. Однако составление реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также накопления необходимого объема информации.
Необходимость разработки и ведения реестра риска организация определяет самостоятельно.
Настоящий стандарт следует применять с учетом требований основополагающих стандартов в области риска: ГОСТ Р ИСО 31000-2010 "Менеджмент риска. Принципы и руководство", ГОСТ Р ИСО/МЭК 31010-2011 "Менеджмент риска. Методы оценки риска" и ГОСТ Р 51897-2011/Руководство ИСО 73:2009 "Менеджмент риска. Термины и определения".
1 Область применения
В настоящем стандарте установлены правила построения реестра риска. Общие принципы разработки и ведения реестра риска установлены в ГОСТ Р 51901.21.
Реестр риска является одним из способов представления информации о риске. Необходимость разработки и ведения реестра риска организация определяет самостоятельно.
Реестр риска может применяться как элемент системы менеджмента риска или самостоятельно. В системе менеджмента риска реестр риска не является обязательным элементом, могут быть использованы другие способы представления информации о риске.
Настоящий стандарт предназначен в первую очередь для менеджеров по риску, руководителей организаций и технических экспертов по оценке опасных событий, инцидентов и аварий, а также для ответственных за разработку политики менеджмента риска, составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска организации.
Реестр риска позволяет организациям на местном, региональном и федеральном уровнях сопоставлять данные о риске и применять апробированные методы предупреждения опасных событий и инцидентов и реагирования на них.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем
ГОСТ Р 51901.21-2012 Менеджмент риска. Реестр риска. Общие положения
ГОСТ Р 51901.23-2012 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска.
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.
3.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей*.
Примечание 1 - Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
Примечание 2 - Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).
Примечание 3 - Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.
Примечание 4 - Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.
Примечание 5 - Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.3 реестр риска (risk register): Форма записи информации об идентифицированном риске.
Примечание - Термин "журнал риска" иногда используют вместо термина "реестр риска".
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.4 менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.
4 Порядок разработки реестра риска организации
4.1 Общие положения
Основные цели разработки реестра риска, его место в системе менеджмента риска, преимущества и недостатки реестра риска, а также основные этапы разработки установлены в ГОСТ Р 51901.21.
Реестр риска должен содержать данные по идентификации опасных событий и оценке их риска, а также данные о возможных последствиях воздействия этих опасных событий на деятельность организации в стоимостном и материальном выражении. В реестр риска включают также оценку выполнения мероприятий по обработке риска. Типовая форма реестра риска приведена в таблице 1. В зависимости от особенностей организации форма и содержание реестра риска могут быть изменены или дополнены. Форма реестра риска должна быть утверждена высшим руководством организации.
Составление реестра риска начинают с определения области применения реестра риска и, в частности, с определения объектов реестра риска. Объектами реестра риска могут быть:
- организация в целом, ее структурное подразделение или его часть;
- продукция, услуга, процесс или вид деятельности;
- персонал или отдельные работники.
Общие требования к определению области применения реестра риска установлены в ГОСТ Р 51901.21.
Распределение ответственности за разработку и ведение реестра риска должно соответствовать этапам менеджмента риска, поскольку внесение информации в реестр риска и ее корректировку следует выполнять после завершения каждого этапа менеджмента риска.
При внесении в реестр риска количественных данных следует (по возможности) указывать соответствующую им неопределенность.
Основные элементы реестра риска соответствуют этапам менеджмента риска, описанным в 4.2 - 4.6.
Таблица 1 - Типовая форма реестра риска
Идентификация опасных событий |
Анализ риска |
||||||||||||||||
Индивидуальный идентификатор опасного события |
Краткое наименование опасного события и его описание |
Этап жизненного цикла продукции (услуги), на котором может возникнуть опасное событие |
Причина опасного события |
Возможные воздействия и последствия опасных событий на деятельность организации |
Предупреждающие средства контроля и методы управления |
Средства контроля и методы управления по реагированию на опасное событие и восстановлению деятельности |
Уровень применяемых предупреждающих средств контроля и методов управления |
Уровень применяемых средств контроля и методов управления по реагированию на опасное событие и восстановлению деятельности |
Источник данных и предположения, используемые при оценке риска |
Метод оценки и анализа риска |
Оценка последствий (ущерба) при реализации опасного события |
Вероятность опасного события |
Результат количественной оценки риска |
Уровень неопределенности оценки риска |
|||
Объект воздействия опасного события |
Описание воздействия опасного события |
Дни простоя |
Стоимость |
Другие единицы измерения |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Окончание таблицы 1
Сравнительная оценка риска |
Обработка риска |
Мониторинг риска и пересмотр реестра риска |
Замечания, предложения, ссылки |
||||||||||||||||
Критерий приемлемости риска |
Результат сравнительной оценки риска (риск неприемлемый, риск приемлемый, но требует обработки (ALARP), риск приемлемый) |
Ранг опасного события в порядке возрастания риска |
Стратегия обработки рика (устранение, снижение, передача, принятие, оптимизация) |
Значения показателей после внедрения стратегии менеджмента риска |
Мероприятия по обработке рика |
Срок выполнения |
Ответственный за выполнение мероприятий по обработке риска |
Мониторинг мероприятий по обработке риска |
Результаты анализа результативности и эффективности мероприятий по обработке риска |
Результаты анализа результативности и эффективности системы менеджмента риска |
|
||||||||
Оценка последствий |
Оценка вероятности опасного события |
Оценка риска |
План |
Факт |
Подразделение |
Должность |
ФИО, подпись |
||||||||||||
план |
факт |
план |
факт |
план |
факт |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.2 Идентификация опасных событий
Для идентификации опасных событий необходимо определить явления или события, которые могут воздействовать на объекты реестра риска, установленные в области применения реестра риска, и/или возможности по их улучшению. Идентификация опасных событий включает в себя:
- присвоение индивидуального идентификатора опасному событию;
- определение краткого наименования опасного события и его описание;
- установление этапа жизненного цикла продукции (услуги), на котором может возникнуть опасное событие;
- определение возможных последствий на деятельность организации и их воздействий;
- идентификация предупреждающих средств контроля и методов управления;
- идентификация средств контроля и методов управления по реагированию на опасные события и восстановлению деятельности после их реализации.
Описания опасных событий, их причин и других элементов реестра риска на этапе идентификации опасных событий должны актуализироваться по мере поступления новой информации. Первоначально достаточным является описание, понятное вовлеченному персоналу и внешним причастным сторонам.
При выявлении опасных событий, их причин следует уделять внимание исследованию взаимосвязи нескольких опасных событий при совместном появлении.
Существуют два основных требования к информации об идентификации опасных событий:
- описание опасных событий и их причин в установленной форме реестра должно быть достаточным для того, чтобы персонал, вовлеченный на стадии оценки риска, мог получить в полной мере всю необходимую информацию;
- должны быть приведены все предположения и ограничения, используемые для оценки риска.
Определение причин опасных событий обеспечивает:
- достижение точного понимания и определения проблем, требующих решения, которые напрямую не следуют из описаний опасных событий;
- разработку мер, направленных на снижение риска на стадии обработки риска;
- анализ идентифицированных опасных событий в части влияния на выполнение целей организации.
При разработке реестра риска, как правило, используют экспертные оценки, поэтому важно, чтобы к данным работам менеджеры по риску привлекали квалифицированный персонал. Рекомендуется, чтобы, начиная со стадии идентификации опасных событий и далее на стадиях оценки и обработки риска, в деятельность по разработке и ведению реестра риска были вовлечены эксперты в следующих областях:
- проектирование и разработка объектов реестра риска;
- функционирование объектов реестра риска;
- экологический менеджмент;
- финансовый менеджмент;
- оценка затрат;
- производственное планирование;
- бюджетирование/ревизионный контроль;
- операции с недвижимым имуществом;
- производственный менеджмент;
- менеджмент персонала и экспертов в области риска;
- другие области (например, юриспруденция, обеспечение безопасности, материально-техническое снабжение).
Перечисленные области деятельности для привлечения экспертов являются рекомендуемыми. В отчетах организаций по менеджменту риска должны быть указаны вовлеченные в эту деятельность эксперты и специалисты, область их знаний или экспертизы, степень квалификации, в том числе по идентификации опасных событий и возможностей по улучшению, оценке риска и обработке риска. Важно понимать, что менеджер по риску не может быть компетентным во всех областях деятельности организации и самостоятельно оценивать риск для сложных объектов. Однако одной из важных задач менеджмента риска при разработке реестра риска является назначение ответственных и организация групповой работы.
Все предположения и данные, используемые на стадии идентификации опасных событий, должны быть зафиксированы.
Для внесения в реестр опасных событий рекомендуется использовать виды опасностей, приведенные в приложении А.
4.3 Анализ риска
На основе выявленных опасных событий и их причин необходимо оценить последствие каждого опасного события и его вероятность с помощью комбинированных или количественных методов анализа и оценки риска.
Этап анализа риска включает в себя:
- определение источников данных и предположений, используемых при анализе и оценке риска;
- определение уровня применяемых средств контроля и методов управления;
- определение метода оценки и анализа риска;
- оценку последствий (ущерба) при реализации опасного события (в днях простоя, в стоимостном выражении или в других единицах измерения);
- оценку вероятности опасного события;
- определение количественной оценки риска;
- определение уровня неопределенности полученной оценки риска.
Последствия идентифицированных опасных событий следует оценивать сточки зрения установленных целей проекта или деятельности организации, при этом необходимо учитывать, что одно опасное событие может иметь несколько последствий. Существует много видов и областей воздействия опасных событий, требующих анализа и оценки риска (например, экология, безопасность строительства, бюджетирование и т.д.), поэтому все воздействия опасного события необходимо оценивать с точки зрения ущерба для деятельности организации.
Менеджеры по риску должны четко различать оценку последствий опасного события и оценку его вероятности. В противном случае существует возможность существенных ошибок при оценке риска. Менеджеры по риску должны получить четкий ответ на вопрос: "Если опасное событие произойдет, какое воздействие на деятельность организации оно окажет?".
Только после того, как будет достигнута согласованность в оценках последствий опасного события между участниками группы по менеджменту риска, менеджер по риску должен предложить оценить вероятность опасного события. Если вероятность опасного события определена, риск считают полностью определенным количественно.
Менеджер по риску должен направлять работу группы менеджмента риска на активное обсуждение до полного завершения оценки риска.
На этапе анализа риска проводят анализ дней простоя при реализации опасного события. При этом последствия каждого опасного события необходимо соотнести с количественной оценкой риска и с планом-графиком работ организации. Необходимо определить, насколько критические виды деятельности зависят от возможной продолжительности простоя. Для этого может быть использован метод моделирования Монте-Карло.
В процессе анализа и оценки риска, имеющего несколько областей воздействия, на основе описания опасного события и его причин может быть принято решение о необходимости разделить риск на несколько частей в соответствии с областями воздействия. Такое решение может быть дополнительно рассмотрено после идентификации мероприятий по обработке риска. Если мероприятия по обработке риска одинаковы как для составляющих видов риска воздействия, так и для общего риска, то риск следует исследовать как общий риск. Если мероприятия по снижению риска для различных областей воздействия различны, то рекомендуется разделить риск на несколько составляющих видов риска.
При выполнении оценки и анализа риска в реестре риска должны быть зафиксированы все использованные данные (например, условия контракта, опыт разработки аналогичных объектов, применяемые формулы, модели предположения). Полученные оценки риска должны быть также занесены в реестр риска.
Для демонстрации полноты и завершенности анализа риска должен быть составлен перечень исключенных рисков.
При выполнении анализа и оценки риска рекомендуется учитывать требования ГОСТ Р 51901.23.
4.4 Сравнительная оценка риска
Этап сравнительной оценки риска состоит в оценке приемлемости риска на основе критериев риска, ранжировании опасных событий и составлении перечня опасных событий, для которых необходимо проведение обработки риска.
Сравнительная оценка риска включает в себя:
- определение критериев приемлемости риска;
- сопоставление оценки риска с критериями приемлемости риска;
- определение приемлемости риска;
- ранжирование опасных событий в зависимости от их риска;
- принятие решения о необходимости обработки риска.
Ранжирование опасных событий проводят в соответствии с ущербом.
Результатом анализа и сравнительной оценки риска является ранжирование риска, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска.
4.5 Обработка риска
Этапы обработки риска включают в себя:
- выбор стратегии обработки риска;
- оценку последствий, вероятности опасного события и риска после применения выбранной стратегии обработки риска;
- идентификацию мероприятий по обработке риска;
- определение сроков выполнения мероприятий по обработке риска;
- определение ответственных за выполнение мероприятий;
- оценку результатов обработки риска.
Организация может применять следующие стратегии обработки риска:
- устранение риска, например, путем внесения изменений в конструкцию объекта;
- снижение риска (уменьшение последствий и/или вероятности опасного события);
- передача риска (например, передача ответственности за последствия опасного события третьей стороне);
- принятие риска;
- оптимизация риска (при наличии возможностей).
Примечание - Каждое решение о принятии риска, то есть отказ от мероприятий по снижению или устранению риска, должно быть согласовано высшим руководством.
Организация должна установить процесс обмена информацией о риске с причастными сторонами, особенно о видах риска, требования к которым установлены в соответствии с законодательными и обязательными требованиями.
Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за их выполнение. В качестве ответственных, как правило, назначают:
а) менеджеров по риску, если в качестве стратегии снижения риска выбраны устранение, снижение или оптимизация риска;
б) ответственную сторону, если в качестве стратегии снижения риска выбрана передача риска;
в) ответственного, наделенного полномочиями принятия риска, если в качестве стратегии снижения риска выбрано принятие риска.
Если принято решение об особом управлении конкретным риском, ответственность за управление этим риском должна быть установлена в реестре риска. Кроме того, в этом случае должны быть определены:
- персонал, имеющий необходимую компетентность и наделенный соответствующими полномочиями для управления установленным риском (с низкой вероятностью реализации и/или катастрофическими последствиями для деятельности организации);
- мероприятия по обработке установленных размеров риска. Реализация этих мероприятий может быть возложена на персонал, ответственный за менеджмент риска, при этом должна быть точно поставлена задача, установлен срок ее выполнения.
Лицо, несущее общую ответственность за менеджмент риска в организации, должно иметь всю необходимую информацию об особо важных видах риска и способах их менеджмента. В реестре риска соответствующие опасные события и риски могут быть выделены в отдельный раздел.
4.6 Мониторинг риска и пересмотр реестра риска
Процесс менеджмента риска должен быть непрерывным, поэтому менеджеры по риску должны проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре риска, направленный на обеспечение выполнения целей организации и установленных требований к риску.
Для этого необходимо:
- проведение регулярного анализа каждого риска, направленного на оценку полноты и правильности соответствующих описаний и расчетов, их соответствия существующим угрозам, последствиям, оценкам вероятности их появления, выбранной стратегии менеджмента риска и достаточности мер, направленных на снижение риска;
- идентификация ответственным за менеджмент риска организации ключевых видов риска и обмен информацией о них с причастными сторонами;
- актуализация мероприятий, направленных на снижение риска.
Анализ и пересмотр реестра риска выполняет уполномоченный персонал. Менеджер по риску несет ответственность за планирование и выполнение работ по анализу и пересмотру реестра риска ответственным персоналом. Менеджер по риску организации должен быть своевременно информирован об изменениях информации о ранее идентифицированных или новых рисках. Анализ и пересмотр реестра риска следует проводить не реже одного раза в год. Периодичность анализа и пересмотра реестра риска устанавливает высшее руководство организации. Анализ и пересмотр реестра риска должны включать в себя обсуждение проблем, связанных с новыми видами идентифицированного риска и исключением из реестра риска устаревшей информации.
Дополнительно в процессе мониторинга риска и пересмотра реестра риска необходимо проводить анализ результативности и эффективности мероприятий по обработке риска, а также анализ результативности и эффективности системы менеджмента риска.
5 Разработка, утверждение, ведение и актуализация реестра риска
Действия по разработке, утверждению, ведению и актуализации реестра риска и соответствующих отчетов, а также обмен содержащейся в них информации должны соответствовать требованиям процедур управления документацией и записями, а также другим требованиям, установленным в организации.
Реестр риска должен быть утвержден высшим руководством организации.
Реестр риска должен актуализироваться через запланированные интервалы времени.
Внесение изменений в реестр риска должно соответствовать процедурам управления изменениями в документации организации.
В дополнение к реестру риска менеджеры по риску должны вести:
- записи обоснований выводов и заключений, приведенных в реестре риска;
- записи обо всех предположениях, используемых при анализе всех существенных опасностей и соответствующих им рисков, представленных в реестре риска;
- контрольные журналы, идентифицирующие объект оценки риска, продолжительность, дату, участников и полученный результат оценки риска.
Ответственный менеджер по риску организации должен разработать общую форму отчета для предоставления высшему руководству организации.
В отчете по реестру риска необходимо обеспечить ответы на следующие вопросы:
- Каковы основные опасные события, их риск и способы обработки?
- Для каких ключевых видов риска меры по обработке риска не эффективны или не выполнимы?
- Какие изменения произошли за последний отчетный период?
- Что необходимо изменить в стратегиях, целях и задачах в области менеджмента риска, чтобы предотвратить возможные потери или снизить их?
- Какова причина невыполнения или неэффективности мероприятий по обработке риска?
- Какие действия должны быть предприняты для выполнения плановых мероприятий по обработке риска?
- Что должно быть предпринято для повышения эффективности менеджмента риска?
Менеджер по риску при составлении отчета должен учесть политику и цели в области менеджмента риска, данные о готовности решать возникающие проблемы в области риска, после чего предоставить отчет высшему руководству.
6 Обмен информацией и конфиденциальность
Организация должна установить обмен информацией о риске на основе данных реестра риска. Эффективный обмен информацией о риске, включенной в реестр риска, позволяет менеджерам получать данные о ключевых проблемах и изменениях, идентифицировать сферу ответственности и приоритетные меры реагирования на опасное событие.
Высшее руководство организации должно определить степень конфиденциальности реестра риска, установить порядок доступа к реестру риска и степень раскрытия содержащейся в нем информации.
_______________________________
* В соответствии с ФЗ "О техническом регулировании" от 27.12.2002 N 184-ФЗ "риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р 51901.22-2012 "Менеджмент риска. Реестр риска. Правила построения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1285-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2014 г.
Дата введения - 1 декабря 2013 г.