Risk management. Risk register. Guide on assessment of hazards risk for inclusion in risk register
Дата введения - 1 декабря 2013 г.
Введен впервые
Предисловие
1 Разработан Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД")
2 Внесен Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1285-ст
4 Настоящий стандарт разработан с учетом основных положений документа "Руководство по оценке риска опасных ситуаций" (National Emergency Risk Assessment Guidelines), разработанного комитетом Австралии "Менеджмент опасных ситуаций"
5 Введен впервые
Введение
Для повышения способности организации предпринимать эффективные меры по снижению риска возникновения опасных событий, инцидентов и аварий, а также быстро реагировать при их возникновении государственные, муниципальные, коммерческие и иные организации, общественные группы и домохозяйства могут использовать реестр риска. Необходимость разработки и ведения реестра риска организация определяет самостоятельно.
В реестр риска обычно включают основные виды опасных событий, применяемые методы оценки и снижения риска, план мероприятий по предупреждению и снижению риска.
Опасные события, инциденты, аварии и бедствия, как правило, приводят к существенным социально-экономическим потерям для организаций и государства в целом. Они включают:
- причинение вреда инфраструктуре, оборудованию и другому имуществу организации;
- финансовые затраты и косвенные экономические потери;
- травмирование и/или гибель людей, распространение заболеваний;
- нарушение экосистем, включая флору и фауну;
- социальные и культурные потери и т.д.
Существуют различные методы оценки риска*(1). Для оценки риска опасных событий и дальнейшего включения их в реестр риска в настоящем стандарте рекомендовано использование метода оценки опасных событий, основанного на анализе "галстук-бабочка". Применение этого метода позволяет повысить информативность и достаточность реестра риска организации и позволяет создать безопасные условия труда, снизить риск, уменьшить потери от возникновения опасных ситуаций в будущем.
Анализ "галстук-бабочка" представляет собой схематический способ описания и анализа развития опасного события от его причин до последствий. Данный метод сочетает исследование причин события с помощью дерева неисправностей и анализ последствий с помощью дерева событий. Однако основное внимание метода "галстук-бабочка" сфокусировано на барьерах между причинами и опасными событиями и опасными событиями и последствиями. Диаграммы "галстук-бабочка" могут быть построены на основе выявленных неисправностей и дерева событий, но чаще их строят непосредственно в процессе проведения мозгового штурма.
Применение единого метода оценки риска опасных событий для их включения в реестр риска направлено на:
- исследование возникающих опасных событий, проведение необходимой обработки риска и обеспечение обоснованных (нерискованных) инвестиций;
- стандартизацию оценки риска и разработку альтернативных предложений по снижению риска;
- повышение прозрачности процессов оценки риска, улучшение возможности их проверки или изменения в связи с получением новых знаний, информации или опыта;
- стандартизацию данных реестров риска различных организаций;
- повышение сопоставимости данных по различным регионам и/или классам опасности.
Настоящий стандарт разработан для интегрированного, всестороннего и объективного понимания риска опасных событий, инцидентов и аварий с учетом сложности и опасности возможных последствий для их включения в реестр риска. Результаты, полученные с помощью метода оценки риска, установленного в настоящем стандарте, позволяют повысить объективность принимаемых решений в области менеджмента риска, оптимизировать распределение ресурсов для обработки риска, улучшить меры реагирования на опасные ситуации и их предупреждения, повысить эффективность разработки и ведения реестров риска организаций.
Настоящий стандарт следует применять с учетом требований основополагающих стандартов в области риска: ГОСТ Р ИСО 31000-2010*(2), ГОСТ Р ИСО/МЭК 31010-2011*(3) и ГОСТ Р 51897-2011/Руководство ИСО 73:2009*(4).
1 Область применения
В настоящем стандарте установлены общие принципы опасных событий и инцидентов для включения в реестр риска организации.
Основной целью настоящего стандарта является повышение достоверности, оценок риска опасных событий и инцидентов, повышение качества и обеспечение сопоставимости информации о риске в реестрах риска различных организаций.
Настоящий стандарт предназначен в первую очередь для менеджеров по риску, руководителей организаций и технических экспертов по оценке опасных событий, инцидентов и аварий. Настоящий стандарт может помочь в работе причастных сторон, включая лиц, ответственных за разработку политики менеджмента риска, составление реестра риска, управление риском и оценку риска, а также оценку эффективности менеджмента риска организации.
Единый метод оценки риска опасных событий, инцидентов и аварий, используемый для их включения в реестр риска позволяет организациям на местном, региональном и федеральном уровнях получать сопоставимые данные о риске и использовать унифицированные способы реагирования на опасные ситуации и инциденты, а также их предупреждения.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство
ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска
ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем
ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.
3.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей*(5).
Примечание 1 - Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
Примечание 2 - Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).
Примечание 3 - Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.
Примечание 4 - Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.
Примечание 5 - Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.3 реестр риска (risk register): Форма записи информации об идентифицированном риске.
Примечание - Вместо термина "реестр риска" иногда используют термин "журнал риска".
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.4 опасность (hazard): Источник потенциального вреда.
Примечание - Опасность может быть источником риска.
3.5 последствие (consequence): Результат воздействия события на объект.
Примечание 1 - Результатом воздействия события могут быть одно или несколько последствий.
Примечание 2 - Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.
Примечание 3 - Последствия могут быть выражены качественно или количественно.
Примечание 4 - Первоначальные последствия могут вызвать эскалацию дальнейших последствий по принципу "домино".
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.6 воздействие (impact): Оцененные последствия для конкретного случая.
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
4 Общие положения
Настоящий стандарт содержит описание метода оценки риска опасных событий и инцидентов для его использования при разработке реестра риска организации. Применение описанного метода оценки риска направлено на снижение последствий опасных событий и может помочь повысить эффективность процесса менеджмента риска.
Основной целью настоящего стандарта является описание метода оценки риска, который:
- позволяет исследовать риск организаций различных размеров, видов деятельности и форм собственности;
- может быть использован для оценки риска "от" и/или "для" чего-то или кого-то (например, риск возникновения пожара, риск для инфраструктуры, риск всех или отдельных источников риска);
- использует подход, основанный на анализе сценариев опасного события;
- позволяет оценить риск на основе возможных последствий;
- идентифицирует остаточный риск при существующих средствах контроля и методов управления;
- обеспечивает базовую качественную оценку риска и способы его более детального анализа;
- позволяет провести сравнительную оценку риска при изменении неопределенности данных;
- обеспечивает получение сопоставимых выходных данных для оценки и обработки риска.
В настоящем стандарте установлен подход, позволяющий провести оценку широкого диапазона опасностей: природных, биолого-социальных, техногенных и др. Примерами таких опасностей могут быть: пожар, землетрясение, наводнение, шторм, циклон, цунами, эпидемии, нашествие насекомых/паразитов, промышленные аварии, крушения на транспорте, химические выбросы и т.д. Потери могут возникать при экспозиции одной или нескольких опасностей. При реализации альтернативных сценариев множественные источники риска могут оказать разрушающее воздействие на организацию и привести к последовательным или вторичным цепным реакциям опасных событий. Например, циклоны могут привести не только к сильным ветрам и дождям (основным источникам риска), но могут также вызвать опасности, связанные с последствиями основных опасностей, такие как наводнение или оползень (вторичные источники риска).
Метод оценки риска, установленный в настоящем стандарте, позволяет специалистам по риску применить подход, позволяющий оценить все опасности в соответствии с современными методами менеджмента и практического мирового опыта в области управления риском.
Метод оценки риска должен быть интегрирован в общий процесс менеджмента риска организации. Настоящий стандарт помогает определить область применения менеджмента риска, цели исследования риска и выбрать оптимальные меры снижения риска.
Установленный в настоящем стандарте метод оценки риска опасных событий не является единственным методом оценки риска. Например, метод не пригоден для оценки риска ущерба здоровью персонала аварийно-спасательных служб, например, при реализации мер реагирования в опасных ситуациях.
5 Описание процесса оценки риска
5.1 Значение оценки риска
Понимание риска опасных событий крайне важно для минимизации их последствий. В соответствии с ГОСТ Р 51897 оценка риска - это процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска. Исходя из этого, оценка риска - это процесс, используемый для описания опасных событий, их ранжирования и разработки действий по управлению риском на основе результатов сравнительной оценки риска.
Оценка риска является основным элементом процесса менеджмента риска. В рамках этого процесса вероятность последствий опасных событий должна быть оценена с учетом вероятности возникновения события, воздействия опасностей на элементы процесса менеджмента риска и деятельность организации и последствий этих опасностей. Информацию о вероятности воздействия опасных событий на элементы процесса организации и ее уязвимости к этим опасностям следует рассматривать как часть процесса менеджмента риска. Оценка риска позволяет объединениям, организациям и регулирующим органам исследовать потенциальные виды опасных событий и разрабатывать мероприятия по управлению риском.
Целью оценки риска являются систематические действия по идентификации опасных событий, анализу и сравнительной оценке риска. Модели оценки риска опасных событий можно классифицировать по сложности и целям анализа. Сложность оценки может изменяться от простых оценок, в которых применяют в основном качественные методы для целей отбраковки (скрининга), до сложных количественных моделей, которые включают пространственный анализ данных об опасных событиях и моделирование (см. рисунок 1). Более сложные методы часто применяют в дополнение к качественным методам.
Сложность оценки зависит от неопределенности исходных данных и требуемой точности оценок. Область применения метода охватывает как анализ основного актива, так и анализ основного опасного события.
Настоящий стандарт обеспечивает единый подход к оценке риска опасных событий, который может быть применен для анализа опасных событий различного уровня сложности и различной направленности в зависимости от потребностей организации.
"Рисунок 1 - Варианты оценки риска"
Несмотря на важное значение оценки риска при принятии решений, существуют и другие методы менеджмента, в том числе формализованные оценки, анализ проекта, анализ экономической эффективности, анализ первопричины и др.
5.2 Метод оценки риска опасных событий
На рисунке 2 схематично показан метод оценки риска опасных событий, интегрированный в процесс менеджмента риска. Этот метод может быть использован для классификации идентифицированного риска и выбора ключевых направлений обработки риска.
Если организация в процессе оценки риска приняла решение о необходимости дальнейшего анализа ситуации или опасного события, то представленный в настоящем стандарте метод оценки риска опасных событий позволяет провести детальный анализ. Применение данного метода позволяет систематизировать детальную оценку и повысить достоверность полученных результатов. Следует также учесть, что применение детального анализа и повышение достоверности оценок приводит к значительному удорожанию оценки риска.
Выполнение оценки риска опасных событий включает два этапа: базовую (качественную) скрининговую оценку и дополнительный детальный (например, количественный) анализ риска.
Базовая скрининговая оценка направлена на быструю идентификацию риска. Эта оценка обычно включает в себя относительно простые, но надежные процедуры и может быть проведена персоналом различной квалификации.
Детальный анализ направлен на повышение достоверности оценки риска и/или обоснование разработки, оценки и внедрения стратегий обработки риска. Проведение этого анализа может потребовать привлечения к оценке технических экспертов (например, при использовании сложных моделей описания основных опасностей или событий), способных выполнить эту работу и сравнить полученные результаты с результатами базовой оценки.
Другими важными особенностями метода являются:
- использование анализа сценариев опасных событий, который необходимо применять последовательно на всех этапах процесса оценки риска;
- систематические идентификация и анализ пригодности средств контроля и методов управления. Данный подход обеспечивает анализ возможных воздействий единичных и/или множественных опасностей и путей развития событий от возникновения опасностей до их воздействия и последствий, что в результате облегчает идентификацию критериев обработки риска;
- выборочный анализ вероятности и последствий для отдельных видов риска, позволяющий лучше исследовать риск организации для конкретных источников опасности;
- составление типового набора последствий и вероятностей, которые могут быть применены всеми пользователями. Данный подход предназначен для согласования результатов ранжирования идентифицированных видов риска с "критическими путями" распространения опасностей и способами обработки риска;
- определение неопределенности оценки риска для принятия решения о необходимости детального анализа риска или выбора критериев обработки риска;
- типовой набор методов оценки, которые могут быть применены всеми пользователями. Это позволяет оценивать риск с различной неопределенностью данных.
"Рисунок 2 - Схема метода оценки риска опасных событий"
5.3 Процесс оценки риска опасных событий
Общая оценка риска включает идентификацию, анализ и сравнительную оценку риска. Наиболее эффективно выполнение оценки риска опасных событий рабочей группой или при проведении совещания. При этом может быть проведен анализ каждого ключевого элемента и составлен всесторонний перечень риска опасных событий и инцидентов.
Подготовка к работе группы зависит от области применения оценки риска, которая должна быть установлена до начала оценки. Для повышения эффективности процесса оценки риска, каждый член группы должен понять цели и среду оценки риска, особенности сценариев опасных событий, методы работы и свои функции. Поэтому после всесторонней подготовки работы группа по анализу и оценке риска должна утвердить цели и область применения оценки, собрать и проанализировать необходимую информацию, подвести итоги принятых решений.
Работа группы должна быть организована так, чтобы обеспечить:
- детальную техническую экспертизу, связанную со спецификой оценки;
- точное выполнение процесса оценки риска;
- быстрый доступ к необходимой информации и данным (например, собранным до начала работы);
- творческую интеллектуальную среду в группе анализа риска.
Для повышения объективности результатов оценки организатором работы группы должен быть приглашен опытный специалист, не вовлеченный в детальный анализ риска и не являющийся членом группы оценки риска.
Создание рабочих групп для оценки риска опасных событий является наиболее предпочтительным, но не единственным методом идентификации опасных событий. Другими методами идентификации опасных событий могут быть:
- структурированные методы, такие как анализ проекта, исследование опасности и работоспособности (HAZOP) и др.;
- структурированный анализ сценариев методом "что, если?";
- контрольные листы.
Независимо от принятого подхода важно, чтобы он был основан на установленных целях организации.
5.4 Установление целей и области применения менеджмента риска
5.4.1 Общие положения
При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска. Для оценки риска опасных событий необходимо определить цели, задачи, область применения и ключевые элементы менеджмента риска до начала его оценки.
Владельцы процесса оценки риска должны проанализировать среду организации, включая географическое положение, климатические условия, население, преобладающую отрасль промышленности, основные коммуникации, критическую инфраструктуру и т.д. В приложении А приведен контрольный перечень вопросов, направленных на выявление среды организации. Данный перечень может быть полезен при определении основных параметров исследования риска (т.е. целей, области применения, причастных сторон, критериев риска и ключевых элементов).
5.4.2 Цели
Общее понимание целей оценки риска является основным фактором, необходимым для учета всех видов риска. Установление целей помогает определить область применения, причастные стороны и ключевые элементы оценки риска.
5.4.3 Область применения
Для установления области применения оценки риска необходимо определить требуемые данные, включая прогнозируемые данные. Поскольку менеджмент риска опасных событий может включать в себя множественные опасности, при определении области применения следует исследовать весь диапазон опасностей: от отдельных событий до множественных опасностей, а также подверженные воздействию опасные события сообщества и территории, включая рассмотрение географических, региональных или ведомственных границ, а также ограничений по времени. Необходимо определить:
- исследуемое опасное событие;
- источники опасного события;
- анализируемый класс воздействий.
На этапе определения области применения, после рассмотрения диапазона опасных событий, владельцы процесса могут принять решение о необходимости принять подход, включающий оценку всех без исключения опасностей, отдельного опасного события или элемента опасности. Если необходимо рассмотреть множественные опасные события, следует предусмотреть необходимые ресурсы и время для выполнения этих работ.
5.4.4 Причастные стороны
Причастные стороны могут быть разделены на три (пересекающиеся) группы: стороны, которые могут оказать негативное воздействие на ситуацию при реализации опасного события; стороны, которые могут оказать специализированную помощь в выполнении аварийно-спасательных и восстановительных действий; стороны, на которые законом возложена ответственность за отдельные виды и элементы опасностей.
Основные причастные стороны из перечисленных групп должны быть привлечены к работе по установлению целей и области применения оценки риска, а в дальнейшем привлечены в группу оценки риска для обеспечения объективности выводов. Обычно к причастным сторонам относят:
- государственные и общественные организации;
- некоммерческие организации;
- коммерческие организации;
- объединения граждан и отдельных лиц.
Важно проанализировать функции и обязанности организации в сообществе, ведомственные границы, региональное разделение ответственности и полномочий, и исследовать риск на этих границах.
5.4.5 Критерии риска
Для анализа и оценки идентифицированных видов риска обычно применяют критерии риска, включая:
- определение последствий (исследование возможных воздействий опасного события на деятельность организации);
- определение вероятности последствий;
- классификацию риска (по необходимости его обработки);
- классификация оценки риска (определение приемлемости или допустимости риска).
Для целей настоящего стандарта критерий риска обычно определяют в соответствии с перечнями данных, которые должны применять все пользователи:
- таблица средств контроля и методов управления (см. таблицу 1);
- таблица последствий (см. таблицу 2);
- таблица объектов воздействия опасного события (см. таблицу 3);
- таблица оценки вероятности опасного события в течение года (см. таблицу 4);
- матрица качественной оценки риска (см. таблицу 5);
- матрицы оценки риска для различной неопределенности данных (см. таблицы 6 - 8);
- таблица методов детального анализа опасностей (см. таблицу 9).
5.4.6 Ключевые элементы оценки риска
Ключевые элементы помогают структурировать процесс оценки риска и повысить его эффективность. Для оценки риска опасных событий ключевые элементы должны быть выбраны в соответствии с областью применения оценки риска и направлением деятельности группы оценки риска.
Как минимум в качестве ключевых элементов исследования необходимо выбрать источники риска и объекты его воздействия.
Оценку риска следует проводить последовательно для каждого ключевого элемента исследуемого опасного события. Следует определить подмножество ключевых элементов, охватывающих идентификацию всех основных видов риска.
5.4.7 Отчетность
Обоснование для принятия решений об определении и утверждении целей, области применения, причастных сторонах, критериев риска и ключевых элементов анализа риска должно быть документировано, чтобы обеспечить прозрачность и аргументированность процесса оценки.
После определения целей и области применения анализа риска необходимо довести их до сведения всех заинтересованных сторон и обеспечить достаточный уровень их понимания. На основе данной информации может быть подготовлено совещание по оценке риска, начата работа группы оценки риска, инициирован сбор и анализ соответствующих данных.
Необходимо тщательно проводить установление целей и области применения оценки риска. Эта стадия является основной для процесса оценки риска, несоответствующее ее проведение может привести к принятию неправильных решений и негативному отношению со стороны проигнорированных причастных сторон.
Таблица 1 - Средства контроля и методы управления
Уровень средств контроля и методов управления |
Основные признаки организации в соответствии с применяемыми методами управления |
||
Действия персонала основаны только на их опыте (Поведенческие средства контроля и методы управления) |
Действия персонала основаны на установленных процедурах системы менеджмента (Процедурные средства контроля и методы управления) |
Пассивные или автоматизированные средства контроля и методы управления, предусмотренные системой менеджмента, не требующие вмешательства человека (Физические средства контроля и методы управления) |
|
1 |
Незрелая организация. Высокий уровень текучести кадров. Высокий процент новых лиц в организации. Имеются хронологические данные об отказах средств контроля и методов управления |
Документированные процедуры не содержат информации о средствах контроля и методах управления. Проводятся разовые оценки компетентности и единичные оценки соответствия установленным требованиям и выходных данных |
Средства контроля и методы управления разработаны в соответствии с установленными критериями производительности (работоспособностью, безотказностью), внедрены в соответствии с критериями производительности |
2 |
Организации, где персонал хорошо понимает свои функции и обязанности. Квалифицированный и обученный персонал. Организация, в которой налажен обмен информацией и взаимодействие между всеми группами персонала. Имеются хронологические данные о несущественных отказах средств контроля и методов управления. Персонал имеет целостное понимание воздействия отказа средств контроля или методов управления |
Действует система управления документацией. Проводится периодическая оценка компетентности в соответствии с документированными процедурами организации, определены требования к полученным результатам и выходным данным. Проводятся периодические проверки соответствия установленным требованиям, включая составление отчета со стороны руководства о результатах проверки |
Элементы, с которыми связан риск возникновения опасного события (опасные элементы), оснащены средствами контроля и методами управления, предназначенными для предупреждения опасного события и снижение риска. Средства контроля и методы управления являются частью системы технического обслуживания. Система генерирует оповещение в случае отказа контролируемого элемента системы или его опасного состояния |
3 |
Зрелая организация, в которой точно установлены функции, обязанности и ответственность персонала. Опытный и квалифицированный персонал. Хорошо организованный персонал (вовлечены все группы) с высоким уровнем осведомленности/или образования. Хронологические сведения содержат данные об отсутствии отказов средств контроля и методов управления, персонал использует предшествующий опыт |
Система менеджмента включает правила и протоколы (доступа, уровней ответственности, ранжирования средств контроля и методов управления). Проводится проверка обеспечения непрерывности деятельности. Составляется отчет со стороны руководства о соответствии установленным требованиям. Документированные способы устранения дефицитов. Проверку системы менеджмента проводят с помощью внешнего аудита аккредитованной организацией |
Средства контроля и методы управления охватывают все области менеджмента, где проводились изменения. Разработаны действия в случае отказа средств контроля и методов управления. Устранение и профилактика отказов являются частью системы технического обслуживания и ремонта. Высокий приоритет предупреждения и устранения отказов, вызывающих опасные события. Система технического обслуживания и ремонта выделяет критические и некритические задачи. Предусмотрены документированные процедуры управления последствиями дефицита ресурсов |
Таблица 2 - Последствия
Последствия |
Объект воздействия опасного события |
|||||||||
Люди |
Экология |
Экономика |
Управление организацией |
Социальная среда |
Инфраструктура |
|||||
Катастрофические |
Массовые случаи гибели людей одного на десять тысяч), здоровье человека не справляется с нагрузками, необходимость эвакуации людей, не способных передвигаться самостоятельно |
Массовое нанесение вреда и/или нарушение функционирования экосистемы, катастрофическое воздействие на растительный и животный мир или ландшафт, наносящее серьезные необратимые повреждения экосистеме |
Невосполнимые финансовые потери, нанесение ущерба производству и потери активов, приводящие к банкротству организации и увольнению всего персонала |
Руководство не способно управлять организацией, массовые волнения со стороны персонала. Распоряжения руководства не выполняются или неэффективны, неподконтрольное и широкое освещение событий в СМИ |
Отсутствует необходимое социальное обслуживание, масштабные потери объектов социально-культурного назначения, разрушительное эмоционально-психологическое воздействие на персонал и всех вовлеченных людей |
В течение продолжительного времени нарушение работоспособного состояния критической инфраструктуры и коммунальных услуг, которое приводит к длительным сбоям в работе организации, а также предъявлению серьезных претензий к работе организации со стороны причастных сторон |
||||
Значительные |
Множественные случаи гибели людей (одного на сто тысяч), здоровье человека подвергается постоянному стрессу, часто необходима эвакуация людей (больше чем на 24 часа) |
Серьезное повреждение или нарушение функционирования экосистемы, воздействие на растительный и животный мир или ландшафт, которое в будущем может вызвать серьезное повреждение экосистемы |
Значительные финансовые потери, необходимость кардинального пересмотра стратегии организации, возмещения ущерба; нанесение ущерба производству, которое приводит к банкротству по нескольким направлениям деятельности и значительным увольнениям персонала |
Руководство в значительной мере не выполняет управления критически важными направлениями деятельности, полная потеря доверия высшему руководству со стороны персонала, освещение событий региональными СМИ |
Снижение уровня социального обслуживания и качества жизни персонала, нанесение существенного ущерба объектам социально-культурного назначения, существенное эмоционально-психологическое воздействие на большие группы людей |
В течение продолжительного времени нарушение работоспособного состояния критической инфраструктуры и значительные сбои в обеспечении коммунальными услугами, которые приводят к значительным неудобствам и сбоям в работе персонала, а также предъявлению претензий к работе организации со стороны причастных сторон |
||||
Умеренные |
Единичные случаи гибели людей (одного на миллион), на здоровье человека оказывается значительная нагрузка, в единичных случаях необходима эвакуация людей (меньше чем на 24 часа) |
Единичные случаи существенного воздействия на окружающую среду и потеря функций экосистем, активные действия по восстановлению окружающей среды |
Средние финансовые потери, необходимо изменение стратегии организации для возмещения ущерба; нанесение ущерба производству, потери в бизнесе приводят к единичным случаям банкротства по отдельным направлениям деятельности и значительным увольнениям персонала |
Руководство осуществляет свою деятельность в аварийном режиме, при этом допускаются значительные отступления от принятой политики организации, выполнение некоторых функций руководства со значительными нарушениями, недоверие высшему руководству со стороны персонала, освещение событий местными и региональными СМИ |
Продолжи тельное снижение уровня социального обслуживания, нанесение ущерба объектам социально-культурного назначения, неблагоприятное эмоционально-психологическое воздействие на группы людей |
Временное нарушение работоспособного состояния критической инфраструктуры и серьезные сбои в обеспечении коммунальными услугами, которые приводят к значительным неудобствам и сбоям в работе персонала |
||||
Небольшие |
Единичные случаи серьезного травмирования людей. Здоровье человека находится в пределах нормы |
Единичные случаи нанесения вреда окружающей среде, разовые действия по восстановлению окружающей среды |
Небольшие финансовые потери, необходимо использование резервов для возмещения ущерба, потери в бизнесе приводят к единичным увольнениям персонала |
Руководство осуществляет свою деятельность в аварийном режиме, выполнение функций руководства персоналом с небольшими нарушениями, единичные случаи недоверия высшему руководству со стороны персонала, небольшое освещение событий местными СМИ |
Отдельные, краткосрочные случаи снижения уровня социального обслуживания, небольшой ущерб объектам социально-культурного назначения, который можно устранить с помощью ремонта, небольшое неблагоприятное эмоционально-психологическое воздействие на людей |
Единичные случаи нарушения работоспособного состояния инфраструктуры и сбои в обеспечении коммунальными услугами, которые приводят к неудобству и сбоям в работе персонала |
||||
Многозначительные |
Незначительные травмы или ситуации, в которых человек может быть травмирован, но по каким-то причинам этого не произошло. В целом негативное воздействие на здоровье человека отсутствует |
Небольшие инциденты без последствий для окружающей среды или ситуации, в которых окружающей среде мог быть нанесен ущерб, но по каким-то причинам этого не произошло, не требуются усилия по восстановлению окружающей среды |
Незначительные финансовые потери, управление в рамках стандартных финансовых условий, несущественные потери в бизнесе |
Руководство осуществляет свою деятельность в штатном режиме, выполнение функций руководства персоналом без нарушений, доверие высшему руководству со стороны персонала, отсутствует внимание СМИ |
Несущественное краткосрочное снижение уровня социального обслуживания, отсутствует ущерб объектам социально-культурного назначения, отсутствует неблагоприятное эмоционально-психологическое воздействие на людей |
Несущественное краткосрочное нарушение работоспособного состояния инфраструктуры и небольшие сбои в обеспечении коммунальными услугами |
Таблица 3 - Объекты воздействия опасного события
Объекты воздействия |
Вид воздействия |
Люди |
Воздействие на здоровье и благосостояние людей |
Окружающая среда |
Воздействие на экосистемы, включая флору и фауну |
Экономика |
Воздействие на экономическую деятельность организации |
Управление |
Воздействие на способность руководства управлять организацией |
Социальная среда |
Воздействие на уровень обслуживания населения, объекты социально-культурного назначения и эмоционально-психологическое состояние людей |
Инфраструктура |
Воздействие на инфраструктуру и способность к обеспечению коммунальными услугами |
Таблица 4 - Оценка вероятности опасного события в течение года
Качественная оценка вероятности |
Частота появления события |
Средний интервал повторения события |
Вероятность появления события в течение года |
Почти наверняка |
Один или несколько раз в год |
< 3 года |
>0,3 |
Очень вероятно |
Один раз в десять лет |
3 - 30 лет |
0,031 - 0,3 |
Возможно |
Один раз в сто лет |
31 - 300 лет |
0,0031 - 0,03 |
Маловероятно |
Один раз в тысячу лет |
301 - 3 000 лет |
0,00031 - 0,003 |
Редко |
Один раз в десять тысяч лет |
3 001 - 30 000 лет |
0,000031 - 0,0003 |
Очень редко |
Один раз в сто тысяч лет |
30 001 - 300 000 лет |
0,0000031 - 0,00003 |
Почти невозможно |
Меньше чем один раз в миллион лет |
> 300 000 лет |
< 0,0000031 |
Таблица 5 - Матрица качественной оценки риска
Таблица 6 - Матрица оценки риска для высокой неопределенности данных
Таблица 7 - Матрица оценки риска для средней неопределенности данных
Таблица 8 - Матрица оценки риска для низкой неопределенности данных
Таблица 9 - Методы детального анализа опасностей
Тип анализа |
Метод |
Характеристика метода |
||
Описательный |
Анализ распределения опасностей |
Анализ распределения и классификация опасностей. Полезен, например, в ситуации опасности оползней |
||
Анализ активности опасностей |
Анализ временных изменений в паттернах опасностей |
|||
Анализ концентрации опасностей |
Расчет концентрации опасностей для территориальных единиц или изолиний на карте. Картирование по районам таких опасностей, как циклоны, землетрясения, оползни и т.д. |
|||
Эвристический |
Анализ предвестников опасностей |
Использование зональных экспертных оценок. Событие предвестник измеряется с точки зрения условной вероятности того, что фактическое событие произойдет. Часто такой анализ называют анализом дерева событий |
||
Комбинированная карта качественных характеристик |
Экспертная оценка взвешенных значений качественных характеристик карты. Полезен, например, в ситуации опасности оползней |
|||
Статистический |
Двумерный статистический анализ |
Расчет значения сочетания двух распределенных факторов |
||
Многомерный статистический анализ |
Составление прогноза исходя из матрицы данных. Полезен при анализе опасности наводнений, землетрясений, оползней и анализе воздействия последствий опасности на людей, инфраструктуру и т.д. основного события |
|||
Анализ частоты и диапазона вероятности |
Составление прогноза исходя из описательных и хронологических данных |
|||
Детерминированный |
Анализ факторов безопасности |
Применение релевантных предвестников и моделей инициирования |
6 Мероприятия по оценке риска
6.1 Подготовка к совещанию и работе группы оценки риска
Существуют различные подходы к идентификации, анализу и оценке риска, однако такая форма проведения оценки риска как совещание, является наиболее предпочтительной, потому что позволяет привлечь к работе причастные стороны. Успех подобных совещаний напрямую зависит от их детальной подготовки. Инициировать совещание должны владельцы процесса оценки риска после глубокого исследования ситуации и установления целей и области применения оценки риска.
Подготовка к совещанию включает проведение необходимых мероприятий. Самыми важными из них являются формирование группы оценки риска, анализ опасностей и подготовка данных для анализа возможных воздействий опасных событий и их последствий. Необходимо привлекать к работе специалистов, которые могут представить информацию о соответствующем опасном событии и/или уязвимости организации или региона. Рекомендуется включать в группу специалистов, обладающих знаниями по видам воздействий опасного события, а также владельцев критически важной инфраструктуры. Кроме того, следует привлекать в группу специалистов, имеющих опыт работы в области управления в условиях опасных событий, владеющих методами предупреждения, подготовки персонала, реагирования на инциденты и восстановления после инцидентов. Все основные причастные стороны должны быть представлены на совещании по оценке риска.
В процессе сбора данных об опасностях полезно идентифицировать и анализировать соответствующие хронологические данные о событиях, которые могут помочь выявить основные тенденции и уязвимости деятельности организации. Для этого целесообразно использовать критерии риска, необходимые для оценки риска опасных событий и построения кривых риска с учетом качественной матрицы риска. Применение этого метода помогает наглядно представить развитие опасных событий во времени.
Кривая риска, основанная на хронологических данных, описывает последствия опасного события, для которого проведена оценка вероятности его возникновения в течение года. Кривая риска описывает риск от конкретной опасности до ее последствий. Часто события с существенными последствиями происходят с меньшей вероятностью, чем события с небольшими последствиями.
Ключевыми вопросами совещания являются:
- установление целей и области применения оценки риска и назначение руководителя группы оценки риска;
- составление проекта плана-графика;
- определение надежных способов обмена информацией и средств коммуникаций;
- назначение помощника руководителя группы;
- выбор и составление списка членов группы оценки риска;
- распространение соответствующей информации, такой как цели и область применения оценки риска и распределение обязанностей между членами группы оценки риска;
- сбор и анализ информации об опасностях;
- исследование воздействия опасных событий на деятельность организации и составление проекта диаграммы "галстук-бабочка" для каждого события с одной или несколькими опасностями;
- анализ методов оценки риска;
- составление проекта рабочей программы и графика совещаний (например, одно или несколько заседаний, которые могут быть проведены параллельно);
- определение необходимых ресурсов (например, помещения для совещаний, проектор, средства записи и т.д.);
- подготовка и распространение информационного резюме до совещания;
- подготовка презентации для демонстрации в начале совещания;
- документирование процесса.
В зависимости от области применения оценки риска проведение совещания может включать несколько заседаний.
Целесообразно при оценке одного или нескольких событий с множественными опасностями проводить самостоятельный анализ каждой опасности. Полезно также проводить совещания в соответствии с основными этапами процесса оценки риска.
6.2 Проведение совещания
После формирования группы оценки риска и начала совещания инициируют процесс оценки риска. Структура проведения совещания определяется процессом оценки риска и обычно включает четыре стадии: введение, идентификация опасных событий, анализ и сравнительная оценка риска.
1. Введение:
- представление причастных сторон, обобщение и обсуждение целей и области применения оценки риска, критериев риска и ключевых элементов исследования риска;
- обобщение информации и данных, определение воздействий опасных событий на деятельность организации;
- установление процедуры ведения совещаний и определение обязанностей каждого члена группы оценки риска.
2. Идентификация опасных событий (см. 7.1):
- описание опасных событий (единственных или множественных опасностей), которые могут привести к возникновению инцидента;
- описание соответствующих воздействий и взаимодействий, которые могут привести к возникновению инцидента;
- обсуждение сценариев развития опасных событий;
- обобщение опасных событий, связанных с определенным воздействием;
- определение существующих методов и средств предупреждения, и подготовки к опасным событиям;
- определение существующих средств контроля и методов управления, используемых в условиях опасного события и при восстановлении последнего.
3. Анализ риска (см. 7.2):
- анализ реестра риска для подтверждения включения идентифицированных опасных событий;
- ранжирование существующих средств контроля и методов управления;
- ранжирование последствий и вероятности для каждого опасного события и определение оценки его риска;
- определение неопределенности оценки риска.
4. Сравнительная оценка риска (см. 7.3):
- исследование реестра риска для подтверждения соответствия данным анализа риска;
- применение правила ALARP, направленного на определение приемлемости риска;
- определение потребности в дальнейшем анализе или немедленной обработке риска.
В процессе совещания необходимо составить перечень опасных событий и оценить соответствующий им риск, при этом необходимо, чтобы ни одна проблема не осталась без рассмотрения. Этот перечень должен включать в себя используемые средства контроля и методы управления и обеспечивать полную оценку каждого вида риска на основе вероятности опасного события и его последствий. Дополнительно должны быть идентифицированы ключевые направления и способы обработки риска, при этом следует определить уровень применяемых средств контроля и методов управления и сценарии развития опасных событий.
6.3 Действия после совещания
Результатами оценки риска опасных событий должны стать перечень идентифицированных опасных событий, объекты их воздействия и варианты обработки риска. Если на совещании принято решение о необходимости дальнейшего анализа, то оценка соответствующего риска должна быть продолжена для более детального рассмотрения опасных событий, а соответствующий им риск переоценен. Если на совещании принято решение об отсутствии необходимости дальнейшего анализа, то оценка опасных событий и соответствующего им риска является завершенной. В этом случае риск подлежит обработке, мониторингу и пересмотру.
В обоих случаях на совещании должно быть принято решение о дальнейших действиях: необходим дальнейший анализ, необходима обработка риска. При этом следует проводить мониторинг и анализ полученных результатов.
6.4 Обязанности
Все причастные стороны несут полную ответственность за свое участие в процессе оценки риска. Основными членами группы оценки риска являются: владелец/спонсор объекта риска, руководитель группы оценки риска, эксперты, помощники и участники, обязанности которых описаны ниже.
Владелец/спонсор осуществляет:
- инициирование и контроль выполнения оценки риска;
- обеспечение необходимыми ресурсами (финансовыми, материальными, нематериальными);
- обеспечение выполнимости плана-графика по времени.
- Руководитель группы проводит:
- управление выполнением оценки риска.
Эксперт по исследуемому направлению осуществляет:
- предоставление соответствующих информации, данных и экспертных оценок, относящихся к исследуемому риску.
Помощник:
- осуществляет помощь при выполнении оценки риска;
- сохраняет независимость от результатов оценки риска;
- организует работу совещания по оценке риска.
Участник обеспечивает:
- активное участие в процессе;
- свою доступность на всех этапах оценки.
7 Оценка риска
7.1 Идентификация опасных событий
Идентификация опасных событий охватывает выявление опасных событий, их источников, причин и возможных последствий (ГОСТР ИСО 31000). Обнаружение, понимание и описание риска может включать хронологические данные, теоретический анализ, экспертные оценки и перечень потребностей причастных сторон. На данном этапе оценки риска начинается анализ сценариев развития опасных событий в соответствии с установленными целями и областью применения оценки риска.
Идентификацию опасных событий провести легче, если до начала оценки риска информацию и необходимые данные собирают, анализируют и готовят к представлению для причастных сторон высококвалифицированные специалисты.
Эта информация должна быть использована для описания источников опасных событий (единичных или множественных) и последствий их реализации. Открытое обсуждение позволяет рассмотреть различные перспективы, события и данные, способствующие целостному пониманию опасностей, исследуемых на этапе анализа риска.
7.1.1 Диаграмма "галстук-бабочка"
При идентификации опасных событий важно выявить взаимосвязь источников опасных событий и их воздействия на деятельность организации. Одним из лучших методов выявления такой взаимосвязи является метод "галстук-бабочка" (см. рисунок 3), который может быть использован для идентификации:
- путей развития событий от источников опасности и реализации опасного события до их последствий;
- средств контроля и методов управления, используемых для предупреждения/подготовки, а также в условиях опасного события и при восстановлении после него.
Метод помогает исследовать причины опасных событий, средства контроля и методы управления, последствия опасного события, детальное описание которых затем вносят в реестр риска.
Диаграмма "галстук-бабочка" сочетает в себе преимущества метода мозгового штурма и таких методов, как системный анализ, поскольку обеспечивает графическое представление сценария реализации опасного события. Диаграмма "галстук-бабочка" иллюстрирует основную линию развития ситуации, связанную с реализацией опасного события, и позволяет идентифицировать последствия опасного события.
Самым простым способом построения диаграммы "галстук-бабочка" для опасного события является исследование пяти основных компонентов опасного события:
а) Источник
Источник опасного события - это событие, инициирующее исследуемое опасное событие. В диаграмме "галстук-бабочка" источники опасного события изображают слева.
б) Причина
Причины опасного события обычно представляют собой условия, в том числе для физических, химических и иных процессов, при которых источник опасного события вызывает его реализацию. Описание условий может включать характеристики окружающей среды (например, возможность землетрясения) и существующие средства контроля и методы управления, используемые для предупреждения и/или снижения опасности. В диаграмме "галстук-бабочка" причины опасного события представлены линиями и стрелками, соединяющими источник опасного события с инцидентом и далее с последствиями.
в) Инцидент
Инциденты представляют собой реализацию опасного события. Инцидент является узлом диаграммы "галстук-бабочка" и представляет собой центральное опасное событие.
г) Последствие
Последствие представляет собой описание результатов воздействия опасного события. Последствия определены в таблице последствий (см. таблицу 2). В диаграмме "галстук-бабочка" последствия отражают справа. Исследуемыми объектами воздействия опасного события являются:
- люди;
- окружающая среда;
- экономика;
- управление;
- социальная среда;
- инфраструктура.
д) Средства контроля и методы управления
Средства контроля и методы управления используют для наблюдения за появлением опасных событий и управления с целью снижения вероятности возникновения инцидента или снижения его последствий. В диаграмме "галстук-бабочка" средства контроля и методы управления размещены на линии от источника к инциденту и далее до его последствий. Для опасных событий используют предупреждающие средства контроля и методы управления, обеспечивающие возможность подготовки к опасным событиям, предотвращения или снижения экспозиции опасного события или его последствий. Средства контроля и методы управления, используемые в условиях инцидента и восстановления после него, обычно применяют для уменьшения воздействия последствий инцидента. Документирование применяемых средств контроля и методов управления позволяет получить важную информацию для выполнения оценки и обработки риска.
Предварительная схема диаграммы "галстук-бабочка" должна быть подготовлена до начала совещания по оценке риска. Диаграмма должна охватывать источники опасных событий, конкретные опасные события (инциденты) и возможные их последствия, включая:
- идентификацию опасного события (узла диаграммы "галстук-бабочка");
- внесение в диаграмму слева всех источников опасного события в соответствии с целями и областью определения анализа риска;
- внесение в диаграмму справа всех последствий реализации исследуемого опасного события;
- идентификацию основных видов предупреждающих средств контроля и методов управления и их связь с одним или несколькими источниками опасности, размещение их на линиях между соответствующим источником и узлом диаграммы "галстук-бабочка";
- идентификацию основных видов средств контроля и методов управления, используемых в условиях реализации опасного события и восстановления после него, и их связь с одной или несколькими группами последствий, размещение их на линиях между опасным событием и соответствующими последствиями;
- внесение в процессе работы дополнительных данных в диаграмму и ее уточнение.
"Рисунок 3 - Общая схема метода "галстук-бабочка""
7.1.2 Описание опасных событий
Описание опасного события должно быть сделано с указанием всех связей источников опасных событий с их последствиями в соответствии с областью применения. Все опасные события должны быть отображены в виде диаграммы "галстук-бабочка". Опасные события должны быть проработаны независимо от последствий и включать детальное описание первоначального события.
Для каждого опасного события на стадии анализа риска должны быть определены (одно или несколько) последствий с соответствующими вероятностями.
В описании опасного события должны быть выделены:
- источник опасного события;
- объект воздействий опасного события;
- последствия опасного события.
Например: опасное событие - повреждение инфраструктуры; источник опасного события - наводнение; объект воздействия - население; последствие - невозможность оказания населению коммунальных услуг.
7.1.3 Идентификация средств контроля и методов управления
Для каждого опасного события в диаграмме "галстук-бабочка" необходимо указать предупреждающие средства контроля и методы управления, а также средства контроля и методы управления, используемые в условиях опасного события при восстановлении после инцидента.
Организация должна рассмотреть следующие виды средств контроля и методов управления:
- поведенческие методы управления (действия персонала основаны только на личном опыте);
- процедурные методы управления (действия персонала основаны на установленных процедурах системы менеджмента);
- физические средства контроля и методы управления (наличие пассивных или автоматических средств контроля и методов управления, предусмотренных в системе менеджмента и не требующих вмешательства человека).
7.1.4 Реестр риска
Реестр риска служит источником основных данных для группы оценки риска, в реестре риска регистрируют всю информацию о риске. В реестр риска следует вносить данные всех этапов оценки риска (идентификации, анализа риска и сравнительной оценки риска).
7.2 Анализ риска
Анализ риска - это процесс исследования свойств и особенностей риска, определения оценки риска. Риск определяют как сочетание последствий и вероятности опасного события.
Выбор метода анализа риска обычно проводят в соответствии с целями и областью применения менеджмента риска, а также доступными ресурсами. Методы анализа риска могут быть качественными, комбинированными и количественными. В простых случаях используют качественные методы анализа риска, обеспечивающие простые способы оценки риска, такие как матрица риска, номограмма, позволяющие использовать опыт персонала для ранжирования риска.
Количественные методы обычно включают сложные математические вычисления, основанные на вычислении частоты и вероятности отказов. Опыт показал, что качественные оценки достаточно сложно применять. Поэтому применение комбинированных методов позволяет сочетать преимущества качественных и количественных методов.
В соответствии с задачами настоящего стандарта методология оценки риска опасных событий для включения в реестр риска основана на качественной оценке риска, использующей относительно простые, но жесткие процедуры. Если данный анализ и последующая оценка риска выявят необходимость дальнейшего анализа, могут быть применены более детальные аналитические методы анализа риска.
Базовая оценка позволяет определить оценку риска на основе системной процедуры, в соответствии с которой анализ опасных событий проводится по данным реестра риска, полученным на основе диаграммы "галстук-бабочка", оценки уровня средств контроля и методов управления и применения критериев риска. Каждый риск в реестре риска должен быть рассмотрен и оценен в соответствии со следующим подходом.
Входными данными для анализа риска являются:
- данные диаграммы "галстук-бабочка";
- данные реестра риска;
- таблицы средств контроля и методов управления;
- критерии риска.
7.2.1 Анализ диаграммы "галстук-бабочка" и реестра риска
Анализ реестра риска и диаграммы "галстук-бабочка" должен подтвердить правильность идентификации всех существующих видов риска. При этом необходимо получить ответы на следующие вопросы:
- Существуют ли неизученные проблемы?
- Существуют ли дублирующие друг друга данные, которые могут быть объединены?
- Для всех ли источников риска установлены средства контроля и методы управления для предупреждения опасного события?
- Для всех ли объектов воздействия установлены средства контроля и методы управления, используемые для реагирования на опасные события и после его реализации.
7.2.2 Анализ средств контроля и методов управления
Систематическая оценка средств контроля и методов управления на предмет их эффективности помогает выявить их недостатки и определить стратегию их усовершенствования.
Применение средств контроля и методов управления в сочетании с диаграммой "галстук-бабочка" может помочь получить ценную информацию для идентификации методов обработки риска. Определение уровня средств контроля и методов управления является частью анализа риска. Этот уровень необходимо оценить до начала оценки риска. В качестве отправной точки работы менеджеров по риску полезно для каждого идентифицированного риска проанализировать следующие характеристики средств контроля и методов управления.
а) Надежность
- Насколько безотказным является средство контроля и метод управления?
- Если не был применен метод управления, сколько времени необходимо для исправления ситуации?
- Если произошел отказ средства контроля, сколько времени необходимо для его ремонта или замены?
- Возможно ли функционирование средства контроля при отказе взаимосвязанных средств контроля?
- Может ли функционировать средство контроля после реализации опасного события?
- Какие методы управления могут быть применены при реализации опасного события?
б) Практичность
- Были ли средства контроля или методы управления ранее апробированы?
- Соответствуют ли они действующим стандартам и установленным требованиям?
- Какие существуют критерии эффективности работы средств контроля и методов управления и насколько они соответствуют этим критериям?
в) Мониторинг
- Существует ли элемент менеджмента, связанный с мониторингом и проверкой средств контроля и методов управления?
- Организован ли процесс раннего обнаружения отказов средств контроля и ненадлежащего применения методов управления?
г) Вовлеченность персонала
- Существует ли возможность негативного воздействия персонала на средства контроля и методы управления?
- Понимает ли персонал значимость исправного функционирования средств контроля и правильного применения методов управления?
- Действительно ли операторы и руководители компетентны и должным образом обучены?
В процессе работы группы менеджмента риска для ранжирования средств контроля и методов управления рекомендуется использовать таблицу 1, которая позволяет упорядочить различные средства контроля и методы управления и оценить их эффективность. В таблице выделены три группы средств контроля и методов управления: поведенческие, процедурные и физические, которые могут быть использованы для различных процессов. Поведенческие и процедурные методы управления могут быть высоко эффективны в ситуации, когда персонал способен приспосабливаться к ситуации, а данные физических средства контроля позволяют мобилизовать персонал для выполнения действий по восстановлению и устранению последствий опасного события.
Результаты оценки каждого средства контроля и метода управления должны быть зарегистрированы в реестре риска.
7.2.3 Критерии риска
7.2.3.1 Общие положения
Целью анализа риска является оценка и ранжирование каждого идентифицированного опасного события в соответствии с установленными критериями риска. Это предполагает использование описания сценария опасного события в соответствии с диаграммой "галстук-бабочка". Поэтому анализ должен быть основан на реалистичном понимании сценариев развития опасного события, т.е. основан на всех причинах опасного события, его экспозиции, последствиях и существующих средствах контроля и методах управления.
Критерии риска основаны на двухосновных показателях риска: последствиях и вероятности.
На первом этапе для каждого опасного события определяют его последствия и вероятность и ранжируют их в соответствии с установленной шкалой, на втором этапе оценивают риск опасного события на основе вероятности и последствий. В результате все риски должны быть оценены и ранжированы.
7.2.3.2 Оценка последствий
Группа оценки риска должна внимательно проанализировать весь диапазон последствий для каждого опасного события, при этом необходимо использовать таблицу последствий (см. таблицу 2). Каждый вид последствий должен быть зарегистрирован в реестре риска. В таблице 2 приведены признаки последствий для базовой оценки риска опасных событий. Для всех объектов воздействий (см. таблицу 3) должна быть выполнена независимая оценка последствий.
7.2.3.3 Оценка вероятности
После определения последствий для каждого опасного события следует определить соответствующую вероятность. Используя таблицу оценки вероятности опасного события (см. таблицу 4), для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска. При этом кривая риска может показать весь диапазон вероятных последствий для всего набора вероятных сценариев.
В таблице 4 приведены характеристики вероятности для базовой оценки риска опасных событий, в том числе частота, средний интервал повторения события и интервал вероятности появления события в течение года.
Важно отметить, что оценка вероятности зависит от последствий. Поэтому необходимо учитывать информацию не только о возникновении опасного события, но и о среде, в которой может возникнуть опасное событие, а также данные об адекватности используемых средств контроля и методов управления.
7.2.3.4 Реализация опасного события
Вероятность реализации опасного события может быть выражена различными способами. В таблице оценки вероятности приведено два показателя, которые могут быть использованы в зависимости от ситуации:
- средний интервал повторения опасного события (один раз в х лет);
- вероятность появления события в течение года (не менее).
7.2.3.5 Информация о среде
Информацию о среде следует исследовать, начиная с потенциально опасных областей (например, зон возможности возникновения шторма), при этом среда не обязательно должна коррелировать с географическими границами области применения оценки риска.
Следует учитывать особенности распространения опасности в окружающей среде (например, распространение огня в лесопосадках вокруг организации). Для опасного события и элементов опасности должна быть собрана соответствующая информация, и она может включать частные хронологические данные и иную информацию (в том числе сценарии).
7.2.3.6 Адекватность применения средств контроля и методов управления
Адекватность применения средств контроля и методов управления определяет уровень средств контроля и методов управления и приемлемость оценки риска опасного события. При использовании нескольких средств контроля и методов управления необходимо рассмотреть возможность и эффективность их совместного применения. При этом для каждого опасного события следует исследовать два основных вопроса:
a) соответствие применяемых средств контроля и методов управления рассматриваемой ситуации;
b) наличие резервов средств контроля и методов управления.
Другими факторами, которые должны быть рассмотрены, являются продолжительность оценки риска и действия опасности, поскольку с увеличением этой продолжительности возрастает вероятность реализации опасного события до оценки его риска.
Кроме того, следует учесть различные факторы времени, которые могут повлиять на вероятность последствий.
При исследовании перечисленных факторов группа оценки риска должна оценить частоту каждого опасного события в соответствии с таблицей 4.
7.2.3.7 Оценка риска
В матрице качественной оценки вероятности риска (таблица 5) объединены оценки последствий и качественные оценки вероятности опасного события. Данные матрицы качественной оценки риска позволяют оценить необходимость детального анализа риска и обработки риска.
С помощью этой матрицы необходимо определить качественную оценку риска всех опасных событий и зарегистрировать полученные результаты в реестре риска.
В соответствии с настоящим стандартом необходимо исследовать диапазон возможных последствий опасных событий и соответствующих им вероятностей. Поэтому, если диапазон последствий идентифицирован, то следующим этапом является построение кривой риска на матрице качественной оценки риска. Если для оценки использовались хронологические данные, то может быть построена предварительная кривая риска до определения оценки риска, а после определения оценки риска - кривая риска с использованием всех имеющихся данных.
При построении кривой риска для конкретных источника риска и объекта воздействия на матрице качественной оценки риска ставят точку, соответствующую сочетанию вероятности и последствий для каждого опасного события, что позволяет составить прогноз на основе сценариев опасных событий. Следует нанести на график так много точек, сколько возможно. Их соединяют гиперболической кривой (спускающейся из левой верхней части матрицы вниз направо). Кривая не должна начинаться или заканчиваться на границах матрицы, если конечно нет достоверных данных обо всем диапазоне вероятностей и последствий.
Необходимо избегать экстраполяции кривых вне области имеющихся данных. В частности, если правильные положение и форма кривой неизвестны, то ее можно провести пунктиром или другим способом указать на более высокую неопределенность кривой.
На рисунке 4 показана кривая риска, построенная для трех оценок вероятности и последствий и пяти аналогичных хронологических данных. При этом в данном примере самый высокий риск соответствует умеренным последствиям.
"Рисунок 4 - Пример кривой риска с использованием хронологических и объединенных данных"
7.2.4 Неопределенность оценки риска
Выводы, полученные на основе оценки риска, используют для определения необходимых действий по обработке риска. До принятия решения группа оценки риска должна удостовериться в робастности данного подхода. Оценка неопределенности оценки риска помогает избежать применения недостоверных результатов, полученных в процессе оценки риска (таких как субъективные оценки, недостаток или отсутствие необходимых данных), и позволяет сопоставить полученные выводы и решения. Результаты могут быть полезны для оценки чувствительности, а также для принятия решения о необходимости более детального анализа риска.
Анализ неопределенности оценки риска и полученных решений позволяет определить качественную оценку риска при изменении неопределенности исходных данных. Способ определения неопределенности данных приведен в таблице 10. В таблице 10 установлено три оценки неопределенности и три объекта достоверности:
1. Данные/информация
Оценка неопределенности характеризует пригодность данных и информации, относящейся к опасному событию, окружающей среде и персоналу (населению). Данные и информация должны охватывать все уязвимости, устойчивость к воздействиям персонала (населения), их проблемы и опасения. Дополнительно данные могут включать проекты будущих разработок, таких как изменение демографии и погодных условий.
2. Знание и опыт группы оценки риска
Оценка неопределенности характеризует значения группы оценки риска об опасных событиях, типе опасностей и процессе оценки риска. Знание и опыт группы оценки риска охватывают квалификацию и навыки членов группы, приобретенные в результате обучения или жизненного опыта.
3. Предположения и принятые соглашения
Оценка неопределенности связана с предположениями и принятыми соглашениями, используемыми при оценке риска, которые могут включать согласованные решения, интерпретацию данных, ранжирование риска и т.п. Оценка неопределенности в этом случае должна быть проведена тщательно, желательно на основе количественных данных.
Таблица 10 - Неопределенность данных
Объект |
Высокая неопределенность |
Средняя неопределенность |
Низкая неопределенность |
Данные/информация |
Отсутствуют точная информация и данные, все выводы основаны на предположениях |
Имеются информация и данные об опасностях или объектах воздействия, а также принятые хронологические или научные (теоретические) данные |
Имеются информация и данные об опасностях и объектах воздействия, а также принятые хронологические и научные (теоретические) данные |
Знание и опыт группы оценки риска |
Отсутствует опыт в области исследуемых опасности или процессов |
Имеются специальные знания об исследуемых опасности или процессах |
Имеются специальные знания об исследуемых опасности и процессах |
Предположения и принятые соглашения |
Выводы не основаны на интерпретациях и ранжировании вероятностей и последствий |
Выводы основаны на интерпретациях или ранжировании вероятностей и последствий |
Выводы основаны на интерпретациях и ранжировании вероятностей и последствий |
Ранжирование перечисленных объектов позволяет оценить неопределенность оценки совокупного риска. Такую оценку проводят для каждого опасного события и соответствующего риска в конце этапа анализа риска. Полученные результаты заносят в реестр риска для обобщения данных о неопределенности и поддержке принятия решения о необходимости детального анализа риска или выбора критерия обработки риска. Если неопределенность риска высока, то обычно необходимо проведение детального анализа риска.
Однако если группа оценки риска полагает, что информация и результаты являются достоверными и устойчивыми к ошибкам, то в соответствии с целями оценки риска выводы могут быть приняты для процесса оценки риска без дальнейшего анализа.
В зависимости от значимости решения неопределенность оценки риска должна быть валидирована третьей стороной вместе с ключевыми причастными сторонами.
7.2.5 Реестр риска
На стадии заполнения реестра риска группа оценки риска должна идентифицировать риск и провести его анализ. Результаты должны быть зарегистрированы в реестре риска.
7.3 Сравнительная оценка риска
Сравнительная оценка риска - это процесс сопоставления оценки риска с критериями его приемлемости. Сравнительная оценка риска является основой для принятия решения о необходимости детального анализа риска, а также его ранжирования и определения методов обработки риска.
При проведении сравнительной оценки риска следует учитывать результаты идентификации опасных событий и анализа риска, полученные на основе диаграммы "галстук-бабочка", а также данные реестра риска. Для определения границ между рисками, являющимися неприемлемыми, приемлемыми или широко применяемыми, применяют правило ALARP (настолько низкий, насколько практически возможно). Результатом сравнительной оценки риска является решение о необходимости дальнейшего анализа или обработки риска.
7.3.1 Правило ALARP
Применение правила ALARP*(6) может помочь организации ранжировать риски и выделить виды риска, требующие обработки. Риск делят на три группы: неприемлемый риск, ALARP-риск, широко приемлемый риск. Виды риска, относящиеся к группе "широко приемлемого риска", требуют минимальной обработки или вообще не требуют обработки. Виды риска из группы "неприемлемого риска" требуют обязательной обработки и перевода их как минимум в группу ALARP-риска, где риск является приемлемым (см. рисунок 5).
"Рисунок 5 - Диаграмма ALARP"
Этот метод особенно успешно применяют, если риск известен и может быть управляем.
Риск является полностью приемлемым, если он попадает в область широко приемлемого риска (см. диаграмму ALARP). Некоторое количество видов риска может попадать в область приемлемого ALARP-риска. Для отнесения риска к неприемлемому риску, приемлемому ALARP-риску, или широко приемлемому риску используют два показателя: ранг риска и неопределенность данных.
Взаимосвязь этих показателей приведена в матрицах оценки риска (см. таблицы 6 - 8), которые могут быть использованы для отнесения риска в одну из областей ALARP-риска. Результаты должны быть зарегистрированы в реестре риска.
7.3.2 Приемлемость риска
В таблицах 6 - 8 приведены матрицы оценки риска, которые должны использоваться в зависимости от неопределенности данных для каждого опасного события.
7.3.3 Доказательство ALARP
Для риска, отнесенного к области ALARP-риска, необходимо рассмотреть средства контроля и методы управления, а также возможности уменьшения риска, особенно для наиболее важных траекторий диаграммы "галстук-бабочка". Например, если для источника опасного события установлено единственное предупреждающее средство контроля, то данное средство контроля необходимо дублировать другими средствами контроля. Кроме того, низкий уровень средств контроля или методов управления, определенный на этапе анализа риска, может указывать на недостаточность таких средств и методов, необходимость более пристального внимания к этому вопросу и дополнительных действий.
На этапе сравнительной оценки риска необходимо исследовать возможность изменения применяемых средств контроля и методов управления, возможности улучшения ранга риска, оценки ключевых областей воздействия и методов обработки риска. Для этого, при наличии необходимых средств контроля и методов управления, возможностей их улучшения, каждое опасное событие повторно качественно оценивают, определяют для него последствия, вероятности и оценивают остаточный риск. Оценку этого гипотетического остаточного риска необходимо зарегистрировать в реестре риска.
7.3.4 Принятие решения
К этапу принятия решения реестр риска должен быть полностью сформирован, исследован на этапе анализа риска и пересмотрен на этапе сравнительной оценки риска. Реестр риска особенно полезен для принятия решения о необходимости дальнейших действий для каждого опасного события.
На этапе принятия решения необходимо определить, требуется ли проведение дальнейшего анализа. При принятии решения следует учитывать:
- внешние факторы, которые могут влиять на оценку риска;
- неопределенности данных.
Дальнейший анализ необходим, если он позволяет уменьшить неопределенность оценки риска и улучшить результат в случае уже принятых решений.
На этапе принятия решения необходимо отнести каждое опасное событие и соответствующий ему риск к одной из следующих групп:
1) Опасные события, требующие дальнейшего анализа и последующей повторной оценки
Отнесение опасного события к этой группе должно быть обосновано. Должны быть указаны цели и предполагаемые выводы дальнейшего анализа.
При этом необходимо изменение базовой оценки риска и уровня детализации анализа риска.
2) Опасные события, требующие незамедлительной обработки риска
Выводы, сделанные на основе сравнительной оценки риска, позволяют определить ключевые области и методы обработки риска для опасных событий, требующих незамедлительной обработки риска. Для таких опасных событий оценка риска завершена, поскольку определены способы обработки риска, после проведения которых достаточно непрерывного мониторинга риска в соответствии с требованиями менеджмента риска.
3) Опасные события и соответствующие виды риска, не требующие дальнейшего анализа и обработки
Для таких опасных событий оценка риска завершена. Данные опасные события должны стать объектом дальнейшего мониторинга и пересмотра в соответствии с требованиями менеджмента риска.
7.3.5 Реестр риска
На данном этапе реестр риска должен быть полностью сформирован группой оценки риска.
7.4 Детальный анализ риска
Принятие решения о дальнейшем анализе риска предполагает при необходимости, что может быть проведен более детальный (например, количественный) анализ. Решение о проведении такого анализа принимают на этапе сравнительной оценки риска.
Обычно базовой оценки риска достаточно для идентификации, анализа и сравнительной оценки риска. Этой оценки достаточно для того, чтобы определить методы обработки риска. Однако для некоторых видов риска может потребоваться более детальный анализ. Для детального анализа редко используют качественные методы оценки риска, а применяют комбинированные или количественные методы. При принятии решения о необходимости детального анализа следует учитывать время и усилия, необходимые для выполнения детального анализа. Иногда выводы детального анализа подтверждают первоначальные выводы. Детальный анализ должен быть направлен на исследование опасного события и соответствующего ему риска, для которых первоначальный качественный анализ представляет недостаточно информации для принятия решения и выбора эффективной стратегии обработки риска.
7.4.1 Планирование детального анализа
Необходимо, чтобы оценка риска представляла измеримую информацию о риске. Поэтому при планировании детального анализа для одного или нескольких событий, группа оценки риска должна провести GAP-анализ для определения областей, не учтенных при первоначальной оценке и планировании детального анализа.
Выводы по результатам детального анализа риска должны обеспечивать достаточную информацию для принятия группой оценки риска обоснованного решения о повышении эффективности обработки риска.
При планировании детального анализа группа оценки риска должна также рассмотреть вопрос о том, поможет ли дополнительный анализ повысить эффективность обработки риска. Детальный анализ должен включать:
- картирование топографической информации об опасности сейсмических явлений;
- анализ риска травмирования или гибели людей;
- анализ риска потери активов (в течение года);
- возможные потери при наиболее серьезных последствиях.
В таблице 9 приведены основные методы детального анализа опасностей.
Существует большое количество методов детального анализа риска травмирования и гибели людей или потери собственности, которые могут быть применены (например, в соответствии с ИСО 13824:2009). Другие методы направлены на анализ экономических потерь, оценку опасностей и уязвимостей, а также затрат на устранение и/или снижение риска.
При проведении детального анализа обычно требуется привлечение экспертов по специальным областям знаний, внешних консультантов, специалистов по обмену информацией и сотрудничеству с соответствующими причастными сторонами. Обмен знаниями и опытом может помочь по-новому увидеть проблемы, связанные с опасностями и управлением соответствующим риском, снизить субъективность оценок. Кроме того, привлечение внешнего персонала к таким работам способствует технологическому совершенствованию и обновлению восприятия риска.
Источниками данных для детального анализа могут быть:
- узкоспециализированные организации и специалисты в узких областях знаний;
- организации, работающие в мультидисциплинарных областях;
- академические учреждения и научно-исследовательские институты;
- специалисты государственных учреждений.
7.4.2 Повторные анализ и оценка риска
Результаты детального анализа необходимо сравнить с базовой оценкой риска. После получения результатов детального анализа группа оценки риска должна завершить оценку соответствующего риска путем его повторного анализа в соответствии со стандартизованными критериями риска. К последующей повторной оценке риска следует привлекать специалистов, выполнявших детальный анализ для сравнения полученных результатов с предыдущими.
Повторные анализ и оценка риска должны быть зарегистрированы в реестре риска.
8 Обработка риска
8.1 Процесс обработки риска
Обработка риска направлена на его модификацию. Целью обработки риска является определение и выполнение необходимых действий для снижения или устранения риска. Обработка риска может включать обновление или модификацию средств контроля и методов управления.
Для обеспечения всестороннего исследования не только причин, но и предпосылок возникновения опасных событий необходимы результативные и эффективные критерии обработки риска. Поэтому важное значение для обработки риска имеет информация, собранная и проанализированная в процессе оценки риска.
Обработка риска включает в себя четыре этапа:
1) Определение целей обработки риска, при этом необходимо использовать:
- динамические сценарии, представленные в диаграмме "галстук-бабочка";
- возможности средств контроля и методов управления, рассмотренные на этапах анализа и сравнительной оценки риска;
- категоризацию риска на этапе сравнительной оценки риска.
2) Определение способов обработки риска, их разработка, проектирование и выполнение. Этот процесс основан на анализе эффективности воздействия обработки риска.
Методы обработки риска опасных событий не обязательно являются взаимно исключающими и могут включать:
а) устранение опасного события;
б) замещение источника опасного события;
в) изменение вероятности:
- первоначального события;
- опасностей, воздействующих на критические элементы;
- последствий вследствие изменения воздействия источника опасности на опасные элементы системы;
г) разделение риска;
д) обоснованное решение о сохранении риска.
3) Сопоставление методов обработки риска на основе:
- первичного анализа затрат и результатов;
- эффективности обработки риска;
- повторного проведения и/или расширения области применения анализа риска;
- принятия остаточного риска.
Выбор методов обработки риска обычно основан на анализе компромиссных решений с учетом оценки риска и затрат на снижение риска, при этом используют методы и испытания на чувствительность.
Если методы обработки являются сложными, требуют больших затрат и времени, и/или не удовлетворяют причастные стороны, необходимо продолжить детальный анализ и применить другие способы обработки риска. Если на этапе сравнительной оценки риска остаточный риск является неприемлемым, для такого риска необходимо определить методы обработки риска.
4) Разработка плана обработки риска, его выполнение и принятие остаточного риска.
Целью плана обработки риска является регистрация выбранных способов обработки риска.
План обработки риска должен включать в себя:
- детальное обоснование причин выбора метода обработки риска;
- ожидаемые преимущества выбранного метода обработки риска;
- предложенные действия;
- необходимые ресурсы;
- распределение ответственности и полномочий;
- календарный план выполнения работ;
- критерии качества работы;
- требования к обмену информацией и мониторингу.
В приложении В приведены показатели методов обработки риска, которые могут быть использованы при выборе плана обработки риска.
8.2 Детальный анализ на этапе обработки риска
В процессе планирования детального анализа на этапе обработки риска владельцы риска должны провести GAP-анализ, направленный на выявление отсутствия или недостатка информации, необходимой для принятия решений. GAP-анализ особенно важен в случаях, когда обработке должны быть подвергнуты экономические, финансовые, проектные или политические виды риска.
Целью детального анализа риска является помощь в принятии решений и обеспечение преимуществ в части затрат и результатов обработки риска. Степень обработки риска должна быть пропорциональна исследуемой проблеме. Определение чувствительности выбранных методов обработки риска также помогает определить неопределенность оценки риска.
Количественные методы, применимые при детальном анализе обработки риска, включают:
- оценку воздействия законодательных и обязательных требований;
- анализ затрат и результатов;
- проверку соответствия затрат бизнес-целям организации;
- оценку воздействия на конкурентоспособность;
- другие методы.
_____________________________
*(1) Основные методы оценки риска и их детальное описание приведены в ГОСТ Р ИСО/МЭК 31010-2011.
*(2) ГОСТ Р ИСО 31000-2010 "Менеджмент риска. Принципы и руководство".
*(3) ГОСТ Р ИСО/МЭК 31010-2011 "Менеджмент риска. Методы оценки риска".
*(4) ГОСТ Р 51897-2011/Руководство ИСО 73:2009 "Менеджмент риска. Термины и определения".
*(5) В соответствие с ФЗ от 27.12.2002 N 184-ФЗ "О техническом регулировании" "риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".
*(6) As Low As Reasonably Practicable - настолько низкий, насколько практически возможно.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р 51901.23-2012 "Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1285-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2014 г.
Дата введения - 1 декабря 2013 г.