Jedes Risiko ist damit verbunden unternehmerische Tätigkeit.

Während der Umsetzung des Projekts werden operative Aktivitäten, Investitionsaktivitäten usw. durchgeführt finanzielle Aktivitäten. Alle Arten von Aktivitäten sind mit den typischen Risiken eines jeden Investitionsvorhabens verbunden.

Das IP kann bestimmte Stabilisierungsmechanismen vorsehen, die den Schutz der IP-Teilnehmer im Falle einer ungünstigen Änderung der Bedingungen seiner Umsetzung, Maßnahmen zur Reduzierung des Risikoniveaus und deren Entschädigung gewährleisten. Wenn wir über interne Risiken sprechen, ist es möglich, den Grad des Risikos selbst zu reduzieren (aufgrund zusätzlicher Kosten für die Bildung von Reserven und Lagerbeständen, die Verbesserung der Technologie und die Reduzierung von Produktionsunfällen, aufgrund materieller Anreize zur Verbesserung der Produktqualität, die Schaffung von Reservekapazitäten, usw.) Bei der Umsetzung der IP-Implementierung von IS ist es möglich, den Risikograd durch finanzielle Anreize für IT-Servicemitarbeiter und andere Mitarbeiter, die an der Arbeit mit dem neuen IS beteiligt sind, sowie durch zusätzliche Kosten für die Bildung von Reserven und Vorräten sowie die Durchführung zu reduzieren Probebetrieb des IS usw.

Der Einsatz jeglicher Stabilisierungsmechanismen erfordert zusätzliche Kosten, deren Höhe von den Bedingungen des Projekts, den Interessen seiner Teilnehmer und der Einschätzung des Risikogrades abhängt. Abhängig von den Zielen des Projekts und den Einflussfaktoren auf seine Umsetzung müssen unterschiedliche Werte der Risikoprämie berücksichtigt werden. Je größer das Implementierungsprojekt (z. B. ein Unternehmens-IP-Implementierungsprojekt) ist, desto höher ist das Risiko.

Alle mit der Umsetzung von IP verbundenen Risiken lassen sich je nach Eintrittsquelle und Beseitigungsmöglichkeit in externe (objektive, systematische oder nicht diversifizierbare) und interne (subjektive, nicht systematische oder diversifizierbare) Risiken unterteilen.

Externe und interne Risiken hängen miteinander zusammen.

Externe Risiken sind nicht von einem bestimmten Unternehmen oder Einzelunternehmer abhängig. Diese Risiken bestehen in allen Phasen der IP-Implementierung. Sie entstehen durch äußere Ereignisse, die den Gesamtmarkt beeinflussen, wirken sich auf das Einkommen aller Unternehmen für alle einzelnen Unternehmer aus und können durch Diversifizierung nicht vollständig beseitigt werden.

Zu den externen Risiken zählen: politische, gesetzgeberische, makroökonomische und Naturkatastrophenrisiken (Risiken höherer Gewalt). Das Länderrisiko wird häufig in den Abzinsungssatz einbezogen, um externe Risiken zu berücksichtigen.

Interne Risiken verursacht durch Faktoren, die für ein bestimmtes Unternehmen oder einen einzelnen Unternehmer spezifisch sind. Diese Risiken wirken sich auf das Einkommen einzelner Unternehmen für einzelne IP aus und unterscheiden sich in verschiedenen IP-Stufen. Diese können durch Diversifizierung weitgehend eliminiert werden.

Zu den spezifischen Faktoren, die interne Risiken im Bereich des geistigen Eigentums verursachen, gehören die folgenden:

Überschreitung der Fristen für die Inbetriebnahme des IS und des Umsetzungsbudgets;

eine deutliche Verlängerung des Zeitpunkts der IS-Implementierung;

Veränderungen im Bedarf an Software und Hardware, Mangel an Humanressourcen usw.;

Unterbrechungen bei der Lieferung gekaufter Hardware, Mangel an angeworbenen Beratern oder deren Kompetenzniveau;

Verlust von Verträgen durch fehlerhaftes Debugging oder Unterbrechungen im Betrieb des IS;

Unfälle und Ausfälle in der Hardware oder Software usw.

Zu den internen Risiken zählen aufgrund ihrer strukturellen Merkmale:

1 Sachrisiken, die mit der Wahrscheinlichkeit des Verlusts von Eigentum eines Unternehmens oder Einzelunternehmers aus verschiedenen Gründen (durch Diebstahl, Feuer, Fahrlässigkeit) verbunden sind;

2 Produktionsrisiken im Zusammenhang mit Verlusten aufgrund von Produktionsausfällen aufgrund des Einflusses verschiedener Faktoren und vor allem Schäden am Anlage- und Betriebskapital sowie Risiken im Zusammenhang mit der Einführung neuer Geräte und neuer Technologien in die Produktion (z. B. die Einführung). neuer IP);

3
kommerzielle Risiken im Zusammenhang mit Verlusten aufgrund von Zahlungsverzögerungen, Zahlungsverweigerung während des Warentransports, Nichtlieferung von Rohstoffen und Komponenten oder deren Lieferabweichung von den geplanten Bedingungen usw.;

4 finanzielle Risiken, die mit der Wahrscheinlichkeit eines Verlusts finanzieller Ressourcen aufgrund irrationaler Kapitalinvestitionen verbunden sind.

In verschiedenen Phasen der IP-Implementierung treten verschiedene interne Risiken auf.

Schauen wir uns typische Fehler an, die auftreten in der Entscheidungsphase zur Umsetzung von IP.

1 Schwache Entwicklung der Automatisierungsstrategie (dem Unternehmen fehlt eine ganzheitliche langfristige IT-Strategie, die der Größe und Wachstumsrate seines Geschäfts entspricht).

2 Leidenschaft für Modetrends in Bezug auf bestimmte Produkte bei der Auswahl von IP.

3 Suchen Sie nach einem Ideal, das den Besonderheiten des Unternehmens perfekt entspricht.

4 Lobbying für die Implementierung von IS durch einen der Unternehmensbereiche – die Folge kann eine Diskrepanz zwischen dem System und den Bedürfnissen anderer wichtiger Bereiche sein.

5 Falsche Vorbereitung der Ausschreibungsaufgabe – die Aufgabenerstellung erfolgt nicht nach den wesentlichen IP-Anforderungen, sondern durch einfaches Sammeln und Zusammenfassen von Bewerbungen aus allen Abteilungen. Dieser Ansatz berücksichtigt in der Regel nur die aktuellen Anforderungen der Abteilungen und nicht die strategischen Ziele des Gesamtunternehmens.

Der häufigste Fehler bei der Wahl IP ist eine Leidenschaft für die technische Seite der Sache auf Kosten der funktionalen Zweckmäßigkeit, die von den endgültigen Zielen der Implementierung bestimmt wird. Um sicherzustellen, dass die Bewertung nicht einseitig erfolgt, ist es notwendig, von Anfang an Mitarbeiter „fachlicher“ Abteilungen sowie die Geschäftsleitung des Unternehmens in die Auswahl des Systems einzubeziehen.

In der Umsetzungsphase Die schwerwiegendsten Risiken des Projekts sind die folgenden.

1 Unvorbereitetheit des Top-Managements des Unternehmens auf Änderungen in den Geschäftsprozessen und der Organisationsstruktur des Unternehmens.

2 Erfolglose Auswahl externer Berater für das Projekt (basierend auf dem Prinzip der minimalen Kosten oder basierend auf Partnerschaften mit einem bestimmten Softwarelieferanten). Bei der Auswahl eines Projektdurchführenden – Beraters müssen folgende Kriterien beachtet werden: Professionalität, Zuverlässigkeit und Vorhersehbarkeit der Ergebnisse.

3 Der Einfluss des menschlichen Faktors im Prozess der Projektumsetzung (Änderungen in Technologie, Arbeitsvorschriften und -formaten, Notwendigkeit, die Reaktion der Mitarbeiter auf die Umsetzung zu berücksichtigen).

4 Delegation wichtiger Management- und Exekutivbefugnisse an die IT-Abteilung. Das Projektteam muss aus Schlüsselmitarbeitern aller „Fachabteilungen“ bestehen, die dann mit dem implementierten System arbeiten.

Es ist zu beachten, dass Empfehlungen zur Überwindung von Schwierigkeiten bei der Implementierung und dem Betrieb von Informationssystemen auf der Grundlage der Besonderheiten der Aktivitäten eines bestimmten Unternehmens entwickelt werden sollten. Zunächst muss sich das Management des Unternehmens und der IT-Dienst darüber im Klaren sein, dass das Unternehmen in Zukunft kontinuierliche Anstrengungen unternehmen muss, um das Informationssystem zu verbessern. Der Übergang vom „Entwurfsmodus“ zur Verbesserungs- und Änderungsphase stellt für einige Unternehmen ein erhebliches Problem dar, dessen Lösung eine sorgfältige Untersuchung und Planung erfordert. Eine wichtige Aufgabe der Risikoforschung besteht darin, das Stadium zu bestimmen, in dem ein bestimmtes Risiko mit größerer Wahrscheinlichkeit eintritt.

In der Umsetzungsphase Die mit den vorherigen Phasen des Projekts verbundenen Risiken, die sogenannten Produktionsrisiken, beginnen sich voll zu manifestieren. Hinzu kommen „End-to-End“-Risiken, die in fast jeder Phase des Projekts auftreten. Zu den Querschnittsrisiken zählen vor allem interne politische Risiken – oft dient ein IP-Implementierungsprojekt als Hebel für politische Auseinandersetzungen in einem Unternehmen. Wenn das Projekt den Bereich der lebenswichtigen Interessen großer Teams und leitender Manager berührt, die die Eigentums-, Waren- und Cashflows kontrollieren, können selbst bei idealer Planung und Organisation der Umsetzung erhebliche Probleme auftreten.

Es besteht auch ein End-to-End-Risiko, das mit der Verteilung der Arbeitsbelastung zwischen Kunde und Berater verbunden ist. Der Anteil der Beraterleistungen sollte im Laufe des Projekts sinken, da das Kundenunternehmen ansonsten Schwierigkeiten haben wird, das IS ohne Berater weiter zu betreiben. Das Projekt kann sich auch aufgrund des Einflusses des menschlichen Faktors (Widerstand des Personals, psychische Ermüdung durch das Projekt) sowie aufgrund ineffektiver Kommunikation innerhalb des Unternehmens schlecht entwickeln.

Die Ablehnung des Projekts durch die Mitarbeiter entsteht in der Regel aufgrund mangelnder Information: Die Unternehmensleitung weiß nicht, was das Projektteam tut, und die Mitarbeiter sehen überhaupt keinen Sinn in der Umsetzung. Eine rechtzeitige und regelmäßige Aufklärungsarbeit, die in der Verantwortung der Projektteammitglieder liegen sollte, kann die negative Einstellung der Mitarbeiter überwinden.

Nach Abschluss des Projekts zeichnen sich langfristige Risiken ab, die die effektive Nutzung und Weiterentwicklung von IP im Unternehmen behindern. Die größten langfristigen Risiken ergeben sich aus der unzureichenden Unterstützung externer und interner Veränderungen. Ein wichtiges langfristiges Risiko ist mit dem menschlichen Faktor verbunden – dem Ende der Beteiligung der Berater am Projekt. Darüber hinaus besteht das Risiko einer Verletzung der Informationssicherheit – ein möglicher Verlust kommerzieller Informationen aus dem Unternehmen.

Zu den Faktoren, die mit der Neuorganisation des Unternehmens sowie dem Verlust der Flexibilität von Geschäftsprozessen verbunden sind, gehört die Führung bei langfristigen Risiken (sowohl hinsichtlich der Schwere des Schadens als auch der Komplexität der Minimierung).

Langfristige Risiken haben jedoch nur geringe Auswirkungen auf den IS-Lebenszyklus. Zunächst ist eine kompetente Planung und erfolgreiche Umsetzung von IS erforderlich.

Bei der Beschreibung der Risiken von IT-Projekten geht es darum, diese Risiken im Vorfeld zu erkennen und vor Projektbeginn eine Reihe präventiver Maßnahmen durchzuführen. Es ist ratsam, die Hauptmaßnahmen zur Verhinderung des Auftretens aufzuteilen riskante Situationen in IT-Projekten:

1 obligatorische Dokumentation der Projektziele sowie aller Änderungen in der Projektdokumentation, die sich während der Umsetzung ergeben;

2 Steigerung der Mitarbeitermotivation durch finanzielle Anreize;

3 Gewinnung von qualifizierten Fachkräften Dritter;

4 Schulungsteammitglieder und die Geschäftsleitung des Unternehmens in Projektmanagementmethodik usw.

Unter den Risiken, die für jede IP-Implementierung charakteristisch sind, können folgende identifiziert werden:

1 Designrisiken bei der Erstellung eines Systems (berücksichtigt beim Design des IS);

2 organisatorische Risiken (einschließlich der Auswirkungen des menschlichen Faktors auf den Prozess der Implementierung und des Betriebs des IS, was zu einer falschen Interpretation der mit dem IS verarbeiteten Daten führt);

3 technische Risiken bestehend aus Ausfallzeiten, Ausfällen, Verlust oder Beschädigung von Daten usw.;

4 Risiken von Geschäftsverlusten (Geschäftsrisiken), die mit dem Betrieb des Systems verbunden sind (aufgrund technischer Risiken).

Projektrisiken treten bereits in der Entwurfs- oder Bereitstellungsphase des geistigen Eigentums auf. Hierzu zählen beispielsweise das Risiko der Veralterung bestimmter Software oder technischer Lösungen sowie das Risiko von Verzögerungen bei der Lieferung von IS-Komponenten. Unter Berücksichtigung der relativ kurzen Zeitspanne, die für die Lieferung und Implementierung eines IS erforderlich ist, sowie der Bedingungen für die Implementierung solcher Projekte, bei denen in der Regel alle Probleme im Zusammenhang mit der Lieferung und Implementierung einzeln gelöst werden Bei Zulieferunternehmen ist die Wahrscheinlichkeit solcher Risiken gering.

Die Kosten organisatorischer Risiken können durch Expertenanalysen abgeschätzt werden. Viele der organisatorischen Risiken können bei ausreichender Eintrittswahrscheinlichkeit die gesamte Wirkung der Automatisierung auf Null reduzieren oder sogar Schäden durch die Automatisierung aufdecken, weshalb ihre Analyse mit besonderer Sorgfalt angegangen werden muss.

Zu den offensichtlichsten organisatorischen Risiken gehören die folgenden.

1 Sabotage von Personal. Dieses Risiko macht alle Bemühungen zur Implementierung von IP zunichte. Sie kann aus vielen Gründen entstehen: zum Beispiel aus Angst vor dem Verlust des Arbeitsplatzes aufgrund eines geplanten Personalabbaus, dem Wunsch, die tatsächlichen Ergebnisse der Arbeit eines bestimmten Mitarbeiters zu verbergen, um die Feststellung von Inkompetenz zu vermeiden usw.

2 Falsche Schlussfolgerungen aufgrund der Analyse von Daten, die im Rahmen des Betriebs des IS gewonnen wurden, d. h. falsche Interpretation der im IS verarbeiteten Daten.

3 Weitergabe der im System gesammelten Informationen an Wettbewerber infolge von Diebstahl oder Verrat durch Personal usw.

Die geplante Arbeit des Unternehmens-IT-Dienstes sowie der strategischen Entwicklungs- und Planungsabteilung sollte die Entwicklung von Empfehlungen zur Reduzierung der Risiken des IS-Implementierungsprojekts umfassen. Es ist außerdem erforderlich, einen Probebetrieb des IS durchzuführen, mit qualifizierten Beratern und zuverlässigen Ausrüstungslieferanten zusammenzuarbeiten und zusätzliche Zahlungen an Mitarbeiter, die an der Arbeit mit dem IS beteiligt sind, in den vorläufigen Kostenvoranschlag für das IS-Implementierungsprojekt einzubeziehen. Wichtige Faktoren zur Risikominimierung sind außerdem: die aufmerksame Haltung des Top-Managements gegenüber der IP-Implementierung von IP und die vorläufige Entwicklung der gesamten Unternehmensautomatisierungsstrategie

Derzeit gibt es keine einheitliche Klassifizierung der Risiken von Unternehmensprojekten. Wir können jedoch die folgenden Hauptrisiken hervorheben, die mit dem Projekt der Eröffnung und Entwicklung eines betrieblichen Schulungszentrums verbunden sind.

Da es in dieser Phase der Eröffnung eines „It-Progress“-Unternehmens unangemessen ist, alle Risiken der Softwareerstellung zu berücksichtigen, ist es notwendig, die Risiken der Eröffnung eines Unternehmens zu analysieren, das sich mit der Entwicklung und dem Verkauf von Software beschäftigt.

Tabelle 2.1 – Risiken der Eröffnung eines Entwicklungsunternehmens Software

Fortsetzung von Tabelle 2.1

Delphi-Methodeähnlich der Methode Brainstorming, aber seine Teilnehmer kennen sich nicht. Der Moderator sammelt Expertenantworten anhand einer Liste von Fragen, um Ideen zu Projektrisiken zu ermitteln. Die Antworten der Experten werden dann analysiert, kategorisiert und zur weiteren Kommentierung an die Experten zurückgesendet. In mehreren Zyklen dieses Prozesses werden ein Konsens und eine Liste der Risiken erzielt. Die Delphi-Methode eliminiert den Gruppenzwang und die Angst vor Peinlichkeiten beim Ausdrücken einer Idee.

Das Projektrisikoregister enthält tabellarisch und übersichtlich Informationen über bekannte, identifizierte Projektrisiken. Das Projektrisikoregister sollte immer enthalten aktuelle Information, hängt die Qualität der Arbeit des Projektteams mit Risiken vollständig davon ab. Typischerweise enthält das Projektrisikoregister die folgenden Informationen:

• AUSWEIS— eindeutige Identifikationsnummer des Projektrisikos. Bei Verwendung muss diese Nummer mit der im PMIS angegebenen Risiko-ID übereinstimmen.
• Beschreibung des Risikos— detaillierte Beschreibung des Projektrisikos.
• Kategorie— Risikokategorie gemäß KSUP. Zum Beispiel, Investitionsrisiko, technologisches Risiko, mit dem Projektteam verbundenes Risiko usw.
• Typ— Art des Risikos: positiv oder negativ. Positive Risiken spielen dem Projektteam in die Hände und bringen zusätzliche Vorteile mit sich, die eine schnellere Umsetzung des Projekts ermöglichen. Negative Risiken hingegen verringern die Wahrscheinlichkeit eines erfolgreichen Projektabschlusses.
• Beeinflussen— der Grad des Einflusses des Risikos auf einen der vier Schlüsselparameter des Projekts: Kosten, Zeitplan, Inhalt oder Qualität. Typischerweise mit Werten von 0,05, 0,1, 0,2, 0,4, 0,8 bewertet.

• Gesamtauswirkung— Die Gesamtauswirkung des Risikos hängt vom gewählten Modell ab ( max— der Maximalwert wird verwendet, Durchschn- der Durchschnittswert wird verwendet) und wird anhand der Auswirkung des Risikos auf vier Parameter ermittelt.
• Wahrscheinlichkeit— Eintrittswahrscheinlichkeit des Risikos. Typischerweise mit Werten von 0,1, 0,3, 0,5, 0,7, 0,9 bewertet.
• Bedeutung- tatsächlich die Höhe des Risikos, berechnet als Produkt Gesamteinfluss An Wahrscheinlichkeit.
• Strategie— Risikoreaktionsstrategie. Eine von sieben Strategien wird ausgewählt. Für negative Risiken: Ausweichen, Reduzieren, Teilen. Für positive Risiken: Übertragung, Nutzung, Verstärkung. Für alle Risiken: Annahme.
• Veranstaltungen— Beschreibung der Risikomanagementmaßnahmen gemäß der ausgewählten Reaktionsstrategie.
• Verantwortlich— Vollständiger Name des Projektteammitglieds, das für die Arbeit mit dem Risiko verantwortlich ist.

R 50.1.084-2012 Risikomanagement. Gefahrenregister. Leitfaden zur Erstellung eines organisatorischen Risikoregisters

Lesezeichen setzen

Lesezeichen setzen

Risikomanagement

GEFAHRENREGISTER

Leitfaden zur Erstellung eines organisatorischen Risikoregisters

Risikomanagement. Gefahrenregister. Richtlinien zum Aufbau eines Organisationsrisikoregisters

Datum der Einführung: 01.12.2013

Vorwort

1 ENTWICKELT Autonom gemeinnützige Organisation„Forschungszentrum für Kontrolle und Diagnostik technische Systeme" (ANO "NIC KD")

2 EINGEFÜHRT vom Technischen Komitee für Normung TC 10 „Risikomanagement“

3 GENEHMIGT UND IN KRAFT getreten durch Verordnung der Bundesagentur für technische Regulierung und Metrologie vom 29. November 2012 N 1283

4 ZUM ERSTEN MAL VORGESTELLT

Informationen über Änderungen dieser Empfehlungen werden im jährlichen Index „Leitdokumente, Empfehlungen und Regeln“ veröffentlicht, der Text der Änderungen und Ergänzungen im monatlichen Informationsindex „Nationale Standards“. Im Falle einer Überarbeitung (Ersetzung) oder Aufhebung dieser Empfehlungen wird die entsprechende Mitteilung im monatlichen Informationsindex „Nationale Standards“ veröffentlicht. Relevante Informationen, Hinweise und Texte werden ebenfalls veröffentlicht Informationssystem zur allgemeinen Verwendung - auf der offiziellen Website des Bundesamtes für Technische Regulierung und Metrologie im Internet

Einführung

Ein Risikoregister ist eine Möglichkeit, Informationen über gefährliche Ereignisse und Risiken darzustellen und zu speichern. Das Vorhandensein eines Risikoregisters ermöglicht es einer Organisation, Informationen über eine bestimmte Gefahrenquelle, Folgen, Einflussobjekt gefährlicher Ereignisse usw. zu erhalten. Allerdings muss ein Risikoregister erstellt werden, insbesondere wenn es ein solches gibt große Menge Gefahrenquellen erfordern viel Aufwand, Zeit, finanzielle Resourcen, sowie eine große Menge an Informationen.

Die Organisation stellt die Notwendigkeit fest, eigenständig ein Risikoregister zu entwickeln und zu führen.

3.2 Gefahrenregister(Risikoregister): Ein Formular zur Erfassung von Informationen über ein identifiziertes Risiko.

HINWEIS Der Begriff „Risikoprotokoll“ wird manchmal anstelle des Begriffs „Risikoregister“ verwendet.

3.3 Gefahr(Gefahr): Eine Quelle potenziellen Schadens.

HINWEIS Gefahren können eine Risikoquelle sein.

3.4 Risikomanager(Risikomanager): Spezialist für die Identifizierung, Bewertung, Analyse, Bearbeitung, Überwachung von Risiken sowie andere Tätigkeiten im Bereich des Risikomanagements einer Organisation.

4 Das Verfahren zur Erstellung des Risikoregisters einer Organisation

4.1 Allgemeine Bestimmungen

Die Organisation muss den Entwicklungsbedarf, die Phasen, die Form und die Methoden zur Führung eines Risikoregisters ermitteln. Die Hauptziele der Entwicklung des Risikoregisters einer Organisation, seine Stellung im Risikomanagementsystem sowie die Vor- und Nachteile des Risikoregisters sind in GOST R 51901.21 festgelegt.

Das Risikoregister einer Organisation ist eine Form der Aufzeichnung identifizierter gefährlicher Ereignisse, der Bewertung des entsprechenden Risikos, der Methoden und des Zeitpunkts seiner Verarbeitung. Bei der Führung eines Risikokatasters müssen die einschlägigen zwingenden Anforderungen sowie weitere verfügbare Informationen über die Art der Gefahren und das Risiko ihres Auftretens berücksichtigt werden. Abhängig von den Merkmalen der Organisation können Form und Inhalt des Risikoregisters gegenüber der in Tabelle 1 angegebenen Standardform des Risikoregisters geändert oder ergänzt werden GOST R 51901.22.

Bei der Entwicklung des Risikoregisters einer Organisation ist Folgendes zu berücksichtigen:

• die Risikomanagementpolitik, -ziele und -strategie der Organisation;
• Merkmale der von der Organisation hergestellten Produkte und bereitgestellten Dienstleistungen;
• Basic Herstellungsprozesse und organisatorische Managementprozesse;
• etablierte und genutzte Methoden der Risikoanalyse und -bewertung;
• rechtliche Anforderungen;
• Betriebsbedingungen der hergestellten Produkte.

Die Verantwortung für das Risikomanagement sollte dem zuständigen Risikomanager oder Risikomanagementteam übertragen werden, einschließlich der Verantwortung für die Steuerung und Überwachung des Risikos. Anforderungen an Risikomanager sind in GOST R 51901.21 festgelegt.

Die Entwicklung, Genehmigung, Pflege und Aktualisierung des Risikoregisters der Organisation muss gemäß Abschnitt 5 erfolgen GOST R 51901.22.

Der Austausch von Informationen über das Risikoregister und die Gewährleistung der Vertraulichkeit von Informationen im Zusammenhang mit dem Risikoregister müssen unter Berücksichtigung der Anforderungen von Abschnitt 6 von GOST R 51901.22 und der darin festgelegten Empfehlungen erfolgen R 50.1.070.

Ein Beispiel für eine vereinfachte Methode zur Risikobewertung und Entwicklung einer Kurzversion eines Risikoregisters für eine kleine Organisation ist in Anhang A aufgeführt.

4.2 Phasen des Risikomanagementprozesses der Organisation

Die Hauptschritte bei der Entwicklung des Risikoregisters einer Organisation sollten den Schritten im Risikomanagementprozess entsprechen. Gleichzeitig hängt der Inhalt der Phasen von den Merkmalen des Risikomanagements der Organisation ab. Die Grundsätze des Risikomanagements sind in GOST R ISO 31000 festgelegt. Die Hauptelemente des Risikomanagementprozesses für kleine Organisationen sind in Abbildung 1 dargestellt.

Abbildung 1 – Allgemeines Diagramm des Risikomanagementprozesses

Eine Beschreibung der Hauptelemente des Risikomanagementprozesses für kleine Organisationen finden Sie in R 50.1.069.

4.3 Prozesskarte des organisatorischen Risikomanagements

Basierend auf dem Risikomanagementprozess gemäß GOST R 51901.21 kann die Organisation eine Risikomanagementprozesskarte erstellen. Bei der Entwicklung einer Prozesslandkarte für kleine Organisationen wird empfohlen, die grundlegenden Elemente des Risikomanagements (Erkennung gefährlicher Ereignisse, Quantifizierung Risiko, Analyse und vergleichende Risikobewertung, Risikobehandlung, Überwachung und Überprüfung), während ihr Inhalt je nach den Merkmalen der Aktivitäten der Organisation geklärt werden kann.

4.4 Entwicklung eines Risikoregisters einer Organisation

4.4.1 Allgemeines

Die Ergebnisse der in jeder Phase des Risikomanagementprozesses durchgeführten Maßnahmen sollten im Risikoregister dargestellt werden. Regeln für die Erstellung eines Risikoregisters finden Sie in GOST R 51901.22. Die Standardform des Risikoregisters ist in Tabelle 1 GOST R 51901.22 angegeben.

Die Verteilung der Verantwortlichkeiten für die Entwicklung und Pflege des Risikoregisters der Organisation sollte den Phasen des Risikomanagementprozesses entsprechen, da die Eingabe von Informationen in das Risikoregister und deren Anpassung nach Abschluss jeder Phase des Risikomanagementprozesses erfolgen sollte.

Die Hauptphasen der Entwicklung des Risikoregisters einer Organisation werden in den Abschnitten 4.4.2-4.4.6 beschrieben.

4.4.2 Festlegung von Zweck und Umfang des Risikoregisters

Die Organisation muss externe und interne Organisations- und Risikomanagementziele festlegen, um die verbleibenden Elemente des Risikomanagementprozesses zu erreichen. Empfehlungen zur Festlegung des Umfangs des Risikomanagements finden Sie in R 50.1.068.

Bei der Festlegung der Ziele und des Umfangs des Risikoregisters werden zunächst die Gegenstände des Risikoregisters festgelegt. Objekte des Risikoregisters können sein:

• die Organisation als Ganzes strukturelle Unterteilung oder ein Teil davon;
• Produkt, Dienstleistung, Prozess oder Aktivität;
• Mitarbeiter oder einzelne Mitarbeiter.

Allgemeine Anforderungen Zur Bestimmung des Anwendungsbereichs des Risikoregisters sind in GOST R 51901.21 festgelegt.

4.4.3 Entwicklung von Risikokriterien

Die Organisation muss Risikokriterien festlegen. Die Kriterien sollten die Ziele und den Umfang widerspiegeln. Sie hängen häufig von den Interessen der beteiligten Parteien sowie relevanten rechtlichen und/oder behördlichen Anforderungen ab. Risikokriterien können betrieblicher, technischer, finanzieller, rechtlicher, gesetzgeberischer, sozialer, ökologischer, humanitärer und/oder anderer Natur sein.

allgemeine Beschreibung Bei der Festlegung des Umfangs des Risikomanagements sollten Entscheidungskriterien entwickelt werden. Risikokriterien sollten geklärt und/oder überarbeitet werden, nachdem eine bestimmte Art von Risiko identifiziert und eine Methode zur Risikoanalyse ausgewählt wurde. Risikokriterien müssen der Art des Risikos und seiner Darstellung angemessen sein.

Risikokriterien sind normalerweise im Risikoregister der Organisation enthalten, bei kleinen Organisationen können Risikokriterien jedoch in den dokumentierten Verfahren oder anderen Risikomanagementdokumenten der Organisation festgelegt werden.

4.4.4 Identifizierung gefährlicher Ereignisse

Die Identifizierung gefährlicher Ereignisse sollte die Identifizierung von Phänomenen und Ereignissen umfassen, die sich auf die im Rahmen des Risikoregisters eingerichteten Objekte des Risikoregisters auswirken können. Allgemeine Anforderungen zur Identifizierung gefährlicher Ereignisse zur Aufnahme in das Risikoregister sind in Abschnitt 4.2 festgelegt GOST R 51901.21.

Für kleine, kleine Organisationen kann die Identifizierung gefährlicher Ereignisse aus drei Phasen bestehen:

• Festlegung von Risikoidentifizierungsmethoden;
• Identifizierung gefährlicher Ereignisse;
• Ermittlung der Ursachen eines gefährlichen Ereignisses.

Die Organisation muss zunächst Methoden zur Risikoerkennung festlegen. Bei der Risikoerkennung können folgende Methoden eingesetzt werden: Analyse von Checklisten, Experteneinschätzungen, Analyse experimenteller und chronologischer Daten, Analyse Blockdiagramm Zuverlässigkeit, Brainstorming-Methode, Systemanalyse, Szenarioanalyse, Systementwurfsmethoden. Diese Methoden werden in GOST R ISO/IEC 31010 ausführlicher besprochen. Die Wahl der Methode hängt von der Art des Risikos, dem Umfang und den Zielen des Risikomanagements der Organisation sowie den angewandten und erforderlichen Kontrollen und den Risikomanagementmethoden der Organisation ab.

Methoden zur Risikoidentifizierung sind normalerweise im Risikoregister der Organisation enthalten. Bei kleineren Organisationen können Methoden zur Risikoidentifizierung jedoch in den dokumentierten Verfahren oder anderen Risikomanagementdokumenten der Organisation definiert sein.

Der nächste Schritt ist die Identifizierung gefährlicher Ereignisse, bei der die Organisation eine allgemeine Liste gefährlicher Ereignisse erstellen muss, die sich negativ auf ihren Betrieb und das Erreichen ihrer Ziele auswirken könnten. Auf der Grundlage der Liste sollte jedes identifizierte gefährliche Ereignis, das auftreten könnte, detailliert beschrieben werden. Bei der Erstellung einer Liste gefährlicher Ereignisse kann die in Anhang A angegebene Gefahrenklassifizierung verwendet werden GOST R 51901.21.

Der Name des gefährlichen Ereignisses muss in einer klaren Formulierung formuliert werden. Für ein Gefahrenereignis, dessen Name ausreichend lang ist, kann ein Kurzname verwendet werden.

Sobald mögliche gefährliche Ereignisse identifiziert wurden, müssen die Quellen und Ursachen ihres Auftretens berücksichtigt werden mögliche Konsequenzen für die Aktivitäten der Organisation.

Gefährliche Ereignisse, deren Ursachen und mögliche Folgen werden im Risikoregister der Organisation (unabhängig von deren Größe) erfasst.

Bei der Durchführung der Gefahrenerkennungsphase wird empfohlen, die Anforderungen von GOST R 51901.23 zu berücksichtigen.

4.4.5 Risikoanalyse

Allgemeine Anforderungen an die Risikoanalyse gefährlicher Ereignisse zur Aufnahme in das Risikoregister sind in Abschnitt 4.3 von GOST R 51901.22 festgelegt.

Bei der Risikoanalyse werden die Ursachen gefährlicher Ereignisse, ihre Folgen und die Eintrittswahrscheinlichkeit dieser Ereignisse untersucht. Gleichzeitig müssen auch Faktoren identifiziert werden, die die Folgen und die Wahrscheinlichkeit des Ereignisses beeinflussen. Das Risiko muss unter Berücksichtigung der Kombination aus den Folgen des Ereignisses und seiner Wahrscheinlichkeit analysiert werden. Darüber hinaus muss die Organisation ihre Kontrollen und Managementpraktiken überprüfen und bewerten. Das Ausmaß der Folgen eines Ereignisses und seine Wahrscheinlichkeit müssen unter Berücksichtigung der Wirksamkeit bestehender Strategien, Kontrollen und Managementpraktiken beurteilt werden.

Die Risikoanalyse einer Organisation kann je nach den Merkmalen des Risikos, dem Zweck der Analyse sowie den verfügbaren Daten und Ressourcen unterschiedlich detailliert durchgeführt werden. Die Risikoanalyse kann qualitativ, quantitativ oder eine Kombination davon sein. Bei kleinen Organisationen wird die qualitative Analyse typischerweise verwendet, um eine Gesamtrisikobewertung zu erhalten und Risikoprobleme zu identifizieren. Wenn die Organisation entscheidet, dass eine weitere detaillierte Analyse erforderlich ist, können quantitative oder kombinierte Risikoanalysemethoden angewendet werden. Eine Beschreibung dieser Arten der Risikoanalyse finden Sie in R 50.1.069 und GOST R ISO/IEC 31010.

Die Mittel zur Darstellung der Folgen und Eintrittswahrscheinlichkeiten von Ereignissen im Risikoregister sollten so gewählt werden, dass die Ziele der Risikoanalyse erreicht werden.

Bei der Risikoanalyse müssen Unsicherheit und Variabilität bei der Einschätzung der Folgen und der Wahrscheinlichkeit eines Ereignisses sowie die Wirksamkeit der Risikokommunikation berücksichtigt werden. Bei der Eingabe quantitativer Daten in das Risikoregister sollte (wenn möglich) die entsprechende Unsicherheit angegeben werden.

4.4.6 Vergleichende Risikobewertung

Allgemeine Anforderungen an die vergleichende Risikobewertung zur Aufnahme in das Risikoregister sind in Abschnitt 4.4 festgelegt GOST R 51901.22.

Der Zweck einer vergleichenden Risikobewertung einer kleinen Organisation besteht darin, auf der Grundlage der Ergebnisse der Risikoanalyse und der Risikoakzeptanzkriterien Entscheidungen über die Notwendigkeit einer Risikobehandlung und die Priorisierung der Risikobehandlung zu treffen.

Bei der Durchführung einer vergleichenden Risikobewertung sollten Sie sich an den Anforderungen von GOST R 51901.23 orientieren.

Die Ergebnisse der vergleichenden Risikobewertung werden in der Regel im Risikoregister der Organisation erfasst, sofern in den dokumentierten Verfahren der Organisation oder anderen Risikomanagementdokumenten nichts anderes angegeben ist.

4.4.7 Risikobehandlung

Allgemeine Anforderungen an die Risikobehandlung zur Aufnahme in das Risikoregister sind in Unterabschnitt 4.5 von GOST R 51901.22 festgelegt.

In der Risikobehandlungsphase wird eine Risikobehandlungsstrategie ausgewählt, die Folgen, die Wahrscheinlichkeit eines gefährlichen Ereignisses und das Risiko werden bewertet (unter Berücksichtigung der Anwendung der ausgewählten Risikobehandlungsstrategie), Risikobehandlungsmaßnahmen, Fristen und die dafür Verantwortlichen Die Umsetzung wird festgelegt und die Ergebnisse der Risikobehandlung bewertet.

Für kleine Organisationen sind obligatorische Elemente des Risikoregisters im Zusammenhang mit der Risikobehandlungsphase die Definition von Risikobehandlungsmaßnahmen sowie der Zeitpunkt ihrer geplanten und tatsächlichen Umsetzung.

Normalerweise ist das Risikobehandlungsbudget einer kleinen Organisation begrenzt, daher müssen die Behandlungsmethoden auch die Reihenfolge festlegen, in der jedes Risiko behandelt wird. Die Organisation sollte die Gesamtkosten eines gefährlichen Ereignisses, das eintritt, wenn keine Maßnahmen ergriffen werden, mit den Einsparungen vergleichen, die nach der Behandlung des Risikos und der Anwendung vorbeugender Maßnahmen erzielt werden.

4.4.8 Risikoüberwachung und Überarbeitung des Risikoregisters

Allgemeine Anforderungen an die Risikoüberwachung und Überarbeitung des Risikoregisters sind in Abschnitt 4.6 festgelegt GOST R 51901.22.

Die Organisation muss die Kontinuität des Risikomanagementprozesses sicherstellen. Daher ist es notwendig, alle Arten von Risiken regelmäßig zu überwachen und Einträge im Risikoregister zu überprüfen.

Die Ergebnisse der Risikoüberwachung werden normalerweise im Risikoregister der Organisation aufgezeichnet, bei kleinen Organisationen können diese Ergebnisse jedoch in den dokumentierten Verfahren der Organisation oder anderen Risikomanagementdokumenten definiert werden.

Anhang A
(informativ)

Ein Beispiel für eine vereinfachte Methode zur Risikobewertung und Entwicklung einer Kurzversion eines Risikoregisters für eine kleine Organisation

A.1 Allgemeine Bestimmungen

Aufbau und Zusammensetzung des Risikoregisters richten sich nach den Besonderheiten der Organisation. Die Standardform des Risikoregisters ist in GOST R 51901.22 angegeben. Kleine Organisationen können eine abgekürzte (vereinfachte) Form des Risikoregisters verwenden, ein Beispiel dafür ist in Tabelle A.1 aufgeführt.

Tabelle A.1 – Vereinfachte Form des Risikoregisters

Beim Ausfüllen des Risikoregisters können folgende Skalen verwendet werden:

Ausmaß der Folgen: 5 – katastrophale Folgen, 4 – erhebliche Folgen, 3 – mäßige Folgen, 2 – kleine Folgen, 1 – geringe Folgen;

Wahrscheinlichkeitsskala eines gefährlichen Ereignisses: 5 – sehr hohe Wahrscheinlichkeit, 4 – hohe Wahrscheinlichkeit, 3 – mittlere Wahrscheinlichkeit, 2 – niedrige Wahrscheinlichkeit, 1 – sehr niedrige Wahrscheinlichkeit;

Risikobewertung: akzeptables Risiko (0–4), kontrolliertes Risiko (5–8), erhebliches Risiko (9–25);

Risikobehandlungsmaßnahmen: (0) Es besteht kein Risiko, es werden keine Maßnahmen ergriffen; (0-4) geringes Risiko, es werden nur kostengünstige Maßnahmen ergriffen; (5-8) mittleres Risiko, Maßnahmen werden unter Berücksichtigung des Zeitpunkts ihrer Umsetzung und der wirtschaftlichen Machbarkeit ergriffen; (9-25) hohes Risiko, dringende Umsetzung von Maßnahmen zur Risikominderung erforderlich; (16-25) hohes Risiko, Einsatz von Sofortmaßnahmen (Notfallmaßnahmen) zur Risikominderung.

A.2 Risikomatrix

A.2.1 Allgemeines

Die Methode zur Bewertung des Risikos gefährlicher Ereignisse ist in GOST R 51901-23* angegeben, kleine Organisationen können jedoch vereinfachte Risikobewertungsmethoden verwenden und die Unsicherheit solcher Risikobewertungen muss berücksichtigt werden.

________________

*Wahrscheinlich ein Fehler im Original. Sollte lesen: GOST R 51901.23. - Hinweis des Datenbankherstellers.

Kleine Organisationen können eine Risikomatrix verwenden, um die Bedeutung eines Risikos einzuschätzen. Für eine systematische und konsistente Risikobewertung ist die Entwicklung einer Risikomatrix nach folgenden Schritten erforderlich:

• Einschätzung der Wahrscheinlichkeit eines gefährlichen Ereignisses (A.2.2);
• Einschätzung der Folgen eines gefährlichen Ereignisses (A.2.3);
• Erstellung einer Risikomatrix (A.2.4);
• Festlegung von Risikobehandlungsmaßnahmen (A.2.5).

Dieses Beispiel zeigt die einfachste Version der Risikomatrix. Abhängig von den Bedingungen der Risikobewertung kann eine Organisation ihre eigene Risikomatrix entwickeln.

A.2.2 Einschätzung der Wahrscheinlichkeit eines gefährlichen Ereignisses

In einer kleinen Organisation muss der Risikomanager je nach Gegenstand des Risikoregisters die Frage beantworten, wie hoch die Wahrscheinlichkeit ist, dass ein gefährliches Ereignis eintritt, wenn er die festgelegten Kontrollen und Methoden zur Steuerung von Risikominderungsmaßnahmen anwendet. In diesem Fall können Sie Tabelle A.2 verwenden.

Tabelle A.2 – Bewertung der Wahrscheinlichkeit eines gefährlichen Ereignisses

Bestehen Zweifel an der Einschätzung der Eintrittswahrscheinlichkeit eines gefährlichen Ereignisses, wird die Gefährdungseinstufung des Ereignisses erhöht.

A.2.3 Abschätzung der Folgen eines gefährlichen Ereignisses

Abhängig vom Wirkungsbereich des gefährlichen Ereignisses muss der Risikomanager die Folgen des gefährlichen Ereignisses im Rahmen bestehender Kontrollen, Managementpraktiken und Risikominderungsaktivitäten bewerten. Hierzu können Sie Tabelle A.3 verwenden.

Tabelle A.3 – Bewertung der Folgen eines gefährlichen Ereignisses

Bestehen Zweifel an der Beurteilung der Folgen eines gefährlichen Ereignisses, so wird der Rang dieses Ereignisses erhöht.

A.2.4 Erstellung einer Risikomatrix

In diesem Beispiel wird die einfachste Methode der Risikobewertung verwendet – qualitative Beurteilung Folgen und Wahrscheinlichkeit eines gefährlichen Ereignisses. In diesem Fall berechnet sich das Risiko als Produkt aus Folgen und Wahrscheinlichkeit:

Die Rangfolge der Konsequenzen und Wahrscheinlichkeiten wird gemäß den Tabellen 2 und 3 ermittelt.

Die gewonnenen Ergebnisse ermöglichen die Erstellung einer Risikomatrix (Tabelle A.4), die als Grundlage für die Identifizierung akzeptabler und inakzeptabler Risiken dienen kann.

Tabelle A.4 – Risikomatrix

Zur besseren Übersichtlichkeit im Risikoregister kann die Risikobewertung farblich hervorgehoben werden:

grüne Farbe - akzeptables Risiko (0-4);

gelbe Farbe – kontrolliertes Risiko (5-8);

rote (dunkelrote) Farbe – ernstes und erhebliches Risiko (9-25).

Identifizierte Risikoarten können sowohl abteilungsintern als auch unternehmensweit eingestuft werden. Das Ranking basiert auf einer Risikomatrix (dem Produkt aus Folgen und Wahrscheinlichkeit) und ermöglicht die Identifizierung der bedeutendsten Risiken.

A.2.5 Definition von Risikobehandlungsstrategien und -maßnahmen

Abhängig von der Risikobewertung (siehe Tabelle A.4) sollten die zu ergreifenden Maßnahmen für jedes im Risikoregister erfasste Risiko festgelegt werden. Tabelle A.5 enthält ein Beispiel für Maßnahmen, die auf der Grundlage der Risikobewertung ergriffen wurden.

Tabelle A.5 – Beispiele für ergriffene Maßnahmen unter Berücksichtigung der Risikobewertung

Aktivitäten zur Risikominderung oder Risikobehandlung können in das Risikoregister aufgenommen und/oder als separates Dokument entwickelt werden. In diesem Fall muss im Risikoregister ein Link zu diesem Dokument bereitgestellt werden. Im dargestellten Beispiel sind Risikobehandlungsaktivitäten im Risikoregister enthalten.

A.3 Zusätzliche Bestimmungen

Da das Risikoregister ständig aktualisiert wird, ist es notwendig, die Daten der Risikoeinträge und aller vorgenommenen Änderungen zu erfassen. Wenn der Maßnahmenplan in das Risikoregister aufgenommen wird, müssen der Zweck und der Zeitrahmen für die Durchführung der im Plan enthaltenen Maßnahmen aufgezeichnet werden.

In der Spalte „Kommentare“ bzw. „Hinweise“ im Risikoregister können Sie darauf verweisen notwendige Informationen, zum Beispiel die Abhaltung einer Sitzung, bei der die Probleme dieses Risikos besprochen wurden.