Registro de principales riesgos operacionales. Registro de los principales riesgos operativos de la gestión de la producción en la ciudad de Tyumen a partir del año. Guía para crear un registro de riesgos organizacionales

El riesgo viene con cualquier actividad empresarial.

En el proceso de implementación del proyecto, actividades operativas, actividades de inversión y actividades financieras. Todas las actividades están asociadas a los riesgos típicos de cualquier proyecto de inversión.

Una PI puede prever ciertos mecanismos de estabilización que aseguren la protección de los participantes de la PI en caso de un cambio desfavorable en las condiciones para su implementación, medidas para reducir el nivel de riesgos y compensarlos. Si hablamos de riesgos internos, entonces es posible reducir el grado del riesgo en sí mismo (debido a los costos adicionales para crear reservas y existencias, mejorar las tecnologías y reducir la tasa de accidentes de producción, debido a los incentivos materiales para mejorar la calidad del producto, creando capacidades de reserva, etc.) introducción de IS, es posible reducir el grado de riesgo debido a incentivos materiales para los empleados del servicio de TI y otros empleados involucrados en trabajar con el nuevo IS, así como debido a los costos adicionales para crear reservas y existencias, realización de operaciones de prueba de IS, etc.

El uso de cualquier mecanismo de estabilización requiere costos adicionales, cuyo monto depende de las condiciones para la implementación del proyecto, los intereses de sus participantes y las evaluaciones del grado de riesgo. Es necesario tener en cuenta diferentes valores de la prima de riesgo según los objetivos del proyecto y los factores que influyen en su implementación. Cuanto mayor sea el proyecto de implementación (por ejemplo, el proyecto de implementación de propiedad intelectual corporativa), mayor será el nivel de riesgo.

Todos los riesgos asociados con la implementación de la PI, según las fuentes de ocurrencia y las posibilidades de eliminación, se pueden dividir en externos (objetivos, sistemáticos o no diversificables) e internos (subjetivos, no sistemáticos o diversificables).

Los riesgos externos e internos están interrelacionados.

Riesgos externos no dependen de una empresa en particular o empresario individual. Estos riesgos están presentes en todas las etapas de la implementación de la PI. Surgen como resultado de eventos externos que afectan el mercado en su conjunto, afectan los ingresos de todas las empresas para toda la PI y no pueden eliminarse por completo mediante la diversificación.

Los riesgos externos incluyen: riesgos políticos, legislativos, macroeconómicos, de desastres naturales (riesgos de fuerza mayor). A menudo, el riesgo país se incluye en la tasa de descuento para tener en cuenta los riesgos externos.

Riesgos internos causados por factores específicos de una determinada empresa o empresario individual. Estos riesgos afectan los ingresos de las empresas individuales por propiedad intelectual individual y difieren en las diferentes etapas de la propiedad intelectual. Pueden eliminarse en gran medida mediante la diversificación.

Para IP, los factores específicos que provocan la aparición de riesgos internos incluyen los siguientes:

exceder los plazos para la puesta en funcionamiento del SI, el presupuesto de ejecución;

un aumento significativo en la implementación de SI;

cambio en la necesidad de adquisición de software y hardware, falta de recursos humanos, etc.;

interrupciones en el suministro de hardware comprado, falta de consultores involucrados o el nivel de su competencia;

pérdida de contratos como resultado de una depuración incorrecta o interrupciones en el funcionamiento del SI;

accidentes y fallos en el funcionamiento del hardware o software, etc.

Sobre una base estructural, los riesgos internos incluyen:

1 riesgos de propiedad asociados con la probabilidad de pérdida de la propiedad de una empresa o empresario individual por diversas razones (debido a robo, incendio, negligencia);

2 riesgos de producción asociados a pérdidas por paralización de la producción por diversos factores, y sobre todo daños al capital fijo y circulante, así como riesgos asociados a la introducción de nuevos equipos y nuevas tecnologías en la producción (por ejemplo, la introducción de nuevos SI );

3
riesgos comerciales asociados a pérdidas por retraso en los pagos, negativa a pagar durante el período de transporte de mercancías, falta de entrega de materias primas y componentes o su entrega con desviación de las fechas previstas, etc.;

4 riesgos financieros asociados con la probabilidad de pérdida de recursos financieros debido a la inversión irracional de capital.

En las diferentes fases de la implementación de la PI para la implementación de la PI, existen varios riesgos internos.

Considere los errores típicos que ocurren en la etapa de toma de decisiones sobre la implementación de SI.

1 Débil elaboración de la estrategia de automatización (la empresa no tiene una estrategia de TI coherente a largo plazo correspondiente a la escala y tasa de crecimiento de su negocio).

2 Fascinación por las tendencias de moda en relación con determinados productos a la hora de elegir IP.

3 La búsqueda de un ideal que responda perfectamente a las especificidades de la empresa.

4 Cabildeo para la introducción de la propiedad intelectual por parte de una de las divisiones de la empresa; el resultado puede ser una discrepancia entre el sistema y las necesidades de otras divisiones clave.

5 Compilación incorrecta de la tarea de licitación: la tarea no se compila de acuerdo con los requisitos clave para IP, sino simplemente recopilando y resumiendo las solicitudes de todos los departamentos. Este enfoque, por regla general, tiene en cuenta solo los requisitos actuales de los departamentos y no los objetivos estratégicos de la empresa en su conjunto.

El error más común al elegir IP: entusiasmo por el aspecto técnico de las cosas en detrimento de la conveniencia funcional, dictada por los objetivos finales de implementación. Para que la evaluación no sea unilateral, es necesario desde el principio involucrar a los empleados de los departamentos "sujetos", así como a los altos directivos de la empresa, en la elección del sistema.

En la etapa de implementación Los riesgos más significativos del proyecto son los siguientes.

1 La falta de preparación de la alta dirección de la empresa para los cambios en los procesos de negocio de la empresa y la estructura organizativa.

2 Selección fallida de consultores externos para el proyecto (basada en el principio de costo mínimo o basada en alianzas con un proveedor de software específico). Al elegir un contratista de proyecto, un consultor, se deben observar los siguientes criterios: profesionalismo, confiabilidad y previsibilidad de los resultados.

3 El impacto del factor humano en el proceso de implementación del proyecto (cambios en la tecnología, procedimientos y formatos de trabajo, la necesidad de tener en cuenta la reacción de los empleados a la implementación).

4 Delegación de la gestión clave y poderes ejecutivos al departamento de TI. El equipo del proyecto debe incluir necesariamente empleados clave de todos los departamentos "sujetos", quienes luego trabajarán con el sistema implementado.

Cabe señalar que las recomendaciones para superar las dificultades en la implementación y operación de SI deben desarrollarse en función de las características específicas de una empresa en particular. En primer lugar, la dirección de la empresa y del servicio de TI debe ser consciente de que, en el futuro, la empresa deberá realizar esfuerzos constantes para mejorar los SI. La transición del "modo de diseño" de operación a la fase de mejora y modificación es un problema importante para algunas empresas, cuya solución requiere un estudio y una planificación cuidadosos. Una tarea importante en la investigación de riesgos es determinar la etapa en la que es más probable que ocurra un riesgo en particular.

En la etapa de implementación comienzan a manifestarse plenamente los riesgos inherentes a las etapas previas del proyecto, los denominados riesgos de puesta en escena. También se complementan con riesgos "transversales", que se realizan en casi todas las etapas del proyecto. Los transversales incluyen, en primer lugar, los riesgos políticos internos; a menudo, un proyecto para introducir la PI sirve como palanca de la lucha política en una empresa. Si el proyecto afecta los intereses vitales de grandes equipos y altos directivos que controlan la propiedad, los bienes y los flujos de efectivo, incluso con una planificación y organización de implementación ideales, pueden surgir problemas importantes.

También existe un riesgo transversal asociado a la distribución de la carga de trabajo entre el cliente y el consultor. La proporción de trabajo realizado por consultores debería disminuir durante el proyecto, de lo contrario, la empresa cliente tendrá dificultades para seguir operando el SI sin consultores. El proyecto también puede desarrollarse mal debido a la influencia del factor humano (resistencia del personal, fatiga psicológica del proyecto), así como debido a las comunicaciones ineficientes establecidas dentro de la empresa.

El rechazo del proyecto por parte del personal, por regla general, surge de la falta de información: la gerencia de la empresa no está al tanto de lo que está haciendo el equipo del proyecto y los empleados no ven el punto de implementación en todo. La actitud negativa del personal se puede superar con un trabajo explicativo oportuno y regular, que debe ser responsabilidad de los miembros del equipo del proyecto.

Después de la finalización del proyecto, comienzan a aparecer riesgos a largo plazo que impiden el uso efectivo y un mayor desarrollo de la PI en la empresa. Los principales riesgos de largo plazo son generados por un apoyo inadecuado a los cambios externos e internos. Un riesgo importante a largo plazo está asociado con el factor humano: el final de la participación en el proyecto de consultores. Además, existe el riesgo de una violación de la seguridad de la información, una posible fuga de información comercial de la empresa.

El liderazgo entre los riesgos a largo plazo (tanto en términos de la severidad del daño como de la complejidad de minimizarlo) pertenece a factores asociados a la reorganización de la empresa, así como a la pérdida de flexibilidad en los procesos de negocio.

Sin embargo, los riesgos a largo plazo tienen un impacto secundario en el ciclo de vida de la PI. En primer lugar, es necesaria una planificación competente y una implementación exitosa de la PI.

El objetivo de describir los riesgos de los proyectos de TI es identificar estos riesgos por adelantado y tomar un conjunto de medidas preventivas antes del inicio del proyecto. Es aconsejable señalar las principales medidas destinadas a prevenir la aparición situaciones de riesgo en proyectos TI:

1 documentación obligatoria de los objetivos del proyecto, así como todos los cambios en la documentación del proyecto que surjan durante su ejecución;

2 aumentar la motivación de los empleados a través de incentivos económicos;

3 participación de especialistas calificados de terceros;

4 formación de los miembros del equipo y de la alta dirección de la empresa en la metodología de gestión de proyectos, etc.

Entre los riesgos típicos de toda implementación de PI, se pueden distinguir los siguientes:

1 riesgos de diseño al crear un sistema (integrado en el diseño de SI);

2 riesgos organizacionales (incluyen el impacto del factor humano en el proceso de implementación y operación de SI, como resultado - interpretación incorrecta de los datos procesados usando SI);

3 riesgos técnicos como tiempo de inactividad, fallas, pérdida o corrupción de datos, etc.;

4 riesgos de pérdida de negocio (riesgos de negocio) asociados a la operación del sistema (derivados de riesgos técnicos).

Los riesgos del proyecto aparecen en la etapa de diseño o entrega de SI. Estos pueden incluir, por ejemplo, el riesgo de obsolescencia de cierto software o soluciones técnicas, así como los riesgos de demora en la entrega de componentes de SI. Sin embargo, dado el tiempo relativamente corto requerido para el suministro e implementación de SI, así como las condiciones para la implementación de tales proyectos, donde, por regla general, todas las cuestiones relacionadas con el suministro y la implementación las decide una empresa proveedora, la probabilidad de tales riesgos es baja.

Es posible estimar el costo de los riesgos organizacionales por medios expertos. Muchos de los riesgos organizacionales, con suficiente probabilidad de ocurrencia, pueden reducir a cero todo el efecto de la automatización o incluso revelar el daño de la automatización, por lo que su análisis debe abordarse con especial cuidado.

Los riesgos organizacionales más obvios incluyen los siguientes.

1 Sabotaje del personal. Este riesgo anula todos los esfuerzos por introducir la PI. Puede surgir por muchas razones: por ejemplo, el miedo a perder un trabajo debido a la reducción de personal planificada, el deseo de ocultar los resultados reales del trabajo de un empleado, para evitar revelar la incompetencia, etc.

2 Conclusiones erróneas basadas en el análisis de los datos obtenidos como resultado de la operación del SI, es decir. interpretación incorrecta de los datos procesados en el SI.

3 Transferencia de información acumulada en el sistema a los competidores como consecuencia de robo o traición por parte del personal, etc.

El trabajo planificado del servicio de TI de la empresa, así como el departamento de planificación y desarrollo estratégico, debe incluir el desarrollo de recomendaciones para reducir los riesgos del proyecto de implementación de IP. También es necesario llevar a cabo una operación de prueba de IS, trabajar con consultores calificados y proveedores de equipos confiables, e incluir en la estimación preliminar de costos para el proyecto de implementación de IS pagos adicionales a los empleados involucrados en trabajar con IS. Los factores importantes para minimizar los riesgos también son: la actitud atenta de la alta dirección a la PI en la implementación de la PI y el desarrollo preliminar de una estrategia general para la automatización empresarial

Por el momento, no existe una clasificación única de los riesgos de los proyectos empresariales. Sin embargo, se pueden identificar los siguientes riesgos principales inherentes al proyecto de apertura y desarrollo de un centro de formación empresarial.

Dado que no es recomendable considerar todos los riesgos de crear software en esta etapa de apertura de una empresa "It - progreso", es necesario analizar los riesgos de abrir una empresa dedicada al desarrollo y venta de software.

Tabla 2.1 - Riesgos de abrir una empresa desarrolladora software

tipo de riesgo	Factores de riesgo	Posibles razones	Consecuencias probables
El riesgo de aumentar el costo estimado del proyecto	Errores de diseño; Uso ineficiente de los recursos; Cambiar las condiciones para la ejecución del proyecto.	Desarrollo insuficiente del proyecto Inconsistencia del trabajo en la implementación del proyecto Cambios en la legislación en la industria de desarrollo de proyectos de software.	Déficit de ingresos
El riesgo de mala calidad del trabajo del objeto del proyecto.	Errores en la planificación de proyectos; Errores de diseño; Incumplimiento de obligaciones por parte del contratista y proveedores.	Imposibilidad técnica de producción de productos necesarios para la empresa;	Aumentar el costo del proyecto. Déficit de ingresos
Riesgo científico y técnico:	Resultados negativos de la I+D fundamental y aplicada;	Bajas posibilidades tecnológicas de producción. Incumplimiento del personal con los requisitos profesionales del proyecto. Desviaciones en términos de implementación de las etapas de diseño; La aparición de problemas científicos y técnicos imprevistos.	Aumentar el costo del proyecto. Déficit de ingresos
Riesgos soporte legal proyecto	Elección incorrecta de los mercados territoriales para la protección de patentes; Protecciones de patentes insuficientemente “densas”; Falta de obtención o retraso en la protección de patentes; Limitación en términos de protección de patentes; Caducidad de las licencias de ciertos tipos actividades; - "fuga" de soluciones técnicas individuales; Aparición de competidores protegidos por patentes.	imperfección sistema legal(falta de regulación legal suficiente, inconsistencia de la legislación, su susceptibilidad a los cambios, La imposibilidad de resolver determinados temas mediante negociaciones y, en consecuencia, el recurso de la organización al poder judicial para resolverlos; Violaciones por parte de clientes y contrapartes de la organización de los términos de los contratos;	Aumentar el período de recuperación del proyecto. Déficit de ingresos

Continuación de la tabla 2.1

tipo de riesgo

Factores de riesgo

Posibles razones

Consecuencias probables

Riesgos oferta comercial

Inconsistencia de la estrategia de mercado de la empresa con las condiciones existentes;

Falta de proveedores de los recursos y componentes necesarios;

Incumplimiento por parte de los proveedores de las obligaciones sobre plazos y calidad de las entregas.

Negativa de proveedores tradicionales de la celebración de contratos;

Condiciones inaceptables de los contratos para la empresa (incluidos los precios);

La transición de proveedores tradicionales a la producción de otros productos;

Imposibilidad de comprar en el mercado mundial debido a la complejidad de la legislación aduanera, falta de moneda

Aumentar el costo del proyecto.

Aumentar el período de recuperación del proyecto.

Déficit de ingresos

Violación de obligaciones contractuales

riesgo de comercialización

Disminución del volumen de ventas

Disminución en el precio de los bienes.

Estudio insuficiente de las necesidades del mercado.

Rechazo del mercado de un nuevo producto.

Demasiado optimista sobre las ventas futuras

Falta de las tradiciones necesarias y un sistema de pronóstico continuo del entorno del mercado en la empresa;

Incapacidad para llevar a cabo un seguimiento del mercado;

Falta de una metodología efectiva para predecir el comportamiento de las entidades del mercado, así como los factores meso y macroeconómicos.

Aumentar el costo del proyecto.

Aumentar el período de recuperación del proyecto.

Déficit de ingresos

Riesgo económico

Recesión general de la economía estatal;

tasa de inflación;

Cambios en impuestos, pago de impuestos;

Cambios en el tipo de cambio;

Cambio en las condiciones económicas para la ejecución del proyecto.

Aumento de las tasas de impuestos

Crecimiento de los costos y precios de las primas en el mercado interno

Aumentar el costo del proyecto.

Aumentar el período de recuperación del proyecto.

Déficit de ingresos

riesgos que se consideran importantes para el proyecto, mientras que no se permite la discusión de los riesgos planteados. A continuación, los riesgos se clasifican en categorías y se especifican.

método Delfos similar al método lluvia de ideas, pero sus participantes no se conocen entre sí. El facilitador utiliza una lista de preguntas para obtener ideas sobre los riesgos del proyecto, recopila respuestas de expertos. Además, las respuestas de los expertos se analizan, categorizan y devuelven a los expertos para comentarios adicionales. El consenso y lista de riesgos se obtiene a través de varios ciclos de este proceso. El método Delphi elimina la presión de los compañeros y el miedo a pasar vergüenza a la hora de expresar una idea.

Tabla 5.7. Plantilla de registro de riesgos

IDENTIFICACIÓN DE RIESGO
№	fecha ocurrencia riesgo	fecha registro riesgo	Nombre y descripción riesgo	Iniciador	Causas	Consecuencias	dueño del riesgo	Fecha de vencimiento del riesgo
.
.

Tabla 5.8. Un ejemplo de llenado de un registro de riesgos (simplificado)

causa principal

Condición

Consecuencia

inseguridad del personal

se puede combinar Tabla 5.9. Un ejemplo de cómo completar un registro de riesgo extendido

tipo de riesgo	Descripción del riesgo	Medidas proactivas	Medidas reactivas	Probabilidad	Consecuencias	factor de riesgo
Tecnológico	El cliente puede retrasar el lanzamiento del producto debido a los constantes cambios y adiciones a los requisitos del producto.	Divida los requisitos en "absolutamente necesarios" y "sería bueno tenerlos", cumpla solo los requisitos absolutamente necesarios antes de iniciar el sistema Asegúrese de que la gerencia del cliente comprenda y apoye el enfoque, que las solicitudes de cambio se ejecutarán después de que se complete el trabajo principal, siempre que sea posible	Discutir los cambios en el momento de la puesta en servicio del sistema debido al volumen acumulado de cambios para garantizar el nivel requerido de calidad del producto final.	8	6	48
Financiero	El cliente insiste en corregir todos los errores sin cargo (en este caso, estamos hablando solo de aquellos puntos que también podemos reconocer como errores), lo que puede generar pérdidas financieras graves	Incluya en el plan de trabajo el presupuesto y el tiempo para que los programadores corrijan errores en función de los resultados de las pruebas. Explique a los representantes clave del cliente que la detección y corrección de errores es parte de la tecnología de desarrollo POR	Si es imposible llegar a un acuerdo, elevar el problema al nivel del comité de dirección	8	6	48

El registro de riesgos del proyecto contiene información en forma tabular, legible por humanos, sobre los riesgos del proyecto conocidos e identificados. El registro de riesgos del proyecto siempre debe contener actualizar informacion, la calidad del trabajo del equipo del proyecto con los riesgos depende completamente de esto. Por lo general, el registro de riesgos del proyecto contiene la siguiente información:

IDENTIFICACIÓN— número único de identificación del riesgo del proyecto. Cuando se usa, este número debe coincidir con el ID de riesgo especificado en el PMIS.
Descripción del riesgo— una descripción detallada del riesgo del proyecto.
Categoría— categoría de riesgo de acuerdo con KSUP. Por ejemplo, riesgo de inversión, riesgo tecnológico, riesgo asociado al equipo del proyecto, etc.
Tipo— tipo de riesgo: positivo o negativo. Los riesgos positivos juegan a favor del equipo del proyecto y conllevan beneficios adicionales que permiten que el proyecto se complete más rápido. Los riesgos negativos, por el contrario, reducen la probabilidad de completar con éxito el proyecto.
Influencia- el grado de impacto del riesgo en uno de los cuatro parámetros clave del proyecto: costo, tiempo, alcance o calidad. Suele evaluarse con valores 0,05, 0,1, 0,2, 0,4, 0,8.

Influencia general— el impacto global del riesgo depende del modelo elegido ( máximo- se utiliza el valor máximo, promedio- se utiliza el valor medio) y se determina en función del impacto del riesgo sobre cuatro parámetros.
Probabilidad- la probabilidad de que ocurra un riesgo. Suele evaluarse con valores 0,1, 0,3, 0,5, 0,7, 0,9.
Significado— de hecho, la magnitud del riesgo se calcula como el producto Influencia general en Probabilidad.
Estrategia— estrategia de respuesta al riesgo. Se elige una de siete estrategias. Para riesgos negativos: evasión, reducción, compartir. Para riesgos positivos: transmisión, uso, amplificación. Para todo riesgo: Adopción.
Eventos— una descripción de las medidas para hacer frente al riesgo, de acuerdo con la estrategia de respuesta elegida.
Responsable— Nombre del miembro del equipo del proyecto responsable de la gestión del riesgo.

R 50.1.084-2012 Gestión de riesgos. Registro de riesgo. Guía para crear un registro de riesgos organizacionales

establecer un marcador

Gestión de riesgos

REGISTRO DE RIESGO

Guía para crear un registro de riesgos organizacionales

gestión de riesgos. registro de riesgo. Directrices sobre la construcción del registro de riesgos de la organización

Fecha de introducción 2013-12-01

Prefacio

1 DISEÑADO POR AUTÓNOMOS organización sin ánimo de lucro"Centro de Investigaciones de Control y Diagnóstico sistemas tecnicos"(ANO "NIC KD")

2 PRESENTADO por el Comité Técnico de Normalización CT 10 "Gestión de Riesgos"

3 APROBADO Y PUESTO EN VIGOR por Orden de la Agencia Federal de Regulación Técnica y Metrología del 29 de noviembre de 2012 N 1283

4 PRESENTADO POR PRIMERA VEZ

La información sobre los cambios a estas recomendaciones se publica en el índice anual "Directrices, recomendaciones y reglas", y el texto de los cambios y enmiendas, en el índice de información mensual "Estándares nacionales". En caso de revisión (reemplazo) o cancelación de estas recomendaciones, se publicará el aviso correspondiente en el índice de información mensual "Estándares Nacionales". La información relevante, las notificaciones y los textos también se colocan en sistema de informacion uso general - en el sitio web oficial de la Agencia Federal de Regulación Técnica y Metrología en Internet

Introducción

El registro de riesgos es una forma de presentar y almacenar información sobre eventos peligrosos y riesgos. La presencia de un registro de riesgos permite a una organización obtener información relacionada con una fuente de peligro específica, consecuencias, destino de eventos peligrosos, etc. Sin embargo, el desarrollo de un registro de riesgos, especialmente cuando un número grande fuentes de peligro, requiere mucho esfuerzo, tiempo, recursos financieros, así como una gran cantidad de información.

La necesidad de desarrollar y mantener un registro de riesgos la determina la propia organización.

3.2 registro de riesgo(registro de riesgos): Un formulario para registrar información sobre un riesgo identificado.

NOTA El término "registro de riesgos" se utiliza a veces en lugar del término "registro de riesgos".

3.3 peligro(peligro): Fuente de daño potencial.

NOTA El peligro puede ser una fuente de riesgo.

3.4 Administrador de riesgos(gestor de riesgos): Especialista en la identificación, evaluación, análisis, procesamiento, seguimiento del riesgo, así como otras actividades en el ámbito de la gestión de riesgos de una organización.

4 Cómo desarrollar un registro de riesgos de la entidad

4.1 Provisiones generales

La organización debe determinar la necesidad de desarrollo, etapas, forma y métodos de mantenimiento de un registro de riesgos. Los principales objetivos de desarrollar el registro de riesgos de una organización, su lugar en el sistema de gestión de riesgos, las ventajas y desventajas del registro de riesgos se establecen en GOST R 51901.21.

El registro de riesgos de la organización es una forma de mantener registros de los eventos peligrosos identificados, la evaluación del riesgo correspondiente, los métodos y el momento de su procesamiento. Al mantener un registro de riesgos, es necesario tener en cuenta los requisitos obligatorios pertinentes, así como otra información disponible sobre los tipos de peligro y el riesgo de que ocurra. Dependiendo de las características de la organización, la forma y el contenido del registro de riesgos se puede cambiar o complementar en relación con la forma estándar del registro de riesgos que se muestra en la Tabla 1 GOST R 51901.22.

Al desarrollar el registro de riesgos de una organización, se debe considerar lo siguiente:

política, objetivos y estrategia de la organización en materia de gestión de riesgos;
características de los productos fabricados y servicios proporcionados por la organización;
principal procesos de producción y procesos de gestión de la organización;
métodos establecidos y utilizados de análisis y evaluación de riesgos;
requerimientos legales;
condiciones de funcionamiento de los productos fabricados.

La responsabilidad de la gestión de riesgos debe asignarse al administrador de riesgos responsable o al equipo de gestión de riesgos, incluida la responsabilidad del control y seguimiento de riesgos. Los requisitos para los administradores de riesgos se establecen en GOST R 51901.21.

El desarrollo, aprobación, mantenimiento y actualización del registro de riesgos de la organización debe llevarse a cabo de conformidad con la cláusula 5 GOST R 51901.22.

El intercambio de información sobre el registro de riesgos y la garantía de la confidencialidad de la información relacionada con el registro de riesgos debe realizarse teniendo en cuenta los requisitos de la cláusula 6 de GOST R 51901.22 y las recomendaciones establecidas en R 50.1.070.

En el Apéndice A se proporciona un ejemplo de un método simplificado para evaluar el riesgo y desarrollar una versión abreviada de un registro de riesgo de una pequeña organización.

4.2 Pasos en el proceso de gestión de riesgos de la organización

Los pasos principales para desarrollar el registro de riesgos de una organización deben ser coherentes con los pasos del proceso de gestión de riesgos. A su vez, el contenido de las etapas depende de las características de la gestión de riesgos de la organización. Los principios de gestión de riesgos se establecen en GOST R ISO 31000. Los principales elementos del proceso de gestión de riesgos para organizaciones pequeñas se muestran en la Figura 1.

Figura 1 - Esquema general del proceso de gestión de riesgos

Una descripción de los elementos principales del proceso de gestión de riesgos para organizaciones pequeñas se da en R 50.1.069.

4.3 Mapa de procesos de gestión de riesgos organizacionales

Con base en el proceso de gestión de riesgos de acuerdo con GOST R 51901.21, una organización puede elaborar un mapa del proceso de gestión de riesgos. Al desarrollar un mapa de procesos para organizaciones pequeñas, se recomienda conservar los elementos básicos de la gestión de riesgos (identificación de eventos peligrosos, cuantificación análisis de riesgos y evaluación comparativa de riesgos, tratamiento de riesgos, monitoreo y revisión), mientras que su contenido puede ser refinado dependiendo de las características de la organización.

4.4 Desarrollo de un registro de riesgos de la organización

4.4.1 Generalidades

Los resultados de las acciones realizadas en cada paso del proceso de gestión de riesgos deben informarse en el registro de riesgos. Las reglas para construir un registro de riesgos se dan en GOST R 51901.22. En la tabla 1 GOST R 51901.22 se proporciona una forma típica del registro de riesgos.

La asignación de responsabilidad para el desarrollo y mantenimiento del registro de riesgos de una organización debe ser consistente con los pasos del proceso de gestión de riesgos, ya que la información en el registro de riesgos debe ingresarse y actualizarse después de completar cada paso del proceso de gestión de riesgos.

Las principales etapas del desarrollo del registro de riesgos de una organización se describen en los párrafos 4.4.2-4.4.6.

4.4.2 Establecimiento del objeto y alcance del registro de riesgos

La organización debe establecer los objetivos internos y externos de la organización, así como los objetivos de gestión de riesgos, para la implementación de los elementos restantes del proceso de gestión de riesgos. Se proporciona orientación sobre la definición del alcance de la gestión de riesgos en R 50.1.068.

Al definir los objetivos y el alcance del registro de riesgos, primero se definen los objetos del registro de riesgos. Los objetos del registro de riesgos pueden ser:

organización en su conjunto, subdivisión estructural o parte de ella;
producto, servicio, proceso o actividad;
personal o trabajadores individuales.

Requerimientos generales para determinar el alcance del registro de riesgos se establecen en GOST R 51901.21.

4.4.3 Desarrollo de criterios de riesgo

La organización debe establecer criterios de riesgo. Los criterios deben reflejar el propósito y el alcance. A menudo dependen de los intereses de las partes involucradas, así como de los requisitos legales y/o reglamentarios pertinentes. Los criterios de riesgo pueden ser operativos, técnicos, financieros, legales, legislativos, sociales, ambientales, humanitarios y/u otros.

descripción general Deben desarrollarse criterios de decisión al establecer el alcance de la gestión de riesgos. Los criterios de riesgo deben refinarse y/o revisarse después de la identificación de un tipo específico de riesgo y la elección de un método de análisis de riesgo. Los criterios de riesgo deben ser apropiados para el tipo de riesgo y la forma en que se presenta.

Los criterios de riesgo generalmente se incluyen en el registro de riesgos de la organización, pero para organizaciones más pequeñas, los criterios de riesgo pueden establecerse en los procedimientos documentados de la organización u otros documentos de gestión de riesgos.

4.4.4 Identificación de eventos peligrosos

La identificación de eventos peligrosos debe incluir la identificación de fenómenos y eventos que puedan afectar los elementos del registro de riesgos establecidos dentro del alcance del registro de riesgos. Los requisitos generales para la identificación de eventos peligrosos para su inclusión en el registro de riesgos se establecen en la cláusula 4.2. GOST R 51901.21.

Para organizaciones pequeñas, la identificación de eventos peligrosos puede constar de tres etapas:

definición de métodos de identificación de riesgos;
identificación de eventos peligrosos;
identificar las causas de un evento peligroso.

La organización primero debe determinar los métodos para identificar el riesgo. Los siguientes métodos se pueden utilizar en la identificación de riesgos: análisis de listas de verificación, revisión por pares, análisis de datos experimentales e históricos, análisis diagrama de bloques confiabilidad, método de lluvia de ideas, análisis de sistemas, análisis de escenarios, métodos de diseño de sistemas. Estos métodos se analizan con más detalle en GOST R ISO / IEC 31010. La elección del método depende del tipo de riesgo, el alcance y los objetivos de la gestión de riesgos de la organización, así como los controles y métodos aplicables y requeridos para gestionar el riesgo de la organización.

Los métodos de identificación de riesgos generalmente se registran en el registro de riesgos de la organización; sin embargo, para organizaciones más pequeñas, los métodos de identificación de riesgos pueden definirse en procedimientos documentados u otros documentos de gestión de riesgos de la organización.

El siguiente paso es la identificación de eventos peligrosos, en el que la organización debe elaborar una lista general de eventos peligrosos que pueden afectar negativamente a sus actividades y el logro de los objetivos. Con base en la lista, es necesario describir en detalle cada evento peligroso identificado que pueda ocurrir. Al compilar una lista de eventos peligrosos, se puede usar la clasificación de peligros dada en el Apéndice A. GOST R 51901.21.

El nombre del evento peligroso debe formularse en una frase clara. Para un evento peligroso cuyo nombre es lo suficientemente largo, se puede usar un nombre corto.

Una vez que se han identificado los eventos potencialmente peligrosos, es necesario considerar las fuentes y causas de su ocurrencia, así como posibles consecuencias para las actividades de la organización.

Los eventos peligrosos, sus fuentes y posibles consecuencias se incluyen en el registro de riesgos de la organización (independientemente de su tamaño).

Al realizar la etapa de identificación de peligros, se recomienda tener en cuenta los requisitos de GOST R 51901.23.

4.4.5 Análisis de riesgos

Los requisitos generales para el análisis de riesgos de eventos peligrosos para su inclusión en el registro de riesgos se establecen en la cláusula 4.3 de GOST R 51901.22.

El análisis de riesgos incluye el estudio de las fuentes de eventos peligrosos, sus consecuencias y la probabilidad de que estos eventos ocurran. Al mismo tiempo, también se deben identificar los factores que afectan las consecuencias y la probabilidad del evento. El riesgo debe analizarse teniendo en cuenta la combinación de las consecuencias del evento y su probabilidad. Además, la organización debe revisar y evaluar los controles y controles establecidos. La magnitud de las consecuencias de un evento y su probabilidad deben evaluarse frente a la eficacia de las estrategias, los controles y las prácticas de gestión existentes.

El análisis de riesgos organizacionales se puede llevar a cabo con diversos grados de detalle según la naturaleza del riesgo, el propósito del análisis, los datos y los recursos disponibles. El análisis de riesgos puede ser cualitativo, cuantitativo o combinado. Para las organizaciones pequeñas, el análisis cualitativo generalmente se usa para obtener una evaluación general del riesgo e identificar problemas relacionados con el riesgo. Si la organización decide que es necesario un análisis más detallado, se pueden aplicar métodos cuantitativos o combinados de análisis de riesgos. Una descripción de estos tipos de análisis de riesgo se da en R 50.1.069 y GOST R ISO/IEC 31010.

La forma en que se presentan las consecuencias y la probabilidad de los eventos en el registro de riesgos debe elegirse de tal manera que garantice que se cumplan los objetivos del análisis de riesgos.

El análisis de riesgos debe tener en cuenta la incertidumbre y la variabilidad en las estimaciones de las consecuencias y la probabilidad de un evento, así como la eficacia de la comunicación de riesgos. Al ingresar datos cuantitativos en el registro de riesgos, se debe indicar (si es posible) la incertidumbre asociada.

4.4.6 Evaluación comparativa de riesgos

Los requisitos generales para la evaluación comparativa de riesgos para su inclusión en el registro de riesgos se establecen en la subsección 4.4. GOST R 51901.22.

El propósito de una evaluación comparativa de riesgos de una organización pequeña es tomar decisiones basadas en los resultados del análisis de riesgos y los criterios de aceptabilidad de riesgos sobre la necesidad de tratamiento de riesgos y sobre la priorización del tratamiento de riesgos.

Al realizar una evaluación comparativa de riesgos, uno debe guiarse por los requisitos de GOST R 51901.23.

Los resultados de una evaluación comparativa de riesgos generalmente se ingresan en el registro de riesgos de la organización, a menos que se especifique lo contrario en los procedimientos documentados de la organización u otros documentos de gestión de riesgos.

4.4.7 Tratamiento de riesgos

Los requisitos generales para el tratamiento de riesgos para la inclusión en el registro de riesgos se establecen en la subsección 4.5 de GOST R 51901.22.

En la etapa de tratamiento de riesgos, se selecciona una estrategia de tratamiento de riesgos, se evalúan las consecuencias, la probabilidad de un evento peligroso y el riesgo (teniendo en cuenta la aplicación de la estrategia de tratamiento de riesgos elegida), las medidas de tratamiento de riesgos, los plazos y los responsables de su se determina la implementación y se evalúan los resultados del tratamiento de riesgos.

Para las organizaciones pequeñas, los elementos obligatorios del registro de riesgos asociados con la etapa de tratamiento de riesgos son la definición de las medidas de tratamiento de riesgos, el momento de su implementación planificada y real.

Por lo general, el presupuesto de tratamiento de riesgos de una organización pequeña es limitado, por lo que los métodos de tratamiento también deben establecer el orden en que se trata cada riesgo. La organización debe comparar el costo total de un evento peligroso cuando no se toman medidas contra los ahorros de costos realizados al tratar el riesgo y aplicar la acción preventiva.

4.4.8 Seguimiento de riesgos y revisión del registro de riesgos

Los requisitos generales para el seguimiento de riesgos y la revisión del registro de riesgos se establecen en la subsección 4.6. GOST R 51901.22.

La organización debe asegurar la continuidad del proceso de gestión de riesgos, por lo tanto, es necesario monitorear periódicamente todos los tipos de riesgo y revisar las entradas en el registro de riesgos.

Los resultados del monitoreo de riesgos generalmente se registran en el registro de riesgos de la organización; sin embargo, para organizaciones pequeñas, estos resultados pueden identificarse en procedimientos documentados u otros documentos de la organización de gestión de riesgos.

Anexo A
(referencia)

Un ejemplo de un método simplificado de evaluación de riesgos y el desarrollo de una versión abreviada de un registro de riesgos de una pequeña organización

A.1 Generalidades

La estructura y composición del registro de riesgos depende de las características de la organización. Una forma típica del registro de riesgos se da en GOST R 51901.22. Las organizaciones más pequeñas pueden utilizar una forma abreviada (simplificada) del registro de riesgos, cuyo ejemplo se muestra en la Tabla A.1.

Cuadro A.1 — Formulario simplificado del registro de riesgos

identificar indicador de evento peligroso	Nombre- Definición y descripción de eventos peligrosos	Responsable Administrador de riesgos	El último evento de peligro	Probable severidad del evento peligroso	Evaluación de riesgos	Medidas de tratamiento de riesgos	Plazo para la implantación de las medidas de tratamiento del riesgo	Nota- chani

Al completar el registro de riesgos, se pueden utilizar las siguientes escalas:

escala de consecuencias: 5 - consecuencias catastróficas, 4 - consecuencias significativas, 3 - consecuencias moderadas, 2 - consecuencias menores, 1 - consecuencias insignificantes;

escala de probabilidad de eventos peligrosos: 5 - probabilidad muy alta, 4 - probabilidad alta, 3 - probabilidad media, 2 - probabilidad baja, 1 - probabilidad muy baja;

evaluación del riesgo: riesgo aceptable (0-4), riesgo controlado (5-8), riesgo significativo (9-25);

medidas de tratamiento de riesgos: (0) sin riesgo, no se toman medidas; (0-4) bajo riesgo, solo se toman acciones de bajo costo; (5-8) riesgo medio, las acciones se toman teniendo en cuenta el tiempo de su implementación y la viabilidad económica; (9-25) alto riesgo, necesidad urgente de mitigar el riesgo; (16-25) alto riesgo, aplicación de acciones inmediatas (de emergencia) para reducir el riesgo.

A.2 Matriz de riesgos

A.2.1 Generalidades

El método de evaluación de riesgos para eventos peligrosos se proporciona en GOST R 51901-23 *, sin embargo, las organizaciones pequeñas pueden usar métodos de evaluación de riesgos simplificados, teniendo en cuenta la incertidumbre de tales evaluaciones de riesgos.

________________

*Probablemente un error original. Tiene que leer: GOST R 51901.23. - Nota del fabricante de la base de datos.

Las organizaciones pequeñas pueden usar una matriz de riesgo para evaluar la importancia de un riesgo. Para una evaluación de riesgos sistemática y consistente, es necesario desarrollar una matriz de riesgos de acuerdo con los siguientes pasos:

evaluación de la probabilidad de un evento peligroso (A.2.2);
evaluación de las consecuencias de un evento peligroso (A.2.3);
elaboración de una matriz de riesgos (A.2.4);
definición de las medidas de tratamiento del riesgo (A.2.5).

Este ejemplo muestra la versión más simple de la matriz de riesgo. La organización, dependiendo de las condiciones de evaluación de riesgos, puede desarrollar su propia matriz de riesgos.

A.2.2 Evaluación de la probabilidad de un evento peligroso

En una organización pequeña, dependiendo del objeto del registro de riesgos, el administrador de riesgos debe responder a la pregunta de cuál es la probabilidad de que ocurra un evento peligroso al aplicar los controles y métodos especificados para administrar las medidas de reducción de riesgos. La Tabla A.2 se puede utilizar para esto.

Tabla A.2 — Estimación de la probabilidad de un evento peligroso

Si hay dudas en la evaluación de la probabilidad de ocurrencia de un evento peligroso, entonces se aumenta el rango del peligro del evento.

A.2.3 Evaluación de las consecuencias de un evento peligroso

Dependiendo del área de impacto de un evento peligroso, el administrador de riesgos debe evaluar las consecuencias de un evento peligroso con los controles, métodos de gestión y medidas de reducción de riesgos existentes. La Tabla A.3 se puede utilizar para esto.

Tabla A.3 — Evaluación de las consecuencias de un evento peligroso

Consecuencia, en puntos	Descripción de las consecuencias	Objetos afectados por un evento peligroso*
	consecuencias desastrosas	Gente, ambiente, economía, estado y Gobierno municipal, ambiente social, infraestructura
	consecuencias significativas	Personas, economía, infraestructura, medio ambiente, entorno social
	consecuencias moderadas	Gente, economía, infraestructura
	pequeñas consecuencias	Economía, infraestructura
	consecuencias menores	Ambiente social
* Los objetivos de eventos peligrosos son solo a modo de ejemplo.

Si hay dudas sobre la evaluación de las consecuencias de un evento peligroso, se aumenta el rango de este evento.

A.2.4 Elaboración de la matriz de riesgos

En este ejemplo, se utiliza el método de evaluación de riesgos más simple: evaluación cualitativa las consecuencias y la probabilidad de un evento peligroso. En este caso, el riesgo se calcula como el producto de las consecuencias por la probabilidad:

Los rangos de consecuencias y probabilidades se determinan de acuerdo con las tablas 2 y 3.

Los resultados obtenidos permiten la construcción de una matriz de riesgos (Cuadro A.4), que puede ser utilizada como base para la identificación de riesgos aceptables e inaceptables.

Cuadro A.4 — Matriz de riesgos

Evaluación cualitativa de la probabilidad de un evento peligroso	Consecuencias
	menor (1)	pequeño (2)	moderado (3)	importante (4)	catastrófico (5)
muy bajo (1)
bajo (2)
Medio (3)
alto (4)
muy alto (5)
Nota - Evaluación del riesgo (rango de riesgo): aceptable (0-4), controlado (5-8), significativo (9-25).

Para mayor claridad en el registro de riesgos, la evaluación de riesgos se puede resaltar en color:

verde - riesgo aceptable (0-4);

color amarillo - riesgo controlado (5-8);

rojo (rojo oscuro) es un riesgo grave y significativo (9-25).

Los tipos de riesgo identificados se pueden clasificar tanto en departamentos como en toda la organización. La clasificación se basa en una matriz de riesgos (producto de consecuencias y probabilidad) y permite identificar la mayoría de los riesgos significativos.

A.2.5 Determinación de la estrategia y medidas de tratamiento del riesgo

Dependiendo de la evaluación de riesgos (ver Tabla A.4), se deben determinar las acciones a tomar para cada riesgo registrado en el registro de riesgos. La Tabla A.5 proporciona un ejemplo de las acciones que deben tomarse en función de la evaluación de riesgos.

Tabla A.5 — Ejemplo de acciones a tomar en base a la evaluación de riesgos

Evaluación de riesgos	Acciones tomadas
Riesgo aceptable (0)	Sin riesgo, no se toman medidas
Riesgo aceptable (0-4)	Bajo riesgo, solo se toman acciones de bajo costo
Riesgo controlado (5-8)	Riesgo medio, se toman acciones teniendo en cuenta el tiempo de implementación y eficiencia económica medidas de reducción de riesgos
Riesgo grave (9-25)	Alto riesgo, se necesita una acción de mitigación inmediata
Riesgo significativo (16-25)	Deben tomarse medidas inmediatas (de emergencia) de mitigación de riesgos de muy alto riesgo

Las medidas de reducción o tratamiento de riesgos pueden incluirse en el registro de riesgos y/o pueden desarrollarse como un documento separado. En este caso, se debe proporcionar un enlace a este documento en el registro de riesgos. En el ejemplo mostrado, las actividades de tratamiento de riesgos están incluidas en el registro de riesgos.

A.3 Disposiciones adicionales

Dado que el registro de riesgos se actualiza constantemente, es necesario registrar las fechas de las entradas de riesgos y los cambios realizados. Si el plan de acción está incluido en el registro de riesgos, se debe registrar el propósito y los plazos para completar las acciones previstas en el plan.

La columna de comentarios o notas en el registro de riesgos permite referencias a Información necesaria, por ejemplo, la celebración de una reunión en la que se discutieron los problemas de este riesgo.