Igasugune risk kaasneb sellega ettevõtlustegevus.

Projekti elluviimise käigus operatiivtegevused, investeerimistegevused ja finantstegevus. Igat tüüpi tegevused on seotud iga investeerimisprojekti tüüpiliste riskidega.

IP võib ette näha teatud stabiliseerimismehhanismid, mis tagavad intellektuaalomandis osalejate kaitse selle rakendamise tingimuste ebasoodsa muutumise korral, meetmed riskide taseme vähendamiseks ja nende hüvitamine. Kui me räägime sisemistest riskidest, siis on võimalik riskiastet ise vähendada (lisakulude tõttu reservide ja varude loomisel, tehnoloogia täiustamisel ja tootmisõnnetuste vähendamisel, materiaalsete stiimulite tõttu toote kvaliteedi parandamiseks, reservvõimsuste loomisel, jne) IS-i IP juurutamise juurutamisel on võimalik riskiastet vähendada IT-teenindajate ja teiste uue IS-iga töötavate töötajate rahaliste soodustuste, samuti lisakulude kaudu reservide ja varude loomiseks, läbiviimiseks. IS-i proovitöö jne.

Mis tahes stabiliseerimismehhanismide kasutamine nõuab lisakulusid, mille suurus sõltub projekti tingimustest, selles osalejate huvidest ja riskiastme hinnangutest. Sõltuvalt projekti eesmärkidest ja selle elluviimist mõjutavatest teguritest on vaja arvestada erinevate riskipreemiate väärtustega. Mida suurem on rakendusprojekt (näiteks ettevõtte IP juurutamisprojekt), seda kõrgem on riskitase.

Kõik IP rakendamisega kaasnevad riskid, olenevalt esinemise allikatest ja kõrvaldamise võimalusest, võib jagada välisteks (objektiivsed, süstemaatilised või mittehajutatavad) ja sisemisteks (subjektiivsed, mittesüstemaatilised või hajutatavad).

Välised ja sisemised riskid on omavahel seotud.

Välised riskid ei sõltu konkreetsest ettevõttest või üksikettevõtjast. Need riskid esinevad IP juurutamise kõigil etappidel. Need tekivad turgu kui tervikut mõjutavate väliste sündmuste tagajärjel, mõjutavad kõigi ettevõtete tulusid kõigi üksikettevõtjate jaoks ja neid ei saa mitmekesistamise abil täielikult kõrvaldada.

Välisriskide hulka kuuluvad: poliitilised, seadusandlikud, makromajanduslikud, looduskatastroofide riskid (vääramatu jõu riskid). Riigirisk sisaldub sageli diskontomääras, et võtta arvesse väliseid riske.

Sisemised riskid põhjustatud konkreetsele ettevõttele või üksikettevõtjale omastest teguritest. Need riskid mõjutavad üksikute ettevõtete sissetulekuid individuaalse intellektuaalomandi eest ja erinevad intellektuaalomandi eri etappidel. Neid saab mitmekesistamise abil suures osas kõrvaldada.

IP puhul on sisemisi riske põhjustavad konkreetsed tegurid järgmised:

IS-i kasutuselevõtu ja rakenduseelarve tähtaegade ületamine;

IS rakendamise aja märkimisväärne pikendamine;

muutused tarkvara vajaduses ja riistvara, inimressursi puudus jne;

katkestused ostetud riistvara tarnimisel, kaasatud konsultantide puudumine või nende pädevuse tase;

lepingute kaotamine vale silumise või IS-i töö katkestuste tõttu;

õnnetused ja rikked riist- või tarkvaras jne.

Sisemiste riskide hulka kuuluvad nende struktuuriomaduste põhjal:

1 varalised riskid, mis on seotud ettevõtte või üksikettevõtja vara kaotamise tõenäosusega erinevatel põhjustel (varguse, tulekahju, hooletuse tõttu);

2 tootmisriskid, mis on seotud erinevate tegurite mõjul tekkinud tootmisseisakutest tulenevate kadudega ning eelkõige põhi- ja käibekapitali kahjustamisega, samuti riskid, mis on seotud uute seadmete ja tehnoloogiate kasutuselevõtuga tootmisse (näiteks kasutuselevõtuga). uuest IP-st);

3
äririskid, mis on seotud maksete hilinemisest, kauba transportimise ajal maksmisest keeldumisest, tooraine ja komponentide tarnimata jätmisest või nende tarnimisest kõrvalekaldumisega kavandatud tähtaegadest jms põhjustatud kahjudega;

4 finantsriskid, mis on seotud finantsressursside kaotuse tõenäosusega ebaratsionaalse kapitaliinvesteeringu tõttu.

IP juurutamise erinevates etappides ilmnevad erinevad sisemised riskid.

Vaatame tüüpilisi esinevaid vigu otsustamise etapis IP rakendamise kohta.

1 Automatiseerimisstrateegia nõrk areng (ettevõttel puudub terviklik pikaajaline IT-strateegia, mis vastaks tema äritegevuse ulatusele ja kasvutempole).

2 IP valimisel kirg teatud toodetega seotud moesuundade vastu.

3 Otsige ideaali, mis vastab ideaalselt ettevõtte spetsiifikale.

4 Ettevõtte ühe divisjoni lobitöö IS-i juurutamiseks – tagajärjeks võib olla lahknevus süsteemi ja teiste võtmeüksuste vajaduste vahel.

5 Hankeülesande vale koostamine – ülesande koostamisel ei järgita IP põhinõudeid, vaid lihtsalt kogutakse ja tehakse kokkuvõtted kõikidest osakondadest. Selline lähenemine võtab reeglina arvesse ainult osakondade kehtivaid nõudeid, mitte aga ettevõtte kui terviku strateegilisi eesmärke.

Kõige tavalisem viga valides IP on kirg asja tehnilise poole vastu funktsionaalse otstarbekuse arvelt, mille dikteerivad rakendamise lõppeesmärgid. Et hindamine ei oleks ühekülgne, on vaja algusest peale kaasata süsteemi valikusse “aineosakondade” töötajad, aga ka ettevõtte tippjuhtkond.

Rakendamise etapis Projekti kõige tõsisemad riskid on järgmised.

1 Ettevõtte tippjuhtkonna ettevalmistamatus muutusteks ettevõtte äriprotsessides ja organisatsiooni struktuuris.

2 Ebaõnnestunud väliskonsultantide valimine projekti jaoks (lähtudes minimaalse maksumuse põhimõttest või partnerlusest konkreetse tarkvara tarnijaga). Projekti teostaja - konsultandi valikul tuleb järgida järgmisi kriteeriume: professionaalsus, usaldusväärsus ja tulemuste prognoositavus.

3 Inimfaktori mõju projekti elluviimise protsessis (muutused tehnoloogias, tööreeglites ja formaatides, vajadus arvestada töötajate reaktsiooniga elluviimisele).

4 Juhtimis- ja täitevvolituste delegeerimine IT-osakonnale. Projektimeeskonda peavad kuuluma võtmetöötajad kõigist “aineosakondadest”, kes hakkavad seejärel rakendatava süsteemiga töötama.

Tuleb märkida, et soovitused infosüsteemide rakendamise ja toimimise raskuste ületamiseks tuleks välja töötada konkreetse ettevõtte tegevuse spetsiifikast lähtuvalt. Esiteks peab ettevõtte juhtkond ja IT-teenus mõistma, et edaspidi peab ettevõte pidevalt pingutama infosüsteemi täiustamise nimel. Üleminek töörežiimilt "projekteerimisrežiimilt" täiustamise ja muutmise faasi on mõne ettevõtte jaoks oluline probleem, mille lahendamine nõuab hoolikat uurimist ja planeerimist. Riskiuuringute oluline ülesanne on kindlaks teha, millises etapis konkreetne risk tõenäolisemalt ilmneb.

Rakendamise etapis projekti eelmistes etappides omased riskid, nn tootmisriskid, hakkavad täielikult avalduma. Nendele lisanduvad ka "otsa otsani" riskid, mis esinevad peaaegu igas projekti etapis. Läbivateks riskideks on ennekõike sisepoliitilised riskid – sageli toimib IP juurutamisprojekt ettevõttes poliitilise võitluse hoovana. Kui projekt puudutab vara-, kauba- ja rahavoogusid kontrollivate suurte meeskondade ja kõrgemate juhtide eluliste huvide sfääri, võib isegi ideaalse planeerimise ja teostuse korraldamise korral tekkida olulisi probleeme.

Töökoormuse jaotamisega kliendi ja konsultandi vahel on ka end-to-end risk. Projekti käigus peaks konsultantide tehtava töö osakaal vähenema, vastasel juhul tekib kliendiettevõttel raskusi IS-i edasisel kasutamisel ilma konsultantideta. Projekt võib halvasti areneda ka inimteguri mõju tõttu (personali vastupanu, projektist tulenev psühholoogiline väsimus), samuti ettevõttesisese ebatõhusa suhtluse tõttu.

Projekti tagasilükkamine töötajate poolt tuleneb reeglina teabe puudumisest: ettevõtte juhtkond ei ole projektimeeskonna tegemistega kursis ja töötajad ei näe selle rakendamisel üldse mõtet. Õigeaegne ja korrapärane selgitustöö, mille eest peaksid vastutama projektimeeskonna liikmed, võib ületada töötajate negatiivset suhtumist.

Pärast projekti lõppu hakkavad ilmnema pikaajalised riskid, mis takistavad IP tõhusat kasutamist ja edasist arendamist ettevõttes. Peamised pikaajalised riskid tulenevad väliste ja sisemiste muutuste ebapiisavast toetamisest. Oluline pikaajaline risk on seotud inimfaktoriga – konsultantide projektis osalemise lõppemisega. Lisaks on oht infoturbe rikkumiseks – võimalik äriinfo lekkimine ettevõttest.

Juhtimine pikaajaliste riskide hulgas (nii kahju raskuse kui ka minimeerimise keerukuse poolest) kuulub tegurite hulka, mis on seotud ettevõtte ümberkorraldamisega, aga ka äriprotsesside paindlikkuse vähenemisega.

Pikaajalistel riskidel on aga IS elutsüklile väike mõju. Eelkõige on vajalik IS-i kompetentne planeerimine ja edukas rakendamine.

IT-projektide riskide kirjeldamise mõte on need riskid eelnevalt tuvastada ja enne projekti algust läbi viia ennetusmeetmete komplekt. Soovitav on jagada peamised meetmed, mille eesmärk on selle esinemise ennetamine riskantsed olukorrad IT-projektides:

1 kohustuslik dokumentatsioon projekti eesmärkide kohta, samuti kõik projekti elluviimisel tekkivad muudatused projekti dokumentatsioonis;

2 töötajate motivatsiooni tõstmine rahaliste stiimulite kaudu;

3 kolmandate isikute kvalifitseeritud spetsialistide ligimeelitamine;

4 koolitusmeeskonna liiget ja ettevõtte tippjuhtkonda projektijuhtimise metoodikas jne.

Kogu IP juurutamist iseloomustavate riskide hulgast võib välja tuua järgmised:

1 projekteerimisriskid süsteemi loomisel (kaasatakse IS projekteerimise käigus);

2 organisatsioonilised riskid (sh inimfaktori mõju IS-i juurutamise ja toimimise protsessile, sellest tulenevalt - IS-i abil töödeldavate andmete ebaõige tõlgendamine);

3 tehnilised riskid, mis hõlmavad seisakuid, tõrkeid, andmete kadumist või riknemist jms;

4 süsteemi toimimisega seotud ärikahjude (äririskide) riskid (tekivad tehniliste riskide tagajärjel).

Projekti riskid ilmnevad IP kavandamise või tarnimisetapis. Nende hulka võivad kuuluda näiteks teatud tarkvara või tehniliste lahenduste vananemise oht, samuti IS-i komponentide tarnimise hilinemise risk. Arvestades aga IS-i tarnimiseks ja juurutamiseks kuluvat suhteliselt lühikest aega, samuti selliste projektide elluviimise tingimusi, kus reeglina lahendab kõik tarnimise ja rakendamisega seotud küsimused üks tarnija ettevõtte, on selliste riskide tõenäosus väike.

Organisatsiooniriskide maksumust saab hinnata ekspertanalüüsi abil. Paljud organisatsioonilised riskid võivad piisava esinemise tõenäosusega vähendada kogu automatiseerimise mõju nullini või isegi paljastada automatiseerimisest tulenevaid kahjusid, mistõttu tuleb nende analüüsile läheneda eriti ettevaatlikult.

Kõige ilmsemad organisatsioonilised riskid on järgmised.

1 Personali sabotaaž. See risk tühistab kõik jõupingutused IP juurutamiseks. See võib tekkida mitmel põhjusel: näiteks hirm töö kaotamise ees seoses kavandatava personali vähendamisega, soov varjata konkreetse töötaja töö tegelikke tulemusi, vältida ebakompetentsuse tuvastamist jne.

2 IS-i toimimise tulemusena saadud andmete analüüsist tehtud ekslikud järeldused, s.o. IS-is töödeldavate andmete ebaõige tõlgendamine.

3 Varguse või personali reetmise tagajärjel süsteemi kogunenud info edastamine konkurentidele jne.

Ettevõtte IT-teenistuse, aga ka strateegilise arendus- ja planeerimisosakonna kavandatav töö peaks sisaldama soovituste väljatöötamist IS-i juurutamisprojekti riskide vähendamiseks. IS-i juurutamise projekti esialgsesse kulukalkulatsiooni on vaja läbi viia ka IS-i proovitöö, teha koostööd kvalifitseeritud konsultantide ja usaldusväärsete seadmete tarnijatega ning lisada IS-iga töötavatele töötajatele lisatasud. Olulised tegurid riskide minimeerimiseks on ka: tippjuhtkonna tähelepanelik suhtumine IP juurutusse ja ettevõtte üldise automatiseerimisstrateegia esialgne väljatöötamine.

Hetkel puudub ühtne ettevõtteprojektide riskide klassifikatsioon. Siiski saame välja tuua järgmised peamised ettevõtte koolituskeskuse avamise ja arendamise projektiga kaasnevad riskid.

Kuna ettevõtte “It - progress” avamise etapis ei ole kohane võtta arvesse kõiki tarkvara loomise riske, on vaja analüüsida tarkvara arendamise ja müügiga tegeleva ettevõtte avamise riske.

Tabel 2.1 - Arendusettevõtte avamise riskid tarkvara

Tabeli 2.1 jätk

Delphi meetod meetodiga sarnane ajurünnak, kuid selle osalejad ei tunne üksteist. Koolitaja kogub ekspertide vastuseid, kasutades küsimuste loendit, et saada ideid projekti riskide kohta. Seejärel analüüsitakse ekspertide vastuseid, kategoriseeritakse ja tagastatakse ekspertidele edasiste kommentaaride saamiseks. Konsensus ja riskide loetelu saavutatakse selle protsessi mitme tsükli kaudu. Delphi meetod välistab kaaslaste surve ja hirmu piinlikkuse ees idee väljendamisel.

Projekti riskiregister sisaldab teavet tabelina, kergesti loetaval kujul teadaolevate, tuvastatud projektiriskide kohta. Projekti riskiregister peaks alati sisaldama ajakohast teavet, sõltub sellest täielikult projektimeeskonna töö kvaliteet riskidega. Tavaliselt sisaldab projekti riskiregister järgmist teavet:

• ID— projektiriski kordumatu identifitseerimisnumber. Kasutamisel peab see number ühtima PMIS-is määratud riski ID-ga.
• Riski kirjeldus— projekti riski üksikasjalik kirjeldus.
• Kategooria— riskikategooria vastavalt KSUP-ile. Näiteks, investeerimisrisk, tehnoloogiline risk, projektimeeskonnaga seotud risk jne.
• Tüüp— riski liik: positiivne või negatiivne. Positiivsed riskid mängivad projektimeeskonna kätte ja kannavad lisakasu, mis võimaldab projekti kiiremini ellu viia. Negatiivsed riskid, vastupidi, vähendavad projekti eduka lõpuleviimise tõenäosust.
• Mõjutamine— riski mõju ühele neljast projekti põhiparameetrist: maksumus, ajastus, sisu või kvaliteet. Tavaliselt hinnatakse väärtustega 0,05, 0,1, 0,2, 0,4, 0,8.

• Üldine mõju— riski üldine mõju sõltub valitud mudelist ( max— kasutatakse maksimaalset väärtust, keskm- kasutatakse keskmist väärtust) ja see määratakse riski mõju alusel neljale parameetrile.
• Tõenäosus— riski esinemise tõenäosus. Tavaliselt hinnatakse väärtustega 0,1, 0,3, 0,5, 0,7, 0,9.
• Tähendus- tegelikult tootena arvutatud riski suurus Üldine mõju peal Tõenäosus.
• strateegia— riskidele reageerimise strateegia. Valitakse üks seitsmest strateegiast. Negatiivsete riskide jaoks: kõrvalehoidmine, vähendamine, jagamine. Positiivsete riskide jaoks: edastamine, kasutamine, võimendamine. Kõigi riskide jaoks: Lapsendamine.
• Sündmused— riskijuhtimismeetmete kirjeldus vastavalt valitud reageerimisstrateegiale.
• Vastutav— riskiga töötamise eest vastutava projektimeeskonna liikme täisnimi.

R 50.1.084-2012 Riskijuhtimine. Riskiregister. Organisatsiooniriskide registri koostamise juhend

järjehoidja määramine

järjehoidja määramine

Riskijuhtimine

RISKIREGISTREER

Organisatsiooniriskide registri koostamise juhend

Riskijuhtimine. Riskiregister. Juhised organisatsiooni riskiregistri koostamiseks

Tutvustuse kuupäev 2013-12-01

Eessõna

1 DISAINITUD autonoomne mittetulundusühing"Juhtimis- ja diagnostikauuringute keskus tehnilised süsteemid" (ANO "NIC KD")

2 TUTVUSTAS Standardimise Tehniline Komitee TC 10 "Riskijuhtimine"

3 KINNITUD JA JÕUSTUNUD Föderaalse Tehnilise Eeskirja ja Metroloogia Agentuuri 29. novembri 2012. aasta määrusega N 1283

4 ESIMEST KORDA TUTVUSTATUD

Teave nende soovituste muudatuste kohta avaldatakse iga-aastases registris "Juhenddokumendid, soovitused ja reeglid" ning muudatuste ja muudatuste tekst avaldatakse igakuises teabeindeksis "Riiklikud standardid". Nende soovituste läbivaatamise (asendamise) või tühistamise korral avaldatakse vastav teade igakuises teaberegistris "Riiklikud standardid". Sisse postitatakse ka asjakohane teave, teated ja tekstid infosüsteemüldiseks kasutamiseks - föderaalse tehniliste eeskirjade ja metroloogia agentuuri ametlikul veebisaidil Internetis

Sissejuhatus

Riskiregister on üks viise ohtlike sündmuste ja riskide kohta teabe esitamiseks ja säilitamiseks. Riskiregistri olemasolu võimaldab organisatsioonil saada teavet konkreetse ohuallika, tagajärgede, ohtlike sündmuste mõjuobjekti jms kohta. Kuid riskiregistri väljatöötamine, eriti kui see on olemas suur kogus ohuallikad, nõuab palju pingutust, aega, finantsilised vahendid, samuti suur hulk teavet.

Organisatsioon määrab riskiregistri arendamise ja pidamise vajaduse iseseisvalt.

3.2 riskiregister(riskiregister): vorm tuvastatud riski kohta teabe salvestamiseks.

MÄRKUS Termini "riskiregister" asemel kasutatakse mõnikord terminit "riskilogi".

3.3 oht(oht): potentsiaalse kahju allikas.

MÄRKUS Ohud võivad olla riskiallikaks.

3.4 riskijuht(riskijuht): Riskide tuvastamise, hindamise, analüüsi, töötlemise, jälgimise, aga ka muude organisatsiooni riskijuhtimise valdkonna tegevuste spetsialist.

4 Organisatsiooni riskiregistri koostamise kord

4.1 Üldsätted

Organisatsioon peab kindlaks määrama riskiregistri arendusvajaduse, etapid, vormi ja meetodid. Organisatsiooni riskiregistri arendamise peamised eesmärgid, selle koht riskijuhtimissüsteemis, riskiregistri eelised ja puudused on sätestatud GOST R 51901.21.

Organisatsiooni riskiregister on tuvastatud ohusündmuste arvestuse pidamise vorm, vastava riski hindamine, töötlemise meetodid ja ajastus. Riskiregistri pidamisel on vaja arvestada vastavate kohustuslike nõuetega, aga ka muu olemasoleva teabega ohuliikide ja nende esinemise riski kohta. Olenevalt organisatsiooni omadustest saab riskiregistri vormi ja sisu muuta või täiendada võrreldes tabelis 1 toodud riskiregistri tüüpvormiga. GOST R 51901.22.

Organisatsiooni riskiregistri koostamisel tuleb arvestada:

• organisatsiooni riskijuhtimise poliitika, eesmärgid ja strateegia;
• organisatsiooni toodetud toodete ja pakutavate teenuste omadused;
• põhilised tootmisprotsessid ja organisatsiooni juhtimisprotsessid;
• kehtestatud ja kasutatavad riskianalüüsi ja -hindamise meetodid;
• seaduslikud nõudmised;
• valmistatud toodete töötingimused.

Vastutus riskijuhtimise eest tuleks määrata vastutavale riskijuhile või riskijuhtimismeeskonnale, sealhulgas vastutus riskide juhtimise ja jälgimise eest. Nõuded riskijuhtidele on kehtestatud standardis GOST R 51901.21.

Organisatsiooni riskiregistri arendamine, kinnitamine, pidamine ja ajakohastamine peab toimuma vastavalt punktile 5 GOST R 51901.22.

Riskiregistri teabevahetus ja riskiregistriga seotud teabe konfidentsiaalsuse tagamine tuleb läbi viia, võttes arvesse GOST R 51901.22 punkti 6 nõudeid ja määruses kehtestatud soovitusi. R 50.1.070.

Riski hindamise ja riskiregistri lühendatud versiooni väljatöötamise näide väikese organisatsiooni jaoks on toodud lisas A.

4.2 Organisatsiooni riskijuhtimise protsessi etapid

Organisatsiooni riskiregistri väljatöötamise põhietapid peaksid vastama riskijuhtimise protsessi etappidele. Samas sõltub etappide sisu organisatsiooni riskijuhtimise iseärasustest. Riskijuhtimise põhimõtted on kehtestatud standardis GOST R ISO 31000. Väikeste organisatsioonide riskijuhtimise protsessi põhielemendid on näidatud joonisel 1.

Joonis 1 – Riskijuhtimise protsessi üldskeem

Väikeste organisatsioonide riskijuhtimise protsessi põhielementide kirjeldus on toodud aastal R 50.1.069.

4.3 Organisatsiooni riskijuhtimise protsessi kaart

Lähtudes riskijuhtimise protsessist vastavalt standardile GOST R 51901.21, saab organisatsioon koostada riskijuhtimise protsessi kaardi. Väikeste organisatsioonide protsessikaardi väljatöötamisel on soovitatav säilitada riskijuhtimise põhielemendid (ohtlike sündmuste tuvastamine, kvantifitseerimine risk, analüüs ja võrdlev riskihindamine, riskide käsitlemine, monitooring ja ülevaatus), samas kui nende sisu saab täpsustada sõltuvalt organisatsiooni tegevuse iseärasustest.

4.4 Organisatsiooni riskiregistri arendamine

4.4.1 Üldine

Riskijuhtimisprotsessi igas etapis tehtud toimingute tulemused tuleks esitada riskiregistris. Riskiregistri koostamise reeglid on toodud GOST R 51901.22. Riskiregistri tüüpvorm on toodud tabelis 1 GOST R 51901.22.

Organisatsiooni riskiregistri arendamise ja pidamise vastutuse jaotus peaks vastama riskijuhtimise protsessi etappidele, kuna teabe sisestamine riskiregistrisse ja selle korrigeerimine peaks toimuma pärast riskijuhtimisprotsessi iga etapi läbimist.

Organisatsiooni riskiregistri väljatöötamise põhietapid on kirjeldatud punktides 4.4.2-4.4.6.

4.4.2 Riskiregistri eesmärgi ja ulatuse kehtestamine

Organisatsioon kehtestab välised ja sisemised organisatsioonilised ja riskijuhtimise eesmärgid, et saavutada riskijuhtimisprotsessi ülejäänud elemendid. Soovitused riskijuhtimise ulatuse määratlemiseks on toodud R 50.1.068.

Riskiregistri eesmärkide ja ulatuse määramisel tehakse esmalt kindlaks riskiregistri objektid. Riskiregistri objektid võivad olla:

• organisatsioon tervikuna struktuurne alajaotus või osa sellest;
• toode, teenus, protsess või tegevus;
• töötajad või üksikud töötajad.

Üldnõuded riskiregistri kohaldamisala kindlaksmääramiseks on kehtestatud GOST R 51901.21.

4.4.3 Riskikriteeriumide väljatöötamine

Organisatsioon peab kehtestama riskikriteeriumid. Kriteeriumid peaksid kajastama eesmärke ja ulatust. Need sõltuvad sageli asjaosaliste huvidest, samuti asjakohastest juriidilistest ja/või regulatiivsetest nõuetest. Riskikriteeriumid võivad olla operatiivsed, tehnilised, rahalised, juriidilised, seadusandlikud, sotsiaalsed, keskkonnaalased, humanitaarsed ja/või muud.

üldkirjeldus Riskijuhtimise ulatuse kindlaksmääramisel tuleks välja töötada otsustuskriteeriumid. Riskikriteeriume tuleks täpsustada ja/või üle vaadata pärast konkreetse riskiliigi tuvastamist ja riskianalüüsi meetodi valimist. Riskikriteeriumid peavad vastama riski tüübile ja selle esitusviisile.

Riskikriteeriumid sisalduvad tavaliselt organisatsiooni riskiregistris, kuid väikeste organisatsioonide jaoks võib riskikriteeriumid kehtestada organisatsiooni dokumenteeritud protseduurides või muudes riskijuhtimisdokumentides.

4.4.4 Ohtlike sündmuste tuvastamine

Ohtlike sündmuste tuvastamine peaks hõlmama nähtuste ja sündmuste väljaselgitamist, mis võivad mõjutada riskiregistri rakendusalasse kuuluvaid riskiregistri objekte. Üldnõuded ohusündmuste tuvastamiseks riskiregistrisse kandmiseks on kehtestatud punktis 4.2 GOST R 51901.21.

Väikeste ja väikeste organisatsioonide puhul võib ohtlike sündmuste tuvastamine koosneda kolmest etapist:

• riskide tuvastamise meetodite määramine;
• ohtlike sündmuste tuvastamine;
• ohtliku sündmuse põhjuste väljaselgitamine.

Organisatsioon peab kõigepealt kindlaks määrama meetodid riskide tuvastamiseks. Riski tuvastamisel saab kasutada järgmisi meetodeid: kontrollnimekirjade analüüs, eksperthinnangud, eksperimentaalsete ja kronoloogiliste andmete analüüs, analüüs plokkskeem usaldusväärsus, ajurünnaku meetod, süsteemianalüüs, stsenaariumide analüüs, süsteemi kavandamise meetodid. Neid meetodeid käsitletakse üksikasjalikumalt standardis GOST R ISO/IEC 31010. Meetodi valik sõltub riski liigist, organisatsiooni riskijuhtimise ulatusest ja eesmärkidest, samuti rakendatavatest ja nõutavatest kontrollidest ning organisatsiooni riskijuhtimise meetoditest.

Riski tuvastamise meetodid on tavaliselt kantud organisatsiooni riskiregistrisse, kuid väiksemate organisatsioonide puhul võib riski tuvastamise meetodid määratleda organisatsiooni dokumenteeritud protseduurides või muudes riskijuhtimisdokumentides.

Järgmine samm on ohtlike sündmuste tuvastamine, mille käigus organisatsioon peab koostama üldise loetelu ohtlikest sündmustest, mis võivad kahjustada tema tegevust ja eesmärkide saavutamist. Loendi põhjal tuleks üksikasjalikult kirjeldada iga tuvastatud ohtlikku sündmust, mis võib juhtuda. Ohtlike sündmuste loetelu koostamisel võib kasutada lisas A toodud ohuklassifikatsiooni GOST R 51901.21.

Ohtliku sündmuse nimi peab olema sõnastatud selge fraasiga. Ohtliku sündmuse puhul, mille nimi on piisavalt pikk, võib kasutada lühikest nimetust.

Kui võimalikud ohtlikud sündmused on tuvastatud, tuleb arvestada nende esinemise allikate ja põhjustega, samuti võimalikud tagajärjed organisatsiooni tegevuseks.

Ohtlikud sündmused, nende allikad ja võimalikud tagajärjed on kantud organisatsiooni riskiregistrisse (olenemata selle suurusest).

Ohu tuvastamise etapi läbiviimisel on soovitatav arvestada GOST R 51901.23 nõuetega.

4.4.5 Riskianalüüs

Üldnõuded ohtlike sündmuste riskianalüüsi kohta riskiregistrisse kandmiseks on kehtestatud GOST R 51901.22 punktis 4.3.

Riskianalüüs hõlmab ohtlike sündmuste allikate, nende tagajärgede ja nende sündmuste toimumise tõenäosuse uurimist. Samas tuleb välja selgitada ka sündmuse tagajärgi ja tõenäosust mõjutavad tegurid. Riski tuleb analüüsida, võttes arvesse sündmuse tagajärgede ja selle tõenäosuse kombinatsiooni. Lisaks peab organisatsioon oma kontrolli- ja juhtimistavad üle vaatama ja hindama. Sündmuse tagajärgede ulatust ja selle tõenäosust tuleb hinnata olemasolevate strateegiate, kontrollide ja juhtimistavade tõhusust arvestades.

Organisatsiooni riskianalüüsi saab läbi viia erineva detailsusega, olenevalt riski tunnustest, analüüsi eesmärgist ning olemasolevatest andmetest ja ressurssidest. Riskianalüüs võib olla kvalitatiivne, kvantitatiivne või kombineeritud. Väikeste organisatsioonide puhul kasutatakse üldise riskihinnangu saamiseks ja riskiprobleemide tuvastamiseks tavaliselt kvalitatiivset analüüsi. Kui organisatsioon otsustab, et edasine üksikasjalik analüüs on vajalik, võib kasutada kvantitatiivseid või kombineeritud riskianalüüsi meetodeid. Seda tüüpi riskianalüüside kirjeldus on esitatud R 50.1.069 ja GOST R ISO/IEC 31010.

Riskiregistris sündmuste tagajärgede ja tõenäosuse kajastamise vahendid tuleks valida nii, et oleks tagatud riskianalüüsi eesmärkide täitmine.

Riskianalüüsis tuleb arvesse võtta sündmuse tagajärgede ja tõenäosuse hinnangute ebakindlust ja varieeruvust ning riskikommunikatsiooni tõhusust. Kvantitatiivsete andmete sisestamisel riskiregistrisse tuleks (võimalusel) märkida vastav määramatus.

4.4.6 Riski võrdlev hindamine

Riskide võrdleva hindamise üldnõuded riskiregistrisse kandmiseks on kehtestatud punktis 4.4 GOST R 51901.22.

Väikese organisatsiooni riskide võrdleva hindamise eesmärk on riskianalüüsi tulemuste ja riskide aktsepteerimise kriteeriumide põhjal teha otsuseid riskikäsitluse vajalikkuse ja riskikäsitluse prioriseerimise kohta.

Võrdleva riskihinnangu tegemisel peaksite juhinduma GOST R 51901.23 nõuetest.

Võrdleva riskihindamise tulemused fikseeritakse tavaliselt organisatsiooni riskiregistris, kui organisatsiooni dokumenteeritud protseduurides või muudes riskijuhtimisdokumentides ei ole sätestatud teisiti.

4.4.7 Riski käsitlemine

Üldnõuded riskikäsitluse kohta riskiregistrisse kandmiseks on kehtestatud GOST R 51901.22 punktis 4.5.

Riskiravi etapis valitakse riskiravi strateegia, hinnatakse tagajärgi, ohusündmuse tõenäosust ja riski (võttes arvesse valitud riskiravistrateegia rakendamist), riskide käsitlemise meetmeid, tähtaegu ja nende eest vastutajaid. määratakse kindlaks rakendamine ja hinnatakse riskiravi tulemusi.

Väikeste organisatsioonide jaoks on riskiravi etapiga seotud riskiregistri kohustuslikud elemendid riskide maandamise meetmete määratlemine, nende kavandatud ja tegelik elluviimise ajastus.

Tavaliselt on väikese organisatsiooni riskiravi eelarve piiratud, seega peavad ravimeetodid kehtestama ka iga riski käsitlemise järjekorra. Organisatsioon peaks võrdlema meetmete võtmata jätmisel aset leidva ohtliku sündmuse kogumaksumust kokkuhoiuga, mis saavutatakse pärast riski käsitlemist ja ennetusmeetmete rakendamist.

4.4.8 Riskide jälgimine ja riskiregistri läbivaatamine

Üldnõuded riskide monitooringule ja riskiregistri revisjonile on kehtestatud punktis 4.6 GOST R 51901.22.

Organisatsioon peab tagama riskijuhtimise protsessi järjepidevuse, mistõttu on vajalik igat liiki riskide korrapärane jälgimine ja riskiregistri kannete ülevaatamine.

Riskiseire tulemused fikseeritakse tavaliselt organisatsiooni riskiregistris, kuid väikeste organisatsioonide puhul võivad need tulemused olla määratletud organisatsiooni dokumenteeritud protseduurides või muudes riskijuhtimise dokumentides.

Lisa A
(informatiivne)

Näide lihtsustatud meetodist riskide hindamiseks ja riskiregistri lühendatud versiooni väljatöötamiseks väikesele organisatsioonile

A.1 Üldsätted

Riskiregistri struktuur ja koosseis sõltuvad organisatsiooni omadustest. Riskiregistri tüüpvorm on toodud GOST R 51901.22-s. Väikesed organisatsioonid võivad kasutada riskiregistri lühendatud (lihtsustatud) vormi, mille näide on toodud tabelis A.1.

Tabel A.1 – Riskiregistri lihtsustatud vorm

Riskiregistri täitmisel saab kasutada järgmisi skaalasid:

tagajärgede skaala: 5 - katastroofilised tagajärjed, 4 - olulised tagajärjed, 3 - mõõdukad tagajärjed, 2 - väikesed tagajärjed, 1 - väikesed tagajärjed;

ohtliku sündmuse tõenäosusskaala: 5 - väga suur tõenäosus, 4 - suur tõenäosus, 3 - keskmine tõenäosus, 2 - väike tõenäosus, 1 - väga väike tõenäosus;

riski hindamine: aktsepteeritav risk (0-4), kontrollitud risk (5-8), oluline risk (9-25);

riskiravi meetmed: (0) ohtu ei ole, meetmeid ei võeta; (0-4) madal risk, tehakse ainult madalate kuludega toiminguid; (5-8) keskmine risk, toiminguid võetakse arvesse nende elluviimise aega ja majanduslikku otstarbekust; (9-25) kõrge risk, vajalik on kiireloomuliste meetmete rakendamine riski vähendamiseks; (16-25) kõrge risk, koheste (hädaabi)meetmete kasutamine riski vähendamiseks.

A.2 Riskimaatriks

A.2.1 Üldine

Ohtlike sündmuste riski hindamise meetod on toodud standardis GOST R 51901-23*, kuid väikesed organisatsioonid võivad kasutada lihtsustatud riskihindamise meetodeid ning selliste riskihinnangute ebakindlust tuleb arvestada.

________________

*Arvatavasti viga originaalis. Peaks lugema: GOST R 51901.23. - Andmebaasi tootja märkus.

Väikesed organisatsioonid saavad riski olulisuse hindamiseks kasutada riskimaatriksit. Süstemaatiliseks ja järjepidevaks riskihindamiseks on vaja välja töötada riskimaatriks vastavalt järgmistele etappidele:

• ohtliku sündmuse tõenäosuse hindamine (A.2.2);
• ohtliku sündmuse tagajärgede hindamine (A.2.3);
• riskimaatriksi koostamine (A.2.4);
• riskide käsitlemise meetmete kindlaksmääramine (A.2.5).

See näide näitab riskimaatriksi kõige lihtsamat versiooni. Organisatsioon saab sõltuvalt riskihindamise tingimustest välja töötada oma riskimaatriksi.

A.2.2 Ohtliku sündmuse tõenäosuse hindamine

Väikeses organisatsioonis, olenevalt riskiregistri objektist, peab riskijuht vastama küsimusele, milline on ohtliku sündmuse toimumise tõenäosus, kui kasutatakse etteantud kontrolle ja meetodeid riskide vähendamise meetmete juhtimiseks. Sel juhul võite kasutada tabelit A.2.

Tabel A.2 – Ohtliku sündmuse tõenäosuse hindamine

Kahtluse korral ohusündmuse toimumise tõenäosuse hindamises suurendatakse sündmuse ohuhinnangut.

A.2.3 Ohtliku sündmuse tagajärgede hindamine

Olenevalt ohtliku sündmuse mõjupiirkonnast peab riskijuht hindama ohtliku sündmuse tagajärgi olemasolevate kontrollide, juhtimistavade ja riskide maandamise tegevuste alusel. Selleks võite kasutada tabelit A.3.

Tabel A.3 – Ohtliku sündmuse tagajärgede hindamine

Kui tekib kahtlus ohtliku sündmuse tagajärgede hindamises, tõstetakse selle sündmuse auastet.

A.2.4 Riskimaatriksi koostamine

Selles näites kasutatakse kõige lihtsamat riskihindamise meetodit - kvalitatiivne hindamine ohtliku sündmuse tagajärjed ja tõenäosus. Sel juhul arvutatakse risk tagajärgede ja tõenäosuse korrutisena:

Tagajärgede ja tõenäosuste pingeread määratakse tabelite 2 ja 3 järgi.

Saadud tulemused võimaldavad koostada riskimaatriksi (tabel A.4), mida saab kasutada aktsepteeritavate ja vastuvõetamatute riskide tuvastamise aluseks.

Tabel A.4 – Riskimaatriks

Riskiregistri suurema selguse huvides võib riskihinnangu värviliselt esile tõsta:

roheline värv - vastuvõetav risk (0-4);

kollane värv - kontrollitud risk (5-8);

punane (tumepunane) värv - tõsine ja märkimisväärne oht (9-25).

Kindlaksmääratud riskitüüpe saab järjestada nii osakondade sees kui ka kogu organisatsiooni lõikes. Pingerida põhineb riskimaatriksil (tagajärgede ja tõenäosuse korrutis) ning võimaldab tuvastada kõige olulisemad riskid.

A.2.5 Riskiravi strateegia ja meetmete määratlemine

Olenevalt riskihinnangust (vt tabel A.4) tuleks määrata iga riskiregistrisse kantud riski puhul võetavad meetmed. Tabelis A.5 on toodud riskihinnangu põhjal võetud meetmete näide.

Tabel A.5 – Näide riskihinnangut arvesse võttes võetud meetmetest

Riskide maandamise või riskide käsitlemise tegevused võivad olla kantud riskiregistrisse ja/või välja töötatud eraldi dokumendina. Sel juhul tuleb riskiregistris esitada link sellele dokumendile. Toodud näites on riskiravi tegevused kaasatud riskiregistrisse.

A.3 Lisasätted

Kuna riskiregister täieneb pidevalt, siis on vajalik fikseerida riskikannete kuupäevad ja kõik tehtud muudatused. Kui tegevuskava on kantud riskiregistrisse, tuleb fikseerida plaanis sisalduvate toimingute tegemise eesmärk ja ajaraam.

Riskiregistri kommentaaride või märkuste veerg võimaldab teha viiteid vajalikku teavet näiteks koosoleku pidamine, kus arutati selle riski probleeme.