Risk on seotud igasuguse äritegevusega.

Projekti elluviimise käigus viiakse läbi operatiivtegevus, investeerimistegevus ja finantstegevus. Igat tüüpi tegevused on seotud iga investeerimisprojekti tüüpiliste riskidega.

IP-s võib ette näha teatud stabiliseerimismehhanismid, et tagada intellektuaalomandi osaliste kaitse selle rakendamise tingimuste ebasoodsa muutumise korral, meetmed riskide taseme vähendamiseks ja nende hüvitamine. Kui me räägime sisemistest riskidest, siis on võimalik riski enda astet vähendada (lisakulude tõttu reservide ja varude loomisel, tehnoloogiate täiustamisel ja tootmisõnnetuste vähendamisel, materiaalsete stiimulite tõttu toote kvaliteedi parandamiseks, reservvõimsuste loomisel). jm) IS-i kasutuselevõtt riskiastme vähendamiseks on võimalik IT-teenistuse töötajate ja teiste uue IS-iga töötamisel osalevate töötajate materiaalsete soodustuste, samuti reservide ja varude loomise lisakulude tõttu, IS-i proovioperatsiooni läbiviimine jne.

Mis tahes stabiliseerimismehhanismide kasutamine nõuab lisakulusid, mille suurus sõltub projekti elluviimise tingimustest, selles osalejate huvidest ja riskivõimaluse astme hinnangutest. Arvestada tuleb riskipreemia erinevate väärtustega, olenevalt projekti eesmärkidest ja selle elluviimist mõjutavatest teguritest. Mida suurem on rakendusprojekt (näiteks ettevõtte IP juurutamisprojekt), seda kõrgem on selle riskitase.

Kõik IP rakendamisega seotud riskid, olenevalt esinemise allikatest ja kõrvaldamisvõimalustest, võib jagada välisteks (objektiivsed, süstemaatilised või mittediverseeritavad) ja sisemisteks (subjektiivsed, mittesüstemaatilised või hajutatud).

Välised ja sisemised riskid on omavahel seotud.

Välised riskid ei sõltu konkreetsest ettevõttest või üksikettevõtjast. Need riskid esinevad kõigis IP rakendamise etappides. Need tekivad turgu kui tervikut mõjutavate väliste sündmuste tagajärjel, mõjutavad kõigi ettevõtete tulusid kõigi üksikettevõtjate jaoks ja neid ei saa mitmekesistamise abil täielikult kõrvaldada.

Välisriskide hulka kuuluvad: poliitilised, seadusandlikud, makromajanduslikud, looduskatastroofide riskid (vääramatu jõu riskid). Riigirisk sisaldub sageli diskontomääras välisriskide arvestamiseks.

Sisemised riskid põhjustatud sellele ettevõttele või üksikettevõtjale omastest teguritest. Need riskid mõjutavad üksikute ettevõtete sissetulekuid individuaalse intellektuaalomandi eest ja erinevad intellektuaalomandi eri etappides. Neid saab suures osas kõrvaldada mitmekesistamise teel.

IP puhul on sisemiste riskide teket põhjustavad konkreetsed tegurid järgmised:

IS-i kasutuselevõtu tähtaegade ületamine, rakenduseelarve;

IS-i kasutuselevõtu aja märkimisväärne pikendamine;

muutused tarkvara ja riistvara hankimise vajaduses, inimressursi puudus jne;

katkestused ostetud riistvara tarnimisel, kaasatud konsultantide vähesus või nende pädevuse tase;

lepingute kaotamine vale silumise või IS-i töö katkestuste tõttu;

õnnetused ja tõrked riist- või tarkvara töös jne.

Struktuurselt hõlmavad sisemised riskid:

1 varalised riskid, mis on seotud ettevõtte või üksikettevõtja vara kaotamise tõenäosusega erinevatel põhjustel (varguse, tulekahju, hooletuse tõttu);

2 tootmisriskid, mis on seotud erinevate tegurite mõjul tekkinud tootmiskatkestusest tulenevate kadudega ning eelkõige põhi- ja käibevara kahjustumisega, samuti riskid, mis on seotud uute seadmete ja tehnoloogiate tootmisse kasutuselevõtuga (näiteks tootmisprotsesside kasutuselevõtuga). uus IS);

3
äririskid, mis on seotud kahjudega, mis on tingitud maksete hilinemisest, kauba transportimisel maksmisest keeldumisest, tooraine ja komponentide tarnimata jätmisest või nende tarnimisest kõrvalekaldumisega kavandatud ajast jne;

4 finantsriskid, mis on seotud ebaratsionaalse kapitaliinvesteeringu tõttu rahaliste vahendite kaotamise tõenäosusega.

IP juurutamise erinevatel etappidel IP juurutamiseks esineb erinevaid sisemisi riske.

Mõelge esinevatele tüüpilistele vigadele otsustamise etapis IP rakendamise kohta.

1 Automatiseerimisstrateegia kehv läbitöötamine (ettevõttel puudub sidus pikaajaline IT-strateegia, mis vastaks tema äritegevuse mastaapidele ja kasvutempole).

2 IP valimisel kirg teatud toodetega seotud moesuundade vastu.

3 Otsige ideaali, mis sobib ideaalselt ettevõtte spetsiifikaga.

4 Ettevõtte ühe osakonna lobitöö IP juurutamiseks – tulemuseks võib olla süsteemi mittevastavus teiste võtmeüksuste vajadustega.

5 Hankeülesande vale koostamine – ülesannet ei koostata IP peamiste nõuete järgi, vaid lihtsalt kogutakse ja tehakse kokkuvõte kõikidest osakondadest. Selline lähenemine võtab reeglina arvesse ainult allüksuste kehtivaid nõudeid, mitte aga ettevõtte kui terviku strateegilisi eesmärke.

Kõige tavalisem viga valides IS - kirg asja tehnilise poole vastu funktsionaalse teostatavuse arvelt, mille dikteerivad rakendamise lõppeesmärgid. Selleks, et hindamine ei oleks ühekülgne, on vaja algusest peale kaasata süsteemi valikusse nii “aine” osakondade töötajad kui ka ettevõtte tippjuhid.

Rakendamise etapis projekti kõige tõsisemad riskid on järgmised.

1 Ettevõtte tippjuhtkonna vähene valmisolek muutusteks ettevõtte äriprotsessides ja organisatsiooni struktuuris.

2 Ebaõnnestunud väliskonsultantide valimine projekti (lähtudes minimaalse maksumuse põhimõttest või partnerlusest konkreetse tarkvaramüüjaga). Projekti töövõtja – konsultandi valikul tuleb järgida järgmisi kriteeriume: professionaalsus, usaldusväärsus ja tulemuste prognoositavus.

3 Inimfaktori mõju projekti elluviimise protsessis (muutused tehnoloogias, tööreeglites ja formaatides, vajadus arvestada töötajate reaktsiooniga elluviimisele).

4 Põhiliste juhtimis- ja täitevvolituste delegeerimine IT-osakonnale. Projektimeeskonda peavad kuuluma kõigi “ainete” osakondade võtmetöötajad, kes seejärel töötavad juurutava süsteemiga.

Tuleb märkida, et soovitused IS-i rakendamise ja toimimise raskuste ületamiseks tuleks välja töötada konkreetse ettevõtte tegevuse spetsiifikast lähtuvalt. Esiteks peavad ettevõtte juhtkond ja IT-osakond olema teadlikud sellest, et edaspidi peab ettevõte IP parandamiseks pidevalt pingutama. Üleminek töörežiimilt "disainirežiimilt" täiustamise ja muutmise faasi on mõne ettevõtte jaoks oluline probleem, mille lahendamine nõuab hoolikat uurimist ja planeerimist. Riskiuuringute oluliseks ülesandeks on kindlaks teha, millises etapis on konkreetse riski esinemine tõenäolisem.

Rakendamise etapis hakkavad täies mahus ilmnema projekti eelmistes etappides omased riskid, nn tootmisriskid. Neile lisanduvad ka “otsa otsani” riskid, mis realiseeruvad praktiliselt igas projekti etapis. Läbivad hõlmavad eelkõige sisepoliitilisi riske - sageli toimib IP juurutamise projekt ettevõttes poliitilise võitluse hoovana. Kui projekt puudutab vara-, kauba- ja rahavoogusid kontrollivate suurte meeskondade ja kõrgemate juhtide eluliste huvide sfääri, võib isegi ideaalse planeerimise ja teostuse korraldamise korral tekkida olulisi probleeme.

Kliendi ja konsultandi vahelise koormuse tasakaalustamisega kaasneb ka otsast lõpuni risk. Projekti käigus peaks konsultantide tehtava töö osakaal vähenema, vastasel juhul tekib kliendiettevõttel raskusi IS-i edasisel toimimisel ilma konsultantideta. Projekt võib halvasti areneda ka inimteguri mõju tõttu (personali vastupanu, projektist tulenev psühholoogiline väsimus), samuti ettevõttesisese ebatõhusa suhtluse tõttu.

Projekti tagasilükkamine personali poolt tuleneb reeglina infopuudusest: ettevõtte juhtkond ei ole kursis projektimeeskonna tegemistega ning töötajad ei näe selle elluviimisel üldse mõtet. Õigeaegne ja regulaarne teavitustöö, mille eest peaksid vastutama projektimeeskonna liikmed, võib ületada töötajate negatiivsed hoiakud.

Pärast projekti lõppu hakkavad ilmnema pikaajalised riskid, mis takistavad IP tõhusat kasutamist ja edasist arendamist ettevõttes. Suured pikaajalised riskid tulenevad ebapiisavast toetusest välistele ja sisemistele muutustele. Inimfaktoriga on seotud oluline pikaajaline risk – konsultantide projektis osalemise lõpetamine. Lisaks on oht infoturbe rikkumiseks – võimalik äriinfo lekkimine ettevõttest.

Juhtimine pikaajaliste riskide hulgas (nii kahju raskuse kui ka minimeerimise keerukuse poolest) kuulub tegurite hulka, mis on seotud ettevõtte ümberkorraldamisega, aga ka äriprotsesside paindlikkuse kadumisega.

Pikaajalistel riskidel on aga sekundaarne mõju IP elutsüklile. Esiteks on vajalik IP kompetentne planeerimine ja edukas rakendamine.

IT-projektide riskide kirjeldamise mõte seisneb selles, et enne projektiga alustamist tuleb need riskid eelnevalt välja selgitada ja võtta kasutusele ennetavad meetmed. Soovitav on välja tuua peamised tegevused, mille eesmärk on ennetada IT-projektide riskiolukordi:

1 projekti eesmärkide kohustuslik dokumenteerimine, samuti kõik selle elluviimisel tekkivad muudatused projekti dokumentatsioonis;

2 töötajate motivatsiooni tõstmine materiaalsete soodustuste kaudu;

3 kolmandate isikute kvalifitseeritud spetsialistide kaasamine;

4 meeskonnaliikmete ja ettevõtte kõrgema juhtkonna koolitus projektijuhtimise metoodikas jne.

Kõigile üksikutele ettevõtjatele IP rakendamisel tüüpiliste riskide hulgast võib eristada järgmist:

1 projektiriskid süsteemi loomisel (IS-i disainile omased);

2 organisatsioonilised riskid (sh inimfaktori mõju IS-i juurutamise ja toimimise protsessile, selle tulemusena - IS-i abil töödeldavate andmete väär tõlgendamine);

3 tehnilised riskid, nagu seisakud, tõrked, andmete kadumine või riknemine jne;

4 süsteemi toimimisega seotud ärikahjude riskid (äririskid) (mis tulenevad tehnilistest riskidest).

Projekti riskid ilmnevad IP kavandamise või tarnimise etapis. Nende hulka võivad kuuluda näiteks teatud tarkvara või tehniliste lahenduste vananemise oht, samuti IC komponentide tarnimise hilinemise risk. Arvestades aga IP tarnimiseks ja juurutamiseks kuluvat suhteliselt lühikest aega, aga ka selliste projektide elluviimise tingimusi, kus reeglina otsustab kõik tarnimise ja rakendamisega seotud küsimused üks tarnijaettevõte, on tõenäosus risk on väike.

Organisatsiooniriskide maksumust on võimalik hinnata ekspertmeetodil. Paljud organisatsioonilised riskid võivad piisava esinemise tõenäosusega vähendada kogu automatiseerimise mõju nullini või isegi paljastada automatiseerimisest tuleneva kahju, mistõttu tuleb nende analüüsile läheneda eriti hoolikalt.

Kõige ilmsemad organisatsioonilised riskid on järgmised.

1 Personali sabotaaž. See risk tühistab kõik IP juurutamise jõupingutused. See võib tekkida mitmel põhjusel: näiteks hirm töökoha kaotamise ees seoses kavandatava personali vähendamisega, soov varjata ühe või teise töötaja tegelikke töötulemusi, vältida ebakompetentsuse paljastamist jne.

2 IS-i toimimise tulemusena saadud andmete analüüsist tehtud ekslikud järeldused, s.o. IS-is töödeldavate andmete väär tõlgendamine.

3 Varguse või personali reetmise tagajärjel süsteemi kogunenud info edastamine konkurentidele jne.

Ettevõtte IT-teenistuse, aga ka strateegilise arenduse ja planeerimise osakonna kavandatav töö peaks sisaldama soovituste väljatöötamist IS-i juurutamisprojekti riskide vähendamiseks. Samuti on vaja läbi viia IP katseoperatsioon, töötada kvalifitseeritud konsultantide ja usaldusväärsete seadmete tarnijatega, lisada IP juurutamisprojekti esialgsesse kulukalkulatsiooni IP-ga töötavatele töötajatele lisatasud. Olulised tegurid riskide minimeerimiseks on ka: tippjuhtide tähelepanelik suhtumine üksikutesse ettevõtjatesse IP juurutamisel ja ettevõtte automatiseerimise üldise strateegia esialgne väljatöötamine.

Hetkel puudub ettevõtte ühtne projektiriskide klassifikatsioon. Ettevõtte koolituskeskuse avamise ja arendamise projektiga kaasnevad aga järgmised peamised riskid.

Kuna selles ettevõtte avamise etapis "See - progress" on ebaotstarbekas arvestada kõiki tarkvara loomise riske, on vaja analüüsida tarkvara arendamise ja müügiga tegeleva ettevõtte avamise riske.

Tabel 2.1 – Tarkvaraarendaja ettevõtte avamise riskid

Tabeli 2.1 jätk

Delphi meetod sarnaneb ajurünnaku meetodiga, kuid osalejad ei tunne üksteist. Koolitaja kasutab küsimuste loendit, et saada ideid projekti riskide kohta, kogudes vastuseid ekspertidelt. Seejärel analüüsitakse ekspertide vastuseid, kategoriseeritakse ja tagastatakse ekspertidele edasiste kommentaaride saamiseks. Konsensus ja riskide loetelu saavutatakse selle protsessi mitme tsükli kaudu. Delphi meetod välistab kaaslaste surve ja hirmu kohmetuse ees idee väljendamisel.

Projektiriskide register sisaldab tabelina loetaval kujul teavet teadaolevate, tuvastatud projektiriskide kohta. Projekti riskiregister peab alati sisaldama ajakohast teavet, mis määrab täielikult projektimeeskonna riskidega töötamise kvaliteedi.Tavaliselt sisaldab projekti riskiregister järgmist infot:

• ID- projekti riski kordumatu identifitseerimisnumber. Kui seda kasutatakse, peab see number ühtima PMIS-is näidatud riski ID-ga.
• Riski kirjeldus- projekti riski üksikasjalik kirjeldus.
• Kategooria- riskikategooria vastavalt KSPP-le. Näiteks investeerimisrisk, tehnoloogiline risk, projektimeeskonnaga seotud risk jne.
• Tüüp- riski tüüp: positiivne või negatiivne. Positiivsed riskid mängivad projektimeeskonna kätte ja kannavad lisakasu, mis võimaldab projekti kiiremini ellu viia. Teisest küljest vähendavad negatiivsed riskid projekti eduka lõpuleviimise tõenäosust.
• Mõjutamine- riski mõju ühele neljast projekti põhiparameetrist: maksumus, ajastus, sisu või kvaliteet. Tavaliselt on need hinnanguliselt 0,05, 0,1, 0,2, 0,4, 0,8.

• Kogumõju- riski üldine mõju sõltub valitud mudelist ( max- kasutatakse maksimaalset väärtust, keskm- kasutatakse keskmist väärtust) ja see määratakse riski mõju alusel neljale parameetrile.
• Tõenäosus- riski esinemise tõenäosus. Tavaliselt hinnatakse 0,1, 0,3, 0,5, 0,7, 0,9.
• Tähendus- tegelikult arvutatakse riski suurus tootena Totaalne mõju peal Tõenäosus.
• strateegia- riskidele reageerimise strateegia. Valitakse üks seitsmest strateegiast. Negatiivsete riskide jaoks: põiklemine, langetamine, jagamine... Positiivsete riskide jaoks: edastamine, kasutamine, võimendamine... Kõigi riskide jaoks: Lapsendamine.
• tegevust- riskiga tegelemise meetmete kirjeldus vastavalt valitud reageerimisstrateegiale.
• Vastutav- Riskijuhtimise eest vastutava projektimeeskonna liikme nimi.

R 50.1.084-2012 Riskijuhtimine. Riskiregister. Organisatsiooni riskiregistri juhised

määrake järjehoidja

määrake järjehoidja

Riskijuhtimine

RISKIREGISTREER

Organisatsiooni riskiregistri juhised

Riskijuhtimine. Riskiregister. Juhend organisatsiooni riskiregistri koostamiseks

Tutvustuse kuupäev 2013-12-01

Eessõna

1 VÄLJATÖÖTAJA Autonoomne Mittetulundusorganisatsioon "Tehniliste süsteemide juhtimis- ja diagnostikauuringute keskus" (ANO "NITs KD")

2 TUTVUSTAS Standardimise Tehniline Komitee TC 10 "Riskijuhtimine"

3 KINNITUD JA JÕUSTUTATUD Föderaalse Tehnilise Eeskirja ja Metroloogia Agentuuri 29. novembri 2012. aasta korraldusega N 1283

4 ESIMEST KORDA TUTVUSTATUD

Teave nende soovituste muudatuste kohta avaldatakse iga-aastases registris "Juhenddokumendid, soovitused ja reeglid" ning muudatuste ja muudatuste tekst avaldatakse igakuises teabeindeksis "Riiklikud standardid". Nende soovituste läbivaatamise (asendamise) või tühistamise korral avaldatakse vastav teade igakuises teaberegistris "Riiklikud standardid". Asjakohane teave, teated ja tekstid postitatakse ka avalikku infosüsteemi - föderaalse tehniliste eeskirjade ja metroloogiaameti ametlikule veebisaidile Internetis

Sissejuhatus

Riskiregister on üks viise ohtlike sündmuste ja riskide kohta teabe esitamiseks ja säilitamiseks. Riskiregistri olemasolu võimaldab organisatsioonil saada teavet konkreetse ohuallika, tagajärgede, ohusündmuste mõjuobjekti jms kohta. Riskiregistri arendamine, eriti suure hulga ohuallikate olemasolul, nõuab aga palju pingutust, aega, raha ja palju teavet.

Organisatsioon määrab riskiregistri arendamise ja pidamise vajaduse iseseisvalt.

3.2 riskiregister(riskiregister) vorm tuvastatud riski kohta teabe salvestamiseks.

MÄRKUS Termini "riskiregister" asemel kasutatakse mõnikord terminit "riskilogi".

3.3 oht(oht): potentsiaalse kahju allikas.

MÄRKUS Oht võib olla riskiallikaks.

3.4 riskijuht(riskijuht) riskide tuvastamise, hindamise, analüüsimise, töötlemise, jälgimise ja muude organisatsiooni riskijuhtimise valdkonna tegevuste spetsialist.

4 Organisatsiooni riskiregistri väljatöötamise kord

4.1 Üldine

Organisatsioon peaks kindlaks määrama riskiregistri arendusvajaduse, etapid, vormi ja meetodid. Organisatsiooni riskiregistri arendamise peamised eesmärgid, selle koht riskijuhtimissüsteemis, riskiregistri eelised ja puudused on sätestatud GOST R 51901.21.

Organisatsiooni riskiregister on tuvastatud ohusündmuste üle arvestuse pidamise vorm, millega hinnatakse nendega kaasnevat riski, töötlemise meetodeid ja ajastust. Riskiregistri pidamisel on vaja arvestada vastavate kohustuslike nõuetega, samuti muu olemasoleva teabega ohuliikide ja selle esinemise riski kohta. Olenevalt organisatsiooni spetsiifikast saab riskiregistri vormi ja sisu muuta või täiendada võrreldes tabelis 1 toodud riskiregistri tüüpvormiga. GOST R 51901,22.

Riskiregistri koostamisel peaks organisatsioon arvestama:

• organisatsiooni riskijuhtimise poliitika, eesmärgid ja strateegia;
• organisatsiooni pakutavate toodete ja teenuste omadused;
• organisatsiooni peamised tootmis- ja juhtimisprotsessid;
• kehtestatud ja kasutatavad analüüsi- ja riskihindamise meetodid;
• seaduslikud nõudmised;
• valmistatud toodete töötingimused.

Vastutus riskijuhtimise eest tuleks määrata vastutavale riskijuhile või riskijuhtimisrühmale, sealhulgas vastutus riskide kontrollimise ja jälgimise eest. Nõuded riskijuhtidele on kehtestatud standardis GOST R 51901.21.

Organisatsiooni riskiregistri arendamine, kinnitamine, haldamine ja ajakohastamine peaks toimuma vastavalt punktile 5 GOST R 51901,22.

Riskiregistri teabevahetus ja riskiregistriga seotud teabe konfidentsiaalsuse tagamine tuleb läbi viia, võttes arvesse GOST R 51901.22 punkti 6 nõudeid ja määruses kehtestatud soovitusi. R 50.1.070.

Lihtsustatud riskihindamise meetodi ja väikeorganisatsiooni vähendatud riskide registri väljatöötamise näide on toodud lisas A.

4.2 Organisatsiooni riskijuhtimise protsessi sammud

Organisatsiooni riskiregistri väljatöötamise verstapostid peaksid olema kooskõlas riskijuhtimise protsessi etappidega. Samas sõltub etappide sisu organisatsiooni riskijuhtimise iseärasustest. Riskijuhtimise põhimõtted on kehtestatud standardis GOST R ISO 31000. Väikeste organisatsioonide riskijuhtimise protsessi põhielemendid on näidatud joonisel 1.

Joonis 1 – Riskijuhtimise protsessi üldine ülevaade

Väikeste organisatsioonide riskijuhtimise protsessi põhielementide kirjeldus on toodud aastal R 50.1.069.

4.3 Organisatsiooni riskijuhtimise protsessi kaart

Lähtudes riskijuhtimise protsessist vastavalt standardile GOST R 51901.21, saab organisatsioon koostada riskijuhtimise protsessi kaardi. Väikeste organisatsioonide protsessikaardi väljatöötamisel on soovitatav säilitada riskijuhtimise põhielemendid (ohusündmuste tuvastamine, kvantitatiivne riskianalüüs, riskianalüüs ja võrdlev hindamine, riskide käsitlemine, monitooring ja läbivaatamine), samas kui nende sisu on võimalik täpsustada. olenevalt organisatsiooni tegevuse iseärasustest.

4.4 Organisatsiooni riskiregistri arendamine

4.4.1 Üldine

Riskijuhtimisprotsessi igas etapis tehtud toimingute tulemused tuleks kajastada riskiregistris. Riskiregistri koostamise reeglid on toodud GOST R 51901,22... Riskiregistri tüüpvorm on näidatud GOST R 51901.22 tabelis 1.

Vastutuse määramine organisatsiooni riskiregistri arendamise ja pidamise eest peaks olema kooskõlas riskijuhtimise protsessi etappidega, kuna riskiregistris sisalduv teave ja kohandused tuleks teha pärast riskijuhtimisprotsessi iga etapi lõppemist.

Organisatsiooni riskiregistri arendamise põhietapid on kirjeldatud punktides 4.4.2-4.4.6.

4.4.2 Riskiregistri eesmärkide ja ulatuse kehtestamine

Organisatsioon kehtestab organisatsiooni välised ja sisemised eesmärgid ning riskijuhtimise eesmärgid ülejäänud riskijuhtimisprotsessi elementide täitmiseks. Juhised riskijuhtimise ulatuse määratlemiseks on toodud R 50.1.068.

Riskiregistri eesmärkide ja ulatuse määratlemisel määratakse kõigepealt kindlaks riskiregistri objektid. Riskiregistri objektid võivad olla:

• organisatsioon tervikuna, selle struktuuriüksus või osa sellest;
• toode, teenus, protsess või tegevus;
• töötajad või üksikud töötajad.

Üldnõuded riskiregistri ulatuse määramiseks on kehtestatud standardis GOST R 51901.21.

4.4.3 Riskikriteeriumide väljatöötamine

Organisatsioon peaks kehtestama riskikriteeriumid. Kriteeriumid peaksid kajastama eesmärki ja ulatust. Need sõltuvad sageli asjaosaliste huvidest, samuti asjakohastest juriidilistest ja/või regulatiivsetest nõuetest. Riskikriteeriumid võivad olla operatiivsed, tehnilised, rahalised, juriidilised, seadusandlikud, sotsiaalsed, keskkonna-, humanitaar- ja/või muud.

Riskijuhtimise ulatuse kindlaksmääramisel tuleks välja töötada otsustuskriteeriumide üldine kirjeldus. Riskikriteeriume tuleks täpsustada ja/või üle vaadata pärast konkreetse riskiliigi tuvastamist ja riskianalüüsi meetodi valimist. Riskikriteeriumid peaksid vastama riski tüübile ja selle esitusviisile.

Riskikriteeriumid registreeritakse tavaliselt organisatsiooni riskiregistris, kuid väikeste organisatsioonide puhul saab riskikriteeriumid kehtestada organisatsiooni dokumenteeritud protseduurides või muudes riskijuhtimisdokumentides.

4.4.4 Ohtlike sündmuste tuvastamine

Ohtlike sündmuste tuvastamine peaks hõlmama selliste nähtuste ja sündmuste tuvastamist, mis võivad mõjutada riskiregistri ulatuses tuvastatud riskiregistri üksusi. Ohtlike sündmuste tuvastamise üldnõuded riskiregistrisse kandmiseks on kehtestatud punktis 4.2. GOST R 51901.21.

Väikeste ja väikeste organisatsioonide puhul võib ohtlike sündmuste tuvastamine koosneda kolmest etapist:

• riskide tuvastamise meetodite määramine;
• ohtlike sündmuste tuvastamine;
• ohtliku sündmuse toimumise põhjuste väljaselgitamine.

Organisatsioon peab kõigepealt kindlaks määrama riski tuvastamise meetodid. Riski tuvastamisel saab kasutada järgmisi meetodeid: kontrollnimekirjade analüüs, eksperthinnangud, eksperimentaalsete ja ajalooliste andmete analüüs, usaldusväärsuse struktuurskeemi analüüs, ajurünnaku meetod, süsteemianalüüs, stsenaariumide analüüs, süsteemi projekteerimise meetodid. Neid meetodeid käsitletakse üksikasjalikumalt standardis GOST R ISO / IEC 31010. Meetodi valik sõltub riski tüübist, organisatsiooni ulatusest ja riskijuhtimise eesmärkidest ning organisatsiooni riskide juhtimiseks kasutatavatest ja nõutavatest kontrollidest ja meetoditest.

Riskide tuvastamise meetodid registreeritakse tavaliselt organisatsiooni riskiregistris, kuid väikeste organisatsioonide puhul saab riskide tuvastamise meetodid määratleda organisatsiooni dokumenteeritud protseduurides või muudes riskijuhtimisdokumentides.

Järgmine samm on ohtlike sündmuste tuvastamine, mille käigus organisatsioon peab koostama üldise loetelu ohtlikest sündmustest, mis võivad tema tegevust ja eesmärkide saavutamist negatiivselt mõjutada. Nimekirja alusel on vaja üksikasjalikult kirjeldada iga tuvastatud ohtlikku sündmust, mis võib juhtuda. Ohtlike sündmuste loetelu koostamisel võib kasutada lisas A toodud ohuklassifikatsiooni. GOST R 51901.21.

Ohtliku sündmuse nimi tuleks sõnastada arusaadavas lauses. Ohtliku sündmuse puhul, mille nimi on piisavalt pikk, võib kasutada lühikest nimetust.

Pärast võimalike ohtlike sündmuste tuvastamist on vaja läbi mõelda nende esinemise allikad ja põhjused ning võimalikud tagajärjed organisatsiooni tegevusele.

Ohtlikud sündmused, nende allikad ja võimalikud tagajärjed kantakse organisatsiooni riskiregistrisse (olenemata selle suurusest).

Ohu tuvastamise etapi läbiviimisel on soovitatav arvestada GOST R 51901.23 nõuetega.

4.4.5 Riskianalüüs

Ohtlike sündmuste riskianalüüsi üldised nõuded riskiregistrisse kandmiseks on kehtestatud GOST R 51901.22 punktis 4.3.

Riskianalüüs hõlmab ohtlike sündmuste allikate, nende tagajärgede ja nende toimumise tõenäosuste uurimist. Samal ajal tuleks välja selgitada ka sündmuse tagajärgi ja tõenäosust mõjutavad tegurid. Riski tuleks analüüsida, võttes arvesse sündmuse tagajärgede ja selle tõenäosuse kombinatsiooni. Lisaks peaks organisatsioon läbi vaatama ja hindama kasutatavaid kontrolle ja meetodeid. Sündmuse tagajärgede ulatust ja selle tõenäosust tuleb hinnata, võttes arvesse olemasolevate strateegiate, kontrollide ja juhtimismeetodite tõhusust.

Organisatsiooni riskianalüüsi saab teha erineva detailsusega, olenevalt riski iseloomust, analüüsi eesmärgist, olemasolevatest andmetest ja ressurssidest. Riskianalüüs võib olla kvalitatiivne, kvantitatiivne või kombineeritud. Väikeste organisatsioonide puhul kasutatakse üldise riskihinnangu saamiseks ja riskiprobleemide tuvastamiseks tavaliselt kvalitatiivset analüüsi. Kui organisatsioon otsustab edasise detailse analüüsi vajaduse üle, siis saab rakendada riskianalüüsi kvantitatiivseid või kombineeritud meetodeid. Seda tüüpi riskianalüüside kirjeldus on esitatud R 50.1.069 ja GOST R ISO / IEC 31010.

Riskianalüüsi eesmärkide täitmise tagamiseks tuleks valida viis, kuidas sündmuste tagajärgi ja tõenäosust riskiregistris esitatakse.

Riskianalüüsis tuleks arvesse võtta tagajärgede ja sündmuse tõenäosuse hinnangute ebakindlust ja varieeruvust ning riskikommunikatsiooni tõhusust. Kvantitatiivsete andmete sisestamisel riskiregistrisse tuleks märkida (võimaluse korral) seotud määramatus.

4.4.6 Võrdlev riskihindamine

Riskide võrdleva hindamise üldnõuded riskiregistrisse kandmiseks on kehtestatud punktis 4.4. GOST R 51901,22.

Väikese organisatsiooni riskide võrdleva hindamise eesmärk on riskianalüüsi tulemuste ja riskide aktsepteerimise kriteeriumide põhjal teha otsuseid riskikäsitluse vajaduse ja riskikäsitluse prioriseerimise kohta.

Võrdleva riskihinnangu tegemisel tuleks juhinduda GOST R 51901.23 nõuetest.

Võrdleva riskihindamise tulemused kantakse üldjuhul organisatsiooni riskiregistrisse, kui organisatsiooni dokumenteeritud protseduurides või muudes riskijuhtimise dokumentides ei ole sätestatud teisiti.

4.4.7 Riski käsitlemine

Riskikäsitluse üldised nõuded riskiregistrisse kandmiseks on kehtestatud GOST R 51901.22 punktis 4.5.

Riskiravi staadiumis viiakse läbi riskiravistrateegia valik, tagajärgede, ohusündmuse ja riski tõenäosuse hindamine (võttes arvesse valitud riskiravistrateegia rakendamist), meetmed riskide maandamiseks. , määratakse kindlaks ajastus ja nende rakendamise eest vastutajad ning hinnatakse riskiravi tulemusi.

Väikeste organisatsioonide jaoks on riskiravi etapiga seotud riskiregistri kohustuslikud elemendid riskiravi tegevuste määratlemine, nende kavandatud ja tegelik elluviimise ajastus.

Tavaliselt on väikese organisatsiooni riskide käsitlemise eelarve piiratud, seega peaksid ravimeetodid määrama ka selle, kuidas iga riski käsitletakse. Organisatsioon võrdleb riskijuhtimisest ja ennetusmeetmetest saadava säästu vastu meetmeid, mis tekivad sellise ohusündmuse kogukulusid, mis toimuvad siis, kui meetmeid ei võeta.

4.4.8 Riskide jälgimine ja riskiregistri ülevaatamine

Üldnõuded riskide monitooringule ja riskiregistri revisjonile on kehtestatud punktis 4.6. GOST R 51901,22.

Organisatsioon peab tagama riskijuhtimise protsessi järjepidevuse, mistõttu on vajalik regulaarselt jälgida kõiki riskiliike ja vaadata üle riskiregistri kandeid.

Riskiseire tulemused fikseeritakse tavaliselt organisatsiooni riskiregistris, kuid väikeste organisatsioonide puhul saab need tulemused määrata organisatsiooni dokumenteeritud protseduurides või muudes riskijuhtimist käsitlevates dokumentides.

Lisa A
(viide)

Lihtsustatud riskihindamise meetodi näide ja vähendatud riskide registri väljatöötamine väikesele organisatsioonile

A.1 Üldine

Riskiregistri struktuur ja koosseis sõltuvad organisatsiooni omadustest. Riskiregistri tüüpvorm on toodud GOST R 51901.22-s. Väikesed organisatsioonid võivad kasutada riskiregistri lühendatud (lihtsustatud) vormi, mille näide on toodud tabelis A.1.

Tabel A.1 – Riskiregistri lihtsustatud vorm

Riskiregistri täitmisel saab kasutada järgmisi skaalasid:

tagajärgede skaala: 5 - katastroofilised tagajärjed, 4 - olulised tagajärjed, 3 - mõõdukad tagajärjed, 2 - väikesed tagajärjed, 1 - ebaolulised tagajärjed;

ohtliku sündmuse tõenäosuse skaala: 5 - tõenäosus on väga suur, 4 - tõenäosus on suur, 3 - tõenäosus on keskmine, 2 - tõenäosus on väike, 1 - tõenäosus on väga väike;

riski hindamine: aktsepteeritav risk (0-4), kontrollitud risk (5-8), oluline risk (9-25);

riskide käsitlemise meetmed: (0) riski puudub, meetmeid pole võetud; (0-4) madal risk, tehakse ainult madalate kuludega toiminguid; (5-8) keskmine risk, toiminguid võetakse arvesse nende elluviimise aega ja majanduslikku otstarbekust; (9-25) kõrge risk, vajalik on kiireloomuliste riskide vähendamise meetmete rakendamine; (16-25) kõrge risk, koheste (hädaabi)meetmete kasutamine riski vähendamiseks.

A.2 Riskimaatriks

A.2.1 Üldine

Ohtlike sündmuste riski hindamise meetod on toodud standardis GOST R 51901-23 *, kuid väikesed organisatsioonid võivad kasutada riskihindamise lihtsustatud meetodeid, samas kui on vaja arvestada selliste riskihinnangute ebakindlusega.

________________

* Ilmselt viga originaalis. Peaks lugema: GOST R 51901.23... - Andmebaasi tootja märkus.

Väikesed organisatsioonid saavad riski olulisuse hindamiseks kasutada riskimaatriksit. Süstemaatiliseks ja järjepidevaks riskihindamiseks on vaja välja töötada riskimaatriks vastavalt järgmistele etappidele:

• ohtliku sündmuse tõenäosuse hindamine (A.2.2);
• ohtliku sündmuse tagajärgede hindamine (A.2.3);
• riskimaatriksi koostamine (A.2.4);
• riskide käsitlemise korra kindlaksmääramine (A.2.5).

See näide näitab riskimaatriksi kõige lihtsamat versiooni. Organisatsioon saab sõltuvalt riskihindamise tingimustest välja töötada oma riskimaatriksi.

A.2.2 Ohtliku sündmuse tõenäosuse hindamine

Väikeses organisatsioonis peab riskijuht, olenevalt riskiregistri objektist, vastama küsimusele, milline on ohujuhtumi toimumise tõenäosus, kui kasutatakse etteantud kontrolle ja meetodeid riskide maandamise meetmete juhtimiseks. Sel juhul võib kasutada tabelit A.2.

Tabel A.2 – Ohtliku sündmuse tõenäosuse hindamine

Kui ohtliku sündmuse tõenäosuse hindamisel on kahtlusi, suurendatakse sündmuse ohuastet.

A.2.3 Ohtliku sündmuse tagajärgede hindamine

Olenevalt ohusündmuse mõjupiirkonnast peaks riskijuht hindama ohusündmuse tagajärgi olemasolevate kontrollide, juhtimistavade ja riskide maandamise meetmetega. Selleks võite kasutada tabelit A.3.

Tabel A.3 – Ohtliku sündmuse tagajärgede hindamine

Kui tekib kahtlus ohtliku sündmuse tagajärgede hindamises, tõstetakse selle sündmuse auastet.

A.2.4 Riskimaatriksi koostamine

Antud näites kasutatakse riskihindamise lihtsaimat viisi – ohtliku sündmuse tagajärgede ja tõenäosuse kvalitatiivset hindamist. Sel juhul arvutatakse risk tagajärgede ja tõenäosuse korrutisena:

Tagajärjejärjekorrad ja tõenäosused määratakse tabelite 2 ja 3 põhjal.

Saadud tulemused võimaldavad koostada riskimaatriksi (tabel A.4), mida saab kasutada aktsepteeritavate ja mitteaktsepteeritavate riskide tuvastamisel.

Tabel A.4 – Riskimaatriks

Riskiregistri suurema selguse huvides võib riskihinnangu värviliselt esile tõsta:

roheline – aktsepteeritav risk (0-4);

kollane värv - kontrollitud risk (5-8);

punane (tumepunane) värvus on tõsine ja märkimisväärne oht (9-25).

Tuvastatud riskitüüpe saab järjestada nii osakondade sees kui ka kogu organisatsioonis. Pingerida põhineb riskimaatriksil (tagajärgede ja tõenäosuse korrutis) ning võimaldab tuvastada enamiku olulisi riske.

A.2.5 Riskiravi strateegia ja meetmete kindlaksmääramine

Olenevalt riskihinnangust (vt tabel A.4) tuleks määrata iga riskiregistrisse kantud riski puhul võetavad meetmed. Tabelis A.5 on toodud näide meetmetest, mida tuleb riskianalüüsi arvesse võttes võtta.

Tabel A.5 – Näide riskianalüüsi arvesse võetavatest meetmetest

Riskide maandamise või riskide käsitlemise tegevusi saab kanda riskiregistrisse ja/või välja töötada eraldi dokumendina. Sel juhul peab riskiregister esitama lingi sellele dokumendile. Näidatud näites on riskiravi tegevused kaasatud riskiregistrisse.

A.3 Lisasätted

Kuna riskiregister täieneb pidevalt, siis on vajalik üles märkida riskikannete kuupäevad ja tehtud muudatused. Kui tegevuskava on kantud riskiregistrisse, tuleb fikseerida plaaniga ette nähtud tegevuste eesmärk ja teostamise aeg.

Riskiregistri kommentaaride või märkuste veerg võimaldab teha viiteid vajalikule teabele, näiteks pidada koosolekut, kus arutati antud riskiga seotud küsimusi.