هر خطری با آن همراه است فعالیت کارآفرینی.

در طول اجرای پروژه، فعالیت های عملیاتی، فعالیت های سرمایه گذاری و فعالیت های مالی. همه انواع فعالیت ها با ریسک های معمول هر پروژه سرمایه گذاری همراه است.

IP ممکن است مکانیسم های تثبیت خاصی را ارائه دهد که حفاظت از شرکت کنندگان IP را در صورت تغییر نامطلوب در شرایط اجرای آن، اقداماتی برای کاهش سطح خطرات و جبران آنها تضمین می کند. اگر در مورد ریسک های داخلی صحبت می کنیم، ممکن است خود درجه ریسک را کاهش دهیم (به دلیل هزینه های اضافی برای ایجاد ذخایر و ذخایر، بهبود فناوری و کاهش حوادث تولید، به دلیل انگیزه های مادی برای بهبود کیفیت محصول، ایجاد ظرفیت های ذخیره، و غیره) هنگام اجرای IP پیاده سازی IS، می توان از طریق مشوق های مالی برای کارکنان خدمات فناوری اطلاعات و سایر کارکنان درگیر در کار با IS جدید، و همچنین از طریق هزینه های اضافی برای ایجاد ذخایر و موجودی، انجام، درجه ریسک را کاهش داد. عملیات آزمایشی IS و غیره

استفاده از هر مکانیزم تثبیت مستلزم هزینه های اضافی است که مقدار آن به شرایط پروژه، منافع شرکت کنندگان در آن و ارزیابی میزان ریسک بستگی دارد. با توجه به اهداف پروژه و عوامل مؤثر بر اجرای آن، لازم است مقادیر متفاوتی از حق بیمه ریسک در نظر گرفته شود. هرچه پروژه پیاده سازی بزرگتر باشد (مثلاً یک پروژه پیاده سازی IP شرکتی)، سطح ریسک بالاتر است.

کلیه ریسک های مرتبط با اجرای IP، بسته به منابع وقوع و امکان حذف، می توانند به خارجی (عینی، سیستماتیک، یا غیرقابل تنوع) و داخلی (ذهنی، غیر سیستماتیک یا متنوع) تقسیم شوند.

ریسک های خارجی و داخلی به هم مرتبط هستند.

خطرات خارجیبه یک شرکت خاص یا کارآفرین فردی وابسته نیست. این خطرات در تمام مراحل پیاده سازی IP وجود دارد. آنها در نتیجه رویدادهای خارجی که بر بازار به عنوان یک کل تأثیر می گذارد به وجود می آیند، بر درآمد همه شرکت ها برای همه کارآفرینان تأثیر می گذارند و نمی توانند با تنوع به طور کامل حذف شوند.

خطرات خارجی عبارتند از: خطرات سیاسی، قانونگذاری، اقتصاد کلان، خطرات بلایای طبیعی (خطرهای فورس ماژور). ریسک کشور اغلب در نرخ تنزیل لحاظ می شود تا ریسک های خارجی در نظر گرفته شود.

خطرات داخلیناشی از عوامل خاص یک شرکت خاص یا کارآفرین فردی است. این ریسک ها بر درآمد شرکت های فردی برای IP فردی تأثیر می گذارد و در مراحل مختلف IP متفاوت است. اینها را می توان تا حد زیادی از طریق تنوع حذف کرد.

برای IP، عوامل خاصی که باعث ایجاد خطرات داخلی می شوند عبارتند از:

تجاوز از ضرب الاجل برای بهره برداری از IS و بودجه اجرایی؛

افزایش قابل توجه در زمان اجرای IS؛

تغییرات در نیاز به نرم افزار و سخت افزارکمبود نیروی انسانی و غیره؛

وقفه در تامین سخت افزار خریداری شده، عدم جذب مشاوران یا سطح صلاحیت آنها.

از دست دادن قراردادها در نتیجه اشکال زدایی نادرست یا وقفه در عملکرد IS.

حوادث و خرابی در سخت افزار یا نرم افزار و غیره

بر اساس ویژگی های ساختاری، ریسک های داخلی عبارتند از:

1 خطرات اموال مرتبط با احتمال از دست دادن دارایی یک شرکت یا کارآفرین فردی به دلایل مختلف (به دلیل سرقت، آتش سوزی، سهل انگاری).

2 خطر تولید مرتبط با زیان ناشی از توقف تولید به دلیل تأثیر عوامل مختلف و بالاتر از همه آسیب به سرمایه ثابت و در گردش و همچنین خطرات مرتبط با ورود تجهیزات جدید و فناوری های جدید به تولید (به عنوان مثال، معرفی IP جدید)؛

3
خطرات تجاری مرتبط با ضررهای ناشی از تاخیر در پرداخت ها، امتناع از پرداخت در حین حمل و نقل کالا، عدم تحویل مواد اولیه و اجزاء یا انحراف تحویل آنها از شرایط برنامه ریزی شده و غیره.

4 ریسک مالی مرتبط با احتمال از دست دادن منابع مالی به دلیل سرمایه گذاری غیرمنطقی سرمایه.

در مراحل مختلف پیاده سازی IP، ریسک های داخلی مختلفی رخ می دهد.

بیایید به خطاهای معمولی که رخ می دهد نگاه کنیم در مرحله تصمیم گیریدر مورد پیاده سازی IP

1 توسعه ضعیف استراتژی اتوماسیون (شرکت فاقد یک استراتژی کل نگر بلندمدت فناوری اطلاعات است که با مقیاس و نرخ رشد تجارت آن مطابقت دارد).

2 اشتیاق به روند مد در رابطه با محصولات خاص هنگام انتخاب IP.

3 ایده آلی را جستجو کنید که کاملاً با مشخصات شرکت مطابقت داشته باشد.

4 لابی برای اجرای IS توسط یکی از بخش های شرکت - پیامد آن ممکن است اختلاف بین سیستم و نیازهای سایر بخش های کلیدی باشد.

5 آماده سازی نادرست کار مناقصه - کار نه بر اساس الزامات کلیدی IP، بلکه با جمع آوری و خلاصه کردن برنامه های کاربردی از همه بخش ها تهیه می شود. این رویکرد، به عنوان یک قاعده، فقط الزامات فعلی بخش ها را در نظر می گیرد و نه اهداف استراتژیک شرکت را به عنوان یک کل.

رایج ترین اشتباه هنگام انتخاب IP یک اشتیاق به جنبه فنی موضوع است که به ضرر مصلحت عملکردی است که توسط اهداف نهایی پیاده سازی دیکته شده است. برای اطمینان از اینکه ارزیابی یک طرفه نیست، لازم است از همان ابتدا کارکنان بخش های "موضوع" و همچنین مدیریت ارشد شرکت را در انتخاب سیستم درگیر کنید.

در مرحله اجراجدی ترین خطرات پروژه به شرح زیر است.

1 عدم آمادگی مدیریت ارشد شرکت برای تغییرات در فرآیندهای تجاری و ساختار سازمانی شرکت.

2 انتخاب ناموفق مشاوران خارجی برای پروژه (بر اساس اصل حداقل هزینه یا بر اساس مشارکت با یک تامین کننده نرم افزار خاص). در انتخاب مجری - مشاور پروژه باید معیارهای زیر رعایت شود: حرفه ای بودن، قابلیت اطمینان و قابل پیش بینی بودن نتایج.

3 تأثیر عامل انسانی در فرآیند اجرای پروژه (تغییر در فناوری، مقررات و قالب‌های کاری، نیاز به در نظر گرفتن واکنش کارکنان به اجرا).

4 تفویض اختیارات کلیدی مدیریت و اجرایی به بخش فناوری اطلاعات. تیم پروژه باید شامل کارمندان کلیدی از تمام بخش های "موضوعی" باشد که سپس با سیستم اجرا شده کار خواهند کرد.

لازم به ذکر است که توصیه هایی برای غلبه بر مشکلات در پیاده سازی و بهره برداری از سیستم های اطلاعاتی باید بر اساس ویژگی های فعالیت های یک شرکت خاص تدوین شود. اول از همه، مدیریت شرکت و خدمات فناوری اطلاعات باید بدانند که در آینده سازمان باید تلاش های مداوم برای بهبود سیستم اطلاعاتی انجام دهد. انتقال از "حالت طراحی" عملیات به مرحله بهبود و اصلاح نشان دهنده یک مشکل مهم برای برخی از شرکت ها است که حل آن نیاز به مطالعه و برنامه ریزی دقیق دارد. یک وظیفه مهم در تحقیقات ریسک، تعیین مرحله ای است که احتمال وقوع یک ریسک خاص در آن بیشتر است.

در مرحله اجراخطرات ذاتی مراحل قبلی پروژه، به اصطلاح ریسک های تولید، به طور کامل خود را نشان می دهند. به اینها همچنین خطرات «پایان به انتها» اضافه شده است که تقریباً در هر مرحله از پروژه رخ می دهد. خطرات مقطعی، اول از همه، خطرات سیاسی داخلی را شامل می شود - اغلب یک پروژه پیاده سازی IP به عنوان اهرمی برای مبارزه سیاسی در یک شرکت عمل می کند. اگر پروژه بر حوزه منافع حیاتی تیم‌های بزرگ و مدیران ارشدی که اموال، کالاها و جریان‌های نقدی را کنترل می‌کنند، تأثیر بگذارد، حتی با برنامه‌ریزی و سازماندهی ایده‌آل اجرا، ممکن است مشکلات قابل توجهی ایجاد شود.

همچنین ریسک سرتاسری مرتبط با توزیع حجم کاری بین مشتری و مشاور وجود دارد. سهم کار انجام شده توسط مشاوران باید در طول پروژه کاهش یابد، در غیر این صورت شرکت مشتری در عملیات بیشتر IS بدون مشاور با مشکل مواجه خواهد شد. این پروژه همچنین ممکن است به دلیل تأثیر عامل انسانی (مقاومت کارکنان، خستگی روانی از پروژه) و همچنین به دلیل ارتباطات ناکارآمد ایجاد شده در شرکت توسعه ضعیفی داشته باشد.

رد پروژه توسط کارکنان، به عنوان یک قاعده، به دلیل کمبود اطلاعات ایجاد می شود: مدیریت شرکت از آنچه تیم پروژه انجام می دهد آگاه نیست و کارمندان اصلاً هدفی را در اجرا نمی بینند. کار توضیحی به موقع و منظم، که باید به عهده اعضای تیم پروژه باشد، می تواند بر نگرش منفی کارکنان غلبه کند.

پس از اتمام پروژه، خطرات بلند مدت ظاهر می شوند که مانع استفاده موثر و توسعه بیشتر IP در شرکت می شود. ریسک‌های بلندمدت اصلی از حمایت ناکافی از تغییرات خارجی و داخلی ناشی می‌شوند. یک ریسک بلند مدت مهم با عامل انسانی - پایان مشارکت مشاوران در پروژه مرتبط است. علاوه بر این، خطر نقض امنیت اطلاعات وجود دارد - نشت احتمالی اطلاعات تجاری از شرکت.

رهبری در بین خطرات بلند مدت (هم از نظر شدت آسیب و هم از نظر پیچیدگی به حداقل رساندن) به عوامل مرتبط با سازماندهی مجدد شرکت و همچنین از دست دادن انعطاف پذیری فرآیندهای تجاری تعلق دارد.

با این حال، ریسک‌های بلندمدت تأثیر جزئی بر چرخه حیات IS دارند. اول از همه، برنامه ریزی شایسته و اجرای موفقیت آمیز IS ضروری است.

هدف از تشریح ریسک های پروژه های فناوری اطلاعات، شناسایی این ریسک ها از قبل و انجام مجموعه ای از اقدامات پیشگیرانه قبل از شروع پروژه است. توصیه می شود اقدامات اصلی را با هدف جلوگیری از وقوع تقسیم کنید موقعیت های مخاطره آمیزدر پروژه های فناوری اطلاعات:

1 اسناد اجباری اهداف پروژه و همچنین کلیه تغییرات در اسناد پروژه که در طول اجرای آن ایجاد می شود.

2 افزایش انگیزه کارکنان از طریق مشوق های مالی.

3 جذب متخصصان واجد شرایط شخص ثالث؛

4 عضو تیم آموزشی و مدیریت ارشد شرکت در روش شناسی مدیریت پروژه و غیره.

از جمله خطرات مشخصه اجرای تمام IP، موارد زیر را می توان شناسایی کرد:

1 خطرات طراحی هنگام ایجاد یک سیستم (در هنگام طراحی سیستم اطلاعاتی گنجانده شده است).

2 خطرات سازمانی (از جمله تأثیر عامل انسانی بر روند پیاده سازی و عملکرد IS، در نتیجه - تفسیر نادرست داده های پردازش شده با استفاده از IS).

3 خطر فنی شامل خرابی، خرابی، از دست دادن یا خراب شدن داده ها و غیره؛

4 خطر زیان های تجاری (ریسک های تجاری) مرتبط با عملکرد سیستم (ناشی از خطرات فنی).

خطرات پروژه در مرحله طراحی یا تحویل IP ظاهر می شود. اینها ممکن است شامل خطر منسوخ شدن برخی نرم افزارها یا راه حل های فنی و همچنین خطرات تاخیر در تحویل اجزای سیستم اطلاعات باشد. با این حال، با در نظر گرفتن مدت زمان نسبتاً کوتاه مورد نیاز برای تحویل و اجرای یک IS، و همچنین شرایط اجرای چنین پروژه‌هایی، که در آن، به عنوان یک قاعده، تمام مسائل مربوط به تحویل و اجرا توسط یک نفر حل می‌شود. شرکت تامین کننده، احتمال چنین خطراتی کم است.

هزینه ریسک های سازمانی را می توان از طریق تحلیل کارشناسانه ارزیابی کرد. بسیاری از ریسک‌های سازمانی با احتمال وقوع کافی، می‌توانند کل اثر اتوماسیون را به صفر برسانند یا حتی آسیب‌های ناشی از اتوماسیون را آشکار کنند، بنابراین تحلیل آنها باید با دقت خاصی مورد بررسی قرار گیرد.

بارزترین خطرات سازمانی شامل موارد زیر است.

1 خرابکاری پرسنل این ریسک تمام تلاش ها برای پیاده سازی IP را نفی می کند. می تواند به دلایل زیادی ایجاد شود: به عنوان مثال، ترس از دست دادن شغل به دلیل کاهش برنامه ریزی شده کارکنان، تمایل به پنهان کردن نتایج واقعی کار یک کارمند خاص، جلوگیری از شناسایی بی کفایتی و غیره.

2 نتیجه گیری نادرست از تجزیه و تحلیل داده های به دست آمده در نتیجه عملیات IS، یعنی. تفسیر نادرست داده های پردازش شده در IS.

3 انتقال اطلاعات انباشته شده در سیستم به رقبا در نتیجه سرقت یا خیانت پرسنل و غیره.

کار برنامه ریزی شده خدمات فناوری اطلاعات سازمانی، و همچنین بخش توسعه استراتژیک و برنامه ریزی، باید شامل توسعه توصیه هایی برای کاهش خطرات پروژه اجرای IS باشد. همچنین لازم است عملیات آزمایشی IS انجام شود، با مشاوران واجد شرایط و تامین کنندگان تجهیزات قابل اعتماد کار شود و پرداخت های اضافی به کارکنانی که در کار با IS کار می کنند در برآورد هزینه اولیه برای پروژه اجرای IS لحاظ شود. عوامل مهم برای به حداقل رساندن خطرات نیز عبارتند از: نگرش توجه مدیریت ارشد به اجرای IP IP و توسعه اولیه استراتژی کلی اتوماسیون سازمانی.

در حال حاضر، هیچ طبقه‌بندی واحدی از ریسک‌های پروژه سازمانی وجود ندارد. با این حال، می‌توانیم ریسک‌های اصلی ذاتی پروژه افتتاح و توسعه یک مرکز آموزشی شرکتی را برجسته کنیم.

از آنجایی که در نظر گرفتن تمام خطرات ایجاد نرم افزار در این مرحله از افتتاح یک شرکت "It - progress" نامناسب است، لازم است خطرات افتتاح یک شرکت درگیر در توسعه و فروش نرم افزار تجزیه و تحلیل شود.

جدول 2.1 - خطرات افتتاح یک شرکت توسعه نرم افزار

ادامه جدول 2.1

روش دلفیمشابه روش طوفان فکری، اما شرکت کنندگان آن یکدیگر را نمی شناسند. تسهیلگر با استفاده از فهرستی از سؤالات، پاسخ‌های تخصصی را جمع‌آوری می‌کند تا ایده‌هایی در مورد ریسک‌های پروژه استخراج کند. سپس پاسخ های کارشناسان تجزیه و تحلیل، دسته بندی شده و برای نظرات بیشتر به کارشناسان بازگردانده می شود. اجماع و فهرستی از ریسک ها از طریق چندین چرخه این فرآیند به دست می آید. روش دلفی فشار همسالان و ترس از خجالت را هنگام بیان یک ایده از بین می برد.

ثبت ریسک پروژه حاوی اطلاعاتی به صورت جدولی و قابل خواندن در مورد ریسک های شناخته شده و شناسایی شده پروژه است. ثبت ریسک پروژه همیشه باید حاوی اطلاعات به روز، کیفیت کار تیم پروژه با ریسک ها کاملاً به این بستگی دارد. به طور معمول ، ثبت ریسک پروژه حاوی اطلاعات زیر است:

• شناسه- شماره شناسایی منحصر به فرد ریسک پروژه. هنگام استفاده، این عدد باید با شناسه خطر مشخص شده در PMIS مطابقت داشته باشد.
• شرح ریسک- شرح دقیق ریسک پروژه.
• دسته بندی- طبقه بندی خطر مطابق با KSUP. مثلا، ریسک سرمایه گذاری، ریسک فناوری، ریسک مرتبط با تیم پروژه و غیره.
• تایپ کنید- نوع ریسک: مثبت یا منفی. خطرات مثبت به دست تیم پروژه است و مزایای بیشتری را به همراه دارد که باعث می شود پروژه سریعتر اجرا شود. خطرات منفی، برعکس، احتمال تکمیل موفقیت آمیز پروژه را کاهش می دهد.
• نفوذ- میزان تأثیر ریسک بر یکی از چهار پارامتر کلیدی پروژه: هزینه، زمان، محتوا یا کیفیت. به طور معمول با مقادیر 0.05، 0.1، 0.2، 0.4، 0.8 ارزیابی می شود.

• تاثیر کلی- تأثیر کلی ریسک به مدل انتخابی بستگی دارد ( حداکثر- حداکثر مقدار استفاده می شود، میانگین- مقدار متوسط ​​استفاده می شود) و بر اساس تأثیر ریسک بر چهار پارامتر تعیین می شود.
• احتمال- احتمال وقوع خطر به طور معمول با مقادیر 0.1، 0.3، 0.5، 0.7، 0.9 ارزیابی می شود.
• معنی- در واقع میزان ریسک، به عنوان محصول محاسبه می شود نفوذ کلیبر احتمال.
• استراتژی- استراتژی واکنش به ریسک یکی از هفت استراتژی انتخاب شده است. برای خطرات منفی: فرار، کاهش، اشتراک گذاری. برای خطرات مثبت: انتقال، استفاده، تقویت. برای همه خطرات: فرزندخواندگی.
• مناسبت ها- شرح اقدامات مدیریت ریسک مطابق با استراتژی پاسخ منتخب.
• مسئول- نام کامل عضو تیم پروژه که مسئول کار با ریسک است.

R 50.1.084-2012 مدیریت ریسک. ثبت ریسک راهنمای ایجاد یک ثبت ریسک سازمانی

تنظیم نشانک

تنظیم نشانک

مدیریت ریسک

ثبت ریسک

راهنمای ایجاد یک ثبت ریسک سازمانی

مدیریت ریسک. ثبت ریسک دستورالعمل ساخت ثبت ریسک سازمان

تاریخ معرفی 2013-12-01

پیشگفتار

1 طراحی شده مستقل سازمان غیر انتفاعی"مرکز تحقیقات کنترل و تشخیص سیستم های فنی" (ANO "NIC KD")

2 معرفی شده توسط کمیته فنی برای استانداردسازی TC 10 "مدیریت ریسک"

3 با دستور آژانس فدرال مقررات فنی و اندازه‌شناسی مورخ 29 نوامبر 2012 N 1283 تأیید و لازم الاجرا شد.

4 برای اولین بار معرفی شد

اطلاعات مربوط به تغییرات این توصیه‌ها در فهرست سالانه «اسناد، توصیه‌ها و قوانین راهنما» و متن تغییرات و اصلاحات در فهرست ماهانه اطلاعات «استانداردهای ملی» منتشر می‌شود. در صورت بازنگری (جایگزینی) یا لغو این توصیه ها، اطلاعیه مربوطه در فهرست ماهانه اطلاعات «استانداردهای ملی» منتشر خواهد شد. اطلاعات مربوطه، اطلاعیه ها و متون نیز در پست شده است سیستم اطلاعاتبرای استفاده عمومی - در وب سایت رسمی آژانس فدرال مقررات فنی و اندازه شناسی در اینترنت

معرفی

ثبت ریسک یکی از راه های ارائه و ذخیره اطلاعات در مورد حوادث و خطرات خطرناک است. وجود یک ثبت ریسک به سازمان اجازه می دهد تا اطلاعات مربوط به منبع خاصی از خطر، عواقب، موضوع تأثیر رویدادهای خطرناک و غیره را به دست آورد. با این حال، توسعه یک ثبت خطر، به ویژه زمانی که وجود دارد مقدار زیادمنابع خطر، نیازمند تلاش زیاد، زمان، منابع مالیو همچنین حجم زیادی از اطلاعات.

سازمان نیاز به توسعه و نگهداری یک ثبت ریسک را به طور مستقل تعیین می کند.

3.2 ثبت ریسک(ریسک ثبت): فرمی برای ثبت اطلاعات در مورد یک ریسک شناسایی شده.

یادآوری، گاهی اوقات به جای عبارت «رجیستر ریسک» از عبارت «ریسک گزارش» استفاده می شود.

3.3 خطر(خطر): منبع آسیب احتمالی.

توجه: خطرات می توانند منبع خطر باشند.

3.4 مدیریت بحران(مدیر ریسک): متخصص در شناسایی، ارزیابی، تحلیل، پردازش، پایش ریسک و همچنین سایر فعالیت ها در زمینه مدیریت ریسک یک سازمان.

4 روش برای توسعه ثبت ریسک یک سازمان

4.1 مقررات عمومی

سازمان باید نیاز به توسعه، مراحل، شکل و روش های نگهداری یک ثبت ریسک را تعیین کند. اهداف اصلی توسعه ثبت ریسک سازمان، جایگاه آن در سیستم مدیریت ریسک، مزایا و معایب ثبت ریسک در GOST R 51901.21 تعیین شده است.

ثبت ریسک یک سازمان شکلی از نگهداری سوابق رویدادهای خطرناک شناسایی شده، ارزیابی ریسک مربوطه، روش ها و زمان پردازش آن است. هنگام نگهداری یک ثبت خطر، لازم است الزامات اجباری مربوطه و همچنین سایر اطلاعات موجود در مورد انواع خطرات و خطر وقوع آن در نظر گرفته شود. بسته به ویژگی های سازمان، شکل و محتوای ثبت ریسک را می توان در رابطه با فرم استاندارد ثبت ریسک ارائه شده در جدول 1 تغییر یا تکمیل کرد. GOST R 51901.22.

هنگام تهیه فهرست ریسک یک سازمان، باید موارد زیر را در نظر گرفت:

• خط مشی، اهداف و استراتژی مدیریت ریسک سازمان؛
• ویژگی های محصولات تولید شده و خدمات ارائه شده توسط سازمان؛
• پایه ای فرآیندهای تولیدو فرآیندهای مدیریت سازمانی؛
• ایجاد و استفاده از روش های تجزیه و تحلیل و ارزیابی ریسک؛
• الزامات قانونی؛
• شرایط عملیاتی محصولات تولیدی

مسئولیت مدیریت ریسک باید به مدیر مسئول ریسک یا تیم مدیریت ریسک، از جمله مسئولیت کنترل و نظارت بر ریسک، واگذار شود. الزامات برای مدیران ریسک در GOST R 51901.21 ایجاد شده است.

توسعه، تایید، نگهداری و به روز رسانی ثبت ریسک سازمان باید طبق بند 5 انجام شود. GOST R 51901.22.

تبادل اطلاعات در مورد ثبت ریسک و اطمینان از محرمانه بودن اطلاعات مربوط به ثبت خطر باید با در نظر گرفتن الزامات بند 6 GOST R 51901.22 و توصیه های تعیین شده در انجام شود. R 50.1.070.

نمونه ای از یک روش ساده شده برای ارزیابی ریسک و ایجاد یک نسخه مختصر از ثبت ریسک برای یک سازمان کوچک در پیوست A آورده شده است.

4.2 مراحل فرآیند مدیریت ریسک سازمان

مراحل اصلی در توسعه ثبت ریسک سازمان باید با مراحل فرآیند مدیریت ریسک مطابقت داشته باشد. در عین حال، محتوای مراحل به ویژگی های مدیریت ریسک سازمان بستگی دارد. اصول مدیریت ریسک در GOST R ISO 31000 ایجاد شده است. عناصر اصلی فرآیند مدیریت ریسک برای سازمان های کوچک در شکل 1 نشان داده شده است.

شکل 1 - نمودار کلی فرآیند مدیریت ریسک

توضیحاتی در مورد عناصر اصلی فرآیند مدیریت ریسک برای سازمان های کوچک ارائه شده است R 50.1.069.

4.3 نقشه فرآیند مدیریت ریسک سازمانی

بر اساس فرآیند مدیریت ریسک مطابق با GOST R 51901.21، سازمان می تواند نقشه فرآیند مدیریت ریسک را ترسیم کند. هنگام تهیه نقشه فرآیند برای سازمان های کوچک، توصیه می شود عناصر اساسی مدیریت ریسک (شناسایی رویدادهای خطرناک، کمی سازیریسک، تجزیه و تحلیل و ارزیابی تطبیقی ​​ریسک، درمان ریسک، نظارت و بررسی)، در حالی که محتوای آنها بسته به ویژگی‌های فعالیت سازمان قابل شفاف‌سازی است.

4.4 توسعه ثبت ریسک یک سازمان

4.4.1 کلی

نتایج اقدامات انجام شده در هر مرحله از فرآیند مدیریت ریسک باید در ثبت ریسک ارائه شود. قوانین مربوط به ساخت یک ثبت ریسک در اینجا آورده شده است GOST R 51901.22. فرم استاندارد ثبت ریسک در جدول 1 GOST R 51901.22 آورده شده است.

توزیع مسئولیت برای توسعه و نگهداری ثبت ریسک سازمان باید با مراحل فرآیند مدیریت ریسک مطابقت داشته باشد، زیرا ورود اطلاعات به ثبت ریسک و تعدیل آن باید پس از اتمام هر مرحله از فرآیند مدیریت ریسک انجام شود.

مراحل اصلی توسعه ثبت ریسک سازمان در بندهای 4.4.2-4.4.6 شرح داده شده است.

4.4.2 ایجاد هدف و دامنه ثبت ریسک

سازمان باید اهداف سازمانی و مدیریت ریسک خارجی و داخلی را برای دستیابی به عناصر باقی مانده از فرآیند مدیریت ریسک ایجاد کند. توصیه هایی برای تعریف دامنه مدیریت ریسک در این مقاله ارائه شده است R 50.1.068.

هنگام تعیین اهداف و دامنه ثبت ریسک، ابتدا اهداف ثبت ریسک تعیین می شود. اشیاء ثبت ریسک می توانند عبارتند از:

• سازمان به عنوان یک کل زیرمجموعه ساختارییا بخشی از آن؛
• محصول، خدمات، فرآیند یا فعالیت؛
• کارکنان یا کارگران فردی

الزامات کلیبرای تعیین دامنه کاربرد ثبت خطر در GOST R 51901.21 ایجاد شده است.

4.4.3 توسعه معیارهای ریسک

سازمان باید معیارهای ریسک را تعیین کند. معیارها باید اهداف و دامنه را منعکس کنند. آنها اغلب به منافع طرف های درگیر و همچنین الزامات قانونی و/یا مقررات مربوطه بستگی دارند. معیارهای ریسک می تواند عملیاتی، فنی، مالی، قانونی، قانونی، اجتماعی، زیست محیطی، بشردوستانه و/یا موارد دیگر باشد.

توضیحات کلیمعیارهای تصمیم گیری باید هنگام ایجاد دامنه مدیریت ریسک توسعه یابد. معیارهای ریسک باید پس از شناسایی نوع خاصی از ریسک و انتخاب روش تحلیل ریسک، روشن و/یا تجدید نظر شوند. معیارهای ریسک باید متناسب با نوع ریسک و نحوه ارائه آن باشد.

معیارهای ریسک معمولاً در ثبت ریسک سازمان گنجانده می شوند، اما برای سازمان های کوچک معیارهای ریسک ممکن است در رویه های مستند سازمان یا سایر اسناد مدیریت ریسک تعیین شوند.

4.4.4 شناسایی رویدادهای خطرناک

شناسایی رویدادهای خطرناک باید شامل شناسایی پدیده‌ها و رویدادهایی باشد که ممکن است بر اشیاء ثبت خطر ایجاد شده در محدوده ثبت خطر تأثیر بگذارد. الزامات عمومی برای شناسایی رویدادهای خطرناک برای درج در ثبت خطر در بند 4.2 تعیین شده است. GOST R 51901.21.

برای سازمان های کوچک و کوچک، شناسایی رویدادهای خطرناک ممکن است شامل سه مرحله باشد:

• تعیین روش های شناسایی ریسک؛
• شناسایی رویدادهای خطرناک؛
• شناسایی علل یک رویداد خطرناک

سازمان ابتدا باید روش هایی را برای شناسایی ریسک تعیین کند. هنگام شناسایی ریسک می توان از روش های زیر استفاده کرد: تجزیه و تحلیل چک لیست ها، ارزیابی های کارشناسان، تجزیه و تحلیل داده های تجربی و زمانی، تجزیه و تحلیل نمودار بلوکیقابلیت اطمینان، روش طوفان فکری، تحلیل سیستم، تحلیل سناریو، روش های طراحی سیستم. این روش ها با جزئیات بیشتری در GOST R ISO/IEC 31010 مورد بحث قرار گرفته اند. انتخاب روش به نوع ریسک، دامنه و اهداف مدیریت ریسک سازمان و همچنین کنترل های اعمال شده و مورد نیاز و روش های مدیریت ریسک سازمان بستگی دارد.

روش‌های شناسایی ریسک معمولاً در ثبت ریسک سازمان گنجانده می‌شود، اما برای سازمان‌های کوچک‌تر، روش‌های شناسایی ریسک ممکن است در رویه‌های مستند سازمان یا سایر اسناد مدیریت ریسک تعریف شوند.

گام بعدی، شناسایی رویدادهای خطرناک است که در آن سازمان باید فهرستی کلی از رویدادهای خطرناکی که می تواند بر عملیات و دستیابی به اهداف تأثیر منفی بگذارد، تهیه کند. بر اساس فهرست، هر رویداد خطرناک شناسایی شده ای که می تواند رخ دهد باید به تفصیل شرح داده شود. هنگام تهیه فهرستی از رویدادهای خطرناک، می توان از طبقه بندی خطر ارائه شده در پیوست A استفاده کرد. GOST R 51901.21.

نام رویداد خطرناک باید در یک عبارت واضح تنظیم شود. برای یک رویداد خطرناک که نام آن به اندازه کافی طولانی است، می توان از یک نام کوتاه استفاده کرد.

پس از شناسایی رویدادهای خطرناک احتمالی، لازم است منابع و علل وقوع آنها و همچنین بررسی شود. عواقب احتمالیبرای فعالیت های سازمان

رویدادهای خطرناک، منابع و پیامدهای احتمالی آنها در فهرست ریسک سازمان (صرف نظر از اندازه آن) گنجانده شده است.

هنگام انجام مرحله شناسایی خطر، توصیه می شود الزامات GOST R 51901.23 را در نظر بگیرید.

4.4.5 تجزیه و تحلیل ریسک

الزامات عمومی برای تجزیه و تحلیل ریسک رویدادهای خطرناک برای گنجاندن در ثبت خطر در بند 4.3 GOST R 51901.22 تعیین شده است.

تجزیه و تحلیل ریسک شامل بررسی منابع رویدادهای خطرناک، پیامدهای آنها و احتمال وقوع این رویدادها است. در عین حال، عوامل مؤثر بر پیامدها و احتمال وقوع رویداد نیز باید شناسایی شوند. ریسک باید با در نظر گرفتن ترکیبی از پیامدهای رویداد و احتمال آن تحلیل شود. علاوه بر این، سازمان باید کنترل ها و شیوه های مدیریتی خود را بررسی و ارزیابی کند. بزرگی پیامدهای یک رویداد و احتمال آن باید با در نظر گرفتن اثربخشی استراتژی‌ها، کنترل‌ها و شیوه‌های مدیریتی موجود ارزیابی شود.

تجزیه و تحلیل ریسک یک سازمان می تواند با درجات مختلفی از جزئیات بسته به ویژگی های ریسک، هدف تجزیه و تحلیل و داده ها و منابع موجود انجام شود. تحلیل ریسک می تواند کیفی، کمی یا ترکیبی باشد. برای سازمان های کوچک، تجزیه و تحلیل کیفی معمولا برای به دست آوردن یک ارزیابی کلی ریسک و شناسایی مسائل ریسک استفاده می شود. اگر سازمان تشخیص دهد که تجزیه و تحلیل دقیق بیشتر ضروری است، می توان از روش های تحلیل کمی یا ترکیبی ریسک استفاده کرد. شرح این نوع تحلیل ریسک در این قسمت آورده شده است R 50.1.069و GOST R ISO/IEC 31010.

ابزار نشان دادن پیامدها و احتمال وقوع رویدادها در ثبت ریسک باید به گونه ای انتخاب شود که از تحقق اهداف تحلیل ریسک اطمینان حاصل شود.

تجزیه و تحلیل ریسک باید عدم قطعیت و تغییرپذیری را در برآورد پیامدها و احتمال یک رویداد و همچنین اثربخشی ارتباطات ریسک در نظر بگیرد. هنگام وارد کردن داده های کمی در ثبت ریسک، عدم قطعیت مربوطه باید (در صورت امکان) نشان داده شود.

4.4.6 ارزیابی ریسک مقایسه ای

الزامات عمومی برای ارزیابی ریسک مقایسه ای برای درج در ثبت خطر در بخش 4.4 تعیین شده است GOST R 51901.22.

هدف از ارزیابی ریسک مقایسه ای یک سازمان کوچک این است که بر اساس نتایج تجزیه و تحلیل ریسک و معیارهای پذیرش ریسک، تصمیماتی در مورد نیاز به درمان ریسک و اولویت بندی درمان ریسک اتخاذ کند.

هنگام انجام ارزیابی ریسک مقایسه ای، باید با الزامات GOST R 51901.23 هدایت شوید.

نتایج ارزیابی ریسک تطبیقی ​​معمولاً در ثبت ریسک سازمان ثبت می شود، مگر اینکه در رویه های مستند سازمان یا سایر اسناد مدیریت ریسک به گونه دیگری مشخص شده باشد.

4.4.7 درمان خطر

الزامات عمومی برای درمان خطر برای درج در ثبت خطر در بخش 4.5 GOST R 51901.22 تعیین شده است.

در مرحله درمان ریسک، یک استراتژی درمان ریسک انتخاب می‌شود، پیامدها، احتمال یک رویداد خطرناک و خطر ارزیابی می‌شوند (با در نظر گرفتن استفاده از استراتژی درمان ریسک انتخابی)، اقدامات درمان ریسک، مهلت‌ها و کسانی که مسئول آن‌ها هستند. پیاده سازی تعیین می شود و نتایج درمان خطر ارزیابی می شود.

برای سازمان های کوچک، عناصر اجباری ثبت ریسک مرتبط با مرحله درمان ریسک، تعریف اقدامات درمان ریسک، زمان اجرای برنامه ریزی شده و واقعی آنها است.

به طور معمول، بودجه درمان ریسک یک سازمان کوچک محدود است، بنابراین روش‌های درمانی باید ترتیب درمان هر ریسک را نیز تعیین کنند. سازمان باید مجموع هزینه یک رویداد خطرناک را که در زمانی که هیچ اقدامی انجام نمی‌شود، با صرفه‌جویی حاصل از درمان خطر و اعمال اقدامات پیشگیرانه مقایسه کند.

4.4.8 نظارت بر ریسک و بازنگری ثبت ریسک

الزامات عمومی برای نظارت بر ریسک و بازنگری در ثبت ریسک در بخش 4.6 ایجاد شده است GOST R 51901.22.

سازمان باید از تداوم فرآیند مدیریت ریسک اطمینان حاصل کند، بنابراین لازم است به طور مرتب انواع ریسک ها را پایش کرده و درج های ثبت ریسک را بررسی کند.

نتایج پایش ریسک معمولاً در ثبت ریسک سازمان ثبت می شود، اما برای سازمان های کوچک این نتایج ممکن است در رویه های مستند سازمان یا سایر اسناد مدیریت ریسک تعریف شوند.

پیوست اول
(آموزنده)

نمونه ای از روش ساده شده برای ارزیابی ریسک و ایجاد یک نسخه مختصر از ثبت ریسک برای یک سازمان کوچک

الف.1 مقررات عمومی

ساختار و ترکیب ثبت ریسک به ویژگی های سازمان بستگی دارد. فرم استاندارد ثبت خطر در GOST R 51901.22 آمده است. سازمان های کوچک می توانند از فرم مختصر (ساده شده) ثبت ریسک استفاده کنند که نمونه ای از آن در جدول A.1 آورده شده است.

جدول A.1 - فرم ساده شده ثبت ریسک

هنگام پر کردن ثبت ریسک، می توان از مقیاس های زیر استفاده کرد:

مقیاس پیامدها: 5 - پیامدهای فاجعه بار، 4 - پیامدهای مهم، 3 - پیامدهای متوسط، 2 - پیامدهای کوچک، 1 - پیامدهای جزئی.

مقیاس احتمال یک رویداد خطرناک: 5 - احتمال بسیار زیاد، 4 - احتمال زیاد، 3 - احتمال متوسط، 2 - احتمال کم، 1 - احتمال بسیار کم.

ارزیابی ریسک: ریسک قابل قبول (0-4)، ریسک کنترل شده (5-8)، ریسک قابل توجه (9-25).

اقدامات درمان خطر: (0) هیچ خطری وجود ندارد، هیچ اقدامی انجام نمی شود. (0-4) کم خطر، فقط اقدامات کم هزینه انجام می شود. (5-8) ریسک متوسط، اقدامات با در نظر گرفتن زمان اجرای آنها و امکان سنجی اقتصادی انجام می شود. (9-25) ریسک بالا، اجرای فوری اقدامات برای کاهش خطر ضروری است. (16-25) ریسک بالا، استفاده از اقدامات فوری (اضطراری) برای کاهش خطر.

الف.2 ماتریس ریسک

الف.2.1 کلی

روش ارزیابی خطر رویدادهای خطرناک در GOST R 51901-23 * ارائه شده است، با این حال، سازمان های کوچک می توانند از روش های ارزیابی ریسک ساده استفاده کنند و عدم قطعیت چنین ارزیابی های ریسک باید در نظر گرفته شود.

________________

*احتمالاً اشتباه در نسخه اصلی است. باید خواند: GOST R 51901.23. - یادداشت سازنده پایگاه داده.

سازمان های کوچک می توانند از ماتریس ریسک برای ارزیابی اهمیت یک ریسک استفاده کنند. برای ارزیابی ریسک سیستماتیک و سازگار، لازم است یک ماتریس ریسک طبق مراحل زیر ایجاد شود:

• ارزیابی احتمال وقوع یک رویداد خطرناک (A.2.2).
• ارزیابی پیامدهای یک رویداد خطرناک (A.2.3).
• تهیه ماتریس ریسک (A.2.4)؛
• تعیین اقدامات درمان خطر (A.2.5).

این مثال ساده ترین نسخه ماتریس ریسک را نشان می دهد. یک سازمان، بسته به شرایط ارزیابی ریسک، می تواند ماتریس ریسک خود را توسعه دهد.

الف.2.2 ارزیابی احتمال وقوع یک رویداد خطرناک

در یک سازمان کوچک، بسته به هدف ثبت ریسک، مدیر ریسک باید به این سوال پاسخ دهد که در هنگام استفاده از کنترل ها و روش های مشخص شده برای مدیریت اقدامات کاهش ریسک، احتمال وقوع یک رویداد خطرناک چقدر است. در این صورت می توانید از جدول A.2 استفاده کنید.

جدول A.2 - ارزیابی احتمال یک رویداد خطرناک

اگر در مورد ارزیابی احتمال وقوع یک رویداد خطرناک تردید وجود داشته باشد، رتبه خطر رویداد افزایش می یابد.

الف.2.3 ارزیابی پیامدهای یک رویداد خطرناک

بسته به حوزه تأثیر رویداد خطرناک، مدیر ریسک باید پیامدهای رویداد خطرناک را تحت کنترل‌های موجود، شیوه‌های مدیریتی و فعالیت‌های کاهش خطر ارزیابی کند. برای این کار می توانید از جدول A.3 استفاده کنید.

جدول A.3 - ارزیابی پیامدهای یک رویداد خطرناک

اگر در ارزیابی عواقب یک رویداد خطرناک تردید وجود داشته باشد، رتبه این رویداد افزایش می یابد.

الف.2.4 ترسیم ماتریس ریسک

در این مثال از ساده ترین روش ارزیابی ریسک استفاده شده است - ارزیابی کیفیعواقب و احتمال وقوع یک رویداد خطرناک در این مورد، ریسک به عنوان حاصل ضرب عواقب و احتمال محاسبه می شود:

رتبه بندی پیامدها و احتمالات طبق جداول 2 و 3 تعیین می شود.

نتایج به‌دست‌آمده به ما اجازه می‌دهد تا یک ماتریس ریسک بسازیم (جدول A.4)، که می‌تواند به عنوان مبنایی برای شناسایی ریسک‌های قابل قبول و غیرقابل قبول استفاده شود.

جدول A.4 - ماتریس ریسک

برای وضوح بیشتر در ثبت ریسک، ارزیابی ریسک را می توان به صورت رنگی برجسته کرد:

رنگ سبز - ریسک قابل قبول (0-4)؛

رنگ زرد - خطر کنترل شده (5-8)؛

رنگ قرمز (قرمز تیره) - خطر جدی و قابل توجه (9-25).

انواع ریسک شناسایی شده را می توان هم در بخش ها و هم در کل سازمان رتبه بندی کرد. این رتبه بندی بر اساس یک ماتریس ریسک (محصول پیامدها و احتمالات) است و امکان شناسایی مهم ترین ریسک ها را فراهم می کند.

الف.2.5 تعریف استراتژی و اقدامات درمان ریسک

بسته به ارزیابی ریسک (به جدول A.4 مراجعه کنید)، اقداماتی که باید برای هر خطر ثبت شده در ثبت ریسک انجام شود، باید تعیین شود. جدول A.5 نمونه ای از اقدامات انجام شده بر اساس ارزیابی ریسک را ارائه می دهد.

جدول A.5 - نمونه ای از اقدامات انجام شده با در نظر گرفتن ارزیابی ریسک

فعالیت های کاهش خطر یا درمان خطر ممکن است در ثبت خطر گنجانده شود و/یا ممکن است به عنوان یک سند جداگانه توسعه یابد. در این صورت باید لینک این سند در ثبت ریسک ارائه شود. در مثال ارائه شده، فعالیت های درمان ریسک در ثبت ریسک گنجانده شده است.

الف.3 مقررات اضافی

از آنجایی که ثبت ریسک دائما به روز می شود، لازم است تاریخ ثبت ریسک و کلیه تغییرات ایجاد شده ثبت شود. در صورتی که برنامه اقدام در ثبت ریسک گنجانده شود، هدف و چارچوب زمانی برای تکمیل اقدامات مندرج در طرح باید ثبت شود.

ستون نظرات یا یادداشت ها در ثبت ریسک به شما امکان می دهد به آن ارجاع دهید اطلاعات لازممثلاً برگزاری جلسه ای که در آن مشکلات این ریسک مطرح شد.