Xavf har qanday bilan birga keladi tadbirkorlik faoliyati.

Loyihani amalga oshirish jarayonida operatsion faoliyat, investitsiya faoliyati va moliyaviy faoliyat. Barcha tadbirlar har qanday investitsiya loyihasining odatiy risklari bilan bog'liq.

IP uni amalga oshirish shartlari, xatarlar darajasini pasaytirish va ularni qoplash choralari noqulay o'zgargan taqdirda IP ishtirokchilarining himoyasini ta'minlaydigan muayyan barqarorlashtirish mexanizmlarini nazarda tutishi mumkin. Agar biz ichki xatarlar haqida gapiradigan bo'lsak, unda xavf darajasini kamaytirish mumkin (zaxira va zaxiralarni yaratish, texnologiyalarni takomillashtirish va ishlab chiqarishning avariya darajasini pasaytirish uchun qo'shimcha xarajatlar, mahsulot sifatini yaxshilash uchun moddiy rag'batlantirish hisobiga, zaxira quvvatlarini yaratish va h.k.) ATni joriy qilish, AT xizmati xodimlarini va yangi AT bilan ishlashda ishtirok etadigan boshqa xodimlarni moddiy rag'batlantirish, shuningdek, yaratish uchun qo'shimcha xarajatlar tufayli xavf darajasini kamaytirish mumkin. zahiralar va zahiralar, ISni sinovdan o'tkazish va boshqalar.

Har qanday barqarorlashtirish mexanizmlaridan foydalanish qo'shimcha xarajatlarni talab qiladi, ularning miqdori loyihani amalga oshirish shartlariga, uning ishtirokchilarining manfaatlariga va xavf darajasini baholashga bog'liq. Loyihaning maqsadlari va uni amalga oshirishga ta'sir etuvchi omillarga qarab, risk mukofotining turli qiymatlarini hisobga olish kerak. Amalga oshirish loyihasi (masalan, korporativ IPni joriy etish loyihasi) qanchalik katta bo'lsa, uning xavf darajasi shunchalik yuqori bo'ladi.

IPni amalga oshirish bilan bog'liq barcha xavflar paydo bo'lish manbalari va bartaraf etish imkoniyatlariga qarab, tashqi (ob'ektiv, tizimli yoki diversifikatsiya qilinmaydigan) va ichki (sub'ektiv, tizimli bo'lmagan yoki diversifikatsiya qilinadigan) ga bo'linishi mumkin.

Tashqi va ichki xavflar o'zaro bog'liqdir.

Tashqi xavflar ma'lum bir korxona yoki yakka tartibdagi tadbirkorga bog'liq emas. Ushbu xavflar IPni amalga oshirishning barcha bosqichlarida mavjud. Ular butun bozorga ta'sir qiluvchi tashqi hodisalar natijasida yuzaga keladi, barcha IP uchun barcha korxonalarning daromadlariga ta'sir qiladi va diversifikatsiya qilish orqali butunlay yo'q qilinishi mumkin emas.

Tashqi xavflarga quyidagilar kiradi: siyosiy, qonunchilik, makroiqtisodiy, tabiiy ofatlar xavfi (fors-major risklari). Ko'pincha mamlakat riski tashqi risklarni hisobga olish uchun diskont stavkasiga kiritiladi.

Ichki xavflar ma'lum bir korxona yoki yakka tartibdagi tadbirkorga xos bo'lgan omillar tufayli yuzaga keladi. Ushbu xatarlar individual IP uchun individual korxonalarning daromadlariga ta'sir qiladi va IPning turli bosqichlarida farqlanadi. Ularni asosan diversifikatsiya qilish orqali yo'q qilish mumkin.

IP uchun ichki xavflarning paydo bo'lishiga olib keladigan o'ziga xos omillar quyidagilardan iborat:

ATni foydalanishga topshirish muddatlaridan, amalga oshirish byudjetidan oshib ketish;

ATni amalga oshirishning sezilarli o'sishi;

dasturiy ta'minotni xarid qilish zaruratining o'zgarishi va apparat, kadrlar etishmasligi va boshqalar;

sotib olingan texnik vositalarni etkazib berishdagi uzilishlar, jalb qilingan maslahatchilarning etishmasligi yoki ularning malakasi darajasi;

noto'g'ri disk raskadrovka yoki AT ishlashidagi uzilishlar natijasida shartnomalarning yo'qolishi;

apparat yoki dasturiy ta'minotning ishlashidagi baxtsiz hodisalar va nosozliklar va boshqalar.

Strukturaviy asosda ichki xavflar quyidagilarni o'z ichiga oladi:

1 turli sabablarga ko'ra (o'g'irlik, yong'in, ehtiyotsizlik tufayli) korxona yoki yakka tartibdagi tadbirkorning mol-mulkini yo'qotish ehtimoli bilan bog'liq mulkiy xavflar;

2 turli omillar ta'sirida ishlab chiqarishning to'xtatilishi natijasida yo'qotishlar bilan bog'liq ishlab chiqarish xatarlari va birinchi navbatda asosiy va aylanma mablag'larning shikastlanishi, shuningdek ishlab chiqarishga yangi texnika va yangi texnologiyalarni joriy etish bilan bog'liq xavflar (masalan, yangi ATni joriy etish). );

3
to'lovlarni kechiktirish, tovarlarni tashish davrida to'lashdan bosh tortish, xom ashyo va butlovchi qismlarni etkazib bermaslik yoki belgilangan muddatlardan chetga chiqish bilan etkazib berish va hokazolar tufayli yo'qotishlar bilan bog'liq tijorat risklari;

Kapitalni irratsional ravishda qo'yish natijasida moliyaviy resurslarni yo'qotish ehtimoli bilan bog'liq 4 ta moliyaviy xavf.

IPni amalga oshirish uchun IPni amalga oshirishning turli bosqichlarida turli xil ichki xavflar mavjud.

Ro'y bergan odatiy xatolarni ko'rib chiqing qaror qabul qilish bosqichida ISni amalga oshirish bo'yicha.

1 Avtomatlashtirish strategiyasining zaif ishlab chiqilishi (kompaniya o'z biznesining ko'lami va o'sish sur'atlariga mos keladigan izchil uzoq muddatli IT strategiyasiga ega emas).

2 IP-ni tanlashda ba'zi mahsulotlarga nisbatan moda tendentsiyalariga qiziqish.

3 Korxonaning o'ziga xos xususiyatlariga to'liq javob beradigan idealni izlash.

4 Korxona bo'linmalaridan biri tomonidan IP-ni joriy etish uchun lobbichilik - natijada tizim va boshqa asosiy bo'linmalarning ehtiyojlari o'rtasidagi nomuvofiqlik bo'lishi mumkin.

5 Tender topshirig'ini noto'g'ri tuzish - topshiriq IP uchun asosiy talablarga muvofiq emas, balki barcha bo'limlarning arizalarini to'plash va umumlashtirish orqali tuziladi. Ushbu yondashuv, qoida tariqasida, butun kompaniyaning strategik maqsadlarini emas, balki faqat bo'limlarning joriy talablarini hisobga oladi.

Eng keng tarqalgan xato tanlashda IP - amalga oshirishning yakuniy maqsadlari bilan bog'liq bo'lgan funktsional maqsadga muvofiqlikka zarar etkazadigan narsalarning texnik tomoniga bo'lgan ishtiyoq. Baholash biryoqlama bo'lmasligi uchun tizimni tanlashda boshidanoq "sub'ekt" bo'limlari xodimlarini, shuningdek, kompaniyaning top-menejerlarini jalb qilish kerak.

Amalga oshirish bosqichida Loyihaning eng muhim xavflari quyidagilardan iborat.

1 Korxona yuqori rahbariyatining korxona biznes jarayonlari va tashkiliy tuzilmasidagi o'zgarishlarga tayyor emasligi.

2 Loyiha uchun tashqi maslahatchilarning muvaffaqiyatsiz tanlanishi (minimal xarajat tamoyili asosida yoki muayyan dasturiy ta'minot yetkazib beruvchi bilan hamkorlik asosida). Loyiha pudratchisi - maslahatchini tanlashda quyidagi mezonlarga rioya qilish kerak: professionallik, ishonchlilik va natijalarni bashorat qilish.

3 Loyihani amalga oshirish jarayonida inson omilining ta'siri (texnologiya, ish tartibi va formatidagi o'zgarishlar, xodimlarning amalga oshirishga munosabatini hisobga olish zarurati).

4 IT bo'limiga asosiy boshqaruv va ijro etuvchi hokimiyat vakolatlarini topshirish. Loyiha jamoasi, albatta, barcha "mavzu" bo'limlarining asosiy xodimlarini o'z ichiga olishi kerak, ular keyinchalik joriy qilingan tizim bilan ishlaydi.

Shuni ta'kidlash kerakki, ATni amalga oshirish va ishlatishdagi qiyinchiliklarni bartaraf etish bo'yicha tavsiyalar muayyan korxonaning o'ziga xos xususiyatlaridan kelib chiqqan holda ishlab chiqilishi kerak. Avvalo, korxona rahbariyati va IT-xizmati kelajakda korxona ATni takomillashtirish bo'yicha doimiy harakatlarni amalga oshirishi kerakligini bilishi kerak. Ishlashning "loyihaviy rejimi" dan takomillashtirish va o'zgartirish bosqichiga o'tish ba'zi korxonalar uchun muhim muammo bo'lib, uni hal qilish puxta o'rganish va rejalashtirishni talab qiladi. Xavfni tadqiq qilishning muhim vazifasi - bu muayyan xavfning yuzaga kelishi ehtimoli ko'proq bo'lgan bosqichni aniqlashdir.

Amalga oshirish bosqichida loyihaning oldingi bosqichlariga xos bo'lgan xavflar, ya'ni bosqichma-bosqich xatarlar o'zini to'liq namoyon qila boshlaydi. Ular, shuningdek, loyihaning deyarli har bir bosqichida amalga oshiriladigan "o'zaro faoliyat" risklari bilan to'ldiriladi. O'zaro bog'liq bo'lganlar, birinchi navbatda, ichki siyosiy xavflarni o'z ichiga oladi - ko'pincha IPni joriy etish loyihasi korxonada siyosiy kurash dastagi bo'lib xizmat qiladi. Agar loyiha mol-mulk, tovarlar va pul oqimlarini nazorat qiluvchi yirik jamoalar va yuqori darajali menejerlarning hayotiy manfaatlariga ta'sir etsa, u holda ideal rejalashtirish va amalga oshirishni tashkil qilish bilan ham jiddiy muammolar paydo bo'lishi mumkin.

Mijoz va maslahatchi o'rtasida ish yukini taqsimlash bilan bog'liq o'zaro tavakkalchilik ham mavjud. Loyiha davomida maslahatchilar tomonidan bajariladigan ishlarning ulushi kamayishi kerak, aks holda buyurtmachi korxona maslahatchilarsiz ATning keyingi faoliyatida qiyinchiliklarga duch keladi. Loyiha, shuningdek, inson omilining ta'siri (xodimlarning qarshiligi, loyihadan psixologik charchoq), shuningdek korxona ichida o'rnatilgan samarasiz aloqalar tufayli yomon rivojlanishi mumkin.

Xodimlar tomonidan loyihani rad etish, qoida tariqasida, ma'lumot etishmasligidan kelib chiqadi: korxona rahbariyati loyiha jamoasi nima qilayotganini bilmaydi va xodimlar buni amalga oshirishning ma'nosini ko'rmaydilar. hammasi. Xodimlarning salbiy munosabatini o'z vaqtida va muntazam tushuntirish ishlari bilan bartaraf etish mumkin, bu loyiha jamoasi a'zolarining mas'uliyati bo'lishi kerak.

Loyiha tugagandan so'ng, korxonada IP-dan samarali foydalanish va yanada rivojlanishiga to'sqinlik qiladigan uzoq muddatli xavflar paydo bo'la boshlaydi. Asosiy uzoq muddatli xavflar tashqi va ichki o'zgarishlarni etarli darajada qo'llab-quvvatlamaslik natijasida yuzaga keladi. Muhim uzoq muddatli xavf inson omili bilan bog'liq - maslahatchilar loyihasida ishtirok etishning tugashi. Bundan tashqari, axborot xavfsizligini buzish xavfi mavjud - kompaniyadan tijorat ma'lumotlarining sizib chiqishi mumkin.

Uzoq muddatli risklar orasida etakchilik (zararning og'irligi va minimallashtirishning murakkabligi bo'yicha) korxonani qayta tashkil etish, shuningdek, biznes jarayonlarida moslashuvchanlikni yo'qotish bilan bog'liq omillarga tegishli.

Biroq, uzoq muddatli xavflar IP hayot aylanishiga ikkinchi darajali ta'sir ko'rsatadi. Avvalo, vakolatli rejalashtirish va IPni muvaffaqiyatli amalga oshirish kerak.

IT-loyihalarining xatarlarini tavsiflashdan maqsad, ushbu xavflarni oldindan aniqlash va loyiha boshlanishidan oldin profilaktika choralarini ko'rishdir. Voqealarning oldini olishga qaratilgan asosiy chora-tadbirlarni ajratib ko'rsatish tavsiya etiladi xavfli vaziyatlar IT loyihalarida:

1 loyihaning maqsadlari, shuningdek uni amalga oshirish jarayonida yuzaga keladigan loyiha hujjatlaridagi barcha o'zgarishlarning majburiy hujjatlari;

2 moddiy rag'batlantirish orqali xodimlarning motivatsiyasini oshirish;

3 uchinchi tomon malakali mutaxassislarni jalb qilish;

4 guruh a'zolari va korxonaning yuqori rahbariyatini loyihalarni boshqarish metodologiyasi bo'yicha o'qitish va boshqalar.

IP-ning barcha IP amalga oshirilishi uchun xos bo'lgan xavflar orasida quyidagilarni ajratib ko'rsatish mumkin:

1 tizimni yaratishda dizayn xavflari (IS dizayniga kiritilgan);

2 tashkiliy xavflar (shu jumladan ATni amalga oshirish va ishlatish jarayoniga inson omilining ta'siri, natijada - AT yordamida qayta ishlangan ma'lumotlarni noto'g'ri talqin qilish);

3 ta texnik xavflar, masalan, uzilishlar, nosozliklar, ma'lumotlarning yo'qolishi yoki buzilishi va boshqalar;

Tizimning ishlashi bilan bog'liq bo'lgan biznesni yo'qotishning 4 ta xavfi (biznes risklari) (texnik xavflardan kelib chiqadi).

Loyiha xatarlari ATni loyihalash yoki yetkazib berish bosqichida paydo bo'ladi. Bularga, masalan, ma'lum dasturiy ta'minot yoki texnik echimlarning eskirish xavfi, shuningdek, IS komponentlarini yetkazib berishni kechiktirish xavfi kiradi. Biroq, ATni yetkazib berish va amalga oshirish uchun nisbatan qisqa vaqt talab qilinishini, shuningdek, bunday loyihalarni amalga oshirish shartlarini hisobga olgan holda, qoida tariqasida, etkazib berish va amalga oshirish bilan bog'liq barcha masalalar bitta yetkazib beruvchi kompaniya tomonidan hal qilinadi. bunday xavf-xatarlar ehtimoli past.

Tashkiliy tavakkalchiliklar narxini ekspertlar yordamida baholash mumkin. Ko'pgina tashkiliy xatarlar, yuzaga kelish ehtimoli etarli bo'lgan holda, avtomatlashtirishning butun ta'sirini nolga tushirishi yoki hatto avtomatlashtirishning zararini aniqlashi mumkin, shuning uchun ularni tahlil qilishga alohida ehtiyotkorlik bilan yondashish kerak.

Eng aniq tashkiliy xavflar quyidagilarni o'z ichiga oladi.

1 Xodimlarning sabotaji. Ushbu xavf IPni joriy etish bo'yicha barcha sa'y-harakatlarni inkor etadi. Bu ko'p sabablarga ko'ra paydo bo'lishi mumkin: masalan, xodimlarning rejalashtirilgan qisqarishi tufayli ishni yo'qotish qo'rquvi, xodimning haqiqiy ish natijalarini yashirish istagi, qobiliyatsizligini oshkor qilmaslik va boshqalar.

2 ISning ishlashi natijasida olingan ma'lumotlarni tahlil qilish asosida noto'g'ri xulosalar, ya'ni. ATda qayta ishlangan ma'lumotlarni noto'g'ri talqin qilish.

3 Xodimlar tomonidan o'g'irlik yoki xiyonat natijasida tizimda to'plangan ma'lumotlarni raqobatchilarga o'tkazish va boshqalar.

Korxonaning AT xizmatining, shuningdek, strategik rivojlanish va rejalashtirish bo'limining rejalashtirilgan ishi IPni amalga oshirish loyihasining xavflarini kamaytirish bo'yicha tavsiyalar ishlab chiqishni o'z ichiga olishi kerak. Shuningdek, ATni sinovdan o'tkazish, malakali maslahatchilar va ishonchli uskunalar yetkazib beruvchilar bilan ishlash, ATni amalga oshirish loyihasining dastlabki xarajatlar smetasiga AT bilan ishlashda ishtirok etgan xodimlarga qo'shimcha to'lovlarni kiritish kerak. Xatarlarni minimallashtirishning muhim omillari quyidagilardan iborat: yuqori rahbariyatning IPni amalga oshirishda IPga ehtiyotkorlik bilan munosabati va korxonani avtomatlashtirishning umumiy strategiyasini oldindan ishlab chiqish.

Hozirgi vaqtda korxona loyihalari risklarining yagona tasnifi mavjud emas. Biroq, korporativ o'quv markazini ochish va rivojlantirish loyihasiga xos bo'lgan quyidagi asosiy xavflarni aniqlash mumkin.

"Bu - taraqqiyot" korxonasini ochishning ushbu bosqichida dasturiy ta'minotni yaratishning barcha risklarini hisobga olish maqsadga muvofiq emasligi sababli, dasturiy ta'minotni ishlab chiqish va sotish bilan shug'ullanadigan korxonani ochish xavfini tahlil qilish kerak.

2.1-jadval - Ishlab chiquvchi korxonani ochish xavfi dasturiy ta'minot

2.1-jadvalning davomi

Delphi usuli usuliga o'xshaydi aqliy hujum, lekin uning ishtirokchilari bir-birlarini tanimaydilar. Mashg'ulotchi loyihaning xavf-xatarlari haqida g'oyalar olish uchun savollar ro'yxatidan foydalanadi, mutaxassislardan javoblarni to'playdi. Keyinchalik, ekspertlarning javoblari tahlil qilinadi, toifalarga bo'linadi va keyingi sharhlar uchun ekspertlarga qaytariladi. Konsensus va xavflar ro'yxati ushbu jarayonning bir necha tsikllari orqali olinadi. Delphi usuli fikrni ifodalashda hamkasblar tomonidan bosim va xijolat qo'rquvini yo'q qiladi.

Loyiha risklari reestri ma'lum, aniqlangan loyiha xatarlari to'g'risidagi jadval ko'rinishidagi, odam o'qiy oladigan ma'lumotlarni o'z ichiga oladi. Loyiha risklari reestri har doim bo'lishi kerak dolzarb ma'lumotlar, loyiha jamoasining risklar bilan ishlash sifati to'liq bunga bog'liq.Odatda, loyiha risklari reestrida quyidagi ma'lumotlar mavjud:

• ID— loyiha tavakkalchiligining yagona identifikatsiya raqami. Foydalanilganda, bu raqam PMISda ko'rsatilgan xavf identifikatoriga mos kelishi kerak.
• Xavf tavsifi— loyiha xavfining batafsil tavsifi.
• Turkum— KSUPga muvofiq xavf toifasi. Masalan, investitsiya xavfi, texnologik xavf, loyiha jamoasi bilan bog'liq xavf va boshqalar.
• Turi— xavf turi: ijobiy yoki salbiy. Ijobiy xavflar loyiha jamoasining qo'lida o'ynaydi va loyihani tezroq yakunlash imkonini beruvchi qo'shimcha foyda keltiradi. Salbiy risklar, aksincha, loyihani muvaffaqiyatli yakunlash ehtimolini kamaytiradi.
• Ta'sir qilish- loyihaning to'rtta asosiy parametrlaridan biriga xavf ta'siri darajasi: xarajat, vaqt, ko'lam yoki sifat. Odatda 0,05, 0,1, 0,2, 0,4, 0,8 qiymatlari bilan baholanadi.

• Umumiy ta'sir- xavfning umumiy ta'siri tanlangan modelga bog'liq ( maks- maksimal qiymat ishlatiladi, o'rtacha- o'rtacha qiymatdan foydalaniladi) va xavfning to'rtta parametrga ta'siridan kelib chiqqan holda aniqlanadi.
• Ehtimollik- xavfning yuzaga kelish ehtimoli. Odatda 0,1, 0,3, 0,5, 0,7, 0,9 qiymatlari bilan baholanadi.
• Ma'nosi— aslida, xavfning kattaligi mahsulot sifatida hisoblanadi Umumiy ta'sir yoqilgan Ehtimollik.
• Strategiya- xavfga javob berish strategiyasi. Etti strategiyadan biri tanlanadi. Salbiy xavflar uchun: qochish, kamaytirish, baham ko'rish. Ijobiy xavflar uchun: uzatish, foydalanish, kuchaytirish. Barcha xavflar uchun: Farzand asrab olish.
• Voqealar- tanlangan javob strategiyasiga muvofiq xavf bilan kurashish bo'yicha chora-tadbirlar tavsifi.
• Mas'uliyatli— xavfni boshqarish uchun mas'ul bo'lgan loyiha jamoasi a'zosining nomi.

R 50.1.084-2012 Risklarni boshqarish. Xavf reestri. Tashkiliy risklar reestrini yaratish bo'yicha qo'llanma

xatcho'p o'rnating

xatcho'p o'rnating

Risklarni boshqarish

XAVF RO'YXATI

Tashkiliy risklar reestrini yaratish bo'yicha qo'llanma

risklarni boshqarish. xavf registri. Tashkilot risklari reestrini qurish bo'yicha ko'rsatmalar

Kirish sanasi 2013-12-01

Muqaddima

1 AVTONOM TOMONIDAN DIZAYLANGAN notijorat tashkilot"Nazorat va diagnostika ilmiy-tadqiqot markazi texnik tizimlar"(ANO "NIC KD")

2 Standartlashtirish bo'yicha texnik qo'mitasi tomonidan joriy etilgan TC 10 "Xavflarni boshqarish"

3 Texnik jihatdan tartibga solish va metrologiya federal agentligining 2012 yil 29 noyabrdagi 1283-son buyrug'i bilan tasdiqlangan va kuchga kiritilgan.

4 BIRINCHI MARTA KIRILANIB ETILGAN

Ushbu tavsiyalarga kiritilgan oʻzgartirishlar toʻgʻrisidagi maʼlumotlar “Yoʻriqnomalar, tavsiyalar va qoidalar” yillik indeksida, oʻzgartirish va qoʻshimchalar matni esa “Milliy standartlar” oylik axborot indeksida eʼlon qilinadi. Ushbu tavsiyalar qayta ko'rib chiqilgan (almashtirilgan) yoki bekor qilingan taqdirda, tegishli xabarnoma "Milliy standartlar" oylik axborot indeksida e'lon qilinadi. Tegishli ma'lumotlar, bildirishnomalar va matnlar ham joylashtirilgan axborot tizimi umumiy foydalanish - Internetdagi Texnik tartibga solish va metrologiya federal agentligining rasmiy veb-saytida

Kirish

Xatarlar reestri xavfli hodisalar va xavflar to'g'risidagi ma'lumotlarni taqdim etish va saqlash usullaridan biridir. Xavf reestrining mavjudligi tashkilotga ma'lum bir xavf manbai, oqibatlari, xavfli hodisalarning maqsadi va boshqalar bilan bog'liq ma'lumotlarni olish imkonini beradi. Biroq, xavf reestrini ishlab chiqish, ayniqsa, qachon katta raqam xavf manbalari ko'p kuch, vaqt, moliyaviy resurslar, shuningdek, katta hajmdagi ma'lumotlar.

Xatarlar reestrini ishlab chiqish va yuritish zarurati tashkilotning o'zi tomonidan belgilanadi.

3.2 xavf registri(xavf registri): Aniqlangan xavf haqidagi ma'lumotlarni qayd etish shakli.

Izoh Ba'zida "xavflar registri" atamasi o'rniga "xavflar jurnali" atamasi qo'llaniladi.

3.3 Xavfli(xavf): potentsial zarar manbai.

Izoh Xavf xavf manbai bo'lishi mumkin.

3.4 risk menejeri(xavf menejeri): xavfni aniqlash, baholash, tahlil qilish, qayta ishlash, monitoring qilish, shuningdek tashkilotning risklarni boshqarish sohasidagi boshqa faoliyat bo'yicha mutaxassis.

4 Korxona risklari reestrini qanday ishlab chiqish kerak

4.1 Umumiy holat

Tashkilot xavflar reestrini ishlab chiqish zarurati, bosqichlari, shakli va usullarini aniqlashi kerak. Tashkilotning risklar reestrini ishlab chiqishning asosiy maqsadlari, uning risklarni boshqarish tizimidagi o'rni, xavflar reestrining afzalliklari va kamchiliklari GOST R 51901.21 da belgilangan.

Tashkilotning xavf reyestri - bu aniqlangan xavfli hodisalarni hisobga olish, tegishli xavfni baholash, uni qayta ishlash usullari va muddatlari. Xatarlar reestrini yuritishda tegishli majburiy talablarni, shuningdek xavf turlari va uning yuzaga kelish xavfi to'g'risidagi boshqa mavjud ma'lumotlarni hisobga olish kerak. Tashkilotning o'ziga xos xususiyatlariga qarab, xavflar reestrining shakli va mazmuni 1-jadvalda ko'rsatilgan xavf registrining standart shakliga nisbatan o'zgartirilishi yoki to'ldirilishi mumkin. GOST R 51901.22.

Tashkilotning risklar reestrini ishlab chiqishda quyidagilarga e'tibor qaratish lozim:

• tashkilotning risklarni boshqarish sohasidagi siyosati, maqsadlari va strategiyasi;
• tashkilot tomonidan ishlab chiqarilgan mahsulot va xizmatlarning xususiyatlari;
• asosiy ishlab chiqarish jarayonlari va tashkilotni boshqarish jarayonlari;
• xavflarni tahlil qilish va baholashning belgilangan va qo'llaniladigan usullari;
• qonuniy talablar;
• ishlab chiqarilgan mahsulotlarning ishlash shartlari.

Xatarlarni boshqarish bo'yicha mas'uliyat, risklarni nazorat qilish va monitoring qilish uchun javobgarlikni o'z ichiga olgan tavakkalchilik menejeri yoki risklarni boshqarish guruhiga yuklanishi kerak. Xavf menejerlariga qo'yiladigan talablar GOST R 51901.21 da belgilangan.

Tashkilotning risklar reestrini ishlab chiqish, tasdiqlash, yuritish va yangilash 5-bandga muvofiq amalga oshirilishi kerak. GOST R 51901.22.

Xatarlar reestri to'g'risidagi ma'lumotlar almashinuvi va xavflar reestriga tegishli ma'lumotlarning maxfiyligini ta'minlash GOST R 51901.22 6-bandining talablari va tavsiyalarni hisobga olgan holda amalga oshirilishi kerak. R 50.1.070.

Riskni baholashning soddalashtirilgan usuliga misol va kichik tashkilot risklari reestrining qisqartirilgan versiyasini ishlab chiqish A ilovasida keltirilgan.

4.2 Tashkilotning risklarni boshqarish jarayonidagi bosqichlar

Tashkilotning risklar reestrini ishlab chiqishning asosiy bosqichlari risklarni boshqarish jarayonidagi bosqichlarga mos kelishi kerak. Shu bilan birga, bosqichlarning mazmuni tashkilotning risklarni boshqarish xususiyatlariga bog'liq. Xatarlarni boshqarish tamoyillari GOST R ISO 31000 da belgilangan. Kichik tashkilotlar uchun risklarni boshqarish jarayonining asosiy elementlari 1-rasmda keltirilgan.

1-rasm - risklarni boshqarish jarayonining umumiy sxemasi

Kichik tashkilotlar uchun xavflarni boshqarish jarayonining asosiy elementlari tavsifi keltirilgan R 50.1.069.

4.3 Tashkiliy risklarni boshqarish jarayonlari xaritasi

GOST R 51901.21 ga muvofiq risklarni boshqarish jarayoniga asoslanib, tashkilot xavflarni boshqarish jarayonining xaritasini tuzishi mumkin. Kichik tashkilotlar uchun texnologik xaritani ishlab chiqishda xavflarni boshqarishning asosiy elementlarini (xavfli hodisalarni aniqlash, miqdoriy aniqlash xavflarni tahlil qilish va qiyosiy xavflarni baholash, xavflarni davolash, monitoring va ko'rib chiqish), ularning mazmuni tashkilotning xususiyatlariga qarab aniqlanishi mumkin.

4.4 Tashkilot risklari reestrini ishlab chiqish

4.4.1 Umumiy

Xatarlarni boshqarish jarayonining har bir bosqichida amalga oshirilgan harakatlar natijalari risklar reestrida aks ettirilishi kerak. Xatarlar reestrini yaratish qoidalari ushbu maqolada keltirilgan GOST R 51901.22. Xatarlar registrining odatiy shakli 1-jadvalda keltirilgan GOST R 51901.22.

Tashkilotning risklar reestrini ishlab chiqish va yuritish uchun mas'uliyatni taqsimlash risklarni boshqarish jarayonidagi bosqichlarga mos kelishi kerak, chunki risklarni boshqarish jarayonining har bir bosqichi tugagandan so'ng risklar reestridagi ma'lumotlar kiritilishi va yangilanishi kerak.

Tashkilotning risklar reestrini ishlab chiqishning asosiy bosqichlari 4.4.2-4.4.6-bandlarda tasvirlangan.

4.4.2 Xatarlar reestrining maqsadi va hajmini belgilash

Tashkilot xavflarni boshqarish jarayonining qolgan elementlarini amalga oshirish uchun tashkilotning ichki va tashqi maqsadlarini, shuningdek risklarni boshqarish maqsadlarini belgilashi kerak. Xatarlarni boshqarish doirasini aniqlash bo'yicha yo'riqnomada keltirilgan R 50.1.068.

Xatarlar reestrining maqsadlari va hajmini belgilashda birinchi navbatda risklar reestrining ob'ektlari aniqlanadi. Xatarlar reestrining ob'ektlari quyidagilar bo'lishi mumkin:

• butun tashkilot, tarkibiy bo'linma yoki uning bir qismi;
• mahsulot, xizmat, jarayon yoki faoliyat;
• xodimlar yoki individual ishchilar.

Umumiy talablar xavflar reestrining hajmini aniqlash uchun GOST R 51901.21 da o'rnatiladi.

4.4.3 Xavf mezonlarini ishlab chiqish

Tashkilot xavf mezonlarini belgilaydi. Mezon maqsad va ko'lamni aks ettirishi kerak. Ular ko'pincha ishtirok etuvchi tomonlarning manfaatlariga, shuningdek, tegishli huquqiy va/yoki me'yoriy talablarga bog'liq. Xavf mezonlari operatsion, texnik, moliyaviy, huquqiy, qonunchilik, ijtimoiy, ekologik, gumanitar va/yoki boshqalar bo'lishi mumkin.

umumiy tavsif risklarni boshqarish doirasini belgilashda qaror mezonlari ishlab chiqilishi kerak. Xavf mezonlari xavfning ma'lum bir turi aniqlangandan va xavfni tahlil qilish usuli tanlanganidan keyin aniqlanishi va/yoki qayta ko'rib chiqilishi kerak. Xavf mezonlari xavf turiga va uning taqdim etilishiga mos kelishi kerak.

Xavf mezonlari odatda tashkilotning risklar reestriga kiritiladi, ammo kichikroq tashkilotlar uchun xavf mezonlari tashkilotning hujjatlashtirilgan tartib-qoidalarida yoki risklarni boshqarish bo'yicha boshqa hujjatlarda belgilanishi mumkin.

4.4.4 Xavfli hodisani aniqlash

Xavfli hodisalarni identifikatsiya qilish xavflar reestri doirasida tashkil etilgan xavflar reestriga ta'sir ko'rsatishi mumkin bo'lgan hodisalar va hodisalarni aniqlashni o'z ichiga olishi kerak. Xavflar reestriga kiritish uchun xavfli hodisalarni aniqlash uchun umumiy talablar 4.2-bandda belgilangan. GOST R 51901.21.

Kichik, kichik tashkilotlar uchun xavfli hodisalarni aniqlash uch bosqichdan iborat bo'lishi mumkin:

• xavfni aniqlash usullarini belgilash;
• xavfli hodisalarni aniqlash;
• xavfli hodisaning sabablarini aniqlash.

Tashkilot birinchi navbatda xavfni aniqlash usullarini aniqlashi kerak. Xatarlarni aniqlashda quyidagi usullardan foydalanish mumkin: nazorat ro'yxatini tahlil qilish, tengdoshlarni ko'rib chiqish, eksperimental va tarixiy ma'lumotlarni tahlil qilish, tahlil qilish blok diagrammasi ishonchlilik, aqliy hujum usuli, tizim tahlili, stsenariy tahlili, tizimni loyihalash usullari. Ushbu usullar GOST R ISO / IEC 31010 da batafsilroq muhokama qilinadi. Usulni tanlash xavf turiga, tashkilotning risklarni boshqarish ko'lami va maqsadlariga, shuningdek, tashkilotning risklarini boshqarish uchun qo'llaniladigan va talab qilinadigan nazorat va usullarga bog'liq.

Xatarlarni identifikatsiyalash usullari odatda tashkilotning risklar reestrida qayd etiladi, ammo kichikroq tashkilotlar uchun xavflarni aniqlash usullari hujjatlashtirilgan protseduralarda yoki tashkilotning risklarni boshqarish bo'yicha boshqa hujjatlarida belgilanishi mumkin.

Keyingi qadam xavfli hodisalarni aniqlash bo'lib, unda tashkilot o'z faoliyatiga va maqsadlarga erishishga salbiy ta'sir ko'rsatishi mumkin bo'lgan xavfli hodisalarning umumiy ro'yxatini tuzishi kerak. Ro'yxatga asoslanib, yuzaga kelishi mumkin bo'lgan har bir aniqlangan xavfli hodisani batafsil tavsiflash kerak. Xavfli hodisalar ro'yxatini tuzishda A ilovasida keltirilgan xavf tasnifidan foydalanish mumkin. GOST R 51901.21.

Xavfli hodisaning nomi aniq iborada ifodalanishi kerak. Nomi etarlicha uzun bo'lgan xavfli hodisa uchun qisqa nomdan foydalanish mumkin.

Potentsial xavfli hodisalar aniqlangandan so'ng, ularning paydo bo'lish manbalari va sabablarini, shuningdek, mumkin bo'lgan oqibatlar tashkilot faoliyati uchun.

Xavfli hodisalar, ularning manbalari va yuzaga kelishi mumkin bo'lgan oqibatlari tashkilotning xavf reestriga (uning hajmidan qat'iy nazar) kiritilgan.

Xavfni aniqlash bosqichini o'tkazishda GOST R 51901.23 talablarini hisobga olish tavsiya etiladi.

4.4.5 Xatarlarni tahlil qilish

Xavflar reestriga kiritish uchun xavfli hodisalar xavfini tahlil qilish bo'yicha umumiy talablar GOST R 51901.22 ning 4.3-bandida belgilangan.

Xavflarni tahlil qilish xavfli hodisalarning manbalarini, ularning oqibatlarini va ushbu hodisalarning yuzaga kelish ehtimolini o'rganishni o'z ichiga oladi. Shu bilan birga, hodisaning oqibatlari va ehtimoliga ta'sir qiluvchi omillarni ham aniqlash kerak. Xavf hodisaning oqibatlari va uning ehtimoli kombinatsiyasini hisobga olgan holda tahlil qilinishi kerak. Bundan tashqari, tashkilot mavjud nazorat va nazorat vositalarini ko'rib chiqishi va baholashi kerak. Hodisa oqibatlarining kattaligi va uning ehtimoli mavjud strategiyalar, nazorat va boshqaruv amaliyotlari samaradorligiga nisbatan baholanishi kerak.

Tashkiliy risklarni tahlil qilish xavfning xususiyatiga, tahlil maqsadiga, mavjud ma'lumotlar va resurslarga qarab har xil darajada batafsil o'tkazilishi mumkin. Xavflarni tahlil qilish sifat, miqdoriy yoki kombinatsiyalangan bo'lishi mumkin. Kichik tashkilotlar uchun sifat tahlili odatda xatarlarni umumiy baholash va xavf bilan bog'liq muammolarni aniqlash uchun ishlatiladi. Agar tashkilot qo'shimcha batafsil tahlil zarur deb qaror qilsa, u holda xavf tahlilining miqdoriy yoki kombinatsiyalangan usullari qo'llanilishi mumkin. Xatarlarni tahlil qilishning ushbu turlarining tavsifi maqolada keltirilgan R 50.1.069 va GOST R ISO/IEC 31010.

Xavflar reestrida hodisalarning oqibatlari va ehtimolini ko'rsatish usuli risklarni tahlil qilish maqsadlariga erishishni ta'minlaydigan tarzda tanlanishi kerak.

Xavflarni tahlil qilishda hodisaning oqibatlari va ehtimolini baholashda noaniqlik va o'zgaruvchanlikni, shuningdek, xavf bilan bog'lanish samaradorligini hisobga olish kerak. Xatarlar reestriga miqdoriy ma'lumotlarni kiritishda tegishli noaniqlik (agar iloji bo'lsa) ko'rsatilishi kerak.

4.4.6 Xatarlarni qiyosiy baholash

Xatarlar reestriga kiritish uchun qiyosiy xavfni baholashga qo'yiladigan umumiy talablar 4.4-kichik bo'limda keltirilgan. GOST R 51901.22.

Kichik tashkilotning risklarini qiyosiy baholashning maqsadi xavfni tahlil qilish natijalari va xavfni qabul qilish mezonlari asosida xavfni davolash zarurati va xavfni davolashning ustuvorligi to'g'risida qaror qabul qilishdir.

Qiyosiy xavflarni baholashda GOST R 51901.23 talablariga amal qilish kerak.

Xatarlarni qiyosiy baholash natijalari, agar tashkilotning hujjatlashtirilgan tartib-qoidalarida yoki risklarni boshqarish bo'yicha boshqa hujjatlarda boshqacha qoida nazarda tutilgan bo'lmasa, odatda tashkilotning risklar reestriga kiritiladi.

4.4.7 Xavfni davolash

Xatarlar reestriga kiritish uchun xavfni davolashga qo'yiladigan umumiy talablar GOST R 51901.22 ning 4.5-kichik bo'limida keltirilgan.

Xavfni davolash bosqichida xavfni davolash strategiyasi tanlanadi, oqibatlari baholanadi, xavfli hodisa va xavf ehtimoli (tanlangan xavfni davolash strategiyasini qo'llashni hisobga olgan holda), xavfni davolash choralari, muddatlari va ular uchun javobgarlar. amalga oshirish aniqlanadi va xavfni davolash natijalari baholanadi.

Kichik tashkilotlar uchun xavfni davolash bosqichi bilan bog'liq bo'lgan xavf registrining majburiy elementlari xavfni davolash choralarini belgilash, ularni rejalashtirilgan va amalda amalga oshirish muddatlari hisoblanadi.

Odatda, kichik tashkilotning xavfni davolash byudjeti cheklangan, shuning uchun davolash usullari har bir xavfni davolash tartibini ham belgilashi kerak. Tashkilot xavfni davolash va oldini olish choralarini qo'llash orqali amalga oshirilgan xarajatlarni tejashga qarshi choralar ko'rilmasa, xavfli hodisaning umumiy qiymatini solishtirishi kerak.

4.4.8 Risklarni monitoring qilish va xavflar reestrini ko'rib chiqish

Xavflarni monitoring qilish va xavflar reestrini ko'rib chiqish uchun umumiy talablar 4.6-kichik bo'limda keltirilgan GOST R 51901.22.

Tashkilot risklarni boshqarish jarayonining uzluksizligini ta'minlashi kerak, shuning uchun xavfning barcha turlarini muntazam ravishda kuzatib borish va risklar reestridagi yozuvlarni ko'rib chiqish kerak.

Xatarlarni monitoring qilish natijalari odatda tashkilotning risklar reestrida qayd etiladi, ammo kichik tashkilotlar uchun bu natijalar hujjatlashtirilgan protseduralarda yoki risklarni boshqarish tashkilotining boshqa hujjatlarida aniqlanishi mumkin.

A ilova
(ma'lumotnoma)

Xavflarni baholashning soddalashtirilgan usuliga misol va kichik tashkilot risklari reestrining qisqartirilgan versiyasini ishlab chiqish

A.1 Umumiy

Xatarlar reestrining tuzilishi va tarkibi tashkilotning xususiyatlariga bog'liq. Xatarlar registrining odatiy shakli GOST R 51901.22 da keltirilgan. Kichikroq tashkilotlar xavf reestrining qisqartirilgan (soddalashtirilgan) shaklidan foydalanishlari mumkin, bunga misol A.1-jadvalda keltirilgan.

A.1-jadval — Xatarlar reestrining soddalashtirilgan shakli

Xatarlar reestrini to'ldirishda quyidagi shkalalardan foydalanish mumkin:

oqibatlar ko'lami: 5 - halokatli oqibatlar, 4 - jiddiy oqibatlar, 3 - o'rtacha oqibatlar, 2 - kichik oqibatlar, 1 - ahamiyatsiz oqibatlar;

xavfli hodisa ehtimoli shkalasi: 5 - juda yuqori ehtimollik, 4 - yuqori ehtimollik, 3 - o'rtacha ehtimollik, 2 - past ehtimollik, 1 - juda past ehtimollik;

xavfni baholash: qabul qilinadigan xavf (0-4), nazorat qilinadigan xavf (5-8), muhim xavf (9-25);

xavfni davolash choralari: (0) xavf yo'q, chora ko'rilmaydi; (0-4) past xavf, faqat arzon narxlardagi harakatlar amalga oshiriladi; (5-8) o'rtacha xavf, harakatlar ularni amalga oshirish vaqti va iqtisodiy maqsadga muvofiqligini hisobga olgan holda amalga oshiriladi; (9-25) yuqori xavf, xavfni kamaytirishga shoshilinch ehtiyoj; (16-25) yuqori xavf, xavfni kamaytirish uchun darhol (favqulodda) harakatlarni qo'llash.

A.2 Risk matritsasi

A.2.1 Umumiy

Xavfli hodisalar uchun xavfni baholash usuli GOST R 51901-23 * da berilgan, ammo kichik tashkilotlar xavfni baholashning noaniqligini hisobga olgan holda soddalashtirilgan xavflarni baholash usullaridan foydalanishlari mumkin.

________________

*Ehtimol, asl xatolik. O'qish kerak: GOST R 51901.23. - Ma'lumotlar bazasi ishlab chiqaruvchisining eslatmasi.

Kichik tashkilotlar xavfning ahamiyatini baholash uchun xavf matritsasidan foydalanishlari mumkin. Xatarlarni tizimli va izchil baholash uchun quyidagi bosqichlarga muvofiq xavf matritsasi ishlab chiqish zarur:

• xavfli hodisaning yuzaga kelish ehtimolini baholash (A.2.2);
• xavfli hodisaning oqibatlarini baholash (A.2.3);
• xavf matritsasi tuzish (A.2.4);
• xavfni davolash chora-tadbirlari ta'rifi (A.2.5).

Ushbu misol xavf matritsasining eng oddiy versiyasini ko'rsatadi. Tashkilot, xavflarni baholash shartlariga qarab, o'z xavf matritsasi ishlab chiqishi mumkin.

A.2.2 Xavfli hodisa ehtimolini baholash

Kichkina tashkilotda risklar reestrining ob'ektiga qarab, xavf menejeri xavflarni kamaytirish bo'yicha chora-tadbirlarni boshqarishning ko'rsatilgan nazorat va usullarini qo'llashda xavfli hodisaning yuzaga kelish ehtimoli qanday degan savolga javob berishi kerak. Buning uchun A.2-jadvaldan foydalanish mumkin.

A.2-jadval - Xavfli hodisa ehtimolini baholash

Agar xavfli hodisaning yuzaga kelish ehtimolini baholashda shubhalar mavjud bo'lsa, u holda hodisaning xavflilik darajasi oshiriladi.

A.2.3 Xavfli hodisaning oqibatlarini baholash

Xavfli hodisaning ta'sir doirasiga qarab, xavf menejeri xavfli hodisa oqibatlarini mavjud nazorat, boshqaruv usullari va xavfni kamaytirish choralari bilan baholashi kerak. Buning uchun A.3-jadvaldan foydalanish mumkin.

Jadval A.3 - Xavfli hodisaning oqibatlarini baholash

Agar xavfli hodisaning oqibatlarini baholashda shubha tug'ilsa, bu hodisaning darajasi oshiriladi.

A.2.4 Risk matritsasini tuzish

Ushbu misolda xavfni baholashning eng oddiy usuli qo'llaniladi - sifatli baholash xavfli hodisaning oqibatlari va ehtimoli. Bunday holda, xavf quyidagi ehtimollik bo'yicha oqibatlarning mahsuloti sifatida hisoblanadi:

Natijalar va ehtimolliklar darajasi 2 va 3-jadvallarga muvofiq belgilanadi.

Olingan natijalar maqbul va qabul qilinishi mumkin bo'lmagan xavfni aniqlash uchun asos bo'lishi mumkin bo'lgan xavf matritsasini (A.4-jadval) tuzish imkonini beradi.

A.4-jadval — Risklar matritsasi

Xavflar reestrida aniqroq bo'lishi uchun xavfni baholashni rang bilan ajratib ko'rsatish mumkin:

yashil - qabul qilinadigan xavf (0-4);

sariq rang - boshqariladigan xavf (5-8);

qizil (to'q qizil) - jiddiy va muhim xavf (9-25).

Belgilangan xavf turlari ham bo'limlarda, ham butun tashkilotda tasniflanishi mumkin. Reyting xavf matritsasiga asoslanadi (oqibatlar va ehtimollik mahsuloti) va muhim xavflarning aksariyatini aniqlash imkonini beradi.

A.2.5 Xavfni davolash strategiyasi va chora-tadbirlarini aniqlash

Xavflarni baholashga qarab (A.4-jadvalga qarang), risklar reestrida qayd etilgan har bir xavf uchun amalga oshiriladigan harakatlar aniqlanishi kerak. A.5-jadval xavfni baholash asosida amalga oshirilishi kerak bo'lgan harakatlar misolini ko'rsatadi.

A.5-jadval — Xatarlarni baholash asosida amalga oshiriladigan harakatlar misoli

Xatarlarni kamaytirish yoki xavfni davolash choralari xavf reestriga kiritilishi va/yoki alohida hujjat sifatida ishlab chiqilishi mumkin. Bunday holda, ushbu hujjatga havola xavf reestrida berilishi kerak. Ko'rsatilgan misolda xavflarni davolash bo'yicha harakatlar xavflar reestriga kiritilgan.

A.3 Qo'shimcha qoidalar

Xatarlar reestri doimiy ravishda yangilanib turadiganligi sababli, xavf yozuvlari sanalari va kiritilgan har qanday o'zgarishlarni qayd etish kerak. Agar harakatlar rejasi xavflar reestriga kiritilgan bo'lsa, rejada nazarda tutilgan harakatlarni bajarishning maqsadi va muddatlari qayd etilishi kerak.

Xatarlar reestridagi sharhlar yoki eslatmalar ustuni havolalarga ruxsat beradi zarur ma'lumotlar, masalan, ushbu xavf muammolari muhokama qilingan yig'ilish o'tkazish.