Рекомендации по стандартизации Р 50.1.084-2012 Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации.
Р 50.1.084-2012
Группа Т59
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
Менеджмент риска
РЕЕСТР РИСКА
Руководство по созданию реестра риска организации
Risk management. Risk register. Guidelines on construction of organization risk register
ОКС 07.030
Дата введения 2013-12-01
Предисловие
1 РАЗРАБОТАНЫ Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД")
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1283
4 ВВЕДЕНЫ ВПЕРВЫЕ
Информация об изменениях к настоящим рекомендациям публикуется в ежегодном указателе "Руководящие документы, рекомендации и правила", а текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ежемесячном информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Введение
Реестр риска является одним из способов представления и хранения информации об опасных событиях и риске. Наличие реестра риска позволяет организации получить информацию, относящуюся к конкретному источнику опасности, последствиям, объекту воздействия опасных событий и т.д. Однако разработка реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также большого объема информации.
Необходимость разработки и ведения реестра риска организация определяет самостоятельно.
Настоящие рекомендации содержат рекомендации по разработке реестра риска для малых организаций.
Настоящие рекомендации следует применять с учетом требований основополагающих стандартов в области риска:
ГОСТ Р ИСО 31000-2010 "Менеджмент риска. Принципы и руководство";
ГОСТ Р ИСО/МЭК 31010-2011 "Менеджмент риска. Методы оценки риска";
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 "Менеджмент риска. Термины и определения".
1 Область применения
_______________
Настоящие рекомендации предназначены в первую очередь для менеджеров по риску, руководителей и технических экспертов малых организаций. Настоящие рекомендации будут полезны также причастным сторонам, включая лиц, ответственных за составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска малой организации.
2 Нормативные ссылки
В настоящих рекомендациях использованы ссылки на следующие документы:
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство
ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска
ГОСТ Р 51901.21-2012 Менеджмент риска. Реестр риска. Общие положения
ГОСТ Р 51901.22-2012 Менеджмент риска. Реестр риска. Правила построения
ГОСТ Р 51901.23-2012 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска
Р 50.1.068-2009 Менеджмент риска. Рекомендации по внедрению. Часть 1. Определение области применения
Р 50.1.069-2009 Менеджмент риска. Рекомендации по внедрению. Часть 2. Определение процесса менеджмента риска
Р 50.1.070-2009 Менеджмент риска. Рекомендации по внедрению. Часть 3. Обмен информацией и консультации
Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, рекомендуется принять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящих рекомендациях применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.
_______________
Примечание 1 - Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
Примечание 2 - Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).
Примечание 3 - Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.
Примечание 4 - Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.
Примечание 5 - Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.
3.2 реестр риска (risk register): Форма записи информации об идентифицированном риске.
Примечание - Вместо термина "реестр риска" иногда используют термин "журнал риска".
3.3 опасность (hazard): Источник потенциального вреда.
Примечание - Опасность может быть источником риска.
3.4 менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.
4 Порядок разработки реестра риска организации
4.1 Общие положения
Организация должна определить необходимость разработки, этапы, форму и способы ведения реестра риска. Основные цели разработки реестра риска организации, его место в системе менеджмента риска, преимущества и недостатки реестра риска установлены в ГОСТ Р 51901.21.
Реестр риска организации является формой ведения записей об идентифицированных опасных событиях, оценке соответствующего им риска, способах и сроках его обработки. При ведении реестра риска необходимо учитывать соответствующие обязательные требования, а также иную доступную информацию о видах опасности и риске ее возникновения. В зависимости от особенностей организации форма и содержание реестра риска могут быть изменены или дополнены по отношению к типовой форме реестра риска, приведенной в таблице 1 ГОСТ Р 51901.22.
При разработке реестра риска организации необходимо учитывать:
- политику, цели и стратегию организации в области менеджмента риска;
- особенности изготавливаемой продукции и оказываемых организацией услуг;
- основные производственные процессы и процессы менеджмента организации;
- установленные и используемые методы анализа и оценки риска;
- законодательные требования;
- условия эксплуатации выпускаемой продукции.
Ответственность за менеджмент риска должна быть возложена на ответственного менеджера по риску или группу менеджмента риска, в том числе ответственность за контроль и мониторинг риска. Требования к менеджерам по риску установлены в ГОСТ Р 51901.21.
Разработка, утверждение, ведение и актуализация реестра риска организации должна проводиться в соответствии с п.5 ГОСТ Р 51901.22.
Обмен информацией по реестру риска и обеспечение конфиденциальности информации, связанной с реестром риска, необходимо проводить с учетом требований п.6 ГОСТ Р 51901.22 и рекомендаций, установленных в Р 50.1.070.
Пример упрощенного метода оценки риска и разработки сокращенного варианта реестра риска малой организации приведен в Приложении А.
4.2 Этапы процесса менеджмента риска организации
Основные этапы разработки реестра риска организации должны соответствовать этапам процесса менеджмента риска. При этом содержание этапов зависит от особенностей менеджмента риска организации. Принципы менеджмента риска установлены в ГОСТ Р ИСО 31000. Основные элементы процесса менеджмента риска для малых организаций приведены на рисунке 1.
Рисунок 1 - Общая схема процесса менеджмента риска
Описание основных элементов процесса менеджмента риска малых организаций приведено в Р 50.1.069.
4.3 Карта процесса менеджмента риска организации
На основе процесса менеджмента риска в соответствии с ГОСТ Р 51901.21 организация может составить карту процесса менеджмента риска. При разработке карты процесса для малых организаций рекомендуется сохранить основные элементы менеджмента риска (идентификация опасных событий, количественная оценка риска, анализ и сравнительная оценка риска, обработка риска, мониторинг и пересмотр), при этом их содержание может быть уточнено в зависимости от особенностей деятельности организации.
4.4 Разработка реестра риска организации
4.4.1 Общие положения
Результаты действий, выполняемых на каждом этапе процесса менеджмента риска, должны быть представлены в реестре риска. Правила построения реестра риска приведены в ГОСТ Р 51901.22. Типовая форма реестра риска приведена в таблице 1 ГОСТ Р 51901.22.
Распределение ответственности за разработку и ведение реестра риска организации должно соответствовать этапам процесса менеджмента риска, поскольку внесение информации в реестр риска и ее корректировку следует выполнять после завершения каждого этапа процесса менеджмента риска.
Основные этапы разработки реестра риска организации описаны в п.п.4.4.2-4.4.6.
4.4.2 Установление целей и области применения реестра риска
Организация должна установить внешние и внутренние цели организации, а также цели в области менеджмента риска для выполнения остальных элементов процесса менеджмента риска. Рекомендации по определению области применения менеджмента риска приведены в Р 50.1.068.
При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами реестра риска могут быть:
- организация в целом, ее структурное подразделение или его часть;
- продукция, услуга, процесс или вид деятельности;
- персонал или отдельные работники.
Общие требования к определению области применения реестра риска установлены в ГОСТ Р 51901.21.
4.4.3 Разработка критериев риска
Организация должна установить критерии риска. Критерии должны отражать цели и область применения. Они часто зависят от интересов причастных сторон, а также от соответствующих законодательных и/или обязательных требований. Критерии риска могут быть эксплуатационными, техническими, финансовыми, юридическими, законодательными, социальными, экологическими, гуманитарными и/или др.
Общее описание критериев принятия решений должно быть разработано при установлении области применения менеджмента риска. Критерии риска должны быть уточнены и/или переработаны после идентификации конкретного вида риска и выбора метода анализа риска. Критерии риска должны соответствовать типу риска и способу его представления.
Критерии риска обычно вносят в реестр риска организации, однако для малых организаций критерии риска могут быть установлены в документированных процедурах или иных документах организации по менеджменту риска.
4.4.4 Идентификация опасных событий
Идентификация опасных событий должна включать в себя определение явлений и событий, которые могут воздействовать на объекты реестра риска, установленные в области применения реестра риска. Общие требования к идентификации опасных событий для включения в реестр риска установлены в п.4.2 ГОСТ Р 51901.21.
Для малых, небольших организаций идентификация опасных событий может состоять из трех этапов:
- определение методов идентификации риска;
- выявление опасных событий;
- выявление причин появления опасного события.
Вначале организация должна определить методы идентификации риска. При идентификации риска могут быть использованы следующие методы: анализ контрольных листов, экспертные оценки, анализ экспериментальных и хронологических данных, анализ структурной схемы надежности, метод мозгового штурма, системный анализ, анализ сценариев, методы системного проектирования. Эти методы более подробно рассмотрены в ГОСТ Р ИСО/МЭК 31010. Выбор метода зависит от вида риска, области применения и целей менеджмента риска организации, а также применяемых и требуемых средств контроля и методов управления риском организации.
Методы идентификации риска обычно вносят в реестр риска организации, однако для небольших организаций методы идентификации риска могут быть определены в документированных процедурах или иных документах организации по менеджменту риска.
Следующим шагом является идентификация опасных событий, на котором организация должна составить общий перечень опасных событий, которые могут неблагоприятно повлиять на ее деятельность и выполнение целей. На основе перечня необходимо подробно описать каждое идентифицированное опасное событие, которое может произойти. При составлении перечня опасных событий может быть использована классификация опасностей, приведенная в приложении А ГОСТ Р 51901.21.
Наименование опасного события должно быть сформулировано понятной фразой. Для опасного события, наименование которого является достаточно длинным, может быть использовано краткое наименование.
После идентификации возможных опасных событий необходимо рассмотреть источники и причины их возникновения, а также возможные последствия для деятельности организации.
Опасные события, их источники и возможные последствия вносят в реестр риска организации (в независимости от ее размера).
При проведении этапа идентификации опасностей рекомендуется учитывать требования ГОСТ Р 51901.23.
4.4.5 Анализ риска
Общие требования к анализу риска опасных событий для включения в реестр риска установлены в п.4.3 ГОСТ Р 51901.22.
Анализ риска включает исследование источников опасных событий, их последствий и вероятностей появления этих событий. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности. Кроме того, организация должна проанализировать и оценить применяемые средства контроля и методы управления. Величину последствий события и его вероятность необходимо оценивать с учетом результативности существующих стратегий, средств контроля и методов управления.
Анализ риска организации может быть проведен с различной степенью детализации в зависимости от особенностей риска, цели анализа, доступных данных и ресурсов. Анализ риска может быть качественным, количественным или комбинированным. Для малых организаций качественный анализ обычно используют для получения общей оценки риска и определения проблем, связанных с риском. Если организация примет решение о необходимости дальнейшего детального анализа, то могут быть применены количественные или комбинированные методы анализа риска. Описание данных видов анализа риска приведено в Р 50.1.069 и ГОСТ Р ИСО/МЭК 31010.
Способы представления последствий и вероятности событий в реестре риска должны быть выбраны таким образом, чтобы обеспечить выполнение целей анализа риска.
При проведении анализа риска необходимо учитывать неопределенность и изменчивость оценок последствий и вероятности события, а также эффективность обмена информацией о риске. При внесении в реестр риска количественных данных следует (по возможности) указывать соответствующую им неопределенность.
При выполнении анализа риска рекомендуется учитывать требования ГОСТ Р 51901.23.
4.4.6 Сравнительная оценка риска
Общие требования к сравнительной оценке риска для включения в реестр риска установлены в подразделе 4.4 ГОСТ Р 51901.22.
Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при выполнении обработки риска.
При выполнении сравнительной оценки риска следует руководствоваться требованиями ГОСТ Р 51901.23.
Результаты сравнительной оценки риска обычно вносят в реестр риска организации, если иное не определено в документированных процедурах или иных документах организации по менеджменту риска.
4.4.7 Обработка риска
Общие требования к обработке риска для включения в реестр риска установлены в подразделе 4.5 ГОСТ Р 51901.22.
На этапе обработки риска проводят выбор стратегии обработки риска, оценку последствий, вероятности опасного события и риска (с учетом применения выбранной стратегии обработки риска), определяют мероприятия по обработке риска, сроки и ответственных за их выполнение, оценивают результаты обработки риска.
Для малых организаций обязательными элементами реестра риска, связанными с этапом обработки риска, являются определение мероприятий по обработке риска, сроков их планового и фактического выполнения.
Обычно бюджет обработки риска малой организации ограничен, поэтому способы обработки должны также устанавливать порядок обработки каждого риска. Организация должна сравнить общие затраты в случае появления опасного события, когда не применяются никакие меры, с экономией средств, полученных после обработки риска и применении предупреждающих действий.
На этапе обработки риска рекомендуется учитывать требования ГОСТ Р 51901.23.
4.4.8 Мониторинг риска и пересмотр реестра риска
Общие требования к мониторингу риска и пересмотру реестра риска установлены в подразделе 4.6 ГОСТ Р 51901.22.
Организация должна обеспечивать непрерывность процесса менеджмента риска, поэтому необходимо проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре риска.
Результаты мониторинга риска обычно вносят в реестр риска организации, однако для малых организаций эти результаты могут быть определены в документированных процедурах или иных документах организации по менеджменту риска.
Приложение А
(справочное)
Пример упрощенного метода оценки риска и разработки сокращенного варианта реестра риска малой организации
А.1 Общие положения
Структура и состав реестра риска зависят от особенностей организации. Типовая форма реестра риска приведена в ГОСТ Р 51901.22. Малые организации могут использовать сокращенную (упрощенную) форму реестра риска, пример которой приведен в таблице А.1.
Таблица А.1 - Упрощенная форма реестра риска
Иденти- фикатор опасного события | Наиме- нование и описание опасного события | Ответст- венный менеджер по риску | Последст- вия опасного события  | Вероят- ность опасного события  | Оценка риска 
| Мероприятия по обработке риска | Срок выполнения мероприятий по обработке риска | Приме- чания | |
|
|
|
|
|
|
| план | факт. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
При заполнении реестра риска могут быть использованы следующие шкалы:
оценка риска: риск приемлемый (0-4), риск контролируемый (5-8), риск значимый (9-25);
мероприятия по обработке риска: (0) риск отсутствует, действия не предпринимаются; (0-4) низкий риск, предпринимаются только низкозатратные действия; (5-8) средний риск, предпринимаются действия с учетом времени их выполнения и экономической целесообразности; (9-25) высокий риск, необходимо срочное выполнение мероприятия по снижению риска; (16-25) высокий риск, применение незамедлительных (аварийных) действий по снижению риска.
А.2 Матрица риска
А.2.1 Общие положения
Метод оценки риска опасных событий приведен в ГОСТ Р 51901-23*, однако малые организации могут применять упрощенные методы оценки риска, при этом необходимо учитывать неопределенность таких оценок риска.
Малые организации могут использовать матрицу риска для оценки значимости риска. Для систематической и последовательной оценки риска необходимо разработать матрицу риска в соответствии со следующими этапами:
- оценка вероятности опасного события (А.2.2);
- оценка последствий опасного события (А.2.3);
- составление матрицы риска (А.2.4);
- определение мероприятий по обработке риска (А.2.5).
В настоящем примере приведен наиболее простой вариант матрицы риска. Организация в зависимости от условий оценки риска может разработать свою матрицу риска.
А.2.2 Оценка вероятности опасного события
В малой организации в зависимости от объекта реестра риска менеджер по риску должен ответить на вопрос какова вероятность реализации опасного события при применении указанных средств контроля и методов управления мероприятий по снижению риска. При этом можно использовать таблицу А.2.
Оценка вероятности, % | Качественная оценка вероятности (в баллах) |
очень высокая, 100% | очень высокая, 5 баллов |
высокая, 80% | высокая, 4 балла |
средняя, 60% | средняя, 3 балла |
низкая (менее 20%) | низкая, 2 балла |
очень низкая (менее 1%) | очень низкая, 1 балл |
Если существуют сомнения в оценке вероятности возникновения опасного события, то ранг опасности события повышают.
А.2.3 Оценка последствий опасного события
В зависимости от области воздействия опасного события, менеджер по риску должен оценить последствия опасного события при существующих средствах контроля, методах управления и мероприятиях по снижению риска. Для этого можно использовать таблицу А.3.
Таблица А.3 - Оценка последствий опасного события
Последствие , в баллах | Описание последствий | Объекты воздействия опасного события* |
5 | катастрофические последствия | Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура |
4 | значительные последствия | Люди, экономика, инфраструктура, окружающая среда, социальная среда |
3 | умеренные последствия | Люди, экономика, инфраструктура |
2 | небольшие последствия | Экономика, инфраструктура |
1 | малозначительные последствия | Социальная среда |
* Объекты воздействия опасного события приведены только для примера. | ||
Если существуют сомнения в оценке последствий опасного события, то ранг этого события повышают.
А.2.4 Составление матрицы риска
Полученные результаты позволяют построить матрицу риска (таблица А.4), которую можно использовать как основу для идентификации приемлемого и неприемлемого риска.
Таблица А.4 - Матрица риска
Качественная оценка вероятности опасного события | Последствия | ||||
| малозначительные (1) | небольшие (2) | умеренные (3) | значительные (4) | катастрофические (5) |
Очень низкая (1) | 1 | 2 | 3 | 4 | 5 |
Низкая (2) | 2 | 4 | 6 | 8 | 10 |
Средняя (3) | 3 | 6 | 9 | 12 | 15 |
Высокая (4) | 4 | 8 | 12 | 16 | 20 |
Очень высокая (5) | 5 | 10 | 15 | 20 | 25 |
Примечание - Оценка риска (ранг риска): приемлемый (0-4), контролируемый (5-8), значимый (9-25). | |||||
Для большей наглядности в реестре риска оценка риска может быть выделена цветом:
зеленый цвет - приемлемый риск (0-4);
желтый цвет - контролируемый риск (5-8);
красный (темно-красный) цвет - серьезный и значимый риск (9-25).
Идентифицированные виды риска могут быть ранжированы как в подразделениях, так и во всей организации. Ранжирование основано на матрице риска (произведение последствий и вероятности) и позволяет идентифицировать большую часть существенных рисков.
А.2.5 Определение стратегии и мероприятий по обработке риска
В зависимости от оценки риска (см. таблицу А.4) должны быть определены предпринимаемые действия по каждому риску, зарегистрированному в реестре риска. В таблице А.5 приведен пример предпринимаемых действий с учетом оценки риска.
Таблица А.5 - Пример предпринимаемых действий с учетом оценки риска
Оценка риска | Предпринимаемые действия |
Приемлемый риск (0) | Риск отсутствует, действия не предпринимаются |
Приемлемый риск (0-4) | Низкий риск, предпринимаются только низкозатратные действия |
Контролируемый риск (5-8) | Средний риск, предпринимаются действия с учетом времени реализации и экономической эффективности мер по снижению риска |
Серьезный риск (9-25) | Высокий риск, необходимо предпринять срочные меры по снижению риска |
Значимый риск (16-25) | Очень высокий риск, необходимо предпринять незамедлительные (аварийные) меры по снижению риска |
Мероприятия по снижению риска или обработке риска могут быть включены в реестр риска и/или могут быть разработаны в виде отдельного документа. В этом случае в реестре риска должна быть дана ссылка на этот документ. В приведенном примере мероприятия по обработке риска включены в реестр риска.
А.3 Дополнительные положения
Поскольку реестр риска постоянно актуализируется необходимо регистрировать даты записей о риске и всех внесенных изменений. Если план мероприятий включен в регистр риска, цель и сроки завершения действий, предусмотренных планом, должны быть зарегистрированы.
Колонка комментариев или примечаний в реестре риска позволяет делать ссылки на необходимую информацию, например, проведение совещания, на котором обсуждались проблемы данного риска.