Классификация рисков в R!SK12xx
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков в R!SK12xx
До нового года стоимость программы 1000 р 1 год.
Заранее извиняюсь, блогер я не очень, но смысл по работе с программой надеюсь передал.
https://youtu.be/oqo_dHN9w7w
Идентифицированные риски необходимо классифицировать по нескольким признакам.
Основная цель классификации — выделение конкретных рисков, и его особенностей.
[в квадратных скобках] название полей, кнопок в БД R!SK11xx. Приведён лишь вариант использования, который не является обязательный.
Заранее извиняюсь, блогер я не очень, но смысл по работе с программой надеюсь передал.
https://youtu.be/oqo_dHN9w7w
Идентифицированные риски необходимо классифицировать по нескольким признакам.
Основная цель классификации — выделение конкретных рисков, и его особенностей.
[в квадратных скобках] название полей, кнопок в БД R!SK11xx. Приведён лишь вариант использования, который не является обязательный.
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков
По времени возникновения (T):
Ретроспективные, текущие и перспективные риски.
Анализ ретроспективных рисков (риск больше не существует), их характера и способов снижения дает возможности более точно прогнозировать текущие и перспективные риски.
Текущие риски - возникающий в процессе текущей деятельности ИЛ, в данный промежуток времени.
Перспективный риски который может возникнуть в прогнозируемом будущем, связан с реализацией будущих проектов. (Например: МСИ)
Текущие в свою очередь можно разделить на Постоянный (Например: получение недостоверных результатов) и Периодический (Например: прибор не прошёл поверку).
Ретроспективные, текущие и перспективные риски.
Анализ ретроспективных рисков (риск больше не существует), их характера и способов снижения дает возможности более точно прогнозировать текущие и перспективные риски.
Текущие риски - возникающий в процессе текущей деятельности ИЛ, в данный промежуток времени.
Перспективный риски который может возникнуть в прогнозируемом будущем, связан с реализацией будущих проектов. (Например: МСИ)
Текущие в свою очередь можно разделить на Постоянный (Например: получение недостоверных результатов) и Периодический (Например: прибор не прошёл поверку).
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (По месту возникновения.)
По месту возникновения.(М)
Внешние риски — это риски, не связанные с деятельностью ИЛ. (Например: взаимодействие с партнёрами)
Внутренние риски — это риски, обусловленные деятельностью самой ИЛ. (Например: непрофессиональные действия сотрудников)
Внешние риски хуже поддаются управлению при одинаковом воздействии, а ресурсы лаборатории ограничены, поэтому ресурсы потраченные на внутренние риски более эффективны. Для оптимизации при управлении внешним риском введён коэффициент 0,9
ГОСТ Р 51897-2011 Определение внешних и внутренних факторов, которые следует учитывать при управлении риском и установлении сферы применения критериев риска (3.3.1.3) и менеджмента риска, необходимых для определения политики в области менеджмента риска (2.1.2)
3.3.1.1 внешняя область применения: Внешние условия, в которых организация работает и достигает своих целей.
Примечание — Внешняя область применения может включать в себя:
— внешнюю среду, связанную с культурной, социальной, политической, законодательной, регулирующей, экономической, природной или конкурентной сферой на международном, национальном, региональном или местном уровне;
— ключевые критерии и тенденции, которые могут воздействовать на достижение установленных целей организации;
— взаимоотношения с внешними причастными сторонами, восприятие ими риска и значимость для организации этих причастных сторон (3.2.1.1).
3.3.1.2 внутренняя область применения: Внутренние условия, в которых организация работает и достигает своих целей.
Примечание — Внутренняя область применения может включать в себя:
— управление, организационную структуру, обязанности и подотчетность;
— политику, цели и задачи, а также стратегию их достижения;
— возможности организации с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии);
— информационные системы, информационные потоки и процессы принятия решений (формальные и неформальные);
— взаимоотношения с внутренними причастными сторонами, восприятие ими риска и значимость для организации этих причастных сторон;
— культуру организации;
— стандарты, руководящие принципы и модели работы, принятые в организации;
— форму и объем договорных отношений.
Внешние риски — это риски, не связанные с деятельностью ИЛ. (Например: взаимодействие с партнёрами)
Внутренние риски — это риски, обусловленные деятельностью самой ИЛ. (Например: непрофессиональные действия сотрудников)
Внешние риски хуже поддаются управлению при одинаковом воздействии, а ресурсы лаборатории ограничены, поэтому ресурсы потраченные на внутренние риски более эффективны. Для оптимизации при управлении внешним риском введён коэффициент 0,9
ГОСТ Р 51897-2011 Определение внешних и внутренних факторов, которые следует учитывать при управлении риском и установлении сферы применения критериев риска (3.3.1.3) и менеджмента риска, необходимых для определения политики в области менеджмента риска (2.1.2)
3.3.1.1 внешняя область применения: Внешние условия, в которых организация работает и достигает своих целей.
Примечание — Внешняя область применения может включать в себя:
— внешнюю среду, связанную с культурной, социальной, политической, законодательной, регулирующей, экономической, природной или конкурентной сферой на международном, национальном, региональном или местном уровне;
— ключевые критерии и тенденции, которые могут воздействовать на достижение установленных целей организации;
— взаимоотношения с внешними причастными сторонами, восприятие ими риска и значимость для организации этих причастных сторон (3.2.1.1).
3.3.1.2 внутренняя область применения: Внутренние условия, в которых организация работает и достигает своих целей.
Примечание — Внутренняя область применения может включать в себя:
— управление, организационную структуру, обязанности и подотчетность;
— политику, цели и задачи, а также стратегию их достижения;
— возможности организации с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии);
— информационные системы, информационные потоки и процессы принятия решений (формальные и неформальные);
— взаимоотношения с внутренними причастными сторонами, восприятие ими риска и значимость для организации этих причастных сторон;
— культуру организации;
— стандарты, руководящие принципы и модели работы, принятые в организации;
— форму и объем договорных отношений.
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (Источники рисков.)
Источники рисков.
Во время идентификации рисков необходимо выявить источники риска. При разработке мер по минимизации целесообразно воздействовать на один или несколько источников.
ГОСТ Р 51897-2011 Источник риска: Объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска.
Примечание — Источник риска может быть материальным или нематериальным.
Во время идентификации рисков необходимо выявить источники риска. При разработке мер по минимизации целесообразно воздействовать на один или несколько источников.
ГОСТ Р 51897-2011 Источник риска: Объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска.
Примечание — Источник риска может быть материальным или нематериальным.
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (Вероятность возникновения)
Вероятность возникновения (P)
Вероятность необходимо оценить в количественной оценке на основании предыдущего опыта ИЛ, структуры СМК и сложившихся производственных отношений. Мера возможности появления события, выражаемая действительным числом из интервала от 1 до 20 и более, где 1 соответствует возможно маловероятно, а 20 — достоверному (обязательному) очень часто происходящему событию.
По умолчанию значения вероятностей возникновения(P) выбраны так, что каждое последующий больше двух предыдущих.
Предполагаемый вариант использования
Перед использованием программы, для рисков необходимо выбрать вероятность возникновения(P) на основании предыдущего опыта. В [настройки БД] значению [Период пересчёта (P) месяцев] присвоить значение 6-7. По прошествии 6-7 месяцев (в зависимости от присвоенного значения) от [дата пересчёта вероятности (P)] вероятность возникновения риска автоматический снизится на один уровень согласно списку [Вероятность возникновения] в форме 4.1.
Если событие произошло ответственному необходимо это событие зафиксировать, и повысить вероятность возникновения этого риска на один уровень. Так в течении времени уровни вероятности возникновения у рисков нормализуются (установятся) на реальных значениях.
Более по человеческий.
Описывая риск выберите вероятность возникновения, Например "Событие может произойти в течении года, либо 1 на 1000 случаев". Если событие не происходило в течении 6 месяцев, вероятность возникновения уменьшится автоматический до "Событие может произойти в течении 2 лет, либо 1 на 2000 случаев". Если в течении последующих 6 месяцев событие произошло при записи этого события повысьте вероятность возникновения на один уровень до "Событие может произойти в течении года, либо 1 на 1000 случаев". Что приближённо и является вероятностью "Событие может произойти в течении года , либо 1 на 1000 случаев"
Можно использовать свои алгоритмы расчёта вероятности возникновения(P), что бы отключить автоматический пересчёт в [настройки БД] значению [Период пересчёта (P) месяцев] присвойте значение 255.
В процессе обработки риска можно влиять на вероятность его возникновения.
ГОСТ Р 51897-2011 3.6.1.4 3.8.1 обработка риска: Процесс модификации риска (1.1).- изменение правдоподобности (3.6.1.1)/вероятности (3.6.1.4) опасного события;
ГОСТ Р 51897-2011 3.6.1.4 вероятность: Мера возможности появления события, выражаемая действительным числом из интервала от 0 до 1, где 0 соответствует невозможному, а 1 - достоверному событию.*
*В Программе выбрана другая шкала
Вероятность необходимо оценить в количественной оценке на основании предыдущего опыта ИЛ, структуры СМК и сложившихся производственных отношений. Мера возможности появления события, выражаемая действительным числом из интервала от 1 до 20 и более, где 1 соответствует возможно маловероятно, а 20 — достоверному (обязательному) очень часто происходящему событию.
По умолчанию значения вероятностей возникновения(P) выбраны так, что каждое последующий больше двух предыдущих.
Предполагаемый вариант использования
Перед использованием программы, для рисков необходимо выбрать вероятность возникновения(P) на основании предыдущего опыта. В [настройки БД] значению [Период пересчёта (P) месяцев] присвоить значение 6-7. По прошествии 6-7 месяцев (в зависимости от присвоенного значения) от [дата пересчёта вероятности (P)] вероятность возникновения риска автоматический снизится на один уровень согласно списку [Вероятность возникновения] в форме 4.1.
Если событие произошло ответственному необходимо это событие зафиксировать, и повысить вероятность возникновения этого риска на один уровень. Так в течении времени уровни вероятности возникновения у рисков нормализуются (установятся) на реальных значениях.
Более по человеческий.
Описывая риск выберите вероятность возникновения, Например "Событие может произойти в течении года, либо 1 на 1000 случаев". Если событие не происходило в течении 6 месяцев, вероятность возникновения уменьшится автоматический до "Событие может произойти в течении 2 лет, либо 1 на 2000 случаев". Если в течении последующих 6 месяцев событие произошло при записи этого события повысьте вероятность возникновения на один уровень до "Событие может произойти в течении года, либо 1 на 1000 случаев". Что приближённо и является вероятностью "Событие может произойти в течении года , либо 1 на 1000 случаев"
Можно использовать свои алгоритмы расчёта вероятности возникновения(P), что бы отключить автоматический пересчёт в [настройки БД] значению [Период пересчёта (P) месяцев] присвойте значение 255.
В процессе обработки риска можно влиять на вероятность его возникновения.
ГОСТ Р 51897-2011 3.6.1.4 3.8.1 обработка риска: Процесс модификации риска (1.1).- изменение правдоподобности (3.6.1.1)/вероятности (3.6.1.4) опасного события;
ГОСТ Р 51897-2011 3.6.1.4 вероятность: Мера возможности появления события, выражаемая действительным числом из интервала от 0 до 1, где 0 соответствует невозможному, а 1 - достоверному событию.*
*В Программе выбрана другая шкала
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (Результаты воздействия риска на объект)
Результаты воздействия риска на объект (Y)
Во время идентификации рисков необходимо оценить коэффициент потерь.
В независимости от первичных потерь (Например: Материально технических - поломка прибора), для организации любое негативное явление в конечном итоге обернётся финансовыми потерями.
Программа R!SK10xx предполагает рассмотрения только объектов на которые воздействует риск.
Примеры объектов:
Информация: потеря рабочих журналов, поломка жёсткого диска.
Персонал: увольнение персонала.
Квалификация: увольнение персонала. (помимо рабочих рук вы теряете часть навыков, опыта)
Имидж: Испорченное отношение с клиентом.
И их Количественная оценка (Y) Количественная оценка с минусом означает возможность.
Справочник [результат воздействия риска] необходим лишь для количественной оценки риска. Внесённые примеры в таблице [Воздействие на объект] являются примерами (эквивалентами) количества потерь.
Если Вы хотите более детально описать риск воспользуйтесь полем [Результаты воздействия риска, возможные последствия] в форме
ГОСТ Р 51897-2011 3.6.1.3 последствие: Результат воздействия события на объект.
Примечание 1 — Результатом воздействия события может быть одно или несколько последствий.
Примечание 2 — Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.
Примечание 3 — Последствия могут быть выражены качественно или количественно.
Примечание 4 — Первоначальные последствия могут вызвать эскалацию дальнейших последствий по принципу «домино».
Примечание: на мой взгляд термин выбран несколько неудачно для обозначения последствий, но что бы на что то опираться оставил как в ГОСТ Р 51897-2011
Во время идентификации рисков необходимо оценить коэффициент потерь.
В независимости от первичных потерь (Например: Материально технических - поломка прибора), для организации любое негативное явление в конечном итоге обернётся финансовыми потерями.
Программа R!SK10xx предполагает рассмотрения только объектов на которые воздействует риск.
Примеры объектов:
Информация: потеря рабочих журналов, поломка жёсткого диска.
Персонал: увольнение персонала.
Квалификация: увольнение персонала. (помимо рабочих рук вы теряете часть навыков, опыта)
Имидж: Испорченное отношение с клиентом.
И их Количественная оценка (Y) Количественная оценка с минусом означает возможность.
Справочник [результат воздействия риска] необходим лишь для количественной оценки риска. Внесённые примеры в таблице [Воздействие на объект] являются примерами (эквивалентами) количества потерь.
Если Вы хотите более детально описать риск воспользуйтесь полем [Результаты воздействия риска, возможные последствия] в форме
ГОСТ Р 51897-2011 3.6.1.3 последствие: Результат воздействия события на объект.
Примечание 1 — Результатом воздействия события может быть одно или несколько последствий.
Примечание 2 — Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.
Примечание 3 — Последствия могут быть выражены качественно или количественно.
Примечание 4 — Первоначальные последствия могут вызвать эскалацию дальнейших последствий по принципу «домино».
Примечание: на мой взгляд термин выбран несколько неудачно для обозначения последствий, но что бы на что то опираться оставил как в ГОСТ Р 51897-2011
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (Неопределенность оценки риска)
Неопределенность оценки риска
Неопределённость учитывается что бы избежать влияния на расчёт уровня риска, неточных данных, непредсказуемости событий, субъективной оценки, неверных предположений. Вы можете сами дополнить справочник необходимые описания неопределённости.
Приведу пример для понимания смысла.
Риском сложно управлять - например МСИ результаты МСИ зависят от многих факторов, исправное оборудование, персонал, приём проб, провайдер, и.т.д.
Обнаружение воздействия случайно - события происходят, но не всегда замечаются, например грамматические ошибки в протоколе, неправильно считанные данные с прибора.
Обнаружение возможно - поломка прибора практический всегда заметна.
Обнаружение близко к 100% - поверка, либо пригодно, либо нет.
Сама идея об Неопределенность оценки риска ГОСТ Р 51901.23-2012 7.2.4 Неопределенность оценки риска.
Неопределённость учитывается что бы избежать влияния на расчёт уровня риска, неточных данных, непредсказуемости событий, субъективной оценки, неверных предположений. Вы можете сами дополнить справочник необходимые описания неопределённости.
Приведу пример для понимания смысла.
Риском сложно управлять - например МСИ результаты МСИ зависят от многих факторов, исправное оборудование, персонал, приём проб, провайдер, и.т.д.
Обнаружение воздействия случайно - события происходят, но не всегда замечаются, например грамматические ошибки в протоколе, неправильно считанные данные с прибора.
Обнаружение возможно - поломка прибора практический всегда заметна.
Обнаружение близко к 100% - поверка, либо пригодно, либо нет.
Сама идея об Неопределенность оценки риска ГОСТ Р 51901.23-2012 7.2.4 Неопределенность оценки риска.
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (Управление риском)
Управление риском
Цель управления, снижение рисков до предпочтительного или допустимый риск:
Управление подразумевает что план обработки уже выполнен.
Примеры управления:
Риск - "Нарушение конфиденциальности" Управление риском - Снижение: Меры по управлению риском - Работа в соответствии с ДП
Конфиденциальность.
Риск - "Отсутствие необходимых реактивов" Управление риском - Принятие активное: Меры по управлению риском - Увеличен лимит на минимальный запас находящийся в лаборатории.
ГОСТ Р 51897-2011 3.6.1.3 3.8.1.1 управление (риском): Меры, направленные на изменение риска (1.1).
Примечание 1 - Управление риском охватывает процессы, политику, устройства, методы и другие средства, используемые для модификации риска.
Примечание 2 - Управление не всегда может привести к ожидаемым результатам изменения риска.
Управление рисками в лаборатории в Access
Версия на стадии разработки (ознакомление с будущими возможностями), на заполненные данные не смотрите, добавлял не глядя во время разработки. 64bit
Справочники серые кнопки привёл в соответствии с ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
Цель управления, снижение рисков до предпочтительного или допустимый риск:
Управление подразумевает что план обработки уже выполнен.
Примеры управления:
Риск - "Нарушение конфиденциальности" Управление риском - Снижение: Меры по управлению риском - Работа в соответствии с ДП
Конфиденциальность.
Риск - "Отсутствие необходимых реактивов" Управление риском - Принятие активное: Меры по управлению риском - Увеличен лимит на минимальный запас находящийся в лаборатории.
ГОСТ Р 51897-2011 3.6.1.3 3.8.1.1 управление (риском): Меры, направленные на изменение риска (1.1).
Примечание 1 - Управление риском охватывает процессы, политику, устройства, методы и другие средства, используемые для модификации риска.
Примечание 2 - Управление не всегда может привести к ожидаемым результатам изменения риска.
Управление рисками в лаборатории в Access
Версия на стадии разработки (ознакомление с будущими возможностями), на заполненные данные не смотрите, добавлял не глядя во время разработки. 64bit
Справочники серые кнопки привёл в соответствии с ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (Идентификация риска)
Идентификация риска
ГОСТ Р 51897-2011 идентификация риска: Процесс определения, составления перечня и описания элементов риска (1.1).
Примечание 1 - Элементы риска могут включать в себя источники риска (3.5.1.2), события (3.5.1.3), их причины и возможные последствия (3.6.1.3).
Примечание 2 - Идентификация риска может также включать в себя теоретический анализ, анализ хронологических данных, экспертных оценок и потребностей причастных сторон (3.2.1.1).
ГОСТ Р 51897-2011 идентификация риска: Процесс определения, составления перечня и описания элементов риска (1.1).
Примечание 1 - Элементы риска могут включать в себя источники риска (3.5.1.2), события (3.5.1.3), их причины и возможные последствия (3.6.1.3).
Примечание 2 - Идентификация риска может также включать в себя теоретический анализ, анализ хронологических данных, экспертных оценок и потребностей причастных сторон (3.2.1.1).
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (Анализ риска)
Анализ риска
ГОСТ Р 51897-2011 3.6.1 анализ риска*: Процесс изучения природы и характера риска (1.1) и определения уровня риска (3.6.1.8).
Как правило, анализ риска включает в себя установление причинно-следственных связей опасного события с его источниками и последствиями.
Примечание 1 - Анализ риска обеспечивает базу для проведения сравнительной оценки риска (3.7.1) и принятия решения об обработке риска (3.8.1).
Примечание 2 - Анализ риска включает в себя количественную оценку риска.
ГОСТ Р 51897-2011 3.6.1 анализ риска*: Процесс изучения природы и характера риска (1.1) и определения уровня риска (3.6.1.8).
Как правило, анализ риска включает в себя установление причинно-следственных связей опасного события с его источниками и последствиями.
Примечание 1 - Анализ риска обеспечивает базу для проведения сравнительной оценки риска (3.7.1) и принятия решения об обработке риска (3.8.1).
Примечание 2 - Анализ риска включает в себя количественную оценку риска.
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (Сравнительная оценка риска)
Сравнительная оценка риска
ГОСТ Р 51897-2011 3.7.1 сравнительная оценка риска: Процесс сравнения результатов анализа риска (3.6.1) с критериями риска (3.3.1.3) для определения приемлемости риска (1.1).
Примечание - Сравнительная оценка риска может быть использована при принятии решения об обработке риска.
ГОСТ Р 51897-2011 3.7.1 сравнительная оценка риска: Процесс сравнения результатов анализа риска (3.6.1) с критериями риска (3.3.1.3) для определения приемлемости риска (1.1).
Примечание - Сравнительная оценка риска может быть использована при принятии решения об обработке риска.
-
- Администратор
- Сообщения: 4218
- Стаж: 7 лет 9 месяцев
- Поблагодарили: 578 раз
- Пол:
Классификация рисков (Обработка риска)
Обработка риска
Обработка риска подразумевает план мероприятий (например в течении года) для снижения или предотвращения риска. При разработке плана назначается ответственный, сроки реализации.
ГОСТ Р 51897-2011 3.8 обработка риска: Процесс модификации риска (1.1).
Примечание 1 - Обработка риска может включать в себя:
- исключение риска путем принятия решения не начинать или не продолжать деятельность, в процессе или в результате которой может возникнуть опасное событие;
- принятие или повышение риска для обеспечения более широких возможностей;
- устранение источников риска (3.5.1.2);
- изменение правдоподобности (3.6.1.1)/вероятности (3.6.1.4) опасного события;
- изменение последствий (3.6.1.3) опасного события;
- разделение риска с другой стороной или сторонами (путем включения в контракты или финансирования обработки риска (3.8.1.4));
- обоснованное решение о сохранении риска.
Примечание 2 - Меры по обработке риска могут включать в себя устранение, предотвращение или снижение риска.
Примечание 3 - При обработке риска могут возникнуть новые риски и могут измениться существующие риски.
ГОСТ Р 51901.22-2012 4.5 Этапы обработки риска включают в себя:
- выбор стратегии обработки риска;
- оценку последствий, вероятности опасного события и риска после применения выбранной стратегии обработки риска;
- идентификацию мероприятий по обработке риска;
- определение сроков выполнения мероприятий по обработке риска;
- определение ответственных за выполнение мероприятий;
- оценку результатов обработки риска.
Организация может применять следующие стратегии обработки риска:
- устранение риска, например, путем внесения изменений в конструкцию объекта;
- снижение риска (уменьшение последствий и/или вероятности опасного события);
- передача риска (например, передача ответственности за последствия опасного события третьей стороне);
- принятие риска;
- оптимизация риска (при наличии возможностей).
Примечание - Каждое решение о принятии риска, то есть отказ от мероприятий по снижению или устранению риска, должно быть согласовано высшим руководством.
Организация должна установить процесс обмена информацией о риске с причастными сторонами, особенно о видах риска, требования к которым установлены в соответствии с законодательными и обязательными требованиями.
Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за их выполнение. В качестве ответственных, как правило, назначают:
а) менеджеров по риску, если в качестве стратегии снижения риска выбраны устранение, снижение или оптимизация риска;
б) ответственную сторону, если в качестве стратегии снижения риска выбрана передача риска;
в) ответственного, наделенного полномочиями принятия риска, если в качестве стратегии снижения риска выбрано принятие риска.
Если принято решение об особом управлении конкретным риском, ответственность за управление этим риском должна быть установлена в реестре риска. Кроме того, в этом случае должны быть определены:
- персонал, имеющий необходимую компетентность и наделенный соответствующими полномочиями для управления установленным риском (с низкой вероятностью реализации и/или катастрофическими последствиями для деятельности организации);
- мероприятия по обработке установленных размеров риска. Реализация этих мероприятий может быть возложена на персонал, ответственный за менеджмент риска, при этом должна быть точно поставлена задача, установлен срок ее выполнения.
Лицо, несущее общую ответственность за менеджмент риска в организации, должно иметь всю необходимую информацию об особо важных видах риска и способах их менеджмента. В реестре риска соответствующие опасные события и риски могут быть выделены в отдельный раздел.
Обработка риска подразумевает план мероприятий (например в течении года) для снижения или предотвращения риска. При разработке плана назначается ответственный, сроки реализации.
ГОСТ Р 51897-2011 3.8 обработка риска: Процесс модификации риска (1.1).
Примечание 1 - Обработка риска может включать в себя:
- исключение риска путем принятия решения не начинать или не продолжать деятельность, в процессе или в результате которой может возникнуть опасное событие;
- принятие или повышение риска для обеспечения более широких возможностей;
- устранение источников риска (3.5.1.2);
- изменение правдоподобности (3.6.1.1)/вероятности (3.6.1.4) опасного события;
- изменение последствий (3.6.1.3) опасного события;
- разделение риска с другой стороной или сторонами (путем включения в контракты или финансирования обработки риска (3.8.1.4));
- обоснованное решение о сохранении риска.
Примечание 2 - Меры по обработке риска могут включать в себя устранение, предотвращение или снижение риска.
Примечание 3 - При обработке риска могут возникнуть новые риски и могут измениться существующие риски.
ГОСТ Р 51901.22-2012 4.5 Этапы обработки риска включают в себя:
- выбор стратегии обработки риска;
- оценку последствий, вероятности опасного события и риска после применения выбранной стратегии обработки риска;
- идентификацию мероприятий по обработке риска;
- определение сроков выполнения мероприятий по обработке риска;
- определение ответственных за выполнение мероприятий;
- оценку результатов обработки риска.
Организация может применять следующие стратегии обработки риска:
- устранение риска, например, путем внесения изменений в конструкцию объекта;
- снижение риска (уменьшение последствий и/или вероятности опасного события);
- передача риска (например, передача ответственности за последствия опасного события третьей стороне);
- принятие риска;
- оптимизация риска (при наличии возможностей).
Примечание - Каждое решение о принятии риска, то есть отказ от мероприятий по снижению или устранению риска, должно быть согласовано высшим руководством.
Организация должна установить процесс обмена информацией о риске с причастными сторонами, особенно о видах риска, требования к которым установлены в соответствии с законодательными и обязательными требованиями.
Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за их выполнение. В качестве ответственных, как правило, назначают:
а) менеджеров по риску, если в качестве стратегии снижения риска выбраны устранение, снижение или оптимизация риска;
б) ответственную сторону, если в качестве стратегии снижения риска выбрана передача риска;
в) ответственного, наделенного полномочиями принятия риска, если в качестве стратегии снижения риска выбрано принятие риска.
Если принято решение об особом управлении конкретным риском, ответственность за управление этим риском должна быть установлена в реестре риска. Кроме того, в этом случае должны быть определены:
- персонал, имеющий необходимую компетентность и наделенный соответствующими полномочиями для управления установленным риском (с низкой вероятностью реализации и/или катастрофическими последствиями для деятельности организации);
- мероприятия по обработке установленных размеров риска. Реализация этих мероприятий может быть возложена на персонал, ответственный за менеджмент риска, при этом должна быть точно поставлена задача, установлен срок ее выполнения.
Лицо, несущее общую ответственность за менеджмент риска в организации, должно иметь всю необходимую информацию об особо важных видах риска и способах их менеджмента. В реестре риска соответствующие опасные события и риски могут быть выделены в отдельный раздел.