Что означает идентификация и оценка риска
ГОСТ Р 51901.23-2012
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Руководство по оценке риска опасных событий для включения в реестр риска
Risk management. Risk register. Guide on assessment of hazards risk for inclusion in risk register
Дата введения 2013-12-01
Предисловие
1 РАЗРАБОТАН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»
4 Настоящий стандарт разработан с учетом основных положений документа «Руководство по оценке риска опасных ситуаций» (National Emergency Risk Assessment Guidelines), разработанного комитетом Австралии «Менеджмент опасных ситуаций»
6 ПЕРЕИЗДАНИЕ. Июль 2020 г.
Введение
Для повышения способности организации принимать эффективные меры по снижению риска возникновения опасных событий, инцидентов и аварий, а также быстро реагировать при их возникновении государственные, муниципальные, коммерческие и иные организации, общественные группы и домохозяйства могут использовать реестр риска. Необходимость разработки и ведения реестра риска организация определяет самостоятельно.
В реестр риска обычно включают основные виды опасных событий, применяемые методы оценки и снижения риска, план мероприятий по предупреждению и снижению риска.
Опасные события, инциденты, аварии и бедствия, как правило, приводят к существенным социально-экономическим потерям для организаций и государства в целом. Они включают:
— причинение вреда инфраструктуре, оборудованию и другому имуществу организации;
— финансовые затраты и косвенные экономические потери;
— травмирование и/или гибель людей, распространение заболеваний;
— нарушение экосистем, включая флору и фауну;
— социальные и культурные потери и т.д.
Основные методы оценки риска и их детальное описание приведены в ГОСТ Р ИСО/МЭК 31010-2011.
Анализ «галстук-бабочка» представляет собой схематический способ описания и анализа развития опасного события от его причин до последствий. Данный метод сочетает исследование причин события с помощью дерева неисправностей и анализ последствий с помощью дерева событий. Однако основное внимание метода «галстук-бабочка» сфокусировано на барьерах между причинами и опасными событиями и опасными событиями и последствиями. Диаграммы «галстук-бабочка» могут быть построены на основе выявленных неисправностей и дерева событий, но чаще их строят непосредственно в процессе проведения мозгового штурма.
Применение единого метода оценки риска опасных событий для их включения в реестр риска направлено на:
— исследование возникающих опасных событий, проведение необходимой обработки риска и обеспечение обоснованных (нерискованных) инвестиций;
— стандартизацию оценки риска и разработку альтернативных предложений по снижению риска;
— повышение прозрачности процессов оценки риска, улучшение возможности их проверки или изменения в связи с получением новых знаний, информации или опыта;
— стандартизацию данных реестров риска различных организаций;
— повышение сопоставимости данных по различным регионам и/или классам опасности. Настоящий стандарт разработан для интегрированного, всестороннего и объективного понимания риска опасных событий, инцидентов и аварий с учетом сложности и опасности возможных последствий для их включения в реестр риска. Результаты, полученные с помощью метода оценки риска, установленного в настоящем стандарте, позволяют повысить объективность принимаемых решений в области менеджмента риска, оптимизировать распределение ресурсов для обработки риска, улучшить меры реагирования на опасные ситуации и их предупреждения, повысить эффективность разработки и ведения реестров риска организаций.
Настоящий стандарт следует применять с учетом требований основополагающих стандартов в области риска: ГОСТ Р ИСО 31000, ГОСТ Р ИСО/МЭК 31010 и ГОСТ Р 51897/Руководство ИСО 73:2009.
1 Область применения
В настоящем стандарте установлены общие принципы опасных событий и инцидентов для включения в реестр риска организации.
Основной целью настоящего стандарта является повышение достоверности, оценок риска опасных событий и инцидентов, повышение качества и обеспечение сопоставимости информации о риске в реестрах риска различных организаций.
Настоящий стандарт предназначен в первую очередь для менеджеров по риску, руководителей организаций и технических экспертов по оценке опасных событий, инцидентов и аварий. Настоящий стандарт может помочь в работе причастных сторон, включая лиц, ответственных за разработку политики менеджмента риска, составление реестра риска, управление риском и оценку риска, а также оценку эффективности менеджмента риска организации.
Единый метод оценки риска опасных событий, инцидентов и аварий, используемый для их включения в реестр риска позволяет организациям на местном, региональном и федеральном уровнях получать сопоставимые данные о риске и использовать унифицированные способы реагирования на опасные ситуации и инциденты, а также их предупреждения.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство
ГОСТ Р ИСО/МЭК 31010 Менеджмент риска. Методы оценки риска
Действует ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска».
ГОСТ Р 51897 Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.
3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска
3.3 реестр риска (risk register): Форма записи информации об идентифицированном риске.
3.4 опасность (hazard): Источник потенциального вреда.
3.5 последствие (consequence): Результат воздействия события на объект.
3.6 воздействие (impact): Оцененные последствия для конкретного случая.
4 Общие положения
Настоящий стандарт содержит описание метода оценки риска опасных событий и инцидентов для его использования при разработке реестра риска организации. Применение описанного метода оценки риска направлено на снижение последствий опасных событий и может помочь повысить эффективность процесса менеджмента риска.
Основной целью настоящего стандарта является описание метода оценки риска, который:
— позволяет исследовать риск организаций различных размеров, видов деятельности и форм собственности;
— может быть использован для оценки риска «от» и/или «для» чего-то или кого-то (например, риск возникновения пожара, риск для инфраструктуры, риск всех или отдельных источников риска);
— использует подход, основанный на анализе сценариев опасного события;
— позволяет оценить риск на основе возможных последствий;
— идентифицирует остаточный риск при существующих средствах контроля и методов управления;
— обеспечивает базовую качественную оценку риска и способы его более детального анализа;
— позволяет провести сравнительную оценку риска при изменении неопределенности данных;
— обеспечивает получение сопоставимых выходных данных для оценки и обработки риска.
В настоящем стандарте установлен подход, позволяющий провести оценку широкого диапазона опасностей: природных, биолого-социальных, техногенных и др. Примерами таких опасностей могут быть: пожар, землетрясение, наводнение, шторм, циклон, цунами, эпидемии, нашествие насекомых/паразитов, промышленные аварии, крушения на транспорте, химические выбросы и т.д. Потери могут возникать при экспозиции одной или нескольких опасностей. При реализации альтернативных сценариев множественные источники риска могут оказать разрушающее воздействие на организацию и привести к последовательным или вторичным цепным реакциям опасных событий. Например, циклоны могут привести не только к сильным ветрам и дождям (основным источникам риска), но могут также вызвать опасности, связанные с последствиями основных опасностей, такие как наводнение или оползень (вторичные источники риска).
Метод оценки риска, установленный в настоящем стандарте, позволяет специалистам по риску применить подход, позволяющий оценить все опасности в соответствии с современными методами менеджмента и практического мирового опыта в области управления риском.
Идентификация опасностей и оценка рисков в процессе производственной деятельности
Понятие и порядок идентификации опасностей
Идентификация опасностей в процессе производственной деятельности – это процесс обнаружения, выявления и распознавания опасных и вредных производственных факторов и установления их количественных, временных, пространственных и других характеристик, необходимых и достаточных для разработки профилактических мероприятий (предупреждающих и корректирующих действий), обеспечивающих безопасность труда.
В процессе идентификации составляется номенклатура опасности и вредности рабочей среды и трудового процесса, проводится ранжирование негативных факторов, выявляются вероятность, частота и условия их проявления, причины, локализация, возможный ущерб здоровью людей и окружающей среде и другие параметры, необходимые для выработки защитных мер.
Для идентификации опасных и вредных производственных факторов можно применять следующие методы: «Что будет, если. », проверочный лист, анализ опасности и работоспособности, анализ вида и последствий отказов, анализ «дерева отказов», анализ «дерева событий» и др. Краткие сведения об этих методах содержатся в ГОСТ Р 51901-2002.
Источниками информации для выявления опасностей и вредностей являются:
— Нормативные правовые акты и нормативные технические документы, справочная и научная техническая литература, локальные нормативные акты и др.;
— Протоколы, акты, справки и другие документы органов государственного контроля (надзора);
— Результаты производственного контроля за соблюдением требований промышленной, экологической безопасности и санитарно-эпидемиологических требований;
— Результаты специальной оценки условий труда;
— Результаты санитарно-эпидемиологической опенки выпускаемой продукции;
— Предписания специалистов по охране труда, представления уполномоченных лиц по охране труда, предложения комитета (комиссии) по охране труда;
— Результаты наблюдения за технологическим процессом, производственной средой, рабочими местами, работой подрядных организаций, внешними факторами (дорогами, организацией питания, климатическими условиями и др.);
— Результаты анализа анкет, бланков, опросных листов и пр.;
— Опыт практической деятельности;
— Результаты многоступенчатого контроля за условиями и охраной труда.
Ступенчатый контроль состоит в последовательном обследовании условий и безопасности труда на трех ступенях:
I. Первая ступень – в бригаде, в отделении, на участке, в смене – осуществляется бригадиром, мастером (старшим мастером), механиком, энергетиком совместно с уполномоченным (доверенным) лицом по охране труда профсоюза или иного уполномоченного работниками представительною органа (трудового коллектива).
II. Вторая ступень – в структурном подразделении (цехе, отделе, лаборатории и пр.) – осуществляется комиссией, назначенной распоряжением руководителя подразделения в составе: руководителя подразделения, работников технических служб подразделения и представителей профсоюза или иного уполномоченного работниками представительною органа подразделения.
III. Третья ступень – на предприятии в целом – осуществляется комиссией, назначенной приказом работодателя совместно с профсоюзным комитетом или иным уполномоченным коллективом представительным органом, в состав которой, как правило, входят: главный инженер (технический директор), главные специалисты (механик, энергетик, технолог и др.), руководитель службы охраны труда, председатель профсоюзного комитета или иного выборного общественного органа, председатель комитета (комиссии) по охране труда организации.
В зависимости от численности работающих, количества самостоятельных подразделений, структуры управления организации контроль может осуществляться и по большему числу ступеней.
Руководство организацией ступенчатого контроля осуществляют руководитель организации и председатель профсоюзного комитета или иного уполномоченного работниками представительного органа.
Результаты обследования записываются в журналы ступенчатого контроля за безопасностью труда первой и второй ступеней, результаты обследования третьей ступени оформляются актом.
Для облегчения процесса идентификации негативных факторов их делят на группы, связанные с источниками их возникновения.
Группы негативных производственных факторов, связанные с источниками их возникновения:
1. Опасности, связанные с профессиональной деятельностью работников.
2. Опасности, связанные с производственной деятельностью организации.
3. Опасности, не связанные с профессиональной деятельностью работников и производственной деятельностью организации.
4. Опасности, связанные с работниками, так называемый «человеческий фактор».
Результатом идентификации опасностей и вредностей производственной среды и трудового процесса являются:
1. Перечень (номенклатура) нежелательных событий.
2. Описание источников опасности и вредности, факторов риска, условий возникновения и развития нежелательных событий.
3. Предварительные оценки опасности и риска.
Идентификация негативных факторов завершается выбором дальнейшего направления деятельности, а именно:
1. Решение прекратить дальнейший анализ ввиду незначительности опасностей и вредностей или достаточности предварительных оценок (в этом случае под идентификацией опасности подразумевается анализ и оценка опасности).
2. Решение о проведении более детального анализа опасностей и оценки рисков.
3. Выработка предварительных рекомендаций по уменьшению, минимизации опасностей.
Задачи и порядок оценки рисков
После проведения идентификации негативных факторов осуществляется оценка рисков по каждой идентифицированной опасности.
Основными задачами оценки риска являются:
1. Определение частот возникновения инициирующих и всех нежелательных событий. При этом используют статистические данные об аварийных ситуациях, происшествиях, производственном травматизме и профзаболеваниях, логические методы анализа «деревьев событий», «деревьев отказов», имитационные модели возникновения инцидентов аварий в человеко-машинной системе, экспертные оценки путем учета мнения специалистов.
2. Оценка последствий неблагоприятных событий, которая включает анализ возможных негативных воздействий на людей, имущество и окружающую среду.
3. Обобщенная оценка риска, т.е. оценка степени или уровня риска, отражающая состояние условий и охраны труда с учетом показателей риска от всех нежелательных событий, которые могут произойти. Данная оценка основывается на результатах интегрирования показателей рисков, их взаимного влияния, анализа неопределенности и точности полученных результатов, анализа соответствия условий труда критериям допустимого риска.
4. Методика для расчета и оценки рисков приведена в ГОСТ Р 12.0.010-2009 «ССБТ. Системы управления охраной труда. Определение опасностей и оценка рисков».
Управление рисками проекта
Причиной возникновения рисков являются неопределенности, существующие в каждом проекте. Риски могут быть “известные” — те, которые определены, оценены, для которых возможно планирование. Риски “неизвестные” — те, которые не идентифицированы и не могут быть спрогнозированы. Хотя специфические риски и условия их возникновения не определены, менеджеры проекта знают, исходя из прошлого опыта, что большую часть рисков можно предвидеть.
Реализуя проекты, имеющие высокую степень неопределенности в таких элементах, как цели и технологии их достижения многие компании уделяют внимание разработке и применению корпоративных методов управления рисками. Данные методы учитывают как специфику проектов, так и корпоративных методов управления.
Американский Институт управления проектами (PMI), разрабатывающий и публикующий стандарты в области управления проектами, значительно переработал разделы, регламентирующие процедуры управления рисками. В новой версии PMBOK (принятие которого ожидается в 2000 году) описаны шесть процедур управления рисками. В данной статье мы предлагаем краткий обзор процедур управления рисками (без комментариев).
Управление рисками — это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий.
Процесс управления рисками проекта обычно включает выполнение следующих процедур:
Все эти процедуры взаимодействуют друг с другом, а также с другими процедурами. Каждая процедура выполняется, по крайней мере, один раз в каждом проекте. Несмотря на то, что процедуры, представленные здесь, рассматриваются как дискретные элементы с четко определенными характеристиками, на практике они могут частично совпадать и взаимодействовать.
Планирование управления рисками
Планирование управления рисками — процесс принятия решений по применению и планированию управления рисками для конкретного проекта. Этот процесс может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации риска, временной интервал для анализа ситуации. Важно спланировать управление рисками, адекватное как уровню и типу риска, так и важности проекта для организации.
Идентификация рисков
Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков. Идентификация рисков не будет эффективной, если она не будет проводиться регулярно на протяжении реализации проекта.
Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.
Идентификация рисков — итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков. Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.
Качественная оценка рисков
Качественная оценка рисков — процесс представления качественного анализа идентификации рисков и определения рисков, требующих быстрого реагирования. Такая оценка рисков определяет степень важности риска и выбирает способ реагирования. Доступность сопровождающей информации помогает легче расставить приоритеты для разных категорий рисков.
Качественная оценка рисков это оценка условий возникновения рисков и определение их воздействия на проект стандартными методами и средствами. Использование этих средств помогает частично избежать неопределенности, которые часто встречаются в проекте. В течение жизненного цикла проекта должна происходить постоянная переоценка рисков.
Количественная оценка рисков
Количественная оценка рисков определяет вероятность возникновения рисков и влияние последствий рисков на проект, что помогает группе управления проектами верно принимать решения и избегать неопределенностей.
Количественная оценка рисков позволяет определять:
Количественная оценка рисков часто сопровождает качественную оценку и также требует процесс идентификации рисков. Количественная и количественная оценка рисков могут использоваться по отдельности или вместе, в зависимости от располагаемого времени и бюджета, необходимости в количественной или качественной оценке рисков.
Планирование реагирования на риски
Планирование реагирования на риски — это разработка методов и технологий снижения отрицательного воздействия рисков на проект.
Берет на себя ответственность за эффективность защиты проекта от воздействия на него рисков. Планирование включает в себя идентификацию и распределение каждого риска по категориям. Эффективность разработки реагирования прямо определит, будут ли последствия воздействие риска на проект положительными или отрицательными.
Стратегия планирования реагирования должна соответствовать типам рисков, рентабельности ресурсов и временным параметрам. Вопросы, обсуждаемые во время встреч, должны быть адекватны задачам на каждой стадии проекта, и согласованы со всеми членами группы по управлению проектом. Обычно требуются несколько вариантов стратегий реагирования на риски.
Мониторинг и контроль
Мониторинг и контроль следят за идентификацией рисков, определяют остаточные риски, обеспечивают выполнение плана рисков и оценивают его эффективность с учетом понижения риска. Показатели рисков, связанные с осуществлением условий выполнения плана фиксируются. Мониторинг и контроль сопровождает процесс внедрения проекта в жизнь.
Качественный контроль выполнения проекта предоставляет информацию, помогающую принимать эффективные решения для предотвращения возникновения рисков. Для предоставления полной информации о выполнении проекта необходимо взаимодействие между всеми менеджерами проекта.
Целью мониторинга и контроля является выяснить, было ли:
Контроль может повлечь за собой выбор альтернативных стратегий, принятие корректив, перепланировку проекта для достижения базового плана. Между менеджерами проекта и группой риска должно быть постоянное взаимодействие, должны фиксироваться все изменения и явления. Отчеты по выполнению проекта должны формироваться регулярно.
Идентификация рисков проекта
Цель процесса идентификации рисков состоит в определении потенциальных рисков, способных повлиять на успех проекта. Идентификацию рисков выполняют члены команды проекта и эксперты по вопросам управления рисками, в ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В процессе идентификации должны принимать участие члены команды проекта, чтобы у них вырабатывалось чувство собственности и ответственности за риски и за действия по реагированию на них.
Идентификация рисков выполняется на основе разработанных ранее планов управления интеграцией, содержанием, сроками, качеством и человеческими ресурсами.
Также при разработке плана учитывается опыт выполнения аналогичных проектов.
Качественный анализ рисков
Количественный анализ рисков
Количественный анализ рисков обычно выполняется для рисков, которые были квалифицированы в результате качественного анализа. При количественном анализе также оцениваются вероятности возникновения рисков и размеры ущерба /выгоды; здесь анализируются риски, имеющие высокие и умеренные ранги. Выбор методов анализа определяется для каждого проекта и зависит от наличия времени и от бюджета.
Исходной информацией для количественного анализа рисков служат:
Пример использования дерева решения
| Классификация рисков | Уклонение от риска | Передача риска | Принятие риска | Снижение последствий вероятности возникновения риска | |
|---|---|---|---|---|---|
| Риски, связанные с масштабом проекта | Разделение проекта на несколько под-проектов. Сокращение функционального и географического объема проекта | Разделение проекта на несколько под-проектов, выделение пилотного проекта по подсистемам (ограниченного масштаба) | Увеличение трудоемкости работ и стоимости проекта | Детальный анализ каждого этапа работ, взаимодействие участников, организация работ | Детально проработанная программа качества, отработанное управление конфигурацией проекта, специальные процедуры взаимодействия участников |
| Риски, связанные с недостаточным опытом в сфере ИТ | Реализация только не технологической части проекта, передача технологической части проекта другой компании | Согласование с заказчиком большинства проектных документов, согласование всех изменений в функциональности системы | Увеличение трудоемкости работ и стоимости проекта | Проведение обучения пользователей, включая руководство, соблюдение технологии работы | Разработка и утверждение концепции проекта на возможно более ранней его стадии |
| Технические риски проекта | Использование более надежных | Документально зафиксированная | Увеличение трудоемко- | Строгий отбор проектной команды по | Использование стандартов пред- |
| технологических решений | персональная ответственность участников проекта, документальное фиксирование всех изменений в процессе проекта | сти работ и стоимости проекта | квалификационным критериям. Обучение участников проекта технологии проектных работ, инструментальным средствам | приятия для проектных работ, разработка стандартов проекта | |
| Организационные риски проекта | Значительное сужение объема проекта и превращение его в чисто инфраструктурный технологический проект | Включение представителей заказчика в рабочие группы | Увеличение трудоемкости работ и стоимости проекта | Обучение участников проекта(курс «управление проектом»), тренинги команды, как можно более полная формализация деятельности | Включение в команду администратора проекта, детальное распределение ролей в проекте |
| Операционные риски проекта | Изменение модели оплаты компании-исполнителю: перевод на оплату по результату оценки качества реализованного решения | Акт сдачи заказчику любого документа. Фиксирование отсутствия претензий заказчика по каждому этапу работы | Увеличение трудоемкости работ и стоимости проекта | Многократное тестирование созданных продуктов, тщательная экспертиза документов | Строгое выполнение процедур программы качества |
Команда проекта разработала сетевые графики трех альтернативных вариантов расписания внедрения ИС при условии, что оборудование уже поставлено, и оценила возможные значения продолжительности проекта.
Рассчитаем возможную длительность проекта для каждого точки случайного события:
По итогам проведения качественного и количественного анализа риска необходимо выработать четкое представление о стратегиях, используемых для реагирования на каждый проектный риск.
Существует четыре типовые стратегии реагирования на появление негативных рисков: уклонение, передача, принятие и снижение.
Стратегия передачи риска также исключает угрозу риска путем передачи негативных последствий риска с ответственностью за реагирование на риск на третью сторону. Передача риска обычно сопровождается выплатой премии за риск стороне, принимающей на себя риск и ответственность за его управление. Сам риск при этом не устраняется. Условия передачи ответственности за определенные риски третьей стороне могут определяться в контракте.
Стратегия означает решение команды не уклоняться от риска. При пассивном принятии риска команда ничего не предпринимает в отношении риска и в случае его возникновения разрабатывает способ его обхода или исправления последствий. При активном принятии риска план действий разрабатывается до того, как риск может произойти, и называется планом действий в непредвиденных обстоятельствах.
Стратегия снижения риска предполагает усилие, направленное на понижение вероятности и/или последствий риска до приемлемых пределов. В стратегии снижения используется включение в план проекта дополнительной работы, которая будет выполняться независимо от возникновения риска, как, например, проведение дополнительного тестирования функциональности информационной системы, разработка прототипа системы, дополнительное подключение к работе опытных сотрудников.
Подтверждение содержания проекта
Входной информацией для процесса являются:
Процесс подтверждения содержания документирует результаты поставки, которые прошли приемку в соответствии с процедурой приемки проектных документов. Непринятые результаты поставки документируются с указанием причин, по которым они не прошли приемку. Подтверждение содержания включает в себя сопроводительную документацию, полученную от заказчика или спонсора и подтверждающую факт приемки результатов поставки участниками проекта.