форма реестра рисков пример заполнения

Управление рисками – алгоритм. Курс по управлению проектами, часть 25

Цель риск-менеджмента понятна интуитивно – понизить влияние негативных рисков и повысить вероятность влияния позитивных рисков. Именно в этом суть управления рисками.

Ориентировочной целью, к чему вы стремитесь, управляя рисками, – это нивелировать до 90% значимых угроз (рисков). То есть порядка 10% значимых угроз вы не сможете нивелировать, никуда от них не денетесь, они останутся. Это то, что называется в проектном управлении неснижаемыми рисками. Например, пожары, ураганы, любые форс-мажоры. В России ураганов почти не бывает, но в целом у каждого риска есть вероятность. На вероятность возникновения урагана вы не можете повлиять, вы не можете предвидеть, случится ураган или нет. Зато вы можете снизить его влияние. Делается это достаточно легко. Например, в США ураганы очень часто возникают. И там на жилые дома устанавливают противоураганные ставни. Если забыть их закрыть перед ураганом, то сильный ветер разобьет окна, а потом унесет крышу. А если противоураганные ставни закрыть, то ветер просто «обтечет» дом. Это пример того, что ураган – риск, неснижаемый по вероятности, но по влиянию его можно снизить.

В России пример неснижаемого риска – законодательный. Зачастую у нас мало предсказуемое законодательство. Почему это риск? Представьте, что вы делаете томограф. А тут обсуждается законопроект о том, чтобы изменить процедуру сертификации, добавить что-то новое. Если закон примут, то вы делать томограф, как раньше, уже не сможете, надо будет все старое выкинуть и начинать работать по-новому. Вы ничего не можете сделать, вы никак не можете повлиять на ситуацию, если закон примут.

Возвращаемся к цели менеджера. Норма – снизить 90% значимых угроз. Если вам по итогам управления рисками удалось снизить сильно меньше (60-70 процентов), то либо у вас не хватает фантазии, вы не можете придумать, как снизить риски, либо у вас слишком рискованный проект. Это хороший повод поговорить со спонсором, показать ему, насколько рискованный проект.

Напомню, что когда в какой-то области знания управления проектами у нас много планирования, и немного контроля, то можно сформулировать алгоритм. И при управлении рисками, конечно, речь идет именно об алгоритме. Есть 4 конкретных шага, которыми можно пользоваться.

1 шаг. Идентификация рисков. Составление реестра рисков

Итак, вся работа с рисками строится вокруг одного артефакта: реестра рисков в виде таблички. И первый шаг – это идентификация рисков. То, что мы хотим, – понять, какие риски могут быть и выписать их в список. Представьте, вы менеджер проекта. Ваша задача – заглянуть в волшебный шар и найти то, что вам может помешать реализовать проект, со знаком плюс или знаком минус.

Руководствуйтесь принципом командности, думайте не в одиночку, а вместе с другими людьми. С кем именно?

Какого размера может быть этот список? Конечно, чем больше, тем лучше. Но давайте посмотрим с практической точки зрения. Вы менеджер, у вас есть команда 15 человек. Вы идентифицируете риски по проекту длительностью год стоимостью 1 млн долларов. Допустим, вы выписали 10 рисков. Это много, мало или нормально? На какую цифру надо ориентироваться, на какой диапазон? Как правило, на первом этапе рисков очень много – десятки. Их может быть и 50, и 60, и 100, и больше, независимо от того, какой у вас проект. Если у вас их сильно меньше – 8-10, у вас не заработает риск-менеджмент, позже вам покажу почему. На первом этапе обязательно должны быть десятки рисков. Это нормально. Но при этом 20-30 рисков – это хорошее число. В том смысле, что вы про них будете внимательно думать, а остальное пойдет фоном.

Обратите внимание: есть риски положительные, есть отрицательные. Как работать с ними – вместе или по отдельности? Первоначально вы планируете и негативные, и позитивные риски. Есть разные способы работать с ними в дальнейшем. Можно их объединить в одну табличку, но это неудобно, потому что легко запутаться. Для кого-то это может быть удобно, когда можно в табличке выделить с помощью фильтров, какие есть негативные, какие есть позитивные риски. Но если другой человек забудет убрать фильтры, то он увидит не то, что надо. Когда вы начинаете суммировать резервы, тоже получается неудобно. Поэтому моя рекомендация – вести 2 отдельные таблички – одну для позитивных, другую – для негативных. Это самое простое. В PMBoK описаны обе практики. Но мы пытались совместить все в одну табличку, и это страшно неудобно. Кроме того, 2 таблички экономят время, в них проще разобраться.

2 шаг. Качественный анализ рисков

Следующий шаг. Представьте, у вас целая простыня рисков. Если вы будете с каждым церемониться, то далеко не уедете. Вы все время проекта проведете над мыслями о том, как нивелировать риски. Поэтому второй шаг – понять, какие из выписанных рисков самые главные. Вам нужно создать short-лист из 20-30 рисков, про которые речь пойдет подробнее. Для этого надо сделать качественный анализ. Качественный – не от слова «качество», ваша задача – определить значимость риска: большой, малый, средний. Значимые риски получат ваше внимание, незначимые – не получат.

Чтобы получить значимость риска, нужно оценить, какую вероятность и какое влияние каждый из них отдельно имеет. Пробегаемся по всему списку, пытаемся ответить на вопросы (субъективно): «Вероятность возникновения риска – большая, средняя или маленькая?», «Влияние риска на проект – большое, среднее или маленькое?». От комбинации ответов будет зависеть, какой из рисков наиболее значимый.

Повторюсь: второй шаг – сократить список, оценивая риски по значимости. Все это записываем в табличку – реестр рисков. Можно риски отмечать цветом: красный – значимый, с ними нужно дальше работать, желтый – средняя значимость, зеленый – низкая значимость, их можно не рассматривать совсем.

3 шаг. Количественный анализ

Третий шаг – количественный анализ. У вас сильно уменьшился перечень. Теперь в нем только риски, с которыми нужно работать. Вы их снова оцениваете, но только теперь уже в цифрах – деньгах, часах. На этом шаге появляются резервы. Помните, я вам рассказывал про пэддинг (раздувание), с которым сложно справиться. Единственный способ с ним справиться – перейти к реальной оценке + правильно заложить резерв. Обо всем этом поговорим позже.

4 шаг. Разработка стратегии реагирования

Последний шаг – придумать планы, как добиться того, чтобы риск не сработал, что именно надо делать (вспомните пример про противоураганные ставни). Здесь появляются план А и план Б, триггеры риска, хозяева и так далее.

Когда все шаги прошли, мы начинаем отслеживать риски, обновлять реестр: одни риски будут приходить, другие уходить.

Это был алгоритм работы с рисками. Подробнее о каждом шаге поговорим в следующих публикациях.

Если вас интересует тема «Управления проектами» и вы хотите самостоятельно подготовиться к экзамену на сертификат Project Management Professional, то приглашаем пройти новый видеокурс Ивана Селиховкина «Подготовка к экзамену РМР»

Источник

Форма реестра рисков пример заполнения

ГОСТ Р 51901.22-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Risk management. Risk register. Principles of development

Дата введения 2013-12-01

Предисловие

1 РАЗРАБОТАН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

5 ПЕРЕИЗДАНИЕ. Июль 2020 г.

Введение

Реестр риска является одним из способов представления и хранения информации об опасных событиях и риске. В реестр риска обычно включают основные виды опасностей, применяемые методы оценки и снижения риска и мероприятия по предупреждению, снижению и обработке риска. При разработке реестра риска необходимо учитывать соответствующие законодательные и обязательные требования, а также иную доступную информацию о видах опасности и риске их возникновения. Однако составление реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также накопления необходимого объема информации.

Необходимость разработки и ведения реестра риска организация определяет самостоятельно.

Настоящий стандарт следует применять с учетом требований основополагающих стандартов в области риска: ГОСТ Р ИСО 31000, ГОСТ Р ИСО/МЭК 31010 и ГОСТ Р 51897/Руководство ИСО 73:2009.

1 Область применения

В настоящем стандарте установлены правила построения реестра риска. Общие принципы разработки и ведения реестра риска установлены в ГОСТ Р 51901.21.

Реестр риска является одним из способов представления информации о риске. Необходимость разработки и ведения реестра риска организация определяет самостоятельно.

Реестр риска может применяться как элемент системы менеджмента риска или самостоятельно. В системе менеджмента риска реестр риска не является обязательным элементом, могут быть использованы другие способы представления информации о риске.

Настоящий стандарт предназначен в первую очередь для менеджеров по риску, руководителей организаций и технических экспертов по оценке опасных событий, инцидентов и аварий, а также для ответственных за разработку политики менеджмента риска, составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска организации.

Реестр риска позволяет организациям на местном, региональном и федеральном уровнях сопоставлять данные о риске и применять апробированные методы предупреждения опасных событий и инцидентов и реагирования на них.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 31010 Менеджмент риска. Методы оценки риска

Действует ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска».

ГОСТ Р 51897 Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р 51901.21 Менеджмент риска. Реестр риска. Общие положения

ГОСТ Р 51901.23 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.

3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

3.3 реестр риска (risk register): Форма записи информации об идентифицированном риске.

3.4 менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.

4 Порядок разработки реестра риска организации

4.1 Общие положения

Основные цели разработки реестра риска, его место в системе менеджмента риска, преимущества и недостатки реестра риска, а также основные этапы разработки установлены в ГОСТ Р 51901.21.

Реестр риска должен содержать данные по идентификации опасных событий и оценке их риска, а также данные о возможных последствиях воздействия этих опасных событий на деятельность организации в стоимостном и материальном выражении. В реестр риска включают также оценку выполнения мероприятий по обработке риска. Типовая форма реестра риска приведена в таблице 1. В зависимости от особенностей организации форма и содержание реестра риска могут быть изменены или дополнены. Форма реестра риска должна быть утверждена высшим руководством организации.

Составление реестра риска начинают с определения области применения реестра риска, и в частности с определения объектов реестра риска. Объектами реестра риска могут быть:

— организация в целом, ее структурное подразделение или его часть;

— продукция, услуга, процесс или вид деятельности;

— персонал или отдельные работники.

Общие требования к определению области применения реестра риска установлены в ГОСТ Р 51901.21.

Распределение ответственности за разработку и ведение реестра риска должно соответствовать этапам менеджмента риска, поскольку внесение информации в реестр риска и ее корректировку следует выполнять после завершения каждого этапа менеджмента риска.

При внесении в реестр риска количественных данных следует (по возможности) указывать соответствующую им неопределенность.

Основные элементы реестра риска соответствуют этапам менеджмента риска, описанным в 4.2-4.6.

Идентификация опасных событий

Индии-
видуа-
льный инден-
тификатор опасного события

Крат-
кое наиме-
нование опас-
ного собы-
тия и его описа-
ние

Этап жизнен-
ного цикла проду-
кции (услуги), на котором может возник-
нуть опасное событие

Причина опасного события

Возможные воздействия и последствия опасных событий на деятельность организации

Преду-
преждающие средства контроля и методы управ-
ления

Средства контроля и методы управ-
ления по реагиро-
ванию на опасное событие
и восста-
новлению деятель-
ности

Уровень приме-
няемых предупре-
ждающих средств контроля и методов управ-
ления

Уровень применя-
емых средств контроля и методов управ-
ления по реагиро-
ванию на опасное событие и восстано-
влению деятель-
ности

Источ-
ники данных и предпо-
ложения, использ-
уемые при оценке риска

Метод оценки и анализа риска

Оценка последствий (ущерба) при реализации опасного события

Вероят-
ность опасного события

Резуль-
тат количест-
венной оценки риска

Уровень неоп-
реде-
ленно-
сти оценки риска

Объект воздей-
ствия опас-
ного события

Описа-
ние воздей-
ствия опас-
ного события

Источник

Управление рисками: модель процесса и компетенций

Дмитрий Могилко

Асессор по модели EFQM

Партнёр ГК «Современные технологии управления» ()

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

Рис. 2. Диаграмма «галстук-бабочка»

Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

Примечание: объекты воздействия опасного события приведены для примера.

Таблица 3. Шкала оценивания вероятности наступления опасного события

Оценка вероятности, %	Качественная оценка вероятности, баллы
Очень высокая — 81–100	Очень высокая — 5
Высокая — 61–80	Высокая — 4
Средняя — 21–60	Средняя — 3
Низкая — 1–20	Низкая — 2
Очень низкая — менее 1	Очень низкая — 1

Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

Таблица 4. Матрица риска, ранги

Качественная оценка вероятности опасного события	Последствия
	Малозначительные (1)	Небольшие (2)	Умеренные (3)	Значительные (4)	Катастрофические (5)
Очень низкая (1)	1	2	3	4	5
Низкая (2)	2	4	6	8	10
Средняя (3)	3	6	9	12	15
Высокая (4)	4	8	12	16	20
Очень высокая (5)	5	10	15	20	25

Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

По результатам анализа определяется уровень риска в следующих интервалах:

После оценки риска наступает этап его обработки / модификации посредством:

Обработка риска включает следующие этапы:

Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

Основные требования к навыкам менеджеров по риску включают способности:

Оценка риска осуществляется группой, включающей следующие роли:

Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

Рис. 3. IDEF0-модель процесса менеджмента риска

Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

Таблица 5. Основные параметры паспорта риска

Код регистрации (в реестре) и название риска (опасного события)

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].

Тип риска (внешний или внутренний)

При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].

Вид риска (экономический, технический, социальный, экологический)

Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].

Владелец риска (ответственный за менеджмент риска)

Риск-менеджеры (эксперты по оценке риска)

Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:

Заинтересованные (причастные) стороны, подверженные риску

Источник и условия возникновения риска (опасного события)

Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].

Уровень (балл) последствий воздействия риска (опасного события)

Уровень (балл) вероятности возникновения опасного события

После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].

Оценка уровня (ранга) риска

Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].

Решение о необходимости обработки риска

Мероприятия по обработке риска (снижению вероятности и/или последствий)

Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:

Ответственный за обработку риска

Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:

Срок выполнения мероприятий по обработке риска

Этапы обработки риска включают в себя:

Индикаторы мониторинга риска

Сведения о результативности и эффективности обработки риска (оценка и опыт)

Направления улучшения инфраструктуры риск-менеджмента

Периодичность актуализации оценки риска (реестра риска)

Дата актуализации сведений о риске (в реестре)

Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

Рис. 5. Карточка раздела документа

Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

Рис. 7. Отчет «Паспорт риска»

Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

Рис. 9. Лист «Риски» Excel-отчета по мониторингу

Рис. 10. Лист «Требования» Excel-отчета по мониторингу

Для удобства навигации отчет содержит необходимые автоматические ссылки.

Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.

Источники информации:

Опубликовано по материалам:
«Менеджмент качества», 03/2019.

Источник

• ← форма реестра расходных обязательств
• форма реестра садоводов в снт фз 217 образец →

№	Параметр	Требования и рекомендации
1