что такое риск в лаборатории
Управление рисками в испытательной лаборатории
Содержание
Добрый день, коллеги!
Сегодня темой обзора будет управление рисками в Испытательной лаборатории.
Цели и контекст лаборатории
После изучения документов по работе с рисками, можно выделить следующее определение:
Риск – следствие влияния неопределённости на достижение поставленных целей.
Поэтому, прежде чем начинать работать с рисками, нужно заглянуть в свою политику в области качества и освежить в памяти, а какие же цели вы туда вписали.
Далее необходимо определить, что может влиять на эти цели, а именно – внешний и внутренний контекст лаборатории, или простым языком это внешние и внутренние факторы (но контекст звучит солиднее, да и встречается в большинстве документов серии ISO).
Внутренний контекст испытательной лаборатории, более понятен и привычен, это все то, что происходит на лабораторной кухне – лидерство, ресурсы, взаимодействие.
Внешний контекст не менее важен, чем внутренний, и даже внешняя политика Зимбабве может влиять на вашу лабораторную деятельность, ну хотя бы в рамках международного регулирования деятельности лабораторий и признания ваших протоколов исследований (вы же никогда не знаете, куда любимые заказчики отправляют ваши протоколы).
Итак, с целями и контекстом мы определились, что дальше? Дальше нас ждёт приключение по идентификации, анализу, оценки и обработке рисков.
Требования законодательства
Руководствуясь ГОСТ ISO/IEC 17025-2019 и Критериями аккредитации (и, конечно же, вашими целями), можно установить, что управляемыми должны быть риски, относящиеся к беспристрастности и лабораторной деятельности.
Стоит отметить, что методология работы с рисками может быть весьма разнообразной, но для испытательных лабораторий требования к процессам идентификации, анализу, оценке и обработке рисков не установлены ни Критериями аккредитации, ни ГОСТ ISO/IEC 17025-2019. Как же сделать работу с рисками простой, приятной и о, ужас, приносящей удовольствие?
И тут все очень просто, как 1, 2, 3, ну и 4 (и, конечно же, 5).
Шаг 1. Комиссия по работе с рисками
Нужно взять сотрудников с богатым опытом работы в лаборатории (желательно с разным функционалом), сотрудников юридического лица, имеющих полномочия принимать решения и/или распоряжаться бюджетом, и создать комиссию по работе с рисками (желательно оформить это приказом генерального директора или другого представителя высшего руководства).
Провести совместный мозговой штурм, чтобы каждый участник предложил свои риски. В ходе обсуждения риски могут быть или укрупнены или детализированы.
Для мозгового штурма также могут быть использованы:
Шаг 2. Формы документов для внесения рисков
Разработать формы документов, в которые будут вноситься риски и отображаться работа с ними. Чем меньше форм, тем проще с ними работать. Стоит избегать дублирующих друг друга документов. В документах стоит отображать все те данные, которые вам необходимы для работы.
А если у соседа есть 50 форм и десятизначная кодировка рисков, состоящая из заглавных и прописных японских иероглифов, римских цифр и азбуки Морзе, это не означает, что вам тоже это нужно. Возможно, для вас будет достаточно просто реестра рисков (или журнала учета рисков, или другого документа, название которого вам привычно) со сквозной нумерацией по порядку и плана работы с критическими рисками.
Шаг 3. Анализ и оценка рисков
Определиться, как будет обнаруженный риск анализироваться и оцениваться. Опять же у соседа и газон зеленее, и процедура анализа и оценки рисков многофакторная, и ещё и количественная, с красивыми многоэтажными формулами, хоть математика-программиста в штат бери, но красивые формулы есть в расчетах неопределённости, поэтому лучше освоить их.
А для анализа риска лучше взять два простых и понятных параметра – тяжесть последствий и вероятность возникновения риска. Исходя из этих параметров, делаем две шкалы ранжирования рисков:
Данные шкалы позволят нам отфильтровать риски по их приоритетности (значимости) для лабораторной деятельности. Чтобы установить приоритетность риска, составляем матрицу:
В зависимости от получившегося ранга риска лаборатория выбирает стратегию реагирования.
Шаг 4. Стратегии обработки рисков
Переходим к обработке риска, а именно к выбору и осуществлению методов по изменению статуса риска (модификации). Основное для обработки риска – это экономическая целесообразность действий, которые позволят сделать риск допустимым.
Основные стратегии обработки рисков:
Исключение (избежание) риска
Например, полностью отказаться от проведения измерений по методикам, требующим дорогого или уникального оборудования, или специализированные требования к исполнителям.
Передача риска
Например, передача измерений на подряд в другую лабораторию, страхование средств измерений от кражи, порчи и т.д.
Минимизация риска
Основа минимизации риска – предупреждающие действия, ведь легче (и дешевле) предупредить, чем потом разгребать последствия (отзывать протоколы, извиняться перед заказчиками, платить штрафы, ждать сотрудников ФСА на госконтроль или плакать над прекращением действия аккредитации и т.д.).
Принятие риска
Этот метод реагирования заключается в том, что лаборатория приняла решение не влиять на риск или не нашла другой подходящей стратегии реагирования. Во время, пока риск не реализуется, лаборатория имеет возможность сформировать резерв времени и денег на устранение последствий материализации риска или предполагает наличие «плана Б» (устранения последствий) на случай, если риск реализуется.
Стратегия выбирается с учетом соотношения затрат и выгод от потенциальной реакции на риск, а так же вероятности его возникновения и тяжести последствий.
После выбора способа обработки рисков разрабатывается план мероприятий по управлению рисками или любой другой документ (журнал, реестр), который позволит зафиксировать действия, сроки и ответственных за разработанные мероприятия, направленные на изменение статуса риска.
Те риски, которые относятся к низкому рангу (зеленая зона) и являются приемлемыми, могут быть приняты без обработки. Такие риски просто включаются в реестр для проведения мониторинга.
Шаг 5. Мониторинг и пересмотр рисков
После принятия нужных мер по управлению рисками следует проводить мониторинг и пересмотр рисков. Периодический пересмотр рисков испытательной лаборатории проводится с целью корректировки их рангов, выявления новых рисков и мониторинга статуса мероприятий по снижению рисков.
Периодичность можно установить любую, но оптимально приурочить это к анализу со стороны руководства и проводить не менее чем раз в год.
Мониторинг включает в себя такие процедуры, как:
Внеплановый пересмотр рисков проводится тогда, когда пересматривается или изменяется деятельность лаборатории (расширение или сокращение области аккредитации, изменение процессов и т.д.).
Эта статья не является истинной в первой инстанции по управлению рисками, но, возможно, она натолкнет вас на тот путь, по которому пойдет ваша лаборатория, и страшное слово «РИСКИ» станет не таким уж и страшным.
Ссылка на источник
Блог «Все об аккредитации лабораторий» на Яндекс.Дзен, статья «Управление рисками в испытательной лаборатории«.
09.08.2021 18:46:52 | Автор статьи: Марьина Мария
Управление рисками в лаборатории. Процедура
Управление рисками. Процедура
1. Назначение и область применения
1.1. Процедура устанавливает последовательность действий и ответственность при оценке рисков, выполнении контроля за текущими рисками и мониторинге эффективности методов управления рисками в испытательной лаборатории (испытательном лабораторном центре).
1.2. Требования настоящей документированной процедуры распространяются на всех сотрудников лаборатории (центра).
2. Нормативные ссылки
2.1. ГОСТ ISO/IEC 17025-2019 «Общие требования к компетентности испытательных и калибровочных лабораторий»;
2.2. ГОСТ Р ИСО 9001-2015 «Системы менеджмента качества. Требования»;
2.3. ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство»;
2.4. ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения»;
2.5. ГОСТ Р 51901.23-2012 «Реестр риска. Руководство по оценке риска событий для включения в реестр риска».
Анализ риска – процесс изучения природы и характера риска и определения уровня риска.
Владелец риска – лицо, несущее ответственность за управление риском. Владелиц риска отвечает за идентификацию, оценку и мониторинг управления риском.
Владелец процесса – руководитель процесса или подразделения лаборатории, на стратегические или операционные цели которого оказывает прямое влияние данное событие.
Идентификация риска – процесс определения, составления перечня и описания элементов риска (элементы риска могут включать в себя источники риска, события, их причины и возможные последствия).
Источник риска – объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска (источник может быть материальным и не материальным).
Корректирующее действие – действие, предпринятое для устранения причины несоответствия и предупреждения его повторного возникновения.
Несоответствие – невыполнение требования.
Последствие – результат воздействия события на объект.
Причина риска – явление или обстоятельство, в результате которого может возникнуть риск.
Потенциальное несоответствие – несоответствие, причина которого может привести к невыполнению требования или к другой нежелательной ситуации.
Предупреждающее действие – действие, предпринятое для устранения причины потенциального несоответствия или другой потенциально нежелательной ситуации.
Процесс – совокупность взаимосвязанных и(или) взаимодействующих видов деятельности, использующих входы для получения намеченного результата.
Результативность – степень реализации запланированной деятельности и достижения запланированных результатов.
Риск – влияние неопределенности на цели лаборатории, которое может привести не только к негативным последствиям, но и к положительным.
Управление рисками – это процесс разработки и выполнения управленческих решений, призванных максимально снизить возможность наступления негативного результата и свести к минимуму возможные потери, связанные с его реализацией.
4. Сокращения и обозначения
ВА — внутренний аудит
ВЛКК – внутрилабораторный контроль качества
ВП — владелец процесса
ИЛ – испытательная лаборатория
ИЛЦ – испытательный лабораторный центр
КД – корректирующее действие
МВИ – методика выполнения измерений
МСИ – межлабораторные сравнительные испытания
НД — нормативная документация
ПД – предупреждающее действие
СМ — система менеджмента
5.1 Общие положения
5.1.1. Цель управления рисками (ПД) — устранение причин потенциально возможных несоответствий для повышения результативности СМ и её непрерывного улучшения. Избегать появления несоответствий гораздо эффективнее, чем бороться с ними.
5.1.2. Основой постоянного улучшения является активный поиск сотрудниками ИЛ (ИЛЦ) и ВП возможностей улучшения показателей процессов и результатов лабораторной деятельности, где это требуется:
5.1.3. Предупреждающие действия с целью уменьшения возможных потерь следует применять в основных и обеспечивающих процессах, а также в управляющих процессах для повышения удовлетворенности заказчика.
5.1.4. Предупреждающие и корректирующие действия разграничивают следующим образом:
5.1.5. Задача ВП – постоянное улучшение процессов ИЛ (ИЛЦ), закрепленных за ними. Делать это необходимо с точки зрения:
5.1.6. К ПД, выполняемым ИЛ (ИЛЦ) на постоянной основе, можно отнести:
5.1.7. Этапы управления рисками (ПД):
5.1.8. Для каждого риска или группы рисков во всех процессах СМ определена ответственность по управлению рисками (владелец риска). Ответственных за управление рисками назначают ВП распоряжением руководителя ИЛ (ИЛЦ).
5.1.9. ПД должны проводится ответственными за управление рисками без лишней задержки. Срок организации и проведения ПД с момента определения причин потенциальных несоответствий должен не превышать один месяц или должен быть определен в распоряжении.
5.1.10. ВП и персонал ИЛ (ИЛЦ) обязаны выявлять и регистрировать потенциальные несоответствия в своей работе. Данная обязанность включена в должностные инструкции.
5.2. Идентификация потенциальных несоответствий (рисков) и их причин
5.2.1. «Потенциальное несоответствие» – это «необнаруженное несоответствие», т.е. такое, которое еще не выявлено. Это только риск несоответствия, а не оно само (если риск трактовать как возможность). Если несоответствия нет, то устранять причины можно, основываясь на прошлом опыте и опыте других.
5.2.2. Ответственность за идентификацию потенциальных несоответствий в лабораторной деятельности, процессах, СМ в процессе ежедневного и периодического надзора за необходимыми для лабораторной деятельности факторами и применение ПД несут сотрудники ИЛ (ИЛЦ) и ВП.
5.2.3. При обнаружении потенциального несоответствия в лабораторной деятельности, процессе, СМ лицо, обнаружившее несоответствие, оперативно доводит информацию до ВП и/или менеджера по качеству.
5.2.4. Потенциальные несоответствия могут быть установлены при:
5.2.5. Менеджер по качеству помогает сотрудникам, ВП правильно идентифицировать ПД в «Плане мероприятий«, П-NN-ГГ и не выдавать за них, в частности, мероприятия по плановой подготовке к новым видам деятельности, действия по улучшению и контрольную деятельность.
5.2.6. После определения потенциального несоответствия дальнейшая деятельность по устранению причин несоответствия и проведению ПД проводится аналогично КД.
5.2.7. Все потенциальные несоответствия должны быть проанализированы ВП, ответственным за область деятельности, в которой выявляются несоответствия, с привлечением, при необходимости, всех заинтересованных лиц и сотрудников подразделения лаборатории с целью установления причин их возникновения.
5.2.8. ВП оперативно проводит ПД по устранению потенциального несоответствия, если причина потенциального несоответствия:
5.2.9. ВП необходимо провести всесторонний анализ для разработки Плана мероприятий в случае, если:
5.2.10. ВП для исследования причин возможного возникновения потенциального несоответствия может быть проведен сбор дополнительной информации (данные аудитов СМ, данные по мониторингу, верификации и валидации, протоколы, акты, мнения сотрудников, имеющих отношение к рассматриваемой проблеме и др.).
5.2.11. При невозможности проведения какого-либо этапа работ своими силами информацию о потенциальном несоответствии ВП сообщает менеджеру по качеству и/или руководителю ИЛ (ИЛЦ).
5.2.12. Менеджер по качеству организует работы по проведению анализа причин потенциальных несоответствий. В случае необходимости при разработке мероприятий руководитель ИЛ (ИЛЦ) привлекает специалистов других подразделений лаборатории, в компетенции которых находится решение данной проблемы.
5.2.13. Идентифицированные и установленные причины потенциальных несоответствий ИЛ (ИЛЦ) менеджер по качеству в электронной форме вносит в План корректирующих и предупреждающих действий. При этом менеджер по качеству учитывает:
5.3. Анализ причин потенциальных несоответствий (рисков)
5.3.1. Цель анализа причин потенциального несоответствия – установить его действительную причину или ряд причин, при реализации которых будет отсутствовать риск его появления.
5.3.2. При анализе причин потенциального несоответствия ВП, ответственному за область деятельности, в которой возникают риски, следует:
5.3.3. Получив информацию о потенциальном несоответствии, ВП проводит всесторонний анализ состояния всех лабораторных факторов, действующих на:
5.3.4. ВП или комиссия, которую собирает ВП, устанавливает взаимосвязь между несоответствием и его причиной с учетом возможного влияния всех фактических и потенциальных факторов на потенциальное несоответствие и вносит предложение для изменения СМ.
5.3.5. Анализ причин(ы) проводит ВП отдельно по каждому из идентифицированных рисков или группе рисков.
5.3.6. Результатом проведенного анализа причин должно быть:
5.3.7. Срок, в течение которого должен быть проведен анализ причин, не должен превышать трех дней с момента обнаружения и регистрации потенциального несоответствия.
5.3.8. Документирование проведения анализа потенциальных несоответствий выполняют ВП в «Журнале регистрации несоответствий и корректирующих мероприятий«, Ж-NN-ГГ и Плане мероприятий.
5.3.9. Потенциальные несоответствия, имеющие высокий уровень риска должны быть устранены в кратчайшие сроки. Если уровень риска признан низким, то допускается не проводить соответствующие ПД.
5.4. Разработка предупреждающих действий (ПД) и регистрация их результатов
5.4.1. ПД направлены на устранение причин возникновения потенциальных несоответствий.
5.4.2. ПД разрабатываются лицами, указанными в п. 6, в течении недели на основании установленных причин потенциального несоответствия и предложений по их устранению или снижению риска возникновения, тяжести последствий.
5.4.3. ВП определяют содержание ПД в Плане мероприятий, включая исполнителей, сроки выполнения, и контролируют полноту и качество выполнения мероприятий. При необходимости привлекаются специалисты других подразделений.
5.4.4. Основанием для разработки и проведения ПД являются решения ВП, менеджера по качеству, руководителя ИЛ (ИЛЦ) при анализе причин потенциальных несоответствий. Решения могут быть оформлены в виде:
Руководитель ИЛ (ИЛЦ) и/или менеджер по качеству определяют, каким будет ПД: перспективным (мониторинг действий в течение длительного времени) или оперативным (реализуется в короткий срок).
5.4.5. Для устранения причин потенциальных несоответствий ВП, менеджер по качеству могут:
5.4.6. В случае, если ПД принято к исполнению, то назначается ответственный исполнитель (владелец риска) и срок выполнения.
5.4.7. После выполнения всех ПД владелец риска докладывает об их выполнении контролирующему лицу (ВП, ответственному за ВА аудитору, менеджеру по качеству, руководителю ИЛ (ИЛЦ)).
5.4.8. Результаты выполнения ПД фиксируются:
5.4.9. ПД, направленные на снижение вероятности возникновения потенциальных несоответствий, установленных в критических точках процессов, и/или тяжести проявления их последствий, описаны в Руководстве по качеству, процедурах и инструкциях ИЛ (ИЛЦ), описывающих данные процессы.
5.4.10. Записи о предпринятых ПД поддерживаются в соответствии с процедурой «Управление документацией и записями СМ в испытательной лаборатории«.
5.5. Оценка результативности предпринятых ПД
5.5.1. Оценка результативности мероприятий по управлению рисками проводится с целью обеспечения непрерывного совершенствования СМ. Своевременное проведение ПД обеспечивает сокращение затрат, обусловленных появлением несоответствий в результатах лабораторной деятельности, процессах и СМ.
5.5.2. Результативность ПД оценивается по результатам наблюдений за состоянием качества результатов лабораторной деятельности, процессов и СМ после их проведения.
5.5.3. Результативным может быть признано мероприятие, после проведения которого данное потенциальное несоответствие не появится, снижен (исключен) риск возникновения и/или тяжесть последствий.
5.5.4. Для оценки результативности процесса используется индикатор – доля нерезультативных ПД в общем количестве запланированных.
5.5.5. Оценка результативности ПД осуществляется:
5.5.6. Если ПД признано результативным (т. е. было предупреждено появление несоответствия и получены какие-либо дополнительные выгоды), то должностным лицом, разработавшим и контролирующим качество и полноту выполнения мероприятий, в документе, содержащем ПД, делаются соответствующие отметки о необходимости продолжать выполнять ПД таким же образом или нет (риск устранен):
5.5.7. В случае, если мероприятия по устранению потенциальных несоответствий в лабораторной деятельности, процессе или СМ оказалось не результативным, ВП, менеджер по качеству информирует руководителя ИЛ (ИЛЦ) об отсутствии результата с указанием причин и проводит повторный анализ потенциального несоответствия и разработку ПД согласно п. 5.3 и п. 5.4 настоящей процедуры.
5.5.8. Информация от ВП и/или менеджера по качеству о результативности ПД рассматривается на оперативных совещаниях.
5.5.9. Результаты результативности ПД являются данными для анализа СМ со стороны руководства. Данные мониторинга ПД отражают ВП в годовом Отчете по процессу и менеджером по качеству в Отчете о функционировании системы менеджмента.
6.1.1. Руководитель ИЛ (ИЛЦ) несет ответственность за:
6.1.2. ВП несут ответственность за:
6.1.3. Менеджер по качеству несет ответственность за:
6.1.4. Аудиторы несут ответственность за свои действия согласно процедуре «Внутренний аудит«.
Коротко об анализе рисков в лаборатории
Содержание
Цель и ожидания от внедрения системы управления рисками
Внедряя систему оценки рисков, важно понимать, что применяемые технологии должны окупиться и дать плоды при минимуме вложений ресурсов.
Система управления рисками должна работать так, чтобы ее поддержание приводило к повышению качества оказываемых лабораторией услуг. Использование каких-либо технологий оценки рисков должно явно помогать принимать решения с учетом неопределенности, позволять выбирать благоприятные тенденции развития процессов, помогать оптимизировать имеющуюся систему менеджмента.
От внедрения системы следует ожидать положительных эффектов и помощи в: определении или пересмотре приоритетов при планировании, определении целей лаборатории, более успешном использовании возможностей. Создаваемая система должна дать понимание рисков, особенно тех, которые имеют экстремальные последствия.
Использование технологий оценки рисков должно минимально обеспечить:
Основной функцией системы будет предотвращение наступления угрозы для осуществления деятельности лаборатории, снижение вероятности убытков организации в ходе ее деятельности.
Терминология
Для дальнейшего обзора следует определить некоторые основные термины – риск, управление рисками, система управления рисками.
Риск – следствие влияния неопределенности на достижение поставленных целей. Влияние неопределенности на цели.
Неопределенность – отсутствие информации (полное или частичное), необходимой для понимания события, его последствий и их вероятности.
Следствие влияния неопределенности – отклонение от ожидаемого результата.
Управление рисками в лаборатории – действия по руководству и управлению лабораторией в области рисков.
То есть реализация действий, направленных на снижение вероятности отрицательных отклонений от достижения поставленных целей.
Система управления рисками – элементы, которые обеспечивают реализацию принципов и организационных мер, применяемых при управлении рисками.
Требования ГОСТ ISO/IEC 17025-2019
Рассмотрим требования нормативных документов, предъявляемых к аккредитованной лаборатории в части действий, связанных с рисками.
ГОСТ 17025 требует, чтобы система менеджмента лаборатории предусматривала действия, связанные с рисками и возможностями.
Разделом 8.5 («действия, связанные с рисками и возможностями») ГОСТ 17025 установлены следующие требования:
Пунктом 8.5.1 определено, что лаборатория должна рассматривать риски и возможности, связанные с лабораторной деятельностью, для того чтобы:
а) обеспечивать достижение системой менеджмента намеченных результатов;
b) наращивать возможности для достижения целей и задач лаборатории;
c) предотвращать или уменьшить нежелательные воздействия и возможные сбои в лабораторной деятельности;
d) добиваться улучшений.
Пунктом 8.5.2, подпункт “а)“ определено, что лаборатория должна планировать действия, связанные с данными рисками и возможностями;
Подпунктом “b)“ установлено, каким образом необходимо планировать эти действия:
1) интегрировать и внедрять данные действия в систему менеджмента;
2) оценивать результативность данных действий.
Важно понимать, что ГОСТ 17025 указывает на то, что лаборатория планирует действия по устранению рисков. При этом требования к методам управления рисками или документированному процессу управления рисками в нем не установлены.
Лаборатории могут решить, следует ли разрабатывать более обширную методологию управления рисками, чем это требуется в настоящем стандарте, например, посредством применения других руководств или стандартов.
Пунктом 8.5.3 установлено:
Предпринимаемые действия, связанные с рисками и возможностями, должны быть соразмерны их потенциальному влиянию на достоверность лабораторных результатов.
Примерами действий, связанных с рисками, могут быть:
Начало проектирования системы управления рисками
Анализируя требования законодательства к лабораториям, стоит обратить внимание на важный момент: лаборатория вправе самостоятельно выбрать для себя способы реализации (проект) системы управления рисками.
Как минимально регламентировать систему управления рисками в соответствии с требованиями?
1. Заявить в Политике в области качества лаборатории о наличии системы управления рисками и о принципах ее функционирования.
2. Регламентировать правила управления рисками и определить их в Руководстве по качеству. Правила должны предусматривать:
Для того, чтобы детализировать весь процесс управления рисками, их планирования, а также анализа системы в достаточной мере, целесообразно создать отдельную Процедуру.
Процедура управления рисками включает несколько составляющих:
1. Обмен информацией и консультирование.
2. Область применения и определение критериев риска.
3. Оценка риска.
4. Обработка риска.
5. Мониторинг и пересмотр.
6. Документирование и отчетность.
Обмен информацией и консультирование – это периодические процессы, осуществляемые для получения информации по вопросам, относящимся к управлению рисками. Получаемая информация может относиться к любым аспектам риска: существованию (выявлению), природе, форме, вероятности, уровню, оценке, приемлемости, обработке и другим аспектам. Это позволяет использовать технологии данной составляющей управления рисками на всех этапах процесса управления рисками.
Установление области применения – определение факторов, которые следует учитывать при управлении риском, установлении сферы применения критериев риска.
Критерий риска – факторы, по которым оценивается значимость риска. Значимость риска формируется на основании требований законодательства, политики организации.
Оценка рисков включает в себя идентификацию, анализ, сравнительную оценку.
Идентификация риска – процесс определения, составления перечня и описания элементов риска.
Элементы риска могут включать в себя источники риска, события, причины и последствия.
Анализ риска – процесс изучения природы, характера риска и определения уровня риска.
Сравнительная оценка риска – процесс сравнения результатов анализа риска с критериями риска для определения его приемлемости.
На основании анализа риска и его сравнительной оценки принимается решение об обработке риска.
Обработка риска – процесс изменения риска (исключение; принятие или повышение риска; устранение источников риска; изменение вероятности; последствий; сохранение риска).
Мониторинг – процесс систематической проверки системы управления рисками, рисков и их управления.
Пересмотр – деятельность, принимаемая для анализа эффективности системы управления рисками, рисков и их управления.
Отчетность – формы обмена информацией о рисках, предоставляющие информацию о текущем состоянии рисков.
Обмен информацией и консультирование, а также мониторинг и пересмотр проводится на всех этапах процесса управления рисками.
Для проектирования системы определимся с технологиями, которые мы применим в процессе управления рисками.
Выбор технологии управления рисками
Выбор технологий и способа их использования должен быть обусловлен возможностью адаптации, а также предоставлять требуемую информацию. Количество и тип технологий должны быть выбраны с учетом значимости принимаемых решений, учитывать ограничения во времени и ограничение ресурсов. Внедренные технологии не должны требовать больших расходов, чем фактические убытки от последствий рисков в условиях отсутствия управления рисками.
ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска» предполагает использование различных технологий для разных составляющих процесса управления рисками.
Какие бывают категории технологий оценки рисков:
Технологии выявления мнения причастных сторон и экспертов
1. Мозговой штурм
2. Метод Делфи
3. Метод номинальной группы
4. Структурированные или полуструктурированные интервью
5. Опросы
Технологии идентификации рисков
1. Контрольные списки, классификация и систематизация
2. Анализ видов и последствий отказов
3. Изучение опасности и работоспособности
4. Сценарный анализ
5. Структурированный метод «Что если?»
Анализ источников и доминантных факторов риска
1. Синдинический подход
2. Метод Исикавы
Технологии анализа средств контроля
1. Метод «галстук-бабочка»
2. Анализ рисков и критические контрольные точки
Технологии понимания последствий, вероятности и риска
1. Байесовский анализ
2. Байесовские сети
3. Анализ влияния на бизнес
4. Анализ дерева событий
5. Анализ дерева отказов
6. Анализ причинно-следственных связей
7. Анализ надежности человека
8. Марковский анализ
9. Моделирование методом Монте-Карло
10. Токсикологическая оценка риска
Технологии анализа зависимостей и взаимосвязей
1. Анализ перекрестного влияния
Технологии выбора между вариантами
1. Анализ затрат и выгод
2. Анализ дерева решений
3. Теория игр
Технологии оценки значимости риска
Технологии отчетности и документирования рисков
1. Реестры рисков
2. Матрица последствий / вероятности (тепловая карта или матрица рисков)
3. S – кривые
4. Метод «галстук-бабочка»
Требования к лабораториям сегодня не устанавливают обязательное использование данных методологий. Для работы мы предлагаем использовать те методы, которые требуют низкий уровень применяемых усилий, небольшой или умеренный опыт специалистов. Для описания процесса управления рисками выберем следующие технологии:
Реестр рисков – позволит документировать риски.
Матрица последствий / вероятности – позволит нам проводить наглядную оценку значимости риска, проводить сравнительную оценку риска.
Мозговой штурм
В дополнение к разговору о технологиях оценки рисков следует сказать об особенностях использования соответствующих стандартов и технологий на примере Мозгового штурма, описанном в ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска».
Для начала проведем краткий обзор технологии.
Мозговой штурм может сопровождать все этапы процесса управления рисками (идентификацию, анализ источников, факторов риска, анализ и оценку риска и его обработку).
Мозговой штурм представляет собой разработку идей по теме определенного характера в виде группового обсуждения. Эффективный мозговой штурм осуществляется при участии ведущего – руководителя, который обеспечивает необходимую стимуляцию процесса. Важно понимать, что мозговой штурм не включает анализ или критику идей. Поэтому использование только этой технологии на этапах оценки рисков не будет являться достаточным.
Структурированная основа проведения мозгового штурма с подготовленными для этой цели темами, подсказками, проблемами эффективнее воздействует на генерацию идей и полноту полученной информации и мнений.
Цель технологии – собрать как можно больше разнообразных идей для последующего анализа. Учитывая, что на основании практики установлена низкая эффективность мозгового штурма в отличии от индивидуальной работы, он часто применяется совместно с индивидуальной работой участников.
Участники должны иметь экспертизу, опыт и диапазон точек обзора, необходимых для разрешения проблемы.
Применяя технологии оценки рисков согласно рекомендациям соответствующих стандартов менеджмента рисков, необходимо соответствовать их требованиям. Так при организации мозгового штурма согласно ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска» необходимо позаботиться о дополнении правил управления рисками в части требований к участникам мозгового штурма. Важно установить, каким образом будут определяться критерии экспертизы участников, необходимость опыта и как определяются участники с целью охвата диапазона точек обзора внутри области риска. Также важно отметить, что этот метод включает только генерацию идей и не подразумевает анализ получаемой информации. Таким образом его необходимо совмещать с другими технологиями, способами оценки.
В общем случае лаборатории проще установить правила управления рисками самостоятельно. Это позволяет создать простую, легко внедряемую и поддерживаемую систему.
Реестр рисков
Обычный подход к отчетности и документированию информации о рисках заключается в том, чтобы внести основную информацию о рисках в реестр рисков. Реестр рисков может быть оформлен в виде таблицы в бумажном виде или в электронном. Он объединяет информацию о рисках.
Реестр рисков обычно включает в себя:
Риски могут быть классифицированы по разным категориям для эффективности отчетности, реестр может представлять утвержденную форму. Многие реестры рисков также включают рейтинг значимости риска – указание на то, считается ли риск приемлемым или допустимым, требуется ли дальнейшая обработка риска и причины этого решения.
В реестр рисков могут быть включены не только отрицательные последствия рисков, но и положительные.
Реестр рисков используется для документирования и отслеживания информации об отдельных рисках и управления ими, отслеживания информации о проводимых мероприятиях по рискам. Реестр рисков позволяет сравнивать значимость рисков между собой и легко расставлять приоритеты.
Достаточным будет включить в реестр следующие графы:
В этом случае оценку риска можно проводить по двум факторам, включая оценку влияния (критичности последствий) и оценку вероятности риска. Оценка риска рассчитываться как произведение двух этих величин. В графе «Оценка риска» удобно предусмотреть место для цветовой дифференциации.
Матрица последствий / вероятности
Матрица последствий / вероятности (также называемая матрицей рисков или тепловой картой) представляет собой способ отображения рисков в соответствии с их последствиями и вероятностью и объединяет эти характеристики для отображения рейтинга значимости риска.
В качестве осей матрицы определяется шкала последствия и шкала вероятности. Шкалы могут иметь любое количество точек, которое будет выбрано разработчиком. Наиболее распространенные включают от трех до пяти. Шкалы могут быть как качественными, так и количественными.
Если шкала количественная и точки на шкале представлены числовыми значениями, то они должны быть размещены рядом с осью и соответствовать данным. Как правило, чтобы соответствовать данным, каждый последующий уровень на двух шкалах должен быть на порядок больше, чем предыдущий.
В качестве шкалы вероятности мы используем значения от 1 до 3 и эти значения будут соответствовать:
1 – теоретически возможно, нет прецедентов,
2 – возможен случай в течение года,
3 – ожидается, что произойдет в течение месяца.
В качестве шкалы последствий используем также значения от 1 до 3 и эти значения будут соответствовать:
1 – незначительные, небольшие потери,
2 – средние потери,
3 – большие и катастрофические потери, необратимые.
Так же эту шкалу можно построить на основании значений частоты встречаемости событий в определенный период времени. Шкалы последствий / вероятности должны быть адаптированы в конкретной лаборатории.
Матрица изображается с последствиями по одной оси и с вероятностью по другой в соответствии с выбранными шкалами. Оценка приоритета может быть связана с каждой ячейкой, что поможет определить уровни принятия решений. В результате мы получим несколько уровней (приоритетов), соответствующих оценке.
Матрица последствий / вероятности используется для оценки и передачи относительной величины рисков. Чтобы оценить риск сначала определяется категория последствий, а затем предполагаемая вероятность. Определяется ячейка в матрице, уровень риска и связанное с ним правило принятия решений.
Риски с потенциально высокими последствиями часто вызывают наибольшее беспокойство у лиц, принимающих решения, даже когда их вероятность очень низка, но частный риск с низкой степенью воздействия может иметь большие кумулятивные или долгосрочные последствия. Возможно, что при равных условиях такие риски следует проанализировать более детально.
Матрица удобна и проста в использовании для оценки рисков, позволяет быстро ранжировать риски по разным уровням значимости. Она может использоваться для сравнительной оценки риска. Однако, для разработки обоснованной матрицы требуется хороший опыт. Важно анализировать достоверность шкалы и по мере накопления опыта в части управления рисками развивать ее (калибровать).
04.11.2020 7:37:03 | Автор статьи: LINCO Platform