Для чего нужен реестр рисков
Для чего нужен реестр рисков
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
Руководство по созданию реестра риска организации
Risk management. Risk register. Guidelines on construction of organization risk register
Дата введения 2013-12-01
1 РАЗРАБОТАНЫ Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»
Введение
Реестр риска является одним из способов представления и хранения информации об опасных событиях и риске. Наличие реестра риска позволяет организации получить информацию, относящуюся к конкретному источнику опасности, последствиям, объекту воздействия опасных событий и т.д. Однако разработка реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также большого объема информации.
Необходимость разработки и ведения реестра риска организация определяет самостоятельно.
Настоящие рекомендации содержат рекомендации по разработке реестра риска для малых организаций.
Настоящие рекомендации следует применять с учетом требований основополагающих стандартов в области риска:
ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство»;
ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска»;
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 «Менеджмент риска. Термины и определения».
1 Область применения
Решение о разработке и ведении реестра риска организация принимает самостоятельно.
Настоящие рекомендации предназначены в первую очередь для менеджеров по риску, руководителей и технических экспертов малых организаций. Настоящие рекомендации будут полезны также причастным сторонам, включая лиц, ответственных за составление реестра риска, управление и оценку риска, оценку эффективности менеджмента риска малой организации.
2 Нормативные ссылки
В настоящих рекомендациях использованы ссылки на следующие документы:
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство
ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска
ГОСТ Р 51901.21-2012 Менеджмент риска. Реестр риска. Общие положения
ГОСТ Р 51901.22-2012 Менеджмент риска. Реестр риска. Правила построения
ГОСТ Р 51901.23-2012 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска
Р 50.1.068-2009 Менеджмент риска. Рекомендации по внедрению. Часть 1. Определение области применения
Р 50.1.069-2009 Менеджмент риска. Рекомендации по внедрению. Часть 2. Определение процесса менеджмента риска
Р 50.1.070-2009 Менеджмент риска. Рекомендации по внедрению. Часть 3. Обмен информацией и консультации
3 Термины и определения
В настоящих рекомендациях применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.
3.2 реестр риска (risk register): Форма записи информации об идентифицированном риске.
3.3 опасность (hazard): Источник потенциального вреда.
3.4 менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.
4 Порядок разработки реестра риска организации
4.1 Общие положения
Организация должна определить необходимость разработки, этапы, форму и способы ведения реестра риска. Основные цели разработки реестра риска организации, его место в системе менеджмента риска, преимущества и недостатки реестра риска установлены в ГОСТ Р 51901.21.
Реестр риска организации является формой ведения записей об идентифицированных опасных событиях, оценке соответствующего им риска, способах и сроках его обработки. При ведении реестра риска необходимо учитывать соответствующие обязательные требования, а также иную доступную информацию о видах опасности и риске ее возникновения. В зависимости от особенностей организации форма и содержание реестра риска могут быть изменены или дополнены по отношению к типовой форме реестра риска, приведенной в таблице 1 ГОСТ Р 51901.22.
При разработке реестра риска организации необходимо учитывать:
— политику, цели и стратегию организации в области менеджмента риска;
— особенности изготавливаемой продукции и оказываемых организацией услуг;
— основные производственные процессы и процессы менеджмента организации;
— установленные и используемые методы анализа и оценки риска;
— условия эксплуатации выпускаемой продукции.
Что такое реестр рисков в управлении проектами?
В арсенале менеджеров проектов есть достаточное число инструментов, помогающих устранять возможные проблемы и препятствия. Реестр рисков — один из таких инструментов. Но что представляет собой реестр рисков, как им пользоваться, и как с его помощью избежать срыва проекта?
Из этой статьи вы узнаете, что нужно включать в реестр проектных рисков, а также получите подробную информацию о том, как создать и поддерживать такой реестр для вашего следующего проекта.
Что такое реестр рисков?
Реестр рисков — это инструмент, используемый менеджерами проектов для отслеживания и мониторинга любых проектных рисков. Управление рисками — это неотъемлемый компонент управления проектами, потому что он позволяет заблаговременно противостоять потенциальным проблемам и неудачам.
Использование реестра проектных рисков, который также называют журналом рисков, — это важнейшая часть процесса управления рисками.
Для чего нужен реестр рисков?
Цель использования реестра рисков в управлении проектами заключается в выявлении, регистрации и отслеживании потенциальных рисков. Риск в управлении проектами — это любое неожиданное событие, которое может произойти и повлиять на выполнение проекта положительным или отрицательным образом.
Каждый раз при выявлении фактора, способного повлиять на выполнение проекта, его следует оценить и внести в реестр рисков.
Почему вам нужен реестр рисков?
Реестр рисков нужен потому, что чем масштабнее, длительнее и сложнее становятся проекты, тем труднее контролировать ситуацию. Без централизованного мониторинга рисков вы можете что-то забыть или упустить.
Некоторые риски могут поначалу казаться незначительными или маловероятными, но и они способны оказать влияние на выполнение проекта. Вот примеры возможных рисков:
Управление рисками напрямую связано с ранним выявлением потенциальных проблем, чтобы вы могли принять решение об их устранении. Кроме того, оно дает возможность отслеживать риски с течением времени, чтобы видеть, как они меняются.
При первом выявлении риска, он может показаться вам настолько невероятным, что вы решите просто оставить его в покое. Но что если по мере выполнения проекта вероятность наступления риска начнет расти? Отслеживая риск, вы можете заметить изменения и успеть принять необходимые меры.
Кто создает реестр рисков?
Если вы работаете над очень масштабным, сложным или важным проектом, в вашу команду может быть включен риск-координатор или риск-менеджер. В этом случае создание и ведение реестра рисков будет его прямой обязанностью.
Однако при выполнении большинства проектов обязанность создания реестра рисков ложится на менеджера проектов.
Это вовсе не означает, что риск-менеджер или менеджер проектов несет ответственность за выявление и устранение абсолютно всех рисков. Каждый участник проектной группы, которого заботит успех проекта, может внести свой вклад в выявление и оценку риска.
Например, клиент или спонсор может знать о возможной проблеме, неизвестной остальным участникам проектной группы.
Какая информация заносится в реестр рисков?
Реестр рисков представляет собой таблицу с перечислением проектных рисков, которая позволяет отслеживать каждый выявленный риск и связанную с ним информацию.
Обычно реестр рисков включает следующие столбцы:
Как создать реестр рисков?
Чтобы создать реестр рисков, достаточно создать таблицу с описанными выше столбцами и начать ее заполнять.
Давайте рассмотрим подробнее несколько столбцов, чтобы вы поняли, какие данные нужно в них вносить.
Категории рисков: категории служат для сортировки рисков, чтобы проще было их отслеживать и оценить их последствия. Ваши категории будут зависеть от направления деятельности и проекта.
Можете даже завести отдельные столбцы для разных категорий. Например, в одном столбце указывайте спринты, которые могут оказаться под угрозой, а в другом — типы работы (разработка, тестирование и т. п.).
Вероятность и последствия: есть два способа оценки риска — качественный и количественный. Качественная оценка самая простая и распространенная. При таком подходе вы оцениваете вероятность наступления риска и его последствия по шкале из 3–5 пунктов, например: «очень высокая» вероятность, «высокая», «средняя», «низкая» и «очень низкая».
Количественная оценка риска требует ввода числовых значений. Вы уже не сможете просто сказать, что последствия будут «серьезные». Вам нужно выразить это в числовой форме, например: «отставание от графика от двух до четырех недель» или «увеличение стоимости на 5%».
Рейтинг: если вы используете качественную оценку, ваш рейтинг будет равняться произведению оценки вероятности на оценку последствий. Если у вас высокая вероятность (4) и средние последствия (3), ваш рейтинг будет равен 12 (4 x 3). Этот метод позволяет быстро рассортировать и приоритизировать риски.
Количественный анализ рисков гораздо сложнее. Трудно сравнить 60%-ную вероятность двухнедельного отставания от графика с 40%-ной вероятностью повышения затрат на 10%.
Для этого вам нужно выразить последствия для графика и бюджета в одних и тех же единицах, чтобы их можно было сравнить. Например, вы можете решить, что и шестинедельная задержка, и десятипроцентное увеличение затрат — это «очень серьезные последствия» и присвоить им оценку «5».
Какой бы способ отслеживания и оценки рисков вы ни выбрали, позаботьтесь, чтобы он постоянно использовался в проекте. Если участники команды оценивают риски по-разному или непоследовательно заполняют столбцы, то отслеживать и приоритизировать риски становится гораздо сложнее.
Используйте Wrike для создания эффективного реестра рисков по проекту
Знаете ли вы, что можете создавать, обновлять, вести и делать доступным ваш реестр рисков в системе управления проектами? Благодаря настраиваемым полям Wrike вы можете легко создать и редактировать реестры и отражать в них только те столбцы и категории, которые вас интересуют.
К тому же вы можете легко открывать доступ к реестру участникам вашей команды и другим заинтересованным лицам. Вы можете вставлять его в отчеты и на панели задач, чтобы постоянно держать информацию о рисках на виду и ничего не упустить.
Воспользуйтесь бесплатной пробной версией Wrike, чтобы убедиться, насколько легко можно создать свой первый реестр рисков.
Управление рисками: модель процесса и компетенций
Дмитрий Могилко
Асессор по модели EFQM
Партнёр ГК «Современные технологии управления» ()
Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.
Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.
Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).
Рис. 1. Структура основных понятий риск-менеджмента
Представленная модель построена на основе следующей логики.
В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:
Рис. 2. Диаграмма «галстук-бабочка»
Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.
Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:
Примечание: объекты воздействия опасного события приведены для примера.
| Оценка вероятности, % | Качественная оценка вероятности, баллы |
|---|---|
| Очень высокая — 81–100 | Очень высокая — 5 |
| Высокая — 61–80 | Высокая — 4 |
| Средняя — 21–60 | Средняя — 3 |
| Низкая — 1–20 | Низкая — 2 |
| Очень низкая — менее 1 | Очень низкая — 1 |
Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).
| Качественная оценка вероятности опасного события | Последствия | ||||
|---|---|---|---|---|---|
| Малозначительные (1) | Небольшие (2) | Умеренные (3) | Значительные (4) | Катастрофические (5) | |
| Очень низкая (1) | 1 | 2 | 3 | 4 | 5 |
| Низкая (2) | 2 | 4 | 6 | 8 | 10 |
| Средняя (3) | 3 | 6 | 9 | 12 | 15 |
| Высокая (4) | 4 | 8 | 12 | 16 | 20 |
| Очень высокая (5) | 5 | 10 | 15 | 20 | 25 |
Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:
По результатам анализа определяется уровень риска в следующих интервалах:
После оценки риска наступает этап его обработки / модификации посредством:
Обработка риска включает следующие этапы:
Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:
Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.
Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:
Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:
Основные требования к навыкам менеджеров по риску включают способности:
Оценка риска осуществляется группой, включающей следующие роли:
Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:
В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).
Рис. 3. IDEF0-модель процесса менеджмента риска
Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.
Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.
