Управление рисками в рамках функционирования интегрированных систем менеджмента презентация

политехнический университет

Заведующий кафедрой ИТМ ПНИПУ, д.т.н., проф.
Карманов Вадим Владимирович

качества организации определяются макроструктурой её бизнеса и изменениями этой макроструктуры, связанными с этим рисками, изменяющимися требованиями, особыми целями организации, поставляемой её продукцией, применяемыми её процессами, её размерами и структурой»

безопаснос-ти


(ISO 27001)



Системы менеджмента охраны здоровья и 
обеспечения безопасности труда

(OHSAS 18001)


Системы менеджмен-та безопаснос-ти продуктов питания

(ISO 22000)

Менеджмент ИТ-услуг






(ISO 20000)



Социальная ответствен-ность





(ISO 26000)

ISO 9001:2008
Системы менеджмента качества

результате реализации некоторой угрозы с использованием уязвимости ресурса или группы ресурсов.

ПРОИЗВОДСТВЕННЫЕ

ПРОФЕССИОНАЛЬНЫЕ

ЭКОЛОГИЧЕСКИЕ

Основные процессы

Вспомогательные

Подрядные работы

Физические

Химические

Пожарные

Биологические

Аварийные сбросы

Аварийные выбросы

Образование отходов

негативного события с учетом его влияния на бизнес-процессы компании [ISO/IEC Guide 73:2002].
Ресурс (актив – Asset) – все, что представляет ценность для компании [ISO/IEC 13335-1:2004].
Угроза (Threat) – потенциальная причина нежелательного инцидента, которая может причинить вред системе или компании [ISO/IEC 13335-1:2004].
Уязвимость (Vulnerability) – отрицательная характеристика ресурса или группы ресурсов, с помощью которой может быть реализована одна или несколько угроз [ISO/IEC 13335-1:2004].
Воздействие (Impact) – последствия произошедшего негативного события, оказывающие влияние на достижение целей компании [ISO/IEC CD Guide 73].

финансовые последствия

* LO = логический оператор

Механизм воздействия риска на бизнес-процессы

Угрозы

Уязвимость

Разработка политики управления рисками

Политика управления рисками

Разработка методологии систематической оценки рисков

Процедуры оценки рисков

Определение ценности
ресурсов

Перечень ресурсов

Оценка угроз и уязвимостей

Таблица анализа рисков

Расчет риска

Выбор метода управления рисками

Отчет об оценке рисков

Принятие риска

описание выявленных рисков, в ходе которого определяются такие их характеристики, как вероятность и размер возможного ущерба.
Оценка риска – это изучение уязвимостей, угроз, вероятности, возможных потерь и теоретической эффективности контрмер.
РИСК = Вероятность * Ущерб
РИСК = Угроза * Уязвимость * Ущерб

РИСК = Угроза * Уязвимость * Воздействие
Угроза – потенциальная причина нежелательного инцидента, которая может причинить вред системе или компании.
Уязвимость – отрицательная характеристика актива (ресурса) или группы активов (ресурсов), с помощью которой может быть реализована одна или несколько угроз.
Воздействие – последствия произошедшего негативного события, оказывающие влияние на достижение целей компании

качественных или количественных параметров без проведения эксперимента или статистической обработки характеристик специально привлеченным для этой цели специалистом

Идентификация, выбор и проверка экспертов
Подготовка материалов для интервьюирования
Подготовка к интервьюирования
Опрос
Анализ результатов

исследования

Подбор экспертов для анализа и оценки рисков

Выявление угроз процесса

3. Выявление уязвимостей процесса

4. Установление каналов взаимодействия угроз и уязвимостей

5. Оценка величины угроз и уязвимостей

6. Оценка стоимости ресурсов

7. Расчет величины риска

Документация о процессе

Функциональная модель
Анкета для выявления угроз
Документация о процессе

Перечень угроз и уязвимостей

Функциональная модель
Данные об угрозах и уязвимостях

Данные по величине угроз, уязвимостей, оценке ресурсов

Функциональная модель процесса

Перечень угроз процесса

Перечень уязвимостей

Данные о величине угроз и уязвимостей

Матрица риска

Функциональная модель
Анкета для выявления уязвимостей
Документация о процессе

Выявление угроз и уязвимостей процесса

процесса

Результат поддерживающих процессов

Удовлетворенные требования потребителей

необходимость управления ими и, в соответствии с приоритетами, распределять ресурсы для снижения уровня существующих рисков

политики управления рисками

Политика управления рисками

Разработка методологии систематической оценки рисков

Процедуры оценки рисков

Определение ценности
ресурсов

Перечень ресурсов

Оценка угроз и уязвимостей

Таблица анализа рисков

Расчет риска

Выбор метода управления рисками

Отчет об оценке рисков

Принятие риска

A
P
D
C

Планирование

D-C-A

(теплоснабжение, энергоснабжение, водоснабжение).

снижение уровня уязвимостей процесса.

комплексно выявлять угрозы и уязвимости процесса.

плановые и текущие ремонты;
нестандартная деятельность, выполняемая эпизодически (установка оборудования на ремонт, зачистка резервуаров и т.д.);
вспомогательные процессы:
деятельность подрядных организаций;
производственно-хозяйственная деятельность, осуществляемая в организации ранее, с которой могут быть связаны определенные угрозы и уязвимости в настоящее время;
потенциальные угрозы, связанные с планируемыми видами деятельности, процессами, установками, оборудованием.

политики управления рисками

Политика управления рисками

Разработка методологии систематической оценки рисков

Процедуры оценки рисков

Определение ценности
ресурсов

Перечень ресурсов

Оценка угроз и уязвимостей

Таблица анализа рисков

Расчет риска

Выбор метода управления рисками

Отчет об оценке рисков

Принятие риска

A
P
D
C

Планирование

D-C-A

денежные средства, краткосрочные фин.вложения, дебиторская задолженность)

Внеоборотные активы
(здания, сооружения, земля, оборудование, нематериальные активы)

Организационные ресурсы
(патенты, бренды, документированные системы и процессы, права доступа, организационная структура)

Человеческие ресурсы
(знания, функциональные навыки, опыт)

Отношенческие ресурсы
(контракты с поставщиками и клиентами)

стоимости на основе RAVE (модель усилителя стоимости активов)

,
где - добавленная экономическая стоимость от использования ресурса в i-й период,
r – требуемая доходность (стоимость задействованного капитала).

RAVE

EVAw – добавленная стоимость человеческих и организационных ресурсов

EVAc – добавленная стоимость отношенческих ресурсов (клиенты)

EVAw – добавленная стоимость отношенческих ресурсов (поставщики)

Стоимость ресурса = капитализированная нормированная с учетом среднерыночных показателей добавленная стоимость

и первичная документация;
Результаты интервьюирования и анкетирования топ-менеджмента, менеджеров среднего звена и экспертов;
Рыночная экстракция.

рисками

Политика управления рисками

Разработка методологии систематической оценки рисков

Процедуры оценки рисков

Определение ценности
ресурсов

Перечень ресурсов

Оценка угроз и уязвимостей

Таблица анализа рисков

Расчет риска

Выбор метода управления рисками

Отчет об оценке рисков

Принятие риска

A
P
D
C

Планирование

D-C-A

Rmax = 125

Вероят-ность

управления рисками

Политика управления рисками

Разработка методологии систематической оценки рисков

Процедуры оценки рисков

Определение ценности
ресурсов

Перечень ресурсов

Оценка угроз и уязвимостей

Таблица анализа рисков

Расчет риска

Выбор метода управления рисками

Отчет об оценке рисков

Принятие риска

A
P
D
C

Планирование

D-C-A

2 3 4 5

1 2 3 4 5

Вероятность

Воздействие

ведет к рискам, катастрофическим для предприятия.
Отказ от услуг ненадежных партнеров, стремление работать только с подтвердившими свою надежность потребителями и поставщиками.

Избежание риска
Когда снижение рисков не ведет к уменьшению вероятности их возникновения и возможного ущерба;
Когда риск непредсказуем.

Разработка мероприятий, позволяющих компании понизить степень риска.

Применяются, если риски маловероятны и возможный ущерб невелик. Одной из проблем в данном случае является определение размера резервного фонда, предназначенного для покрытия риска, а также неизбежность возможной, последующей юридической ответственности.

Принятие риска на себя
Оставление всего (или части) риска за компанией и покрытие возможных потерь собственными средствами.

Снижение риска
Уменьшение вероятности наступления риска и уменьшение тяжести последствий или объема возможных убытков.

Производится сравнение затрат на передачу риска с ожидаемым результатом. Наиболее часто используемым методом этой группы является страхование – передача риска в страховую компанию.

Перенос риска
Если риски весьма вероятны и размер ущерба невелик, либо если вероятность наступления ущерба низка, однако его размер значителен.

Уязвимость: Отсутствие экспресс-анализа поступающего сырья
(2) Угроза: Пропуски теплообменников (нарушение герметичности) с перетоком неочищенного сырья в очищенный продукт в объеме теплообменника;
Уязвимость: Отсутствие технологических методов контроля герметичности швов теплообменников в период межсервисной эксплуатации
(3) Угроза: Разгерметизация трубопровода;
Уязвимость: Работа с токсичным, пожаро- и взрывоопасным материалом под давлением

* Уровень риска = Уровень воздействия на ресурс х Уровень угрозы x Уровень уязвимости
* Максимальный допустимый уровень риска - 18

В отчете об оценке рисков отражаются результаты расчета рисков, выбора методов обращения с рисками и принятия рисков. Отчет подписывается руководителем организации.

уровня риска при осуществлении деятельности, связанной с реализацией государственных оборонных заказов.
Оптимизация организационной структуры предприятия с выделением ответственного лица, наделенного полномочиями в сфере оценки и управления рисками.
Разработка стандарта предприятия с методикой оценки рисков, связанных с охраной труда, промышленной и экологической безопасностью, качеством выпускаемой продукции и другими аспектами деятельности.

о существующих угрозах для реализации конкретного процесса в рамках реализуемых производственных процессов, наиболее уязвимых местах в технологиях, каналах взаимодействия угроз и уязвимых мест, а также текущем уровне риска.
Непрерывная актуализация информации о текущих рисках и ее распространение во внутренней и внешней среде предприятий бизнес окружения.
Актуальная информация о возможных мерах по управлению рисками.
Наличие актуальной информации о рисках предприятий для внешних заинтересованных сторон.

предприятий, направляемых на решение вопросов охраны труда, промышленной и экологической безопасности, качества оказываемых услуг, а также мер, направленных на управление рисками.
Увеличение мотивации и определение потребностей в повышении квалификации персонала с точки зрения предотвращения аварийных ситуаций для рабочих мест, характеризующихся высоким уровнем риска.
Сокращение издержек предприятия, связанных с наступлением рисковых ситуаций, и как следствие снижение стоимости продукции.

политехнический университет

Заведующий кафедрой ИТМ ПНИПУ, д.т.н., проф.
Карманов Вадим Владимирович