Особенностью новой редакции стандарта ГОСТ Р ИСО 9001 — 2015 (ISO 9001:2015) является применение риск ориентированного подхода к управлению процессами и организации в целом.
Оценку и анализ рисков в организации проводят на основании идентифицированных процессов организации. Ответсвенными за проводимую работу возлагают, как правило, на владельцев процессов.
При управлении рисками применяют следующую терминологическую базу:
Актив: все, что имеет ценность для рассматриваемой организации. Например: процесс, компьютер, работник, данные.
Оценка риска рассматривается как мероприятия по идентификации, сбору, систематизации, применения и анализа документированной информации, позволяющей безпристрастно провести мероприятия по оцениванию рисков. Фактически представляет собой составление таблицы следующей струтуры: Активы, Источник угроз, Способ реализации угроз, Оценка вероятности, Оценка тяжести последствия, Оценка риска (см. таблицу 1), мероприятия по минимизации риска, остаточный риск.
Менеджмент рисков: Согласованные мероприятия по руководству и управлению рассматриваемой организацией в том, что касается идентифицированных рисков.
Обработка выявленного риска: мероприятия по выбору и реализации действий по минимизации возможного риска.
Остаточный риск: Риск, остающийся после обработки риска установленными мероприятиями. Мероприятия следует разрабатывать и реализовывать до тех пор, пока остаточный риск не станет допустимым.
Допустимый риск: вероятность реализации нежелательного события, предполагаемый ущерб от которого рассматриваемая организация готова принять в текущих рыночных условиях.
Угроза: Возможная причина нежелательного рискового события, который может закончиться ущербом для организации.
Риск: Комбинация вероятности нежелательного события и тяжести его последствий.
Анализ риска: Систематическое использование информации для выявления источников угроз и для оценки степени риска.
Оценка риска: мероприятия по проведению анализу рисковых событий и оценки их значительности применительно к организации.
Риск оценивается на основании двух факторов: вероятность возникновения и тяжесть последствия (см. таблицу 1). Следует отметить, что оценка рисков производится не как арифметическая операция сложения или умножения, а как логическая — сочетание двух факторов. Это связано с тем, что тяжесть последствия и вероятность возникновения являются различными характеристиками оценивания риска.
Таблица 1 – Таблица оценок рисков допустимых и недопустимых
|
Вероятность возникновения |
Тяжесть последствия | |||
| минимальная | средняя | высокая | критическая | |
| нереализуемая | допустимая | допустимая | допустимая | допустимая |
| низкая | допустимая | допустимая | допустимая | недопустима |
| средняя | допустимая | допустимая | недопустима | недопустима |
| высокая | допустимая | недопустима | недопустима | недопустима |
| критическая | недопустима | недопустима | недопустима | недопустима |
В случае оценки риска как — «недопустимый» владельцу процесса следует разработать и реализовать мероприятия по минимизации либо вероятности, либо тяжести последствия.
Свяжитесь с нами любым удобным для Вас способом для получения ответа на интересующий вопрос.