
- •Пермский национальный исследовательский политехнический университет
- •Новые требования ISO9001:2008
- •Взаимосвязь международных стандартов
- •Этапы внедрения системы управления рисками согласно ISO 31000
- •Методологии оценки рисков
- •Понятие оценки рисков. Двухфакторные и трехфакторные модели оценки
- •Основные термины
- •Механизм воздействия риска на бизнес-процессы
- •Определение ценности ресурсов
- •Описание бизнес-процессов
- •Классификация ресурсов предприятия
- •Методы оценки стоимости активов
- •EVA и RAVE
- •Источники данных для оценки стоимости ресурсов
- •Оценка угроз и уязвимостей
- •Шкаларанжированияугроз
- •Шкала ранжирования уязвимостей
- •Шкала ранжирования воздействий (ущерба)
- •Расчет риска
- •Матрица оценкириска
- •Методыуправления рисками
- •Матрица допустимости риска
- •Методыуправления рисками
- •ПРИМЕР ОЦЕНКИ РИСКОВ ДЛЯ ПРОЦЕССА РИФОРМИНГА
- •Функциональная модель
- •Переченьугроз
- •Установление взаимосвязей между угрозами и уязвимостями
- •Матрица – критерий приемлемости риска
- •Отчет - Уровнириска
- •Отчет об управлении рисками
- •Сравнительный анализ существующего и предлагаемого подходов к управлению рисками
- •Сравнительный анализ существующего и предлагаемого подходов к управлению рисками
- •Сравнительный анализ существующего и предлагаемого подходов к управлению рисками
- •Преимущества широкого внедрения системы управления рисками в рамках ИСМ
- •Преимущества широкого внедрения системы управления рисками в рамках ИСМ
- •Пермский национальный исследовательский политехнический университет

Пермский национальный исследовательский политехнический университет
LOGO
Управление рисками |
в рамках функционирования |
интегрированных систем |
менеджмента |
Профессор кафедры ИТМ ПНИПУ, д.т.н. |
Карманов Вадим Владимирович |


Новые требования ISO
9001:2008

Пункт 1. Общие положения
«Форма и реализация системы менеджмента качества организации определяются
макроструктурой её бизнеса и изменениями этой макроструктуры, связанными с этим рисками, изменяющимися требованиями, особыми целями организации, поставляемой её продукцией, применяемыми её процессами, её размерами и структурой»

Взаимосвязь международных
стандартов 

ISO 31000 Управление рисками
ISO 9001:2008
Системы менеджмента качества

Этапы внедрения системы управления рисками согласно ISO 31000 

|
|
Управление рисками |
|
|
|
||
Определение |
|
Оценка рисков |
|
|
|
||
границ |
|
|
|
|
|
|
|
применения |
|
Анализ рисков |
|
|
|
||
системы |
|
|
|
|
|||
Разработка |
Разработка |
Определение |
Оценка угроз |
|
Выбор |
|
|
политики |
методологии |
Расчет |
метода |
Принятие |
|||
ценности |
и |
||||||
управления |
систематической |
риска |
управления |
риска |
|||
ресурсов |
уязвимостей |
||||||
рисками |
оценки рисков |
|
рисками |
|
|||
|
|
|
|
||||
Политика |
Процедуры |
Перечень |
Таблица |
|
Отчет об |
|
|
управления |
оценки рисков |
ресурсов |
анализа |
|
оценке |
|
|
рисками |
|
|
рисков |
|
рисков |
|





Методологии оценки рисков


|
|
Управление рисками |
|
|
|
||
Определение |
|
Оценка рисков |
|
|
|
||
границ |
|
|
|
|
|
|
|
применения |
|
Анализ рисков |
|
|
|
||
системы |
|
|
|
|
|||
Разработка |
Разработка |
Определение |
Оценка угроз |
|
Выбор |
|
|
политики |
методологии |
Расчет |
метода |
Принятие |
|||
ценности |
и |
||||||
управления |
систематической |
риска |
управления |
риска |
|||
ресурсов |
уязвимостей |
||||||
рисками |
оценки рисков |
|
рисками |
|
|||
|
|
|
|
||||
Политика |
Процедуры |
Перечень |
Таблица |
|
Отчет об |
|
|
управления |
оценки рисков |
ресурсов |
анализа |
|
оценке |
|
|
рисками |
|
|
рисков |
|
рисков |
|

Понятие оценки рисков. Двухфакторные и трехфакторные модели оценки
Оценка риска – это количественное описание выявленных рисков, в ходе которого определяются такие их характеристики, как вероятность и размер возможного ущерба.
Оценка риска – это изучение уязвимостей, угроз, вероятности, возможных потерь и теоретической эффективности контрмер.
РИСК = Вероятность * Ущерб РИСК = Угроза * Уязвимость * Ущерб
R – Risk (Риск)
AV – Asset Value (Ценность Актива)
V – Vulnerability (Уязвимость)
R = f (AV,V,T,P,I) T – Threat (Угроза)
P – Probability (Вероятность)
I – Impact (Воздействие, ущерб)







Основные термины

Риск (Risk) - вероятность возникновения события с учетом его влияния на бизнес-процессы компании [ISO/IEC Guide 73:2002].
Ресурс (актив – Asset) – все, что представляет ценность для компании [ISO/IEC 13335-1:2004].
Угроза (Threat) – потенциальная причина нежелательного инцидента, которая может причинить вред системе или компании [ISO/IEC 13335-1:2004].
Уязвимость (Vulnerability) – отрицательная характеристика ресурса или группы ресурсов, с помощью которой может быть реализована одна или несколько угроз [ISO/IEC 13335-1:2004].
Воздействие (Impact) – последствия произошедшего негативного события, оказывающие влияние на достижение целей компании [ISO/IEC CD Guide 73].

Механизм воздействия риска 


на бизнес-процессы 

Защитная система бизнес-процессов
Угрозы
Уязвимост |
|
ь |
Карта бизнес-процесса |
|
Произошел
инцидент
Процесс не функционирует
всоответствии
спланом
Есть
финансовые
последствия
* LO = логический оператор


Определение ценности ресурсов

|
|
Управление рисками |
|
|
|
||
Определение |
|
Оценка рисков |
|
|
|
||
границ |
|
|
|
|
|
|
|
применения |
|
Анализ рисков |
|
|
|
||
системы |
|
|
|
|
|||
Разработка |
Разработка |
Определение |
Оценка угроз |
|
Выбор |
|
|
политики |
методологии |
Расчет |
метода |
Принятие |
|||
ценности |
и |
||||||
управления |
систематической |
риска |
управления |
риска |
|||
ресурсов |
уязвимостей |
||||||
рисками |
оценки рисков |
|
рисками |
|
|||
|
|
|
|
||||
Политика |
Процедуры |
Перечень |
Таблица |
|
Отчет об |
|
|
управления |
оценки рисков |
ресурсов |
анализа |
|
оценке |
|
|
рисками |
|
|
рисков |
|
рисков |
|






Описание
бизнес-процессов 

Правила,
нормы
Вход |
Название |
Выход |
|
|
|
Требования |
процесса |
|
Удовлетворенные |
||
потребителей |
|
|
|
||
|
Ресурсы, |
|
|
требования |
|
к результатам |
|
|
|
||
процесса |
|
механизмы |
|
|
потребителей |
|
|
|
|
||
|
|
Результат |
|
|
|
|
|
поддерживающи |
|
|
|
|
|
х процессов |
|
|
|
|
|
|
|
|
|
|
Ресурсы, механизмы |
Правила (нормы, регламенты) |
|||
• |
Персонал |
|
• |
Стандарты |
|
• |
Здания |
|
• |
Законы |
|
• |
Материалы |
|
• |
Руководство |
|
• |
Энергоносители |
|
• |
Процедуры |
|
• |
Инфраструктура |
|
• |
Инструкции |
|
• |
Поставщики |
|
• |
Чек-листы |
|
• |
Партнеры |
|
• |
Планы |
|
• |
Производственная среда |
• |
Чертежи |
||
• |
Программное обеспечение |
• |
Технологические регламенты |
||
|
|
|
|
• |
Критерии |