Пермский национальный исследовательский политехнический университет
LOGO
Управление рисками |
в рамках функционирования |
интегрированных систем |
менеджмента |
Профессор кафедры ИТМ ПНИПУ, д.т.н. |
Карманов Вадим Владимирович |
Новые требования ISO
9001:2008
Пункт 1. Общие положения
«Форма и реализация системы менеджмента качества организации определяются
макроструктурой её бизнеса и изменениями этой макроструктуры, связанными с этим рисками, изменяющимися требованиями, особыми целями организации, поставляемой её продукцией, применяемыми её процессами, её размерами и структурой»
Взаимосвязь международных
стандартов 
ISO 31000 Управление рисками
ISO 9001:2008
Системы менеджмента качества
Этапы внедрения системы управления рисками согласно ISO 31000 
|
|
Управление рисками |
|
|
|
||
Определение |
|
Оценка рисков |
|
|
|
||
границ |
|
|
|
|
|
|
|
применения |
|
Анализ рисков |
|
|
|
||
системы |
|
|
|
|
|||
Разработка |
Разработка |
Определение |
Оценка угроз |
|
Выбор |
|
|
политики |
методологии |
Расчет |
метода |
Принятие |
|||
ценности |
и |
||||||
управления |
систематической |
риска |
управления |
риска |
|||
ресурсов |
уязвимостей |
||||||
рисками |
оценки рисков |
|
рисками |
|
|||
|
|
|
|
||||
Политика |
Процедуры |
Перечень |
Таблица |
|
Отчет об |
|
|
управления |
оценки рисков |
ресурсов |
анализа |
|
оценке |
|
|
рисками |
|
|
рисков |
|
рисков |
|
|
Методологии оценки рисков
|
|
Управление рисками |
|
|
|
||
Определение |
|
Оценка рисков |
|
|
|
||
границ |
|
|
|
|
|
|
|
применения |
|
Анализ рисков |
|
|
|
||
системы |
|
|
|
|
|||
Разработка |
Разработка |
Определение |
Оценка угроз |
|
Выбор |
|
|
политики |
методологии |
Расчет |
метода |
Принятие |
|||
ценности |
и |
||||||
управления |
систематической |
риска |
управления |
риска |
|||
ресурсов |
уязвимостей |
||||||
рисками |
оценки рисков |
|
рисками |
|
|||
|
|
|
|
||||
Политика |
Процедуры |
Перечень |
Таблица |
|
Отчет об |
|
|
управления |
оценки рисков |
ресурсов |
анализа |
|
оценке |
|
|
рисками |
|
|
рисков |
|
рисков |
|
|
Понятие оценки рисков. Двухфакторные и трехфакторные модели оценки
Оценка риска – это количественное описание выявленных рисков, в ходе которого определяются такие их характеристики, как вероятность и размер возможного ущерба.
Оценка риска – это изучение уязвимостей, угроз, вероятности, возможных потерь и теоретической эффективности контрмер.
РИСК = Вероятность * Ущерб РИСК = Угроза * Уязвимость * Ущерб
R – Risk (Риск)
AV – Asset Value (Ценность Актива)
V – Vulnerability (Уязвимость)
R = f (AV,V,T,P,I) T – Threat (Угроза)
P – Probability (Вероятность)
I – Impact (Воздействие, ущерб)
Основные термины
Риск (Risk) - вероятность возникновения события с учетом его влияния на бизнес-процессы компании [ISO/IEC Guide 73:2002].
Ресурс (актив – Asset) – все, что представляет ценность для компании [ISO/IEC 13335-1:2004].
Угроза (Threat) – потенциальная причина нежелательного инцидента, которая может причинить вред системе или компании [ISO/IEC 13335-1:2004].
Уязвимость (Vulnerability) – отрицательная характеристика ресурса или группы ресурсов, с помощью которой может быть реализована одна или несколько угроз [ISO/IEC 13335-1:2004].
Воздействие (Impact) – последствия произошедшего негативного события, оказывающие влияние на достижение целей компании [ISO/IEC CD Guide 73].
Механизм воздействия риска 
на бизнес-процессы 
Защитная система бизнес-процессов
Угрозы
Уязвимост |
|
ь |
Карта бизнес-процесса |
|
Произошел
инцидент
Процесс не функционирует
всоответствии
спланом
Есть
финансовые
последствия
* LO = логический оператор
Определение ценности ресурсов
|
|
Управление рисками |
|
|
|
||
Определение |
|
Оценка рисков |
|
|
|
||
границ |
|
|
|
|
|
|
|
применения |
|
Анализ рисков |
|
|
|
||
системы |
|
|
|
|
|||
Разработка |
Разработка |
Определение |
Оценка угроз |
|
Выбор |
|
|
политики |
методологии |
Расчет |
метода |
Принятие |
|||
ценности |
и |
||||||
управления |
систематической |
риска |
управления |
риска |
|||
ресурсов |
уязвимостей |
||||||
рисками |
оценки рисков |
|
рисками |
|
|||
|
|
|
|
||||
Политика |
Процедуры |
Перечень |
Таблица |
|
Отчет об |
|
|
управления |
оценки рисков |
ресурсов |
анализа |
|
оценке |
|
|
рисками |
|
|
рисков |
|
рисков |
|
|
Описание
бизнес-процессов 
Правила,
нормы
Вход |
Название |
Выход |
|
|
|
Требования |
процесса |
|
Удовлетворенные |
||
потребителей |
|
|
|
||
|
Ресурсы, |
|
|
требования |
|
к результатам |
|
|
|
||
процесса |
|
механизмы |
|
|
потребителей |
|
|
|
|
||
|
|
Результат |
|
|
|
|
|
поддерживающи |
|
|
|
|
|
х процессов |
|
|
|
|
|
|
|
|
|
|
Ресурсы, механизмы |
Правила (нормы, регламенты) |
|||
• |
Персонал |
|
• |
Стандарты |
|
• |
Здания |
|
• |
Законы |
|
• |
Материалы |
|
• |
Руководство |
|
• |
Энергоносители |
|
• |
Процедуры |
|
• |
Инфраструктура |
|
• |
Инструкции |
|
• |
Поставщики |
|
• |
Чек-листы |
|
• |
Партнеры |
|
• |
Планы |
|
• |
Производственная среда |
• |
Чертежи |
||
• |
Программное обеспечение |
• |
Технологические регламенты |
||
|
|
|
|
• |
Критерии |