Онлайн-курс «Розробка, впровадження та підтримка функціонування системи

менеджменту якості лабораторій відповідно до вимог стандарту ДСТУ EN ISO 15189:2015

Медичні лабораторії. Вимоги до якості та компетентності»
Вступ
Ризик-менеджмент застосовується до всіх видів діяльності, пов'язаних з
організацією, і включає взаємодію з зацікавленими сторонами.
Ризик-менеджмент розглядає фактори зовнішнього і внутрішнього середовища
(контексту) організації, включно з поведінковими та культурними чинниками.
Ризик-менеджмент заснований на принципах, структурі і процесі.
Ці компоненти в деякому вигляді (повністю або частково) можуть вже існувати
в організації, однак, можливо, їх необхідно адаптувати або поліпшити, щоб
ризик-менеджмент був ефективним, результативним і послідовним.
1. Галузь застосування

Цей документ надає рекомендації з управління ризиками, з якими стикаються

організації. Порядок застосування рекомендацій може бути адаптований для будь-
якої організації і її контексту. Стандарт містить загальний підхід до управління
будь-якими ризиками і не є вузькоспеціальним або галузевим. Цей стандарт
може застосовуватися протягом усього життєвого циклу організації і для будь-якої
діяльності, включно з прийняттям рішень на всіх рівнях.
2. Нормативні посилання
Цей документ не містить нормативних посилань.
3. Терміни та визначення
3.1 Ризик (англ. risk) — вплив невизначеності на цілі.
Примітка 1: Вплив — це відхилення від того, що очікується. Воно може бути
позитивним і/або негативним, і може сприяти реалізації можливостей та усунення
загроз, або наслідків які є результатом виникнення можливостей і загроз.
Примітка 2: Цілі можуть мати різні аспекти і категорії і можуть застосовуватися на
різних рівнях.
Примітка 3: Ризик зазвичай визначається в термінах джерел ризику (3.4)
потенційних подій (3.5) наслідків цих подій (3.6) та їх ймовірності (3.7).
3. Терміни та визначення
3.2 Менеджмент ризику, ризик-менеджмент (англ. risk-management) —
скоординовані дії з управління організацією з урахуванням ризику (3.1)
3.3 Зацікавлена сторона (англ. stakeholder) — особа або організація, які
можуть впливати, або піддаватися впливу, або які вважають, що піддаються
впливу будь- якого рішення або діяльності організації.
Примітка: Термін «стейкхолдер» може використовуватися як синонім терміну
«зацікавлена сторона».
3.4 Джерело ризику (англ. risk source) — елемент, який окремо або в
поєднанні з іншими може призводити до виникнення ризику (3.1).
3. Терміни та визначення
3.5 Подія (англ. event) — виникнення або зміна ряду певних обставин.
Примітка 1: Подія може мати одне або кілька походжень і може мати кілька
причин і кілька наслідків (3.6).
Примітка 2: Подія також може полягати в тому, що не відбувається щось очікуване
або відбувається щось непередбачене.
Примітка 3: Подія може бути джерелом ризику (3.4).
3.6 Наслідок (англ. consequence) — результат події (3.5), що впливає на цілі.
Примітка 1: Наслідок може бути певним або невизначеним і мати позитивний або
негативний вплив на цілі.
Примітка 2: Наслідки можуть бути виражені якісно або кількісно.
Примітка 3: Будь-які наслідки можуть загострюватися в силу ефекту каскаду і
кумулятивних ефектів.
3. Терміни та визначення
3.7 Ймовірність, можливість (англ. likelihood) — шанс того, що щось може
статися.
Примітка 1: У термінології ризик-менеджменту (3.2) термін «ймовірність» або
«можливість» означає шанс того, що щось може статися, незалежно від того, чи
встановлено це, виміряно або визначено об'єктивно або суб'єктивно, якісно або
кількісно, і описується чи за допомогою загальних понять або математично
(наприклад, як ймовірність або частота за даний період часу).
Примітка 2: Англійський термін «likelihood» не має прямого перекладу на деякі
мови: замість цього часто використовується переклад слова «probability». Проте в
англійській мові термін «probability» часто розуміють у вузькому математичному
сенсі. Тому в термінології ризик-менеджменту термін «likelihood»
використовується з тією метою, щоб надати йому настільки ж широкий сенс, який
має слово «probability» у багатьох мовах, крім англійської.
3. Терміни та визначення

3.8 Контроль ризику (англ. control) — міра, яка підтримує і/або модифікує
(змінює) ризик (3.1).
Примітка 1: Контроль ризику може включати будь-який процес, політику,
методику, практику або інші умови та/або дії, що стримують і/або модифікують
(змінюють) ризик (але не обмежується перерахованим).
Примітка 2: Контроль ризику може не завжди приводити до бажаного або
очікуваного ефекту.
 4. Принципи
Метою ризик-менеджменту є створення і
захист вартості.
Ризик-менеджмент продуктивний, стимулює Створення і
інновації і сприяє досягненню цілей. захист
Принципи, представлені на малюнку, вартості
встановлюють характеристики ефективного і
результативного ризик-менеджменту,
відображають його цінність і пояснюючи його
призначення і цілі.
Ці принципи є основою ризик-менеджменту і
повинні враховуватися при створенні структури
і процесів ризик-менеджменту організації. Ці
принципи повинні дозволити організації
управляти впливом невизначеності на її цілі.
4. Принципи
Результативний ризик-менеджмент має відповідати стандартам, представленим на
попередньому малюнку, які можуть бути додатково пояснені таким чином:
• Інтегрований. Ризик-менеджмент є невіддільною частиною діяльності організації.
• Структурований і всеосяжний. Структурований і комплексний підхід до ризик-
менеджменту призводить до узгодження і порівняння результатів.
• Адаптованість. Структура і процес ризик-менеджменту співвідносяться і налаштовуються
з урахуванням зовнішнього і внутрішнього контексту організації, пов'язаного з її
завданнями.
• Інклюзивний. Відповідне і своєчасне залучення зацікавлених сторін дозволяє
враховувати їх знання, погляди і думки. Це призводить до підвищення обізнаності та
обґрунтованості ризик-менеджменту.
• Динамічний. Ризики можуть виникати, змінюватися або зникати в міру зміни
зовнішнього і внутрішнього контексту організації. Ризик-менеджмент передбачає, виявляє,
визнає і реагує на ці зміни і події відповідним чином і вчасно.
4. Принципи
• Заснований на найкращій доступній інформації. Як вихідні даних для
процесу ризик-менеджменту застосовуються історичні та фактичні дані, а також
прогнозні очікування. Ризик-менеджмент явно враховує будь-які обмеження і
невизначеності, пов'язані з наявними даними та очікуваннями.
Використовувана інформація повинна бути актуальною, ясною і доступною для
зацікавлених сторін.
• Враховує людські та культурні чинники. Людська поведінка і культура
суттєво впливають на всі аспекти ризик-менеджменту на кожному рівні і етапі.
• Постійно покращуваний. Ризик-менеджмент постійно вдосконалюється
завдяки навчанню та накопиченню досвіду.
5. Структура
5.1 Загальні положення.
Метою структури ризик-менеджменту є надання сприяння організації у
впровадженні ризик-менеджменту в усі сфери її діяльності і функції. Ефективність
ризик-менеджменту буде залежати від його інтеграції в систему управління
організацією, включаючи процес прийняття рішень. Це вимагає підтримки з боку
зацікавлених сторін, особливо вищого керівництва.
Розробка структури включає в себе впровадження (інтеграцію), розробку,
реалізацію, оцінку і поліпшення ризик- менеджменту в організації.
5. Структура
5.2 Лідерство і відповідальність.
Вищому керівництву і наглядовим органам (у застосовних випадках) слід
забезпечувати інтеграцію ріскменеджмента в усі види діяльності організації і
демонструвати лідерство і відповідальність шляхом:
- адаптації і впровадження всіх компонентів структури;
- затвердження положення або політики, які визначають підхід, план або
порядок дій в частині ріскменеджмента;
- забезпечення виділення необхідних ресурсів для ризик-менеджменту;
- встановлення повноважень, відповідальності і підзвітності на відповідних
рівнях організації.
5. Структура
Це допоможе організації:
- узгодити ризик-менеджмент з цілями, стратегією та культурою організації;
- визнавати і виконувати всі свої зобов'язання, в тому числі добровільні;
- встановити величину і тип ризиків, які організація може або не може прийняти, для
забезпечення розробки критеріїв ризику, за умови, що відповідна інформація доведена до
відома зацікавлених сторін і всередині організації;
- доводити до відома зацікавлених сторін інформацію про цінності ризик-менеджменту;
- стимулювати систематичний моніторинг ризиків;
- забезпечити відповідність структури ризик-менеджменту контексту організації. Вище
керівництво відповідає за управління ризиками, в той час як наглядові органи відповідають за
контроль над ризик-менеджментом. Від наглядових органів очікується і вимагається:
- забезпечити адекватне врахування ризиків при визначенні цілей організації;
5. Структура
Це допоможе організації:
- розуміти ризики, з якими організація зіштовшується при досягненні своїх цілей;
- забезпечити впровадження і ефективне функціонування систем управління такими
ризиками;
- забезпечити відповідності таких ризиків цілям організації;
- Забезпечити належний обмін інформацією про такі ризики і їх управління.
5. Структура
5.3 Інтеграція
Інтеграція ризик-менеджменту заснована на розумінні організаційних структур і контексту.
Структури розрізняються залежно від мети, завдань і складності організації. Управління
ризиками здійснюється в кожній частині структури організації. Кожна людина в організації
несе відповідальність за управління ризиками.
Принципи корпоративного управління спрямовують діяльність організації, її зовнішні і
внутрішні відносини, а також визначають правила, процеси і процедури, необхідні для
досягнення мети організації. Структури управління перетворять принципи корпоративного
управління в стратегію і пов'язані з нею мети, необхідні для досягнення бажаних
показників стійкості і довгострокової життєздатності. Визначення ролей, які забезпечують
підзвітність і контроль всередині організації, є невід'ємною частиною корпоративного
управління.
5. Структура
Інтеграція ризик-менеджменту в організацію це динамічний і ітеративний процес, який
має враховувати потреби і культуру організації. Ризик-менеджмент повинен бути
невіддільною частиною цілей організації, корпоративного управління, лідерства та
відповідальності, стратегії, завдань і діяльності організації і не повинен відокремлюватися
від них.
5.4 Розробка
5.4.1 Розуміння організації та її контексту
При розробці структури ризик-менеджменту організації варто вивчити і зрозуміти її
зовнішній і внутрішній контекст.
5. Структура
У процесі вивчення зовнішнього контексту організації розглядаються, у тому числі, такі
фактори:
- соціальні, культурні, політичні, правові, регулюючі, фінансові, технологічні, економічні
та екологічні фактори на міжнародному, національному, регіональному або місцевому
рівнях;
- основні рушійні сили і тренди, що впливають на цілі організації;
- взаємозв'язку із зовнішніми зацікавленими сторонами, їх сприйняття, цінності, потреби
і очікування;
- контрактні відносини і зобов'язання;
- складність ланцюжків зв'язків і залежностей.
5. Структура
У процесі вивчення внутрішнього контексту організації розглядаються, в тому числі, такі фактори:
- бачення, місія та цінності організації;
- управління, організаційна структура, ролі і обов'язки;
- стратегія, цілі та політики;
- культура організації;
- стандарти, керівництва і моделі, прийняті організацією;
- потенційні можливості, що розуміються як ресурси і знання (наприклад, капітал, час, люди,
інтелектуальна власність, процеси, системи та технології);
- дані, інформаційні системи та інформаційні потоки;
- взаємозв'язку з внутрішніми зацікавленими сторонами з урахуванням їх сприйняття і цінностей;
- контрактні відносини і зобов'язання;
- взаємозалежності і взаємозв'язку.
5. Структура
5.4.2 Демонстрація прихильності управлінню ризиками
Вищому керівництву і наглядовим органам (в застосовних випадках) слід
демонструвати постійну прихильність управління ризиками. Це може бути
реалізовано за допомогою політики, програмної заяви або іншим способом, який
чітко відображає цілі і прихильність організації ризик-менеджменту.
5. Структура
Прихильність ризик-менеджменту повинна включати, але може не обмежуватися наступним:
- націленість організації на управління ризиками і зв'язку з її цілями і іншими політиками;
- зміцнення потреби в інтеграції ризик-менеджменту в загальну культуру організації;
- проведення процедур інтеграції ризик-менеджменту в основні види діяльності і процеси
прийняття рішень;
- визначення повноважень, відповідальності і підзвітності;
- забезпечення доступу до необхідних ресурсів;
- способи вирішення конфліктних завдань;
- вимірювання показників ефективності організації та звітність по ним;
- перегляд і поліпшення.
Прихильність ризик-менеджменту слід належним чином поширювати всередині організації і
доводити до відома зацікавлених сторін.
5. Структура
5.4.3 Визначення організаційних функцій, повноважень,
відповідальності і підзвітності
Вищому керівництву і наглядовим органам (у застосовних випадках) слід
забезпечувати, щоб повноваження, відповідальність і підзвітність для
відповідних ролей щодо управління ризиками визначалися і доводилися до
відома відповідних осіб на всіх рівнях організації, а також необхідно:
- акцентувати увагу на тому, що ризик-менеджмент є основним обов'язком;
- визначити осіб, підзвітних та тих, що мають повноваження по управлінню
ризиками (власники ризиків).
5. Структура
5.4.4 Розподіл ресурсів
Вищому керівництву і наглядовим органам (у застосовних випадках) слід
розподіляти відповідні ресурси для управління ризиками, які можуть включати,
але не обмежуються наступним:
- люди, навички, досвід і компетентність;
- процеси, методи і інструменти організації, використовувані для ризик-
менеджменту;
- документовані процеси і процедури;
- системи управління інформацією і знаннями;
- професійний розвиток та навчання.
Організації слід враховувати можливості і обмеження існуючих ресурсів.
5. Структура
5.4.5 Встановлення механізмів обміну інформацією та консультування
Організація повинна встановити узгоджений підхід до обміну інформацією та
консультування для підтримки структури і сприяння ефективному застосуванню
ризик-менеджменту. Комунікація передбачає обмін інформацією з цільовою
аудиторією. Консультування також має на увазі отримання зворотного зв'язку від
учасників цього процесу з метою її врахування при прийнятті рішень і здійсненні
інших видів діяльності. Методи обміну інформацією та консультування, а також їх
вміст повинні, коли це доречно відображати очікування зацікавлених сторін.
Обмін інформацією та консультування повинні бути своєчасними і
забезпечувати, щоб відповідна інформація була зібрана, порівняна, узагальнена і
розподілена відповідним чином, а також, щоб була надана зворотна зв'язок і
проведені поліпшення.
5. Структура
5.5 Реалізація
Організація повинна реалізувати структуру ризик-менеджменту за допомогою:
- розробки відповідного плану з визначенням термінів і ресурсів;
- визначення того, де, коли, як і ким приймаються різні типи рішень в
організації;
- модифікації (зміни) можна застосувати процесів прийняття рішень (при
необхідності);
- забезпечення розуміння і правильного застосування механізмів управління
ризиками організації.
5. Структура
Успішне впровадження структури вимагає участі і поінформованості
зацікавлених сторін. Це дозволяє організаціям прямо враховувати
невизначеність при прийнятті рішень, а також забезпечувати, щоб будь-яка нова
або подальша невизначеність була прийнята до уваги в міру виникнення.
Належним чином спроектована структура ризик-менеджменту забезпечує його
впровадження в усі види діяльності організації, включаючи процес прийняття
рішень, а також належний облік змін у зовнішньому і внутрішньому контексті.
5. Структура
5.6 Оцінка
З метою оцінки ефективності структури ризик-менеджменту, організації слід:
- проводити періодичну оцінку ефективності структури ризик-менеджменту з
точки зору її мети, планів реалізації, показників і передбачуваного поведінки;
- визначати, як і раніше вона сприяє досягненню цілей організації.
5.7 Поліпшення
5.7.1 Адаптація
Організація повинна забезпечувати постійний моніторинг і адаптацію структури
ризик-менеджменту для реагування на зовнішні і внутрішні зміни.
Діючи таким чином, організація може поліпшити показники своєї вартості.
6. Процес
6.1. Загальні положення
Процес ризик-менеджменту передбачає систематичне застосування політик,
процедур і практик для забезпечення обміну інформацією та консультування,
визначення контексту, а також оцінки ризиків, впливу на ризики, моніторингу,
аналізу та документування ризиків, а також ведення звітності по ризиках.
6. Процес
Процес ризик-менеджменту повинен бути невіддільною частиною процесів
управління і прийняття рішень і повинен бути інтегрований в структуру,
діяльність та процеси організації. Він може застосовуватися на стратегічному,
операційному, програмному або проектному рівнях.
У рамках організації процес ризик-менеджменту може мати безліч варіантів
застосування, адаптованих з урахуванням необхідності досягнення цілей
організації, а також зовнішнього і внутрішнього контексту.
Протягом всього процесу ризик-менеджменту слід враховувати динамічний і
мінливий характер поведінки і культури людини.
Хоча процес управління ризиками найчастіше представляють послідовним, в
дійсності він є ітеративним.
6. Процес
6.2 Обмін інформацією та консультування
Метою обміну інформацією та консультування є надання зацікавленим сторонам
сприяння в розумінні ризику, передумов, на підставі яких приймаються рішення,
і причин, за якими потрібні певні дії. Обмін інформацією спрямований на
підвищення обізнаності та забезпечення розуміння ризику, тоді як
консультування включає отримання зворотного зв'язку і інформації для
обгрунтування прийнятих рішень. Тісна взаємодія цих двох процесів має сприяти
фактичному, своєчасному, актуальному, точному і зрозумілому обміну
інформацією з урахуванням конфіденційності і цілісності інформації, а також
прав приватних осіб на недоторканність особистого життя.
6. Процес
Обмін інформацією та консультування з відповідними зовнішніми і внутрішніми
зацікавленими сторонами повинні проводитися на всіх етапах процесу ризик-
менеджменту.
Обмін інформацією та консультування проводяться з метою:
- відомості різних областей експертних знань воєдино для кожного етапу
процесу ризик-менеджменту;
- забезпечення належного обліку різних поглядів при визначенні критеріїв
ризику та оцінки ризиків;
- у відповідних інформаційних заходах полегшення контролю за ризиками і
прийняття рішень;
- створення почуття залученості та причетності серед осіб, які зазнали впливу
ризику.
6. Процес
6.3 Область застосування, контекст і критерії
6.3.1 Загальні положення
Метою визначення області застосування, контексту і критеріїв є налагодження
процесу управління ризиками для забезпечення ефективної оцінки ризику і
відповідного впливу на нього. Область застосування, контекст і критерії мають на
увазі визначення сфери охоплення процесу і розуміння зовнішнього і
внутрішнього контексту.
6. Процес
6.3.2 Визначення області застосування
Організація повинна визначити сферу застосування своєї діяльності з ризик-
менеджменту.
Оскільки процес ризик-менеджменту може застосовуватися на різних рівнях
(наприклад, стратегічне, операційному, програмному, проєктному тощо).
6. Процес
При плануванні підходу необхідно врахувати:
- цілі і рішення, які необхідно прийняти;
- очікувані результати від кроків, що вживаються в рамках цього процесу;
- час, місце розташування, певні припущення і виключення;
- відповідні інструменти і методи оцінки ризиків;
- необхідні ресурси, зони відповідальності та документацію (звітність);
- взаємний вплив з іншими проектами, процесами і діями.
6. Процес
6.3.3 Зовнішній і внутрішній контекст
Зовнішній і внутрішній контекст — це середовище, в якому організація визначає
свої цілі і прагне їх досягти.
Контекст процесу управління ризиками повинен визначатися з розуміння
зовнішньої і внутрішньої середовища, в якій працює організація, і повинен
відображати певне середовище діяльності, до якої застосовується процес
управління ризиками.
6. Процес
Розуміння контексту важливо, оскільки:
- управління ризиками відбувається з урахуванням цілей і діяльності організації;
- організаційні чинники можуть бути джерелами ризику;
- мета і сфера застосування процесу управління ризиками можуть бути
взаємопов'язані з цілями організації в цілому.
Організації слід встановлювати зовнішній і внутрішній контекст процесу
управління ризиками шляхом розгляду чинників, згаданих в п. 5.4.1.
6. Процес
6.3.4 Визначення критеріїв ризику
Організації слід уточнити величину і тип ризику, який вона може або не може
прийняти з урахуванням поставлених цілей. Також їй слід визначити критерії
оцінки значущості ризику і обгрунтувати процес прийняття рішень. Критерії
ризику повинні бути узгоджені зі структурою ризик-менеджменту і адаптовані
під певні цілі і сферу охоплення даної діяльності.
Критерії ризику повинні відображати цінності організації, її цілі і ресурси і
відповідати політиці управління ризиками організації та її положенням про
ризик-менеджменті. Критерії повинні визначатися з урахуванням зобов'язань
організації і думок зацікавлених сторін.
6. Процес
Хоча критерії ризику слід встановлювати на початку процесу оцінки ризику, вони є
динамічними і повинні постійно переглядатися, і, в разі необхідності, коригуватися.
Щоб встановити критерії ризику, слід враховувати наступне:
- характер і тип невизначеностей, які можуть вплинути на результати і цілі (як матеріальні,
так і нематеріальні);
- спосіб визначення та вимірювання наслідків (як позитивних, так і негативних) і
ймовірності;
- фактори, пов'язані з часом;
- узгодженість у використанні вимірювань;
- порядок визначення рівня ризику;
- метод обліку комбінацій і послідовностей множинних ризиків;
- потенціал організації.
6. Процес
6.4 Оцінка ризику
6.4.1 Загальні положення
Оцінка ризику — це комплексний процес ідентифікації, аналізу та оцінювання
ризику. Оцінку ризику слід проводити систематично, итеративно і спільно,
спираючись на знання і думки зацікавлених сторін. При оцінці необхідно
використовувати найкращу доступну інформацію, доповнюючи її при
необхідності даними додаткових досліджень.
6. Процес
6.4.2 Ідентифікація ризику
Мета ідентифікації ризиків полягає в пошуку, визначенні та описі ризиків, які можуть допомогти або
перешкодити організації в досягненні її цілей. Для ідентифікації ризиків важливо використовувати належну,
відповідну й актуальну інформацію.
Організація може використовувати ряд методів для ідентифікації невизначеностей, які можуть вплинути на
досягнення їй одній або декількох цілей. При цьому слід враховувати такі фактори і взаємозв'язок між ними:
- матеріальні та нематеріальні джерела ризику;
- причини і події;
- загрози і можливості;
- уразливості і здібності; - зміни зовнішнього і внутрішнього контексту;
- індикатори виникаючих ризиків; - характер і вартість активів і ресурсів;
- наслідки і їх вплив на цілі; - обмеженість знань і достовірності інформації;
- фактори, пов'язані з часом;
- упередження, допущення і переконання залучених осіб.
6. Процес
6.4.3 Аналіз ризику
Мета аналізу ризиків полягає в тому, щоб зрозуміти характер ризику і його
особливості, включаючи, коли це необхідно, рівень ризику. Аналіз ризиків
включає детальний розгляд невизначеностей, джерел ризику, наслідків,
ймовірно, подій, сценаріїв, засобів контролю і їх ефективності. Подія може мати
різні причини і наслідки і може впливати на різні цілі.
Аналіз ризику може проводитися з різним ступенем деталізації та складності, в
залежності від мети аналізу, доступності та достовірності інформації і наявних
ресурсів. Методи аналізу можуть бути якісними, кількісними або їх комбінаціями,
в залежності від конкретних обставин і передбачуваного використання
результатів.
6. Процес
Аналіз ризику слід проводити з урахуванням таких факторів, як:
- ймовірність подій і наслідків;
- характер і масштаби наслідків;
- складність і зв'язність компонентів;
- фактори, пов'язані з часом, і волатильність;
- ефективність існуючих засобів контролю;
- чутливість і достовірність.
6. Процес
На аналіз ризиків може впливати будь-яка розбіжність думок, упередженість,
сприйняття ризику і судження. Додаткове вплив надають якість використовуваної
інформації, допущення і виключення, будь-які обмеження методів і способів їх
реалізації. Ці фактори необхідно вивчати, документувати і повідомляти особам,
відповідальним за прийняття рішень.
Визначення кількісної оцінки подій з високою невизначеністю може бути
складним, що може бути проблемою при аналізі подій з серйозними наслідками.
У таких випадках використання комбінації методів зазвичай забезпечує більш
глибоке розуміння.
Аналіз ризику забезпечує внесок у загальний процес оцінки ризику і прийняття
рішень щодо того, чи слід впливати на ризик і як, а також яка стратегія і методи
реагування на ризик будуть найбільш підходящими. Результати аналізу
дозволяють розуміти рішення, які передбачають вибір, а можливі варіанти
включають різні типи і рівні ризику.
6. Процес
6.4.4 Оцінювання ризику
Метою оцінювання ризику є сприяння прийняттю рішень. Оцінювання ризику
включає порівняння результатів аналізу ризику до встановлених критеріїв ризику
для визначення необхідності додаткових дій.
Цей процес може привести до вирішення:
- більш нічого не робити;
- розглянути можливі варіанти впливу на ризик;
- провести подальший аналіз, щоб краще зрозуміти ризик;
- підтримувати існуючі засоби контролю;
- переглянути цілі.
6. Процес
Рішення повинні враховувати більш широкий контекст і об'єктивні і суб'єктивні
наслідки для зовнішніх і внутрішніх зацікавлених сторін.
Результати оцінки ризику повинні бути задокументовані, донесені до
зацікавлених сторін, а потім перевірені на відповідних рівнях організації.
6. Процес
Рішення повинні враховувати більш широкий контекст і об'єктивні і суб'єктивні
наслідки для зовнішніх і внутрішніх зацікавлених сторін.
Результати оцінки ризику повинні бути задокументовані, донесені до
зацікавлених сторін, а потім перевірені на відповідних рівнях організації.
6. Процес
6.5 Вплив на ризик
6.5.1 Загальні положення
Мета впливу на ризик полягає у виборі і застосуванні варіантів реагування на
ризик. Вплив на ризик являє собою ітеративний процес, що включає:
- визначення і вибір варіантів впливу на ризик;
- планування і виконання впливу на ризик;
- оцінка ефективності такого впливу;
- прийняття рішення про прийнятність залишкового ризику;
- у разі, якщо рівень залишкового ризику не прийнятний, проведення
подальшого впливу.
6. Процес
6.5.2 Вибір варіантів впливу на ризик
Вибір найбільш відповідного варіанту або варіантів впливу на ризик передбачає зіставлення вигод, очікуваних
від досягнення цілей впливу на ризик, з витратами, зусиллями і недоліками реалізації в ході впливу.
Варіанти впливу на ризик не обов'язково є взаємовиключними або відповідними при будь-яких обставин.
Вплив на ризик може здійснюватися одним або декількома з наступних варіантів:
- уникання ризику за допомогою прийняття рішення не починати або не продовжувати діяльність, яка
породжує ризик;
- прийняття або збільшення ризику для використання сприятливої можливості;
- усунення джерела ризику;
- зміна ймовірності;
- зміна наслідків;
- поділ ризику з іншою стороною або сторонами (наприклад, за допомогою договорів, страхування);
- усвідомлене утримання ризику.
6. Процес
Огрунтування необхідності впливу на ризик виходить за рамки виключно
економічних міркувань і має враховувати всі зобов'язання організації,
добровільні зобов'язання і думки зацікавлених сторін. Вибір варіантів
впливу на ризик повинен проводитися відповідно до цілей організації,
критеріями ризику і доступними ресурсами.
6. Процес
При виборі варіантів впливу на ризик організація повинна враховувати цінності,
сприйняття і потенційне залучення зацікавлених сторін, а також найбільш
підходящі способи обміну інформацією і консультування з ними. Деякі варіанти
впливу на ризик можуть бути більш прийнятними з точки зору окремих
зацікавлених сторін, ніж інші, які є настільки ж ефективними.
Вплив на ризик, навіть ретельно опрацьований і здійснений, може не дати
очікуваних результатів і може привести до непередбачених наслідків.
Моніторинг та перегляд повинні бути невід'ємною частиною реалізації впливу на
ризик для забезпечення гарантії, що різні форми впливу стануть і будуть
залишатися ефективними.
6. Процес
Вплив на ризик також може привести до виникнення нових ризиків, якими
необхідно буде управляти.
Якщо немає доступних варіантів впливу на ризик або якщо варіанти впливу
недостатньо модифікують (змінюють) ризик, такий ризик слід документувати та
тримати під постійним контролем.
Особи, які приймають рішення, та інші зацікавлені сторони повинні бути
інформовані про характер і ступеня залишкового ризику після здійснення впливу.
Залишковий ризик повинен бути документований і підданий моніторингу, огляду
і, при необхідності, подальшого впливу.
6. Процес
6.5.3 Підготовка і реалізація планів впливу на ризик
Мета планів впливу на ризик полягає в тому, щоб визначити порядок реалізації
обраних варіантів впливу, так, щоб заходи були зрозумілі учасниками цього
процесу і була можливість контролювати прогрес по виконанню плану.
План впливу повинен чітко визначати порядок, відповідно до якого слід
здійснювати вплив на ризик. Плани впливу слід інтегрувати в управлінські плани
і процеси організації з урахуванням консультування з відповідними
зацікавленими сторонами.
6. Процес
Інформація, що міститься в плані впливу, повинна включати:
- обґрунтування вибору варіантів впливу, включаючи вказівку очікуваних вигод;
- вказівка підзвітних і відповідальних за затвердження Кабміном і реалізацію
плану осіб;
- пропоновані дії;
- необхідні ресурси, включаючи непередбачені витрати;
- показники ефективності;
- обмеження;
- вимоги до звітності та моніторингу;
- терміни реалізації і виконання дій.
6. Процес
6.6 Моніторинг та перегляд
Мета моніторингу та перегляду полягає в забезпеченні та підвищенні якості та
ефективності розробки, реалізації та результатів процесу. Постійний моніторинг і
періодичний перегляд процесу управління ризиками та його результатів повинні
бути запланованою частиною процесу управління ризиками, щодо якої
встановлена чітко визначена відповідальність.
Моніторинг та перегляд повинні проводитися на всіх етапах процесу. Моніторинг
та перегляд включають в себе планування, збір і аналіз інформації,
документування результатів і надання зворотного зв'язку.
Результати моніторингу та перегляд повинні бути частиною діяльності по
загальному управлінню організацією, оцінці ефективності, а також складання
звітності.
6. Процес
6.7 Документування та звітність
Процес ризик-менеджменту і його результати слід документувати та відображати
в звітності за допомогою відповідних механізмів. Документування та звітність
спрямовані на:
- обмін інформацією про заходи і результати ризик-менеджменту в організації;
- надання інформації для прийняття рішень;
- вдосконалення діяльності з ризик-менеджменту;
- сприяння взаємодії із зацікавленими сторонами, в тому числі відповідальними
і підзвітними за діяльність ризик- менеджменту.
6. Процес
Рішення, що стосуються створення, зберігання і обробки документованої інформації,
повинні враховувати, крім іншого, їх використання, конфіденційність інформації,
зовнішній і внутрішній контекст.
Звітність є невід'ємною частиною управління організацією і повинна підвищувати
якість діалогу з зацікавленими сторонами і сприяти вищому керівництву і
наглядовим органам у виконанні ними своїх обов'язків. Фактори, які слід враховувати
для звітності, включають, але не обмежуються наступними:
- відмінності зацікавлених сторін, їх специфічних потреб в інформації та вимог до
неї;
- вартість, періодичність і своєчасність звітності;
- метод звітності;
- відповідність інформації цілям організації і її релевантність для прийняття рішень.