ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Менеджмент риска

ИДЕНТИФИКАЦИЯ,ОЦЕНКА И ОБРАБОТКА РИСКА ПРОЕКТА НА ПРЕДИНВЕСТИЦИОННОМ, ИНВЕСТИЦИОННОМ И ЭКСПЛУАТАЦИОННОМ ЭТАПАХ

Издание официальное

Москва

Стаидартинформ

2015

Предисловие

1    РАЗРАБОТАНЫ Некоммерческим партнерством «Русское общество управления рисками» (РусРиск)

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК10 «Менеджмент риска»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 октября 2014 г. № 1276-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. 2015

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

P 50.1.094—2014

Содержание

1    Область применения...................................................1

2    Нормативные ссылки...................................................1

3    Термины и определения.................................................2

4    Описание процесса менеджмента риска проекта.................................3

5    Выявление/идентификация рисков..........................................5

6    Анализ рисков.......................................................7

7    Сравнительная оценка рисков проекта.......................................11

8    Методы и подходы к управлению рисками проекта...............................11

9    Цели и задачи менеджмента риска на этапах разработки проекта......................13

Библиография........................................................15

III

Введение

Менеджмент риска является ключевым процессом деятельности организации. Процессы менеджмента риска организации применимы для процесса менеджмента риска проектов. Для получения максимальной выгоды действия в области менеджмента риска должны быть инициированы на ранних стадиях проектирования и продолжены на всех последующих стадиях. Эффективная разработка и внедрение процесса менеджмента риска проекта на прединвестиционной. инвестиционной и эксплуатационной стадиях является важным инструментом повышения эффективности планирования и реализации каждого проекта, что способствует постоянному улучшению деятельности организации. Процесс менеджмента риска проекта включает различные аспекты работы с риском — от идентификации и анализа риска до оценки его допустимости и определения необходимости и возможностей снижения риска посредством выбора и реализации соответствующих действий.

На практике значительное количество опасных событий реализуются на этапах создания и эксплуатации. Источники опасных событий могут быть обнаружены на стадии проектирования. В связи с этим важно проводить работу по идентификации и прогнозированию риска, оценке рисков, разработке мероприятий по снижению риска и проводить мониторинг на каждом этапе. Внедрение системы менеджмента риска, направленной не только на устранение негативных последствий события, но и на предупреждение возникновенияопасных событий, можно говоритьо возможности успешного выполнения инвестиционной программы.

Менеджмент риска проекта осуществляется посредством идентификации риска и последующей его оценки и разработки мероприятий по снижению рисков, не соответствующих установленным критериям. Процесс менеджмента риска включает обмен информацией и консультации с заинтересованными сторонами, а также исследование и анализ риска, действия по обработке риска для обеспечения реализации проекта и достижения целевых показателей.

Настоящие рекомендации содержат описание процесса менеджмента риска проектов, основных подходов к идентификации рисков, составлению классифицированного перечня рисков, методов качественной и количественной оценки рисков, а также способов обработки выявленных рисков на всех этапах жизненного цикла проекта.

IV

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Менеджмент риска

ИДЕНТИФИКАЦИЯ, ОЦЕНКА И ОБРАБОТКА РИСКА ПРОЕКТА НА ПРЕДИНВЕСТИЦИОННОМ, ИНВЕСТИЦИОННОМ И ЭКСПЛУАТАЦИОННОМ ЭТАПАХ

Risk management.

Project risk identification, assessment and handling at the pre-investment, investment and operational stages

Дата вводония — 2015—12—01

1    Область применения

В настоящих рекомендациях установлены общие принципы идентификации, оценки и менеджмента риска проекта на всех этапах его жизненного цикла.

Настоящие рекомендации предназначены для применения:

-    лицами, участвующими в менеджменте риска;

-    менеджерами проектов;

-    менеджерами и руководителями организаций, вовлеченными в процесс управления проектами;

-    разработчиками межгосударственных стандартов и другой нормативной документации;

-    разработчиками национальных стандартов, нормативных документов, процедур, правил и стандартов организации;

-    любыми государственными, частными или общественными организациями, ассоциациями, группами лиц или отдельными лицами.

Настоящие рекомендации могут применяться в течение всего жизненного цикла проекта, включая прединвестиционный. инвестиционный и эксплуатационный этапы.

Настоящие рекомендации применимы к любому типу риска, независимо от его характера, а также того, имеет ли он негативные или позитивные последствия.

2    Нормативные ссылки

В настоящих рекомендациях использованы ссылки на следующие стандарты:

ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство ГОСТ РИСО/МЭК 31010—2011 Менеджмент риска. Методы оценки риска ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем ГОСТ Р 51901.22-2012 Менеджмент риска. Реестр риска. Правила построения ГОСТ Р 51901.23-2012 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска

ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если ссылочный стандарт заменен (изменен), то при пользовании настоящими рекомендациями следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

Издание официальное

3 Термины и определения

В настоящих рекомендациях применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.

3.1    риск (nsk): Следствие влияния неопределенности на достижение поставленных целей¹'.

Примечания

1    Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

2    Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т. п.) и назначению (стратв1ические. общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

3    Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.

4    Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.

5    Неопределенность — это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.2    менеджмент риска (nsk management): Скоординированные действия по руководству и управлению организацией в области риска.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.3    реестр риска (risk register): Форма записи информации об идентифицированном риске.

Примечание — Термин «журнал риска» иногда используют вместо термина «реестр риска».

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.4    менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.5    идентификация риска (risk identification): Процесс определения, составления перечня и описания элементов риска.

Примечание 1 — Элементы риска могут включать в себя источники риска, события, их причины и возможные последствия.

Примечание 2 — Идентификация риска может также включать в себя теоретический анализ, использование хронологических данных, экспертных оценок и анализ потребностей причастных сторон.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.6    оценка риска (risk assessment): Общий процесс идентификации риска, анализа риска и сравнительной оценки риска.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.7    процесс менеджмента риска (risk management process): Взаимосвязанные действия по обмену информацией, консультациям, установлению целей, области применения, идентификации, исследованию. оценке, обработке, мониторингу и анализу риска, выполняемые в соответствии с политикой, процедурами и методами менеджмента организации.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.8    источник риска (risk sourse): Объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска.

Примечание — Источник риска может быть материальным или нематериальным.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.9    анализ риска (risk analyses): Процесс изучения природы и характера риска и определения уровня риска.

¹ В соответствии с ФЗ «О техническом регулировании» от 27.12.2002 Ne 184-ФЗ «риск — это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц. государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда».

2

P 50.1.094—2014

Примечания

1    Анализ риска обесточивает базу для проведения сравнительной оиенки риска и принятия решения об обработке риска.

2    Анализ риска включает в себя количественную оценку риска.

(ГОСТ Р 51897-2011 /Руководство ИСО 73:2009)

3.10    последствие (consequence): Результат воздействия события на объект.

Примечания

1    Результатом воздействия события может быть одно или несколько последствий.

2    Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.

3    Последствия могут быть выражены качественно или количественно.

4    Первоначальные последствия могут вызвать эскалациюдальиейшихпоследствийпопринципу «домино».

(ГОСТ Р 51897-2011/Руководство ИСО 73:2009)

3.11    вероятность (probability): Мера возможности появления события, выражаемая действительным числом из интервала от 0 до 1. где 0 соответствует невозможному, а 1 — достоверному событию.

(ГОСТ Р 51897-2011/Руководство ИСО 73:2009)

4 Описание процесса менеджмента риска проекта

Все элементы процесса менеджмента риска организации применимы к процессу менеджмента риска проектов, поэтому рассмотрим каждый этап процесса менеджмента риска проекта согласно схеме. приведенной на рисунке 1 (см. ГОСТ Р ИСО 31000, ГОСТ Р 51901.1).

Основными элементами процесса менеджмента риска проектов являются следующие:

а)    Обмен информацией и консультирование

Должен быть установлен обмен информацией и консультации с внутренними и внешними причастными сторонами на каждом этапе процесса менеджмента риска проекта.

б)    Установление целей и области применения

Данный этап включает установление внешних и внутренних целей, а также цели в области менеджмента риска проектов для осуществления остальных элементов процесса менеджмента риска. Следует установить критерии риска и определить структуру анализа риска.

Основные цели менеджмента риска проекта — повышение вероятности возникновения и степени воздействия благоприятных событий и снижение вероятности возникновения и степени воздействия неблагоприятных событий на целевые показатели проекта.

в)    Идентификация риска

Идентификация риска предусматривает определение рисков, способных повлиять на цели проекта. и их документальное оформление. На данном этапе идентифицируют источники риска, области воздействия. события (включая изменения в обстоятельствах) и их причины, а также их возможные последствия. Цель данного этапа заключается в составлении перечня рисков, на основе событий, которые могут влиять на достижение целей проекта. Идентификация является критически важной, потому что риск, который не был идентифицирован на данном этапе, не будет включен в последующий анализ риска. При этом, идентификацию рисков и актуализацию перечня рисков необходимо проводить на каждом этапе инвестиционного проекта, и процесс идентификации должен быть сквозным: начинаться на прединвестиционной стадии, развиваться на инвестиционной и эксплуатационной стадиях. Перечень рисков должен регулярно пересматриваться и актуализироваться.

г)    Анализ риска

Анализ риска включает рассмотрение причин и источников риска, их позитивных и негативных последствий и возможности реализации этих последствий. Факторы, влияющие на последствия и возможности, должны быть идентифицированы. Риск анализируют посредством определения последствий и благоприятных возможностей, а также других характеристик риска. Событие может иметь множественные последствия и может воздействовать на достижение целей проекта. Необходимо также принимать во внимание существующие средства управления, их результативность и эффективность.

д)    Сравнительная оценка риска

Необходимо сравнить полученные оценки риска с установленными критериями допустимого риска. а также рассмотреть баланс между возможными преимуществами и неблагоприятными последствиями. Это позволяет принять решение о степени и характере обработки риска и расстановки соответствующих приоритетов в управлении проектом.

3

P 50.1.094—2014

- возникновения вторичного риска, связанногос предпринимаемым действием.

Такой анализ необходим для проверки того, что ответная мера, сама по себе, не повлечет за собой непредвиденных последствий в результате принятия данной меры. Это особенно касается мер, принятие которых может привести к возникновению более серьезного риска по сравнению с риском, для минимизации которого предусматривается обработка.

Следует провести идентификацию вариантов обработки риска, оценку этих вариантов, а также подготовку и выполнение планов обработки риска проекта.

ж) Мониторинг и анализ

Необходимо проводить мониторинг результативности всех стадий процесса менеджмента риска проекта. Это важно для постоянного улучшения данного процесса.

Для выявления влияния изменяющихся обстоятельств на установленные приоритеты в области менеджмента риска проекта должен проводиться мониторинг риска и результативности обработки риска.

Менеджмент риска может быть применен к конкретным проектам при принятии решений о выборе проекта из нескольких вариантов или для управления установленными областями риска.

На каждой стадии процесса менеджмента риска записи следует поддерживать в рабочем состоянии и сохранять их. что позволит сделать принятые решения по менеджменту риска частью процесса постоянного улучшения процесса управления проектом.

5 Выявление/идентификация рисков

5.1    Общие положения

Идентификация рисков представляет собой процесс определения рисков, способных повлиять на целевые показатели проекта, и документирования их характеристик. Идентификацию риска выполняют менеджеры по риску, разработчики проекта и эксперты в области менеджмента риска. Также в ней могут принимать участие заказчики, разработчики проекта и технические эксперты. Идентификация рисков — повторяющийся процесс, так как в процессе разработки проекта выявленные риски могут изменяться или появляться новые. Поэтому необходимо регулярно проводить актуализацию перечня рисков. Частота проведения идентификации риска и состав участников выполнения идентификации может изменяться.

5.2    Методы выявления рисков

Для идентификации рисков проекта могут использоваться следующие методы (см. ГОСТ Р ИСО/МЭК 31010):

-    Мозговой штурм. Целью мозгового штурма является создание подробного списка рисков проекта. Обычно мозговой штурм проводит команда по разработке проекта с привлечением менеджера по риску, часто совместно с участием экспертов из разных областей, не являющихся членами команды. Генерация идей, относящихся к рискам проекта, происходит под руководством ведущего. Ведущим чаще всего является риск-менеджер. За основу может приниматься система категорий рисков, например иерархическая структура рисков. Далее риски подлежат категоризации по типам, а их определения — уточнению.

-    Интервью. Проводимая по заранее разработанному плану беседа, предполагающая прямой контакт интервьюера с респондентом, в ходе которой интервьюер фиксирует ответы респондента.

-    Анкетирование. Опосредованный (через анкету) способ общения исследователя и опрашиваемого. Респондент знакомится с содержанием анкеты, самостоятельно интерпретирует смысл вопросов и фиксирует свои ответы.

-    Метод Дельфи. Метод Дельфи — это способ достижения консенсуса между экспертами. Данный метод предполагает, что эксперты в области менеджмента риска принимают в нем участие анонимно. С помощью опросного листа ведущий собирает предложенные идеи о значимых рисках проекта. Составляет резюме. В случае, если эксперты имеют различные суждения по одному вопросу, тогда ведущий просит обосновать свою позицию. После этого опросные листы вместе с комментариями возвращаются экспертам для дальнейшего сближения позиций. Консенсуса можно достичь за несколько повторяющихся циклов этого процесса. Метод Дельфи помогает преодолеть необъективность в оценке данных и устраняет избыточное влияние отдельных лиц на результат работы.

-    Анализ сильных и слабых сторон, возможностей и угроз (анализ SWOT). Этот метод позволяет провести анализ проекта с позиции каждой из указанных выше сторон, что дает более полное представление о рисках проекта.

5

-    Метод аналогий. Для идентификации рисков этот метод использует накопленные знания и планы по управлению рисками аналогичных проектов.

5.3 Классификация рисков

Важным моментом в анализе рисков проекта является их классификация. Она позволяет упорядочить совокупность выявленных рисков, распределить риски по этапам реализации проекта, по бизнес-процессам. по целевым показателям влияния, определить факторы (главные и второстепенные), оказывающие влияние и обуславливающие вероятность того или иного опасного события, определить значимость. роль и место каждого риска в процессе управления проектом.

Классификация рисков — процесс группировки опасных событий по характеристикам (факторам риска, объектам воздействия, методам управления, источнику возникновения и др.). Классификационные характеристики определяются в зависимости от целей процесса менеджмента риска проекта.

Цель классификации: создание упорядоченного перечня рисков, обеспечивающего максимальную информированность и удобство для оценки и менеджмента риска.

Существует множество подходов к классификации и систематизации риска. Ниже приведены виды классификации, которые наиболее часто используют в процессе менеджмента риска проекта.

Классификация риска по факторам. По опасным событиям риски подразделяются на:

-    производственно-технологические — опасные события, вызванные отказами оборудования, поломками, сбоями технологических систем, производственным браком, дефектами оборудования и т. п.;

-    риски персонала — опасные события, вызванные ошибками персонала, низкой квалификацией персонала, мошенничеством, недостаточным уровнем внимания и самодисциплины, неадекватностью поведения сотрудников и т. п.;

-    риски процессов — опасные события, вызванные неотлаженными бизнес-процессами, сбоями, низкой точностью оборудования, нарушением IT-процессов, наложением процессов в период проведения операций;

-    природно-климатические — опасные события, вызванные землетрясениями, наводнениями, сверхнизкими и сверхвысокими температурами, цунами и т. п.;

-    ценовые — опасные события, вызванные изменением цен на сырье, материалы, оборудование, готовую продукцию:

-    рыночные — опасные события, вызванные изменением конъюнктуры рынка, изменением спроса и предложения и т. п.;

-    политические/государственные — опасные события, вызванные изменением внутренней или внешней политики государства, политического режима страны;

-    регулятивные — опасные события, вызванные изменением законодательства, принятием новых законов, нормативных требований и ограничений, стандартов, регламентов и т. п.;

-    риски контрагента — опасные события, вызванные мошенничеством, халатностью, ошибками подрядчиков.

Классификация рисков по последствиям. По последствиям риски подразделяются на риски:

-    влияющие на сроки реализации проекта;

-    влияющие на стоимость реализации проекта;

-    влияющие на качество продукции;

-    влияющие на объемы выпущенной продукции:

-    влияющие на жизнь и здоровье людей;

-    оказывающие экологическое воздействие.

По результатам выявления рисков формируется классифицированный перечень рисков (таблица 1), включающий в себя все идентифицированные опасные события, основные причины возникновения риска (факторы), последствия реализации данных опасных событий и категорию риска в соответствии с выбранным классификационным признаком.

Таблица 1 — Форма классифицированного перечня рисков

Категория риска Фактор риска Опасное событие Итоговые рисковые последствия