Коротко об анализе рисков в лаборатории

Цель и ожидания от внедрения системы управления рисками
Терминология
Требования ГОСТ ISO/IEC 17025-2019
Начало проектирования системы управления рисками
Выбор технологии управления рисками
Мозговой штурм
Реестр рисков
Матрица последствий / вероятности

Цель и ожидания от внедрения системы управления рисками

Внедряя систему оценки рисков, важно понимать, что применяемые технологии должны окупиться и дать плоды при минимуме вложений ресурсов.

Система управления рисками должна работать так, чтобы ее поддержание приводило к повышению качества оказываемых лабораторией услуг. Использование каких-либо технологий оценки рисков должно явно помогать принимать решения с учетом неопределенности, позволять выбирать благоприятные тенденции развития процессов, помогать оптимизировать имеющуюся систему менеджмента.

От внедрения системы следует ожидать положительных эффектов и помощи в: определении или пересмотре приоритетов при планировании, определении целей лаборатории, более успешном использовании возможностей. Создаваемая система должна дать понимание рисков, особенно тех, которые имеют экстремальные последствия.

Использование технологий оценки рисков должно минимально обеспечить:

• структурирование информации и совершенствование принятия решений в лаборатории,
• способность сравнивать несколько вариантов, систем, технологий, подходов,
• способность наиболее эффективно учиться на инцидентах,
• выполнение эффективных и действенных мер по обработке рисков,
• понимание уровня существенности факторов и формирование ясности в отношении последствий.

Основной функцией системы будет предотвращение наступления угрозы для осуществления деятельности лаборатории, снижение вероятности убытков организации в ходе ее деятельности.

Вернуться к содержанию

Для дальнейшего обзора следует определить некоторые основные термины – риск, управление рисками, система управления рисками.

Риск – следствие влияния неопределенности на достижение поставленных целей. Влияние неопределенности на цели.

Неопределенность – отсутствие информации (полное или частичное), необходимой для понимания события, его последствий и их вероятности.

Следствие влияния неопределенности – отклонение от ожидаемого результата.

Управление рисками в лаборатории – действия по руководству и управлению лабораторией в области рисков.

То есть реализация действий, направленных на снижение вероятности отрицательных отклонений от достижения поставленных целей.

Система управления рисками – элементы, которые обеспечивают реализацию принципов и организационных мер, применяемых при управлении рисками.

Вернуться к содержанию

Рассмотрим требования нормативных документов, предъявляемых к аккредитованной лаборатории в части действий, связанных с рисками.

ГОСТ 17025 требует, чтобы система менеджмента лаборатории предусматривала действия, связанные с рисками и возможностями.

Разделом 8.5 («действия, связанные с рисками и возможностями») ГОСТ 17025 установлены следующие требования:

Пунктом 8.5.1 определено, что лаборатория должна рассматривать риски и возможности, связанные с лабораторной деятельностью, для того чтобы:

а) обеспечивать достижение системой менеджмента намеченных результатов;
b) наращивать возможности для достижения целей и задач лаборатории;
c) предотвращать или уменьшить нежелательные воздействия и возможные сбои в лабораторной деятельности;
d) добиваться улучшений.

Пунктом 8.5.2, подпункт “а)“ определено, что лаборатория должна планировать действия, связанные с данными рисками и возможностями;

Подпунктом “b)“ установлено, каким образом необходимо планировать эти действия:

1) интегрировать и внедрять данные действия в систему менеджмента;
2) оценивать результативность данных действий.

Важно понимать, что ГОСТ 17025 указывает на то, что лаборатория планирует действия по устранению рисков. При этом требования к методам управления рисками или документированному процессу управления рисками в нем не установлены.

Лаборатории могут решить, следует ли разрабатывать более обширную методологию управления рисками, чем это требуется в настоящем стандарте, например, посредством применения других руководств или стандартов.

Пунктом 8.5.3 установлено:

Предпринимаемые действия, связанные с рисками и возможностями, должны быть соразмерны их потенциальному влиянию на достоверность лабораторных результатов.

Примерами действий, связанных с рисками, могут быть:

• идентификация и предупреждение угроз,
• принятие рисков с целью реализации возможности,
• устранение источника риска,
• изменение вероятности риска или его последствий,
• разделение рисков,
• сохранение риска посредством обоснованного решения.

Вернуться к содержанию

Анализируя требования законодательства к лабораториям, стоит обратить внимание на важный момент: лаборатория вправе самостоятельно выбрать для себя способы реализации (проект) системы управления рисками.

Как минимально регламентировать систему управления рисками в соответствии с требованиями?

1. Заявить в Политике в области качества лаборатории о наличии системы управления рисками и о принципах ее функционирования.

2. Регламентировать правила управления рисками и определить их в Руководстве по качеству. Правила должны предусматривать:

• порядок определения причин рисков,
• порядок управления рисками и фиксацию результатов управления,
• планирование рисков и фиксацию результатов планирования (это включает планирование действий по устранению рисков и оценка их эффективности),
• анализ системы управления рисками с целью определения ее эффективности, выполнения целей и задач и совершенствования данной системы.

Для того, чтобы детализировать весь процесс управления рисками, их планирования, а также анализа системы в достаточной мере, целесообразно создать отдельную Процедуру.

Процедура управления рисками включает несколько составляющих:

1. Обмен информацией и консультирование.
2. Область применения и определение критериев риска.
3. Оценка риска.
4. Обработка риска.
5. Мониторинг и пересмотр.
6. Документирование и отчетность.

Обмен информацией и консультирование – это периодические процессы, осуществляемые для получения информации по вопросам, относящимся к управлению рисками. Получаемая информация может относиться к любым аспектам риска: существованию (выявлению), природе, форме, вероятности, уровню, оценке, приемлемости, обработке и другим аспектам. Это позволяет использовать технологии данной составляющей управления рисками на всех этапах процесса управления рисками.

Установление области применения – определение факторов, которые следует учитывать при управлении риском, установлении сферы применения критериев риска.

Критерий риска – факторы, по которым оценивается значимость риска. Значимость риска формируется на основании требований законодательства, политики организации.

Оценка рисков включает в себя идентификацию, анализ, сравнительную оценку.

Идентификация риска – процесс определения, составления перечня и описания элементов риска.

Элементы риска могут включать в себя источники риска, события, причины и последствия.

Анализ риска – процесс изучения природы, характера риска и определения уровня риска.

Сравнительная оценка риска – процесс сравнения результатов анализа риска с критериями риска для определения его приемлемости.

На основании анализа риска и его сравнительной оценки принимается решение об обработке риска.

Обработка риска – процесс изменения риска (исключение; принятие или повышение риска; устранение источников риска; изменение вероятности; последствий; сохранение риска).

Мониторинг – процесс систематической проверки системы управления рисками, рисков и их управления.

Пересмотр – деятельность, принимаемая для анализа эффективности системы управления рисками, рисков и их управления.

Отчетность – формы обмена информацией о рисках, предоставляющие информацию о текущем состоянии рисков.

Обмен информацией и консультирование, а также мониторинг и пересмотр проводится на всех этапах процесса управления рисками.

Для проектирования системы определимся с технологиями, которые мы применим в процессе управления рисками.

Вернуться к содержанию

Выбор технологий и способа их использования должен быть обусловлен возможностью адаптации, а также предоставлять требуемую информацию. Количество и тип технологий должны быть выбраны с учетом значимости принимаемых решений, учитывать ограничения во времени и ограничение ресурсов. Внедренные технологии не должны требовать больших расходов, чем фактические убытки от последствий рисков в условиях отсутствия управления рисками.

ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска» предполагает использование различных технологий для разных составляющих процесса управления рисками.

Какие бывают категории технологий оценки рисков:

• выявление мнения причастных сторон и экспертов;
• идентификация;
• анализ источников и доминантных факторов риска;
• анализ средств контроля;
• понимание последствий, вероятности и риска;
• анализ зависимостей и взаимодействий;
• выбор между вариантами;
• оценка значимости риска;
• отчетность и документирование рисков.

Технологии выявления мнения причастных сторон и экспертов

1. Мозговой штурм
2. Метод Делфи
3. Метод номинальной группы
4. Структурированные или полуструктурированные интервью
5. Опросы

Технологии идентификации рисков

1. Контрольные списки, классификация и систематизация
2. Анализ видов и последствий отказов
3. Изучение опасности и работоспособности
4. Сценарный анализ
5. Структурированный метод «Что если?»

Анализ источников и доминантных факторов риска

1. Синдинический подход
2. Метод Исикавы

Технологии анализа средств контроля

1. Метод «галстук-бабочка»
2. Анализ рисков и критические контрольные точки

Технологии понимания последствий, вероятности и риска

1. Байесовский анализ
2. Байесовские сети
3. Анализ влияния на бизнес
4. Анализ дерева событий
5. Анализ дерева отказов
6. Анализ причинно-следственных связей
7. Анализ надежности человека
8. Марковский анализ
9. Моделирование методом Монте-Карло
10. Токсикологическая оценка риска

Технологии анализа зависимостей и взаимосвязей

1. Анализ перекрестного влияния

Технологии выбора между вариантами

1. Анализ затрат и выгод
2. Анализ дерева решений
3. Теория игр

Технологии оценки значимости риска

1. Частотно-цифровые диаграммы
2. Диаграммы Парето
3. Техническое обслуживание на основе надежности
4. Индексы риска
5. Матрица последствий / вероятности (тепловая карта или матрица рисков)
6. S - кривые

Технологии отчетности и документирования рисков

1. Реестры рисков
2. Матрица последствий / вероятности (тепловая карта или матрица рисков)
3. S – кривые
4. Метод «галстук-бабочка»

Требования к лабораториям сегодня не устанавливают обязательное использование данных методологий. Для работы мы предлагаем использовать те методы, которые требуют низкий уровень применяемых усилий, небольшой или умеренный опыт специалистов. Для описания процесса управления рисками выберем следующие технологии:

Реестр рисков – позволит документировать риски.
Матрица последствий / вероятности – позволит нам проводить наглядную оценку значимости риска, проводить сравнительную оценку риска.

Вернуться к содержанию

В дополнение к разговору о технологиях оценки рисков следует сказать об особенностях использования соответствующих стандартов и технологий на примере Мозгового штурма, описанном в ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска».

Для начала проведем краткий обзор технологии.

Мозговой штурм может сопровождать все этапы процесса управления рисками (идентификацию, анализ источников, факторов риска, анализ и оценку риска и его обработку).

Мозговой штурм представляет собой разработку идей по теме определенного характера в виде группового обсуждения. Эффективный мозговой штурм осуществляется при участии ведущего – руководителя, который обеспечивает необходимую стимуляцию процесса. Важно понимать, что мозговой штурм не включает анализ или критику идей. Поэтому использование только этой технологии на этапах оценки рисков не будет являться достаточным.

Структурированная основа проведения мозгового штурма с подготовленными для этой цели темами, подсказками, проблемами эффективнее воздействует на генерацию идей и полноту полученной информации и мнений.

Цель технологии – собрать как можно больше разнообразных идей для последующего анализа. Учитывая, что на основании практики установлена низкая эффективность мозгового штурма в отличии от индивидуальной работы, он часто применяется совместно с индивидуальной работой участников.

Участники должны иметь экспертизу, опыт и диапазон точек обзора, необходимых для разрешения проблемы.

Применяя технологии оценки рисков согласно рекомендациям соответствующих стандартов менеджмента рисков, необходимо соответствовать их требованиям. Так при организации мозгового штурма согласно ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска» необходимо позаботиться о дополнении правил управления рисками в части требований к участникам мозгового штурма. Важно установить, каким образом будут определяться критерии экспертизы участников, необходимость опыта и как определяются участники с целью охвата диапазона точек обзора внутри области риска. Также важно отметить, что этот метод включает только генерацию идей и не подразумевает анализ получаемой информации. Таким образом его необходимо совмещать с другими технологиями, способами оценки.

В общем случае лаборатории проще установить правила управления рисками самостоятельно. Это позволяет создать простую, легко внедряемую и поддерживаемую систему.

Вернуться к содержанию

Обычный подход к отчетности и документированию информации о рисках заключается в том, чтобы внести основную информацию о рисках в реестр рисков. Реестр рисков может быть оформлен в виде таблицы в бумажном виде или в электронном. Он объединяет информацию о рисках.

Реестр рисков обычно включает в себя:

• краткое описание риска;
• заявление о вероятности риска;
• источники и причины риска;
• последствия риска;
• информацию о проводимых мероприятиях.

Риски могут быть классифицированы по разным категориям для эффективности отчетности, реестр может представлять утвержденную форму. Многие реестры рисков также включают рейтинг значимости риска – указание на то, считается ли риск приемлемым или допустимым, требуется ли дальнейшая обработка риска и причины этого решения.

В реестр рисков могут быть включены не только отрицательные последствия рисков, но и положительные.

Реестр рисков используется для документирования и отслеживания информации об отдельных рисках и управления ими, отслеживания информации о проводимых мероприятиях по рискам. Реестр рисков позволяет сравнивать значимость рисков между собой и легко расставлять приоритеты.

Достаточным будет включить в реестр следующие графы:

• номер риска в реестре,
• описание,
• источники и причины,
• оценку риска,
• последствия риска и
• информацию о проводимых мероприятиях.

В этом случае оценку риска можно проводить по двум факторам, включая оценку влияния (критичности последствий) и оценку вероятности риска. Оценка риска рассчитываться как произведение двух этих величин. В графе «Оценка риска» удобно предусмотреть место для цветовой дифференциации.

Вернуться к содержанию

Матрица последствий / вероятности (также называемая матрицей рисков или тепловой картой) представляет собой способ отображения рисков в соответствии с их последствиями и вероятностью и объединяет эти характеристики для отображения рейтинга значимости риска.

В качестве осей матрицы определяется шкала последствия и шкала вероятности. Шкалы могут иметь любое количество точек, которое будет выбрано разработчиком. Наиболее распространенные включают от трех до пяти. Шкалы могут быть как качественными, так и количественными.

Если шкала количественная и точки на шкале представлены числовыми значениями, то они должны быть размещены рядом с осью и соответствовать данным. Как правило, чтобы соответствовать данным, каждый последующий уровень на двух шкалах должен быть на порядок больше, чем предыдущий.

В качестве шкалы вероятности мы используем значения от 1 до 3 и эти значения будут соответствовать:

1 – теоретически возможно, нет прецедентов,
2 – возможен случай в течение года,
3 – ожидается, что произойдет в течение месяца.

В качестве шкалы последствий используем также значения от 1 до 3 и эти значения будут соответствовать:

1 – незначительные, небольшие потери,
2 – средние потери,
3 – большие и катастрофические потери, необратимые.

Так же эту шкалу можно построить на основании значений частоты встречаемости событий в определенный период времени. Шкалы последствий / вероятности должны быть адаптированы в конкретной лаборатории.

Матрица изображается с последствиями по одной оси и с вероятностью по другой в соответствии с выбранными шкалами. Оценка приоритета может быть связана с каждой ячейкой, что поможет определить уровни принятия решений. В результате мы получим несколько уровней (приоритетов), соответствующих оценке.

Матрица последствий / вероятности используется для оценки и передачи относительной величины рисков. Чтобы оценить риск сначала определяется категория последствий, а затем предполагаемая вероятность. Определяется ячейка в матрице, уровень риска и связанное с ним правило принятия решений.

Риски с потенциально высокими последствиями часто вызывают наибольшее беспокойство у лиц, принимающих решения, даже когда их вероятность очень низка, но частный риск с низкой степенью воздействия может иметь большие кумулятивные или долгосрочные последствия. Возможно, что при равных условиях такие риски следует проанализировать более детально.

Матрица удобна и проста в использовании для оценки рисков, позволяет быстро ранжировать риски по разным уровням значимости. Она может использоваться для сравнительной оценки риска. Однако, для разработки обоснованной матрицы требуется хороший опыт. Важно анализировать достоверность шкалы и по мере накопления опыта в части управления рисками развивать ее (калибровать).

Вернуться к содержанию