Сертификация медицинского оборудования является обязательной , потому что от ее качества и безопасности напрямую зависят жизнь и здоровье людей.

Так как объектом исследования является инновационный продукт, перед началом сертификации рекомендуется обратить внимание на те риски, с которыми можно столкнуться во время проверки на соответствие.

Для наглядности, был описан процесс сертификации в виде событийного потока последовательно выполняемых работ (Рисунок 1).

Основные этапы процедуры сертификации :

1. Формирование и подача документов в орган по сертификации;

2. Отбор образцов продукции и их идентификация;

3. Сертификационные испытания образцов;

4. Принятие решения по сертификации (получение сертификата).

Рисунок 1. Модель процесса сертификации продукта

Первый этап – подготовка и подача документов в сертификационный орган (ОС). Этим занимается человек, ответственный за сертификацию со стороны заявителя.

Здесь существует риск возникновения ошибки при сборе информации и оформлении заявки , фактором риска является квалификация персонала. Важно, чтобы разработкой документации занимался человек, знакомый с характеристиками сертифицируемой продукции, со всем перечнем необходимой документации, а также с юридической стороной вопроса.

Еще присутствует риск, связанный с выбором органа по сертификации : перед обращением в соответствующую службу, необходимо удостовериться в наличии у нее прав на проведение процедуры сертификации медицинских изделий. Сертифицирующий орган должен быть аккредитован Минздравом на выполнение работ в сфере подтверждения соответствия в медицинской области. Кроме того, желательно, чтобы ОС имел право на проведение экспертизы продукции (для экономии средств). Для этого необходимо, чтобы в органе по сертификации была своя испытательная лаборатория.

После того, как заявка на сертификацию будет принята и одобрена соответствующим органом, происходит переход на следующий этап – идентификация и отбор образцов.

Проведение идентификации – это определение государственного стандарта, Технического регламента, Технического регламента Таможенного союза, требованиям которых должен отвечать предмет сертификации. На данном этапе будет определяться перечень показателей для испытаний, которые должен пройти наш продукт. Проведение идентификации осуществляется экспертом со стороны сертифицирующего органа.

Есть риск, что суждения о соответствии продукции установленным требованиям будут недостаточны , что приведет к приостановке или отмене процедуры сертификации, а заявитель потеряет свои деньги и время на проведение соответствующих дополнений.

Когда мероприятия по установлению и подтверждению достоверности будут проведены, осуществится отбор образцов продукции для требуемых испытаний. Порядок выборки устанавливается в органе по сертификации в соответствии с требованиями Технических регламентов, правил сертификации медицинских изделий, нормативными или организационно-методическими документами по сертификации требуемого вида продукции. Существует опасность появления ошибки при отборе образцов , связанная с квалификацией ответственного за этот процесс персонала. Необходимо, чтобы за выборку образцов отвечал эксперт, компетентный в области функционирования предоставленного изобретения.

Далее, эксперт отправляет выбранные образцы в испытательную лабораторию. Для сертификации рассматриваемого инновационного медицинского оборудования требуется провести такие испытания, как: механические, электрические, экологические, функциональные, а также испытания электромагнитной совместимости ЭМС. Для сертификации изобретения необходимо также пройти клинические испытания.

Может произойти поломка лабораторного оборудования, занятого в проведении требуемых испытаний. Существует риск, что полученные результаты окажутся искажены . Во избежание поломок оборудования и последующих отрицательных результатов, важно, чтобы испытания осуществлялись на работоспособном оборудовании и только под присмотром квалифицированного персонала.

Последний этап – принятие решения по сертификации.

Здесь возможны два исхода:

1) Регистрация продукта;

2) Отказ в выдаче сертификата соответствия.

В случае, если по всем критериям проверки на соответствие будут получены положительные результаты, сертифицирующий орган примет решение о регистрации продукта. Мы получим сертификат изделия медицинского назначения, который будет являться подтверждением соответствия продукции требованиям технических регламентов, положениям стандартов или условиям договоров.

Но есть риск, что будет принято решение о невыдаче сертификата . Основанием для отказа может являться отсутствие положительного результата оценки соответствия. Такое решение может быть принято не только из-за несоответствия сертифицируемого изобретения заявленным требованиям, но и по невнимательности со стороны сертифицирующего органа.

Итак, в Таблице 1 обозначены все выделенные выше риски.

Таблица 1 – Риски при сертификации рассматриваемого инновационного медицинского оборудования

Риск	Принадлежность	«Виновник»
Риск возникновения ошибки при сборе информации и оформлении заявки	Внутренний	Ответственный за разработку документации
Риск, связанный с выбором органа по сертификации	Внутренний	Ответственный за выбор ОС
Риск, что суждения о соответствии продукции установленным требованиям будут недостаточны
Риск появления ошибки при отборе образцов		Эксперт ОС по конкретной продукции
Риск, что полученные результаты окажутся искажены		Оборудование; персонал лаборатории
Риск, что будет принято решение о невыдаче сертификата	Внутренний; внешний	Заявитель; ОС

Основными факторами, влияющими на возникновение рисков, являются:

1) квалификация персонала , занятого в процессе сертификации. Очень важно, чтобы на всех этапах работали добросовестные и компетентные люди.

2) оборудование, используемое во время процедур испытаний . Для проведения требуемой оценки необходимо, чтобы соответствующая аппаратура была работоспособной.

Как правило, самой большой частью работ, которые организация должна выполнить, строя систему управления качеством, является разработка документированных описаний порядка выполнения процессов. Именно эта составляющая требует максимального привлечения всего персонала и глубокого анализа деятельности организации. Поэтому особенно важно, чтобы выполняя эти работы, организация дала себе четкий ответ на вопрос: для чего нужны документированные описания процессов? Ведь от ответа на него зависит и ответ на следующий вопрос: какими они должны быть?

На первый из этих вопросов существует много ответов: документированные описания разрабатываются, чтобы обеспечить общее понимание порядка выполнения процесса, чтобы облегчить обмен опытом и обучение исполнителей, чтобы упростить контроль выполнения процесса и т.п. Предлагается сформулировать ответ на этот вопрос таким образом: документированные описания процессов разрабатываются для того, чтобы уменьшить риски возникновения ошибок (дефектов, несоответствий, неэффективных действий) при их выполнении. Действительно, разработка документа должна предотвратить ошибки при выполнении процессов, снизить риски их возникновения или смягчить их следствия. А если при выполнении процесса нет существенных рисков (например, процесс является очень простым, а исполнители — достаточно квалифицированными), то нет смысла его детально документировать — наличие такого документа ничего не изменит в реальной работе.

Если посмотреть на процессы с этой точки зрения, становится понятным, что разработка их эффективных документированных описаний невозможна без четкого определения: какие именно риски организация хочет уменьшить или устранить таким путем. Только после этого станет понятным, на что именно надо делать ударение, разрабатывая документ, какие этапы или варианты выполнения процесса должны быть особенно придирчиво спроектированы и детально описаны.

Какие же риски могут рассматриваться при построении процессов? В первую очередь надо четко разделить два разных понятия, которые часто путают: собственно риски и следствия рисков. Под рисками можно понимать возможность ненадлежащего выполнения определенных действий в рамках процесса, а также возможность получения ненадлежащих входов в процесс. Главной характеристикой рисков является вероятность их возникновение. Следствия рисков — это уменьшения эффективности и результативности процесса вследствие реализации рисков. Для них главной характеристикой является их серьезность. Понятно, что сами риски и их следствия — это разные явления, связанные причинно-следственной связью, поэтому они не могут стоять в одном перечне «через запятую». Но иногда их путают, и тогда в перечень рисков попадают как «нарушение сроков предоставления заявки», так и «нарушение сроков выполнения заявки», хотя первое может быть причиной второго.

К числу рисков могут относиться, в частности, такие категории:

• риски случайных ошибок исполнителя;
• риски недостаточной квалификации исполнителя;
• риски отсутствия у исполнителя достаточной информации;
• риск отсутствия у исполнителя необходимых ресурсов (или их ненадлежащее состояние);
• риски отсутствия у исполнителя достаточного времени для выполнения работы;
• риски отсутствия входов процесса, их несоответствия или несвоевременного получения;
• риски несогласования действий разных исполнителей.

Конечно, это только ориентировочный перечень основных категорий рисков, и при анализе в конкретных организациях для конкретных процессов все они должны быть уточнены и детализированы (например, относительно риска отсутствия достаточного времени — одновременное получение нескольких заявок на исполнение работ, получение заявки в конце рабочего дня, отсутствие исполнителя на месте из-за болезни или командировки и т.п.).

Что касается рисков — следствий, их примерами могут быть:

• несвоевременное получение выхода процесса (выполнение заказа, закупки сырья, разработки бюджета, заполнения вакансии и т.п.);
• несоответствие выхода процесса установленным требованиям;
• несоответствие выхода процесса ожиданиям заинтересованных сторон (при их соответствии определенным требованиям);
• незапланированные расходы разных видов ресурсов, связанных с функционированием процесса;
• чрезмерная загрузка исполнителей процесса (например, необходимость работы в выходные).

При этом целесообразно рассматривать следствия рисков не только для организации, но и для других заинтересованных сторон: в первую очередь — для потребителей, возможно также — для персонала, поставщиков, общества (в частности, это касается рисков, связанных с профессиональной безопасностью и влиянием на окружающую среду).

Традиционно сначала для каждого из процессов определяются риски, связанные с их выполнением, а потом для каждого из этих рисков: соответствующие следствия, которые они могут вызвать. Но возможен и обратный вариант: сначала определение нежелательных следствий, а потом — причин, которые могут к ним привести.

Безусловно, количество рисков, связанных с определенным процессом может быть очень большим, поэтому целесообразно их оценить и проранжировать. Основное внимание при разработке документированного описания процесса должно отводиться наиболее существенным рискам.

Главная идея учета рисков при проектировании документированных описаний процессов проста: это описание должно давать ответ на вопрос, как мы можем устранить существенные риски, связанные с выполнением процесса, уменьшить вероятность их возникновения или их следствия, или, по крайней мере, оперативно выявлять их реализацию и реагировать на нее. В другом случае, если в документе описывается только ситуация «когда все складывается хорошо и не возникает никаких проблем», польза от такого документа минимальна. Ведь исполнители чаще всего могут заглядывать в документ именно при возникновении проблем, при реализации рисков — для того, чтобы понять, как действовать в нестандартной ситуации.

Может показаться, что эта идея очевидна и о ней не следует много говорить. Но изучение реальных описаний процессов в отечественных организациях свидетельствует, что ее соблюдают далеко не всегда. Часто разработчики этих описаний действуют простейшим образом: описывают стандартную схему действий «когда все хорошо» (наиболее отработанную и понятную, когда надо описывать известный алгоритм, а не проектировать новый) и игнорируют любые ее ответвления, связанные с реализацией рисков и необходимостью реагирования на них.

Например, рассматривая процесс «Закупки сырья» можно выделить наиболее существенный риск, общий для большинства организаций — дефицит средств, необходимых для закупки. Но в описаниях процессов чаще всего все ограничивается тем, что после заключения договора на закупку заявка на оплату передается в бухгалтерию, а оттуда приходит информация о выполненной оплате. Почти никогда эти описания не предусматривают «наиболее интересный» вариант — когда из бухгалтерии приходит информация, о том, что оплата может быть выполнена только через несколько недель (или вообще — в неопределенной перспективе). Кто какие решения должен принимать в этом случае, как могут вестись переговоры с поставщиком, корректироваться производственная программа и т.п. — на эти вопросы документ ответов не дает. Так же он, как правило, не дает ответов на еще более важный вопрос: как снизить вероятность такой ситуации (через управление бюджетами, прогнозирование денежных потоков и т.п.). Конечно, стандарт ISO 9001 не содержит требований к финансовому менеджменту и эти вопросы не будут рассматриваться внешними аудиторами, но их игнорирование приведет к тому, что в сложнейших ситуациях (при отсутствии средств) сотрудники просто не будут иметь возможности действовать по алгоритму, изложенному в описании процесса.

Другим существенным риском процесса закупок является нарушение сроков снабжения, которое может привести к срыву производственного графика. И снова — в большинстве организаций в описаниях процессов детально указано, что делать, если поставщик передал некачественное сырье или комплектующие (ведь этого требует стандарт как одну из обязательных документированных процедур), но ничего не сказано о действиях, когда поставщик не передал в установленные сроки никакого сырья.

Еще одним примером является ситуация, характерная для многих предприятий пищевой промышленности (в первую очередь — по переработке молока и мяса), когда главным риском является невозможность найти на рынке необходимое количество качественного сырья. В самом деле, в условиях дефицита сырья, предприятия часто вынуждены активно искать надежных поставщиков, привлекать их лучшими условиями закупки, бороться за них с конкурентами. Потеря большого поставщика качественного сырья может быть критической для предприятия. Что же, как правило, предлагается в описании процесса закупок для решения этих проблем? Ответ традиционный: предлагается алгоритм оценивания и выбора поставщиков из реестра по определенным критериям; при этом считается, что у предприятия всегда есть возможность такого выбора. И отсутствуют какие-либо требования, советы, подсказки для персонала о том, что же делать в реальной жизни с реальными проблемами на рынке сырья, когда не хватает имеющихся поставщиков, или они отказываются сотрудничать с предприятием.

Конечно, процесс, который игнорирует указанные риски, может отвечать букве стандарта, быть нормально воспринят аудиторами и пройти сертификацию. Но трудно ожидать, что директор по закупкам будет серьезно относиться к такому процессу и использовать его как рабочий инструмент в своей деятельности. Скорее он будет воспринимать его как дополнительную формальность, необходимую для получения сертификата.

Этот пример, как и много других, демонстрирует общий принцип — отдельные процессы и СМК в целом, построенные исключительно на основе положений стандарта ISO 9001 и других системных стандартов, а не на анализе деятельности организации, ее стратегии и проблем, едва ли станут по-настоящему действенными инструментами для высшего руководства. И анализ рисков, связанных с процессом, может быть эффективным средством для того, чтобы отобразить в документированном описании этого процесса специфику организации.

Каким же образом можно обеспечить направленность процесса на уменьшение и предотвращение рисков? Ниже приведены определенные рекомендации по этому поводу. Эти рекомендации могут применяться как при начальной разработке документированных описаний процессов (при создании СМК), так и при их дальнейшем анализе и пересмотре.

Простейшим вариантом, который не требует существенной траты времени, является простое составление перечня существенных рисков и их следствий перед разработкой или пересмотром документированного описания. Желательно, чтобы этот перечень составлялся межфункциональной группой, в состав которой входят представители всех структурных подразделений, задействованных в процессе. Также полезно включить в состав группы представителей подразделений — потребителей этого процесса (а если процесс имеет внешних потребителей — представителей маркетинговой службы, которые будут отображать их позицию). Ведь именно они могут оценить влияние разных рисков на выходы процесса, серьезность их следствий. При составлении перечня рисков могут использоваться методы мозгового штурма и прочие. В простейшем варианте выбор существенных рисков осуществляется группой без применения специальных методов на основании общего понимания процесса.

Если группа определила, что выявленный риск является существенным для процесса, она может принимать решение о необходимости таких действий:

• выбор варианта реализации процесса, который позволит исключить или уменьшить риск (при этом в документированном описании должен быть описан такой вариант);
• выбор варианта реализации процесса, который позволит смягчить следствия риска при его реализации (в документированном описании должен быть описан такой вариант);
• мониторинг реализации риска и оперативное реагирование на него, в частности, для смягчения его следствий (при этом в документированном процессе описываются действия по мониторингу и решения по их итогами).

Например, если существенным риском для процесса управления персоналом определено несоответствие принятого персонала корпоративной культуре, процесс должен предусматривать тестирование, собеседование и т.п. для кандидатов, направленные на изучение их личных ценностей, или дальнейший мониторинг «применения» новых сотрудников в коллективе (или оба варианта одновременно). В любом случае, процесс должен предусматривать действия, если оказалось, что новый сотрудник не разделяет корпоративную культуру.

Если для описания процессов применяются блок-схемы, удобно для каждого из рисков определить те блоки, которые обеспечивают управление ими. При этом становится понятным, каким блокам надо уделить большее внимание (например, привести более детальное описание соответствующих действий). С другой стороны, это позволит увидеть блоки, которые не влияют ни на один из существенных рисков. Для них можно рассмотреть целесообразность уменьшения уровня детализации описания, которое позволит сократить и упростить документ, а также — уменьшить чрезмерную регламентацию работы сотрудников. Ведь иногда в документированных процессах очень детально расписывается рутинная работа (передача документов между подразделениями, их регистрация, визирование и т.п.), которая нормально выполняется без любых инструкций. При этом непропорционально мало описывается главная деятельность, которая создает ценность в рамках процесса (например, принятие решений).

Целесообразным может быть включение в документированное описание процесса отдельным разделом перечня определенных существенных рисков и их следствий (возможно, с указанием шагов процесса, направленных на управление каждым из рисков). Это поможет исполнителям процесса в дальнейшем лучше понимать, что является главным в их деятельности, на что они должны обращать особое внимание.

Дальнейшее развитие описанных подходов связан с разными методами оценки и ранжирования рисков. При этом могут применяться классические методики управления рисками, такие как FMEA (анализ типов и следствий ошибок).

Основной идеей является оценивание каждого из рисков по нескольким количественными параметрам. В первую очередь, такими параметрами является вероятность реализации риска и серьезность его следствий; в некоторых случаях может оцениваться также вероятность выявления риска на ранней стадии (когда на него еще можно оперативно отреагировать без существенных следствий для выхода процесса).

Для каждого из параметров должна быть определена шкала оценивания (примеры таких шкал приведены на рисунках). Для более легкого применения может понадобиться интерпретация типичных шкал для отдельных процессов.

Следует заметить, что на раннем этапе применения методов управления рисками, не имея достаточного опыта, организациям лучше использовать простые шкалы. С обретением опыта они могут усложняться и детализироваться.

Образец шкалы для оценки вероятности возникновения риска

Образец шкалы для оценки следствий возникновения риска

После оценивания каждого из выявленных рисков по отдельным параметрам определяется общая оценка его важности. Она может определяться как произведение оценок по отдельным параметрам (как правило, этот метод применяется, когда шкала для оценки параметров является довольно большой). Если шкала невелика, оценивание важности риска может осуществляться с помощью специальной таблицы (ее образец приведен на рисунке).

Вероятность возникновения Следствия				Очень высокая
Заметные
Существенные

Безусловно, подобные таблицы могут быть разными для отдельных процессов в зависимости от их важности и требований к их надежности (например, уровень риска, обычный для процесса маркетинговых исследований, может быть недопустимым для процесса производства). Также, по мере усовершенствования организации, эти таблицы могут пересматриваться, предусматривая более высокую надежность процессов и все более жесткие требования к управлению рисками.

Конечно, каждая организация, в зависимости от своей готовности, может выбирать более сложную или более простую процедуру для оценивания рисков. Но в любом случае важно, чтобы результатом этой процедуры были не просто количественные оценки рисков, но их надлежащее отражение в документированном описании процесса.

Примером хорошей практики использования описанных подходов является система управления предприятия Siemens Netherland (призер Европейской награды по качеству). Все документированные описания процессов этого предприятия размещены во внутренней компьютерной сети и представлены в виде «дерева действий». На первом уровне каждый из процессов представлен в виде очень упрощенного описания как определенная последовательность действий (как правило, до десяти действий). Для каждого из действий определен ответственный исполнитель и связанные с ним существенные риски. Если такие риски есть, одним нажатием компьютерной мышки можно перейти к более детальному описанию этого действия, построенного по тому же принципу. Если для определенных действий второго порядка так же определены существенные риски, они будут детальнее описаны на низших уровнях и т.д. Процесс прекращается, когда мы доходим до уровня «элементарных» действий, которые могут выполняться без существенных рисков и, как следствие, не нуждаются в дальнейшем уточнении. В зависимости от сложности и важности процесса количество уровней такого дерева может варьироваться от двух до пяти и более.

Такой подход обеспечивает гибкое нахождение оптимального уровня детализации описаний процессов. С одной стороны, документы могут быть очень детальными там, где их отсутствие может привести к негативным последствиям — реализации существенных рисков. С другой стороны, этот подход предотвращает избыточную детализацию документов там, где она не нужна. А главное — каждый раз речь идет не просто о том, что надо разработать документ, который описывает порядок выполнения определенных действий (без четкого понимания цели этого документа), а о необходимости спроектировать и задокументировать порядок такого выполнения этих действий, который защитит организацию от определенных рисков. При этом значение документов становится понятным как их разработчикам, так и пользователям.

Пример оценивания рисков для процесса «Маркетинговые исследования» (фрагмент)

Риск	Вероятность возникновения	Следствие риска	Серьезность следствия	Важность риска	Требования к процессу
Использована нерепрезентативная выборка					Отдельные шаги блок-схемы — определение генеральной совокупности, важных характеристик и выборки по этим характеристиками
Нечетко сформулирован вопрос в анкете		Недостоверные результаты, ошибочные управленческие решения			Отдельные шаги в блок-схеме — апробация анкеты, рассмотрение результатов апробации и корректирование анкеты
Не определена цель маркетинговых исследований		Ненужная информация, лишние расходы ресурсов			В форме задачи на проведение исследования — определение его цели, в форме анализа исследования — достижение цели
Недостаточный бюджет на маркетинговые исследования		Не проведены нужные исследования			Предусмотреть определение ориентировочных бюджетов для каждого из исследований и их обсуждение с высшим руководством — определение приоритетных исследований
Результаты маркетинговых исследований не рассмотрены руководством		Лишние расходы ресурсов, неточные управленческие решения

Причиной возникновения рисков являются неопределенности, существующие в каждом виде деятельности. Риски могут быть "известные" - те, которые определены, оценены и планирование которых возможно. Риски "неизвестные" - те, которые не идентифицированы и не могут быть спрогнозированы. Управление рисками - это процесс, связанный с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий. При этом неизвестные непрогнозируемые риски могут являться причиной наиболее серьезных последствий для предприятия. Согласно основному закону Мэрфи - "Если какая-нибудь неприятность может произойти, она случается", а следствие из этого закона гласит - "Из всех неприятностей произойдет именно та, ущерб от которой больше".
Анализ зарубежной судебной практики показывает, что рассмотрение исков к органам по сертификации является достаточно распространенным событием.
С развитием в Российской Федерации уровня правоотношений и реализации возможности потребителями правовой защиты своих интересов следует рассчитывать на увеличение количества гражданских исков, в том числе и в порядке регресса. Иск к органу по сертификации по причиненному им ущербу заказчикам или третьим лицам и соответствующее судебное решение об удовлетворении этого иска может явиться для органа по сертификации причиной серьезных последствий, так как причиненный ущерб может значительно превысить его финансовые ресурсы, учитывая, как правило, небольшой бюджет этих организаций.
Проблема ответственности органов по сертификации за принимаемые ими решения с созданием системы технического законодательства и национальной системы аккредитации в области оценки соответствия приобретает особую актуальность.
Предметом настоящей статьи является анализ тех возможных рисков причинения ущерба третьим лицам и потребителям услуг по сертификации, которые могут стать причиной судебного разбирательства и удовлетворения исков к органам по сертификации. Анализ проведен на основе исследований зарубежных специалистов в области права и оценки соответствия.
Судебный процесс, завершившийся в 2002 г. окончательным решением апелляционного суда, создал прецедент удовлетворения иска к организации-разработчику стандарта. Для англо-американской или как ее часто называют системой общего права, основанной именно на прецеденте, это решение было чрезвычайно важным и вызвало серию публикаций , в которых проявляется озабоченность Американского национального института стандартов (ANSI) и других организаций, осуществляющих разработку стандартов, так как ранее подобные риски ими не прогнозировались.
Этот процесс, продолжавшийся несколько лет, рассматривал иск Shawn Meneely, который был парализован в результате травмы, полученной им при прыжке с трамплина в бассейн. Shawn Meneely предъявил иск к Национальному институту бассейнов и курортов (NSPI), являющемуся ассоциацией производителей оборудования для бассейнов и основным разработчиком стандартов, устанавливающих требования к безопасности этого оборудования. В ходе судебного разбирательства было установлено, что испытания, организованные NSPI задолго до произошедшего инцидента, показали высокую вероятность получения травмы при пользовании трамплином, изготовленным в соответствии с требованиями стандарта, но NSPI не предпринял никаких действий для его пересмотра. Суд постановил, что NSPI добровольно принимал на себя обязанность проявлять должную осторожность (необходимую осмотрительность) в формулировании требований безопасности при разработке стандартов и предупреждать пользователей относительно возможного риска и нарушал эту обязанность. Иск был удовлетворен на 60% от требуемой Shawn Meneely суммы или в размере 6,6 миллионов долларов. Апелляционный суд поддержал это решение.
В судебной практике США, как правило, не принято пересматривать достоверность стандартов ассоциации, их политики или решений, признавая, что профессионалы в ассоциациях имеют гораздо больший опыт, чем судьи в формулировании и применении промышленных и профессиональных стандартов . Однако процесс Shawn Meneely против NSPI показал, что в своей деятельности органы по сертификации должны рассмотреть все возможные риски причинения ущерба и последующей за наступлением рискового события ответственности.

Возможные риски ответственности

Далее будут рассмотрены возможные риски причинения ущерба третьим лицам и заказчикам сертификации при выполнении органами по сертификации основных функций. Риски причинения ущерба, возникающие вне основной, а вследствие общей хозяйственной деятельности, не являются предметом настоящей статьи.
Ответственность перед третьими лицами. В том случае, если пользование сертифицированной продукцией или услугой причинило некоторый ущерб потребителю, последний, кроме предъявления иска ее производителю, может предъявить иск и органу по сертификации. Орган по сертификации может быть признан виновным в причинении ущерба третьему лицу вследствие проявленной им небрежности и несоблюдения должной осторожности (duty of care) или осознанных действий. Осознанные неправомерные действия органа по сертификации при этом могут явиться причиной причинения вреда не только третьим лицам, но и непосредственному заказчику работ по сертификации, и будут рассмотрены ниже.
Тип ответственности из-за несоблюдения должной осторожности подчинен, согласно англо-американскому праву и законодательству многих европейских стран, множеству условий. Лицо (орган по сертификации) будет нести ответственность, только если потерпевшая сторона сможет доказать все элементы ответственности по небрежности:
1)обязанность соблюдения должной осторожности;
2)нарушение этой обязанности;
3)причинно-следственную связь между нарушением обязанности и причиненным ущербом;
4)исчерпывающие доказательства ущерба.
Если не будет доказано наличие всех этих четырех элементов, то не будет установлена ответственность органа по сертификации. В российском гражданском законодательстве также предусмотрена обязательность доказательств этих элементов.
На основании ст. 401 ГК РФ лицо, не исполнившее обязательства либо исполнившее его ненадлежащим образом, несет ответственность при наличии вины. Лицо признается невиновным, если при той степени заботливости и осмотрительности, какая от него требовалась по характеру обязательства и условиям оборота, оно приняло все меры для надлежащего исполнения обязательства.
Обязанность соблюдения должной осторожности. Этот элемент, а именно декларация органа по сертификации о проводимых им работах по оценке соответствия продукции, работ и услуг требованиям нормативных документов не требует особых доказательств и устанавливается по целям и задачам, указанным в уставных документах органа по сертификации.
Нарушение этой обязанности (небрежность). Следующей задачей суда является определение того, мог ли орган по сертификации действовать с разумной осторожностью при проведении процедуры сертификации для предотвращения нарушения этой обязанности и предпринимал ли он для этого все необходимые и известные действия. Если орган по сертификации прошел процедуру аккредитации, имеет документированную систему менеджмента качества, предусматривающую наличие и соблюдение правил управления документацией, персоналом и операционных процедур, следует полагать, что он предпринял все возможные меры для соблюдения обязанности нести должную осторожность. Однако даже в этом случае квалифицированный эксперт может представить суду доказательства того, что орган по сертификации был осведомлен, но не предпринял других действий для предотвращения возможного ущерба.
Причинно-следственная связь. Также должно быть доказано, что истец, приобретая продукцию или услугу, в своем выборе руководствовался тем, что именно сертифицированная продукция или услуга отличает их от прочих, так как они прошли процедуру оценки соответствия третьей стороной, что делает их более безопасными. Таким образом, суду требуется установить, что потребителю был причинен ущерб именно вследствие того, что продукция (услуга) были сертифицированы.
В случае проведения обязательной сертификации доказательств этого элемента не требуется, так как потребитель лишен права выбора.
Доказательства ущерба. Ущерб (физический, финансовый или моральный) должен быть конкретизирован в некотором количественном выражении.
Рассматривая эту совокупность элементов доказательств, следует отметить, что лишь установление факта нарушения обязанности нести должную осторожность может вызвать для суда определенные затруднения. Если орган по сертификации не аккредитован национальным органом по аккредитации, что широко распространено не только за рубежом, но и в России в системах добровольной сертификации, то для суда имеются все основания утверждать, что нарушены требования соблюдения необходимой осторожности.

Ответственность перед заявителем по антимонопольному законодательству

В связи с широко распространенной практикой сертификации профессиональными ассоциациями имеются случаи предъявления иска при отказе в получении сертификата организациям, не являющимися членами этих ассоциаций, по основаниям нарушения антимонопольного законодательства. По мнению специалистов парадоксальность этой ситуации заключается в том, что сертификация сама по себе является средством конкурентной борьбы.
Ассоциация как орган по сертификации может нести ответственность согласно антимонопольному законодательству, если истец сможет доказать, что сертификация является существенным условием, чтобы эффективно конкурировать на рынке и что отказ в получении сертификата был результатом использования стандартов или процедур сертификации, не влияющих на их степень доказательности для преимуществ данной системы сертификации. Кроме того, программы сертификации, которые требуют членства в ассоциации, как предпосылки к получению сертификата, также могут являться основанием для применения к органу по сертификации мер, предусмотренных антимонопольным законодательством.

Ответственность перед заявителем в соблюдении процедур

Органы по сертификации должны обеспечить проведение процедур сертификации в точном соответствии с правилами, установленными в системе, и в соответствии со стандартами, которые в системе применяются. Несмотря на то, что необходимость следования процедурам и стандартам, указана в контракте на сертификацию, эти требования, как правило, сформулированы в достаточно общем виде, и требуется проведение специального исследования для доказательства причинения ущерба заказчику именно вследствие нарушения процедур.
Например, при идентификации продукции в целях сертификации могут быть допущены ошибки, в результате которых будут применены стандарты, которые устанавливают более жесткие требования, чем те, которые можно было применить для оценки соответствия данной продукции, и в результате будут получены отрицательные результаты, либо заказчику при возможности использования различных схем без достаточных оснований будет предложена схема сертификации, предусматривающая значительно большие затраты, чем остальные.
При этом ущерб заявителю может быть причинен не только в случае отрицательного решения, но и при получении им сертификата. Судом может рассматриваться как причинение ущерба также отсутствие декларируемого органом по сертификации эффекта от проведения сертификации.
Так в Великобритании в 1996 г. состоялся судебный процесс по иску к органу по сертификации систем качества QAS (Quality Assurance Systems Ltd), распространившему рекламу, в которой сообщалось, что предприятия могут получить сертификат соответствия их системы качества требованиям ИСО 9000 в течение 30-60 дней со дня обращения. Несколько предприятий заключили соответствующий контракт и получили разработанное для них руководство по качеству и сертификат соответствия системы качества предприятия требованиям стандарта. При этом менеджеры предприятий обратили внимание, что обзор управления и внутренний аудит в их предприятиях никогда ранее не проводился, хотя ссылки на это в руководстве по качеству имелись, более того, были неверно указаны данные о персонале.
Суд признал QAS виновной в нарушении Закона о торговле (UK Trades Descriptions Act 1968) и QAS была оштрафована, а также была обязана компенсировать предприятиям понесенные затраты по контракту и ущерб.

Нарушение конфиденциальности

Как правило, условиями контракта на сертификацию предусмотрено сохранение конфиденциальности информации, полученной в процессе сертификации. Однако имеются случаи распространения информации, содержащей сведения, которые могут нанести существенный вред заявителю сертификации, его деловой репутации и бизнесу в целом. При этом распространение подобной информации может происходить как случайно, вследствие нарушений органом по сертификации правил процедуры управления документацией, так и осознанно. В обоих случаях при установлении самого факта нарушения конфиденциальности орган по сертификации будет нести ответственность в соответствии с гражданским законодательством вследствие нарушения условий договора, а при наличии умысла в передаче информации возможно применение норм, установленных уголовным законодательством.

Методы минимизации рисков

Рассмотренные риски и примеры рисковых событий не являются исчерпывающим перечнем событий, которые могут произойти вследствие осуществления основной деятельности органов по сертификации, однако рекомендуемые ниже методы с известной степенью вероятности могут быть предложены для минимизации всех возможных рисков и потерь, связанных с наступлением рисковых событий, как для зарубежных органов по сертификации, так и для российских.
Минимизация рисков в конечном счете должна сводиться к разработке органами по сертификации руководства по качеству и сопутствующих ему документов, содержащих подробное описание всех процедур процессов сертификации в полном соответствии с требованиями ГОСТ Р ИСО/МЭК 65-2000 "Общие требования к органам по сертификации продукции" и безусловное и сознательное следование этим процедурам. Более высокая требовательность органов по аккредитации к качеству этих документов может также иметь решающее значение для минимизации наступления рисковых событий.
Минимизация потерь при предъявлении иска может быть реализована через механизмы страхования ответственности . Следует отметить, что подпункт h п. 4.2 Руководства ИСО/МЭК 65:1996 устанавливает следующее требование к органу по сертификации, а именно, что он "shall have adequate arrangements to cover liabilities arising from its operation and/or activities". Русский перевод этой фразы - "предпримет адекватные меры для покрытия ответственности, являющейся результатом его функционирования и (или) деятельности".
Соблюдение этого требования в зарубежных странах реализуется аккредитующими органами с учетом национального гражданского законодательства. Во многих европейских странах наличие полиса страхования ответственности органов по сертификации и других органов по оценке соответствия является обязательным условием при их аккредитации. В ряде американских аккредитующих органах для органов по сертификации допускается самострахование. Участие органов по сертификации в гарантийных или компенсационных фондах также может приниматься аккредитующими органами ряда стран как выполнение данного требования.
В ГОСТ Р ИСО/МЭК 65-2000 это требование имеет недостаточно точную формулировку: "иметь соответствующие механизмы, обеспечивающие выполнение обязательств, вытекающих из проводимых операций и/или деятельности". Эта формулировка не позволяет российским органам по аккредитации предъявлять объектам аккредитации обоснованные требования по принятию ими мер для покрытия ответственности.
Решение проблемы сведения к минимуму возможных рисков причинения ущерба является общей задачей органов по сертификации и национальных систем аккредитации. Национальные аккредитующие органы, наделенные правительством полномочиями, обязаны обеспечить высокую с епень доверия к аккредитуемым ими объектам.
Аккредитующие органы должны при этом предельно четко сформулировать свои требования, направленные на получение исчерпывающих доказательств того, что орган по сертификации действительно предпринял все действия для минимизации рисков, предпринял меры покрытия ответственности в случае наступления рискового события и имеет достаточную финансовую стабильность и ресурсы. Учитывая добровольность проведения аккредитации эти требования аккредитующего органа должны, безусловно, выполняться аккредитуемым объектом.

Построение системы риск-менеджмента преследует цель достижения наибольшей эффективности бизнеса и в условиях повышения технологичности экономических процессов становится все более значимым вопросом. Особое внимание в настоящее время уделяется рискам информационной безопасности (ИБ), что связано со стремительным развитием информационных технологий (ИТ), вызвавших появление нормативно-правовых требований к системам менеджмента организаций и защите информации. Так, например, государственным военным стандартом ГОСТ РВ 0015-002 «Система разработки и постановки на производство военной техники. Системы менеджмента качества. Общие требования» установлен ряд требований к системам менеджмента качества предприятий оборонно-промышленного комплекса (ОПК). Пункт 4.3 ГОСТ РВ 0015-002-2012 накладывает обязательство на внедрение и документальное оформление порядка соблюдения информационной безопасности для предприятий, участвующих в государственном оборонном заказе. Построение и сертификация системы управления информационной безопасностью проводится в соответствии с национальным стандартом ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». В одной из предыдущих статей мы рассматривали . Основные подходы к управлению рисками приведены в пункте 4.2. ГОСТ Р ИСО/МЭК 27001-2006.

Остановимся на ключевых дефинициях, о которых далее пойдет речь. Понятие риск достаточно многогранно и может немного менять смысловой оттенок в зависимости от процесса, в рамках которого рассматривается. Традиционные подходы финансового менеджмента основаны на поиске оптимального решения дилеммы «доходность-риск», когда величина риска влияет на цену производимого продукта. Применительно к соблюдению информационной безопасности стоимостно-ориентированные походы риск-менеджмента не совсем уместны, т.к. процедура управления в данном случае используется по отношению к обеспечительным процессам. Поэтому здесь мы будем придерживаться трактовке термина «риск», как интегрального показателя вероятности реализации угрозы и степени нанесенного ущерба (степени воздействия). В качестве угрозы безопасности информации рассматривается совокупность условий и факторов, которые могут стать причиной инцидента. Под процедурой управления рисками мы понимаем комплекс применяемых действий, направленных предприятием на экономические и технические процессы, в целях обеспечения необходимого уровня информационной безопасности. Типовая процедура управления рисками схематично представлена на рис. 1.

Целью управления рисками информационной безопасности является обеспечение целостности, доступности и конфиденциальности всех компонентов ИТ инфраструктуры путем уменьшения возможности реализации угроз и разработки действий по устранению последствий их реализации. Естественно, прежде всего, необходимо детально исследовать технологические процессы предприятия, чтобы учесть все факторы, влияющие на ИБ и выявить соответствующие риски. Поэтому нужно определить и классифицировать объекты, имеющие материальную ценность и подлежащие защите, так называемые активы информационной безопасности, а также угрозы, связанные с их жизненным циклом.

К активам ИБ относятся конфигурационные элементы информационной системы (оборудование, специализированные помещения, программное обеспечение, документация и др.), которые объединяются в группы, исходя из их назначения, функциональности и присущих угроз. Активы ИБ классифицируются по уровню критичности, характеризующему их приоритетность и необходимую степень защиты (соответствующий набор методов защиты). Принято устанавливать три уровня критичности: высокий, средний и низкий. Оценку рисков целесообразно проводить преимущественно для активов ИБ высокого и среднего уровня критичности, когда влияние на конфиденциальность, целостность и доступность таких активов может причинить предприятию значительный ущерб.

Далее применительно к каждому типу активов ИБ выявляются потенциальные угрозы, и определяется степень воздействия этих угроз на информационную безопасность предприятия. Источниками угроз могут являться внешнее окружение, используемые технологии и процессы, персонал. Результатом реализации угрозы становится раскрытие, изменение, потеря или разрушение актива ИБ, утрата или компрометация конфиденциальной информации и т.д. Степень воздействия угрозы, т.е. уровень возможного ущерба от ее реализации, оценивается по различным категориям (конкурентное преимущество, законы и регулятивные требования, операционная доступность, репутация на рынке, стоимость актива, ущерб от нарушения бизнес-процессов и т.д.) и выражается как высокая, низкая или средняя. Затем по аналогичной шкале определяется вероятность возникновения угрозы (наступления рискового события).

В результате формируется матрица оценки риска, на основании которой, риск можно ранжировать в зависимости от вероятности реализации и степени воздействия угрозы, табл. 1.

Таблица 1. Матрица оценки риска

Для построения эффективной системы управления информационной безопасностью идентифицированные и оцененные риски следует сгруппировать, разделив, например, на три категории: риски доступности, риски информационной безопасности и риски непрерывности по типу применяемых к ним мер защиты. Идентифицировав и оценив риски ИБ, можно переходить непосредственно к и этой процедуры.

Кроме того, оценку рисков нужно проводить комплексно с другими процедурами управления, следуя процессному подходу, что позволит создать и успешно сертифицировать единую систему менеджмента предприятия. Это необходимо, в первую очередь, предприятиям ОПК в целях выполнения требований по сертификации системы менеджмента на соответствие стандарту ГОСТ РВ 0015-002 для получения лицензии МинПромТорга (сокращенно – лицензии ВВТ).

Наши эксперты готовы оперативно и квалифицированно ответить на вопросы, связанные с построением и сертификацией системы управления информационной безопасностью. Вы можете заказать консультацию по управлению рисками системы менеджмента вашего предприятия прямо сейчас.

Дата введения [дата внедрения] г.

ЭКЗ. № ____

Анализ рисков

Система менеджмента качества

Стандарт организации

(СТО-СМК-ДП-7.1.3- [год документа])

Издание официальное

Предисловие

Настоящий стандарт организации системы менеджмента качества «Анализа рисков» разработан в соответствии с планом работ [НАИМЕНОВАНИЕ КОМПАНИИ] по разработке и внедрению системы менеджмента качества (СМК) на соответствие требованиям ГОСТ Р ИСО 9001-2015, ГОСТ РВ 0015-002-2012 с целью осуществления управляемого Анализа рисков.

Сведения о стандарте

РАЗРАБОТАН [ответственный за взаимодействие с военпредом] [НАИМЕНОВАНИЕ КОМПАНИИ] ВНЕСЕН Ответственным представителем руководства по качеству [НАИМЕНОВАНИЕ КОМПАНИИ] УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом [ДОЛЖНОСТЬ РУКОВОДИТЕЛЯ КОМПАНИИ В РОДИТЕЛЬНОМ ПАДЕЖЕ] [НАИМЕНОВАНИЕ КОМПАНИИ] от [дата приказа утверждения] г. № [номер приказа утверждения] ПЕРВАЯ РЕДАКЦИЯ Стандарт организации оформлен с учётом требований стандартов ГОСТ Р 1.0-2012, ГОСТ Р 1.4-2004, ГОСТ Р 1.5-2012, ГОСТ Р 6.30-2003

1 Назначение

Целью настоящего стандарта организации (СТО) является выполнение требований пункта 8.2.3 ГОСТ Р ИСО 9001-2015, а также дополнительных требований пункта 7.2.2 ГОСТ РВ 0015-002-2012, установление общего порядка проведения анализа рисков, относящихся к способности предприятия производить продукцию в соответствии с требованиями потребителя.

Область применения

Настоящий стандарт устанавливает единые принципы, критерии и порядок проведения анализа рисков.

Требования настоящего СТО распространяются на деятельность высшего руководства по предприятия, а также деятельность подразделений и специалистов предприятия по подготовке и анализу данных, необходимых для осуществления планирования.

В настоящем СТО использованы ссылки на внутреннюю нормативную документацию согласно Матрицы внутренней нормативной документации.

Определения, обозначения, сокращения

4.1 В настоящей документированной процедуре использованы определения, относящиеся к документации системы качества в соответствии с ГОСТ Р ИСО 9001-2015. В случае, когда определение дано в редакции другого документа, в конце определения приведена ссылка на этот документ.

Анализ рисков - Формализованная процедура, основанная на выделении возможных (потенциальных) рисков разного вида с их последствиями и причинно-следственными связями, обуславливающими их возникновение и оценок критичности этих рисков для процесса производства (определено настоящим СТО).

Бизнес-план – документ СМК, содержащий изложение перспектив развития предприятия на предстоящий плановый период, содержащий планы, мероприятия, а также прогнозирование расходов и доходов (определено настоящим СТО).

Несоответствие - невыполнение установленных потребностей или ожиданий, которые установлены, обычно предполагаются или являются обязательными;

Продукция - результат процесса;

Процесс - совокупность взаимосвязанных и взаимодействующих , преобразующая входы в выходы;

Результативность – глубина, до которой реализованы запланированные виды деятельности и достигнуты запланированные результаты.

Система менеджмента качества – совокупность взаимосвязанных и взаимодействующих элементов для разработки политики, целей и достижения этих целей, предназначенная для руководства и управления организацией применительно к качеству;

Соответствие – выполнение потребности или ожидания, которое установлено, обычно предполагается или является обязательным.

Эффективность – связь между достигнутым результатом и использованными ресурсами.

Риск - предполагаемое событие, обладающее признаками вероятности и случайности, ставящее под угрозу способность предприятия производить продукцию в соответствии с заданными потребителем требованиями (определено настоящим СТО).

Значимость потенциального риска - качественная или количественная оценка предполагаемого ущерба от данного риска (определено настоящим СТО).

Балл значимости риска (Зн) - экспертно выставляемая оценка, соответствующая значимости данного риска по его возможным последствиям (определено настоящим СТО).

Балл возникновения (Вз) - экспертно выставляемая оценка, соответствующая вероятности (возможности) возникновения данного риска (определено настоящим СТО).

Комплексная оценка риска (КОР) - комплексная оценка риска с точки зрения его значимости по последствиям и вероятности возникновения, являющаяся произведением баллов значимости и возникновения (определено настоящим СТО).

Корректирующее действие - действие, предпринятое для устранения причины обнаруженного несоответствия или другой нежелательной ситуации.

Предупреждающее действие - действие, предпринятое для устранения причины потенциального несоответствия или другой потенциально нежелательной ситуации.

4.2 В документе используются следующие сокращения:

СТО – стандарт организации

РК – руководство по качеству;

СМК – система менеджмента качества.

4.3 В настоящем СТО использованы следующие обозначения:

Ответственность

Ответственность за разработку, содержание настоящего СТО и соответствие его нормам и требованиям межгосударственным стандартам, стандартам Российской федерации, стандартам отраслей, разделу 7.2.2 ГОСТ РВ 0015-002-2012 несет _____________________.

Ответственность за обеспечение выполнения требований настоящего СТО несет ____________.

Ответственность за реализацию мероприятий, намеченных по результатам анализа рисков, несут руководители высшего и среднего звена по принадлежности.

Описание процедуры

Общие положения

6.1.1 Анализ рисков позволяет:

идентифицировать факторы рисков, которые могут привести к незапланированной остановке производственного процесса; оценить возможные последствия для потребителя в случае прекращения поставок; идентифицировать факторы рисков, требующие усиленных действий для снижения вероятности возникновения; составить ранжированный список факторов рисков, устанавливая этим систему приоритетов для рассмотрения предупредительных действий и разработки плана реагирования.

6.1.2 Сессию анализа рисков проводят с целью анализа и разработки мер для предупреждения возникновения и (или) ослабления тяжести возможных последствий возникновения рисковых событий и для достижения требований по безопасности и надежности производства. Сессия анализа рисков осуществляется раз в год либо чаще по мере необходимости силами специально подобранной межфункциональной команды специалистов из производственных, обеспечивающих, обслуживающих и вспомогательных подразделений предприятия. Требования к межфункциональной команде определены в п. 6.4 настоящего СТО.

6.1.3 В соответствующих отчетных документах должны быть зафиксированы результаты проведенного анализа и решения о необходимых изменениях и действиях. Действия, проведенные по уменьшению рисков, также должны быть отражены в соответствующих документах, справках.

6.1.4 Проведение анализа рисков выполняется в следующем порядке:

Составление перечня возможных видов рисков, влияющих на способность предприятия производить продукцию и поставлять ее потребителям в соответствии с договорами, при этом должна учитываться информация о случившихся в прошлом рисковых событиях;

определение возможных неблагоприятных последствий от каждого рискового события, проведение качественного анализа тяжести последствий и оценки их значимости; определение причин каждого рискового события и оценка возможности возникновения каждой причины; количественная оценка критичности каждого риска; разработка мероприятий, направленных на предупреждение рисковых событий с целью снижения критичности рисков.

Порядок проведения анализа рисков

Описание порядка работы группы по анализу рисков приведено в таблице 6.1.

Таблица 6.1

Продолжение таблицы 6.1

Описание алгоритма работы группы анализа риска

Действия	Ответственный	Исполнитель	Документ
Выставление баллов по критерию вероятности возникновения	Руководитель группы	Члены группы	Протокол
Определение комплексной оценки риска для каждого фактора риска	Руководитель группы	Члены группы	Протокол
Составление ранжированного списка перечня факторов рисков по убыванию КОР	Руководитель группы	Члены группы	Протокол
Разработка мероприятий по предотвращению и снижению вероятности рисковых событий, а также тяжести от их последствий, в т. ч. разработка плана реагирования на случай непредвиденных обстоятельств	Руководитель группы	Члены группы	Протокол
Составление окончательного протокола по результатам работы межфункциональной группы и его подписание	Руководитель группы	Назначенный руководителем член группы	Протокол с подписями

Определение состава межфункциональной команды.

Межфункциональная группа представляет собой временный коллектив из разных специалистов, созданный специально для определения факторов риска, анализа и разработки мероприятий по их предотвращению и снижению вероятности возникновения рисковых событий.

Межфункциональная группа создается приказом по [НАЗВАНИЕ КОМПАНИИ] по представлению (должностного лица). Он же определяет руководителя межфункциональной группы.

В своей работе межфункциональная группа применяет метод мозгового штурма. Для эффективной работы все члены группы должны иметь практический опыт и высокий профессиональный уровень. Обязательно присутствие в группе руководителей производственных подразделений, служб снабжения и обеспечения, службы качества, отдела кадров и т. д. Присутствие представителей других подразделений определяет руководитель межфункциональной группы.

закупка комплектующих изделий и материалов; процессы производства продукции; обслуживание сетей энерго-, тепло-, ; техническое обслуживание и ремонт оборудования; контроль работы производственного оборудования и персонала; обеспечение финансовыми ресурсами; обеспечение производства квалифицированными кадрами.

Сбор информации для проведения сессии анализа рисков.

По возможности, информация для проведения анализа рисков собирается за несколько предыдущих периодов с тем, чтобы проследить тенденции.

Собранная информация обрабатывается в виде графиков, таблиц, диаграмм, справок и сопровождается выводами о тенденциях, степени достижения целей, сравниваются плановые и фактические показатели. Количество времени для сбора информации может меняться, и определяется приказом. Период сбора и составляет три последних года либо от предыдущей даты сессии анализа рисков.

Примерный перечень информации, необходимой для проведения сессии анализа рисков, указан в

Вся собранная информация представляются руководителю межфункциональной группы для сбора и предварительной обработки данных. Ознакомление членов группы с данными происходит непосредственно в момент совещания или предварительно путем рассылки материалов. При необходимости производится дополнительная систематизация и обработка информации, а также сбор недостающей информации.

Составление перечня факторов рисков с причинами и последствиями.

Для производственного процесса с его конкретной функцией межфункциональная группа определяет все возможные факторы рисков. Описание каждого фактора риска заносится в протокол анализа рисков, составленный в виде таблицы (Приложение Б). Для всех описанных факторов риска определяются их причины и последствия.

Для каждого фактора риска может быть несколько потенциальных последствий, все они должны быть описаны.

6.2.3 Выставление баллов по критерию значимости.

Для каждого последствия рискового события экспертно определяется балл значимости Зн при помощи таблицы баллов значимости. Балл значимости изменяется от 1 для наименее значимых по последствиям рисков до 5 – для наиболее значимых по последствиям. Типовые значения баллов значимости приведены в

Выставление баллов по критерию вероятности возникновения.

Для каждой потенциальной причины риска экспертно определяют балл возникновения Вз. Балл возникновения изменяется от 1 для наименее вероятных рисков до 5 – для рисков, наиболее вероятных.

Типовые значения балла возникновения приведены в

Определение комплексной оценки риска для каждого фактора риска.

Определение комплексной оценки риска (КОР) для каждого фактора риска осуществляется по формуле:

КОР=Зн×Вз (1)

Для рисков, имеющих несколько последствий, КОР рассчитывается для каждой причины по максимальному баллу Зн.

Составление ранжированного списка перечня факторов рисков по убыванию КОР.

После расчета КОР составляют перечень рисков/причин/последствий от максимального значения КОР до минимального.

Разработка мероприятий по предотвращению и снижению вероятности рисковых событий, а также тяжести от их последствий.

На основании результатов ранжирования факторов рисков межфункциональная группа разрабатывает экономически обоснованные предупреждающие действия по тем факторам, КОР которых составил более 15 единиц либо значения Зн или Вз которых равны или более 3.

Для факторов риска чрезвычайного характера группа разрабатывает мероприятия плана реагирования на случай их возникновения.

Предполагаемые риски	Мероприятия по предупреждению рисков	Мероприятия по снижению тяжести последствий	Наступление рискового события
Ответственный	План реагирования
	Поиск альтернативных поставщиков. Оценка и выбор надежных поставщиков.	Увеличение величины запасов по проблемным позициям	Использование сверхнормативного запаса
Поломки оборудования, влекущие остановку производственного процесса. Внеплановые остановки оборудования или прерывания технологического цикла из-за вынужденной переналадки оборудования	Выявление проблемных мест. Упор на них при разработке и проведении планово-предупредительного обслуживания и ремонта	Увеличение заделов НЗП цехе и величины запасов на складе
Утрата потребителями платежеспособности	Проработка условий договоров	Страхование финансового риска
Массовые эпидемии производственного персонала	Лечебно-профилактические мероприятия. Мотивация здорового образа жизни	Вывод персонала во внеурочное время. Привлечение временного персонала со стороны. Увеличение величины запасов готовой продукции на складе
Аварии и перебои энерго-, водо-,	Выявление проблемных мест. Упор на них при разработке и проведении планово-предупредительного обслуживания и ремонта сетей	Оперативное реагирование по ликвидации. Задействование резервных источников энерго-, водо-, теплоснабжения

6.2.9 Составление окончательного протокола по результатам работы межфункциональной группы и его подписание.

В конце работы межфункциональной группы должен быть составлен и подписан протокол, в котором отражают основные результаты работы группы, включающие, как минимум:

состав межфункциональной группы; перечень рисков, причин возникновения и последствий производственного процесса; экспертные баллы Зн, Вз и КОР для каждого фактора риска; предложенные в ходе работы группы, предупреждающие действия по снижению вероятности возникновения и тяжести последствий рисковых событий.

Форма протокола приведена в

К протоколу работы межфункциональной группы анализа рисков прилагают соответствующие отчеты и справки.

УПРАВЛЕНИЕ СТАНДАРТОМ ПРЕДПРИЯТИЯ

7.1 Управление стандартом предприятия в соответствии с СТО «Управление документацией».

7.2 Контрольный экземпляр настоящего СТО и изменения к нему хранятся в архиве.

7.3 Учтенные копии СТО, поправки и изменения к нему рассылаются:

(перечень должностных лиц).

ЗАПИСИ О КАЧЕСТВЕ

8.1 Протокол анализа рисков.

Место хранения – _________.

Срок хранения – __ лет.

ПРИЛОЖЕНИЯ

ПРИЛОЖЕНИЕ А

(справочное)

Информация для проведения сессии анализа рисков

	Информация	Источник информации	Ответственный за предоставление информации
Срывы поставок продукции потребителям (с указанием причин)
Данные об авариях, повлекших остановку производственного процесса
Срывы поставок поставщиками комплектующих изделий и материалов
Данные о внеплановых остановках оборудования или прерывания технологического цикла из-за вынужденной переналадки оборудования
Удлинение, по сравнению с плановыми, сроков ремонта оборудования
Данные по оказавшим негативное влияние на функционирование предприятия
Данные по финансовой устойчивости предприятия, платежеспособности потребителей
Сведения о массовых эпидемиях производственного персонала
Данные об авариях и перебоях энерго-, водо-, теплоснабжения
Сведения о массовом браке и несоответствиях в процессе производства

Форма протокола анализа рисков

Ответственный за проведение анализа рисков _____________________________ Планируемые сроки проведения анализа рисков: начало ___________ окончание ____________ Действительные сроки проведения анализа рисков: начало ___________ окончание ____________	Код/номер протокола анализа рисков _______________________________ Руководитель группы __________________ Члены команды: ___________________ ___________________ ___________________ ___________________ ___________________
	Фактор риска	Значимость (последствие) риска		Вероятность возникновения риска				Мероприятия по реагированию в случае возникновения	Ответственность и намеченная дата	Результаты работы
Предпринятые действия (мероприятия)

ПРИЛОЖЕНИЕ В

(справочное)

Шкала баллов значимости Зн

последствия	Критерий значимости	Последствие
Чрезвычайная	Очень высокий ранг значимости, когда под рисковым событием понимают чрезвычайную ситуацию (стихийные бедствия, пожары) с максимальным ущербом для производства и длительным сроком восстановительных работ.	Срыв поставок по договорам на длительное время
Очень тяжелая	Производственный процесс остановлен с потерей основной функции. Срок восстановления непрогнозируем. Величина запасов готовой продукции на складе недостаточна.	Срыв поставок по договорам
	Производственный процесс действует с длительными перебоями. Величина запасов готовой продукции на складе не покрывает потребности потребителей.	Краткосрочный срыв поставок по договорам
Средней тяжести	Производственный процесс действует с перебоями, снижена производительность. Величина запасов готовой продукции на складе близка к нулю.	Поставки прямо из цеха. Возможны короткие задержки
Незначительная	Краткосрочная остановка производственного процесса. Величина запасов готовой продукции на складе снижена, но покрывает потребности потребителей.	Без последствий

ПРИЛОЖЕНИЕ Д

(справочное)

Шкала баллов возникновения Вз

ЛИСТ ОЗНАКОМЛЕНИЯ

ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ