Общие положения
1.1. Настоящая процедура «Управление рисками» (в дальнейшем процедура) устанавливает основные принципы и подходы Компании к управлению рисками.
1.2. Настоящая процедура разработана в соответствии с требованиями СТ РК ISO 9001, ISO 31000, СТ РК ISO/IEC 17021-1, ГОСТ ISO/IEC 17065, ГОСТ ISO/IEC 17025 и ISO 9001.
1.3. Настоящая процедура распространяется на внутренние, внешние риски при предоставлении услуг.
1.4. Выполнение требований настоящей процедуры обеспечивает наличие соответствующих действий в отношении минимизации и устранения рисков.
1.5. Все работы по организации управления рисками в Компании контролируются руководителями структурных подразделений и представителем руководства по качеству.
1.6. Требования настоящей процедуры являются обязательными для всех сотрудников Компании.
1.7. Настоящая процедура переиздается в соответствии с установленным порядком внесения изменений во внутренние нормативные документы по результатам внутренних и внешних аудитов СМК и/или при изменении нормативных документов, на основании которых она была разработана.
Нормативные ссылки
2.1. Для применения настоящего документа необходимы следующие ссылочные нормативные документы. Для недатированных ссылок применяют последнее издание ссылочного нормативного документа (включая все его изменения):
| СТ РК ISO 9001 | Система менеджмента качества. Требования. |
| СТ РК ИСО/ТО 10013 | Руководящие указания по документированию системы менеджмента качества. |
| СТ РК ISO/IEC 17021-1 | Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента |
| ГОСТ ISO/IEC 17065 | Оценка соответствия. Требования к органам по подтверждению соответствия продукции, процессов и услуг |
| ГОСТ ISO/IEC 17025 | Общие требования к компетентности испытательных и калибровочных лабораторий |
| ГОСТ ISO 31000 | Менеджмент риска – Принципы и руководящие указания. |
| ISO 9000 | Системы менеджмента качества. Основные положения и словарь. |
| ISO 9001 | Системы менеджмента качества. Требования. |
Термины и определения
3.1. Термины и определения, используемые в данной процедуре, приведены в ГОСТ ISO 31000 и ISO 9000.
Обозначения и сокращения
| ВНД | – Внутренний нормативный документ |
| Компания | – |
| ПРК | – Представитель руководства по качеству |
| СМК | – Система менеджмента качества |
| УС | – Управляющий совет |
| ISO | – Международная организация по стандартизации |
| FMEA | – (Failure modes and effects analysis) Анализ причин и последствий несоответствий |
Основные задачи
5.1. Основными задачами настоящей процедуры являются:
- идентификация рисков;
- оценка и анализ рисков;
- устранение рисков и причин их возникновения;
- предупреждение повторного возникновения рисков.
5.2. Управление рисками представлено на рисунке 1.
Рисунок 1.
Идентификация рисков
Выявление рисков
6.1.1. Идентификация рисков - это определение подверженности Компании влиянию рисков, наступление которых может негативно отразиться на способности достичь запланированных целей и реализовать поставленные задачи.
6.1.2. Система управления рисками Компании направлена на выявление широкого спектра рисков и рассмотрение их в комплексе, что способствует отражению целостной картины по существующим рискам и повышает качество проводимого анализа рисков.
6.1.3. В соответствии с лучшей международной практикой управления рисками Компания на регулярной основе проводит идентификацию рисков с участием работников всех структурных подразделений в целях выявления максимального спектра рисков, повышения осведомленности об окружающих рисках и стимулирования развития риск-культуры организации.
6.1.4. Для идентификации рисков используется комбинация различных методик и инструментов, таких как идентификация рисков на основе поставленных целей и задач, отраслевых и международных сравнений, семинаров и обсуждений, интервьюирования, базы данных произошедших убытков и т.д. более подробно описанных во внутренних документах Компании, регулирующих идентификацию и оценку рисков.
6.1.5. Идентифицированные события и риски систематизируются в форме списка рисков в соответствии с Приложением А. Список рисков Компании представляет собой перечень рисков, с которыми сталкивается Компания в своей деятельности.
6.1.6. По каждому риску определены собственники риска, т.е. подразделения и/или работники, которые имеют дело с этим риском в силу своих функциональных обязанностей.
6.1.7. Список рисков дополняется структурными подразделениями Центра на постоянной основе по мере выявления новых рисков.
Систематизация идентифицированных
6.2.1. Систематизация идентифицированных рисков позволяет:
1) достичь последовательности в классификации и количественной оценке рисков, которая позволяет улучшить сравнение профиля рисков (по бизнес-процессам, структурным подразделениям, проектам и т.д.);
2) предоставить платформу для построения более сложных инструментов и технологий количественной оценки рисков;
3) предоставить возможность для согласованного управления и контроля рисков в Компании.
Классификация рисков
6.3.1. Для классификации рисков используется группировка рисков по следующим категориям:
1) стратегический риск - риск возникновения убытков вследствие изменения или ошибок (недостатков) при определении и реализации стратегии деятельности и развития Компании, изменения политической среды, региональной конъюнктуры, отраслевого спада, и других внешних факторов системного характера;
2) финансовый риск - включает риски, связанные со структурой капитала Компании, снижением прибыльности, колебаниями валютных курсов, кредитными рисками, колебаниями процентных ставок и т.д.;
3) правовой риск - риск возникновения потерь вследствие несоблюдения Компанией требований законодательства Республики Казахстан, в отношениях с нерезидентами Республики Казахстан - законодательств других государств, а также внутренних правил и процедур;
4) операционный риск - риск возникновения убытков в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны сотрудников (включая риски персонала), функционирования информационных систем и технологий (технологические риски), а также вследствие внешних событий.
Идентификация рисков
6.4.1. Идентификация рисков является функцией и ответственностью Управляющего совета (УС).
6.4.2. Идентификация рисков осуществляется членами УС во время совещания методом «мозгового штурма».
6.4.3. При проведении совещания первоначально рассматриваются основные показатели деятельности Компании, сформулированные в Политике и Целях в области качества.
6.4.4. При идентификации рисков, учитываются особенности деятельности Компании и влияния заинтересованных сторон.
6.4.5. Участники совещания высказывают мнения о возможных рисковых ситуациях, которые могут привести к негативным последствиям при достижении поставленных целях, и, в ходе обсуждения, приходят к консенсусу.
6.4.6. В результате идентификации рисков формируется список рисков в соответствии с Приложением А, влияющих на деятельность Компании и описания последствий.
6.4.7. Пересмотр существующих и идентификация новых рисков осуществляется по мере необходимости, но не реже одного раза в год.
Оценка и Анализ рисков
Общие положения
7.1.1. Идентификация и оценка рисков направлены на предоставление общего видения по существующим рискам и их размерам путем осуществления базового ранжирования для определения наиболее «слабых» мест. Данный процесс позволяет провести оценку используемых методов и процедур управления рисками.
7.1.2. Оценка вероятности реализации и возможного влияния рисков позволяет развить понимание о рисках, предоставляет необходимую информативную базу для принятия решений о необходимости управления определенным риском, а также наиболее подходящих и экономически эффективных стратегиях по его сокращению.
7.1.3. Процесс оценки рисков проводится с целью определения рисков, которые негативно влияют на деятельность Компании и достижение стратегических целей и задач. Эти риски должны выноситься на рассмотрение УС, который принимает решения об управлении и контроле по этим рискам.
7.1.4. В рамках проведения оценки и анализа рисков в Компании используются качественный, количественный анализы или их комбинация, которые создают методическую базу процесса управления рисками.
7.1.5. Оценка рисков включает рассмотрение источников и причин возникновения каждого риска, негативные последствия при их реализации, и вероятность, что определенное событие произойдет.
7.1.6. Первоначально оценка рисков проводится на качественной основе, затем для наиболее значимых рисков может быть проведена количественная оценка. Риски, которые не поддаются количественной оценке, нет надежной статистической информации для их моделирования или построение таких моделей не является целесообразным с точки зрения затрат, оцениваются только на качественной основе. Количественная оценка позволяет получать более точные аналитические данные, и особенно полезна при разработке методов финансирования рисков.
7.1.7. Все идентифицированные и оцененные риски отражаются в перечне рисков. Перечень рисков позволяет оценить относительную значимость каждого риска (по сравнению с другими рисками), а также разработать план мероприятий по их управлению.
Анализ рисков
7.2.1. После идентификации рисков осуществляется определение уровня их значимости. Уровень значимости риска характеризует степень угрозы не достижения запланированных результатов деятельности Компании.
7.2.2. Анализ рисков осуществляется членами УС методом «мозгового штурма» на основе экспертных (качественных) оценок уровня последствий и вероятности.
7.2.3. Определение уровня значимости риска осуществляется на основе матричного анализа в соответствии с таблицей 1.
Таблица 1. Матрица определения уровня риска
| Последствия Вероятность | Критические | Значительные | Незначительные |
| Высокая | Очень высокий | Высокий | Средний |
| Средняя | Очень высокий | Высокий | Низкий |
| Низкая | Очень высокий | Средний | Низкий |
7.2.4. Критерии оценки уровня значимости последствий приведены по шкале в таблице 2.
Таблица 2. Шкала определения уровня значимости последствий
| Качественная оценка значимости последствия | Определение |
| Критическое | Большая часть Стратегических целей и запланированных результатов не может быть достигнута |
| Значительное | Некоторые важные цели не могут быть достигнуты |
| Незначительное | Незначительное влияние на цели |
7.2.5. Критерии оценки уровня вероятности приведены по шкале в таблице 3.
Таблица 3. Шкала определения уровня вероятности
| Качественная оценка вероятности | Описание |
| Высокая | Нужно ожидать в течение календарного года |
| Средняя | Можно ожидать, что произойдет в течение года |
| Низкая | Предполагается, но маловероятно, что произойдет в течение года |
7.2.6. Для анализа рисков нарушения беспристрастности, объективности и конфиденциальности членами УС проводится дополнительный анализ, основанный на методологии FMEA.
7.2.7. Данная методология позволяет задокументировать и провести количественную оценку остаточных рисков с целью определения того, что они находятся в пределах границ допустимых рисков.
7.2.8. Критерии оценки значимости последствий при проведении FMEA указаны в таблице 4.
Таблица 4. Критерии оценки значимости последствий при проведении FME анализа
| Последствие | Критерий значимости последствия | Балл S |
| Опасное без предупреждения | Может полностью остановить деятельность Компании. | |
| Опасное с предупреждением | Может полностью остановить деятельность Компании. Как правило, этому предшествует предупреждение от вышестоящих/надзорных органов. | |
| Очень важное | Большое нарушение процесса. Качество до 100% услуг не соответствует требованиям. Услуга не вызывает доверия. Заинтересованные стороны очень недовольны. | |
| Важное | Большое нарушение процесса. Может потребоваться дополнительная проверка до 100% услуг или другие меры. Заинтересованные стороны не удовлетворены. | |
| Умеренное | Небольшое нарушение процесса. Может потребоваться дополнительная проверка значительной части продукции или другие меры. Услуга в целом соответствует требованиям, но часть системы сертификации работает с пониженной эффективностью. Заинтересованные стороны испытывают дискомфорт. | |
| Слабое | Небольшое нарушение процесса. Может потребоваться дополнительная проверка незначительной части продукции или другие меры. Услуга в целом соответствует требованиям, но часть системы сертификации работает с пониженной эффективностью. Услуга вызывает доверие. Заинтересованные стороны испытывают некоторое неудовлетворение. | |
| Очень слабое | Небольшое нарушение процесса. Может потребоваться дополнительная проверка незначительной части продукции или другие меры. Услуга вызывает доверие. Основные показатели услуги соответствует требованиям, дополнительные характеристики не соответствуют ожиданиям потребителей. Это замечают большинство заинтересованных сторон. | |
| Незначительное | Небольшое нарушение процесса. Может потребоваться дополнительная проверка незначительной части продукции или другие меры. Услуга вызывает доверие. Основные показатели услуги соответствует требованиям, дополнительные характеристики не соответствуют ожиданиям потребителей. Это замечает среднее число потребителей. | |
| Очень незначительное | Небольшое нарушение процесса. Может потребоваться дополнительная проверка незначительной части продукции или другие меры. Услуга вызывает доверие. Основные показатели услуги соответствует требованиям, дополнительные характеристики не соответствуют ожиданиям потребителей. Это замечает малое число потребителей. | |
| Отсутствует | Нет последствия |
7.2.9. Критерии вероятности возникновения причины указаны в таблице 5.
Таблица 5. Критерии вероятности возникновения причины при проведении FME анализа
| Вероятность угрозы нарушения беспристрастности/конфиденциальности | Возможная частота возникновения | Балл О | |
| Уровень угрозы | Описание | ||
| Очень высокая | нарушение почти неизбежно | Более 1 из 2 » 1 из 3 | |
| Высокая | ассоциируется с аналогичными процессами, которые часто отказывают | Более 1 из 8 » 1 из 20 | |
| Умеренная | в общем, ассоциируется с предыдущими процессами, у которых наблюдались случайные нарушения, но не в большой пропорции | Более 1 из 80 » 1 из 400 » 1 из 2000 | |
| Низкая | отдельные нарушения, связанные с подобными процессами | Более 1 из 15000 | |
| Очень низкая | отдельные нарушения, связанные с почти идентичными процессами | Более 1 из 150000 | |
| Малая | нарушение маловероятно. Нарушения никогда не связаны с такими же идентичными процессами | Более 1 из 1500000 |
7.2.10. Критерии вероятности обнаружения указаны в таблице 6.
Таблица 6. Критерии вероятности возникновения причины при проведении FME анализа
| Обнаружение | Критерий вероятности обнаружения нарушения в производственном процессе до окончания оказания услуги | Балл D |
| Почти невозможно | Нет известного контроля для обнаружения нарушения в производственном процессе | |
| Очень плохое | Очень низкая вероятность обнаружения нарушения действующими методами контроля | |
| Плохое | Низкая вероятность обнаружения нарушения действующими методами контроля | |
| Очень слабое | Очень низкая вероятность обнаружения нарушения действующими методами контроля | |
| Слабое | Низкая вероятность обнаружения нарушения действующими методами контроля | |
| Умеренное | Умеренная вероятность обнаружения нарушения действующими методами контроля | |
| Умеренно хорошее | Умеренно высокая вероятность обнаружения нарушения действующими методами контроля | |
| Хорошее | Высокая вероятность обнаружения нарушения действующими методами контроля | |
| Очень хорошее | Очень высокая вероятность обнаружения нарушения действующими методами контроля | |
| Почти наверняка | Действующий контроль почти наверняка обнаружит нарушения. Для подобных процессов известны надежные методы контроля |
7.2.11. Записи проведенного анализа регистрируются и хранятся в виде «Протокола работы FMEA- команды УС» согласно Приложению Б.
Оценка рисков
7.3.1. Целью данного процесса является определение рисков, которые имеют приоритетность необходимости управления (ТОП- риски).
7.3.2. Под данную категорию подпадают риски, которые:
- характеризуются уровнем последствий «критические», и соответственно собственным уровнем значимости «очень высокий»;
- имеют факторы риска, поддающиеся управлению.
7.3.3. Оценку рисков производят члены УС не реже одного раза в год.
7.3.4. Выходом из данного процесса является Перечень рисков, который составлен из ТОП-рисков.
7.3.5. Форма данного перечня приведена в Приложении В настоящей процедуры.