lab-info.ru

К а ж д ы й   в о п р о с   -   ш а г   к   н о в ы м   о т к р ы т и я м

Главная Аккредитация ТР ТС Медицинские изделия Новости Полезное Контакты
Главная » Аккредитация » СМК » Риски и возможности » Риски

Риски

Работать с рисками порой оказывается не так-то просто. Давайте вместе разберёмся с основными вопросами, возникающими при управлении рисками.

Термин и его определение: что такое риск?

Обратимся к конкретным нормативным документам:

ГОСТ Р ИСО 31073-2024 “Менеджмент риска. Словарь” (с официальной версией данного стандарта Вы можете ознакомиться по ссылке): риск – следствие влияния неопределенности на достижение поставленных целей. Под следствием влияния неопределенности понимается отклонение от ожидаемого результата. Оно может быть положительным, отрицательным или тем и другим и может рассматривать, подготавливать или приводить к возникновению возможностей и угроз. Цели могут иметь различные аспекты и категории и распространяться на различные уровни. Риск часто выражается через его источники, потенциальные события, их последствия и вероятность.

ГОСТ Р ИСО 31000-2019 “Менеджмент риска. Принципы и руководство” (с официальной версией данного стандарта Вы можете ознакомиться по ссылке) дополняет понятие следующим: цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу). Риск часто характеризуют путем описания возможного события (3.5) и его последствий (3.6) или их сочетания. Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности. Неопределенность – это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.

Конечно, есть ещё и узкоспециализированные стандарты (профильные). К примеру, ГОСТ Р ИСО 22367-2022 “Лаборатории медицинские. Применение менеджмента риска в медицинских лабораториях” (с официальной версией данного стандарта Вы можете ознакомиться по ссылке). Согласно данному стандарту риск это сочетание вероятности причинения вреда и тяжести этого вреда.

Зачем лабораториям выявлять и оценивать риски?

Системный риск-менеджмент в лаборатории — это не просто формальность (требования Росаккредитации), но и инструмент обеспечения качества, экономии ресурсов и стратегического развития.

  1. Соответствие требованиям аккредитации, а именно ГОСТ ISO/IEC 17025-2019 (с официальной версией данного стандарты Вы можете ознакомиться по ссылке). Стандарт прямо обязывает планировать и внедрять меры по рискам и возможностям.
  2. Гарантия достоверности результатов. Своевременная идентификация и анализ рисков позволяет предотвратить ошибки в измерениях и интерпретации.
  3. Профилактика финансовых потерь и репутационных издержек. Несвоевременное реагирование на риски—например, сбои в работе оборудования (что может привести к задержке выдачи итогового документа заказчику) или приостановка деятельности — влечёт за собой непреднамеренные расходы (перерасходам на повторные исследования, штрафы и, как итог, потеря доверия заказчика).
  4. Конкуренция среди других аккредитованных лабораторий. Анализ рисков зачастую выявляет и «возможности» — оптимизация процессов, внедрение новых методик, расширение услуг. Таким образом риск-менеджмент становится драйвером роста и инноваций.
  5. Регулярный пересмотр реестра рисков и отчётов по их нивелированию даёт руководству прозрачную картину уязвимых зон и позволяет обоснованно принять решение по приоритизации ресурсов.
  6. Повышение доверия внешних органов и заказчиков исследований (испытаний) и измерений. Заказчики и надзорные органы охотнее работают с лабораториями, которые демонстрируют профессиональный подход к рискам и документально подтверждают его эффективность.

Этапы работы с рисками

ГОСТ ISO/IEC 17025-2019 (с официальной версией данного стандарта Вы можете ознакомиться по ссылке) регламентирует какую работу с рисками мы должны проводить. А именно, пункт 8.5.2: лаборатория должна планировать действия, связанные с рисками; каким образом: интегрировать и внедрять данные действия в систему менеджмента и оценивать результативность данных действий.

Следовательно, необходимо: идентифицировать риски, оценивать их, контролировать и проводить периодический пересмотр. Не забудьте назначить для каждого этапа ответственного сотрудника.

Для чего необходимо проводить идентификацию рисков?

  1. Обеспечить соответствие ГОСТ ISO/IEC 17025 (п. 8.5). Стандарт требует системного подхода к рискам и возможностям — без их идентификации этот процесс просто не будет работать.
  2. Собрать все потенциальные угрозы, которые могут повлиять на качество и сроки исследований.
  3. Предотвратить инциденты и несоответствия. Заблаговременное понимание потенциальных проблем позволяет разработать меры контроля и снизить вероятность отказов.
  4. Выявить места уязвимости. Понять, какие процессы, оборудование или методы наиболее подвержены сбоям и ошибкам.
  5. Приоритизировать усилия и ресурсы. Обнаружив риски на раннем этапе, можно сконцентрироваться на самых критичных и не расходовать бюджет на малозначимые угрозы.
  6. Снизить затраты и защитить репутацию. Предотвращая утечку кадров, информации, аварии, сбои, поломки, повторные исследования, лаборатория экономит деньги и укрепляет доверие заказчиков.
  7. Создать базу для непрерывного улучшение. Реестр и анализ выявленных рисков становятся основой для последующих этапов — оценки, контроля и пересмотра, что обеспечивает постоянное повышение качества.

Зарегистрированные риски, обычно, представляют в виде реестра/матрицы рисков. Пример документа Вы можете найти в конце настоящей статьи. А если Вам необходим пример по заполнению матрицы возможностей, то сводную таблицу Вы можете найти в конце другой нашей статьи, перейдя по ссылке (больше примеров возможностей представлено в документе, под названием “Журнал оценки реализованных возможностей”).

Как проводить идентификацию рисков?

  1. Первоначально необходимо сформировать и назначить группу (если это применимо, зависит от метода проведения идентификации рисков) и ответственных за все стадии работы с рисками, в том числе по их идентификации. В рабочую группу лучше всего включить сотрудников из разных сфер деятельности: менеджера по качеству, стандартизатора, испытателей разных отделов и так далее. Кто именно и сколько человек должно быть в группе нигде не регламентировано, поэтому каждая лаборатория выбирает и прописывает сама. Но состав из узкопрофильных специалистов гарантирует многогранный взгляд на процессы и способен минимизировать специфические риски, которые могли бы остаться незамеченными.
  2. Сбор и анализ информации. Вначале анализируют всю доступную информацию: внутренние документы (руководство по качеству, процедуры, инструкции, регламенты, отчёты руководства; отчёты об отклонениях, авариях, ремонтах и любых других происшествиях; отчёты внутренних аудитов (статьи на данную тему Вы можете найти в данном разделе, а также найти примеры опросных листов) и так далее), исторические данные лаборатории (несоответствия, жалобы заказчиков) и требования внешних нормативных документов (ГОСТ ISO/IEC 17025, Приказ Минэкономразвития РФ от 26.10.2020 № 707 и так далее ).
  3. Далее проводится генерация идей и системный анализ. Более подробно рассмотрим чуть ниже. Это могут быть мозговые штурмы по ключевым этапам лабораторного процесса, метод «Почему» для глубокого поиска корневых причин, а также заранее подготовленные чек-листы по категориям рисков (технические, организационные, персональные и другие). Часто используют SIPOC-диаграммы для визуализации цепочки «поставщик–вход–процесс–выход–потребитель» и FMEA-сессии для детальной проработки отказов оборудования или методик.
  4. Все выявленные риски фиксируются в едином реестре/матрице по установленной лабораторией форме. Для каждого риска важно указать: краткое описание, источник, тип (качественный, количественный или оба), количество и качество необходимых данных; уровень (например, стратегический, тактический, оперативный); возможные причины, последствия, методологию сбора, а также первоначальную оценку (вероятность и степень воздействия).
  5. После заполнения реестра можно провести дополнительный опрос коллег из других подразделений: проверить полноту и корректность списка.
  6. В завершение, результаты заносятся в реестр/матрицу, утверждаются, интегрируется в СМ и работу лаборатории, для каждого риска назначаются ответственные лица, которые будут вести последующую оценку, контроль и периодический пересмотр.

Такой структурированный подход к идентификации рисков поможет лаборатории заранее предусмотреть слабые места, рационально распределить ресурсы и снизить вероятность несоответствий в ходе аккредитации и ежедневной работ.

Какими методами можно идентифицировать риски?

Самые простые методы идентификации рисков (они и нетолько подробно описаны в ГОСТ Р 58771-2019 “Менеджмент риска. Технологии оценки риска” (с официальной версией данного стандарты Вы можете ознакомиться по ссылке)):

  1. Мозговой штурм.
  2. Метод номинальной группы.
  3. Метод интервьюирования.
  4. Метод проведения опросов.
  5. Метод Делфи.

Более подробно о этих методах и не только Вы можете прочитать в ГОСТ Р 58771-2019.

Мозговой штурм

Согласно ГОСТ Р 58771-2019 “Менеджмент риска. Технологии оценки риска”: мозговой штурм – это процесс, используемый для стимулирования и поощрения группы людей к разработке идей, связанных с одной из тем любого характера. Нужно понимать, что мозговой штурм нацелен на идентификацию рисков, а не их оценку или анализ.

Для проведения мозгового штурма необходимо назначить ответственного – ведущего, который будет курировать сам ход процесса. Он должен быть квалифицированным, контролировать беспристрастность проведения идентификации, т.е. чтобы все процессы работы лаборатории были охвачены, а зафиксированные риски были переданы для последующей обработки. Ведущий берёт первое слово, а дальше вся группа по идентификации рисков участвует и предлагает свои идеи. Ведь цель мозгового штурма: собрать как можно больше различных идей для последующего анализа. Нужно учитывать тот факт, что проведения мозгового штурма в группе может замедлить процесс идентификации рисков, поскольку:

  1. В группе идеи скорее сходятся, чем диверсифицируются;
  2. Некоторые люди с ценными идеями не раскрываются, а другие доминируют в ходе дискуссии;
  3. Задержка в ожидании перехода к диалогу или даже спору имеет тенденцию блокировать идеи;
  4. Люди склонны отвлекаться от темы, когда работают в группе.

Эти риски можно уменьшить путём предоставления участникам мозгового штурма возможности работать в одиночку в течение определённого отведённого времени; изменяя членства в группе или сочетать метод мозгового штурма с другими методами, например опросами. Последний вариант в свою очередь может быть осуществлён анонимно, что позволит избежать недомолвок со стороны персонала.

Метод номинальной группы

Данный метод похож на мозговой штурм, но с чёткой поочерёдностью выступлений и анонимным голосованием. Сам процесс выглядит следующим образом:

  1. Назначаются ведущий и члены группы;
  2. Ведущий предоставляет каждому члену группы вопросы, которые необходимо учитывать в обязательном порядке;
  3. Члены группы записывают свои идеи по внесению в реестр/матрицу молча и независимо;
  4. После либо каждый член группы по очереди представляет свои идеи без обсуждения, либо идеи передаются ведущему анонимно;
  5. Затем ведущий оглашает все и они обсуждаются группой для предоставления согласованного списка;
  6. Все участники голосуют в частном порядке по каждой идее, а групповое решение принимается на основании голосов.

Сильные стороны данного метода по идентификации рисков состоят в следующем:

  1. Обеспечено более сбалансированное представление о возможных рисках, чем мозговой штурм, поскольку некоторые члены группы в ходе рассуждений более активные, чем другие;
  2. Имеется тенденция к более равномерному (поочередному) участию, если все или некоторые члены группы являются новичками в команде, или проблема спорная, или существует силовой дисбаланс или конфликт между участниками обсуждения. В ходе данного метода все участники высказываются по очереди без параллельных дебатов, а могут внести свои предложения в принципе анонимно;
  3. Уменьшается давление на сотрудника в силу анонимности;
  4. Можно достичь консенсус в относительно короткие сроки.

Метод интервьюирования

Первоначально, как и при предыдущих методах, назначаются ответственный и группа опрашиваемых людей. Ответственный подготавливает определённый перечень вопросов для конкретного члена группы, связанных со спецификой его работы, должности и так далее. Таким образом, интервью обеспечит получение углубленной информации и мнений отдельных лиц в группе, специалистов по профилю. Полученные ответы могут быть конфиденциальными, если это необходимо.

Основной плюс этого метода – интервью можно проводить не в один день. Каждого члена группы интервьюировать по установленному графику или в определённые часы, оформив соответствующие документы (график проведения интервьюирования). Такой способ проведения идентификации рисков удобен, если трудно объединить членов группы в одном и том же месте одновременно (допустим у лаборатории два адреса или кто-то находится в командировке и т.д.).

Также стоит отметить, что такие структурированные интервью дают время для размышлений, что способствует более глубокому осмыслению вопросов, чем групповой подход.

В чём минусы данного подхода? Интервью требуют много времени для разработки вопросов, проведения и анализа полученных ответов. Нужно чётко понимать кому и какие вопросы задавать. Некорректно будет опрашивать сотрудника, работающего в отделе по испытаниям сантехнических изделий, про работу сотрудника, испытывающего пиротехнику. Нельзя забывать про предвзятость: симпатию к продвижению определённых вопросов по работе может проявлять как тот кто интервьюирует, так и тот у кого берут интервью. В данном вопросе групповое обсуждение способно скорректировать предвзятость в обсуждении. В ходе проведения индивидуального опроса у опрашиваемого не стимулируется воображение, что могло бы привести к идентификации каких бы то ни было забытых или специфических рисках.

Метод проведения опросов

При проведении идентификации рисков данным методом требуется, чтобы большая часть ответов вопросника была формата “да/нет” или с предоставлением вариантов ответа. Допускается включение нескольких вопросов со свободными ответами, но их количество должно быть ограничено. Вопросник должен разрабатывать компетентный сотрудник. Именно он сможет обеспечить составление недвусмысленных вопросов. Чтобы получить необходимую статистику по ответам, количество желающих принять участие в опросе должно быть как можно больше. Результаты опроса, проведенного данным методом, можно представить в графическом формате (диаграммы, графики).

Плюсы данного метода заключаются в следующем:

  1. Можно опросить большее количество людей, чем при проведении интервью.
  2. Можно использовать программное обеспечение в силу массовости и однотипности вопросов.
  3. Итогом являются статистические данные и их легло представить в графическом варианте.

Но и минусы тоже есть:

  1. Характер вопросов ограничен необходимостью быть простыми и недвусмысленными.
  2. Количество вопросов, которые могут быть включены в вопросник, ограничено.
  3. Опрашиваемые могут интерпретировать вопросы по-другому, чем предполагалось.

Метод Делфи

Метод Делфи – это метод сбора и сопоставления суждений по определенной теме посредством набора последовательных вопросников. Существенной особенностью метода Делфи является то, что люди выражают свое мнение индивидуально, независимо и анонимно, имея доступ к мнению других членов группы по мере продвижения процесса.

Члены группы самостоятельно предоставляют вопрос или вопросы, которые необходимо рассмотреть. Информация из первого раунда ответов анализируется, объединяется и распространяется среди участников дискуссии, которые затем могут рассмотреть свои первоначальные ответы. Участники дискуссируют, и процесс повторяется до тех пор, пока не будет достигнут консенсус.

Метод Делфи используется для сложных проблем, по которым существует неопределенность, для чего требуется особое мнение для устранения этой неопределенности. Он может использоваться в прогнозировании, разработке стратегий и тактик, а также для достижения консенсуса или для согласования различий между мнениями.

Сильные стороны включают следующее:

  1. Поскольку мнения анонимные, скорее всего, будут высказаны непопулярные мнения.
  2. В силу анонимности можно избежать проблем с доминацией определенных сотрудников.
  3. Люди могут не объединяться в одном месте одновременно.
  4. У опрашиваемых есть время, чтобы ответить на вопросы.

Минусы:

  1. Трудоемкость и большой объем времени на реализацию;
  2. Участники должны четко выражать своё мнение.

Анализ выявленных рисков

Приоритизация рисков позволяет сразу видеть, где нужно действовать незамедлительно, где планировать меры в среднесрочной перспективе, а какие риски можно контролировать в рамках регулярного мониторинга.

Поэтому после того как определён перечень рисков необходимо провести их анализ. Самый простой и распространённый способ – это составление зависимости серьёзности последствий от вероятности их возникновения. При необходимости можно дополнительно вводить и другие критерии зависимости, например:

  1. Скорость реализации риска. Показывает, как быстро риск «разворачивается» в проблему после возникновения: быстрая — минуты или часы (требует немедленных мер); средняя — дни (есть небольшое «окно» для реакции); медленная — недели (можно планировать ответ заранее).
  2. Обнаруживаемость: высокая – риск легко и быстро фиксируется (например, штатными системами мониторинга или при ежедневном контроле); средняя – для выявления нужны специальные проверки или выборочные замеры (например, периодическая сверка данных); низкая – риск может оставаться незаметным длительное время (скрытые сбои, ошибки без явных сигналов).
  3. Степень готовности к реагированию. Оценивается, насколько лаборатория заранее подготовлена к оперативной ликвидации последствий: низкая — нет заранее отработанного плана, требуется время на мобилизацию; высокая — есть готовые резервные мощности, инструкции, тренированные команды; средняя — есть базовые процедуры и ресурсы, но требуют развёртывания.

Если оформляем зависимость в виде матрицы, то оси шкал можно представить следующим образом:

  1. Вероятность (P):
    • 1 — Очень маловероятно (единичные случаи за весь срок эксплуатации);
    • 2 — Маловероятно (1–2 случая в год);
    • 3 — Возможно (1–2 случая в квартал);
    • 4 — Вероятно (1–2 случая в месяц);
    • 5 — Очень вероятно (несколько раз в месяц и чаще);
  2. Серьёзность (S):
    • 1 — Незначительное (не влияет на результаты и сроки);
    • 2 — Небольшое (легкое нарушение сроков или незначительная погрешность);
    • 3 — Среднее (повторный анализ, дополнительная проверка);
    • 4 — Существенное (срыв сроков, жалоба клиента, доразработка методики);
    • 5 — Критичное (утрата образца, серьёзная репутационная или финансовая потеря).

Далее необходимо установить границы при которых риск может быть приемлем – ранжировать (определить пороговые значения), например:

  • Низкий риск (L): P × S ≤ 5
  • Средний риск (M): 6 ≤ P × S ≤ 12
  • Высокий риск (H): P × S ≥ 15

При этом можно корректировать эти пороги под специфику работы лаборатории. Например, если лаборатория готова мириться с более высоким риском при малой серьёзности (например, P×S=8 при S≤2). Или зайдём с другой стороны: возможна ситуация, при которой даже средняя вероятность и средняя серьёзность могут считаться «высоким» риском. А могут возникнуть требования и со стороны заказчика. Поэтому границы «Среднего» и «Высокого» всегда, если это обосновано, можно сместить.

Обработка рисков

Обработка рисков – это не просто набор мероприятий, а полный управленческий цикл: от выбора оптимальной стратегии до контроля их результативности и постоянного улучшения системы управления рисками. Этот процесс описывается весь цикл работы с теми угрозами, которые Вы уже идентифицировали и проанализировали. Основная цель — найти и реализовать наиболее эффективные способы снизить вероятность наступления нежелательных событий или минимизировать их последствия.

  1. Выбор стратегии реагирования.
    Каждому риску (или группе схожих рисков) назначается одна из стратегий:
    • Избегание — полностью отказаться от деятельности, порождающей риск (например, сократить методику, не проводить “междусобойчики”).
    • Снижение — принять меры, уменьшающие вероятность или серьёзность (дублирование оборудования, ужесточение контроля, обучение персонала).
    • Передача — переложить ответственность на третью сторону (страхование оборудования, нанять аутсорсинг, провести МСИ с аккредитованным провайдером).
    • Принятие — осознанно оставить риск без изменений, если стоимость мер выше возможного ущерба и он находится в пределах.
    • Устранение источника риска (увольнение сотрудника).
    • Изменение вероятности реализации риска.
    • Изменение последствий реализации риска.
    • Осознанное удержание риска путем принятия обоснованного решения.
  2. Оценка вариантов мер. Для каждой стратегии нужно:
    • Составить перечень возможных действий (технических, организационных, финансовых).
    • Оценить их эффективность и затраты (работочасы, бюджет, время внедрения).
    • Провести сравнение «затраты / эффект» и выбрать оптимальный набор.
  3. Для каждого риска задокументировать:
    1. Выбранную стратегию.
    2. Конкретные мероприятия (что именно будет сделано).
    3. Сроки реализации.
    4. Ответственных исполнителей.
  4. Реализация мер:
    • Запуск и координация действий согласно плану.
    • Контроль исполнения: совещания, промежуточные отчёты, проверка ключевых показателей.
  5. Оценка результативности:
    • После внедрения мероприятий снова рассчитывают P и S (и, при необходимости, другие параметры вроде обнаруживаемости или готовности).
    • Сравнивают новые показатели с исходными, чтобы убедиться, что риск действительно снизился до приемлемого уровня.
  6. Обратная связь и корректировка:
    • На основании фактических данных (инцидентов, аудитов, отзывов заказчиков) пересматривают:
      • Эффективность выбранных мер,
      • Актуальность стратегии (быть может, вместо «снижения» надо перейти к «избеганию»),
      • Необходимость добавочных действий.
    • Вносят обновления в план/реестр рисков.

Мониторинг и пересмотр

Мониторинг – постоянная (непрерывная) проверка, надзор, критическая оценка или определение статуса с целью выявления отклонений от запланированного или требуемого уровня эффективности работы. Пересмотр – деятельность, предпринимаемая для определения применимости, адекватности и эффективности предмета рассмотрения для достижения установленных целей. Определения взяты из ГОСТ Р ИСО 31073-2024 “Менеджмент риска. Словарь” (с официальной версией данного стандарты Вы можете ознакомиться по ссылке).

Цель мониторинга и пересмотра заключается в обеспечении и повышении качества и эффективности разработки, реализации и результатов процесса. Мониторинг и периодический пересмотр должны быть запланированной частью процесса менеджмента риска, а за их выполнение должен быть назначен ответственный. Мониторинг и пересмотр включают в себя планирование, сбор и анализ информации, документирование результатов и предоставление обратной связи.

Необходимо проводить мониторинг как минимум следующего:

  1. Ключевые показатели.
  • Изменение значений P×S – рекомендуется ежемесячно;
  • Количество инцидентов по каждому типу риска – рекомендуется при каждом событии;
  • Статус выполнения мероприятий – рекомендуется еженедельно.

2. Источники данных.

  • Регулярные короткие встречи по рискам с персоналом;
  • Ежедневные (еженедельные и так далее, в зависимости от того, какая периодичность установлена в Ваших документах СМ) отчёты подразделений;
  • Результаты внутренних аудитов и проверок;
  • Жалобы и претензии заказчиков;
  • Технические записи.

Зачастую именно в ходе мониторинга может возникнуть надобность пересмотра рисков.

Как часто проводить пересмотр рисков?

Жёсткого регламента на данный момент по частоте пересмотра во внешних документах не установлено. Поэтому лаборатория сама устанавливает пороги для в своих документах СМ, точно также как и для возможностей (статью с примерами по возможностям Вы можете найти здесь). Можно выделить два вида:

  1. Плановый пересмотр. Рекомендованная частота: ежегодно — распространённая практика для большинства лабораторий; полугодие или квартал — для Организаций с высокими темпами внедрения новых методов и оборудования или при жёстких требованиях заказчиков.
  2. Внеплановый пересмотр. Иногда лаборатории в силу инцидента необходимо провести внеплановый пересмотр реестра. Этот процесс должен быть прописан в документах СМ, в частности триггеры по которым он проводится. Внеплановый пересмотр может быть осуществлён в следующих случаях (приведён примерный перечень, не исчерпывающий):
  • Произошла регистрация инцидента/несоответствия критичной категории;
  • Вышли критичные изменения нормативных требований или методов исследований;
  • Внедрении нового оборудования или методики, влекущие за собой риски (как новые, так и критичные);
  • Поступили серьёзных жалобы заказчиков.

Алгоритм действий зависит от того, как прописано в Ваших документах СМ. Ниже представлен ориентировочный порядок:

  1. Руководитель лаборатории (или уполномоченное лицо) издаёт внутреннее распоряжение о внеплановом пересмотре с указанием причины.
  2. Менеджер по качеству собирает рабочую группу.
  3. Группа анализирует текущий реестр, пересчитывает параметры (P, S и дополнительные критерии), вносит корректировки в реестр и план обработки.
  4. Все изменения документируются: протокол встречи, обновлённая версия реестра, дополненный план мер.
  5. О результатах пересмотра информируют руководство и все заинтересованные стороны.

Какие документы нужно подготовить для доказательства оценки рисков?

Для доказательства того, что в лаборатории проведена полноценная оценка рисков, обычно формируют и хранят следующий минимальный пакет документов:

  1. Процедура «Управление рисками».
    – Описывает общий алгоритм идентификации, анализа, обработки, мониторинга и пересмотра рисков (ссылка на ГОСТ ISO/IEC 17025, ГОСТ Р 58771-2019 и т. д.).
    – Должна быть утверждена уполномоченным лицом и доведена до всего персонала.
  2. Реестр рисков.
    – Таблица со всеми идентифицированными рисками и их атрибутами (описание, источник, P, S, P×S, категория, обнаруживаемость, скорость развития, готовность к реагированию).
    – Для каждого риска отмечены дата внесения, ответственное лицо и статус.
  3. Матрицы или отчёты по анализу рисков.
    – Пример: матрица 3×3 или 5×5, отчёт с расчётами P×S и границами «низкий/средний/высокий».
    – Может быть приложен как приложение к реестру или оформлен в виде отдельного документа.
  4. Протоколы собраний по идентификации и анализу рисков. В протоколе фиксируются дата, участники, методика, основные выявленные риски.
  5. План обработки рисков, утверждённый уполномоченным лицом. Для каждого критичного и повышенного риска перечислены выбранные меры (стратегия, сроки, ресурсы, ответственные).
  6. Журналы / формы исполнения мер.
    – Акты внедрения, отчёты о выполнении корректирующих мероприятий, протоколы проверок.
    – Документы, подтверждающие факт выполнения запланированных действий.
  7. Документы мониторинга и пересмотра.
    – Регистрация ключевых показателей, сводные отчёты.
    – Протоколы рабочих групп по пересмотру рисков, внутреннего аудита.
  8. Записи об обучении персонала. Свидетельства и журналы о проведённых тренингах по риск-менеджменту, инструктажах по новым процедурам.
  9. Сводный отчёт по результатам независимого или внутреннего аудита. Заключение аудитора об адекватности и эффективности системы управления рисками.
  10. Ссылки на нормативы и стандарты. Перечень применённых ГОСТов, ISO-стандартов и внутренних регламентов с датами версий.

Как сформировать план мер при возникновении риска?

Когда риск идентифицирован и проанализирован, следующим шагом становится разработка чёткого плана мер — «что делать, когда и кем». Вот алгоритм его формирования:

  1. Краткое описание риска.
    – Сформулируйте название и суть риска (из реестра).
    – Укажите исходные параметры (P, S, P×S, категория).
  2. Выбор стратегии обработки:
    – избежать (отказаться от операции или метода),
    – снизить (уменьшить вероятность или серьёзность),
    – передать (страхование, аутсорсинг),
    – принять (оставить без изменений, если риск в пределах аппетита).
  3. Описание конкретных мероприятий. Для каждой стратегии пропишите:
    • что именно делается (технические, организационные или финансовые меры);
    • каким способом (инструкции, закупка оборудования, дополнительное обучение).
  4. Назначение ответственных:
    – функциональная роль или ФИО того, кто организует и контролирует выполнение;
    – по каждому мероприятию указывать контакт для отчётности.
  5. Сроки и ресурсы:
    – конкретные даты начала и окончания;
    – оценка требуемых ресурсов: персонал, бюджет, материалы.
  6. Критерии эффективности. Показатели, по которым будет видно, что мера сработала, например: снижение P на одну категорию; уменьшение числа инцидентов; время реакции на подобные события.
  7. Порядок отчётности и контроля.
    – Формат отчёта (промежуточный/финальный), периодичность (ежедневно/еженедельно);
    – Канал передачи (электронная система, протокол совещания).
  8. Утверждение плана
    – подпись уполномоченного лица;
    – фиксация в системе СМ (номер версии, дата).

Лаборатория должна работать с рисками независимо от того, находятся ли источники данных рисков под контролем. Следует учитывать, что может быть более одного исхода в случае реализации риска, что может привести к различным материальным или нематериальным последствиям.

Надеемся, что данная статья найдёт своих читателей, будет полезна. Вы можете оставить свои комментарии и замечания на данную тему в Telegram-чат. Мы постараемся Всем ответить. Вместе мы сделаем наши мини статьи более полными.

© 2025 год, lab-info.ru. Все оригинальные материалы, представленные на данном сайте, защищены авторским правом. Материалы могут использоваться исключительно в рамках внутренних рабочих процессов и составления шаблонов для использования в организациях. Любое их воспроизведение, распространение или иное публичное использование допускается только с предварительного письменного разрешения автора. Исключение составляют фрагменты официальных документов (например, выдержки из Приказов, ГОСТов), находящиеся в свободном доступе согласно действующему законодательству.

План мер при возникновении рискаСкачать
Реестр рисков часть 1Скачать