В лаборатории необходимо постоянно проводить мониторинг рисков и возможностей, связанных с лабораторной деятельностью, для того чтобы:
- обеспечивать, что система менеджмента достигает намеченных результатов;
- наращивать возможности для достижения целей и задач лаборатории;
- предотвращать или уменьшать нежелательные воздействия и возможные сбои в лабораторной деятельности;
- добиваться улучшений.
Риск – это воздействие неопределённости на цели.
Риск практически всегда связан с событием (результатом действия или процесса), в том числе с решением не предпринимать никаких действий (сохранением текущего состояния). Риск всегда влечет последствия, которые могут быть негативными, позитивными или ничтожными.
Под воздействием понимается отклонения события от ожидаемого. Воздействие может быть, как отрицательным, так и положительным (возможность).
Под неопределенностью понимается отсутствие достоверной информации о факторах, влияющих на результат действия или процесса. При этом может отсутствовать информация как об уровне влияния (например, неоднородность образца), так и о наличии влияющего фактора (например, о производственном браке в приборе). Уменьшив неопределённость, можно уменьшить вероятность наступления события риска, но полностью исключить эту вероятность невозможно.
Возможности, воспринимаются в виде ресурсов и знаний (например, финансовые ресурсы, время, персонал, процессы, оборудование и технологии). Лаборатория определяет возможности для достижения своих стратегических, проектных целей или бизнес-целей и это влияет на непрерывную приверженность организации, ее репутацию, доверие к ней и ее ценность.
В лаборатории должно осуществляется планирование действий, связанных с рисками и возможностями. Планирование как правило проводится следующим образом:
- интегрирование и внедрение данных действий в систему менеджмента;
- оценивание результативности данных действий.
Участники и их функции
Для планирования организации работ по определению, оцениванию и управлению рисками создается комиссия на регулярной основе из сотрудников лаборатории и других отделов предприятия, обученных стандарту ГОСТ ISO/IEC 17025-2019 или международным стандартам по управлению рисками ISO 31000. Состав комиссии обычно утверждается приказом руководителя предприятия.
Руководитель предприятия (или его доверенное лицо) осуществляет надзор за управлением рисками, включая принятие решений и предоставление рекомендаций по итогам ознакомления с отчетностью о рисках. Также руководитель предприятия (или его доверенное лицо) использует информацию о рисках, представленную в годовой отчетности, предусмотренной пунктом 8.9 ГОСТ ISO/IEC 17025-2019, при принятии управленческих и инвестиционных решений.
На всех стадиях риск-менеджмента возникает необходимость обращения к консультациям относительно идентификации риска, его анализа, оценивания и воздействия на него. Такие консультации дают лица понимающие методологии оценки риска, суть рассматриваемых процессов и потребности заинтересованных сторон, которые руководствуются принципам оценки риска в данной лаборатории и документами, описывающими инфраструктуру риска. Данными лицами могут являться: руководитель лаборатории, специалисты по видам испытаний, а также привлеченные представители заинтересованных сторон (руководство организации, представитель заказчика, сторонние эксперты). Конкретный состав группы определяет владелец риска.
Координатором управления рисками обычно является руководитель лаборатории.
Выявление рисков
Процесс идентификации и оценивания рисков как правило осуществляется на плановой основе, один раз в год и на внеплановой основе при осуществлении изменений в системе менеджмента испытательной лаборатории и ее области аккредитации.
Риски могут выявляться в рамках индивидуальных интервью с руководителями структурных подразделений предприятия. Руководитель лаборатории может отвечать за организацию таких интервью и агрегирование информации о рисках.
По итогам выявления рисков руководитель лаборатории агрегирует по ним информацию для последующей оценки и управления данными рисками.
Для выявленных рисков определяются владельцы рисков, перечень которых может утверждаться руководителем предприятия приказом.
Выявленные риски, а также их владельцы документируются руководителем лаборатории в соответствующих разделах реестра рисков (таблица 1).
Таблица 1
Реестр рисков
| Описание риска | Возможные последствия риска | Оценка вероятности риска | Оценка последствий риска | Уровень риска | Мероприятия по снижению риска |
| 1 | 2 | 3 | 4 | 5 | 6 |
| Владелец риска | Дата установления риска | Сроки мероприятий | Стаус мероприятий | Результативность мероприятий по снижению риска | |
| 7 | 8 | 9 | 10 | 11 | |
Оценка рисков
Оценка рисков проводится с целью определения уровня рисков и выделения наиболее значимых (критических) рисков, которые могут негативно влиять на лабораторную деятельность и достижение ее стратегических целей.
Оценка выявленных рисков осуществляется владельцами рисков и агрегируется руководителем лаборатории.
Оценка рисков может осуществляться следующими способами:
- Коллективно, в формате рабочего совещания по оценке рисков, на котором руководители структурных подразделений / владельцы рисков оценивают риски при поддержке координатора (руководителя лаборатории);
- Индивидуально, посредством заполнения соответствующих разделов реестра рисков, который направляется владельцам рисков координатором (руководителем лаборатории) с указанием перечня выявленных рисков и критериев для оценки рисков.
Таблица 2
Шкала вероятностей риска
| Бальная оценка вероятности события риска | Качественная оценка вероятности события риска | Интерпретация |
| 1 | Очень низкая |
Событие очень маловероятно. Ожидаемая частота проявления не реже одного раза в 10 лет |
| 2 | Низкая |
Событие маловероятно. Ожидаемая частота проявления не реже одного раза в 5 лет |
| 3 | Средняя |
Событие вероятно. Ожидаемая частота проявления не реже одного раза в 2 года |
| 4 | Высокая |
Событие очень вероятно. Ожидаемая частота проявления не реже одного раза в год |
| 5 | Очень высокая | Событие может произойти в любое время |
Таблица 3
| Бальная оценка последствий риска | Качественная оценка последствий риска | Тяжесть последствий |
| 1 | Очень слабое влияние | Отсутствие каких-либо последствий |
| 2 | Слабое влияние | Последствия незначительные и не требуют исправлений |
| 3 | Среднее влияние | Последствия незначительные и могут быть полностью исправлены.Может привести к среднему (<5%) снижению доходов или увеличению расходов компании |
| 4 | Значительное влияние | Последствия значительные, но могут быть полностью исправлены.Может привести к значительному (5-20%) снижению доходов или увеличению расходов компании и/или несущественному репутационному ущербу |
| 5 | Сильное влияние | Последствия значительные, но могут бытьисправлены только до определенной степени.Может привести к сильному (выше 20%) снижению доходов или увеличению расходов компании и/или значительному репутационному ущербу для компании |
| 6 | Очень сильное влияние | Последствия значительные и не могут быть исправлены даже частично |
Путем умножения бальной оценки вероятности события риска на бальную оценку последствий риска получается общая оценка риска, которая графически отображается на «Матрице рисков» (таблица 4).
При этом на основании информации об вероятности и последствии риска, полученной от владельцев риска, выделяется четыре основные зоны уровней риска: - низкий (1-4 баллов);
- средний (5-9 баллов);
- высокий (10-18 баллов);
- критический (20-30 баллов).
Таблица 4
Матрица рисков
| Вероятность возникновения риска, баллы | 5 | 5 | 10 | 15 | 20 | 25 | 30 |
| 4 | 4 | 8 | 12 | 16 | 20 | 24 | |
| 3 | 3 | 6 | 9 | 12 | 15 | 18 | |
| 2 | 2 | 4 | 6 | 8 | 10 | 12 | |
| 1 | 1 | 2 | 3 | 4 | 5 | 6 | |
| 1 | 2 | 3 | 4 | 5 | 6 | ||
| Последствия риска, баллы | |||||||
Информация, полученная в рамках процесса оценки рисков, агрегируется координатором (руководителем лаборатории) и отражается в реестре рисков (таблица 1). Матрица рисков и реестр рисков лаборатории направляется владельцам рисков для использования в процессах бюджетирования, целеполагания и разработки мероприятий по управлению рисками.
Разработка и внедрение мероприятий по управлению рисками
С целью получения информации о мероприятиях по управлению рисками координатор направляет владельцам рисков «Реестр рисков» с перечнем выявленных рисков и их оценкой. Владельцы рисков заполняют соответствующие разделы реестра, касающиеся мероприятий и сроков их реализации, и направляют реестр рисков обратно координатору для агрегирования и при необходимости редактирования итогового реестра. При разработке и внедрению мероприятий по управлению рисками используется информация из таблицы 5.
Таблица 5
| Уровень риска | Полномочия по утверждению риска | Необходимые действия |
| Низкий | Руководитель лаборатории | Эти риски приемлемы для лаборатории и не требуют серьезного финансирования.Принимаемые решения ограничиваются внедрением процедур и закупок небольших объемов оборудования и услуг, обеспечивающих предупреждение и уменьшение негативных последствий наступления риска.Определяются границы риска, и осуществляется мониторинг риска для принятия действия в случае изменения уровня риска. |
| Средний | Руководитель лаборатории | В случае экономической целесообразности руководство компании может принять решение о разработке мероприятий по минимизации рисков.Периодический мониторинг уровня риска. |
| Высокий | Руководитель лаборатории | Такие риски являются неприемлемыми для лаборатории и требуютнезамедлительных действий, необходимых для снижения риска целевого уровня путем разработки мероприятий по минимизации рисков.Решения по этим рискам имеют наивысшую приоритетность по срокам реализации и обеспечению финансовыми ресурсами. |
| Критический | Руководитель предприятия |
Мероприятия по управлению рисками разрабатываются на основании одного из следующих методов:
- Уклонение от риска – уклонение/избежание риска подразумевает отказ от совершения тех или иных действий. Уклонение от риска применяется в исключительных случаях как способ покрытия рисков и используется, когда стоимость воздействия на риск слишком высока либо такое воздействие не приведет к снижению риска до приемлемого уровня, а также когда риск невозможно или неэффективно передать третьей стороне;
- Снижение риска – воздействие на риск путем снижения вероятности реализации риска и (или) снижения негативных последствий в случае реализации риска в будущем;
- Перенос (перераспределение) риска – передача или частичная передача риска другой стороне (например, путем заключения договоров аутсорсинга и др.), позволяющая уменьшить негативное влияние на достижение целей лаборатории.
- Принятие риска – лаборатория допускает возможное наступление неблагоприятных последствий риска с определением конкретных источников покрытия ущерба от таких последствий.
После получения информации о мероприятиях по управлению рисками от владельцев рисков координатор агрегирует полученную информацию и обновляет соответствующие разделы реестра рисков лаборатории, после чего обновленный реестр выносится на ознакомление с заинтересованными лицами.
Мониторинг рисков
В рамках мониторинга матрица и реестр рисков лаборатории (включая мероприятия по управлению рисками) актуализируются не реже одного раза в год. При этом координатор, а также любой сотрудник предприятия, вправе внепланово инициировать процесс пересмотра рисков, если это необходимо.
В рамках мониторинга рисков:
- Идентифицируются новые риски, не документированные в матрице и реестре рисков лаборатории;
- Пересматривается оценка уровня риска;
- Рассматривается статус внедрения и эффективность мероприятий по управлению рисками. При необходимости разрабатываются дополнительные мероприятия по управлению рисками.
Отчетность о рисках
В конце календарного года координатор готовит обобщает информацию относительно:
- матрицы рисков лаборатории;
- реестра рисков лаборатории;
- перечня владельцев рисков.
Предпринимаемые действия, связанные с рисками и возможностями, являются соразмерными их потенциальному влиянию на достоверность результатов испытаний.
Примерами действий, связанных с рисками, могут быть:
- идентификация и предупреждение угроз;
- принятие рисков с целью реализации возможности;
- устранение источника риска;
- изменение вероятности риска или его последствий;
- разделение рисков или сохранение риска посредством обоснованного решения.
После реализации мероприятий по управлению рисками, необходимо провести оценку результативности выполненных мероприятий. Далее провести переоценку рисков и занести результаты в реестр рисков (таблица 1). В случае, если результаты оценки рисков негативные, то необходимо заново провести работу по рискам.