Предложены варианты подходов к обеспечению по-
стоянного улучшения систем менеджмента (СМ), в том
числе и интегрированных (ИСМ), промышленных пред-
приятий как сложных объектов на основе современных
риск-ориентированных стандартов серий ISO 9001, ISO
27001, ISO 22301. Предлагаемые подходы могут быть
полезны при планировании систем риск-менеджмента,
оценке возможных потерь в рамках бизнес-процессов
СМ (ИСМ) и решении практических задач
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ
1. 1контроль качества продукции № 6-2015 www.ria-stk.ru/mos
ОЦЕНКА РИСКА
Для создания и совершенство-
вания современных систем менед-
жмента (СМ) необходимо прини-
мать меры, обеспечивающие эф-
фективность бизнес-процессов
организации. Внимание к этой
проблеме высшего руководства
обусловлено конкурентной сре-
дой, появлением новых угроз для
бизнеса и сложностью процедур
риск-менеджмента. Оценить в
краткосрочной и дальней персек-
тиве присущие данной организа-
ции риски, спроектировать эф-
фективную систему внутренних
аудитов и внедрить экономически
обоснованные средства обеспече-
ния безопасности бизнеса для
всех СМ, и особенно для интегри-
рованных систем менеджмента
(ИСМ), позволяет анализ теку-
щих и возможных потерь.
Недавно на научно-практичес-
ком семинаре в Санкт-Петербурге
по проблемам совершенствования
СМ организаций и сертификации
представители служб менеджмен-
та качества, метрологии и вну-
треннего (технического) аудита
освещали вопросы метрологиче-
ского обеспечения, оценки по-
ставщиков, реализации корректи-
рующих мер и оценки несоответ-
ствий. Если соотнести темы до-
кладов с циклом PDCA1
Шухарта-
Деминга, то они относились к об-
ласти Check и, отчасти, Act, и
практически единицы освещали
вопросы в фазе Plan, при этом
тема применения современных
риск-ориентированных стандар-
тов осталась полностью нерас-
крытой. Попробую продемон-
стрировать, насколько важно при-
1
PDCA (Plan-Do-Check-Act) — циклически
повторяющийся процесс принятия реше-
ния, используемый в управлении каче-
ством.
менение современных риск-
ориентированных стандартов для
обеспечения постоянного улучше-
ния СМ промышленных предпри-
ятий как сложных промышлен-
ных объектов (СлПО).
ПОСТАНОВКА ЗАДАЧИ
В условиях экономического
кризиса всегда наблюдается по-
вышенное внимание к проблеме
сокращения издержек предприя-
тия, которые даже в условиях со-
хранения спроса могут значитель-
но повлиять на размер прибыли.
При падении спроса минимизация
издержек приобретает наивыс-
шую значимость, так как в случае
реализации рисков парировать
угрозы (финансовые потери) ста-
новится значительно сложнее [1].
Предложены варианты подходов к обеспечению по-
стоянного улучшения систем менеджмента (СМ), в том
числе и интегрированных (ИСМ), промышленных пред-
приятий как сложных объектов на основе современных
риск-ориентированных стандартов серий ISO 9001, ISO
27001, ISO 22301. Предлагаемые подходы могут быть
полезны при планировании систем риск-менеджмента,
оценке возможных потерь в рамках бизнес-процессов
СМ (ИСМ) и решении практических задач
Читайте и узнаете:
• почему в условиях кризиса необходимо внимание высших
руководителей к любому проявлению неожиданных и неза-
планированных потерь;
• в каких случаях риск-ориентированный подход незаменим;
• о примере реализации процесса управления риском для
фазы Plan цикла PDCA
КЛЮЧЕВЫЕ СЛОВА:
менеджмент рисков, интегрированная
система менеджмента, аудит, риски,
стандарты, PDCA
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ
ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА
ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ
И.И. ЛИВШИЦ
ведущий инженер ООО «Газин-
формсервис», канд. техн. наук
2. 2 контроль качества продукции № 6-2015 www.ria-stk.ru/mos
ОЦЕНКА РИСКА
Нередко такие проблемы часто
наблюдаются там, где высшее ру-
ководство — лицо, принимающее
решения (ЛПР), допустило про-
счеты в планировании деятельно-
сти организации и, как следствие,
столкнулось с нехваткой средств,
которые в кризисной ситуации
привлекать крайне дорого. Это
развивает «чувствительность»
ЛПР к любому проявлению нео-
жиданных и незапланированных
потерь [2]. В ряде организаций
это делается заранее, например, в
рамках внутреннего аудита, но в
условиях кризиса повысить вни-
мание к данной теме необходимо
по ряду причин:
1. Плановый порядок проведе-
ния аудитов уже не соответствует
быстрым «вызовам рынка», орга-
низация не может ждать в течение
фиксированного времени завер-
шения годовой программы ауди-
тов.
2. Локальность проведения
аудитов не соответствует систем-
ному критерию управления орга-
низацией — для принятия эффек-
тивного управленческого решения
ЛПР нужна «целостная картина».
3. Значительный временной
интервал между согласованием
отчета по аудиту и принятием
управленческих решений ЛПР
идет в разрез с ожиданием эффек-
тивных и своевременных дей-
ствий.
4. Компетенция группы вну-
тренних аудиторов нацелена на
решение узкоспециальных задач,
что может привести к несогласо-
ванным действиям, особенно в
ИСМ.
5. Недооценка всех внешних и
внутренних аспектов деятельно-
сти организации в «едином управ-
ляющем поле» может привести
как к «перекосам» в постановке
задач, так и к функциональной
неполноте принимаемых ЛПР
управленческих решений.
Какие цели ставятся де-факто
перед службами качества промыш-
ленных предприятий? Какие реше-
ния ЛПР обеспечивает метрологи-
ческая служба? Как обеспечить эф-
фективный внутренний техниче-
ский контроль? Эти проблемы из-
вестны давно, но в условиях кри-
зиса стало очевидно, что вариант
«локальных» очагов борьбы с кри-
зисом не применим — проблема
имеет системные корни, что уже
признано специалистами.
Соответственно, необходимо
применять СМ, основанные на со-
временных риск-ориентирован-
ных стандартах, и, прежде всего,
для построения замкнутого цикла
PDCA и формирования адекват-
ного контекста [3–6]. Также важ-
но учитывать, что в ряде органи-
заций внедрено несколько СМ.
Соответственно, формирование
единого контекста будет удобно
не только в аспекте создания
«единого управляющего поля» в
ИСМ и обеспечения эффективных
управленческих решений, но и с
целью повышения конкурентно-
сти продукции и услуг (в новой
версии ISO 9001 [4]).
РИСК-ОРИЕНТИРОВАННЫЙ
ПОДХОД
Риск-ориентированный подход
привлекает внимание уже не толь-
ко аудиторов или представителей
служб качества, но и государствен-
ных служб. В частности, первый
вице-премьер Игорь Шувалов по-
ручил Минэкономразвития и госу-
дарственным корпорациям обе-
спечить исполнение поручений
Президента РФ по повышению
эффективности деятельности го-
сударственных компаний (http://
open.gov.ru/events/5511232/).
Термин «риск» в п. 2.1 ГОСТ Р
ИСО 31000-20102
[1] определен
как «влияние неопределенности на
цели». При этом в пяти примеча-
ниях уточняется, что влияние мо-
жет быть положительным и/или
отрицательным, цели организации
могут иметь различные аспекты
(например, финансовые); риск ча-
сто характеризуется ссылкой на
потенциально возможные собы-
тия, последствия или их комбина-
ции, а неопределенность — это со-
стояние, заключающееся в недо-
статочности информации (знания)
2
ГОСТ Р ИСО 31000-2010 «Менеджмент
риска. Принципы и руководство», утверж-
ден Приказом Федерального агентства по
техническому регулированию и метроло-
гии № 883 от 21.12.2010 г., идентичен
международному ISO 31000:2009 Risk man-
agement — Principles and guidelines.
Управление риском — это процесс,
осуществляемый в организации
коллегиальным органом в составе:
экспертов, представителей высшего
руководства, внешних и внутренних
заинтересованных сторон для выявления,
идентификации событий, потенциально
способных повлиять на достижение целей
организации, управления ими и контроля
3. 3контроль качества продукции № 6-2015 www.ria-stk.ru/mos
Риск-ориентированные стандарты
для систем менеджмента
промышленных предприятий
относительно события, его послед-
ствий или его возможности.
Все современные стандарты [3–
5] базируются на риск-ориенти-
рованном подходе: ISO/IEC
27001:20133
, ISO 22301:20124
,
ожидаемый в декабре 2015 г. но-
вый стандарт ISO 90015
также со-
держит ссылку на ISO 31000. В
Российской Федерации, как пра-
вило, все стандарты ISO перево-
дятся и становятся национальны-
ми стандартами системы ГОСТ Р,
соответственно образуя необхо-
димую методическую базу для со-
вершенствования СМ (ИСМ) про-
мышленных предприятий.
Пример реализации процесса
управления риском для фазы Plan
цикла PDCA показан на рис.
В предлагаемом подходе учтено
формирование внутренних и
внешних аспектов, контекста, си-
стемы риск-менеджмента органи-
зации и основных типов докумен-
тированной информации: крите-
риев рисков, шкал оценки, файла
рисков, плана обработки рисков.
Задачи риск-менеджмента для
СлПО также удобно расположить
в порядке реализации цик-
ла PDCA:
1. «Р» (Plan) — формирование
нормативной базы, разработка
регламентов, паспортов риска,
формирование сводной карты ри-
сков для организации.
2. «D» (Do) — разработка ком-
плекса мероприятий по снижению
вероятности (ослаблению послед-
ствий) при возникновении рисков.
3
ISO/IEC 27001:2013 Information security
management systems — Requirements.
4
ISO 22301:2012 Societal security — Business
continuity management systems — Require-
ments («Социальная безопасность. Систе-
мы менеджмента непрерывности бизнеса.
Требования»).
5
ISO 9001 Quality management systems — Re-
quirement («Системы менеджмента каче-
ства. Требования»).
РисунокРисунок
Процесс управления рисками для фазы Plan цикла PDCA
3. «С» (Check) — контроль пол-
ноты, своевременности и эффек-
тивности реализации комплекса
рисковых мероприятия для орга-
низации.
4. «А» (Act) — анализ результа-
тивности комплекса рисковых ме-
роприятий на уровне ЛПР и фор-
мирование управленческих реше-
ний для оптимизации системы ме-
неджмента рисков организации.
Известная пословица гласит:
«У победы много отцов, только по-
ражение всегда сирота». В данном
случае создание системы управле-
ния рисками для СлПО позволит
при формировании матрицы ри-
сков установить персональную от-
ветственность (см. таблицу).
«ЗАМЫКАНИЕ» ЦИКЛА PDCA
Следующий важный вопрос ка-
сается «замыкания» цикла PDCA
с учетом предложенного подхода.
Например, для СлПО рекоменду-
ется:
1. Планировать и проводить
внутренние (в том числе техниче-
ские) аудиты с учетом риск-
ориентированных стандартов (на-
пример, ISO 27001 или ISO 9001),
в то же время экономически эф-
фективно формирование единого
подхода в ИСМ и для иных стан-
дартов, например для систем
энергоменеджмента (ISO 50001).
2. Сформировать единый реестр
несоответствий в ИСМ по всем
видам аудитов (внутренним и
внешним) и проанализировать
его с позиции риск-менеджмента
(выявление критических точек
отказа, анализ «каскадирования»
рисков, изучение статистики и по-
вторяемости несоответствий как
меры результативности проведен-
ных аудитов и др.).
3. Сформировать систему опе-
ративного информирования выс-
шего руководства (например, на
базе рекомендаций стандарта
управления непрерывностью биз-
неса — ISO 22301).
4. Четко распределить ответ-
ственность и полномочия по каж-
дой задаче в утвержденной про-
грамме внутренних аудитов, пла-
ну обработки рисков и др.
РАБОТА НА БУДУЩЕЕ
4. 4 контроль качества продукции № 6-2015 www.ria-stk.ru/mos
ОЦЕНКА РИСКА
Важно принять во внимание то,
что система менеджмента рисков
формируется именно в фазе Plan
цикла PDCA и, благодаря этому,
способна «отработать» не только
известные риски (самой организа-
ции, из информации конкурентов
или данных аналитических
служб), но и будущие. Сегодня в
специальных технических коми-
тетах и подкомиссиях ISO разра-
батываются перспективные под-
ходы к технологиям, например по
беспилотным летательным аппа-
ратам (БЛА)6
— сложной техниче-
ской системе, которая все более
активно применяется в самых раз-
ных целях — от мониторинга гра-
ниц и нефте- и газопроводов до
грузоперевозок, и которая также
имеет определенные риски.
В первую очередь риск-ориен-
тированный подход необходим,
если требуется выбрать точное
экономическое решение, наиболее
выгодную миссию или проанали-
зировать эксплуатационные ри-
ски. Кроме того, необходимо так-
же рассматривать систему в ком-
плексе и интеграции с иными ин-
женерными и инфраструктурными
объектами. Для БЛА это станции
управления, линии связи, аэро-
дромные комплексы. В качестве
примера недостаточного внимания
6
http://www.iso.org/iso/ru/iso_technical_
committee?commid=5336224
Т а б л и ц а
Пример формата реестра (матрицы) управления рисками
Реестр рисков
№№
п/п
Наи-
мено-
вание
разде-
ла
Риск
Под-
риск
Коэф-
фици-
ент ве-
роятно-
сти и
реали-
зации
риска
Коэф-
фици-
ент
влияния
от реа-
лиза-
ции ри-
ска
Суще-
ствен-
ность =
вероят-
ность х
влияние
Ключе-
вые
инди-
каторы
риска
Перио-
дич-
ность
отсле-
жива-
ния ин-
дикато-
ра
Поро-
говое
значе-
ние
ключе-
вого
индика-
тора
риска
Ответ-
ствен-
ный за
кон-
троль
ключе-
вого ин-
дикато-
ра ри-
ска
Меро-
прия-
тия
по ми-
ними-
зации
риска
Ответ-
ственный
за выпол-
нение
меро-
приятий
по мини-
мизации
риска
Сро-
ки вы-
пол-
нения
ме-
ро-
прия-
тий
На современном этапе развития промышленности
для обеспечения необходимого уровня качества продук-
ции и услуг уже недостаточно «классических», хорошо
известных стандартов (например, ГОСТ серии 9001
или ГОСТ РВ серии 0015). Перед высшим менеджментом
стоят задачи подъема национальной промышленности
и реализации программ импортозамещения, которые
уже в самое ближайшее время потребуют современных
риск-ориентированных стандартов.
Р Е З Ю М Е
к анализу риска приведем посадку
в Токио 22.04.2015 г. на крышу ре-
зиденции премьер-министра Япо-
нии дистанционно управляемого
БЛА (дрона), несшего на борту ви-
деокамеру и радиоактивный мате-
риал7
. Очевидно данный инцидент
послужит основанием для пере-
смотра файлов рисков организа-
циями, контролирующими органа-
ми и иными заинтересованными
сторонами.
Использованная литература:
1. Лившиц И.И. Совместное реше-
ние задач аудита информационной
безопасности и обеспечения до-
ступности информационных систем
на основании требований междуна-
родных стандартов BSI и ISO // Ин-
7
http://www.rbc.ru/rbcfreenews/553b0a959a
794745c2ecb3a6
форматизация и Связь. — 2013, —
вып. 6. — С. 62-67.
2. Лившиц И.И., Танатарова А.Т.
Внутренний аудит в интегрирован-
ных системах менеджмента //
Стандарты и качество. — 2014. —
№ 8 (926). — С. 86-88.
3. Quality management systems —
Requirements — ISO/DIS 9001,
International Organization for
Standardization, 2015-02-17. — 48
pages.
4. Information technology — Security
techniques — Information security
management systems — Requirements:
ISO/IEC 27001:2013, International
Organization for Standardization,
2013-09-25. — 23 pages.
5. Societal security — Business
continuity management systems —
Requirements: ISO 22301:2012,
International Organization for
Standardization, 2012-05-15. — 24
pages.