Что такое остаточный риск
Риск остаточный
Решение Комиссии Таможенного союза от 18.10.2011 N 827 (ред. от 18.09.2012) «О принятии технического регламента Таможенного союза «Безопасность автомобильных дорог» (вместе с «ТР ТС 014/2011. Технический регламент Таможенного союза. Безопасность автомобильных дорог»)
Смотреть что такое «Риск остаточный» в других словарях:
РИСК ОСТАТОЧНЫЙ — Residual risk См. РИСК НЕСИСТЕМАТИЧЕСКИЙ Словарь бизнес терминов. Академик.ру. 2001 … Словарь бизнес-терминов
остаточный риск — Риск, остающийся после принятия защитных мер (см. рисунок 1). Примечание В настоящем стандарте различаются: риск, остающийся после защитных мер, предпринятых конструктором; риск, остающийся после всех предпринятых защитных мер. [ГОСТ Р ИСО 12100… … Справочник технического переводчика
Остаточный риск — степень опасности подрыва кораблей на минах в районе, где было произведено траление. EdwART. Толковый Военно морской Словарь, 2010 … Морской словарь
Риск, неопределенность и прибыль (книга) — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы … Википедия
Риск, неопределенность и прибыль — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы 4 Ссылки // … Википедия
остаточный риск — 2.18 остаточный риск (residual risk): Риск, остающийся после его обработки. Источник … Словарь-справочник терминов нормативно-технической документации
Остаточный риск нарушения информационной безопасности — 3.53. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ. Источник: Стандарт Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие … Официальная терминология
ГОСТ Р ИСО 31000-2010: Менеджмент риска. Принципы и руководство — Терминология ГОСТ Р ИСО 31000 2010: Менеджмент риска. Принципы и руководство оригинал документа: 2.21 анализ риска (risk analysis): Процесс понимания природы риска (2.1) и определения уровня риска (2.23). Примечание 1 Анализ риска обеспечивает… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО 17666-2006: Менеджмент риска. Космические системы — Терминология ГОСТ Р ИСО 17666 2006: Менеджмент риска. Космические системы оригинал документа: 2.3 индекс риска (index risk): Оценка в баллах, характеризующая значимость риска, который является сочетанием вероятности возникновения и тяжести… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации
остаточный риск
2.18 остаточный риск (residual risk): Риск, остающийся после его обработки.
3.16 остаточный риск: Риск, остающийся после предпринятых защитных мер (ГОСТ Р 51898).
3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].
2.10 остаточный риск (residual risk): Риск, остающийся после снижения риска.
2.12 остаточный риск (residual risk): Риск, остающийся после предпринятых защитных мер ([2], пункт 3.9).
3.24 остаточный риск (residual risk): Риск, оставшийся после принятия мер безопасности.
3.9 остаточный риск: Риск, остающийся после применения защитных мер [1].
3.4.11 остаточный риск: Риск, остающийся после обработки риска.
3.12 остаточный риск (residual risk): Риск, остающийся после принятия защитных мер (см. рисунок 1).
— риск, остающийся после защитных мер, предпринятых конструктором;
— риск, остающийся после всех предпринятых защитных мер.
3.90 остаточный риск: Риск, остающийся после принятия мер, направленных на обеспечение безопасности.
3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].
3.9 остаточный риск: Риск, остающийся после предпринятых защитных мер.
2.27 остаточный риск (residual risk): Риск (2.1), сохраняющийся после воздействия на риск (2.25).
[Руководство ИСО 73:2009, определение 3.8.1.6]
3.30 остаточный риск (residual risk): Риск, оставшийся после обработки риска.
остаточный риск: Риск, остающийся после того, как приняты защитные меры.
3.1.7 остаточный риск (residual risk): Риск, остающийся после принятия мер защиты.
3.23 остаточный риск (residual risk): Риск (3.1), остающийся после обработки риска (3.19).
3.8.1.6 остаточный риск: Риск, оставшийся после обработки риска (3.8.1).
3.4.12 остаточный риск (residual risk): Риск, остающийся после применения защитных мер безопасности.
Полезное
Смотреть что такое «остаточный риск» в других словарях:
остаточный риск — Риск, остающийся после принятия защитных мер (см. рисунок 1). Примечание В настоящем стандарте различаются: риск, остающийся после защитных мер, предпринятых конструктором; риск, остающийся после всех предпринятых защитных мер. [ГОСТ Р ИСО 12100… … Справочник технического переводчика
Остаточный риск — степень опасности подрыва кораблей на минах в районе, где было произведено траление. EdwART. Толковый Военно морской Словарь, 2010 … Морской словарь
Остаточный риск нарушения информационной безопасности — 3.53. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ. Источник: Стандарт Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие … Официальная терминология
Риск остаточный — остаточный риск риск, остающийся после предпринятых защитных мер;. Источник: Решение Комиссии Таможенного союза от 18.10.2011 N 827 (ред. от 18.09.2012) О принятии технического регламента Таможенного союза Безопасность автомобильных дорог… … Официальная терминология
РИСК ОСТАТОЧНЫЙ — Residual risk См. РИСК НЕСИСТЕМАТИЧЕСКИЙ Словарь бизнес терминов. Академик.ру. 2001 … Словарь бизнес-терминов
Риск, неопределенность и прибыль (книга) — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы … Википедия
Риск, неопределенность и прибыль — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы 4 Ссылки // … Википедия
ГОСТ Р ИСО 31000-2010: Менеджмент риска. Принципы и руководство — Терминология ГОСТ Р ИСО 31000 2010: Менеджмент риска. Принципы и руководство оригинал документа: 2.21 анализ риска (risk analysis): Процесс понимания природы риска (2.1) и определения уровня риска (2.23). Примечание 1 Анализ риска обеспечивает… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО 17666-2006: Менеджмент риска. Космические системы — Терминология ГОСТ Р ИСО 17666 2006: Менеджмент риска. Космические системы оригинал документа: 2.3 индекс риска (index risk): Оценка в баллах, характеризующая значимость риска, который является сочетанием вероятности возникновения и тяжести… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации
Информационная безопасность
Практика информационной безопасности
Страницы
четверг, 4 июня 2009 г.
ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 8
Если общий или остаточный риск слишком высок для компании, она может купить страховку, чтобы перенести риск на страховую компанию.
Если компания решает прекратить деятельность, которая вызывает риск, это называется избежанием риска. Например, компания может запретить использование сотрудниками программ передачи мгновенных сообщений (IM – Instant Messenger), вместо того, чтобы бороться с множеством рисков, связанных с этой технологией.
Другим подходом является снижение риска до уровня, считающегося приемлемым для компании. Примером может быть внедрение межсетевого экрана, проведение обучения сотрудников и т.д.
И последний подход заключается в осознанном принятии риска компанией, которая осознает его уровень, размеры потенциального ущерба, и, тем не менее, решает жить с этим риском и не внедрять контрмеры. Для компании целесообразно принять риск, когда анализ затрат / выгоды показывает, что расходы на контрмеры превышают размеры потенциальных потерь.
Ключевым вопросом при принятии риска является понимание того, почему это является наилучшим выходом из конкретной ситуации. К сожалению, в наше время многие ответственные лица в компаниях принимают риски, не понимая в полной мере, что они принимают. Обычно это связано с относительной новизной процессов управления рисками в области безопасности, недостаточным уровнем образования и опытом работы этих людей. Когда руководителям бизнес-подразделений вменяются обязанности по борьбе с рисками в их подразделениях, чаще всего они принимают любые риски, т.к. их реальные цели связаны с производством компанией готовой продукции и выводом ее на рынок, а вовсе не с рисками. Они не хотят увязать в этой глупой, непонятной и раздражающей безопасности.
Принятие риска должно быть основано на нескольких факторах. В частности, нужно ответить на следующие вопросы. Потенциальные потери меньше стоимости контрмер? Сможет ли компания жить с той «болью», которую причинит ей принятие этого риска? Второй вопрос имеет отношения в том числе и к бесплатным решениям. Например, если компания примет этот риск, она должна будет добавить еще три шага в свой производственный процесс. Имеет ли это смысл для нее? В другом случае, принятие риска может привести к возрастанию количества инцидентов безопасности – готовы ли компания справиться с этим?
Человек или группа, принимающая риск, должны понимать потенциальные последствия этого решения. Предположим, было установлено, что компания не нуждается в защите имен клиентов, но она должна защищать другие сведения, такие как номера социального страхования, номера счетов и т.д. При этом ее деятельность останется в рамках действующего законодательства. Но что будет, если ее клиенты узнают что компания не защищает должным образом их имена? Ведь они из-за отсутствия знаний по этому вопросу могут подумать, что это может стать причиной «кражи личности», что приведет к серьезному удару по репутации компании, с которым она может и не справиться. Восприятие клиентов часто не обосновано, и всегда существует вероятность, что они перенесут свой бизнес в другую компанию, и вам нужно считаться с этой потенциальной возможностью.
Рисунок 1-8 показывает, как может быть создана программа управления рисками, которая объединяет все понятия, описанные в настоящем разделе.
Что такое вторичный и остаточный риск в проекте?
Несмотря на данное обещание хотя бы иногда писать в блог во время отпуска после свадьбы, я этого, конечно, не делала. У меня, конечно, есть оправдание – я в Таиланде очень сильно отравилась, пару дней провалялась с температурой под 40, и никакие набранные с собой в товарном количество таблетки-порошки ситуацию не исправили. Самое обидное – я до этого была в десятке азиатских стран и ни разу не было никаких проблем. В любом случае вины с себя не снимаю, совесть мучает, буду исправляться. Поэтому сегодня давайте поговорим о наболевшем – о том, что такое вторичный и остаточный риск и как он может повлиять на ваш проект, на моем печальном отпускном примере.
Итак, что такое остаточный риск в проекте (на английском он называется residual risk)?
Вообще это понятие пришло в проектный менеджмент из БЖД или охраны труда. Поэтому в соответствии с классическим определением, остаточный риск – это риск, остающийся после того, как вы предприняли ряд мер для снижения первоначального риска, соотношение вероятности и влияния которого достаточно низко, чтобы вы этот риск для себя приняли и оставили «на авось». Важно понимать, что полностью исключить риск нельзя, можно только снизить, причем в какой-то момент придется остановиться, иначе стоимость снижения риска превысить выгоды, получаемые от проекта.
А вторичный риск (secondary risk) – это риск, которого не было раньше, но который появляется после того, как были предприняты меры для снижения первоначального риска.
Сразу к моему примеру – вы едете в свадебное путешествие в более-менее развитую, но все-таки экзотическую страну. И один из рисков, который вы учитываете в первую очередь – это, разумеется, риск отравиться какой-нибудь вкусной местной едой и проваляться половину отпуска в кровати (или просидеть на унитазе, как повезет). Если вы отравитесь – весь отпуск пойдет насмарку, поэтому влияние риска очень высоко (проект просто будет провален). Вероятность риска – тоже очень высокая, все-таки местные тараканы – это не сама привычная еда для вашего желудка.
Поэтому вы, как разумный человек, гуглите «как собрать аптечку в таиланд без смс и регистрации», тратите кучу денег в аптеке и (если вы очень разумный) консультируетесь со знакомым доктором. После того, как вы купили половину аптеки, на первый взгляд, риск отравления должен снизиться (понятно, что мы говорим не о самом отравлении, а о его последствиях, для краткости).
Тут у нас появляется понятие вторичного риска. Казалось бы, лекарства есть, что еще нужно? Однако нужно как минимум вспомнить, что авиакомпании не так уже редко теряют чемоданы и у вас есть шанс остаться без своей любовно собранной аптечки, и лучше положить аптечку в ручную кладь. А после этого, снизив риск остаться без аптечки, лучше еще раз подумать и вспомнить, что в ручную кладь нельзя класть жидкости более 100мл, и ваш Энтерос-гель отберут на контроле. Поэтому Энтерос-гель вернуть в чемодан, а для страховки прикупить пачку активированного угля, который менее эффективен, но зато точно не вызовет ни у кого вопросов. Таким образом, мы максимально обезопасили себя от того, чтобы не остаться без аптечки. Можно было бы продолжать и дальше, например, задаться вопросом «А если у меня украдут сумку с ручной кладью в аэропорту?» и купить второй комплект лекарств в чемодан. Но какова вероятность, что это произойдет? Так как она совсем невелика, вы на этот риск «забиваете», считаете его остаточным и ничего по этому поводу не делаете.
Но это была половина дела, теперь возвращаемся к началу. Купив аптечку мы, предположим, наполовину снизили вероятность пролежать неделю в кровати вместо моря и кокосов. Однако даже оставшаяся половина – это слишком много, чтобы так рисковать отпуском, поэтому вы идете и гуглите «туристическая страховка в Таиланд».
Я, кстати, покупаю страховку обычно на турстраховка.ру, удобно, что можно сравнить цены разных страховых сразу, и без наценок. Не реклама, личный опыт.
Если времени много – то еще гуглите и отзывы о страховых компаниях, чтобы снизить вероятность того, что на месте страховая найдет отмазку и никакой помощи вам не окажет. Покупаете страховку, делаете 2 копии – одну будете таскать с собой, вторую отдаете своему спутнику (а то вдруг вы будете не в состоянии сказать где она), оригинал храните в сейфе отеля. Тем самым вы снизили вторичный риск того, что тогда, когда вам понадобится помощь, полис окажется потерянным или его не будет под рукой (или он пострадает от морской воды, если вы будете сознательно таскать с собой везде оригинал, особенно на пляже). Поздравляю, вы только что еще более значительно снизили риск остаться без отпуска, а при самом плохом раскладе – и без здоровья, вы молодец. Очередной остаточный риск – что страховая окажется шаражкой, которая не окажет никакой помощи, вы считаете достаточно несерьезным (вы же читали отзывы, они всем помогали!) и решаете не обращать на него внимание.
Чтобы уж совсем быть уверенным, что все будет отлично, вы закидываете на отдельную карточку тысячу долларов, храните ее в сейфе, Если вы маньяк или у вас основания полагать, что ваш банк за границей вас может подвести (так говорит гугл или были прецеденты) – вы снижаете этот вторичный риск, и таких карточек берете две, разных банков, одну носите с собой, другую храните в сейфе. И не забываете сказать спутнику пин-коды (тут, правда, возникает риск того, что он с вашими карточками сбежит, но, учитывая что вы едете в свадебное путешествие, это прямо совсем уж остаточный риск, куда он денется). Теперь если что – вам точно хватит на вызов коммерческой скорой помощи, и ваш отпуск будет спасен. Для полной уверенности можно заранее телефон этой скорой найти и записать себе и спутнику номер в свои смартфоны, и положить пару тысяч на этот телефон, чтобы был запас в роуминге.
Итого, что мы имеем? Запас таблеток, страховой полис, запас денег, с таким арсеналом вы закрывает риск настолько, насколько его вообще можно закрыть, и с чистой совестью собираетесь дальше. Все, с возможным отравлением разобрались, переходим к следующему риску проекта «Свадебное путешествие», их в списке всего 35 осталось…
Что касается меня – запас таблеток не помог (то есть этот барьер отвалился еще в тот момент, когда стало понятно, что никаким парацетамолом я температуру 40 сбить не могу, а Энтерос-гель не оказывает вообще никакого эффекта, т.е. отравление слишком сильное, чтобы справиться с ним своими силами. Переходим к п.2 (уж он-то должен помочь) – звоним в Альфастрахование и просим вызвать скорую, полчаса регистрируем страховой случай (тут-то нам и пригодились деньги на телефоне) и узнаем, что «скорую мы не вызываем, потому что она дорогая, добирайтесь полтора часа до госпиталя по темному серпантину своим ходом». Понимаем, что при температуре 41 наступает летальный исход и встретить его на горной дороге как-то грустно, даем себе честное слово засудить страховую при возвращении, и приступаем к казавшемуся таким невероятным п.3 – вызываем платную скорую за 40 000 российских рублей (понятно, что сделать деньги на туристах тут не пытается только ленивый), получаем свой укол, набор местных таблеток-порошков и план лечения от тайского врача и буквально через 2 дня приходим в себя и продолжаем есть опасную, но такую вкусную экзотическую еду.
Кстати, про отравление, это банально, но не забывайте следовать простым детским правилам типа “руки перед едой надо мыть” и “плохо пахнет – лучше не ешь”.
Если вы хотите узнать больше о рисках и о том, как с ними работать – вы можете приобрести наш большой курс по управлению рисками. Шаблон реестра рисков проекта и чек-лист для идентификации рисков в подарок!
Как оценить риски
Процессы идентификации опасностей, оценки рисков и управления ими являются основой всей СУОТ предприятия. О том, как выявить существенные риски, требующие мер управления, читайте в данной статье.
Для оценки рисков рабочая группа применяет классический метод. Оценка рисков рассчитывается по формуле:
R = P х S,
где R – риск, балл;
P – вероятность возникновения опасности, балл;
S – серьезность последствий воздействия опасности, балл.
Вероятность воздействия опасности P определяется по таблице 1.
Серьезность последствий воздействия опасности S определяется по таблице 2.
Таблица 2. Оценка серьезности последствий воздействия опасности S
Исходя из значений P и S рабочая группа определяет категорию риска по матрице классификации рисков (таблица 3).
Справочно: Данный метод не является обязательным. Согласно п. 4.3.1.СТБ 18001 «организация должна разработать, внедрить и выполнять процедуры для постоянной идентификации опасностей, оценки рисков и необходимых мер управления», в связи с этим, организация вправе воспользоваться другой методикой либо разработать свою.
Результаты оценки рисков рабочая группа переносит в карту идентификации опасностей и оценки рисков. Категории рисков подразделяются на следующие:
К умеренным рискам относятся риски, при которых присутствует потенциальная угроза здоровью персонала и/или нанесение ущерба имуществу предприятия. Риски с таким уровнем рассматриваются как приемлемые при наличии достаточных мер по управлению ими и требуют постоянного контроля и анализа.
К высоким рискам относятся риски, при которых присутствует потенциальная угроза жизни и здоровью персонала и/или нанесение значительного ущерба имуществу предприятия. Риски с таким уровнем рассматриваются как неприемлемые и требуют дальнейшего обязательного управления ими.
Управление рисками
Все идентифицированные риски подлежат управлению. При управлении рисками учитываются следующие меры по сокращению рисков:
— предупреждение и/или административные меры управления;
— средства индивидуальной защиты.
Меры управления могут быть технического характера (использование средств коллективной и индивидуальной защиты, ограничение контакта с движущимися и вращающимися частями оборудования и др.), организационного характера (создание систем оповещения о возникшей опасности, разработка планов действий в аварийных ситуациях, включая обучение, тренировки и др.).
Реестр управляемых рисков
На основании карт идентификации опасностей и оценки рисков ответственный по охране труда составляет Реестр управляемых рисков организации по форме, приведенной в
в рубрике «Полезная документация», в который обязательно включаются риски с категорией «высокий».
В указанный Реестр могут также включаться и «средние», и «низкие» риски, подлежащие снижению до низшего уровня.
Руководители структурных подразделений, председатель профкома и другие специалисты, (при необходимости) разрабатывают предложения по управлению рисками (в случае, если установлено, что существующие в организации меры по управлению нуждаются в улучшении) для установления целей в области охраны труда и формирования Программы управления охраной труда (согласно требований п.4.3.3 СТБ 18001).
Оценка приемлемости остаточного риска.
После выполнения мероприятий, сформулированных в программе управления охраной труда, и направленных на управление рисками, обеспечивается проведение рабочими группами оценка уровней приемлемости остаточных рисков в соответствии с вышеуказанной методикой. Оценка уровней остаточных рисков проводится в месячный срок после выполнения соответствующих мероприятий в программе управления охраной труда.
Результаты оценки остаточного риска заносятся в карты идентификации опасностей и оценки рисков. Данные предложения могут явиться основой для разработки или корректировки программы управления охраной труда.
Управление рисками подрядчиков и посетителей.
Идентификация опасностей и оценка рисков в организации включает также деятельность подрядчиков и посетителей. Для этого определяются виды работ, которые выполняются подрядчиками на территории организации (данные запрашиваются у руководителей структурного подразделения и юрисконсульта) и составляются карты оценки рисков.
При этом мероприятиями по управлению рисками, привносимыми подрядчиками могут быть:
Анализ процесса идентификации опасностей, оценки рисков и управление ими.
Ежегодно, до 10 января, издаёт приказ о пересмотре карт оценки значения рисков во всех подразделениях. Проект приказа готовит ответственный по охране труда.
Руководители структурных подразделений до 20 января пересматривают Карты оценки рисков, а ответственный по охране труда до 25 января составляет Реестр управляемых рисков.
Анализ предпринятых мер управления рисками проводится ежегодно при проведении анализа со стороны руководства (п.4.6 СТБ 18001) путем обработки выводов о достижении целей в области охраны труда (выполнения программы управления по охране труда ) (п.4.3.3 СТБ 18001), а также сравнения Реестров управляемых рисков за предыдущий и текущий годы.
Внеплановая идентификация опасностей и оценки рисков
осуществляется в месячный срок при:
Виктор Бирюк– начальник сектора исследовательского отдела методологии создания и сертификации систем управления Белорусского государственного института метрологии, эксперт-аудитор
Справочно: оценка риска: весь процесс оценки величины риска и принятия решения, является ли риск приемлемым с учетом осуществляемых мер управления;
Справочно: Существенные риски учитываются при установлении целевых показателей в области ОТ, мероприятия по управлению существенными рисками включаются в программу управления ОТ учреждения.