Главная · Кассовые документы · Стп смк управление рисками. Панарина К.В. Риски при организации процесса сертификации инновационного медицинского оборудования. В настоящем СТО использованы ссылки на внутреннюю нормативную документацию согласно Матрицы внутренней нормативной документации

Стп смк управление рисками. Панарина К.В. Риски при организации процесса сертификации инновационного медицинского оборудования. В настоящем СТО использованы ссылки на внутреннюю нормативную документацию согласно Матрицы внутренней нормативной документации

Построение системы риск-менеджмента преследует цель достижения наибольшей эффективности бизнеса и в условиях повышения технологичности экономических процессов становится все более значимым вопросом. Особое внимание в настоящее время уделяется рискам информационной безопасности (ИБ), что связано со стремительным развитием информационных технологий (ИТ), вызвавших появление нормативно-правовых требований к системам менеджмента организаций и защите информации. Так, например, государственным военным стандартом ГОСТ РВ 0015-002 «Система разработки и постановки на производство военной техники. Системы менеджмента качества. Общие требования» установлен ряд требований к системам менеджмента качества предприятий оборонно-промышленного комплекса (ОПК). Пункт 4.3 ГОСТ РВ 0015-002-2012 накладывает обязательство на внедрение и документальное оформление порядка соблюдения информационной безопасности для предприятий, участвующих в государственном оборонном заказе. Построение и сертификация системы управления информационной безопасностью проводится в соответствии с национальным стандартом ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». В одной из предыдущих статей мы рассматривали . Основные подходы к управлению рисками приведены в пункте 4.2. ГОСТ Р ИСО/МЭК 27001-2006.

Остановимся на ключевых дефинициях, о которых далее пойдет речь. Понятие риск достаточно многогранно и может немного менять смысловой оттенок в зависимости от процесса, в рамках которого рассматривается. Традиционные подходы финансового менеджмента основаны на поиске оптимального решения дилеммы «доходность-риск», когда величина риска влияет на цену производимого продукта. Применительно к соблюдению информационной безопасности стоимостно-ориентированные походы риск-менеджмента не совсем уместны, т.к. процедура управления в данном случае используется по отношению к обеспечительным процессам. Поэтому здесь мы будем придерживаться трактовке термина «риск», как интегрального показателя вероятности реализации угрозы и степени нанесенного ущерба (степени воздействия). В качестве угрозы безопасности информации рассматривается совокупность условий и факторов, которые могут стать причиной инцидента. Под процедурой управления рисками мы понимаем комплекс применяемых действий, направленных предприятием на экономические и технические процессы, в целях обеспечения необходимого уровня информационной безопасности. Типовая процедура управления рисками схематично представлена на рис. 1.

Целью управления рисками информационной безопасности является обеспечение целостности, доступности и конфиденциальности всех компонентов ИТ инфраструктуры путем уменьшения возможности реализации угроз и разработки действий по устранению последствий их реализации. Естественно, прежде всего, необходимо детально исследовать технологические процессы предприятия, чтобы учесть все факторы, влияющие на ИБ и выявить соответствующие риски. Поэтому нужно определить и классифицировать объекты, имеющие материальную ценность и подлежащие защите, так называемые активы информационной безопасности, а также угрозы, связанные с их жизненным циклом.

К активам ИБ относятся конфигурационные элементы информационной системы (оборудование, специализированные помещения, программное обеспечение, документация и др.), которые объединяются в группы, исходя из их назначения, функциональности и присущих угроз. Активы ИБ классифицируются по уровню критичности, характеризующему их приоритетность и необходимую степень защиты (соответствующий набор методов защиты). Принято устанавливать три уровня критичности: высокий, средний и низкий. Оценку рисков целесообразно проводить преимущественно для активов ИБ высокого и среднего уровня критичности, когда влияние на конфиденциальность, целостность и доступность таких активов может причинить предприятию значительный ущерб.

Далее применительно к каждому типу активов ИБ выявляются потенциальные угрозы, и определяется степень воздействия этих угроз на информационную безопасность предприятия. Источниками угроз могут являться внешнее окружение, используемые технологии и процессы, персонал. Результатом реализации угрозы становится раскрытие, изменение, потеря или разрушение актива ИБ, утрата или компрометация конфиденциальной информации и т.д. Степень воздействия угрозы, т.е. уровень возможного ущерба от ее реализации, оценивается по различным категориям (конкурентное преимущество, законы и регулятивные требования, операционная доступность, репутация на рынке, стоимость актива, ущерб от нарушения бизнес-процессов и т.д.) и выражается как высокая, низкая или средняя. Затем по аналогичной шкале определяется вероятность возникновения угрозы (наступления рискового события).

В результате формируется матрица оценки риска, на основании которой, риск можно ранжировать в зависимости от вероятности реализации и степени воздействия угрозы, табл. 1.

Таблица 1. Матрица оценки риска

Для построения эффективной системы управления информационной безопасностью идентифицированные и оцененные риски следует сгруппировать, разделив, например, на три категории: риски доступности, риски информационной безопасности и риски непрерывности по типу применяемых к ним мер защиты. Идентифицировав и оценив риски ИБ, можно переходить непосредственно к и этой процедуры.

Кроме того, оценку рисков нужно проводить комплексно с другими процедурами управления, следуя процессному подходу, что позволит создать и успешно сертифицировать единую систему менеджмента предприятия. Это необходимо, в первую очередь, предприятиям ОПК в целях выполнения требований по сертификации системы менеджмента на соответствие стандарту ГОСТ РВ 0015-002 для получения лицензии МинПромТорга (сокращенно – лицензии ВВТ).

Наши эксперты готовы оперативно и квалифицированно ответить на вопросы, связанные с построением и сертификацией системы управления информационной безопасностью. Вы можете заказать консультацию по управлению рисками системы менеджмента вашего предприятия прямо сейчас.

Актуальными проблемами современного менеджмента являются идентификация, анализ и снижение рисков, сопровождающих практически все виды деятельности предприятия . В настоящее время в российском менеджменте проходит первичное осмысление рисков . Анализ литературы, посвященной данной тематике , позволяет сделать вывод, что вопросу управления рисками в области обеспечения качества образования уделяется недостаточно внимания. В настоящей статье представлена методика управления рисками процессов СМК вуза

А.А. Спиридонова, Е.Г. Хомутова

Управление рисками процессов СМК вуза

Аннотация: В статье представлена методика управления рисками процессов СМК вуза, основанная на внедрении существующих подходов к управлению рисками применительно к условиям функционирования процессов СМК вуза. Управление рисками в представленной методике является завершающим звеном системы мониторинга процессов.

Ключевые слова: риск, процесс, управление рисками, FMECA , система менеджмента качества вуза

Одним из актуальных вопросов современного менеджмента является идентификация, анализ и снижение рисков, сопровождающих практически все виды деятельности предприятия .

Можно выделить следующие объекты для применения менеджмента рисков:

  • процессы системы менеджмента;
  • проекты;
  • деятельность (например, трансфер процессов, составление производственного графика);
  • объекты, представляющие опасность для работников организации, а также продукция или ее элементы, представляющие опасность для потребителей .

К сожалению, подход к управлению с позиций менеджмента рисков еще не стал одним из базовых принципов ИСО 9001. Задача бизнеса состоит в том, чтобы интегрировать данный подход в практику и использовать его в более широком смысле, в том числе в рамках менеджмента качества .

В настоящее время в российском менеджменте проходит первичное, начальное осмысление рисков . Анализ литературы в данной сфере позволяет заключить, что в особенности недостаточное внимание уделяется вопросу управления рисками в области обеспечения качества образования.

Настоящая статья посвящена разработке методики управления рисками процессов СМК вуза.

Учитывая, что система менеджмента качества опирается на процессную модель, следует и подсистему управления рисками реализовать применительно к существующим процессам, что позволит сделать систему менеджмента качества более гибкой, результативной и эффективной.

Под моделью управления рисками процесса СМК вуза авторы подразумевают совокупность процедур и методов, направленную на минимизацию риска и связанную с идентификацией, оценкой, анализом влияния рисков на функционирование процессов и принятие решений, предназначенную для максимизации положительных и минимизации отрицательных последствий наступления нежелательных событий.

На рис. 1 представлена концептуальная модель процесса управления рисками, построенная с помощью методологии IDEF0, составляющими которой являются:

  • информация от подсистем системы мониторинга процессов, информация о деятельности вуза, информация о внешней среде вуза (вход);
  • отчет, содержащий оценку оперативных управляющих воздействий на процесс (выход);
  • документы, регламентирующие деятельность вуза, нормативные документы по управлению рисками, инструменты управления рисками, документация СМК вуза (управляющие воздействия);
  • группа экспертов, управленческий персонал вуза и материально-технические, финансовые и информационные ресурсы (ресурсы).

Рис. 1 - Контекстная диаграмма процесса управления рисками

Декомпозиция представленной модели раскрывает последовательность этапов проведения методики и их ресурсное обеспечение.

Разработанная авторами методика управления рисками процессов основана на интеграции таких методов менеджмента качества, как FMECA (Failure Mode, Effects and Criticality Analysis), диаграмм Исикавы и состоит из следующих процедур и действий:

    Старт процесса управления рисками;

    Общая оценка риска;

    Выработка оперативных управляющих воздействий на процесс;

    Реализация оперативных управляющих воздействий на процесс;

    Определение результативности и/или эффективности предпринятых действий.

Старт процесса управления рисками состоит из следующих основных стадий:

- Выбор объекта управления рисками;

Под объектом управления рисками подразумевается процесс/группа процессов СМК вуза, подвергаемые процедуре управления рисками.

- Формирование группы внутренних экспертов;

Выбор членов группы экспертов является ключевым фактором успеха реализации методики управления рисками процесса.

Ввиду того, что группа внутренних экспертовустанавливает риски, которые должны быть предотвращены или снижены до приемлемого уровня, выявляет причины возникновения этих рисков (причинно-следственные связи) и участвует в разработке стратегии по предотвращению или снижению выявленных и оцененных рисков, члены данной группы должны быть компетентны и надлежащим образом осведомлены в области функционирования объекта управления рисками.

В состав группы внутренних экспертов должны входить: представитель руководства по качеству, руководитель процесса, поставщики и потребители процесса, а также сотрудники Службы качества. В составе команды специалистов должно быть 5-9 человек.

- Сбор исходной информации;

Экспертные мнения должны учитывать всю существующую доступную информацию, в том числе статистическую, характерную для выбранного процесса(ов).

Источниками получения информации по выявлению опасностей применительно к управлению рисками процесса являются:

    Информация от составляющих системы мониторинга процессов;

    • Измерение и анализ показателей процесса;

      Внутренние и внешние аудиты;

      Самооценка эффективности функционирования СМК;

      Измерение и анализ удовлетворенности потребителей;

    Информация о деятельности вуза;

    Информация о внешней среде вуза;

    Документация СМК вуза;

    Нормативные документы по управлению рисками;

    Документы, регламентирующие деятельность вуза;

    Мнение группы внутренних экспертов об особенностях процессов.

- Определение необходимых ресурсов;

В зависимости от целей исследования необходимо определить количество выделяемых временных, материально-технических и финансовых ресурсов для эффективной реализации процесса управления рисками.

- Установление критериев риска.

В данной методике не предусмотрено единственное пороговое значение приоритетности риска, а на основании таблицы 1 производится оценка критичности того или иного выявленного риска. Это позволяет ранжировать риски процесса и в дальнейшем разрабатывать предупреждающие действия, соответствующие полученной степени значимости риска, что обеспечивает экономию ресурсов.

Таблица 1 - Зависимость степени значимости риска от рассчитанного RPN

Следующим этапом разработанной методики выступает общая оценка рисков, которая состоит из следующих стадий:

    идентификация опасностей;

    анализ рисков;

    Идентификация опасностей является одним из базовых и основополагающих элементов в управлении рисками. Идентификация опасности связана с вопросом «Что может происходить неверно?», а также с установлением возможных причин, последствий и существующих методов обнаружения опасности (см. рис. 2).

    Рис. 2 - Идентификация опасностей

    Необходимо составить список всех возможных опасностей, которые могли бы возникать в отношении объекта рассмотрения.

    К примеру, применительно к процессам СМК вуза таковыми опасностями могут являться: недостаточная квалификация преподавателя, недостаточно современная материально-техническая база вуза, низкая удовлетворенность персонала учебного заведения и др.

    Для идентификации опасностей процесса используется метод «мозгового штурма» с последующим построением диаграммы Исикавы. При этом необходимо исходить из предположения, что опасность может появиться, но его появление не обязательно. То есть, необходимо отразить также и те опасности, которые могут появиться при совершенно экстремальных условиях.

    При идентификации опасностей определяющим фактором является полнота используемой информации.

    - Анализ рисков

    Данная стадия заключается в определении уровня риска для каждой выявленной опасности, влияющей на процесс.

    Для количественной оценки критичности опасности определяется значение приоритетности риска - RPN (Risk Priority Number) как произведение средних значений тяжести последствий, вероятности появления и вероятности обнаружения риска.

    Показатели для расчета RPN определяются с помощью метода экспертных оценок по 10-балльной шкале. Таким образом, RPN может принимать значения от 1 до 1000.

    Для уверенности в адекватности полученных результатов оценивается степень согласованности экспертов по каждому риску по величине коэффициента конкордации.

    - Оценка риска

    Цель данного этапа - установление приоритетов и тех рисков, которые должны быть предотвращены или снижены до приемлемого уровня. Риску присваивается одна из характеристик: «неприемлемый риск», «умеренный риск», «критический риск», «незначительный риск» в соответствии с таблицей 1.

    После реализации стадии общей оценки риска производится выработка оперативных управляющих воздействий на процесс, т.е. разработка конкретных экономически эффективных стратегий и планов действий по увеличению потенциальных выгод и сокращению потенциальных затрат.

    Группа внутренних экспертовустанавливает риски, которые должны быть предотвращены или снижены до приемлемого уровня и разрабатывает стратегию по предотвращению или снижению выявленных и оцененных рисков. При этом степень усилий при управлении рисками процесса соизмеряется с критичностью риска на основании рис. 3.

    Следует принимать во внимание, что решения, которые принимаются в процессе управления рисками, должны отвечать корпоративным целям с целью реализации долгосрочных приоритетов вуза. В случае если может быть реализовано несколько стратегий предупреждающих действий, необходимо выбрать те, которые наиболее экономически целесообразны.

    В последующем проводится внедрение стратегии борьбы с рисками посредством реализации разработанных предупреждающих действий относительно процесса. При этом весьма важным является выделение необходимых ресурсов с целью эффективной реализации оперативных управляющих воздействий на процесс.

    Рис. 3 – Предпринимаемые предупреждающие действия

    Для того чтобы управляющие воздействия были результативны, необходимо проводить регулярный контроль и анализ результатов, сроков и затрат на реализацию запланированных мероприятий. Таким образом, на этапе определения результативности и/или эффективности предпринятых действий, проводится анализ достижения целей в области управления рисками, которые были поставлены высшим руководством.

    В случае если предпринятые действия нерезультативны, необходимо исследовать причины данной нерезультативности и предпринять соответствующие действия для устранения данных причин, а также разработать новый план предупреждающих действий.

    Результаты оценки результативности и/или эффективности предпринятых действий относительно процесса являются важной информацией и должны быть включены в отчет о функционировании процесса СМК вуза.

    Таким образом, разработанная методика позволяет провести комплексную работу по управлению рисками на регулярной основе, обеспечить снижение возможных рисковых потерь. Все это позволяет перейти к непрерывному интегрированному управлению рисками процессов СМК вуза.

    Преимуществами представленной методики являются:

      адаптация существующих подходов в области риск-менеджмента непосредственно к управлению рисками процессов СМК вуза;

      управление рисками является завершающим звеном системы мониторинга процессов, при этом в качестве исходной информации для процесса управления рисками используется информация от всех составляющих - подсистем мониторинга процессов (измерение и анализ показателей процесса; внутренние и внешние аудиты; самооценка эффективности функционирования СМК; измерение и анализ удовлетворенности потребителей);

      применение таких методов менеджмента качества, как FMECA и диаграммы Исикавы обеспечивает комплексный научный подход к управлению рисками;

      с целью разработки адекватных предупреждающих действий производится оценка критичности риска на основании зависимости степени значимости риска от рассчитанного RPN.

    Представленные модель и методика управления рисками процесса обеспечивают гибкое оперативное и тактическое управление внутренними и внешними рисками процессов, свойственные современным условиям функционирования вуза. Данная методика согласована с процессной структурой вуза, с функционирующими подсистемами мониторинга процессов, что обеспечивает стабильность и устойчивость развития вуза.

    СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

    1. Васильков Ю.В., Гущина Л.С. Система менеджмента рисков как инструмент управления экономикой предприятия // Методы менеджмента качества. - 2012. - №2. - С. 10-15.
    2. Котов С.С., Касторская Л.В. Показатели процессов, риски, изменчивость – что общего? // Стандарты и качество. - 2011. - №10. - С. 22-27.
    3. Андросенко Н.В., Бакштеева Н.А. Особенности построения и оценки интегрированных систем менеджмента с учетом бизнес-рисков // Стандарты и качество. - 2009. - №12. - С. 68-72.
    4. Виткин Л.М., Саевич И.Б., Лапач С.Н. Построение модели оценивания риска продукции // Стандарты и качество. - 2008. - №2. - С. 30-31.
    5. Дьяконов Б.П., Никонов В.О. Системное управление рисками информационной безопасности на основе ИСО 27001:2005 // Стандарты и качество. - 2008. - №12. - С. 64-66.
    6. Макарова Н.С. Риски в процессе устойчивого развития организаций // Стандарты и качество. - 2012. - №5. - С. 91.
    7. Марцынковский Д.А. Обзор основных аспектов риск-менеджмента // Компетентность. - 2009. - №1(62). - С. 36-43.
    8. Никифорова А.П. Управление рисками при производстве авиационной техники // Стандарты и качество. - 2011. - №6. - С. 27.
    9. Ставенко Ю.А., Громов А.И. Подход к управлению операционными рисками бизнес-процессов организации // Качество. Инновации. Образование. - 2012. - №10. - С. 76-83.

    Сертификация медицинского оборудования является обязательной , потому что от ее качества и безопасности напрямую зависят жизнь и здоровье людей.

    Так как объектом исследования является инновационный продукт, перед началом сертификации рекомендуется обратить внимание на те риски, с которыми можно столкнуться во время проверки на соответствие.

    Для наглядности, был описан процесс сертификации в виде событийного потока последовательно выполняемых работ (Рисунок 1).

    Основные этапы процедуры сертификации :

    1. Формирование и подача документов в орган по сертификации;

    2. Отбор образцов продукции и их идентификация;

    3. Сертификационные испытания образцов;

    4. Принятие решения по сертификации (получение сертификата).

    Рисунок 1. Модель процесса сертификации продукта

    Первый этап – подготовка и подача документов в сертификационный орган (ОС). Этим занимается человек, ответственный за сертификацию со стороны заявителя.

    Здесь существует риск возникновения ошибки при сборе информации и оформлении заявки , фактором риска является квалификация персонала. Важно, чтобы разработкой документации занимался человек, знакомый с характеристиками сертифицируемой продукции, со всем перечнем необходимой документации, а также с юридической стороной вопроса.

    Еще присутствует риск, связанный с выбором органа по сертификации : перед обращением в соответствующую службу, необходимо удостовериться в наличии у нее прав на проведение процедуры сертификации медицинских изделий. Сертифицирующий орган должен быть аккредитован Минздравом на выполнение работ в сфере подтверждения соответствия в медицинской области. Кроме того, желательно, чтобы ОС имел право на проведение экспертизы продукции (для экономии средств). Для этого необходимо, чтобы в органе по сертификации была своя испытательная лаборатория.

    После того, как заявка на сертификацию будет принята и одобрена соответствующим органом, происходит переход на следующий этап – идентификация и отбор образцов.

    Проведение идентификации – это определение государственного стандарта, Технического регламента, Технического регламента Таможенного союза, требованиям которых должен отвечать предмет сертификации. На данном этапе будет определяться перечень показателей для испытаний, которые должен пройти наш продукт. Проведение идентификации осуществляется экспертом со стороны сертифицирующего органа.

    Есть риск, что суждения о соответствии продукции установленным требованиям будут недостаточны , что приведет к приостановке или отмене процедуры сертификации, а заявитель потеряет свои деньги и время на проведение соответствующих дополнений.

    Когда мероприятия по установлению и подтверждению достоверности будут проведены, осуществится отбор образцов продукции для требуемых испытаний. Порядок выборки устанавливается в органе по сертификации в соответствии с требованиями Технических регламентов, правил сертификации медицинских изделий, нормативными или организационно-методическими документами по сертификации требуемого вида продукции. Существует опасность появления ошибки при отборе образцов , связанная с квалификацией ответственного за этот процесс персонала. Необходимо, чтобы за выборку образцов отвечал эксперт, компетентный в области функционирования предоставленного изобретения.

    Далее, эксперт отправляет выбранные образцы в испытательную лабораторию. Для сертификации рассматриваемого инновационного медицинского оборудования требуется провести такие испытания, как: механические, электрические, экологические, функциональные, а также испытания электромагнитной совместимости ЭМС. Для сертификации изобретения необходимо также пройти клинические испытания.

    Может произойти поломка лабораторного оборудования, занятого в проведении требуемых испытаний. Существует риск, что полученные результаты окажутся искажены . Во избежание поломок оборудования и последующих отрицательных результатов, важно, чтобы испытания осуществлялись на работоспособном оборудовании и только под присмотром квалифицированного персонала.

    Последний этап – принятие решения по сертификации.

    Здесь возможны два исхода:

    1) Регистрация продукта;

    2) Отказ в выдаче сертификата соответствия.

    В случае, если по всем критериям проверки на соответствие будут получены положительные результаты, сертифицирующий орган примет решение о регистрации продукта. Мы получим сертификат изделия медицинского назначения, который будет являться подтверждением соответствия продукции требованиям технических регламентов, положениям стандартов или условиям договоров.

    Но есть риск, что будет принято решение о невыдаче сертификата . Основанием для отказа может являться отсутствие положительного результата оценки соответствия. Такое решение может быть принято не только из-за несоответствия сертифицируемого изобретения заявленным требованиям, но и по невнимательности со стороны сертифицирующего органа.

    Итак, в Таблице 1 обозначены все выделенные выше риски.

    Таблица 1 – Риски при сертификации рассматриваемого инновационного медицинского оборудования

    Риск

    Принадлежность

    «Виновник»

    Риск возникновения ошибки при сборе информации и оформлении заявки

    Внутренний

    Ответственный за разработку документации

    Риск, связанный с выбором органа по сертификации

    Внутренний

    Ответственный за выбор ОС

    Риск, что суждения о соответствии продукции установленным требованиям будут недостаточны

    Риск появления ошибки при отборе образцов

    Эксперт ОС по конкретной продукции

    Риск, что полученные результаты окажутся искажены

    Оборудование; персонал лаборатории

    Риск, что будет принято решение о невыдаче сертификата

    Внутренний; внешний

    Заявитель; ОС

    Основными факторами, влияющими на возникновение рисков, являются:

    1) квалификация персонала , занятого в процессе сертификации. Очень важно, чтобы на всех этапах работали добросовестные и компетентные люди.

    2) оборудование, используемое во время процедур испытаний . Для проведения требуемой оценки необходимо, чтобы соответствующая аппаратура была работоспособной.