ГОСТ Р 53647.3— 2015
7.7 Оценка риска
На следующем этапе необходимо выполнить оценку риска для всех видов ресурсов, идентифици
рованных в карте процесса. Если у организации уже существует процесс менеджмента риска, разумно
использовать этот процесс для оценки риска МНБ. В каждой организации существуют точки, отказ в
кото рых вызывает отказ всей системы, например, ключевой сотрудник или ключевой поставщик.
Используя данные составленной карты процесса, легче идентифицировать, какие процессы и.
следовательно, ка кие действия будут затронуты в случае возможного отказа в этой точке.
Пример
—
Изготовитель выпускает широкий ассортимент офисной мебели. Одна из производ
ственных линий компании произвела большой объем типовой продукции в широком ассортименте с низ
ким коэффициентом рентабельности, в то время как другая производственная линия выполнила специ
альный заказ небольшого объема с высоким уровнем дохода. Такая специализация обеспечила выполнение
поставки продукции компании в двух нишах рынка и обеспечила возможность заключать контракты с
крупными клиентами. Проведение анализа риска для выполнения специального заказа привело к выявле
нию в этой производственной линии единственной точки возможного отказа: только один очень опыт
ный служащий может выполнять специальные работы по дереву для мебели по специальному заказу, в
его отсутствиелиния останавливается. Отказ поставить мебель по специальному заказу организациям
можетпривести кпотереобщегоконтракта напоставкутиповой офисноймебели стемиже компаниями.
Вывод: следует идентифицировать точки, отказ в которых вызывает остановку процесса, про
вести анализ риска и его обработку.
Внутренние и внешние опасности, обязательства и уровень подверженности риску должны быть
идентифицированы вместе с вероятностью реализации опасности. Результаты должны быть зареги
стрированы. В организации может уже существовать реестр риска как часть системы менеджмента ри
ска. в этом случае необходимо разработать интегрированный реестр риска.
Вниманиедолжно также быть уделено разрушениям и кризисам, которые происходят вне организа
ции. Авария в одной организации может повлиять на всех ее конкурентов. Авария, произошедшая с кру
изным лайнером Коста Конкордия в январе 2012 года, повлияла не только на ее собственников компанию
Carnival Corporation, но и привела к падению спроса на круизы во всех туристических компаниях.
Пример
—
Из продажи было изъято
более
600 видов соуса, загрязненного канцерогенным пищевым
красителем «Судан 1». В результате снизились продажи организации-изготовителя, хотя ее соус не
содержал никаких искусственных красителей. Кампания, поднятая средствами массовой информации и
общественностью, привела к снижению спроса на продукцию этой организации. За первые четыре дня
отзыва продукции три тысячи пятьсот потребителей позвонили на горячую линию, требуя дополни
тельных исследований. Организация вынуждена была начать дорогую рекламную акцию для защиты
бренда и своей 90-процентной доли продаж на рынке.
Вывод: инцидент, который не происходит непосредственно в пределах организации, тоже может
быть опасен. Восприятие заинтересованных сторон, в данном случае общественности, должно быть
принято во внимание при разработке процедур МНБ.
Результаты анализа воздействия на бизнес и анализа риска используют для создания матрицы
риска для критическихдействий, как показано на рисунке 14.
ОйИЫ НМГТМ Ы Ю Й
Планирована
пиющигаи*
ВОЗДЕЙСТВИЕ
Принта
VhpuniHHiti
Огденячем*
НМНЙМНТЙГЫЮв
I
НкаонВЕРОЯТНОСТЬВысота
Рисунок 14— Пример матрицы риска
24