В чем заключается сущность косвенной оценки рисков ответ
Методы оценки профессиональных рисков: выбираем подходящий
Методы оценки профессиональных рисков: выбираем подходящий
На момент написания этой статьи методы оценки профессиональных рисков не утверждены ни Федеральными законами, ни постановлениями Министерств. Вместе с тем, необходимость в проведении этого мероприятия не исчезает и уже подчеркивается предписаниями Государственной инспекции по труду. Сегодня широкой публике представлены десятки способов оценить профессиональные риски: начиная с тех, что закреплены в ГОСТах и заканчивая авторскими методами экспертных организаций. Сегодня мы разберёмся, какие методы оценки профессиональных рисков подходят для определённых ситуаций, расскажем про их плюсы и минусы применения. Начнём!
Методы оценки профрисков: где их искать?
Несмотря на то, что тема профессиональных рисков далеко не новая, в 2019 году интерес организаций был сильно подогрет к проведению данной процедуры. Во-первых, введение риск-ориентированного подхода. Во-вторых, повышение уровня ответственности работодателей. В-третьих, штрафы после проверок инспекции по труду. Отсутствие единой утверждённой методики оценки профессиональных рисков (и вместе же с этим необходимость проведения) заставило работодателей искать любые зацепки в нормативной документации, строить логические догадки и перечитывать государственные стандарты. В итоге сформировался список документов, которые содержат методы оценки профессиональных рисков:
Чаще стали появляться и авторские методы оценки профессиональных рисков: мы с интересом отмечаем работы Т.В. Ригера (метод коэффициента безопасности труда), С.С. Тимофеевой (совершенствование современного законодательства в области охраны труда) и рады делиться собственными разработками — метод повышения объективности оценки профессионального риска (подготовлено и разработано специалистами ЦПР «Эксперт»).
Безусловно, это не окончательный список. В очень скором времени появится еще методы оценки профессиональных рисков, среди которых, как мы надеемся, будет единый, принятый на Федеральном уровне.
Запутались? Напишите нам, мы поможем. Бесплатно.
Матричные методы оценки профессиональных рисков
Пожалуй, самый простой и недорогостоящий метод оценки профессиональных рисков: работниками организации (или экспертами привлечённой организации) выполняется составление матрицы рисков, согласно которой риски оцениваются по схеме «вероятность — ущерб». Эксперт для каждой ситуации определяет, насколько вероятно её наступление и насколько велик потенциальный ущерб. В итоге составляется таблица, она же — матрица рисков: белые ячейки означают приемлемый риск, серый — высокий и черный — неприемлемый.
Матрица оценки профессиональных рисков
Вместе с простотой использования настоящего метода приходят и его минусы: такая экспертная оценка обладает очень низкой объективностью. Повысить этот показатель можно, привлекая экспертов сторонних организаций (ввиду их опыта), или же используя дисперсионный анализ объективности оценок (авторский метод ЦПР «Эксперт»).
Косвенные методы оценки профессиональных рисков
Этот метод будет очень кстати, если Ваша организация насчитывает в штате не более 10 человек, а основная деятельность не предполагает физического труда. Иными словами, этот метод, на наш взгляд, идеален для офисных (консалтинговых организаций).
Суть этого способа оценить профессиональные риски сводится к тому, чтобы найти соотношение между количеством опасных ситуаций и общим числом возможных исходов события. Центральной фигурой этого метода является индекс Элмери, который показывает, сколько % от пунктов безопасности соблюдается на предприятии.
Впрочем, и здесь есть недостаток, не позволяющий применить данный метод для крупных и опасных производств. Все факторы, которые берутся в расчёт, имеют одинаковый вес, подразумевая, что каждая опасность равнозначна остальным.
А вот Вам пара советов, как НЕ нужно проводить оценку профессиональных рисков
Балльные методы оценки профессиональных рисков
Эти методы задействуют специальную балльную систему (от 1 до 6): чем выше балл, тем меньше соответствуют условия труда действующим нормам и правилам. В расчёте показателя уровня риска участвуют результаты проведения специальной оценки условий труда. Главный плюс данного метода в том, что имеется возможность соотнести профессиональные риски в конкретном подразделении, организации в целом, или сравнить несколько организаций.
В чем заключается сущность косвенной оценки рисков ответ
7 МИН
Как оценить риски предприятия
Ошибки в расчётах и планировании, изменения ситуации на рынке и в законодательстве создают риски для бизнеса. Объясняем, как их оценить и предотвратить.
Виды деловых рисков
Обычно под «деловым риском» подразумевают одно или несколько событий, негативно воздействующих на деятельность предприятия или её аспекты.
С точки зрения предсказуемости риски делят на систематические и несистематические. Несистематические риски возникают в отдельно взятой компании, их можно спрогнозировать и оценить своими силами. Систематические риски угрожают рынку в целом или отдельным сферам бизнеса. Предсказать их возникновение и оценить последствия могут только эксперты.
Виды систематических рисков:
Пример юридического риска
Из-за поправок в Жилищном кодексе с 1 октября 2019 года хостелы и гостиницы могут располагаться только в нежилых зданиях или в помещениях многоквартирных домов, имеющих статус нежилого фонда и соответствующих ряду дополнительных требований. Теперь предприниматели, хостел или гостиница которых находятся в жилом доме, должны перевести помещение в статус нежилого фонда, переехать в другое или закрыть бизнес.
Оценка профессиональных рисков
Профессиональный риск – это вероятность причинения вреда здоровью в результате воздействия вредных и (или) опасных производственных факторов при исполнении работником обязанностей по трудовому договору или в иных случаях, установленных ТК и другими ФЗ. (Статья 209 ТК РФ)
Процедура оценки риска – это структурированный процесс исследования случайных процессов для определения как возможности реализации тех или иных ситуаций, заканчивающихся воздействием опасностей на организм работающего, так и значимости неблагоприятных последствий такой реализации. (ГОСТ 12.0.230.5-2018 Система стандартов безопасности труда (ССБТ). Системы управления охраной труда. Методы оценки риска для обеспечения безопасности выполнения работ)
Оценка профессиональных рисков – это определение вероятности причинения вреда здоровью работников в результате воздействия вредных и (или) опасных производственных факторов при исполнении ими обязанностей по трудовым договорам и принятие решении о допустимости уровней профессиональных рисков.
Уровень профессионального риска – это вероятность повреждения (утраты) здоровья или смерти в результате неблагоприятного влияния факторов производственной среды и трудового процесса, связанная с исполнением обязанностей по трудовому договору (контракту) и в ряде иных, установленных законодательством, случаях.
Управление профессиональными рисками – комплекс взаимосвязанных мероприятий, являющихся элементами системы управления охраной труда (далее – СУОТ) и включающих в себя меры по выявлению, оценке и снижению уровней профессиональных рисков.
Чек-лист №31 проверяет наличие у работодателя Системы управления охраной труда, для чего содержит два пункта:
Согласно Приказу Минздрава РФ от 01.03.2012 № 181н «Об утверждении Типового перечня ежегодно реализуемых работодателем мероприятий по улучшению условий и ОТ и снижению уровней профессиональных рисков», в данный перечень входит «Проведение СОУТ и оценки уровней профессиональных рисков».
Приказом Минтруда РФ от 19.08.2016 № 438н утверждено Типовое положение о СУОТ. Согласно данному документу (далее – Положение), процедура управления профессиональными рисками является частью СУОТ организации.
При разработке положения о Системе управления охраной труда работодатель должен руководствоваться Типовым положением о СУОТ, пункты которого регламентируют процедуру оценки риска:
СУОТ подразумевает наличие процедуры оценки профессионального риска и выстраивание работы по ОТ в соответствии с выявленными опасностями.
Кроме того, ряд национальных стандартов РФ регламентирует принципы и порядок оценки рисков:
Порядок оценки рисков
Оценка рисков – это структурированный процесс, в рамках которого идентифицируют опасности, определяют вероятности возникновения опасных событий и проводят анализ возможных последствий для принятия решения о необходимости учёта риска и управления им.
Оценка рисков позволяет ответить на следующие основные вопросы:
Оценку профессиональных рисков можно представить в виде последовательности следующих действий:
Методы оценки рисков
Методы выявления опасностей можно разделить на прямые и косвенные^
Выбор прямого или косвенного метода зависит от целей оценки рисков, имеющегося объема статистической информации и особенностей решаемых задач.
Процесс визуальной оценки рисков характеризуется следующими примерами:
Оценка рисков введена как один из важнейших элементов современной системы управления охраной труда.
Следует различать оценку профессиональных рисков и риск-ориентированный подход, который применяет Роструд при проведении плановых и внеплановых проверок работодателей в рамках Федерального надзора в сфере труда.
Методика оценки рисков информационной безопасности
Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
В чем заключается сущность косвенной оценки рисков ответ
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Система стандартов безопасности труда
СИСТЕМЫ УПРАВЛЕНИЯ ОХРАНОЙ ТРУДА. ОПРЕДЕЛЕНИЕ ОПАСНОСТЕЙ И ОЦЕНКА РИСКОВ
Occupational safety standards system. Occupational safety and health management systems. Hazard and risks identification and estimation of risks
Дата введения 2011-01-01
Предисловие
1 РАЗРАБОТАН Рабочей группой, состоящей из представителей Федерации независимых профсоюзов России, Российского союза промышленников и предпринимателей, ООО «Экожилсервис»
2 ВНЕСЕН Техническим комитетом ТК 251 «Безопасность труда»
5 ПЕРЕИЗДАНИЕ. Май 2019 г.
Введение
Одной из целей системы менеджмента охраны здоровья и обеспечения безопасности труда является снижение ущерба здоровью и жизни работника на основе управления рисками. Начальным этапом управления рисками является проведение их оценки. В общем случае оценка (расчет) рисков включает: выявление опасностей, определение (расчет) для каждой из них размеров возможных ущербов здоровью, вероятностей их наступления, проведение расчета значения показателя рисков.
Настоящий стандарт определяет порядок оценки рисков.
Косвенные методы оценки рисков для здоровья и жизни работников используют показатели, характеризующие отклонение существующих (контролируемых) условий (параметров) от норм и имеющие причинно-следственную связь с рисками.
В настоящем стандарте представлены:
— показатели ущерба и рисков (наиболее применимые), порядок их использования для оценки рисков;
— порядок выявления опасностей, последствия проявления которых могут привести к возникновению ущерба здоровью и жизни работника;
— порядок расчета вероятностей возникновения ущерба.
1 Область применения
Настоящий стандарт применяют в целях:
— обеспечения конституционного права работника на труд в условиях, отвечающих требованиям безопасности и гигиены [1, статья 37, пункт 3];
— получения данных (об опасностях и рисках) для информирования работников о риске повреждения здоровья [2, статья 212];
— обоснования положенной социальной защиты работников, в том числе компенсаций за работу во вредных и (или) опасных условиях труда;
— оценивания эффективности мер по совершенствованию охраны труда;
— принятия превентивных мер по защите здоровья работника;
— выяснения причинно-следственной связи состояния здоровья работников с условиями труда;
— обоснования положений трудового договора об обязательствах работодателя по обеспечению работника необходимыми средствами индивидуальной защиты, установлению соответствующего режима труда и отдыха, а также по обеспечению других предусмотренных законодательством гарантий и компенсаций.
Настоящий стандарт может быть применен экспертными и страховыми организациями для обоснования размера страховых тарифов.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 12.0.003 Система стандартов безопасности труда. Опасные и вредные производственные факторы. Классификация
ГОСТ Р ИСО 12100-1-2007 Безопасность машин. Основные понятия, общие принципы конструирования. Часть 1. Основные термины, методология
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 опасность: Фактор среды и трудового процесса, который может быть причиной травмы, острого заболевания или внезапного резкого ухудшения здоровья. В зависимости от количественной характеристики и продолжительности действия отдельных факторов рабочей среды они могут стать опасными.
3.2 определение опасности: Выявление (идентификация), описание и признание потенциального источника ущерба.
3.3 условия труда: Совокупность факторов производственной среды и трудового процесса, оказывающих влияние на работоспособность и здоровье работника.
3.4 риск: Сочетание (произведение) вероятности (или частоты) нанесения ущерба и тяжести этого ущерба.
[ГОСТ Р 51898-2002, пункт 3.2, дополнено тем, что в скобках]
3.5 оценка риска: Количественное или качественное определение значения показателя риска.
3.6 ущерб: Нанесение физического повреждения или другого вреда здоровью людей, или вреда имуществу или окружающей среде.
3.7 вредный производственный фактор: Производственный фактор, воздействие которого на работника может привести к его заболеванию.
3.8 опасный производственный фактор: Производственный фактор, воздействие которого на работника может привести к его травме.
3.9 охрана труда: Система сохранения жизни и здоровья работников в процессе трудовой деятельности, включающая в себя правовые, социально-экономические, организационно-технические, санитарно-гигиенические, лечебно-профилактические, реабилитационные и иные мероприятия.
3.10 организация: Компания, фирма, проект, предприятие, учреждение, завод, фабрика, объединение, орган власти, общественный институт или ассоциация и т.п. либо их части, входящие или не входящие в их состав, различных форм собственности, которые имеют собственные функции и управление.
3.13 гигиенический норматив: Установленное исследованиями допустимое максимальное или минимальное количественное и (или) качественное значение показателя, характеризующего тот или иной фактор среды обитания с позиций его безопасности и (или) безвредности для человека.
4 Риск
Риск в общем случае рассчитывают суммированием произведений возможных дискретных значений ущерба здоровью и жизни работника на вероятности их наступления :
, (1)
. (2)
Характеристики случайных чисел, в том числе значения вероятности и ущерба, как правило, определяют по репрезентативной ограниченной по объему и времени выборке. В этом случае формула (1) приобретает следующий вид:
, (3)
— частота наступления ущерба здоровью и жизни работника.