Положення про управління ризиками
в Національному аерокосмічному університеті
ім. М. Є. Жуковського «Харківський авіаційний інститут»
СУЯ ХАІ-НМВ-П/007:2019
Дата введення 20 квітня 2019 р.
Редакція № 2
1. Призначення і сфера застосування
1.1 У цьому положенні встановлено правила й процедури планування, організації, управління ризиками в Національному аерокосмічному університеті ім. М.Є. Жуковського «Харківський авіаційний інститут» (далі - Університет), а також визначається порядок виявлення, ідентифікації, аналізу й оцінювання ризиків, проведення заходів щодо їх усунення й причин виникнення з метою запобігання подальшому повторенню, а також документального оформлення їх результатів.
1.2 Це положення розроблено відповідно до вимог п. 6.1 ISO 9001 і ДСТУ ISO 9001 і п. 6.1 Положення «Про систему управління якістю» СУЯ ХАІ-НМВ-П/013.
1.3 Вимоги цього положення поширюються на діяльність керівництва Університету, керівників структурних підрозділів, інших посадових осіб і є обов'язковими до застосування в усіх структурних підрозділах, що належать до сфери застосування системи управління якістю Університету при визначенні, оцінюванні та управлінні ризиками процесів.
2. Нормативні посилання
У цьому положенні наведено посилання на такі нормативні документи:
1) СУЯ ХАІ-НМВ-П/013:2019 Положення «Про систему управління якістю»;
2) СУЯ ХАІ-НМВ-П/011:2019 Положення «Планування і проведення внутрішнього аудиту»;
3) СУЯ ХАІ-НМВ-РІ/001:2019 Інструкція «Аналіз з боку найвищого керівництва»;
4) СУЯ ХАІ-НМВ-РЕ002:2019 Інструкція «Невідповідність і коригувальні дії»;
5) ДСТУ ISO 9000:2015 Системи управління якістю. Основні положення та словник термінів (ISO 9000:2015, IDT);
6) ДСТУ ISO 9001:2015 Системи управління якістю. Вимоги (ISO 9001:2015, IDT);
7) ДСТУ IEC/ISO 31010:2013 Керування ризиком. Методи загального оцінювання ризику (IEC/ISO 31010:2009, IDT);
8) СУЯ ХАІ-НМВ-Ф.УР/001 Паспорт ризиків;
9) СУЯ ХАІ-НМВ-Ф.УР/002 План-факт заходів щодо усунення ризиків;
10) СУЯ ХАІ-НМВ-Ф.УР/003 Звіт з аналізування ризиків у структурному підрозділі / процесі;
11) СУЯ ХАІ-НМВ-Ф.УР/004 Зведений звіт з аналізування ризиків в Університеті.
3. Терміни та визначення понять
У цьому положенні застосовано такі терміни та визначення понять:
3.1 дані - факти про об’єкт;
3.2 інформація - значущі дані;
3.3 задокументована процедура - внутрішній нормативний (організаційний) документ, що містить установлений спосіб виконання процесу (роботи);
3.4 процес - сукупність взаємопов'язаних або взаємодіючих видів діяльності, яка перетворює входи на виходи;
3.5 ризик - імовірна подія, яка може вплинути на досягнення стратегічних та операційних цілей Університету в кінцевій перспективі;
3.6 управління ризиками - процеси, пов'язані з ідентифікацією, аналізом ризиків та прийняттям рішень, які містять максимізацію позитивних і мінімізацію негативних наслідків настання ризикових подій;
3.7 менеджмент ризиків - скоординована діяльність для спрямування і контролю організації щодо ризиків;
3.8 власник ризику - керівник підрозділу, на стратегічні або операційні цілі якого прямо впливає цей ризик. Власник ризику відповідає за ідентифікацію, оцінювання і моніторинг управління ризиком;
3.9 система управління ризиками - сукупність процесів, методик, інформаційних систем, спрямованих на досягнення цілей і завдань управління ризиками;
3.9 паспорт ризиків - документ, що містить усю наявну інформацію про ризик.
4. Скорочення
У положенні наведено такі скорочення:
СУЯ - система управління якістю;
НМВ - навчально-методичний відділ;
УР - управління ризиками.
5. Опси процедури
5.1 Входи й виходи процесу
Входами процесу є внутрішня інформація від складових системи моніторингу процесів СУЯ про діяльність Університету та/або структурного підрозділу/процесу й зовнішнє середовище.
Виходами процесу є паспорт ризиків Університету та/або структурного підрозділу/процесу, план-звіт заходів щодо усунення ризиків і документована інформація про результати виконання цих заходів Університету та/або структурного підрозділу/процесу, зведений звіт-аналіз ризиків в Університеті.
5.2 Відповідальність і повноваження
5.2.1 Відповідальним за виконання вимог цього положення персоналом Університету є головний менеджер з якості Університету.
5.2.2 Головний аудитор є відповідальним за оцінювання задоволеності учасників процесу управління ризиками фактичними умовами й результатами його проведення.
5.2.3 Керівники й співробітники структурних підрозділів є відповідальними за своєчасну ідентифікацію ймовірних ризиків і впровадження дій з уникнення ризику, усунення джерела ризику або змінення умов щодо його виникнення.
5.2.4 Керівники й співробітники структурних підрозділів є відповідальними за своєчасну звітність стосовно виконання вимог цього положення головному аудитору.
5.3 Загальні положення
5.3.1 Процес управління ризиками впроваджується для ідентифікації, аналізування, оцінювання й усунення ризиків і їх причин для запобігання їх повторенню.
5.3.2 Основними цілями процесу є забезпечення гарантії досягнення стратегічних цілей і підтримка ефективності роботи СУЯ Університету.
5.3.3 Задачі процесу управління ризиками:
- ідентифікація й оцінювання ризиків, що впливають на досягнення стратегічних цілей Університету;
- забезпечення заходів щодо мінімізації ймовірності й негативного впливу ризиків на цілі Університету;
- стратегічне планування діяльності Університету з урахуванням ризиків;
- своєчасне інформування головного аудитора і зацікавлених сторін про наявність можливих ризиків;
- моніторинг заходів з контролю ризиків;
- виявлення, оцінювання й управління ризиками процесів Університету;
- забезпечення інформацією про ризики під час прийняття управлінських рішень;
- формування плану заходів щодо усунення ризиків;
- координація, забезпечення й оцінювання ефективності своєчасного реагування на ризики;
- формування пропозицій щодо поліпшення процесів СУЯ Університету.
5.3.4 Власниками процесу є головний менеджер з якості Університету й головний аудитор.
5.3.5 Учасниками процесу є керівники структурних підрозділів/процесів, співробітники структурних підрозділів,
5.3.6 Для реалізації процесу використовують інформаційні, матеріальні, фінансові й людські ресурси.
5.3.7 Механізм зворотного зв'язку - оцінювання задоволеності учасників цього процесу фактичними умовами його проведення.
5.3.8 Приклад переліку ймовірних ризиків, які можуть виникнути в процесах СУЯ і діяльності Університету, наведено в таблиці 1.
Таблиця 1
Найменування процесу | Найменування ризику | Фактори ризику |
Керувальні процеси | ||
1 ПЛАНУВАННЯ | Фінансовий ризик | Непередбачена інфляція Підвищення податків Неправильне планування й розподіл бюджетних коштів (неефективного витрачання фінансів) Недостатня кваліфікація співробітників що займаються плануванням в Університету і т.д. |
Юридичний ризик | Зміни в законодавстві України та його недосконалість і т.д. | |
2 ОРГАНІЗАЦІЯ СИСТЕМИ УПРАВЛІННЯ ЯКІСТЮ | Невиконання запланованих заходів з організації системи управління якістю | Відсутність фінансових коштів в Університеті для навчання співробітників СУЯ Недостатня кваліфікація внутрішніх аудиторів і співробітників Університету |
3 МОНІТОРИНГ, АНАЛІЗ І ПОЛІПШЕННЯ | Погіршення показників функціонування системи якості | Неправильний час планування й проведення внутрішнього аудиту Відсутність фінансування для навчання внутрішніх аудиторів та уповноважених за якість у підрозділах, що перевіряються Неправильний вибір основних цілей і завдань при плануванні поліпшень Відсутність у співробітників кваліфікації для моніторингу й аналізування Низька виконавська дисципліна і т.д. |
Основні процеси (діяльність університету) | ||
1 ПРИЙМАННЯ АБІТУРІЄНТІВ | Невиконання планів з приймання абітурієнтів до Університету | Зменшення попиту з боку абітурієнтів Недостатня реклама навчання в Університеті Неефективна організація доуніверситетської діяльності й профорієнтаційної роботи серед абітурієнтів |
2 ПРОЕКТУВАННЯ І РОЗРОБЛЕННЯ ОСВІТНІХ ПРОГРАМ | Несвоєчасне проектування й розроблення освітніх програм | Недостатній рівень кваліфікації членів проектних груп в Університеті Відсутність необхідного методичного забезпечення для розроблення освітніх програм Несумлінне ставлення співробітників Університету до своїх обов’язків Неефективне використання кадрового потенціалу в підрозділах Університету Низька виконавська дисципліна співробітників Університету та т.д. |
3 РЕАЛІЗАЦІЯ ОСВІТНІХ ПРОГРАМ | Недостатня (низька) якість освітніх послуг | Недостатньо високий початковий рівень абітурієнтів Недоліки в робочих навчальних планах Неможливість забезпечити необхідне фінансування освітньої діяльності Низька виконавська дисципліна співробітників Університету Недостатня матеріально-технічна база при реалізації освітніх програм Недостатня гнучкість в управлінні програмою, що не дає змоги оперативно реагувати на зміни зовнішнього середовища Неможливість забезпечити студентів сучасною літературою і доступом до інформаційних ресурсів |
| Невиконання індивідуального плану-звіту викладача Недосконале навчально-методичне забезпечення освітніх програм Невиконання навчального процесу учасниками освітнього процесу Невідповідності за результатами поточних перевірок та аудитів Недостатня кількість висококваліфікованих викладачів і т.д. | |
Недостатній рівень сучасної теоретичної і практичної підготовки співробітників | Пропускання викладачами засідань, семінарів, рад Неналагоджений процес проходження виробничого стажування викладачами Особисті характеристики співробітників Хвороба персоналу і т.д. | |
4 ВИХОВНА Й ПОЗАНАВЧАЛЬНА РАБОТА | Зниження активності участі студентів у позанавчальних заходах | Низький рівень мотивації студентів до участі в позанавчальній роботі і т.д. |
5 НАУКОВІ ДОСЛІДЖЕННЯ І РОЗРОБКИ | Недостатнє інформаційне забезпечення науково- освітнього процесу | Відсутність доступу до інформаційних джерел Відсутність входів процесу, їх невідповідність або несвоєчасне отримання Неузгодженість дій різних виконавців і т.д. |
Незабезпечення ефективності дослідної діяльності | Низька якість підготовки педагогічного персоналу Низька активність наукового й науково- педагогічного складу щодо публікації результатів наукових досліджень Низька активність студентів у науково- дослідній роботі і т.д. | |
Невідповідності в лабораторній базі | Відсутність відповідного методичного забезпечення Відсутність необхідного інструменту й обладнання або його моральне старіння Відсутність співробітників відповідної кваліфікації Незадовільний стан лабораторій, порушення правил техніки безпеки й внутрішнього розпорядку і т.д. | |
Процеси забезпечення | ||
1 УПРАВЛІННЯ ПЕРСОНАЛОМ | Нестача кваліфікованих педагогічних кадрів | Низький рівень володіння іноземними мовами співробітниками Університету Невміння співробітників Університету працювати з оргтехнікою, комп'ютером Недостатня кількість висококваліфікованих викладачів і т.д. |
Недостатній практичний досвід співробітників | Відсутність фінансування для навчання співробітників Відсутність можливості підвищення кваліфікації з певних спеціальностей і т.д. | |
2 УПРАВЛІННЯ ІНФРАСТРУКТУРОЮ (ОСВІТНІМ СЕРЕДОВИЩЕМ) | Ризики фінансово- господарської діяльності | Неправильне розроблення фінансової стратегії Університету Відсутність необхідних ресурсів Низька виконавська дисципліна співробітників Університету і т.д. |
Порушення роботи навчально-наукового центру інформаційних технологій | Відсутність фінансування Відсутність доступу до Інтернету Відсутність енергозабезпечення Низька виконавська дисципліна співробітників Університету і т.д. | |
3 БІБЛІОТЕЧНЕ Й ІНФОРМАЦІЙНЕ ОБСЛУГОВУВАННЯ | Невідповідності бібліотечного фонду Університету сучасним вимогам | Несвоєчасне оновлення підручників і навчальних посібників Ускладненість доступу до підручників і навчальних посібників або їх нестача Невідповідність навчально-методичного забезпечення освітнього процесу освітнім стандартам і т.д. |
4 КОНТРОЛЬ ВЛАСНОСТІ ЗАМОВНИКІВ | Ризик утрати власності | Невідповідні умови зберігання Низька виконавська дисципліна співробітників Університету і т.д. |
5 УПРАВЛІННЯ ДОКУМЕНТУВАННЯМ | Невідповідність оформлення документованої інформації | Низька виконавська дисципліна співробітників Університету Відсутність фінансування для навчання співробітників Університету Відсутність кваліфікованих співробітників Невміння співробітників Університету працювати з оргтехнікою і т.д. |
5.3.9 Стадії управління ризиками
Процес управління ризиками містить такі стадії:
- ідентифікація й оцінювання ризиків;
- планування необхідних заходів щодо усунення ризиків/запобігання ризикам;
- здійснення заходів щодо усунення ризиків/запобігання ризикам;
- аналіз результатів та ефективності заходів щодо усунення/попередження ризиків.
5.4 Послідовність виконання
5.4.1 Ідентифікація й оцінювання ризиків
5.4.1.1 Ідентифікація ризиків здійснюється не пізніше 01 червня поточного року в усіх структурних підрозділах Університету шляхом обговорення можливих проблем у їх діяльності на засіданнях/нарадах. Керівник структурного підрозділу/процесу може ініціювати проведення позапланового засідання/наради щодо ідентифікації ризиків у разі виникнення змін у структурі, нормативній базі, діяльності підрозділу/процесу.
5.4.1.2 При проведені ідентифікації ризиків ураховують функції, нормативну базу, результати діяльності, результати процесів, задоволеність споживачів (скарги й рекламації), результати внутрішніх і зовнішніх аудитів, попередній досвіт виконання аналогічної (-их) діяльності/процесів у підрозділі.
5.4.1.3 Під час ідентифікації ризику визначається така інформація:
- найменування ризику;
- опис ризику;
- причини ризику;
- керівник підрозділу/процесу;
- найменування підрозділ/процесу.
Результати ідентифікації ризиків заносяться до паспорта ризиків структурного підрозділу/процесу, який оформлюється згідно з формою СУЯ ХАІ-НМВ-Ф.УР/001 (додаток А).
5.4.1.4 Керівник структурного підрозділу/процесу не пізніше 10 червня поточного року оцінює ідентифіковані ризики шляхом визначення для кожного з них рівень імовірності його виникнення й можливі наслідків від цього. При виникненні змін у структурі, нормативній базі, діяльності підрозділу/процесу керівник структурного підрозділу/процесу додатково оцінює ризик.
5.4.1.5 Рівень імовірність виникнення ризику визначається згідно з таблицею 2, а рівень значущості можливих наслідків виникнення ризику - таблицею 3.
Таблиця 2 - Градація рівнів імовірності виникнення ризику
Рівень імовірності виникнення ризику | Якісний показник імовірності виникнення ризику | Кількісний показник імовірності виникнення ризику, % | Інтерпретація |
1 | дуже низька | 0-20 | Подія, найімовірніше, буде відбуватися не частіше одного разу на 5 років |
2 | низька | 21-40 | Подія, найімовірніше, буде відбуватися один раз на 4 роки |
3 | середня | 41-60 | Подія, найімовірніше, буде відбуватися один раз на 3 роки |
4 | висока | 61-80 | Подія, найімовірніше, відбудеться найближчими двома роками |
5 | дуже висока | 81-100 | Подія, найімовірніше, відбудеться найближчого року |
Таблиця 3 - Градації рівнів значущості можливих наслідків виникнення ризику
Рівень | Інтерпретація |
1 (низький) | Наслідки мають незначний або настільки малий вплив на якість освітньої діяльності чи/або безпеку життєдіяльності учасників освітнього процесу |
2 (середній) | Наслідки мають вплив на якість освітньої діяльності чи/або безпеку життєдіяльності учасників освітнього процесу і не потребують значних витрат |
3 (високий) | Наслідки мають значний вплив на якість освітньої діяльності чи/або безпеку життєдіяльності учасників освітнього процесу |
5.4.1.6 Результати оцінювання ризиків заносяться до паспорта ризиків структурного підрозділу/процесу, який оформлюється за формою СУЯ ХАІ-НМВ-Ф.УР/001 (додаток А).
5.4.1.7 Паспорт ризиків структурного підрозділу/процесу підписує керівник.
5.4.1.8 Копія затвердженого паспорта ризиків структурного підрозділу/процесу подається головному аудитору.
5.4.2 Планування необхідних заходів щодо усунення ризиків
5.4.2.1 Керівник структурного підрозділу/процесу не пізніше 15 червня поточного року на основі затвердженого паспорта ризиків, керуючись попереднім досвідом, нормативною базою і результатами попередніх внутрішніх і зовнішніх аудитів, для ризиків у яких добуток показників рівня імовірності й рівня значущості більше або дорівнює 6, обов’язково визначає заходи для їх усунення, можливі терміни усунення й відповідальних осіб за реалізацію заходів. За потреби, для інших ризиків також визначаються заходи для їх усунення.
5.4.2.2 Перелік заходів для усунення ризиків, терміни усунення й відповідальних осіб за реалізацію заходів заноситься до плану-факту усунення ризиків згідно з формою СУЯ ХАІ-НМВ-Ф.УР/002 (додаток Б).
5.4.2.3 План-факт усунення ризиків підписує керівник структурного підрозділу/процесу і доводить цей план до підлеглих на засіданні/нараді.
5.4.2.4 Зміни до план-факту усунення ризиків оформлюються додатком до плану, керівник структурного підрозділу/процесу доводить цей план до підлеглих на засіданні/нараді.
5.4.3 Здійснення заходів щодо усунення ризиків
5.4.3.1 Відповідно до плану-факту усунення ризиків призначені відповідальні особи в установлені терміни проводять заплановані заходи.
5.4.3.2 Керівник структурного підрозділу/процесу щомісяця проводить моніторинг виконання плану-звіту усунення ризиків.
5.4.3.3 Під час проведення внутрішнього аудиту в структурному підрозділі члени аудиторської групи перевіряють виконання плану-факту усунення ризиків. Результати перевірки реєструються у відповідній графі плану- факту та за необхідності у звіті з внутрішнього аудиту.
5.4.4 Аналізування результативності й ефективності заходів щодо усунення ризиків
5.4.4.1 Аналізування результативності й ефективності вжитих заходів щодо усунення ризиків проводиться не пізніше 01 червня поточного року в усіх структурних підрозділах Університету шляхом обговорення отриманих результатів від виконання запланованих дій на засіданнях/нарадах.
5.4.4.2 Результати аналізу оформлюються у звіті згідно з формою СУЯ ХАІ-НМВ-Ф.УР/003 (додаток В), який підписує керівник підрозділу/процесу.
5.4.4.3 На основі звіту розробляються пропозиції з покращання діяльності підрозділу й процесів, які реєструються в протоколі засідання/наради.
5.4.4.4 Копія звіту до 10 червня поточного року надається головному аудитору.
5.4.4.5 Головний аудитор на підставі наданих структурними підрозділами копій звітів аналізування ризиків оформлює зведений звіт згідно з формою СУЯ ХАІ-НМВ-Ф.УР/003 (додаток Г).
5.4.4.6 Зведений звіт погоджує головний менеджер з якості й передає його на затвердження ректору Університету.
5.4.4.7 Затверджений зведений звіт додається до вхідних даних для аналізування системи управління якістю з боку керівництва.
6. Вимірювання й моніторинг
Моніторинг ризиків полягає в контролі над рівнем ризику. Це досягається шляхом актуалізації на регулярній основі (що півроку) інформації про ризики, заходів з управління ризиками, статусу виконання заходів, розроблених раніше на етапі ідентифікації й оцінювання ризику.
Перевірка виконання дій з усунення ризиків всіх підрозділів/процесів виконується внутрішніми аудиторами під час проведення внутрішніх аудитів.
Контроль виконання вимог положення здійснюється під час проведення внутрішніх і зовнішніх аудитів СУЯ й аналізування системи управління якістю з боку керівництва.
Критерії оцінювання:
- співвідношення кількості запланованих заходів з усунення ризиків до кількості реалізованих заходів з усунення ризиків у звітній період по кожному підрозділу/процесу;
- співвідношення кількості запланованих витрат робочого часу на здійснення заходів з усунення ризику до кількості фактично витраченого робочого часу по кожному ризику у звітній період для кожного підрозділу/процесу;
- співвідношення кількості осіб, участь яких запланована у здійсненні заходів з усунення ризику до кількості осіб, які фактично прийняли участь у здійсненні заходів з усунення ризику по кожному ризику у звітній період для кожного підрозділу/процесу;
- кількість ризиків, які виникли повторно після здійснення заходів з усунення ризику у звітній період по кожному підрозділу/процесу.
7. Протоколи
7.1 Паспорт ризиків
7.1.1 Ідентифікація
Кожному паспорту ризиків присвоюється ідентифікаційний номер, що складається з назви (абревіатури) підрозділу/процесу і навчального року на який його розроблено.
7.1.2 Збереження
Затверджений паспорт ризиків зберігається у керівника структурного підрозділу/процесу протягом трьох років.
7.2 План-факт усунення ризиків
7.2.1 Ідентифікація
Кожному плану-факту усунення ризиків присвоюється ідентифікаційний номер, що складається з назви (абревіатури) підрозділу/процесу, порядкового номеру і навчального року на який його розроблено.
7.2.2 Збереження
План-факт усунення ризиків зберігається у керівника структурного підрозділу/процесу протягом трьох років.
7.3 Звіт з аналізування ризиків
7.3.1 Ідентифікація
Кожному звіту з аналізування ризиків присвоюється ідентифікаційний номер, що складається з назви (абревіатури) підрозділу/процесу, порядкового номеру і навчального року за який його розроблено.
7.3.2 Збереження
Звіт з аналізування ризиків зберігається у керівника структурного підрозділу/процесу протягом трьох років.
7.4 Зведений звіт з аналізування ризиків
7.4.1 Ідентифікація
Кожному зведеному звіту з аналізування ризиків присвоюється ідентифікаційний номер, що складається з порядкового номеру і навчального року за який його розроблено.
7.4.2 Збереження
Зведений звіт з аналізування ризиків зберігається в навчально-методичному відділі протягом п’яти років.
Після закінчення терміну зберігання зведений звіт з аналізування ризиків передається за описом на зберігання до архіву Університету, де зберігається протягом п’яти років.
8. Прикінцеві положення
8.1 Положення підписується головним менеджером з якості, затверджується ректором Університету й уводиться в дію його наказом.
8.2 Контроль за виконанням Положення здійснює головний менеджер з якості Університету.
8.3 Зміни й доповнення до Положення розглядаються й погоджуються згідно з процедурою їх прийняття.
Додаток А
Форма паспорта ризиків
Додаток Б
Форма плану-факту заходів щодо усунення ризиків
Додаток В
Форма звіту з аналізування ризиків
Додаток Г
Форма зведеного звіту аналізування ризиків у структурних підрозділах університету
