The system of protection against fraud and counterfeiting. Electronic Parts. Risk assessment methods for distributors ГОСТ Р 58924-2020 Система защиты от фальсификаций и контрафакта. Электронные изделия. Методы оценки риска дистрибьюторов / 58924 2020


ГОСТ Р 58924-2020



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Система защиты от фальсификаций и контрафакта

ЭЛЕКТРОННЫЕ ИЗДЕЛИЯ

Методы оценки риска дистрибьюторов

The system of protection against fraud and counterfeiting. Electronic Parts. Risk assessment methods for distributors



ОКС 13.310

Дата введения 2020-09-01



Предисловие

Предисловие

     

1 РАЗРАБОТАН Международной ассоциацией организаций, осуществляющих деятельность по противодействию незаконному обороту контрафактной продукции (Международная ассоциация "Антиконтрафакт")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 124 "Средства и методы противодействия фальсификациям и контрафакту"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 июля 2020 г. N 374-ст

4 ВВЕДЕН ВПЕРВЫЕ



Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)



1 Область применения

     1 Область применения

1.1 Настоящий стандарт устанавливает общие требования и рекомендации к выбору методов оценки риска, применяемых дистрибьюторами электронных изделий, поставляющими продукцию для коммерческих и государственных нужд, которые складируют, обрабатывают, комплектуют или переупаковывают продукцию и которые при этом:

________________

Использованный в настоящем стандарте термин "электронные изделия" соответствует термину "изделия электронной техники" по ГОСТ Р 53736-2009 "Изделия электронной техники. Порядок создания и постановки на производство. Основные положения".



- сталкиваются с необходимостью оценки риска для снижения количества опасных событий и сокращения их неблагоприятных последствий;

- ставят своей целью повышение качества продукции и услуг посредством эффективного применения системы менеджмента риска, включая процессы и методы оценки риска как его основной составной части.

1.2 Настоящий стандарт не предназначен для целей оценки соответствия и использования в качестве обязательных или договорных требований и не содержит конкретных критериев для принятия решения по анализу риска дистрибьюторами и указаний по применению методов анализа риска в конкретной ситуации. Настоящий стандарт допускает использование других методов оценки риска с учетом их применимости в конкретной ситуации.

1.3 Требования, установленные в настоящем стандарте, являются дополнительными (неальтернативными) по отношению к требованиям соглашений (договоров, контрактов) и другим обязательным требованиям действующих законодательных документов.

В случае противоречия между требованиями настоящего стандарта и другими обязательными требованиями действующих законодательных документов, причем последние имеют приоритет.

1.4 Общие требования и рекомендации настоящего стандарта, не относящиеся к особенностям оборота электронных изделий, могут быть применены для выбора методов оценки риска, применяемых дистрибьюторами других видов промышленной продукции, относящихся к машиностроению, приборостроению, а также к металлургии, производству оборудования и арматуры для нужд электроэнергетики, нефтеперерабатывающей, химической отраслей промышленности, добычи полезных ископаемых, промышленности строительных материалов, а также других отраслей промышленности, производящих оборудование и изделия, безопасность применения которых требует принятия мер по противодействию обороту фальсифицированных и контрафактных изделий.



2 Нормативные ссылки

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ IEC 61340-5-1 Электростатика. Защита электронных устройств от электростатических явлений. Общие требования

ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р 57880 Система защиты от фальсификаций и контрафакта. Изделия электронные. Предотвращение получения, методы обнаружения, сокращение рисков применения и решения по использованию фальсифицированной и контрафактной продукции

ГОСТ Р 57881 Система защиты от фальсификаций и контрафакта. Термины и определения

ГОСТ Р 58338 Системы менеджмента качества организаций авиационной, космической и оборонной промышленности. Требования к дистрибьюторам продукции

ГОСТ Р 58638 Система защиты от фальсификаций и контрафакта. Электронные изделия. Требования к дистрибьюторам по защите от фальсификаций и контрафакта

ГОСТ Р 58771 Менеджмент риска. Технологии оценки риска

ГОСТ Р ИСО 31000/ISO 31000:2018 Менеджмент риска. Принципы и руководство

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с указанием всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.



3 Термины и определения

     3 Термины и определения


В настоящем стандарте применены термины по ГОСТ Р 57881, а также следующие термины с соответствующими определениями:

3.1 дистрибьютор (distributor): Организация, осуществляющая закупку, хранение, разделение на части или продажу продукции без оказания влияния на ее соответствие.

Примечания

1 Примерами дистрибьюторов являются юридические лица или индивидуальные предприниматели, осуществляющие оптовую закупку определенных товаров у предприятий-изготовителей с целью последующего сбыта этих товаров организациям, осуществляющим розничную или мелкооптовую продажу на региональном уровне.

2 Под термином "дистрибьютор" в настоящем стандарте может пониматься поставщик.



3.2 поставщик (supplier): Организация или лицо, предоставляющие продукцию.

Примечание - Примерами поставщиков являются действительный изготовитель компонента, действительный изготовитель оборудования, уполномоченный (франчайзинговый) дистрибьютор, независимый дистрибьютор, брокер-дистрибьютор, дистрибьютор со складом, изготовитель вторичного рынка, государственная база поставок, поставщик логистических услуг третьей стороны (3PL).



3.3

анализ риска: Процесс изучения природы и характера риска и определения уровня риска.

________________

Как правило, анализ риска включает в себя установление причинно-следственных связей опасного события с его источниками и последствиями.



Примечание 1 - Анализ риска обеспечивает базу для проведения сравнительной оценки риска и принятия решения об обработке риска.

Примечание 2 - Анализ риска включает в себя количественную оценку риска.



[ГОСТ Р 51897-2011/Руководство ИСО 73:2009, статья 3.6.1]

3.4

уровень риска: Мера риска или комбинации нескольких видов риска, характеризуемая последствиями и их правдоподобностью/вероятностью.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009, статья 3.6.1.8]

3.5

последствие: Результат воздействия события на объект.

Примечание 1 - Результатом воздействия события может быть одно или несколько последствий.

Примечание 2 - Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.

Примечание 3 - Последствия могут быть выражены качественно или количественно.

Примечание 4 - Первоначальные последствия могут вызвать эскалацию дальнейших последствий по принципу "домино".



[ГОСТ Р 51897-2011/Руководство ИСО 73:2009, статья 3.6.1.3]

3.6 цепь поставок (supply chain): Взаимосвязанный набор ресурсов и процессов, начинающийся с получения сырья и заканчивающийся доставкой продукции или услуг конечному потребителю.



4 Общие требования и рекомендации к выбору методов оценки риска

     4 Общие требования и рекомендации к выбору методов оценки риска

4.1 Дистрибьюторы должны постоянно улучшать применяемые методы и средства оценки рисков как составной части процесса менеджмента риска и обеспечивать интегрирование процесса менеджмента риска в общее управление, стратегию и планирование, а также в процессы отчетности, политику, ценности и культуру организации. Общие требования к содержанию и применению дистрибьютором процесса менеджмента риска должны соответствовать ГОСТ Р ИСО 31000.

4.2 Оценка риска, проводимая дистрибьютором, должна включать полный процесс идентификации риска в соответствии с 3.5.1 ГОСТ Р 51897-2011, анализа риска и оценивания (сравнительной оценки) риска. Общие требования к методам (технологии) оценки риска дистрибьютором должны соответствовать ГОСТ Р 58771.

4.3 Основной целью проведения оценки риска дистрибьютором должно являться представление на основе объективных свидетельств информации, необходимой для принятия обоснованного решения относительно способов обработки риска при выборе поставщиков, закупке, управлении цепями поставок, хранении, обработке, поставке продукции потребителю.

4.4 Оценка риска дистрибьютором должна обеспечивать:

- понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей организации в процессах снабжения;

- получение информации, необходимой для принятия решений;

- понимание опасности и ее источников;

- определение ключевых факторов, формирующих риски, уязвимых мест организации и ее систем в процессах снабжения, ценообразования на внутренних и зарубежных рынках, в условиях экспортных и иных ограничений на оборот продукции, изменений каналов поставок и номенклатуры продукции, слияний и поглощений поставщиков и потребителей, наличия в обороте фальсифицированной и контрафактной продукции;

- возможность сравнения риска с риском альтернативных организаций, технологий, методов и процессов;

- обмен информацией о риске и неопределенностях;

- информацию, необходимую для ранжирования риска;

- предотвращение новых инцидентов на основе исследования последствий произошедших инцидентов;

- выбор способов обработки риска, позволяющих снизить риск до приемлемого уровня;

- соответствие обязательных требований к продукции и услугам правовых и нормативных документов;

- получение информации, необходимой для обоснованного решения о принятии риска в соответствии с установленными критериями;

- оценку риска на стадиях жизненного цикла продукции от производства до доставки конечному потребителю;

- оценку коррупционной составляющей (коррупционный риск) с учетом текущих значений индекса восприятия коррупции.

________________

Данный индекс публикуется Международным антикоррупционным движением Transparency International.



4.5 Дистрибьютор должен официально сформулировать политику и стратегию в области менеджмента риска, в рамках которой должны быть выбраны соответствующие методы (технологии) оценки риска и определены должностные лица, ответственные за планирование и проведение мероприятий, применение результатов оценки риска. Оценка риска может быть проведена для всей организации, ее подразделений для осуществления действий в рамках отдельных договоров по закупке и поставке, а также для отдельных опасных процессов или событий. В различных ситуациях могут быть применены разные методы оценки риска.

Ответственные за оценку риска должны знать:

- область деятельности и цели организации;

- уровень приемлемого риска и способы обработки неприемлемого риска;

- способы интеграции процессов оценки риска в процессы менеджмента организации;

- методы оценки риска и способы их применения в процессе менеджмента риска;

- систему отчетности, распределения ответственности и полномочий в области оценки риска;

- требуемые и доступные ресурсы для выполнения оценки риска;

- способы регистрации и анализа результатов оценки риска.

4.6 Деятельность по оценке риска должна включать идентификацию, анализ и сравнительную оценку риска. Деятельность по оценке риска должна быть также интегрирована в другие элементы процесса менеджмента риска, такие как обработка риска и мониторинг риска. Для обеспечения результативности оценки риска должны быть организованы эффективный обмен информацией и консультации с заинтересованными сторонами, создана система информационной поддержки оценки, обработки и мониторинга риска, включающая в себя базы данных, методический аппарат и прикладные программные средства.



5 Общие требования к проведению идентификации риска

     5 Общие требования к проведению идентификации риска

5.1 Дистрибьютор должен выполнить идентификацию риска, которая подразумевает процесс определения элементов риска, составления их перечня и описания каждого из элементов риска, таких как источники риска, события, их причины и возможные последствия. Целью идентификации риска является составление перечня источников риска и событий, которые могут повлиять на достижение установленных целей организации или сделать их достижение невозможным. В процессе идентификации риска должны быть учтены все возможные отклонения, вызванные воздействием политических, природных, человеческих или организационных факторов, а также опасные события, связанные с информационными технологиями. Полнота идентификации рисков является критически важной, так как риск, не идентифицированный на данном этапе, не будет включен в будущий анализ. Идентификация должна включать риски независимо от того, контролирует организация их источник или не контролирует, даже если источник или причина могут быть неочевидными. Идентификация рисков должна включать рассмотрение эффекта связанных событий, включая эффект каскада событий и кумулятивные эффекты. Также необходимо рассматривать широкий спектр последствий, даже если источник риска не очевиден.

После идентификации риска организация должна определить существенные особенности проекта, персонал, процессы, системы и средства управления, имеющие отношение к анализу риска.

5.2 При составлении перечня рисков следует рассматривать элементы рисков, связанные с возможными нарушениями антимонопольного, таможенного законодательства России и законодательства в области охраны исключительных прав на средства индивидуализации. К ним относятся элементы рисков, связанные:

- с включением в договор дистрибьютора с поставщиком отдельных положений, устанавливающих ограничения цены продажи продукции, территориальные ограничения продаж, запрет продажи продукции конкурентов, которые при определенных условиях могут быть признаны нарушающими антимонопольное законодательство [1];

- возможным изменением в процессе выполнения договора дистрибьютора с поставщиком доли сторон договора на товарном рынке свыше установленного антимонопольным законодательством значения, которое может повлечь признание договора противоречащим антимонопольному законодательству;

- ввозом на территорию Российской Федерации оригинальных маркированных товаров, что в соответствии с нормами национального права [2] признается самостоятельным способом использования товарного знака и, следовательно, требует получения согласия правообладателя, даже если дистрибьютор не применяет товарные знаки для упаковки и продвижения продукции;

- использованием дистрибьютором для упаковки и продвижения продукции средства индивидуализации поставщика (изготовителя), что является законным при условии, что поставщик имеет законные права на соответствующее средство индивидуализации, предоставляет дистрибьютору право на его пользование, а лицензионный договор о предоставлении прав и средство индивидуализации зарегистрированы в установленном порядке.

5.3 При отсутствии у дистрибьютора зарегистрированного права использования средств индивидуализации в рамках отдельного лицензионного договора или в рамках договора дистрибуции следует учитывать элементы рисков, связанные:

- с приостановлением выпуска товаров таможенными органами на основе норм законодательства [3] в связи с наличием зарегистрированного в таможенном реестре Российской Федерации сходного до степени смешения товарного знака;

- приостановлением выпуска товаров в связи с выявленными таможенными органами нарушениями в сфере регулирования защиты прав интеллектуальной собственности или по заявлению третьих лиц;

- предъявлением штрафных санкций со стороны таможенных органов и с риском предъявления претензий со стороны третьих лиц в связи с нарушением исключительных прав на сходные до степени смешения товарные знаки;

- усложнением противодействия в рамках таможенных процедур противоправным действиям третьих лиц, в том числе незаконному импорту фальсифицированной и контрафактной продукции.

5.4 При оценке дистрибьютором таможенных рисков, связанных с возможными нарушениями таможенного законодательства при ввозе товаров, следует рассматривать в качестве потенциальных источников риска следующие:

- товары, находящиеся под таможенным контролем, в первую очередь содержащие объекты интеллектуальной собственности и средства индивидуализации;

- транспортные средства, используемые в международных перевозках товаров;

- сведения, содержащиеся в транспортных (перевозочных), коммерческих и таможенных документах;

- сведения, содержащиеся в договорах международной купли-продажи или других видах договоров, заключенных при совершении внешнеэкономической сделки;

- деятельность лиц, совершающих юридически значимые действия с товарами, находящимися под таможенным контролем;

- деятельность таможенных брокеров (представителей), владельцев складов временного хранения и таможенных складов, а также перевозчиков, в том числе таможенных.

5.5 При идентификации риска, проводимого дистрибьютором, следует учитывать элементы риска, связанные:

- со спецификой различных процессов снабжения, связанных с плановыми поставками, срочными поставками для производства продукции, поставками малых партий для исследований и разработок продукции, относящихся к продукции гражданского, двойного назначения, космической и военной техники;

- существующими и возможными экспортными ограничениями со стороны стран - поставщиков и изготовителей электронных изделий, особенно высокотехнологичной электронной продукции, предназначенной для использования в технике двойного назначения, космической и военной технике;

- невыполнением условий международного контракта (сроков поставки, количества и качества продукции), колебаниями курсов валют, колебаниями спроса и предложения на рынке электронных компонентов, колебаниями мировых цен на электронную продукцию, повреждениями продукции при доставке, колебаниями спроса на импортированные компоненты;

- возможной закупкой фальсифицированных и контрафактных изделий, наиболее вероятной при закупках на свободном рынке и у независимых дистрибьюторов, особенно в странах с подтвержденной практикой производства и перепродажи фальсифицированных и контрафактных изделий;

- логистическими рисками в цепи поставок;

- возможной закупкой товаров, нарушающих требования законодательства Российской Федерации и соответствующих технических регламентов, приносящих вред жизни, здоровью человека и/или окружающей среде.

5.6 При идентификации логистических рисков в цепи поставок следует учитывать внутренние риски, связанные с маркетинговой стратегией дистрибьютора, действиями руководства предприятия, принятой политикой и тактикой предприятия, производственным потенциалом, техническим оснащением, уровнем квалификации персонала и эффективности труда, соблюдением и организацией техники безопасности, противопожарной, информационной безопасности, защиты конфиденциальной информации, дисциплиной выполнения норм технической эксплуатации оборудования, отсутствием применения лучших практик противодействия обороту фальсифицированных и контрафактных электронных изделий по ГОСТ Р 57880 и др.

5.7 Перечень внешних логистических рисков в цепи поставок включает:

- риск несоблюдения договора поставки между дистрибьютором и поставщиком по причине невыполнения поставщиком своих договорных обязательств в части количества, качества, ассортимента, сроков поставки продукции;

- риск возникновения ответственности за несоблюдение условий договора поставки, заключенного между дистрибьютором и потребителем, в результате изменения конъюнктуры рынка, задержки поставок по причине замены устаревшего оборудования, внедрения новой техники и технологии поставщиками, по причине проведения забастовок и иных общественно-политических актов, отказа поставщика от дальнейшего сотрудничества с дистрибьютором, в связи с требованиями поставщика об изменении условий договора (по срокам, объемам поставки, комплектности продаж, способам транспортирования, ценам на товар, качеству, ответственности за поставку фальсифицированных и контрафактных изделий и т.д.). При этом риск невыполнения договорных обязательств может привести к риску потерь, связанных с нарушением графиков работ, платежей и получения дохода дистрибьютора и предприятия-потребителя продукции;

- риски, связанные с транспортированием груза на транспортных средствах, включая поломку подвижного состава, дорожно-транспортные происшествия, угон или пропажу транспортного средства, террористические акты на транспорте, повреждения при погрузке, укладке, выгрузке, повреждение тары (упаковки), утрату или неправильное оформление документов, увеличение транспортных издержек, ущерб гражданам, организациям или окружающей среде в случае происшествий при транспортировании грузов;

- риски утраты качества или повреждения продукции, хищения груза при хранении, складировании (грузопереработке) и других операциях, проводимых на складах дистрибьютора и при подготовке к отгрузке потребителям;

- риски образования сверхнормативных запасов, неликвидов в связи с несбалансированностью объемов поставок и потребностей потребителей, несоответствием качества товара;

- риск нереализации товаров вследствие отказа покупателя от приобретения товаров;

- риск неполучения оплаты за реализованную продукцию;

- риск, обусловленный успешными действиями конкурентов в данном сегменте рынка;

- риск недобросовестной конкуренции, связанный с нарушением принятых на рынке норм и правил конкурентной борьбы;

- риск наложения различных финансовых санкций за нарушение налогового и иного законодательства;

- риск неправомерных действий со стороны банка, с которым заключен договор на расчетно-кассовое обслуживание, включающих задержки платежей, ошибки в перечислении денег и др.;

- риск, связанный с кредитными ресурсами, связанный с их недостаточной долгосрочностью, отсутствием дифференцированности по видам валюты и по кредитным учреждениям;

- риск отсутствия страховки или неполной страховки от всех требуемых рисков (как минимум, на складах и дальних перевозках);

- риск противодействия и коррупции со стороны должностных лиц местных органов власти и причастных к закупкам и поставкам организаций;

- другие риски.

5.8 При идентификации рисков в цепи поставок следует особое внимание уделять источникам риска - зонам (объектам), в которых существует вероятность наступления событий, препятствующих нормальному протеканию производственных, управленческих и других процессов, направленных на достижение целей организации дистрибьютора.

В качестве таких зон следует рассматривать:

- пункты производства продукции;

- пункты погрузки и выгрузки продукции;

- транспортные средства;

- пункты выполнения работ с продукцией и подготовки к отправке потребителю;

- пункты хранения продукции, сырья, оборудования и материалов;

- пункты проведения контроля качества, испытаний и сертификации продукции;

- пункты таможенного контроля;

- объекты информационной инфраструктуры, информационные потоки и хранилища документации по логистике поставок;

- иные источники риска при необходимости.

5.9 При идентификации рисков, относящихся к деятельности дистрибьюторов, следует учитывать элементы рисков, связанные с невыполнением требований ГОСТ Р 56838.

В качестве элементов рисков, связанных с выбором поставщиков, следует рассматривать следующие условия и обстоятельства (перечень которых может быть расширен при необходимости):

- не проведены в надлежащей степени сбор и анализ данных о поставщиках, не сформулированы или ошибочны критерии отбора и оценки поставщиков, не ведутся должным образом записи результатов оценивания поставщиков, не определены ответственные за оценивание поставщиков;

- при выборе поставщиков не использованы в необходимом объеме объективные и надежные внешние источники с данными об их деятельности за всю историю пребывания на рынке;

- не ведется должным образом реестр поставщиков или не присваивается статус утверждения поставщика (например, "одобрен", "условно одобрен", "отклонен") и область утверждения (например, тип продукции или группа процессов);

- не определены действия в отношении поставщиков, не отвечающих установленным требованиям;

- отсутствует документированный процесс, устанавливающий формирование требований договора на закупку для минимизации риска поставки фальсифицированных и контрафактных электронных изделий в соответствии с требованиями ГОСТ Р 57880.

5.10 В качестве элементов рисков, связанных с недостаточным уровнем верификации закупленной продукции в организации, следует рассматривать следующие случаи (перечень которых может быть расширен при необходимости):

- процедуры верификации закупленной продукции не обеспечивают необходимый уровень контроля соответствия качества продукции требованиям к закупке;

- от поставщика не получены объективные свидетельства соответствия (сертификат соответствия, протоколы испытаний, статистическая отчетность, записи результатов технологического контроля);

- не проводится контроль и аудит на месте производства поставщика, не проверяется необходимая документация, не проводится входной контроль продукции или глубина контроля недостаточна, или процедура входного контроля не документирована;

- при проведении измерений при входном контроле не установлены критерии приемки или отклонения продукции, не установлена, или не документирована, или не выполняется последовательность операций по измерениям и испытаниям, не ведутся записи о приемке или отклонении;

- при использовании выборочного контроля план выборки должным образом не обоснован и не соотнесен с критичностью продукции;

- методы обнаружения, сокращение рисков применения и решения по использованию фальсифицированной и контрафактной продукции не соответствуют требованиям ГОСТ Р 57880.

5.11 В качестве элементов рисков, связанных с недостаточным уровнем менеджмента качества по ГОСТ Р ИСО 9001, ГОСТ Р 58338 в организации дистрибьютора, следует рассматривать следующие обстоятельства (перечень которых может быть расширен при необходимости):

- дистрибьютор не установил или не поддерживает документированную систему менеджмента качества по ГОСТ Р ИСО 9001, ГОСТ Р 58338, в том числе не документированы должным образом или не выполняются необходимые процедуры, не проводятся или проводятся нерегулярно внутренние и внешние аудиты, осуществляемые представителями изготовителя, потребителя и/или организаций, наделенных полномочиями в области контроля оборота продукции;

- область проведения аудитов не охватывает в полной мере все виды продукции дистрибьютора, систему менеджмента качества, применяемые процедуры, инфраструктуру и оборудование, персонал, записи и документы, не установлена ответственность за обеспечение качества, принимающий решения персонал не имеет достаточных полномочий для разрешения проблем качества;

- не проводятся или проводятся нерегулярно пересмотры нормативных документов, документация не контролируется или недоступна персоналу на участках проведения работ, не удаляются устаревшие документы и положения, отсутствуют записи о проверке и пересмотре документации;

- процессы, влияющие на качество, не определены, порядок и условия проведения процессов не документированы или не контролируются, не определены критерии профессионального мастерства;

- дистрибьютор предлагает конечному потребителю продукцию с гарантией качества изготовителя, в то время как данная продукция продана, перевезена, исследована, испытана неуполномоченным дистрибьютором, испытательной лабораторией, независимым брокером, и гарантия специально не подтверждена изготовителем;

- дистрибьютор и привлекаемые им для выполнения работ организации, проводящие операции, влияющие на качество продукции, в том числе добавляющие стоимость, не поддерживают в рабочем состоянии реестр оборудования для мониторинга и измерений, допускают нарушения порядка калибровки и поверки всего измерительного и испытательного оборудования;

- записи о процессе проведения калибровки/поверки, типе оборудования, его идентификации, размещении, частоте и методах поверок и критериях приемки ведутся с нарушениями;

- дистрибьютор не внедрил или не поддерживает в рабочем состоянии процедуру отзыва оборудования для мониторинга и измерений при калибровке или поверке;

- дистрибьютор не обеспечивает соответствие условий окружающей среды требованиям для проведения калибровки, контроля, измерений и испытаний;

- дистрибьютор не проводит внутренние аудиты качества своей организации и поставщиков для проверки соответствия деятельности требованиям через установленные интервалы времени или при необходимости, частота проведения аудита не основывается на результатах первоначального аудита или повторного аудита или проводится реже одного раза в три года;

- не установлены формальные процедуры проверки эффективности корректирующих действий, отчеты об аудитах, корректирующих действиях и верификации не доступны для просмотра по запросу;

- дистрибьютор не предоставляет необходимую информацию по запросам потребителей, поставщиков и контролирующих органов, объекты и оборудование дистрибьютора не доступны для проведения аудитов и испытаний;

- имеют место выявленные ранее несоответствия продукции и процессов, которые не были должным образом документально оформлены и в отношении которых не были предприняты корректирующие действия со стороны дистрибьютора;

- дистрибьютор не определил все места нахождения своих подразделений и привлекаемых им организаций (например, испытательных лабораторий, складов), которые хранят, переупаковывают, обрабатывают и/или проводят испытания продукции;

- дистрибьютор не проводит мониторинг информации, касающийся восприятия потребителем выполнения установленных требований, для оценки работы системы менеджмента качества (данные о соответствии продукции, своевременности ее поставок, жалобах потребителя и требования по корректирующим действиям, др.);

- дистрибьютор не разрабатывает и не реализует планы по повышению удовлетворенности потребителей, касающиеся устранения недостатков, выявленных в ходе оценки удовлетворенности потребителей, и не оценивает результативность предпринятых действий;

- дистрибьютор, выполняющий операции, влияющие на качество продукции, не проводит мониторинг воздействия своих операций на качество поставляемой продукции и на удовлетворенность потребителей или не использует должным образом результаты мониторинга для повышения эффективности своих бизнес-процессов.

5.12 В качестве элементов рисков, связанных с недостаточным уровнем организации работ с продукцией в организации дистрибьютора, следует рассматривать следующие случаи (перечень которых может быть расширен при необходимости):

- система обработки и переупаковки продукции не соответствует требованиям изготовителя и разработчика;

- не разработан и не применяется план контроля для выявления фальсифицированных и контрафактных электронных изделий по ГОСТ Р 57880, который документирует процессы, используемые для снижения риска, принятия решений об использовании, представления отчетности о сомнительных и подтвержденных фальсифицированных и контрафактных изделиях и сборочных единицах, содержащих такие изделия;

- при нанесении маркировки на изделие дистрибьютором не обеспечено сохранение старой маркировки, не установлены процедуры испытаний стойкости к внешним воздействиям новой маркировки;

- не организовано отделение продукции, подвергнутой усиленным испытаниям, от остальной продукции, предназначенной для передачи потребителям;

- при выполнении работ с изделиями не исключены попадания посторонних предметов в упаковки и полости изделий;

- не организовано особое обращение с высокочувствительной продукцией и опасными материалами;

- не осуществляется контроль за сроками хранения и обновления запасов;

- подлежащие техническому обслуживанию и выполнению других операций изделия не отделены от тех изделий, в отношении которых не проводят каких-либо операций;

- дистрибьютор не использует средства установления статуса исследования всех изделий на протяжении обработки, обращения или хранения (путем применения марок, меток, маршрутных карт или других объектов, которые присоединены или приложены к продукции);

- не документирован перечень лиц, проводящих работы с изделием, выполнение которых заверяется и документируется, не указан способ верификации (например, клеймо, подпись, электронная подпись, пароль), не ведется перечень лиц, за которыми закреплены конкретные средства верификации, не установлен должный контроль за использованием средств верификации, образцы средств верификации не доступны для сличения;

- процедуры дистрибьютора в части получения, хранения, упаковки, транспортирования продукции не предотвращают нарушение упаковки производителя, механическое или электрическое разрушение и снижение качества продукции при проведении установленных процедур обработки, транспортирования и хранения;

- система дистрибьютора по защите устройств от электростатики не соответствует ГОСТ IEC 61340-5-1, дистрибьютор не обеспечил применение токопроводящих или антистатичных упаковочных материалов и средств, включая тубы, лотки, катушки, сумки и наполнители;

5.13 В качестве элементов рисков, связанных с обработкой возвращенной дистрибьютору продукции, следует рассматривать следующие обстоятельства (перечень которых может быть расширен при необходимости):

- не организовано исследование продукции, возвращенной дистрибьютору от потребителя, на все признаки изменения, неправильного обращения и ненадлежащей упаковки;

- не установлен порядок принятия решения дистрибьютором на дальнейшие действия с продукцией с явными признаками изменения, неправильного обращения и ненадлежащей упаковки;

- не ведутся записи о принятом решении на действия с возвращенной продукцией.

5.14 В качестве элементов рисков, связанных с обработкой продукции, возвращенной от дистрибьютора изготовителям (поставщикам), следует рассматривать следующие обстоятельства (перечень которых может быть расширен при необходимости):

- не установлена эффективная система контроля возвратов от дистрибьютора изготовителям (по причине ротации запасов, возврата потребителями, запросов изготовителей или по иной причине);

- не выполняются требования к разделению партий таким образом, чтобы были включены только один тип устройства, код партии, код даты (если применяется), не прилагается копия с оригинала сертификата соответствия изготовителя;

- процедуры возврата продукции не обеспечивают предотвращение ущерба от электростатики по ГОСТ IEC 61340-5-1, от механических и электрических повреждений путем использования специальных тубусов, кассет, защитных контейнеров, за исключением случаев продукции, поставленной от изготовителя в таре без защиты от электростатики;

- процедуры возврата продукции не обеспечивают предотвращения от механических повреждений, в том числе повреждений упаковки и пломбировки продукции, не связанных с проведением испытаний и проверок соответствия;

- не обеспечено разделение продукции, возвращаемой по качеству и по другим основаниям, в том числе в рамках ротации запасов.

5.15 В качестве элементов рисков, связанных с обучением персонала, следует рассматривать следующие обстоятельства (перечень которых может быть расширен при необходимости):

- дистрибьютор не определил потребности в обучении и не обеспечивает должным образом обучение персонала выполнению операций, влияющих на качество;

- персонал не проходит необходимого обучения до начала работ с продукцией, не проводится переобучение в случае изменений в технологических процессах и порядке работ;

- не организована оценка или переобучение персонала в установленные сроки или при демонстрации низкого уровня профессионализма;

- не организовано специальное обучение персонала для выявления фальсифицированной и контрафактной продукции;

- записи о прохождении обучения не сохраняются на протяжении установленных сроков или не содержат описания предметов обучения, дату, продолжительность учебы, обученный персонал и имя обучающего.

5.16 В качестве элементов рисков, связанных с обеспечением прослеживаемости продукции и ведением записей, следует рассматривать следующие случаи (перечень которых может быть расширен при необходимости):

- дистрибьютор не ведет должным образом записи о происхождении продукции, ее соответствии и поставке;

- состав записей не соответствует установленным требованиям в части данных о прослеживаемости продукции, имеющиеся записи не содержат должный набор идентификаторов продукции, а также связанной с ними информации, представленной в составе маркировки, эксплуатационной и сопроводительной документации, не обеспечивается прослеживаемость связи идентификаторов продукции с идентификаторами грузовых единиц, в которых она перемещалась;

- не обеспечена возможность прослеживания всей продукции, изготовленной из одной партии сырья или из одной производственной партии, от места производства до места назначения;

- для сборочных единиц не обеспечена возможность прослеживания состава уникально идентифицированных комплектующих изделий, находящихся в сборочной единице, а также вероятность ее входимости в сборочную единицу более высокого порядка и в финальное изделие;

- не обеспечено определение состояния продукции при инвентаризации (например, новая, восстановленная, измененная или отремонтированная, несоответствующая);

- не заверены исправления записей или имеются уничтоженные записи;

- не определена процедура резервного копирования при хранении записей в электронной форме;

- не обеспечена защита электронных записей от несанкционированного изменения, уничтожения или замены;

- записи в отношении работ, влияющих на качество изделий, недоступны для пользователей или хранятся менее установленных сроков (на протяжении менее трех лет для коммерческих изделий и менее пяти лет для изделий, закупаемых для государственных нужд);

- дистрибьютор не поддерживает определение конфигурации продукции и не контролирует различия между фактической и согласованной конфигурациями;

- дистрибьютор не обеспечивает прослеживаемость продукции с применением машиносчитываемых носителей данных автоматической идентификации (этикеток с символами штрихового кода, радиочастотных меток, микрометок и др.), баз данных о продукции с момента получения продукции, при выполнении всех операций по ее разделению, хранению, упаковке, консервации и до поставки потребителю (включая операции по транспортированию и упаковке, осуществляемые субподрядчиком);

- дистрибьютор не имеет системы управления запасами, обеспечивающей учет и разделение продукции по серийным номерам, номерам партий и категориям;

- не обеспечено хранение запасов на территории с ограниченным доступом и контролируемыми условиями, не выполняются требования к хранению электронных компонентов в сухой чистой инертной атмосфере (например, азота, воздуха) или в вакуумной упаковке в соответствии с требованиями изготовителя;

- не установлены или не соблюдаются правила отправки продукции потребителю (первый пришел, первый ушел) или иные правила.

5.17 В качестве элементов рисков, связанных с контролем несоответствующей продукции, следует рассматривать следующие обстоятельства (перечень которых может быть расширен при необходимости):

- дистрибьютором не установлена эффективная система контроля продукции ненадлежащего качества, существующая система не обеспечивает идентификацию, разделение, изоляцию и последующие действия с продукцией ненадлежащего качества, не исключает ее доставку потребителям, возврат в цепь снабжения или смешивание с продукцией надлежащего качества, а также доступ посторонних лиц к подобного рода продукции, не производится ее своевременное документальное оформление;

- процесс управления продукцией ненадлежащего качества дистрибьютора не обеспечивает своевременное информирование заинтересованных сторон (поставщиков, подразделений дистрибьютора, потребителей, других дистрибьюторов и организаций, уполномоченных в области контроля оборота продукции и противодействия обороту фальсифицированной и контрафактной продукции) о ее поставке.

5.18 Для составленного перечня рисков, в отношении которых определены и документированы все возможные элементы риска, источники риска, области воздействия, связанные события, их причины, следует проводить анализ вероятности неблагоприятных событий и их последствий с применением средств и методов количественной, качественной и смешанной оценки. Анализ проводят в целях определения количественных значений вероятности наступления неблагоприятных событий, количественного значения и структуры возможного ущерба, приемлемых и неприемлемых уровней риска, оценки эффективности планируемых и реализованных мер по снижению уровней рисков, получения набора стратегий снижения уровней рисков и сравнительных оценок уровней рисков и затрат ресурсов на реализацию различных стратегий снижения уровней рисков.

5.19 Анализ последствий неблагоприятных событий может включать в себя:

- исследование существующих в организации методов управления риском, направленных на снижение тяжести последствий и всех сопутствующих факторов, влияющих на последствия;

- исследование взаимосвязи последствий опасного события и установленных целей организации;

- раздельное изучение отдаленных последствий события и происходящих в настоящий момент времени, если они включены в область применения оценки риска;

- рассмотрение вторичных последствий, таких как последствия, воздействующие на взаимосвязанные системы, виды деятельности, оборудование или организацию.

5.20 Для оценки вероятности событий могут быть использованы подходы, основанные:

- на фактических и хронологических данных для определения событий или ситуаций, произошедших в прошлом и допускающих возможность экстраполяции вероятности их появления в будущем;

- методах моделирования и прогнозирования, таких как анализ дерева решений, анализ эффективности затрат, мультикритериальный анализ решений, матрица последствий и вероятностей, метод анализа воздействия на бизнес, причинно-следственный анализ, анализ влияния человеческого фактора и другие по ГОСТ Р 58771. Если хронологические данные недоступны или недостоверны, то для оценки вероятности может быть проведен анализ деятельности, оборудования и организации дистрибьютора, задействованных организаций, внешней среды, соответствующих отказов и состояний продукции. При применении методов моделирования и прогнозирования должна быть обеспечена полнота анализа причин и возможностей появления неблагоприятных событий.

5.21 Метод моделирования при проведении количественного анализа риска должен, как правило, включать следующие стадии:

- создание прогнозной имитационной модели;

- определение переменных риска и ограничений;

- определение вероятностного распределения отобранных переменных и диапазона возможных значений для каждой из них;

- установление наличия или отсутствия корреляционных связей среди рисковых переменных;

- прогоны моделей (определение характеристик результативных величин как случайных величин);

- валидация данных имитационной модели, в ходе которой оценивают точность, устойчивость, чувствительность результатов моделирования и другие свойства имитационной модели;

- анализ результатов (построение уровней риска).

5.22 В рамках количественного анализа риска должна быть проведена оценка неопределенности и чувствительности, свойственной выбранным методам и моделям оценки риска. Анализ неопределенности должен включать определение погрешностей результатов, вызванных изменениями параметров и исходных предположений. Анализ чувствительности должен включать в себя определение амплитуды изменений риска в зависимости от изменений значений входных параметров. Такой анализ следует применять для определения тех данных, для которых необходима высокая точность, и тех данных, к точности которых риск менее чувствителен. Полнота и точность анализа риска должны быть обеспечены в той мере, в какой это возможно для имеющихся исходных данных. Источники неопределенности должны быть установлены для всех исследуемых показателей, кроме того, следует использовать всю известную информацию о неопределенности применяемых моделей, методов и исходных данных. Результаты анализа параметров чувствительности и оценки неопределенности должны быть документированными.

5.23 При проведении анализа последствий неблагоприятных событий необходимо определить наиболее существенные, критичные виды опасности, исключить менее существенные или незначительные виды опасности из дальнейшего анализа. Основной целью анализа должно являться сосредоточение ресурсов на самых важных, критичных видах опасных событий и риска. Следует определить события с высокой частотой появления и существенным совокупным риском. Анализ должен быть основан на критериях, установленных в области применения менеджмента риска организации. Критичность события следует определять как произведение вероятности события на оценку тяжести его последствий.

5.24 В ходе анализа последствий неблагоприятных событий по результатам количественного и качественного анализа рисков следует:

- ранжировать риски по степени влияния на деятельность организации и выявлять среди них наиболее опасные;

________________

При исследовании рискового профиля организации следует иметь в виду известное в теории управления "правило 20-80", в соответствии с которым 20% рисков организации наносят ей 80% убытков.



- сопоставлять альтернативные варианты проектов и технологий;

- создавать базы данных и базы знаний для экспертных систем поддержки принятия технических и других решений;

- обосновывать меры по снижению рисков.

5.25 На этапе анализа должны быть приняты следующие решения:

- о проведении обработки риска без дальнейшей оценки;

- исключении из обработки незначительных видов риска, обработка которых нецелесообразна;

- продолжении более детальной оценки риска в отношении оставшихся видов и элементов риска. Исходные предположения и полученные результаты должны быть документированными.



6 Общие требования и рекомендации к проведению анализа риска, сравнительной оценки риска и последствий воздействия на риск

     6 Общие требования и рекомендации к проведению анализа риска, сравнительной оценки риска и последствий воздействия на риск

6.1 Установление соответствия между видами деятельности организации дистрибьютора и рисками следует проводить для каждого отдельного договора (контракта) закупки или поставки, для всех отдельных бизнес-процессов или операций, производимых с продукцией. В отношении каждого проекта, договора (контракта) в рамках анализа рисков должны быть установлены:

- конкретные риски проекта, договора (контракта), процесса и порождающие их причины;

- граничные значения (минимальные и максимальные) возможного изменения всех факторов (переменных), проверяемых на риски;

- виды и стоимостной эквивалент предполагаемых последствий реализации неблагоприятных событий;

- состав мероприятий по минимизации ущерба, их стоимостная оценка и предполагаемая эффективность.

6.2 Принятие решений о воздействии на риск (обработке неприемлемого риска) должно быть основано на результатах анализа риска и произведено по результатам оценивания (сравнительной оценки) риска. Оценивание риска должно включать сравнение уровня риска, выявленного во время процесса анализа, с установленными критериями приемлемого и неприемлемого риска. Критерии риска должны быть основаны на установленных целях организации, могут быть сформированы на основе требований стандартов, политики, законодательных и иных требований. Решения о необходимости воздействия на риск должны быть основаны на оценивании (сравнительной оценке) риска и соответствовать требованиям договорных, правовых, нормативных документов, технической документации.

6.3 Выбор мер воздействия на риск должен быть основан на реализации циклического процесса, состоящего из следующих этапов:

- оценивание воздействия на риск конкретных мер и стратегий;

- оценка допустимости уровней остаточного риска;

- выработка новых мер и стратегий воздействия на риск для недопустимых уровней остаточного риска;

- оценивание результативности этого воздействия на снижение риска;

- оценивание затрат на меры воздействия на риск и сопоставление с получаемой выгодой от снижения риска.

Должны быть рассмотрены все возможные альтернативные варианты воздействия на риск или реагирования на риск, в том числе:

- избежание риска посредством решения относительно того, следует или не следует начинать или продолжать деятельность, в результате которой возникает риск;

- принятие или увеличение допустимого уровня риска для организации;

- избежание риска путем устранения источника риска за счет изменения условий договора, смены поставщика, пересмотра процессов и др., являющихся элементами риска;

- изменение последствий неблагоприятных событий за счет принимаемых мер;

- разделение риска с другой(ими) стороной(ами) (включая поставщика, перевозчика, потребителя) и страхование риска;

- осознанное удержание риска (оставление риска за дистрибьютором).

6.4 Следует учитывать, что воздействие на риск может быть само по себе источником риска. Для планируемых и реализуемых мер воздействия на риск следует оценивать риски, связанные с воздействием на риск. Существенным риском может быть отсутствие или неэффективность мер воздействия на риск при расходовании существенных ресурсов на такое воздействие или при полученном негативном воздействии на процессы организации. Планируемые меры воздействия на риск должны предусматривать непрерывный мониторинг результата воздействия на риск и контроль эффективности. Следует учитывать возможность появления вторичных рисков, связанных с планируемыми мерами воздействия на риск, которые также необходимо подвергать анализу, воздействию и мониторингу. Вторичные риски должны включаться в план воздействия на риски наравне с первоначальными рисками. Следует определить и учитывать связь между первичными и вторичными рисками.

6.5 Меры воздействия на риски должны документироваться в виде плана воздействия на риски организации. Представленная в план воздействия на риски информация должна включать следующие данные:

- должностные лица, ответственные за утверждение плана, реализацию, контроль реализации плана;

- виды рисков, элементы риска и планируемые мероприятия для снижения уровней рисков;

- требования к выделяемым ресурсам, включая возможные непредвиденные обстоятельства;

- сроки и порядок выполнения мероприятий;

- целевые значения воздействия на уровень риска, методы оценки исходных и достигнутых уровней риска;

- требования к отчетности и мониторингу.

6.6 Разработку и реализацию плана воздействия на риски следует включать в процессы менеджмента организации и необходимо обсуждать с заинтересованными сторонами. План контроля для выявления фальсифицированных и контрафактных электронных изделий по ГОСТ Р 57880 можно рассматривать как составную часть плана воздействия на риски организации. Лица, принимающие решения, и другие заинтересованные стороны должны быть ознакомлены с характером и уровнем остаточного риска после воздействия на исходный риск. Остаточный риск должен быть документирован, подвергнут мониторингу и при необходимости дальнейшему воздействию.



Библиография

Библиография

[1]

Федеральный закон от 26 июля 2006 г. N 135-ФЗ "О защите конкуренции"

[2]

Постановление ФАС Московского округа от 16 марта 2012 г. по делу N А41-42709/10

[3]

Федеральный закон от 3 августа 2018 г. N 289-ФЗ "О таможенном регулировании в Российской Федерации"



УДК [004.056+005]:62:34:006.354

ОКС 13.310

Ключевые слова: система защиты, фальсификации, контрафакт, электронные изделия, оценки риска, дистрибьюторы