ГОСТ Р ИСО/МЭК 31010-2011. Национальный стандарт РФ: "Менеджмент риска. Методы оценки риска" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 01.12.2011 N 680-ст) (документ утратил силу)

Национальный стандарт РФ ГОСТ Р ИСО/МЭК 31010-2011
"Менеджмент риска. Методы оценки риска"
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 680-ст)

Risk management. Risk assessment methods

Дата введения 1 декабря 2012 г.

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".

Введение

Практически все организации сталкиваются с необходимостью оценки риска для снижения количества опасных событий и достижения поставленных целей.

Цели организации могут затрагивать различные аспекты ее деятельности: от стратегии до выпуска конкретной продукции, разработки процессов и проектов. Цели могут быть определены в социальной, экологической, технологической, коммерческой, финансовой и экономической областях, а также в области репутации организации, ее безопасности и социального, культурного, политического воздействия на население.

Всей деятельности организации соответствует риск. Менеджмент риска помогает в принятии решений в условиях неопределенности и возможности возникновения событий или обстоятельств (плановых и непредвиденных), воздействующих на достижение целей организации.

Менеджмент риска включает применение логических и системных методов для:

- обмена информацией и консультаций в области риска;

- установления области применения при идентификации, анализе, оценке и обработке риска, соответствующего любой деятельности, процессу, функции или продукции;

- мониторинга и анализа риска;

- регистрации полученных результатов и составления отчетности.

Оценка риска является частью процесса менеджмента риска и представляет собой структурированный процесс, в рамках которого идентифицируют способы достижения поставленных целей, проводят анализ последствий и вероятности возникновения опасных событий для принятия решения о необходимости обработки риска.

Оценка риска позволяет ответить на следующие основные вопросы:

- какие события могут произойти и их причина (идентификация опасных событий);

- каковы последствия этих событий;

- какова вероятность их возникновения;

- какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.

Кроме того, оценка риска помогает ответить на вопрос: является уровень риска приемлемым, или требуется его дальнейшая обработка? Настоящий стандарт основан на успешно применяемых методах оценки риска и не содержит новых, неапробированных понятий и методов.

Настоящий стандарт является основополагающим стандартом в области менеджмента риска и предназначен для предприятий различных отраслей промышленности. Нормативные документы, содержащие методы и критерии оценки риска для конкретных отраслей, должны соответствовать требованиям настоящего стандарта.

1 Область применения

Настоящий стандарт разработан в дополнение к ИСО 31000 и содержит рекомендации по выбору и применению методов оценки риска.

Оценка риска, выполненная в соответствии с настоящим стандартом, применима при выполнении других элементов процесса менеджмента риска.

В настоящем стандарте представлены методы оценки риска и даны ссылки на другие международные стандарты, в которых более подробно описано применение конкретных методов оценки риска.

Настоящий стандарт не предназначен для целей оценки соответствия и использования в качестве обязательных или договорных требований.

Стандарт не содержит конкретных критериев для принятия решения по анализу риска и указаний по применению методов анализа риска в конкретной ситуации.

Настоящий стандарт допускает использование других методов оценки риска с учетом их применимости в конкретной ситуации.

Примечание - Настоящий стандарт не связан с аспектами безопасности. Стандарт является основополагающим стандартом в области менеджмента риска, любые ссылки на безопасность носят справочный характер. При введении в действие требований безопасности следует руководствоваться положениями Руководства ИСО/МЭК 51.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

Руководство ИСО 73:2009 Менеджмент риска. Словарь. Руководящие принципы для использования в стандартах (ISO Guide 73:2009, Risk management - Vocabulary - Guidelines for use in standards)

ИСО/МЭК 31000:2009 Менеджмент риска. Общие принципы и руководство (ISO 31000:2009, Risk management - Principles and guidelines)

3 Термины и определения

В настоящем стандарте применены термины и определения по Руководству ИСО/МЭК 73.

4 Понятие оценки риска

4.1 Цели и преимущества

Основной целью оценки риска является представление на основе объективных свидетельств информации, необходимой для принятия обоснованного решения относительно способов обработки риска.

Оценка риска обеспечивает:

- понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей организации;

- получение информации, необходимой для принятия решений;

- понимание опасности и ее источников;

- идентификацию ключевых факторов, формирующих риск, уязвимых мест организации и ее систем;

- возможность сравнения риска с риском альтернативных организаций, технологий, методов и процессов;

- обмен информацией о риске и неопределенностях;

- информацию, необходимую для ранжирования риска;

- предотвращение новых инцидентов на основе исследования последствий произошедших инцидентов;

- выбор способов обработки риска;

- соответствие правовым и обязательным требованиям;

- получение информации, необходимой для обоснованного решения о принятии риска в соответствии с установленными критериями;

- оценку риска на всех стадиях жизненного цикла продукции.

4.2 Оценка риска и структура менеджмента риска

Оценка риска, установленная в настоящем стандарте, соответствует структуре и процессу менеджмента риска, установленным ИСО 31000.

Структура менеджмента риска предусматривает установление политики, процедуры и организационных мероприятий, направленных на внедрение менеджмента риска во всех подразделениях организации.

Организация должна официально сформулировать политику и стратегию в области менеджмента риска, а также применять соответствующие методы оценки риска.

Ответственные за оценку риска должны знать:

- область деятельности и цели организации;

- уровень приемлемого риска и способы обработки неприемлемого риска;

- способы интеграции процессов оценки риска в процессы менеджмента организации;

- методы оценки риска и способы их применения в процессе менеджмента риска;

- систему подотчетности, распределения ответственности и полномочий в области оценки риска;

-требуемые и доступные ресурсы для выполнения оценки риска;

- способы регистрации и анализа оценки риска.

4.3 Оценка риска и процесс менеджмента риска

4.3.1 Общие положения

Оценка риска является основным элементом процесса менеджмента риска, включающего в соответствии с ИСО 31000 следующие элементы:

- обмен информацией и консультации;

- установление области применения менеджмента риска;

- оценку риска (включая идентификацию риска, анализ риска и сравнительную оценку риска);

- обработку риска;

- мониторинг и анализ риска.

Являясь основным элементом процесса менеджмента риска, деятельность по оценке риска должна быть интегрирована в другие элементы этого процесса.

4.3.2 Обмен информацией и консультации

Результативность оценки риска зависит от эффективности обмена информацией и консультаций с причастными сторонами.

Вовлечение причастных сторон в процесс менеджмента риска является полезным при:

- разработке плана обмена информацией;

- определении области применения менеджмента риска;

- изучении и анализе интересов причастных сторон;

- совмещении и гармонизации различных областей знаний для идентификации и анализа риска;

- анализе различных мнений в оценке риска;

- обеспечении соответствующей идентификации риска;

- обеспечении одобрения и поддержки плана обработки риска.

Причастные стороны должны способствовать обмену информацией о процессе менеджмента риска с другими элементами менеджмента, такими как управление изменениями, разработка и управление программ и проектов, а также финансовый менеджмент.

4.3.3 Установление области применения менеджмента риска

При установлении области применения менеджмента риска определяют основные параметры управления, область применения и критерии процесса менеджмента риска. При этом должен быть проведен анализ внутренних и внешних параметров области применения, относящихся к организации в целом, а также определена специфика оцениваемого риска.

При установлении области применения менеджмента риска должны быть определены и согласованы цели оценки риска, критерии риска и программа оценки риска.

При установлении области применения менеджмента риска в рамках процесса оценки риска определяют внешнюю и внутреннюю среду организации, цель деятельности организации в области менеджмента риска, а также проводят классификацию опасных событий.

a) Установление внешней области применения включает определение внешних условий, в которых функционирует организация, в том числе:

- внешнюю среду, связанную с ведением бизнеса, социальной и экологической сферой деятельности, правовыми и обязательными требованиями, культурными факторами, конкуренцией, финансовым положением и политикой государства на международном, национальном, региональном или местном уровне;

- ключевые тенденции и мотивы, влияющие на достижение целей организации;

- значимость внешних причастных сторон и их восприятие риска.

b) Установление внутренней области применения включает определение:

- возможностей организации с точки зрения ресурсов и информации в области риска;

- информационных потоков и процессов принятия решений;

- внутренних причастных сторон;

- целей и задач организации, а также стратегий, необходимых для их достижения;

- восприятия организацией риска и его значимости для организации;

- политики и процессов организации;

- стандартов и применяемых сравнительных моделей, принятых организацией,

- структуры организации (например, системы управления, распределения функций и ответственности).

c) Установление целей в области менеджмента риска предусматривает:

- определение распределения обязанностей, ответственности и подотчетности;

- определение необходимых действий в области менеджмента риска с учетом установленных ограничений и исключений;

- определение размера и объема рассматриваемых проекта, процесса, функции или деятельности с учетом условий ограничения по времени и местоположению;

- определение взаимосвязи рассматриваемого проекта с деятельностью и другими проектами организации;

- определение методов оценки риска;

- определение критериев риска;

- определение критериев оценки действий в области менеджмента риска;

- идентификацию и определение требований к принимаемым решениями предпринимаемым действиям;

- определение, при необходимости исследований, цели и глубины исследований, а также требуемых для этого ресурсов.

d) Определение критериев риска включает в себя установление:

- характера и типа последствий реализации опасных событий и способов их оценки;

- методов оценки вероятности опасного события;

- методов установления уровней риска;

- критериев принятия решений при необходимости обработки риска;

- критериев приемлемости риска;

- возможности одновременного возникновения различных видов опасных событий и особенности соответствующего риска.

При разработке критериев могут быть использованы следующие источники информации:

- цели процесса менеджмента риска;

- критерии, установленные в требованиях;

- общие источники данных;

- общепринятые в промышленности критерии, такие как уровень общей безопасности;

- уровень риска организации;

- правовые, обязательные и иные требования для оборудования или видов деятельности.

4.3.4 Оценка риска

Оценка риска - процесс, объединяющий идентификацию, анализ и сравнительную оценку риска.

Риск может быть оценен для всей организации, ее подразделений, отдельных проектов, деятельности или конкретного опасного события. Поэтому в различных ситуациях могут быть применены различные методы оценки риска.

Оценка риска обеспечивает понимание возможных опасных событий, их причин и последствий, вероятности их возникновения и принятие решений:

- о необходимости предпринимать соответствующие действия;

- о способах максимальной реализации всех возможностей снижения риска;

- о необходимости обработки риска;

- о выборе между различными видами риска;

- о приоритетности действий по обработке риска;

- о выборе стратегии обработки риска, позволяющей снизить риск до приемлемого уровня.

4.3.5 Обработка риска

После завершения оценки риска принимают и выполняют одно или несколько решений об обработке риска, позволяющих изменить вероятность возникновения опасного события и/или его воздействие.

Обработка риска обычно является адаптивным процессом проверки риска на его приемлемость и соответствие ранее установленным критериям для определения необходимости дальнейшей обработки риска.

4.3.6 Мониторинг и анализ

Мониторинг и анализ риска являются составной частью процесса менеджмента риска. Регулярное проведение мониторинга, анализа и управления риском направлены на проверку:

- достоверности предположений о риске;

- достоверности предположений, на которых основана оценка риска, включая внешние и внутренние области применения;

- достижимости ожидаемых результатов;

- соответствия результатов оценки риска фактической информации о риске;

- правильности применения методов оценки риска;

- эффективности обработки риска.

Процессы мониторинга и анализа риска должны быть документированы, а результаты мониторинга и анализа риска зафиксированы в отчете.

5 Процесс оценки риска

5.1 Краткий обзор

Благодаря глубокому исследованию риска оценка риска помогает лицам, принимающим решения, и ответственным сторонам влиять на достижение поставленных целей, а также выбирать адекватные и эффективные средства управления риском. Оценка риска является основой для принятия решений по обработке риска. Выходные данные процесса оценки риска являются входными данными процессов принятия решений в организации.

Оценка риска является процессом, объединяющим идентификацию, анализ риска и сравнительную оценку риска (см. рисунок 1). Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.

При проведении оценки риска может потребоваться применение мультидисциплинарного подхода, так как риски могут попадать в широкий диапазон причин и последствий.

5.2 Идентификация риска

Идентификация риска - это процесс определения элементов риска, составления их перечня и описания каждого из элементов риска.

Целью идентификации риска является составление перечня источников риска и событий, которые могут повлиять на достижение каждой из установленных целей организации или сделать выполнение этих целей невозможным. После идентификации риска организация должна идентифицировать существенные особенности проекта, персонал, процессы, системы и средства управления.

Процесс идентификации риска включает в себя идентификацию причин и источников опасных событий, ситуаций, обстоятельств или риска, которые могут оказать существенное воздействие на достижение целей организации, и характер этих воздействий.

Методы идентификации риска могут включать в себя:

- методы оценки риска на основе документальных свидетельств, примерами которых являются анализ контрольных листов, анализ экспериментальных данных, а также данных и событий, произошедших в прошлом;

- подход, в соответствие с которым группа экспертов следует установленному процессу идентификации риска посредством структурированного множества подсказок или вопросов;

- индуктивные методы, такие как HAZOP.

Для повышения точности и полноты идентификации риска могут быть использованы различные вспомогательные методы, например метод мозгового штурма и метод Дельфи.

Независимо от фактически используемых методов при идентификации риска важно учитывать человеческие и организационные факторы. Отклонения, вызванные воздействием человеческих и организационных факторов, а также опасные события, связанные с информационными технологиями, должны быть учтены в процессе идентификации риска.

5.3 Анализ риска

5.3.1 Общие положения

Анализ риска включает в себя анализ и исследование информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также помогает выбрать соответствующие стратегии и методы обработки риска.

Анализ риска включает анализ вероятности и последствий идентифицированных опасных событий с учетом наличия и эффективности применяемых способов управления. Данные о вероятности событий и их последствиях используют для определения уровня риска.

Также анализ риска включает анализ источников опасных событий, их положительных и отрицательных последствий и вероятностей появления этих событий. При этом должны быть идентифицированы факторы, влияющие на вероятность события и его последствия. Событие может иметь множественные последствия и может влиять на различные цели. Также должны быть учтены результаты применения и эффективность существующих методов управления. Различные методы анализа риска описаны в приложении В. В сложных ситуациях может быть применено несколько методов.

Анализ риска обычно включает оценку диапазона возможных последствий события, ситуации или обстоятельств и соответствующих им вероятностей для определения уровня риска. Однако в некоторых случаях, например, когда последствия незначительны или вероятность события чрезвычайно низка, для принятия решений может быть достаточно исследований только одного параметра.

В некоторых случаях последствие может быть результатом реализации нескольких событий или неидентифицированного события. В этом случае оценку риска необходимо сосредоточить на анализе значимости и уязвимости компонентов исследуемой системы. При этом следует определить методы обработки риска, соответствующие уровни защиты и стратегии восстановления.

Методы, используемые при анализе риска, могут быть качественными, количественными или смешанными. Степень глубины и детализации анализа зависит от конкретной ситуации, доступности достоверных данных и потребностей организации, связанных с принятием решений. Некоторые методы и степень детализации анализа могут быть установлены в соответствии с правовыми и обязательными требованиями.

При качественной оценке риска определяют последствия, вероятность и уровень риска по шкале "высокий", "средний" и "низкий"; оценка последствий и вероятности может быть объединена; сравнительную оценку уровня риска в этом случае проводят в соответствии с качественными критериями.

В смешанных методах используют числовую шкалу оценки последствий, вероятности и их сочетания для определения уровня риска по соответствующей формуле. Шкалы могут быть линейными, логарифмическими или могут быть построены по другим принципам. Используемые формулы соответственно могут быть различными.

При количественном анализе оценивают практическую значимость и стоимость последствий, их вероятности и получают значение уровня риска в определенных единицах, установленных при разработке области применения менеджмента риска. Полный количественный анализ не всегда может быть возможен или желателен из-за недостаточной информации об анализируемой системе, видах деятельности организации, недостатка данных, влияния человеческого фактора и т.п. или потому, что такой анализ не требуется, или трудозатраты на количественный анализ слишком велики. В таком случае ранжирование рисков высококвалифицированными специалистами может быть более эффективно.

Если применен качественный анализ риска, четкие объяснения всех используемых терминов и принципов, лежащих в основе критериев, должны быть зарегистрированы в виде записей.

В случае применения количественного анализа необходимо помнить, что уровни вычисленного риска являются только оценками. Необходимо обеспечить согласованность неопределенностей полученных оценок с уровнем точности и прецизионности используемых методов и данных.

Уровни риска должны быть выражены в соответствующих терминах для конкретного вида риска в наиболее удобной форме. В некоторых случаях значение риска может быть выражено в виде распределения вероятностей диапазона последствий.

5.3.2 Оценка методов управления

Уровень риска зависит от адекватности и эффективности применяемых методов управления. Для оценки методов управления риском необходимо ответить на следующие вопросы:

- Какие методы применяют для снижения конкретного риска?

- Действительно ли применение этих методов приводит к обработке риска, обеспечивающей достижение приемлемого уровня риска?

- Действительно ли эти методы управления риском работают, как запланировано, и их эффективность при необходимости может быть продемонстрирована?

Ответы на эти вопросы можно получить только при наличии установленных в организации документации и процессов.

Уровень эффективности конкретного метода управления или комбинации взаимосвязанных методов может быть выражен в виде качественной, смешанной или количественной оценки. В большинстве случаев высокую точность такой оценки обеспечить очень трудно. Однако целесообразно применение мер повышения уровня эффективности метода управления риском, на основе которых можно сделать вывод о том, какие действия необходимы и наиболее предпочтительны для улучшения управления риском или обеспечения различных видов обработки риска.

5.3.3 Анализ последствий

При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств. Событие может оказать несколько воздействий различной значимости, повлиять на достижение нескольких целей и затронуть интересы причастных сторон организации. Вовлеченные причастные стороны и типы последствий, которые необходимо проанализировать, определяют при установлении области применения менеджмента риска.

Анализ последствий может изменяться от простого описания результатов до детализированного количественного моделирования ситуации, процессов и анализа уязвимостей.

Воздействия могут иметь небольшие последствия, но высокую вероятность появления или значимые последствия и низкую вероятность появления, а также любой промежуточный вариант. В некоторых случаях уместно сосредоточиться на опасных событиях с очень опасными последствиями, поскольку именно эти события вызывают наибольшее беспокойство. В других случаях важно проанализировать отдельно последствия с высокой и низкой значимостью для организации. Например, часто повторяющиеся, незначительные по воздействию события могут иметь большие совокупные или долгосрочные последствия. Кроме того, действия по обработке этих ситуаций риска зачастую различны, поэтому их полезно проанализировать отдельно.

Анализ последствий может включать в себя следующее:

- учет существующих методов управления риском, направленных на снижение последствий и всех сопутствующих факторов, влияющих на последствия;

- исследование взаимосвязи последствий опасного события и установленных целей;

- раздельное изучение отдаленных последствий события и происходящих в настоящий момент времени, если они включены в область применения оценки риска;

- рассмотрение вторичных последствий, таких как последствия, воздействующие на взаимосвязанные системы, виды деятельности, оборудование или организацию.

5.3.4 Анализ и оценка вероятности

Для оценки вероятности обычно применяют следующие три общих подхода, которые могут быть использованы как самостоятельно, так и совместно:

a) Использование соответствующих хронологических данных для идентификации события или ситуации, произошедших в прошлом и допускающих возможность экстраполяции вероятности их появления в будущем. Используемые данные должны относиться к рассматриваемым системам, оборудованию, организациям или видам деятельности, а также к требованиям деятельности организации. Если в соответствии с имеющимися данными частота появления события очень низка, то все оценки вероятности будут иметь высокую неопределенность. Это характерно для ситуаций, вероятность появления которых близка к нулю, когда появление события, ситуации или обстоятельств в будущем очень маловероятно.

b) Использование для оценки вероятности методов прогнозирования, таких как анализ дерева ошибок и анализ дерева событий (см. приложение В). Если хронологические данные недоступны или недостоверны, то для оценки вероятности необходимо провести анализ системы, деятельности, оборудования или организации и соответствующих отказов или работоспособных состояний. Для оценки вероятности главного события числовые данные для оборудования, персонала, организации и систем, полученные на основе эксплуатации и из опубликованных источников данных, следует использовать совместно. При применении методов прогнозирования важно обеспечить полноту анализа общей причины возможности появления отказов, включающих отказы различных частей или компонентов системы, вызванные одной причиной. Для оценки вероятности отказов оборудования и систем, а также их элементов, вызванных процессами износа, применяют методы моделирования, позволяющие учесть влияние неопределенности.

c) Использование экспертных оценок в систематизированном и структурированном процессе оценки вероятности. Для получения экспертных оценок следует использовать всю доступную информацию, включая хронологические данные, сведения об особенностях системы, специфике организации, экспериментальные данные и т.д. Существуют формализованные методы получения экспертных оценок, которые помогают формулировать соответствующие вопросы. Доступные методы включают в себя методы Дельфи, попарного сравнения, ранжирования по категориям оценки и абсолютных оценок.

5.3.5 Предварительный анализ

Необходимо провести анализ опасных событий, чтобы идентифицировать наиболее существенные виды опасности, исключить менее существенные или незначительные виды опасности из дальнейшего анализа. Основной целью предварительного анализа является сосредоточение ресурсов на самых важных видах опасных событий и риска. Важно не пропустить события с высокой частотой появления и существенным совокупным риском.

Анализ должен быть основан на критериях, установленных в области применения менеджмента риска. На этапе предварительного анализа принимают следующие решения:

- проводить обработку риска без дальнейшей оценки;

- исключить из обработки незначительные виды риска, обработка которых неоправданна и нецелесообразна;

- продолжить более детальную оценку риска.

Исходные предположения и полученные результаты должны быть зарегистрированы.

5.3.6 Неопределенность и чувствительность

Часто анализу риска присуща значительная неопределенность. Понимание неопределенности необходимо для эффективной интерпретации результатов анализа риска и соответствующего обмена информацией. Анализ неопределенности, соответствующий данным методам и моделям, используемым для идентификации и анализа риска, играет важную роль. Анализ неопределенности включает определение погрешностей результатов, вызванных изменениями параметров и предположений. С анализом неопределенности тесно связан анализ чувствительности.

Анализ чувствительности включает в себя определение амплитуды изменений риска в зависимости от изменений отдельных индивидуальных входных параметров. Такой анализ применяют для идентификации данных, для которых необходима высокая точность, и данных, к точности которых риск менее чувствителен.

Полнота и точность анализа риска должны быть обеспечены настолько, насколько возможно. Источники неопределенности должны быть идентифицированы для всех исследуемых показателей, поэтому следует использовать всю известную информацию о неопределенности применяемых моделей, методов и данных. Результаты анализа параметров чувствительности должны быть установлены.

5.4 Сравнительная оценка риска

Сравнительная оценка риска включает в себя сопоставление уровня риска с критериями риска, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.

Сравнительная оценка риска использует информацию о риске, полученную при анализе риска. Результаты сравнительной оценки риска используют для принятия решений о будущих действиях. Этические, юридические, финансовые и другие вопросы, а также восприятие риска организацией могут повлиять на принятие решения.

Принимаемые решения могут касаться таких вопросов как:

- необходимость обработки риска;

- приоритеты обработки риска;

- необходимость выполнения действий;

- выбор способа обработки риска.

Характер принимаемых решений и используемые критерии при принятии решений ранее установлены при определении области применения, однако на данном этапе они должны быть повторно и более подробно рассмотрены с точки зрения уже полученных данных об идентифицированных опасностях и риске.

Наиболее простая структура для определения критериев риска - это установление одного уровня, разделяющего опасности и риск, требующие обработки, от тех, которые подобных действий не требуют. Применение такой структуры приводит к простым и понятным результатам, однако не отражает неопределенность, присущую оценке риска и установленному пограничному уровню риска.

Решение о необходимости и способах обработки риска зависит от затрат и преимуществ принятия риска и улучшения управления риском.

В соответствии с общим подходом следует разделить риск на три группы.

a) Высшая группа, в которой уровень риска является недопустимым, безотносительно преимуществ принятия риска и доходов, получаемых от деятельности организации, обработка риска является необходимой независимо от затрат.

b) Средняя группа ("серая" область), для которой затраты и преимущества принятия риска следует учитывать, а возможности соотносить с последствиями.

c) Низшая группа, в которой уровень риска незначителен или настолько мал, что необходимость в обработке риска отсутствует.

Для отнесения риска к низшей группе, используемой в сфере безопасности (в системе критериев ALARP* - "Низкий, насколько реально возможно"), применяют следующий подход.

Для отнесения риска к низшей группе ("Низкий, насколько реально возможно" в системе критериев ALARP*), используемой в сфере безопасности, применяют следующий подход: для низкого риска в средней группе устанавливают скользящую шкалу, в которой затраты и преимущества могут быть непосредственно сопоставлены, а возможный вред от событий с высоким риском следует снижать до тех пор, пока стоимость дальнейшего снижения риска не превысит полученные преимущества.

5.5 Документация

Процесс оценки риска должен быть зарегистрирован вместе с результатами оценки. Риск должен быть выражен в понятных и точных терминах и единицах.

Необходимая степень отчетности зависит от целей и области определения оценки. За исключением очень простых случаев документация должна включать:

- цели и область применения;

- описание соответствующих системы, ее частей и функций;

- краткое описание внешних и внутренних целей и сферы деятельности организации во взаимосвязи с оцениваемыми ситуацией, системой или обстоятельствами;

- применяемые критерии риска и соответствующие выводы;

- недостатки, предположения и обоснования принятых гипотез;

- методы оценки;

- результаты идентификации риска;

- данные, предположения, их источники и валидацию их использования;

- результаты анализа риска и количественную оценку риска;

- данные анализа чувствительности и неопределенности;

- критические предположения и другие факторы, для которых необходим мониторинг;

- протоколы обсуждения результатов;

- выводы, заключения и рекомендации;

- ссылки.

Если оценка риска производится в рамках непрерывного процесса менеджмента риска, то она должна быть выполнена и зарегистрирована способом, позволяющим использовать ее результаты на всех этапах жизненного цикла системы, организации, оборудования или деятельности. Оценка должна актуализироваться по мере получения новой информации, изменения области применения анализа риска и потребностей процесса менеджмента.

5.6 Мониторинг и повторная оценка риска

Процесс оценки риска выдвигает на первый план область применения оценки риска, а также другие факторы, которые могут подвергнуться изменениям в течение продолжительного времени. Предполагаемые преимущества оценки риска также могут измениться или корректироваться. Такие факторы должны быть четко идентифицированы для процессов непрерывного мониторинга и повторной оценки, так чтобы оценка риска могла обновляться по мере необходимости.

Данные мониторинга оценки риска должны быть идентифицированы и собраны.

Следует проводить мониторинг и регистрацию эффективности методов управления, используемых при анализе риска. Должна быть определена ответственность за оформление и пересмотр соответствующих свидетельств и документации.

5.7 Применение оценки риска на различных стадиях жизненного цикла

Каждому виду деятельности, проектирования и разработки продукции соответствует свой жизненный цикл: от концепции и разработки до стадии полного завершения эксплуатации (использования), которая, например, может предусматривать демонтаж и утилизацию оборудования.

Оценка риска может быть применена на всех стадиях жизненного цикла. Обычно ее многократно используют с различными уровнями детализации на каждой стадии жизненного цикла для принятия решений.

Для разных стадий жизненного цикла установлены различные требования и применимы различные методы оценки риска. Например, на стадии концепции и технико-экономического обоснования, когда идентифицируют возможные перспективы применения продукции, оценка риска может быть использована для принятия решения о продолжении работ.

В ситуации, когда существует несколько вариантов, оценка риска может быть использована для оценки альтернативных способов при принятии решения, обеспечивающего наилучший баланс положительного и отрицательного риска.

На стадии проектирования и разработки оценка риска способствует:

- обеспечению допустимого риска системы;

- усовершенствованию проекта;

- исследованию экономической эффективности;

- идентификации событий, воздействующих на последующие стадии жизненного цикла.

Оценка риска может быть использована для получения информации, необходимой при разработке процедур в нормальных и чрезвычайных условиях.

6 Выбор методов оценки риска

6.1 Общие положения

В настоящем подразделе приведено описание способов выбора методов оценки риска. В приложениях А и В приведены основные методы и приемы оценки риска. В некоторых случаях используют несколько методов оценки риска.

6.2 Выбор метода

Оценка риска может быть выполнена с различной степенью глубины и детализации с использованием одного или нескольких методов разного уровня сложности. Форма оценки и ее выходные данные должны быть совместимы с критериями риска, установленными при определении области применения. В приложении А показаны концептуальные соотношения между различными категориями методов оценки риска и существенными факторами риска в конкретной ситуации и приведены примеры выбора метода оценки риска для конкретной ситуации.

При выборе метода оценки риска необходимо учитывать, что метод должен:

- соответствовать рассматриваемой ситуации и организации;

- предоставлять результаты в форме, способствующей повышению осведомленности о виде риска и способах его обработки;

- обеспечивать прослеживаемость, воспроизводимость и верификацию процесса и результатов.

Должно быть приведено обоснование выбора методов оценки риска с указанием их приемлемости и пригодности. Необходимо обеспечить соответствие используемых методов и выходных данных для объединения результатов различных исследований.

После принятия решения о выполнении оценки риска и определения области ее применения следует выбрать методы оценки риска на основе:

- цели исследования. Цели оценки риска непосредственно связаны с используемыми методами. Например, если проводится сравнительное исследование разных вариантов, то могут быть применены менее детализированные модели описания последствий для аналогичных частей системы;

- ответственности принимаемых решений. В некоторых случаях необходим высокий уровень детализации, чтобы принять решение, в других - достаточно более общего понимания;

- типа и диапазона анализируемого риска;

- возможных последствий опасного события. Решение относительно глубины оценки риска должно отражать начальное восприятие последствий (которое, скорее всего, изменится после завершения предварительной оценки риска);

- степени необходимых экспертиз, человеческих и других ресурсов. Простой правильно примененный метод, может обеспечить лучшие результаты, если он соответствует области применения оценки, чем сложная процедура, выполненная с ошибками. Обычно усилия по оценке риска должны соответствовать уровню анализируемого риска;

- доступности информации и данных. Для некоторых методов необходимо больше информации и данных, чем для других;

- потребности в модификации/обновлении оценки риска. Возможно, в будущем оценка должна быть изменена/обновлена, и для этого могут быть применены различные методы;

- обязательных и договорных требований.

На выбор метода оценки риска влияют различные факторы, такие как доступность ресурсов, характер и степень неопределенности данных и информации, сложность метода (см. таблицу А.2).

6.3 Доступность ресурсов

На выбор метода оценки риска влияют следующие факторы доступности ресурсов:

- практический опыт, навыки и возможности группы оценки риска;

- ограничения по времени и другие ресурсы организации;

- доступный бюджет, если необходимы внешние ресурсы.

6.4 Характер и степень неопределенности информации

Характер и степень неопределенности информации включают в себя понимание качества, количества и полноты информации о рассматриваемом риске. Понимание включает в себя осознание достаточности полученной информации о риске, его источниках и причинах, его последствиях для достижения установленных целей. Неопределенность может быть связана с неопределенностью данных и недостатком достоверных данных. Например, для снижения неопределенности могут быть изменены методы сбора данных или способы применения этих методов в организации. Причиной неопределенности может быть неприменение на местах эффективных методов сбора данных об идентифицированном риске.

Неопределенность может быть неотъемлемым свойством внешних и внутренних целей и области применения менеджмента риска в организации. Доступные данные не всегда обеспечивают достоверную основу для прогнозирования. Для уникальных видов риска могут отсутствовать хронологические данные, а причастные стороны могут по-разному интерпретировать доступные данные о риске. Лица, выполняющие оценку риска, должны понимать тип и характер неопределенности и оценить ее значение для достоверности оценки риска. Необходимо поддерживать постоянный обмен информацией о риске с лицами, принимающими решение.

6.5 Сложность

Задача оценки риска может быть сложной, например, оценка риска для сложной системы не сводится к оценке риска ее компонентов без учета их взаимодействия. В некоторых случаях обработка единичного риска может иметь большое значение из-за воздействия риска на другую деятельность. Необходимо понимать связь последовательных действий и риска, чтобы предотвратить ситуацию, при которой действия по управлению одним риском приводят к катастрофической ситуации в другой области. Понимание сложности единичного риска или набора рисков организации крайне важно при выборе метода(ов) оценки риска.

6.6 Типы методов оценки риска

Методы оценки риска могут быть классифицированы различными способами, что обеспечивает понимание их преимуществ и недостатков. В таблицах приложения А для иллюстрации показана связь некоторых методов с их категорией.

В приложении В дано описание каждого метода оценки риска по отношению к полученной оценке и рекомендации по его применению в конкретных ситуациях.

_____________________________

* ALARP - As Low As Reasonably Practicable (принцип разумной достаточности).

Библиография

IEC 61511	Functional safety - Safety instrumented systems for the process industry sector
IEC 61508	(all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems
IEC 61882	Hazard and operability studies (HAZOP studies) - Application guide
ISO 22000	Food safety management systems - Requirements for any organization in the food chain
ISO/IEC	Safety aspects - Guidelines for their inclusion in standards
Guide 51
IEC 60300-3-11	Dependability management - Part 3-11: Application guide - Reliability centred maintenance
IEC 61649	Weibull analysis
IEC 61078	Analysis techniques for dependability - Reliability block diagram and Boolean methods
IEC 61165	Application of Markov techniques
ИСО/МЭК 15909	(all parts) Software and systems engineering - High-level Petri nets
IEC 60812	Analysis techniques for system reliability - Procedure for failure mode and effects analysis (FMEA)
IEC 61025	Fault tree analysis (FTA)
ISO/IEC	Uncertainty of measurement - Part 3: Guide to the expression of uncertainty in measurement
Guide 98-3:2008	(GUM:1995)