Risk management. Risk assessment technologies
ОКС 03.100.01
Дата введения - 1 марта 2020 г.
Взамен ГОСТ Р ИСО/МЭК 31010-2011
Предисловие
1 Разработан некоммерческим партнерством "Русское Общество Управления Рисками" (НП "РусРиск")
2 Внесен Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 17 декабря 2019 г. N 1405-ст
4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта МЭК 31010:2019 "Менеджмент риска. Технологии оценки риска" (IEC 31010:2019 "Risk management - Risk assessment techniques", NEQ)
5 Взамен ГОСТ Р ИСО/МЭК 31010-2011
6 Некоторые элементы настоящего стандарта могут являться объектами патентных прав
Введение
В настоящем стандарте содержатся рекомендации по выбору и применению различных технологий, которые могут быть использованы для совершенствования понимания неопределенности и риска.
Технологии оценки риска используются в тех случаях, когда:
- требуется понимание того, какие риски существуют, или углубленное понимание конкретного риска;
- при необходимости выбора, сравнения и оптимизации альтернативных решений с учетом риска;
- в рамках процесса управления рисками, для выбора оптимальных методов обработки риска.
Технологии используются на этапах оценки риска для идентификации, анализа и сравнительной оценки риска, описанных в ИСО 31000, и в целом, когда есть необходимость понять неопределенность и ее последствия.
Технологии, описанные в настоящем стандарте, могут использоваться для решения широкого класса задач, однако большинство из них возникло в технической области. Некоторые технологии схожи по своей концепции, но имеют разные названия и методологию, которые отражают историю их развития в разных секторах. Технологии эволюционировали со временем и продолжают развиваться, многие могут использоваться в широком диапазоне ситуаций помимо их первоначального применения. Технологии могут быть адаптированы, объединены и применены по-новому или расширены для удовлетворения текущих и будущих потребностей.
Международный стандарт МЭК 31010 был выбран в качестве основы для разработки настоящего стандарта, поскольку он представляет собой введение в описываемые в настоящем стандарте технологии и сравнивает их возможные приложения, преимущества и ограничения. В МЭК 31010 указано, что приведенный перечень технологий оценки рисков не является исчерпывающим и может быть расширен.
Технологии оценки риска, описанные в настоящем стандарте, дополнены с учетом российской практики управления рисками организаций.
Потенциальная аудитория этого стандарта:
- лица, участвующие в оценке риска;
- стороны, которые участвуют в разработке руководств, описывающих способы оценки риска в конкретных средах;
- лица, которые должны принимать решения в условиях неопределенности, включая:
1) тех, кто заказывает или оценивает оценку рисков;
2) тех, кто должен понимать результаты оценок;
3) тех, кто должен выбирать технологии оценки для удовлетворения конкретных потребностей.
Организации, которые обязаны проводить оценку рисков в целях соблюдения или соответствия, выиграют от использования соответствующих формальных и стандартизированных технологий оценки риска.
1 Область применения
Настоящий стандарт является руководством по выбору и применению технологий оценки риска в широком спектре задач. Технологии используются для оказания помощи и содействия в принятии решений в случаях неопределенности, предоставления информации о конкретных рисках и в рамках процесса управления рисками.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения национального стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р ИСО 31000, ГОСТ Р 51897-2011/Руководство ИСО 73:2009, а также следующие термины с соответствующими определениями:
3.1 возможность (opportunity): Сочетание обстоятельств, благоприятных для достижения цели.
Примечания
1 Возможность является потенциальной выгодой или другим желаемым результатом.
2 Возможность одной стороны может представлять угрозу для другой.
3.2 фактор риска (risk driver): Фактор, который оказывает существенное влияние на риск.
3.3 угроза (threat): Потенциальный источник опасности, вреда и т.д.
4 Основные понятия
4.1 Неопределенность
Неопределенность - это термин, охватывающий многие основные понятия. Было предпринято много попыток и продолжается работа, которая позволит классифицировать типы неопределенности.
Один из подходов к типизации, который может быть полезен, предполагает два основных типа неопределенности:
- неопределенность, которая признает внутреннюю изменчивость некоторых явлений и которая не может быть уменьшена путем дальнейших исследований; например бросание кости (иногда ее называют алеаторной неопределенностью, или неопределенностью случайного события);
- неопределенность, которая обычно возникает из-за отсутствия знаний и поэтому может быть уменьшена путем сбора большего количества данных, уточнения моделей, совершенствования методов выборки и т.д. (иногда ее называют эпистемической неопределенностью, или неопределенностью, зависящей от уровня знания).
Во многих ситуациях встречаются оба типа неопределенности.
Другие общепризнанные типы неопределенности включают:
- лингвистическую неопределенность, которая признает нечеткость и двусмысленность, присущие разговорным языкам;
- неопределенность в решении, которая имеет особое отношение к стратегиям менеджмента риска и которая показывает неопределенность, связанную с системами ценностей, профессиональным суждением, ценностями компаний и социальными нормами.
Таким образом, неопределенность в более широком смысле может охватывать:
- неопределенность относительно достоверности допущений, включая предположения о том, как люди или системы могут себя вести;
- изменчивость параметров, на которых должно основываться решение;
- неопределенность в отношении применимости или точности моделей, которые были созданы для прогнозирования будущего;
- события (включая изменения обстоятельств), появление или характер которых являются неопределенными;
- неопределенность, связанную с разрушительными или прорывными событиями;
- неопределенность в отношении результатов системных вопросов, таких как нехватка компетентного персонала, что может иметь широкомасштабное воздействие, которое не может быть четко определено;
- отсутствие знаний о чем-либо;
- отсутствие знания, которое возникает, когда неопределенность признается, но не полностью понята;
- непредсказуемость;
- неспособность человеческого разума распознавать сложные данные, ситуации с долгосрочными последствиями, судить без предвзятости.
Не вся неопределенность может быть понята, и ее значение может быть трудно или невозможно определить. Однако признание того факта, что неопределенность существует в конкретной области, позволяет внедрять системы раннего предупреждения для выявления изменений и механизмы, которые необходимо использовать для повышения устойчивости к непредвиденным обстоятельствам.
4.2 Характеристики риска
В общем случае риск включает в себя последствия любой из форм неопределенности, описанных в 4.1.
Один из способов описания риска - это формирование набора последствий и их вероятностей, которые могут возникнуть в результате определенных, но изменчивых событий. Они могут иметь несколько причин и привести к нескольким последствиям. Не все риски могут быть описаны в этих условиях. Не всегда существует идентифицируемое событие. Кроме того, источники риска могут включать присущую неопределенность, поведенческие аспекты, быть связаны с организационной структурой и договоренностями. Также последствия могут принимать ряд дискретных значений, быть непрерывными, переменными или быть неизвестными. Они могут быть положительными, отрицательными или и тем и другим. Последствия могут быть не заметны или не оценены вначале, но могут накапливаться с течением времени. Из этого следует, что риск не всегда может быть легко скомбинирован в виде множества событий, их последствий и вероятностей.
Технологии оценки риска направлены на то, чтобы помочь людям понять неопределенность и связанный с ней риск в более широкой, более сложной и разнообразной области применения с целью обеспечения более обоснованных решений и действий.
5 Использование и преимущества технологий оценки риска
5.1 Использование технологий оценки риска
ГОСТ Р ИСО 31000 описывает принципы управления рисками, основы и организационные механизмы, которые позволяют управлять рисками. В нем определен процесс, в рамках которого существует возможность распознавать, понимать и изменять риск в соответствии с критериями, которые устанавливаются в рамках этого же процесса. Технологии оценки риска могут применяться в рамках данного структурированного подхода для определения области применения, среды и критериев, оценки риска, обработки риска, мониторинга и пересмотра, документирования и отчетности, обмена информацией и консультирования. Этот процесс проиллюстрирован на рисунке 1, где также приведены примеры того, где, в рамках процесса, данные техники могут быть применены. В ГОСТ Р ИСО 31000 оценка рисков включает в себя идентификацию рисков, их анализ и использование информации, полученной в результате анализа, для сравнительной оценки риска и формирования выводов относительно их значимости по отношению к целям и показателям эффективности деятельности организации. Этот процесс вносит вклад в принятие решений о том, требуется ли обработка риска, каковы приоритеты обработки и какие мероприятия, направленные на снижение риска, необходимо предпринять. На практике данный подход носит итеративный характер.
Технологии оценки риска, описанные в этом документе, применяются в следующих случаях:
- когда необходимо принять решение с учетом неопределенности;
- в рамках решения, в котором необходимо сравнить/оптимизировать ряд вариантов;
- когда требуется большее понимание существующих рисков или конкретного риска;
- как часть любого процесса принятия решений об обработке риска.
Технология оценки риска зависит от сложности ситуации, ее новизны, от уровня имеющихся и применимых знаний и понимания:
1) в простейшем случае, когда в ситуации нет ничего нового или необычного, риск хорошо понимается, без каких-либо существенных последствий или с незначительными последствиями для причастных сторон; действия, скорее всего, будут выполняться в соответствии с установленными правилами и процедурами и предыдущими оценками риска;
2) для совсем новых, комплексных или сложных ситуаций, где существует высокая неопределенность и малый опыт, традиционные технологии оценки могут не дать требуемого результата. Это также относится к обстоятельствам, когда причастные стороны придерживаются сильно расходящихся взглядов. В этих случаях используется несколько технологий оценки с учетом организационных и общественных ценностей, а также мнений причастных сторон.
Технологии, описанные в данном стандарте, наиболее применимы в ситуациях между этими двумя крайностями, при которых сложность умеренная и есть некоторая информация, на которой основана оценка.
5.2 Преимущества использования технологий оценки риска
Технологии, описанные в данном стандарте, обеспечивают средства для лучшего понимания неопределенности и ее последствий для принятия решений. Когда соответствующие технологии применяются эффективно, они могут предоставить ряд практических преимуществ для организации, включая помощь в:
- определении реалистичных стратегических и оперативных целей;
- определении (или пересмотре) четких и логических приоритетов;
- определении критериев риска организации, таких как толерантность к риску, риск-аппетит или допустимая рисковая нагрузка;
- выявлении и понимании риска, включая риск, который может иметь экстремальные последствия;
- понимании того, какие неопределенности имеют наибольшее значение для достижения целей организации, и обоснования того, что следует делать с ними;
- более успешном использовании возможностей;
- демонстрации того, что нормативные требования выполнены.
Использование соответствующих технологий обеспечивает:
- структурирование информации для поддержки решений и действий, в которых существует неопределенность;
- ясность в отношении последствий предположений о достижении целей;
- четкое определение факторов, которые способствуют реализации риска, и понимание их существенности;
- распространение информации о риске и его последствиях;
- способность сравнивать несколько вариантов, систем, технологий, подходов и т.д. в тех случаях, где существует множественная неопределенность вокруг каждого варианта;
- способность более эффективно учиться на инцидентах (результатах расследования инцидентов), что может быть использовано для улучшения качества управления рисками;
- подходы к оценке эффекта от обработки риска, включая любые изменения характера или величины риска;
- эффективные и действенные меры по обработке риска;
- совершенствование принятия решений во всей организации.
6 Выполнение оценки рисков
6.1 Планирование оценки
6.1.1 Определение цели и границ применения
Определение цели оценки рисков должно включать определение решений или действий, к которым будут применены результаты оценки, лиц, принимающих решения, причастных сторон, а также сроков и характера требуемых результатов (например, требуется ли качественная или количественная информация).
Должна быть определена область применения оценки рисков, описано, что включено и что исключено из оценки. Любые условия, допущения, ограничения или необходимые ресурсы, относящиеся к оценочной деятельности, также должны быть указаны.
6.1.2 Понимание области применения
Лица, проводящие оценку, должны знать о более широком круге условий, в которых будут приниматься решения и действия, основанные на их оценке. Это включает внутренние и внешние обстоятельства, которые вносят вклад в среду организации, а также более широкие социальные аспекты и аспекты, связанные с окружающей средой. Любое заявление, имеющее отношение к среде и к проводимой оценке, должно быть проанализировано и проверено, чтобы убедиться, что оно является актуальным и целесообразным. Понимание расширенной картины особенно важно в задачах повышенной сложности.
6.1.3 Взаимодействие с причастными сторонами
Необходимо определить причастные стороны и тех, кто может привнести полезные знания или точку зрения, учитывать их позицию и рассмотреть перспективы их привлечения независимо от того, включены ли они в число участников оценки.
Полноценное участие причастных сторон помогает обеспечить достоверность и применимость информации, на которой основана оценка риска, добиться понимания причастными сторонами причин принимаемых решений.
Привлечение причастных сторон может:
- дать представление об информации, которая позволяет понять обстоятельства оценки;
- объединить различные области знаний и опыта для более эффективного выявления и понимания риска;
- предоставить соответствующий опыт для использования технологий оценки;
- обеспечить понимание и рассмотрение интересов причастных сторон;
- обеспечить вклад в процесс определения того, является ли риск приемлемым, особенно в тех случаях, когда есть влияние на причастные стороны;
- обеспечить соблюдение любых требований в части информирования и консультирования с людьми;
- позволить получать поддержку полученных результатов и решений, возникающих в результате оценки рисков.
Следует определить средства, с помощью которых выходные данные и результаты оценки рисков должны быть надежно, точно и прозрачно переданы соответствующим причастным сторонам.
Технологии получения мнений со стороны причастных сторон и экспертов описаны в приложении Б.1.
6.1.4 Рассмотрение человеческих аспектов
Человеческие, организационные и социальные факторы должны рассматриваться в явном виде и учитываться при необходимости.
Человеческие аспекты связаны с оценкой риска:
- как источник неопределенности;
- через влияние на выбор и применение методов;
- способами интерпретации и использования информации (например, из-за различного восприятия риска).
Результаты деятельности человека (превосходят или не достигают ожиданий) являются источником риска и могут также влиять на эффективность управления. Потенциал отклонения от ожидаемого или предполагаемого поведения следует учитывать при оценке риска. Осмысление результатов деятельности человека часто является сложным процессом, и для выявления и анализа человеческих аспектов риска может потребоваться экспертная консультация.
Человеческие факторы также влияют на выбор и использование методов, особенно в тех случаях, когда необходимо принимать решения или использовать командные подходы. Для минимизации данных воздействий требуется квалифицированное управление процессом. Следует учесть также фактор когнитивных искажений, например групповое мышление и чрезмерная уверенность (в оценках или восприятиях). Экспертное заключение должно основываться на фактах и данных, где это возможно, необходимо прикладывать усилия, направленные на предотвращение или минимизацию когнитивных искажений.
Личные цели и ценности людей могут варьироваться и отличаться от целей организации. Это может привести к различному восприятию уровня риска и различных критериев, по которым люди принимают решения. Организация должна стремиться к общему пониманию риска и учитывать различное восприятие причастных сторон.
Социальные аспекты, в том числе социально-экономическое положение, расовая, этническая принадлежность и культура, тендерные аспекты, социальные отношения и условия проживания и сообщества могут влиять на риск как прямо, так и косвенно. Воздействие может быть долгосрочным и не сразу видимым и может потребовать длительной перспективы планирования.
6.1.5 Рассмотрение критериев для принятия решений
6.1.5.1 Общее
Основа, на которой принимаются решения и определяются дальнейшие действия, зависит от:
- способа анализа риска;
- результатов, которые необходимо получить от анализа;
- наиболее подходящих для использования технологий оценки.
Поэтому критерии, которые необходимо принимать во внимание при принятии решений, включая критерии риска, должны быть проанализированы до проведения оценки. Критерии могут быть качественными или количественными. В некоторых случаях не могут быть использованы явные критерии, и причастные стороны используют свое суждение для ответа на результаты анализа.
При рассмотрении критериев необходимо учитывать:
- как будет принято решение о приемлемости риска;
- как будет определяться относительная значимость рисков;
- как риск будет приниматься во внимание при выборе между несколькими вариантами в ситуациях, когда каждый вариант связан с несколькими рисками, которые могут иметь положительные или отрицательные последствия, или и то и другое.
6.1.5.2 Критерии, используемые при решении, связанном с принятием риска
Критерии определения характера и степени риска, которые могут быть приняты в отношении поставленной цели, иногда называемые аппетитом к риску (риск-аппетитом), могут быть определены через выбор технологии определения величины риска или параметров, связанных с риском, совместно с установлением ограничения для риска, превышение которого является неприемлемым. Ограничение, установленное для неприемлемого неблагоприятного риска, может зависеть от потенциальных выгод.
Приемлемость риска также может быть определена путем указания приемлемого различия в конкретных показателях эффективности, связанных с целями.
Различные критерии могут быть выбраны в зависимости от типа последствий реализации риска. Например, критерии организации в отношении финансового риска могут отличаться от критериев, определенных для риска, связанного с жизнью человека.
Примеры подходов, используемых при определении того, можно ли принять риск, таковы:
- емкость риска (или емкость принятия риска, risk-bearing capacity, RBC) - это максимальный риск, который организация может принять с учетом своих финансовых и операционных возможностей. RBC обычно рассматривается с точки зрения неблагоприятных последствий, а не риска. Для коммерческой организации емкость риска может быть выражена как максимально возможная емкость, которая может быть обеспечена активами организации, или как крупнейшие финансовые убытки, которые организация способна понести без объявления банкротства. Оцененный RBC должен быть проверен сценариями стресс-тестирования для обеспечения достаточного уровня доверия. Риск-аппетит организации отражает готовность руководства использовать существующую емкость риска;
- SFAIRP и ALARP: критерии, задаваемые на законодательном уровне, используются в ряде стран для принятия решений относительно снижения риска, связанного с безопасностью. Включают в себя гарантии того, что риск получения травмы или заболевания является настолько низким, насколько это практически возможно (ALARP), или демонстрацию того, что существующие меры контроля минимизируют риск, насколько это возможно на практике (SFAIRP) (см. Б.8.2);
- глобальный эквивалент (Globally At Least Equivalent, GALE/GAME): в рамках данного подхода считается допустимым увеличение рисков с неблагоприятными последствиями из определенного источника, если можно доказать, что риски из других источников уменьшились на эквивалентную или большую величину;
- критерии эффективности затрат, такие как цена за сохраненную жизнь или возврат на инвестиции (ROI).
Примечание - ROI = (ожидаемые годовые потери) x (процентное снижение риска, достигнутое за счет мероприятий) - (годовая стоимость обработки риска).
6.1.5.3 Критерии оценки значимости риска
Критерии риска (понятия и связи, на основании которых определяется значимость риска) могут быть выражены в терминах, которые включают любые характеристики и показатели риска, раскрытые в 6.3.5. Этические, культурные, правовые, социальные, репутационные, экологические, договорные, финансовые и другие аспекты также могут иметь значение.
Сравнительная оценка значимости риска по сравнению с другими рисками часто базируется на оценке величины риска и ее сопоставлении со значениями, которые напрямую связаны с границами, установленными в отношении целей организации. Сравнение с данными критериями позволяет информировать организацию о том, на каких рисках нужно сосредоточить управление, исходя из потенциала снижения данных рисков ниже пороговых значений, заданных в отношении целей организации.
Величина риска редко является единственным критерием, относящимся к выбору приоритетов обработки риска или определению того, какие риски наиболее важны с точки зрения их последующего мониторинга. Другими соответствующими факторами могут быть устойчивое развитие (например, концепция тройного критерия) и эластичность, этические и правовые критерии, эффективность управления, максимально возможный ущерб в случае, если контроль отсутствует или неэффективен, затраты на управление или мнения причастных сторон.
Технологии оценки значимости риска описаны в Б.8.
6.1.5.4 Критерии выбора между вариантами
Организация будет сталкиваться со многими решениями, в которых потенциально может быть затронуто несколько целей, зачастую конкурирующих между собой, и необходимо учитывать как потенциальные неблагоприятные последствия, так и потенциальные выгоды. Для принятия решений может потребоваться сопоставление нескольких критериев и поиск компромисса между конкурирующими целями. Необходимо определить критерии, имеющие отношение к принимаемому решению, а также каким образом данные критерии должны быть взвешены или какой компромисс в противном случае должен быть принят и учтен. Данная информация должна быть задокументирована и распространена. При определении критериев следует учитывать возможность того, что затраты и выгоды могут отличаться для разных причастных сторон. Следует также принять решение о том, каким образом будут приняты во внимание различные формы неопределенности.
Технологии, описанные в разделе Б.7, способствуют выбору между вариантами.
6.2 Управление информацией и разработка моделей
6.2.1 Общие положения
До и во время оценки риска необходимо собирать актуальную информацию, которая используется в качестве входных данных для статистического анализа, моделирования или применения технологий, описанных в приложениях А и Б. В некоторых случаях информация может использоваться лицами, принимающими решения, без дальнейшего анализа.
Информация, необходимая в каждом случае, зависит от результатов более раннего сбора информации, цели и объема оценки, технологии или технологий, которые будут использоваться для анализа. Требуется также определить способ сбора, хранения и предоставления информации.
Одновременно с решением о получении результатов оценки риска необходимо принять решение о том, как эти результаты будут получены, как будет организовано их хранение, как они будут актуализироваться и каким образом будут предоставляться причастным сторонам. Также необходимо указывать источники получения информации.
6.2.2 Сбор информации
Информация может быть собрана из таких источников, как обзоры литературы, наблюдения и мнения экспертов. Данные могут быть собраны или получены из измерений, экспериментов, интервью и опросов.
Обычно данные прямо или косвенно представляют собой историю произошедших потерь или выгод. Примеры таких данных включают провалы или успехи проекта, количество полученных жалоб, финансовую прибыль или убытки, последствия для здоровья, травмы и смертельные случаи и т.д. Дополнительная информация также может быть полезна, например причины неудач или успехов, источники жалоб, характер травм и т.д. Данные могут также включать вывод из моделей или результаты других методов анализа.
Необходимо определить следующее:
- источник информации;
- тип (например, качественный, количественный или оба (см. 6.3.5.4));
- уровень (например, стратегический, тактический, оперативный);
- количество и качество необходимых данных;
- методологию сбора.
Когда данные, подлежащие анализу, получаются из выборки, требуемая статистическая достоверность должна быть заранее определена так, чтобы собранных данных было достаточно для анализа. Если статистический анализ не требуется, это также должно быть указано.
Если доступны данные или результаты предыдущих оценок, сначала необходимо установить, было ли какое-либо изменение в параметрах, и если да, то остаются ли предыдущие данные или результаты актуальными.
Достоверность, надежность и ограничения любой информации, которая используется в оценке, должна оцениваться с учетом:
- возраста и актуальности информации;
- источника информации и методов, используемых для ее сбора;
- неопределенностей и пробелов в информации;
- авторитетности источника происхождения информации, наборов данных, алгоритмов и моделей.
6.2.3 Анализ данных
Анализ данных может обеспечить:
- понимание прошлых последствий и их вероятностей для того, чтобы изучить полученный опыт;
- тенденции и закономерности, включая периодичность, которые указывают на то, что может повлиять на будущее;
- корреляции, которые могут дать указания на возможные причинно-следственные отношения для дальнейшей проверки.
Ограничение и неопределенность, связанные с данными, следует выявлять и понимать.
Прошлые данные нельзя считать применимыми в будущем, но они могут дать указание лицам, принимающим решения, о том, что более или менее вероятно в будущем может произойти.
6.2.4 Разработка и применение моделей
Модель является приблизительным представлением реальности. Ее назначение состоит в том, чтобы преобразовать то, что может быть изначально сложной ситуацией, в более простые вещи, которые легче проанализировать. Модель можно использовать, чтобы помочь понять смысл данных и имитировать то, что может произойти на практике при разных условиях. Модель может быть физической, представленной в программном обеспечении или быть набором математических отношений.
Моделирование обычно включает следующие этапы:
- описание проблемы;
- описание цели построения модели и желаемых результатов;
- разработка концептуальной модели решения проблемы;
- создание физического, программного или математического представления концептуальной модели;
- разработка программного обеспечения или других инструментов для анализа поведения модели;
- обработка данных;
- проверка или калибровка модели путем анализа исходов для известных ситуаций;
- формирование выводов по результатам моделирования в отношении проблемы, существующей в реальном мире.
Каждый из этих этапов может включать в себя приближения, допущения и экспертные оценки и (если возможно) они должны быть проверены людьми, которые не связаны с разработчиками. Критические предположения в отношении доступной информации следует пересмотреть и оценить их достоверность.
Для достижения достоверных результатов при использовании моделей необходимо убедиться, что:
- концептуальная модель адекватно отражает оцениваемую ситуацию;
- модель используется для той области применения, для которой она была разработана;
- существует твердое понимание теории, лежащей в основе модели, и любых связанных вычислений;
- выбор параметров и математических представлений концепции является обоснованным;
- существует твердое понимание теории, лежащей в основе расчетов;
- входные данные являются точными и надежными или характер модели учитывает надежность используемых входных данных;
- модель работает по плану без внутренних ошибок или сбоев в работе;
- модель стабильна и не слишком чувствительна к небольшим изменениям в основных входах.
Этого можно достичь:
- проведением анализа чувствительности для проверки того, насколько чувствительна модель к изменениям входных параметров;
- стресс-тестированием модели с конкретными сценариями, часто экстремальными;
- сравнением результатов с прошлыми данными (за исключением тех данных, на которых модель была разработана);
- проверкой того, что полученные результаты являются подобными, когда модель используется разными людьми;
- сопоставление выходов модели с фактическими результатами.
Должна быть сохранена полная документация по модели, теориям и предположениям, на которых она основана, достаточная для проверки модели.
6.2.5 Меры предосторожности при использовании программ для анализа
Программное обеспечение может использоваться для представления и организации данных или для их анализа. Программы для анализа часто предоставляют упрощенный пользовательский интерфейс и быстрый вывод данных, что может приводить к недопустимым результатам, которые незаметны для пользователя. Недействительные результаты могут возникнуть из-за:
- недостатка в алгоритмах, используемых для представления ситуации;
- допущений, сделанных при разработке и использовании модели, лежащей в основе программного обеспечения;
- ошибок ввода данных;
- проблем с преобразованием данных при использовании нового программного обеспечения;
- недостаточной интерпретации результатов.
Коммерческое программное обеспечение часто является черным ящиком (коммерческая тайна) и может содержать любую из этих ошибок.
Новое программное обеспечение должно быть проверено с использованием простой модели с входами, имеющими известный выход, прежде чем перейти к тестированию более сложных моделей. Результаты тестирования должны быть сохранены для использования в будущих версиях обновлений программы или для новых программ анализа данных.
Ошибки в построенной модели можно проверить, увеличивая или уменьшая входные параметры, чтобы определить, изменяются ли выходные параметры, как это от них ожидается. Это может быть применено к каждому из различных входных параметров. Ошибки входных данных часто идентифицируются при изменении входных данных. Этот подход также предоставляет информацию о чувствительности модели к изменениям данных.
Хорошее понимание математики, относящейся к конкретному анализу, позволяет избегать ошибочных выводов. Вероятно, не только указанные выше ошибки, но и выбор конкретной программы может оказаться неприемлемым. Легко отслеживать работу программы и считать, что ответ будет правильным. Необходимо собрать доказательства, чтобы проверить, что результаты являются обоснованными.
6.3 Применение технологий оценки риска
6.3.1 Обзор
Технологии, описанные в приложениях А и Б, используются для рассмотрения риска в процессе принятия решений, в которых существует неопределенность, включая решения о том, следует ли и как снижать риск. Технологии оценки могут использоваться, когда:
- риск идентифицируется;
- определяются источники и факторы риска, уровень воздействия на них;
- исследуется общая эффективность управления и оценивается эффект предлагаемых методов обработки риска;
- исследуются последствия, вероятность и риск;
- анализируются взаимодействия и зависимости.
Эти действия подробно объясняются в следующих разделах стандарта. Факторы, которые следует учитывать при выборе конкретной технологии для выполнения указанных выше действий, описаны в разделе 7.
В целом анализ может быть описательным (например, отчет по обзору литературы, сценарный анализ или описание последствий) или количественным, где данные анализируются для получения числовых значений. В некоторых случаях рейтинговые шкалы могут применяться для сравнения конкретных рисков.
Способ оценки риска и форма вывода должны быть совместимы с какими-либо заданными критериями. Например, количественные критерии требуют применения технологий количественного анализа, которые дают соответствующие результаты. Математические операции следует использовать только в том случае, если позволяют выбранные показатели. В общем случае математические операции не должны использоваться с порядковыми шкалами.
Даже при полном количественном анализе входные значения обычно оцениваются приблизительно. Уровень аккуратности и точности не следует относить к результатам, выходящим за рамки, которые соответствуют применяемым технологиям.
6.3.2 Идентификация риска
Выявленные риски, неопределенности и их последствия детально анализируются при прогнозировании, рассмотрении вариантов или формировании плана действий. Выходные данные могут быть записаны способом, который явно показывает неопределенность, путем перечисления рисков или другими подходящими способами.
Все источники неопределенности как с положительным, так и с отрицательным эффектом могут иметь значение, в зависимости от области применения и объема оценки.
Технологии определения риска обычно используют знания и опыт различных причастных сторон и включают рассмотрение следующих факторов:
- какая неопределенность существует и каковы ее последствия;
- какие обстоятельства или проблемы (материальные или нематериальные) могут иметь потенциальные последствия для будущего;
- какие источники риска существуют или могут развиваться;
- какие средства управления имеются и эффективны ли они;
- что, как, когда, где и почему может повлиять на события и их последствия;
- что происходило в прошлом и как это может разумно повлиять на будущее;
- человеческие аспекты и организационные факторы.
Технологии идентификации риска описываются в Б.2.
В дополнение к офисным технологиям физические обследования могут быть полезны при определении источников риска или ранних признаков наступления возможных последствий.
Независимо от того, какие технологии используются, идентификацию риска необходимо выполнять методически корректно и последовательно, достигая тщательности и эффективности процесса. Риск следует определять как можно раньше, что позволит предпринять необходимые корректирующие действия.
6.3.3 Определение источников и факторов риска
Идентификация источников и факторов риска может:
- способствовать оценке вероятности события или последствий;
- помочь определить методы обработки риска, которые позволят изменить риск;
- помочь в определении показателей раннего предупреждения риска и пороговых значений для их обнаружения;
- определить общие корневые причины, которые могут помочь разработать приоритеты для снижения риска.
Зачастую риск можно контролировать только путем изменения факторов риска. Они влияют на состояние и подверженность риску и могут приводить к нескольким рискам одновременно. В результате факторы риска зачастую нуждаются в большем внимании, чем конкретные риски.
Выбранные технологии определения источников и факторов риска описаны в Б.3.
6.3.4 Исследование эффективности управления рисками
Риск зависит от общей эффективности применямых методов управления риском. Необходимо учитывать следующие аспекты:
- как действуют методы управления на изменение самого риска;
- исполняются ли методы управления на практике, способны ли они работать по назначению и достигают ли ожидаемых результатов;
- имеются ли недостатки в дизайне методов управления или их практическом применении;
- есть ли неучтенные элементы в применямых методах управления риском;
- является ли функция управления самостоятельной или должна действовать совместно с другими для эффективной работы;
- имеются ли факторы, условия, уязвимости или обстоятельства, которые могут уменьшить или исключить эффективность методов управления, включая ошибки общего характера;
- не создают ли сами методы управления дополнительные риски.
Следует проводить различие между методами управления риском, которые изменяют вероятность, последствия или и то и другое, и методами управления, которые изменяют, как тяжесть риска распределяется между причастными сторонами. Например, страхование и другие формы финансирования рисков напрямую не влияют на вероятность события или его последствия, но могут сделать некоторые из последствий более приемлемыми для конкретного причастного лица, уменьшив их степень или сглаживая денежный поток.
Любые допущения, сделанные во время анализа риска об эффективности и надежности методов управления, должны быть проверены, когда это возможно, с акцентом на те методы управления или их комбинации, которые предположительно имеют наиболее значимый изменяющий эффект. При этом нужно учитывать информацию, полученную в результате регулярного мониторинга и пересмотра методов управления.
Технологии, используемые в основном для анализа методов управления, описаны в Б.4.
6.3.5 Понимание последствий, вероятности и риска
6.3.5.1 Анализ типа, величины и продолжительности последствий
Анализ последствий может варьироваться от описания результатов до подробного количественного моделирования или анализа уязвимости. В некоторых случаях следует также учитывать косвенные последствия, когда одно последствие приводит к другому.
Риск может быть связан с рядом различных типов последствий, влияющих на различные цели. Виды последствий, подлежащие анализу, должны быть определены при формировании области применения оценки. Утверждения в отношении области применения также должны быть проверены, чтобы убедиться, что анализируемые последствия согласуются с целью оценки и принимаемым решением. Они также могут быть пересмотрены во время оценки, при появлении дополнительной информации.
Величина последствий может быть выражена количественно как точечное значение или как распределение. Распределение подходит для случаев, когда:
- размер последствия неизвестен;
- последствия варьируются в зависимости от обстоятельств;
- параметры, влияющие на последствия, различаются.
Масштабы последствий могут также варьироваться в зависимости от других параметров. Например, последствия воздействия химического вещества на здоровье в целом зависят от дозы, которой подвергся человек или иные живые существа. В этом примере риск обычно представлен кривой зависимости от дозы, которая отображает вероятность определенного конечного последствия (например, смерти) как функцию зависимости от единоразовой или накопленной дозы.
Последствия могут также со временем меняться. Например, неблагоприятные последствия отказа могут стать более серьезными, чем дольше длительность отказа. Для учета этого в оценке риска необходимо выбрать подходящие технологии.
Рассмотрение полного графика распределения последствий риска дает исчерпывающую информацию. Также можно представить результаты распределения в виде какого-либо точечного значения, например наиболее ожидаемого значения (мода или среднее), вариации (дисперсия) или процентиля в хвосте распределения (например, 95 %) или какой-либо другой частью распределения (процентилем).
Для любой технологии выбора точечного значения или значений для представления результатов распределения последствий риска существуют следующие предположения и неопределенности:
- форма распределения, выбранная для представления данных (например, непрерывная или дискретная, нормальная или сильно перекошенная);
- наиболее подходящий способ представления этого распределения в качестве точечного значения;
- размер точечного значения с учетом присущей неопределенности исходных данных, на основе которых было построено распределение.
Не следует полагать, что данные, относящиеся к риску, обязательно следуют нормальному распространению.
В некоторых случаях информацию можно обобщить как качественный или полуколичественный рейтинг, который можно использовать при сравнении рисков.
6.3.5.2 Совокупный риск
Иногда последствия возникают из-за воздействия нескольких событий или факторов риска или со временем развиваются, например, воздействие на окружающую среду или здоровье человека от действия биологических, химических, физических и психосоциальных факторов риска. При группировке таких рисков следует учитывать возможность синергического эффекта, а также влияние продолжительности и степени воздействия данных рисков. Следует также рассмотреть возможность отсроченных эффектов.
6.3.5.3 Анализ вероятности
Вероятность может относиться к вероятности события или к вероятности определенного последствия. Параметр, к которому применяется значение вероятности, должен быть четко сформулирован, также четко необходимо определить событие, вероятность которого оценивается.
Вероятность может быть описана различными способами, включая функцию распределения вероятностей, плотность распределения вероятностей, как ожидаемая частота и описательными терминами (например, "высокая вероятность"). Где это применимо, параметры "воздействия и продолжительности" включены в анализ вероятности.
В случаях, если значение процента используется в качестве меры вероятности, следует указать характер отношения, к которому применяется процент.
ПРИМЕР 1 - Утверждение о том, что вероятность того, что поставщик не сможет выполнить поставку для целей проекта, составляет 5 %, является неопределенным как по отношению к срокам, так и ко всей популяции. Также неясно, относится ли значение 5 % к количеству заказов или это 5 % поставщиков. Более явным утверждением будет: "вероятность того, что один или несколько поставщиков, которые не смогут предоставить требуемые товары или услуги для проекта в течение срока действия этого проекта, составляет 5 % по всем заказам".
Чтобы свести к минимуму неправильное толкование при определении вероятности, как в качественном, так и в количественном отношении, период времени и популяция должны быть четко определены и соответствовать периметру конкретной оценки.
ПРИМЕР 2 - Вероятность того, что один или несколько поставщиков не смогут предоставить требуемые товары или услуги для реализуемых проектов в течение следующих 2 месяцев, составит 1 % от всех заказов, тогда как в течение 6 месяцев может произойти сбой в поставке по 3 % от всех заказов.
Существует множество возможных предубеждений, которые могут влиять на оценки вероятности. Кроме того, интерпретация оценки вероятности может варьироваться в зависимости от области применения, в которой выполняется оценка. Следует проявлять осторожность, чтобы понять возможное влияние индивидуальных (когнитивных) и культурных предубеждений.
6.3.5.4 Разработка мероприятий по управлению рисками
В некоторых ситуациях полезно определять уровень риска как некоторую комбинацию величины возможных последствий и вероятности этих последствий. Уровень риска может быть задан качественным, полуколичественным или количественным образом.
Качественные подходы обычно основаны на описательных (номинальных) или ранговых (порядковых) шкалах для последствий и вероятностей.
Полуколичественные подходы включают:
- один параметр (обычно вероятность) выражен количественно, а другой описан или выражен в качестве рейтинговой шкалы;
- шкалы делятся на дискретные интервалы, пределы которых выражены количественно. Шкалы подчиняются нормальному логарифмическому распределению и подстраиваются под исходные данные;
- числовые идентификаторы накладываются на шкалы, значения которых описаны качественно.
Использование полуколичественных шкал может привести к неверным истолкованиям, если база для каких-либо расчетов не будет объясняться тщательно. Поэтому полуколичественные подходы должны быть проверены и использоваться с осторожностью.
Количественные подходы используют для измерений последствий и вероятностей, которые выражаются в числовых (количественных) шкалах, в виде диапазонов или распределений. В тех случаях, когда риск измеряется с помощью количественного подхода, необходимо учитывать размерность значений и определить единицы измерения для использования в оценке.
Качественные и полуколичественные технологии могут использоваться только для сравнения рисков с другими рисками, измеренными таким же образом, или с критериями, определенными на тех же условиях. Они не могут использоваться для объединения или агрегирования рисков, и их очень сложно использовать в ситуациях, когда есть как положительные, так и отрицательные последствия или когда между рисками должна быть взаимоувязка.
Когда количественные значения по последствию и его вероятности комбинируются, становится возможным определение величины риска, в некоторых случаях для этого рассчитывается математическое ожидание. Такой подход может не отражать истинную важность риска, поскольку в этом случае теряется часть информации. В частности, на практике теряется информация о менее вероятных последствиях риска, которые могут быть важны для его понимания. Это также не позволяет провести различия между рисками с высоким последствием и низкой вероятностью и рисками с низкими последствиями, которые происходят часто.
Примеры количественных показателей величины риска включают:
- ожидаемую частоту возникновения определенного последствия, например количество дорожно-транспортных происшествий на тысячу километров пути в заданном регионе;
- ожидаемое время между событиями, представляющими интерес, такими как среднее время выполнения операции;
- вероятность достижения указанного значения в течение определенного периода воздействия (релевантно, когда последствия накапливаются в течение периода воздействия), например вероятность заражения раком в течение жизни в результате воздействия определенной дозы химического вещества;
- ожидаемое значение, например ожидаемая доходность или финансовая прибыль за время инвестиций, или ожидаемые расходы на общественное здравоохранение по инвалидности с учетом года жизни на миллион человек в год;
- статистику, представляющую собой форму распределения последствий, таких как дисперсия или волатильность доходности инвестиций;
- значение выше или ниже определенного процентиля в распределении последствий, например прибыль проекта, которая может быть достигнута с вероятностью 90 %, или стоимость под риском (VaR) портфеля, в котором оцениваются убытки, которые могут возникнуть в портфеле за определенный период времени с определенной вероятностью;
- крайнее значение, связанное с распределением последствий, например ожидаемые максимальные последствия.
Метрики, связанные с последствиями, такие как максимально вероятная потеря или вероятная максимальная потеря, в основном используются, когда трудно определить, какие средства управления риском могут отказать, а также в условиях недостаточности данных, на которых основываются оценки вероятности. Риск не всегда может быть адекватно описан или оценен как одно значение, представляющее вероятность конкретного последствия. Примерами таких случаев являются ситуации, в которых:
- последствия лучше всего выражаются через вероятностную функцию распределения последствий;
- событие имеет несколько разных причин и приводит к целому ряду результатов с различными последствиями;
- последствия нарастают кумулятивно под непрерывным воздействием источников риска;
- источники риска (такие как системные проблемы) идентифицируются, но при этом сложно определить природу и/или вероятности последствий, которые могут возникнуть (в этом случае оценка воздействия риска с точки зрения вероятности и последствий становится невозможной).
Когда риск, оцененный через распределение последствий, суммируется в качестве единого значения, большая часть информации обычно теряется. В частности, практика измерения риска как средневзвешенного значения последствий (т.е. расчет математического ожидания) отражает средние последствия риска, при этом менее вероятные последствия также должны быть в фокусе внимания при оценке риска.
Величина риска зависит от предположений о наличии и эффективности соответствующих мер управления рисками. Такие термины, как присущий или общий риск (в ситуации, когда существующие меры управления риском не срабатывают) и остаточный или чистый риск для описания уровня риска, когда предполагается, что методы управления будут применяться в соответствии с их назначением и практикой применения. Однако на практике трудно однозначно определить данные меры, и поэтому целесообразно четко указывать допущения, связанные с управлением риском.
Когда вы сообщаете о величине риска, оцененной как качественно, так и количественно, должны быть указаны неопределенности, связанные с допущениями и с входными и выходными параметрами оценки.
6.3.5.5 Агрегирование мер по управлению риском
В некоторых случаях (например, при распределении капитала) может быть полезным объединить стоимость нескольких рисков для получения единого значения. Это можно делать при условии, что риски характеризуются единым последствием и измеряются в одних и тех же единицах, например в деньгах, тогда риски могут быть объединены. То есть их можно комбинировать только тогда, когда последствия и вероятность указаны количественно, а данные являются соизмеримыми и корректными. В некоторых ситуациях меру полезности можно использовать в качестве единой базы для количественной оценки и объединения последствий, которые изначально оценены в разных единицах измерения.
При расчете единого консолидированного значения риска для набора более сложных рисков теряется информация о специфике данных риска. Кроме того, если не проявлять особой осторожности, консолидированное значение может быть неточным и потенциально может вводить в заблуждение. Все технологии агрегирования рисков для одного значения имеют основополагающие предположения, которые следует понимать до их использования. Данные должны быть проанализированы для поиска корреляций и зависимостей, которые влияют на объединение рисков. Технологии моделирования, используемые для получения совокупного уровня риска, должны поддерживаться с помощью анализа сценариев и стресс-тестирования.
В тех случаях, когда модели включают расчеты нескольких распределений, они должны включать соответствующие корреляции между данными распределениями. Если корреляция не будет учтена должным образом, результаты будут неточными и могут в значительной степени ввести в заблуждение. Консолидация рисков путем их простого сложения не является надежной основой для принятия решений и может привести к нежелательным результатам. Моделирование методом Монте-Карло может использоваться для сочетания распределений (см. Б.5.10).
Качественные или полуколичественные показатели риска не могут быть непосредственно агрегированы. В равной степени могут быть сделаны только общие утверждения об относительной эффективности управления на основе качественных или полуколичественных показателей изменений уровня риска.
Сопоставимые данные о различных рисках могут быть объединены различными способами для оказания помощи лицам, принимающим решения. В тех случаях, когда количественные измерения недоступны, возможно проведение качественного агрегирования, основанного на экспертном заключении, с учетом более подробной информации о рисках. Сделанные предположения и информация, используемая для проведения качественной агрегации риска, должны быть четко сформулированы.
Подраздел Б.5 описывает технологии, направленные на понимание последствий, вероятности и риска.
6.3.5.6 Социальный риск
Когда население подвергается риску, простая агрегация риска путем умножения количества населения, подвергающегося воздействию, на индивидуальный уровень риска, в большинстве случаев не отражает адекватных последствий. Например, риск летального исхода для одного индивидуума от реализации такого события, как прорыв плотины, скорее всего, придется рассматривать иначе, чем тот же риск для группы людей.
Социальный риск обычно выражается и оценивается с точки зрения взаимосвязи между частотой возникновения последствий (F) и числом людей, подверженных последствиям (N) (см. диаграммы F-N в Б.8.3).
6.3.6 Анализ взаимосвязей и взаимозависимостей
Как правило, существует множество взаимосвязей и взаимозависимостей между рисками. Например, множественные последствия могут возникать по одной причине или конкретное последствие может иметь несколько причин. Возникновение одних рисков может сделать появление других рисков более или менее вероятным, и эти причинно-следственные связи могут образовывать каскады или циклы.
Для получения более надежных оценок риска в случаях, когда причинно-следственные связи между рисками значительны, может быть полезно создать причинно-следственную модель, которая будет объединять риски по определенной форме.
Для выявления взаимосвязей можно использовать сведения о рисках, такие как общие причины или факторы риска, или общие последствия.
Взаимосвязи между рисками могут иметь различное влияние на принимаемые решения, например повышенное внимание может быть приковано к деятельности, которая охватывает несколько связанных между собой рисков или повышает привлекательность одного варианта развития событий над другим. Риски могут быть восприимчивы к обычным методам обработки риска или могут быть ситуации, при которых снижение одного риска может иметь положительные или отрицательные последствия где-то еще. Методы обработки риска часто могут быть консолидированы таким образом, чтобы требуемая работа значительно сокращалась, а ресурсы можно было более эффективно сбалансировать в рамках портфеля работ. Скоординированный план обработки риска должен учитывать эти факторы, а не предполагать, что каждый риск следует рассматривать независимо.
В подразделе Б.6 описаны технологии оценки взаимосвязей и взаимозависимостей.
6.3.7 Неопределенность и анализ чувствительности
Те, кто анализирует риск, должны понимать неопределенность в рамах анализа и оценивать последствия для достоверности результатов. Неопределенность и ее последствия всегда должны сообщаться лицам, принимающим решения.
Неопределенность результатов анализа может возникнуть из-за того, что:
- существует изменчивость в самой рассматриваемой системе;
- данные берутся из ненадежного источника, являются неполными или недостаточными, например, когда тип собранных данных или методы сбора требуют изменений;
- возможна двусмысленность, например, когда качественное описание зафиксировано и непонятно;
- метод анализа не позволяет адекватно учесть сложность системы;
- существует высокая зависимость от экспертного мнения или суждения людей;
- необходимые данные могут отсутствовать или организация может не собирать необходимые данные;
- данные из прошлого могут не служить надежной основой для прогнозирования будущего, поскольку что-то в области применения или обстоятельствах могло измениться;
- в сделанных предположениях имеются неопределенности или приближения.
Когда во время оценки обнаруживается недостаток достоверных данных, дополнительные данные должны быть собраны, если это практически осуществимо. Это может включать в себя работу по внедрению новых механизмов мониторинга. В качестве альтернативы процесс анализа может быть скорректирован с учетом ограниченности данных.
Анализ чувствительности может быть проведен для оценки размера степени неопределенности исходных данных или предположений, лежащих в основе анализа. Анализ чувствительности позволяет определить относительное изменение результатов, вызванных изменениями отдельных входных параметров. Он применяется для определения данных, которые должны быть точными, и тех, которые менее чувствительны и, следовательно, оказывают меньшее влияние на общую точность. Параметры, чувствительные к анализу, и степень их чувствительности следует указывать там, где это необходимо.
Параметры, которые имеют решающее значение для оценки и которые должны быть изменены, должны быть выявлены в рамках постоянного мониторинга, чтобы была возможность обновить оценку риска и, при необходимости, пересмотреть решения.
6.3.8 Проверка и подтверждение результатов
Там, где возможно на практике, результаты анализа должны быть проверены и подтверждены. Проверка включает оценку правильности выполнения анализа. Подтверждение включает проверку того, что правильно проведенный анализ позволил достичь поставленных целей. В некоторых ситуациях для этих целей требуется независимое подтверждение.
Подтверждение может включать:
- проверку того, что сфера охвата анализа подходит для заявленных целей;
- рассмотрение всех критических допущений, чтобы убедиться, что они заслуживают доверия в свете имеющейся информации;
- проверку использования соответствующих технологий, моделей и данных;
- использование нескольких методов, приближенный анализ и анализ чувствительности для тестирования и проверки выводов.
Проверка может включать:
- проверку правильности математических манипуляций и расчетов;
- проверку того, что результаты нечувствительны к способу отображения данных, или результатов или их представления;
- сравнение результатов с прошлым опытом, при наличии соответствующих данных, или сопоставление с фактическими значениями после их получения;
- определение того, являются ли результаты чувствительными к способу отображения или представления данных или результатов и определения входных параметров, которые оказывают существенное влияние на результаты оценки;
- сравнение результатов с прошлым или последующим опытом, включая получение обратной связи с течением времени.
6.4 Мониторинг и пересмотр
Можно использовать мониторинг для того, чтобы:
- сравнить фактические результаты с результатами, полученными при оценке риска, и, следовательно, улучшать будущие оценки;
- искать предшественников и ранние индикаторы потенциальных последствий, которые были определены в результате оценки;
- собирать данные, необходимые для глубокого понимания риска;
- сканировать новые риски и неожиданные изменения, которые могут указывать на необходимость обновления оценки.
Если по результатам анализа чувствительности выявлены параметры, имеющие особое значение для результатов анализа, их также следует учитывать в рамках мониторинга.
Оценки должны периодически пересматриваться, чтобы можно было определить, произошли ли какие-либо изменения, включая изменения в области применения оценки или в предположениях, и появилась ли новая информация или новые технологии оценки.
6.5 Применение результатов для поддержки решений
6.5.1 Обзор
Результаты анализа рисков являются вкладом в принимаемые решения или действия, которые необходимо предпринять. Факторы, которые следует учитывать при принятии решений, и некоторые специфические критерии должны определяться как часть процедуры определения области применения для целей оценки (см. 6.1.5).
Можно различать два типа решений:
- решение, которое предполагает сравнение вариантов, в каждом из которых есть неопределенность (например, какой из нескольких возможностей следует придерживаться);
- решение о том, следует ли и каким образом снижать риск.
6.5.2 Решения, предусматривающие выбор между вариантами
Выбор между вариантами обычно включает в себя взвешивание потенциальных преимуществ и недостатков каждого отдельного варианта с учетом:
- неопределенности, связанной с потенциальными исходами каждого варианта и оценкой затрат и выгод;
- потенциальных событий, которые могут повлиять на результаты;
- риск-аппетита организации;
- различных взглядов и убеждений причастных сторон;
- различных величин, которые вовлеченные стороны определяют для себя в качестве затрат и выгод;
- компромиссов, которые могут требовать нелогичного выбора между конкурирующими целями.
Такой тип решения часто делается с использованием экспертного заключения на основе понимания результатов анализа имеющихся вариантов и рисков, связанных с каждым из них.
Технологии, которые помогают в сравнении вариантов, описаны в Б.7.
6.5.3 Решения о рисках и обработке риска
Информацию об идентификации и анализе рисков можно применять при формировании выводов о том, следует ли принимать риск, а также для сравнения значимости риска с точки зрения влияния риска на цели с границами эффективности деятельности организации. Это дает возможность принимать решения о приемлемости риска или необходимости воздействия на него, а также приоритетов данного воздействия.
Приоритеты для воздействия, мониторинга или более подробного анализа риска часто основаны на величине риска, получаемой путем объединения репрезентативного последствия риска и его вероятности, и отображения результата с использованием матрицы вероятностей и последствий (см. Б.9.3). Этот метод, однако, ограничен теми рисками, для которых может быть определена только одна пара вероятности и последствий (см. 6.3.5.4). К факторам, отличным от величины риска, которые могут быть приняты во внимание при определении приоритетов, относятся:
- другие меры, связанные с таким риском, как, например, максимальные или ожидаемые последствия или эффективность управления;
- мнения и представления причастных сторон;
- стоимость и практическая ценность дальнейшей обработки риска по сравнению с уровнем его снижения;
- взаимодействие между рисками, включая результаты воздействия на другие риски.
Некоторые технологии оценки значимости риска рассмотрены в Б.8.
После того, как риски были оценены и было принято решение об обработке рисков, процесс оценки риска может быть повторен, чтобы убедиться, что предлагаемые технологии воздействия не вызвали дополнительных неблагоприятных рисков и что риск теперь находится в рамках риск-аппетита организации.
6.6 Документирование, отчетность и передача информации
Результаты оценки риска и применяемая методология должны быть задокументированы, также необходимо принять решение о том, какая информация должна быть сообщена и кому.
Целью документирования является:
- передача информации о рисках лицам, принимающим решения, и другим причастным сторонам, включая регулирующие органы;
- предоставление документальных свидетельств и обоснования принимаемых решений;
- сохранение результатов оценки для будущего использования и упоминаний;
- отслеживание эффективности и тенденций;
- доступность проверки сделанной оценки;
- оставить аудиторский след.
Из этого следует, что любая документация или записи должны быть в форме, которая может быть понята теми, кто их прочитает, но при этом содержать необходимую техническую глубину для проверки и достаточную детализацию для применения результатов оценки в будущем.
Предоставляемая информация должна быть достаточной для того, чтобы можно было проанализировать и подтвердить как сам процесс оценки, так и его результаты. Предположения, ограничения, связанные с исходными данными или методами, а также причины любых сделанных рекомендаций должны быть четко описаны.
Риск должен выражаться в понятных терминах, а единицы, в которых выполняется количественная оценка, должны быть ясными и правильными. Стороны, предоставляющие результаты, должны дать оценку их точности и полноте. Неопределенности должны быть надлежащим образом раскрыты, чтобы не создавалось впечатление, что уровень неопределенности в отчете нереально высокий.
Технологии представления отчетности о риске описаны в Б.9.
7 Выбор технологий оценки рисков
7.1 Общие сведения
В этом разделе описаны факторы, которые следует учитывать при выборе технологии или технологий оценки риска на практике. В приложениях перечисляются и далее объясняются некоторые распространенные технологии. В них описаны характеристики каждой технологии и ее возможные способы применения, а также присущие сильные и слабые стороны.
Многие из технологий, описанных в этом документе, были первоначально разработаны для конкретных отраслей и управления конкретными типами нежелательных последствий. Некоторые из технологий аналогичны друг другу, но используют разные термины, отражающие их независимое развитие для схожих целей в разных секторах. Со временем применение многих технологий расширилось, например, от чисто технических приложений до оценки финансовых или управленческих ситуаций или для рассмотрения как положительных, так и отрицательных результатов. Новые технологии эволюционировали, и старые были адаптированы к новым обстоятельствам. Технологии и их приложения продолжают развиваться, а также существует потенциал для более глубокого понимания риска, используя технологии вне их первоначального применения. Поэтому в приложениях А и Б указываются характеристики технологий, которые могут использоваться для определения диапазона обстоятельств, к которым они могут применяться.
7.2 Выбор технологий
Выбор технологий и способа их использования должен быть обусловлен возможностью адаптации и областью применения, а также предоставлять требуемую информацию для заинтересованных и причастных сторон. В общих чертах количество и тип выбранных технологий должны быть масштабированы с учетом значимости принимаемого решения и учитывать ограничения во времени и других ресурсов, а также альтернативные издержки.
При принятии решения о том, является ли качественная или количественная технология более подходящей, наряду с наличием и достоверностью данных, важным критерием является также форма представления, в которой результаты оценки будут наиболее полезны заинтересованным и причастным сторонам. Для предоставления значимых результатов при использовании количественных технологий обычно требуются данные высокого качества, однако в некоторых случаях, когда данных недостаточно, точность, необходимая для применения количественной технологии, может дать возможность лучше понять риск, хотя результат расчета может быть неопределенным.
Практикуется использование набора технологий, относящихся к конкретному обстоятельству. Возможно, для более полного понимания потребуется рассмотреть несколько технологий. Различные технологии также могут стать применимыми не сразу, а если становится доступно больше исходной информации. При выборе технологии следует учитывать следующие аспекты области их применения:
- цель оценки;
- потребности причастных сторон;
- любые нормативные и контрактные требования;
- условия применения и сценарий;
- значимость решения (например, последствия, если принимается неправильное решение);
- любые заданные критерии принятия решений;
- время, доступное на принятие решения;
- информация, которая доступна или может быть получена;
- сложность ситуации;
- имеющийся опыт или тот, который может быть получен.
Характеристики технологий, относящихся к этим требованиям, перечислены в таблице А.1.
В таблице А.2 приведен перечень технологий, классифицированных в соответствии с этими характеристиками.
По мере увеличения степени неопределенности, сложности и двусмысленности применяемых подходов возрастает необходимость консультироваться с более широкой группой причастных сторон, что оказывает влияние на сочетание выбранных технологий.
Некоторые из технологий, описанных в этом документе, могут применяться на этапах процесса управления рисками согласно ГОСТ Р ИСО 31000 иначе, нежели они используются при оценке риска. Применение технологий в процессе управления рисками по ГОСТ Р ИСО 31000 показано на рисунке А.1.
Приложение Б содержит обзор каждой технологии, ее использования, ее входов и выходов, ее сильных сторон и ограничений. В приложении Б технологии классифицируются в соответствии с их основным применением при оценке риска, а именно:
- технологии выявления мнения причастных сторон и экспертов;
- технологии идентификации;
- анализ источников и доминантных факторов риска;
- технологии анализа средств контроля;
- технологии понимания последствий, вероятности и риска;
- технологии анализа зависимостей и взаимодействий;
- технологии выбора между вариантами;
- технологии оценки значимости риска;
- технологии отчетности и документирования рисков.
Библиография
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 17 декабря 2019 г. N 1405-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2020 г.
Дата введения - 1 марта 2020 г.