(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
- проверку того, что сфера охвата анализа подходит для заявленных целей;
- рассмотрение всех критических допущений, чтобы убедиться, что они заслуживают доверия в свете имеющейся информации;
- проверку использования соответствующих технологий, моделей и данных;
- использование нескольких методов, приближенный анализ и анализ чувствительности для тестирования и проверки выводов.
Проверка может включать:
- проверку правильности математических манипуляций и расчетов;
- проверку того, что результаты нечувствительны к способу отображения данных, или результатов или их представления;
- сравнение результатов с прошлым опытом, при наличии соответствующих данных, или сопоставление с фактическими значениями после их получения;
- определение того, являются ли результаты чувствительными к способу отображения или представления данных или результатов и определения входных параметров, которые оказывают существенное влияние на результаты оценки;
- сравнение результатов с прошлым или последующим опытом, включая получение обратной связи с течением времени.

6.4 Мониторинг и пересмотр

Можно использовать мониторинг для того, чтобы:
- сравнить фактические результаты с результатами, полученными при оценке риска, и, следовательно, улучшать будущие оценки;
- искать предшественников и ранние индикаторы потенциальных последствий, которые были определены в результате оценки;
- собирать данные, необходимые для глубокого понимания риска;
- сканировать новые риски и неожиданные изменения, которые могут указывать на необходимость обновления оценки.
Если по результатам анализа чувствительности выявлены параметры, имеющие особое значение для результатов анализа, их также следует учитывать в рамках мониторинга.
Оценки должны периодически пересматриваться, чтобы можно было определить, произошли ли какие-либо изменения, включая изменения в области применения оценки или в предположениях, и появилась ли новая информация или новые технологии оценки.

6.5 Применение результатов для поддержки решений

6.5.1 Обзор
Результаты анализа рисков являются вкладом в принимаемые решения или действия, которые необходимо предпринять. Факторы, которые следует учитывать при принятии решений, и некоторые специфические критерии должны определяться как часть процедуры определения области применения для целей оценки (см. 6.1.5).
Можно различать два типа решений:
- решение, которое предполагает сравнение вариантов, в каждом из которых есть неопределенность (например, какой из нескольких возможностей следует придерживаться);
- решение о том, следует ли и каким образом снижать риск.
6.5.2 Решения, предусматривающие выбор между вариантами
Выбор между вариантами обычно включает в себя взвешивание потенциальных преимуществ и недостатков каждого отдельного варианта с учетом:
- неопределенности, связанной с потенциальными исходами каждого варианта и оценкой затрат и выгод;
- потенциальных событий, которые могут повлиять на результаты;
- риск-аппетита организации;
- различных взглядов и убеждений причастных сторон;
- различных величин, которые вовлеченные стороны определяют для себя в качестве затрат и выгод;
- компромиссов, которые могут требовать нелогичного выбора между конкурирующими целями.
Такой тип решения часто делается с использованием экспертного заключения на основе понимания результатов анализа имеющихся вариантов и рисков, связанных с каждым из них.
Технологии, которые помогают в сравнении вариантов, описаны в Б.7.
6.5.3 Решения о рисках и обработке риска
Информацию об идентификации и анализе рисков можно применять при формировании выводов о том, следует ли принимать риск, а также для сравнения значимости риска с точки зрения влияния риска на цели с границами эффективности деятельности организации. Это дает возможность принимать решения о приемлемости риска или необходимости воздействия на него, а также приоритетов данного воздействия.
Приоритеты для воздействия, мониторинга или более подробного анализа риска часто основаны на величине риска, получаемой путем объединения репрезентативного последствия риска и его вероятности, и отображения результата с использованием матрицы вероятностей и последствий (см. Б.9.3). Этот метод, однако, ограничен теми рисками, для которых может быть определена только одна пара вероятности и последствий (см. 6.3.5.4). К факторам, отличным от величины риска, которые могут быть приняты во внимание при определении приоритетов, относятся:
- другие меры, связанные с таким риском, как, например, максимальные или ожидаемые последствия или эффективность управления;
- мнения и представления причастных сторон;
- стоимость и практическая ценность дальнейшей обработки риска по сравнению с уровнем его снижения;
- взаимодействие между рисками, включая результаты воздействия на другие риски.
Некоторые технологии оценки значимости риска рассмотрены в Б.8.
После того, как риски были оценены и было принято решение об обработке рисков, процесс оценки риска может быть повторен, чтобы убедиться, что предлагаемые технологии воздействия не вызвали дополнительных неблагоприятных рисков и что риск теперь находится в рамках риск-аппетита организации.

6.6 Документирование, отчетность и передача информации

Результаты оценки риска и применяемая методология должны быть задокументированы, также необходимо принять решение о том, какая информация должна быть сообщена и кому.
Целью документирования является:
- передача информации о рисках лицам, принимающим решения, и другим причастным сторонам, включая регулирующие органы;
- предоставление документальных свидетельств и обоснования принимаемых решений;
- сохранение результатов оценки для будущего использования и упоминаний;
- отслеживание эффективности и тенденций;