(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
- существует твердое понимание теории, лежащей в основе модели, и любых связанных вычислений;
- выбор параметров и математических представлений концепции является обоснованным;
- существует твердое понимание теории, лежащей в основе расчетов;
- входные данные являются точными и надежными или характер модели учитывает надежность используемых входных данных;
- модель работает по плану без внутренних ошибок или сбоев в работе;
- модель стабильна и не слишком чувствительна к небольшим изменениям в основных входах.
Этого можно достичь:
- проведением анализа чувствительности для проверки того, насколько чувствительна модель к изменениям входных параметров;
- стресс-тестированием модели с конкретными сценариями, часто экстремальными;
- сравнением результатов с прошлыми данными (за исключением тех данных, на которых модель была разработана);
- проверкой того, что полученные результаты являются подобными, когда модель используется разными людьми;
- сопоставление выходов модели с фактическими результатами.
Должна быть сохранена полная документация по модели, теориям и предположениям, на которых она основана, достаточная для проверки модели.
6.2.5 Меры предосторожности при использовании программ для анализа
Программное обеспечение может использоваться для представления и организации данных или для их анализа. Программы для анализа часто предоставляют упрощенный пользовательский интерфейс и быстрый вывод данных, что может приводить к недопустимым результатам, которые незаметны для пользователя. Недействительные результаты могут возникнуть из-за:
- недостатка в алгоритмах, используемых для представления ситуации;
- допущений, сделанных при разработке и использовании модели, лежащей в основе программного обеспечения;
- ошибок ввода данных;
- проблем с преобразованием данных при использовании нового программного обеспечения;
- недостаточной интерпретации результатов.
Коммерческое программное обеспечение часто является черным ящиком (коммерческая тайна) и может содержать любую из этих ошибок.
Новое программное обеспечение должно быть проверено с использованием простой модели с входами, имеющими известный выход, прежде чем перейти к тестированию более сложных моделей. Результаты тестирования должны быть сохранены для использования в будущих версиях обновлений программы или для новых программ анализа данных.
Ошибки в построенной модели можно проверить, увеличивая или уменьшая входные параметры, чтобы определить, изменяются ли выходные параметры, как это от них ожидается. Это может быть применено к каждому из различных входных параметров. Ошибки входных данных часто идентифицируются при изменении входных данных. Этот подход также предоставляет информацию о чувствительности модели к изменениям данных.
Хорошее понимание математики, относящейся к конкретному анализу, позволяет избегать ошибочных выводов. Вероятно, не только указанные выше ошибки, но и выбор конкретной программы может оказаться неприемлемым. Легко отслеживать работу программы и считать, что ответ будет правильным. Необходимо собрать доказательства, чтобы проверить, что результаты являются обоснованными.

6.3 Применение технологий оценки риска

6.3.1 Обзор
Технологии, описанные в приложениях А и Б, используются для рассмотрения риска в процессе принятия решений, в которых существует неопределенность, включая решения о том, следует ли и как снижать риск. Технологии оценки могут использоваться, когда:
- риск идентифицируется;
- определяются источники и факторы риска, уровень воздействия на них;
- исследуется общая эффективность управления и оценивается эффект предлагаемых методов обработки риска;
- исследуются последствия, вероятность и риск;
- анализируются взаимодействия и зависимости.
Эти действия подробно объясняются в следующих разделах стандарта. Факторы, которые следует учитывать при выборе конкретной технологии для выполнения указанных выше действий, описаны в разделе 7.
В целом анализ может быть описательным (например, отчет по обзору литературы, сценарный анализ или описание последствий) или количественным, где данные анализируются для получения числовых значений. В некоторых случаях рейтинговые шкалы могут применяться для сравнения конкретных рисков.
Способ оценки риска и форма вывода должны быть совместимы с какими-либо заданными критериями. Например, количественные критерии требуют применения технологий количественного анализа, которые дают соответствующие результаты. Математические операции следует использовать только в том случае, если позволяют выбранные показатели. В общем случае математические операции не должны использоваться с порядковыми шкалами.
Даже при полном количественном анализе входные значения обычно оцениваются приблизительно. Уровень аккуратности и точности не следует относить к результатам, выходящим за рамки, которые соответствуют применяемым технологиям.
6.3.2 Идентификация риска
Выявленные риски, неопределенности и их последствия детально анализируются при прогнозировании, рассмотрении вариантов или формировании плана действий. Выходные данные могут быть записаны способом, который явно показывает неопределенность, путем перечисления рисков или другими подходящими способами.
Все источники неопределенности как с положительным, так и с отрицательным эффектом могут иметь значение, в зависимости от области применения и объема оценки.
Технологии определения риска обычно используют знания и опыт различных причастных сторон и включают рассмотрение следующих факторов:
- какая неопределенность существует и каковы ее последствия;
- какие обстоятельства или проблемы (материальные или нематериальные) могут иметь потенциальные последствия для будущего;
- какие источники риска существуют или могут развиваться;
- какие средства управления имеются и эффективны ли они;
- что, как, когда, где и почему может повлиять на события и их последствия;
- что происходило в прошлом и как это может разумно повлиять на будущее;
- человеческие аспекты и организационные факторы.
Технологии идентификации риска описываются в Б.2.
В дополнение к офисным технологиям физические обследования могут быть полезны при определении источников риска или ранних признаков наступления возможных последствий.
Независимо от того, какие технологии используются, идентификацию риска необходимо выполнять методически корректно и последовательно, достигая тщательности и эффективности процесса. Риск следует определять как можно раньше, что позволит предпринять необходимые корректирующие действия.