(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
Когда во время оценки обнаруживается недостаток достоверных данных, дополнительные данные должны быть собраны, если это практически осуществимо. Это может включать в себя работу по внедрению новых механизмов мониторинга. В качестве альтернативы процесс анализа может быть скорректирован с учетом ограниченности данных.
Анализ чувствительности может быть проведен для оценки размера степени неопределенности исходных данных или предположений, лежащих в основе анализа. Анализ чувствительности позволяет определить относительное изменение результатов, вызванных изменениями отдельных входных параметров. Он применяется для определения данных, которые должны быть точными, и тех, которые менее чувствительны и, следовательно, оказывают меньшее влияние на общую точность. Параметры, чувствительные к анализу, и степень их чувствительности следует указывать там, где это необходимо.
Параметры, которые имеют решающее значение для оценки и которые должны быть изменены, должны быть выявлены в рамках постоянного мониторинга, чтобы была возможность обновить оценку риска и, при необходимости, пересмотреть решения.
6.3.8 Проверка и подтверждение результатов
Там, где возможно на практике, результаты анализа должны быть проверены и подтверждены. Проверка включает оценку правильности выполнения анализа. Подтверждение включает проверку того, что правильно проведенный анализ позволил достичь поставленных целей. В некоторых ситуациях для этих целей требуется независимое подтверждение.
Подтверждение может включать:
- проверку того, что сфера охвата анализа подходит для заявленных целей;
- рассмотрение всех критических допущений, чтобы убедиться, что они заслуживают доверия в свете имеющейся информации;
- проверку использования соответствующих технологий, моделей и данных;
- использование нескольких методов, приближенный анализ и анализ чувствительности для тестирования и проверки выводов.
Проверка может включать:
- проверку правильности математических манипуляций и расчетов;
- проверку того, что результаты нечувствительны к способу отображения данных, или результатов или их представления;
- сравнение результатов с прошлым опытом, при наличии соответствующих данных, или сопоставление с фактическими значениями после их получения;
- определение того, являются ли результаты чувствительными к способу отображения или представления данных или результатов и определения входных параметров, которые оказывают существенное влияние на результаты оценки;
- сравнение результатов с прошлым или последующим опытом, включая получение обратной связи с течением времени.

6.4 Мониторинг и пересмотр

Можно использовать мониторинг для того, чтобы:
- сравнить фактические результаты с результатами, полученными при оценке риска, и, следовательно, улучшать будущие оценки;
- искать предшественников и ранние индикаторы потенциальных последствий, которые были определены в результате оценки;
- собирать данные, необходимые для глубокого понимания риска;
- сканировать новые риски и неожиданные изменения, которые могут указывать на необходимость обновления оценки.
Если по результатам анализа чувствительности выявлены параметры, имеющие особое значение для результатов анализа, их также следует учитывать в рамках мониторинга.
Оценки должны периодически пересматриваться, чтобы можно было определить, произошли ли какие-либо изменения, включая изменения в области применения оценки или в предположениях, и появилась ли новая информация или новые технологии оценки.

6.5 Применение результатов для поддержки решений

6.5.1 Обзор
Результаты анализа рисков являются вкладом в принимаемые решения или действия, которые необходимо предпринять. Факторы, которые следует учитывать при принятии решений, и некоторые специфические критерии должны определяться как часть процедуры определения области применения для целей оценки (см. 6.1.5).
Можно различать два типа решений:
- решение, которое предполагает сравнение вариантов, в каждом из которых есть неопределенность (например, какой из нескольких возможностей следует придерживаться);
- решение о том, следует ли и каким образом снижать риск.
6.5.2 Решения, предусматривающие выбор между вариантами
Выбор между вариантами обычно включает в себя взвешивание потенциальных преимуществ и недостатков каждого отдельного варианта с учетом:
- неопределенности, связанной с потенциальными исходами каждого варианта и оценкой затрат и выгод;
- потенциальных событий, которые могут повлиять на результаты;
- риск-аппетита организации;
- различных взглядов и убеждений причастных сторон;
- различных величин, которые вовлеченные стороны определяют для себя в качестве затрат и выгод;
- компромиссов, которые могут требовать нелогичного выбора между конкурирующими целями.
Такой тип решения часто делается с использованием экспертного заключения на основе понимания результатов анализа имеющихся вариантов и рисков, связанных с каждым из них.
Технологии, которые помогают в сравнении вариантов, описаны в Б.7.
6.5.3 Решения о рисках и обработке риска
Информацию об идентификации и анализе рисков можно применять при формировании выводов о том, следует ли принимать риск, а также для сравнения значимости риска с точки зрения влияния риска на цели с границами эффективности деятельности организации. Это дает возможность принимать решения о приемлемости риска или необходимости воздействия на него, а также приоритетов данного воздействия.
Приоритеты для воздействия, мониторинга или более подробного анализа риска часто основаны на величине риска, получаемой путем объединения репрезентативного последствия риска и его вероятности, и отображения результата с использованием матрицы вероятностей и последствий (см. Б.9.3). Этот метод, однако, ограничен теми рисками, для которых может быть определена только одна пара вероятности и последствий (см. 6.3.5.4). К факторам, отличным от величины риска, которые могут быть приняты во внимание при определении приоритетов, относятся:
- другие меры, связанные с таким риском, как, например, максимальные или ожидаемые последствия или эффективность управления;
- мнения и представления причастных сторон;
- стоимость и практическая ценность дальнейшей обработки риска по сравнению с уровнем его снижения;
- взаимодействие между рисками, включая результаты воздействия на другие риски.
Некоторые технологии оценки значимости риска рассмотрены в Б.8.
После того, как риски были оценены и было принято решение об обработке рисков, процесс оценки риска может быть повторен, чтобы убедиться, что предлагаемые технологии воздействия не вызвали дополнительных неблагоприятных рисков и что риск теперь находится в рамках риск-аппетита организации.

6.6 Документирование, отчетность и передача информации