(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
6.5.1 Обзор
Результаты анализа рисков являются вкладом в принимаемые решения или действия, которые необходимо предпринять. Факторы, которые следует учитывать при принятии решений, и некоторые специфические критерии должны определяться как часть процедуры определения области применения для целей оценки (см. 6.1.5).
Можно различать два типа решений:
- решение, которое предполагает сравнение вариантов, в каждом из которых есть неопределенность (например, какой из нескольких возможностей следует придерживаться);
- решение о том, следует ли и каким образом снижать риск.
6.5.2 Решения, предусматривающие выбор между вариантами
Выбор между вариантами обычно включает в себя взвешивание потенциальных преимуществ и недостатков каждого отдельного варианта с учетом:
- неопределенности, связанной с потенциальными исходами каждого варианта и оценкой затрат и выгод;
- потенциальных событий, которые могут повлиять на результаты;
- риск-аппетита организации;
- различных взглядов и убеждений причастных сторон;
- различных величин, которые вовлеченные стороны определяют для себя в качестве затрат и выгод;
- компромиссов, которые могут требовать нелогичного выбора между конкурирующими целями.
Такой тип решения часто делается с использованием экспертного заключения на основе понимания результатов анализа имеющихся вариантов и рисков, связанных с каждым из них.
Технологии, которые помогают в сравнении вариантов, описаны в Б.7.
6.5.3 Решения о рисках и обработке риска
Информацию об идентификации и анализе рисков можно применять при формировании выводов о том, следует ли принимать риск, а также для сравнения значимости риска с точки зрения влияния риска на цели с границами эффективности деятельности организации. Это дает возможность принимать решения о приемлемости риска или необходимости воздействия на него, а также приоритетов данного воздействия.
Приоритеты для воздействия, мониторинга или более подробного анализа риска часто основаны на величине риска, получаемой путем объединения репрезентативного последствия риска и его вероятности, и отображения результата с использованием матрицы вероятностей и последствий (см. Б.9.3). Этот метод, однако, ограничен теми рисками, для которых может быть определена только одна пара вероятности и последствий (см. 6.3.5.4). К факторам, отличным от величины риска, которые могут быть приняты во внимание при определении приоритетов, относятся:
- другие меры, связанные с таким риском, как, например, максимальные или ожидаемые последствия или эффективность управления;
- мнения и представления причастных сторон;
- стоимость и практическая ценность дальнейшей обработки риска по сравнению с уровнем его снижения;
- взаимодействие между рисками, включая результаты воздействия на другие риски.
Некоторые технологии оценки значимости риска рассмотрены в Б.8.
После того, как риски были оценены и было принято решение об обработке рисков, процесс оценки риска может быть повторен, чтобы убедиться, что предлагаемые технологии воздействия не вызвали дополнительных неблагоприятных рисков и что риск теперь находится в рамках риск-аппетита организации.

6.6 Документирование, отчетность и передача информации

Результаты оценки риска и применяемая методология должны быть задокументированы, также необходимо принять решение о том, какая информация должна быть сообщена и кому.
Целью документирования является:
- передача информации о рисках лицам, принимающим решения, и другим причастным сторонам, включая регулирующие органы;
- предоставление документальных свидетельств и обоснования принимаемых решений;
- сохранение результатов оценки для будущего использования и упоминаний;
- отслеживание эффективности и тенденций;
- доступность проверки сделанной оценки;
- оставить аудиторский след.
Из этого следует, что любая документация или записи должны быть в форме, которая может быть понята теми, кто их прочитает, но при этом содержать необходимую техническую глубину для проверки и достаточную детализацию для применения результатов оценки в будущем.
Предоставляемая информация должна быть достаточной для того, чтобы можно было проанализировать и подтвердить как сам процесс оценки, так и его результаты. Предположения, ограничения, связанные с исходными данными или методами, а также причины любых сделанных рекомендаций должны быть четко описаны.
Риск должен выражаться в понятных терминах, а единицы, в которых выполняется количественная оценка, должны быть ясными и правильными. Стороны, предоставляющие результаты, должны дать оценку их точности и полноте. Неопределенности должны быть надлежащим образом раскрыты, чтобы не создавалось впечатление, что уровень неопределенности в отчете нереально высокий.
Технологии представления отчетности о риске описаны в Б.9.

7 Выбор технологий оценки рисков

7.1 Общие сведения

В этом разделе описаны факторы, которые следует учитывать при выборе технологии или технологий оценки риска на практике. В приложениях перечисляются и далее объясняются некоторые распространенные технологии. В них описаны характеристики каждой технологии и ее возможные способы применения, а также присущие сильные и слабые стороны.
Многие из технологий, описанных в этом документе, были первоначально разработаны для конкретных отраслей и управления конкретными типами нежелательных последствий. Некоторые из технологий аналогичны друг другу, но используют разные термины, отражающие их независимое развитие для схожих целей в разных секторах. Со временем применение многих технологий расширилось, например, от чисто технических приложений до оценки финансовых или управленческих ситуаций или для рассмотрения как положительных, так и отрицательных результатов. Новые технологии эволюционировали, и старые были адаптированы к новым обстоятельствам. Технологии и их приложения продолжают развиваться, а также существует потенциал для более глубокого понимания риска, используя технологии вне их первоначального применения. Поэтому в приложениях А и Б указываются характеристики технологий, которые могут использоваться для определения диапазона обстоятельств, к которым они могут применяться.

7.2 Выбор технологий

Выбор технологий и способа их использования должен быть обусловлен возможностью адаптации и областью применения, а также предоставлять требуемую информацию для заинтересованных и причастных сторон. В общих чертах количество и тип выбранных технологий должны быть масштабированы с учетом значимости принимаемого решения и учитывать ограничения во времени и других ресурсов, а также альтернативные издержки.
При принятии решения о том, является ли качественная или количественная технология более подходящей, наряду с наличием и достоверностью данных, важным критерием является также форма представления, в которой результаты оценки будут наиболее полезны заинтересованным и причастным сторонам. Для предоставления значимых результатов при использовании количественных технологий обычно требуются данные высокого качества, однако в некоторых случаях, когда данных недостаточно, точность, необходимая для применения количественной технологии, может дать возможность лучше понять риск, хотя результат расчета может быть неопределенным.
Практикуется использование набора технологий, относящихся к конкретному обстоятельству. Возможно, для более полного понимания потребуется рассмотреть несколько технологий. Различные технологии также могут стать применимыми не сразу, а если становится доступно больше исходной информации. При выборе технологии следует учитывать следующие аспекты области их применения:
- цель оценки;
- потребности причастных сторон;
- любые нормативные и контрактные требования;
- условия применения и сценарий;
- значимость решения (например, последствия, если принимается неправильное решение);