Действующий
- обеспечить вклад в процесс определения того, является ли риск приемлемым, особенно в тех случаях, когда есть влияние на причастные стороны;
- позволить получать поддержку полученных результатов и решений, возникающих в результате оценки рисков.
Следует определить средства, с помощью которых выходные данные и результаты оценки рисков должны быть надежно, точно и прозрачно переданы соответствующим причастным сторонам.
Человеческие, организационные и социальные факторы должны рассматриваться в явном виде и учитываться при необходимости.
Результаты деятельности человека (превосходят или не достигают ожиданий) являются источником риска и могут также влиять на эффективность управления. Потенциал отклонения от ожидаемого или предполагаемого поведения следует учитывать при оценке риска. Осмысление результатов деятельности человека часто является сложным процессом, и для выявления и анализа человеческих аспектов риска может потребоваться экспертная консультация.
Человеческие факторы также влияют на выбор и использование методов, особенно в тех случаях, когда необходимо принимать решения или использовать командные подходы. Для минимизации данных воздействий требуется квалифицированное управление процессом. Следует учесть также фактор когнитивных искажений, например групповое мышление и чрезмерная уверенность (в оценках или восприятиях). Экспертное заключение должно основываться на фактах и данных, где это возможно, необходимо прикладывать усилия, направленные на предотвращение или минимизацию когнитивных искажений.
Личные цели и ценности людей могут варьироваться и отличаться от целей организации. Это может привести к различному восприятию уровня риска и различных критериев, по которым люди принимают решения. Организация должна стремиться к общему пониманию риска и учитывать различное восприятие причастных сторон.
Социальные аспекты, в том числе социально-экономическое положение, расовая, этническая принадлежность и культура, гендерные аспекты, социальные отношения и условия проживания и сообщества могут влиять на риск как прямо, так и косвенно. Воздействие может быть долгосрочным и не сразу видимым и может потребовать длительной перспективы планирования.
Поэтому критерии, которые необходимо принимать во внимание при принятии решений, включая критерии риска, должны быть проанализированы до проведения оценки. Критерии могут быть качественными или количественными. В некоторых случаях не могут быть использованы явные критерии, и причастные стороны используют свое суждение для ответа на результаты анализа.
- как риск будет приниматься во внимание при выборе между несколькими вариантами в ситуациях, когда каждый вариант связан с несколькими рисками, которые могут иметь положительные или отрицательные последствия, или и то и другое.
Критерии определения характера и степени риска, которые могут быть приняты в отношении поставленной цели, иногда называемые аппетитом к риску (риск-аппетитом), могут быть определены через выбор технологии определения величины риска или параметров, связанных с риском, совместно с установлением ограничения для риска, превышение которого является неприемлемым. Ограничение, установленное для неприемлемого неблагоприятного риска, может зависеть от потенциальных выгод.
Приемлемость риска также может быть определена путем указания приемлемого различия в конкретных показателях эффективности, связанных с целями.
Различные критерии могут быть выбраны в зависимости от типа последствий реализации риска. Например, критерии организации в отношении финансового риска могут отличаться от критериев, определенных для риска, связанного с жизнью человека.
- емкость риска (или емкость принятия риска, risk-bearing capacity, RBC) - это максимальный риск, который организация может принять с учетом своих финансовых и операционных возможностей. RBC обычно рассматривается с точки зрения неблагоприятных последствий, а не риска. Для коммерческой организации емкость риска может быть выражена как максимально возможная емкость, которая может быть обеспечена активами организации, или как крупнейшие финансовые убытки, которые организация способна понести без объявления банкротства. Оцененный RBC должен быть проверен сценариями стресс-тестирования для обеспечения достаточного уровня доверия. Риск-аппетит организации отражает готовность руководства использовать существующую емкость риска;
- SFAIRP и ALARP: критерии, задаваемые на законодательном уровне, используются в ряде стран для принятия решений относительно снижения риска, связанного с безопасностью. Включают в себя гарантии того, что риск получения травмы или заболевания является настолько низким, насколько это практически возможно (ALARP), или демонстрацию того, что существующие меры контроля минимизируют риск, насколько это возможно на практике (SFAIRP) (см. Б.8.2);
- глобальный эквивалент (Globally At Least Equivalent, GALE/GAME): в рамках данного подхода считается допустимым увеличение рисков с неблагоприятными последствиями из определенного источника, если можно доказать, что риски из других источников уменьшились на эквивалентную или большую величину;
- критерии эффективности затрат, такие как цена за сохраненную жизнь или возврат на инвестиции (ROI).
Примечание - ROI = (ожидаемые годовые потери) x (процентное снижение риска, достигнутое за счет мероприятий) - (годовая стоимость обработки риска).
Критерии риска (понятия и связи, на основании которых определяется значимость риска) могут быть выражены в терминах, которые включают любые характеристики и показатели риска, раскрытые в 6.3.5. Этические, культурные, правовые, социальные, репутационные, экологические, договорные, финансовые и другие аспекты также могут иметь значение.
Сравнительная оценка значимости риска по сравнению с другими рисками часто базируется на оценке величины риска и ее сопоставлении со значениями, которые напрямую связаны с границами, установленными в отношении целей организации. Сравнение с данными критериями позволяет информировать организацию о том, на каких рисках нужно сосредоточить управление, исходя из потенциала снижения данных рисков ниже пороговых значений, заданных в отношении целей организации.
Величина риска редко является единственным критерием, относящимся к выбору приоритетов обработки риска или определению того, какие риски наиболее важны с точки зрения их последующего мониторинга. Другими соответствующими факторами могут быть устойчивое развитие (например, концепция тройного критерия) и эластичность, этические и правовые критерии, эффективность управления, максимально возможный ущерб в случае, если контроль отсутствует или неэффективен, затраты на управление или мнения причастных сторон.
Организация будет сталкиваться со многими решениями, в которых потенциально может быть затронуто несколько целей, зачастую конкурирующих между собой, и необходимо учитывать как потенциальные неблагоприятные последствия, так и потенциальные выгоды. Для принятия решений может потребоваться сопоставление нескольких критериев и поиск компромисса между конкурирующими целями. Необходимо определить критерии, имеющие отношение к принимаемому решению, а также каким образом данные критерии должны быть взвешены или какой компромисс в противном случае должен быть принят и учтен. Данная информация должна быть задокументирована и распространена. При определении критериев следует учитывать возможность того, что затраты и выгоды могут отличаться для разных причастных сторон. Следует также принять решение о том, каким образом будут приняты во внимание различные формы неопределенности.
До и во время оценки риска необходимо собирать актуальную информацию, которая используется в качестве входных данных для статистического анализа, моделирования или применения технологий, описанных в приложениях А и Б. В некоторых случаях информация может использоваться лицами, принимающими решения, без дальнейшего анализа.
Информация, необходимая в каждом случае, зависит от результатов более раннего сбора информации, цели и объема оценки, технологии или технологий, которые будут использоваться для анализа. Требуется также определить способ сбора, хранения и предоставления информации.
Одновременно с решением о получении результатов оценки риска необходимо принять решение о том, как эти результаты будут получены, как будет организовано их хранение, как они будут актуализироваться и каким образом будут предоставляться причастным сторонам. Также необходимо указывать источники получения информации.