Действующий
Выход представляет собой ряд чисел (составных индексов), которые относятся к определенному риску и которые можно сравнить с индексами, разработанными для других рисков в рамках одной и той же системы.
- они допускают учет множественных факторов, которые влияют на уровень риска, в единой численной оценке.
- если процесс (модель) и его результат недостаточно обоснованы, результаты могут быть бессмысленными;
- тот факт, что выход представляет собой числовое значение для риска, может быть неверно истолкован и использован неправильно, например, при последующем анализе затрат/выгод;
- во многих ситуациях, где используются индексы, отсутствует основополагающая модель для определения того, являются ли отдельные шкалы для факторов риска линейными, логарифмическими или иными, и модель для определения того, как факторы должны быть скомбинированы. В этих ситуациях рейтинг по своей сути ненадежен, и валидация по отношению к реальным данным особенно важна;
- использование числовых значений может предполагать уровень точности, который не может быть оправдан.
В этом разделе рассматриваются технологии, используемые для подготовки отчетности и документирования общей информации о рисках. Требования к подробным отчетам приведены в разделе 6.6.
Обычный подход к отчетности и документированию информации о рисках заключается в том, чтобы ввести основную информацию о каждом риске в реестр рисков, например, в виде электронной таблицы или базы данных (см. Б.9.2). Некоторые риски могут потребовать более сложного описания, чем может быть изложено в обычном реестре рисков. Например, описание может потребовать включения нескольких источников риска, приводящих к одному событию, нескольких возможных результатов от одного события или источника, срабатывания эффектов и потенциальных сбоев управления. Диаграмма галстук-бабочка является примером инструмента, который можно использовать для организации и передачи такой информации (см. Б.4.2).
Наиболее распространенный способ предполагает использование матрицы последствий/вероятности (см. Б.9.3). Помимо вероятности, последствий и уровня риска, обозначенных позицией в матрице, в ней также может быть представлена дополнительная информация, такая как характер контролей, степень выполнения мероприятий по обработке риска и т.д., через размер точек, обозначающих риск, или их цвет.
Матрица последствий/вероятности требует, чтобы риск мог быть представлен одной комбинацией последствий и вероятности. Риски, к которым данный подход неприменим, иногда могут быть представлены функцией распределения вероятности или плотности распределения вероятностей (см. Б.9.4).
Реестр рисков объединяет информацию о рисках для информирования лиц, подвергающихся риску, и тех, кто несет ответственность за управление ими. Он может быть сформирован в бумажном виде или в виде базы данных и обычно включает в себя:
Риски обычно перечисляются как отдельные события, но взаимозависимости могут быть отмечены. При записи информации о рисках следует четко определять различия между рисками (потенциальные последствия того, что может произойти), источниками риска (как и почему это может произойти) и неэффективными мерами по управлению ими. Также может быть полезно указать признаки того, что событие может произойти в ближайшее время.
Многие реестры рисков также включают некоторый рейтинг значимости риска, указание того, считается ли риск приемлемым или допустимым, или требуется ли дальнейшая обработка риска и причины этого решения. Если рейтинг значимости применяется к риску, основанному на последствиях и их вероятности, он должен учитывать вероятность того, что меры по управлению риском будут неэффективны. Неэффективным мерам по управлению риском не должен присваиваться уровень риска, как если бы это был отдельный риск.
Риски с положительными последствиями могут быть записаны в том же документе, что и те, где последствия являются отрицательными, или отдельно. Возможности (которые представляют собой обстоятельства или идеи, которые могут быть использованы, а не случайные события) обычно документируются отдельно и анализируются таким образом, чтобы учитывать издержки, выгоды и любые потенциальные негативные последствия. Такой документ иногда называют реестром стоимости и возможностей.
Реестр рисков используется для документирования и отслеживания информации об отдельных рисках и управлении ими. Он может использоваться для передачи информации о рисках причастным сторонам и выделения особо важных рисков. Он может использоваться на корпоративном уровне, уровне подразделения или проекта, но, как правило, наиболее часто используется на операционном уровне, где существует большое количество рисков и мер по управлению и обработке риска, которые необходимо отслеживать. Информация из реестра рисков может быть консолидирована для предоставления информации для высшего руководства.
Реестр рисков может использоваться в качестве основы для отслеживания реализации методов обработки риска, поэтому он может содержать информацию о данных методах и способах их реализации или ссылаться на другие документы или базы данных с этой информацией (в такую информацию могут входить владельцы рисков, действия, владельцы действий, краткие сводки дел, бюджеты и сроки и т.д.). В некоторых ситуациях может быть предусмотрена определенная форма реестра рисков.
Входы в реестр рисков, как правило, являются результатом технологий оценки риска, таких как описанные в разделах Б.1 - Б.4, дополненные отчетами об ошибках.
- информация о рисках объединяется в форму, в которой можно определить и отслеживать требуемые действия;
- информация о различных рисках представлена в сопоставимом формате, который может использоваться для определения приоритетов и к которому относительно легко обращаться для получения информации;
- создание реестра рисков обычно вовлекает в процесс многих людей и повышает общую осведомленность о необходимости управления рисками.
- риски, зафиксированные в реестрах рисков, обычно основаны на событиях, что может затруднить точное описание некоторых форм риска (см. 4.2);
- кажущаяся простота использования может привести к чрезмерной уверенности в информации, поскольку зачастую бывает сложно описывать риски последовательно, а источники риска, риски и недостатки в мерах управления рисками часто путают;
- существует много разных способов описания риска, и выделение приоритетных рисков будет зависеть от способа их описания и уровня дезагрегации проблемы;
- необходимы значительные усилия для поддержания реестра рисков в актуальном состоянии (например, все предлагаемые методы воздействия должны быть указаны в качестве текущих мер по управлению после их внедрения, возникающие риски должны постоянно добавляться, а те, которые больше не существуют, удаляться);