Действующий
- тот факт, что выход представляет собой числовое значение для риска, может быть неверно истолкован и использован неправильно, например, при последующем анализе затрат/выгод;
- во многих ситуациях, где используются индексы, отсутствует основополагающая модель для определения того, являются ли отдельные шкалы для факторов риска линейными, логарифмическими или иными, и модель для определения того, как факторы должны быть скомбинированы. В этих ситуациях рейтинг по своей сути ненадежен, и валидация по отношению к реальным данным особенно важна;
- использование числовых значений может предполагать уровень точности, который не может быть оправдан.
В этом разделе рассматриваются технологии, используемые для подготовки отчетности и документирования общей информации о рисках. Требования к подробным отчетам приведены в разделе 6.6.
Обычный подход к отчетности и документированию информации о рисках заключается в том, чтобы ввести основную информацию о каждом риске в реестр рисков, например, в виде электронной таблицы или базы данных (см. Б.9.2). Некоторые риски могут потребовать более сложного описания, чем может быть изложено в обычном реестре рисков. Например, описание может потребовать включения нескольких источников риска, приводящих к одному событию, нескольких возможных результатов от одного события или источника, срабатывания эффектов и потенциальных сбоев управления. Диаграмма галстук-бабочка является примером инструмента, который можно использовать для организации и передачи такой информации (см. Б.4.2).
Наиболее распространенный способ предполагает использование матрицы последствий/вероятности (см. Б.9.3). Помимо вероятности, последствий и уровня риска, обозначенных позицией в матрице, в ней также может быть представлена дополнительная информация, такая как характер контролей, степень выполнения мероприятий по обработке риска и т.д., через размер точек, обозначающих риск, или их цвет.
Матрица последствий/вероятности требует, чтобы риск мог быть представлен одной комбинацией последствий и вероятности. Риски, к которым данный подход неприменим, иногда могут быть представлены функцией распределения вероятности или плотности распределения вероятностей (см. Б.9.4).
Реестр рисков объединяет информацию о рисках для информирования лиц, подвергающихся риску, и тех, кто несет ответственность за управление ими. Он может быть сформирован в бумажном виде или в виде базы данных и обычно включает в себя:
Риски обычно перечисляются как отдельные события, но взаимозависимости могут быть отмечены. При записи информации о рисках следует четко определять различия между рисками (потенциальные последствия того, что может произойти), источниками риска (как и почему это может произойти) и неэффективными мерами по управлению ими. Также может быть полезно указать признаки того, что событие может произойти в ближайшее время.
Многие реестры рисков также включают некоторый рейтинг значимости риска, указание того, считается ли риск приемлемым или допустимым, или требуется ли дальнейшая обработка риска и причины этого решения. Если рейтинг значимости применяется к риску, основанному на последствиях и их вероятности, он должен учитывать вероятность того, что меры по управлению риском будут неэффективны. Неэффективным мерам по управлению риском не должен присваиваться уровень риска, как если бы это был отдельный риск.
Риски с положительными последствиями могут быть записаны в том же документе, что и те, где последствия являются отрицательными, или отдельно. Возможности (которые представляют собой обстоятельства или идеи, которые могут быть использованы, а не случайные события) обычно документируются отдельно и анализируются таким образом, чтобы учитывать издержки, выгоды и любые потенциальные негативные последствия. Такой документ иногда называют реестром стоимости и возможностей.
Реестр рисков используется для документирования и отслеживания информации об отдельных рисках и управлении ими. Он может использоваться для передачи информации о рисках причастным сторонам и выделения особо важных рисков. Он может использоваться на корпоративном уровне, уровне подразделения или проекта, но, как правило, наиболее часто используется на операционном уровне, где существует большое количество рисков и мер по управлению и обработке риска, которые необходимо отслеживать. Информация из реестра рисков может быть консолидирована для предоставления информации для высшего руководства.
Реестр рисков может использоваться в качестве основы для отслеживания реализации методов обработки риска, поэтому он может содержать информацию о данных методах и способах их реализации или ссылаться на другие документы или базы данных с этой информацией (в такую информацию могут входить владельцы рисков, действия, владельцы действий, краткие сводки дел, бюджеты и сроки и т.д.). В некоторых ситуациях может быть предусмотрена определенная форма реестра рисков.
Входы в реестр рисков, как правило, являются результатом технологий оценки риска, таких как описанные в разделах Б.1 - Б.4, дополненные отчетами об ошибках.
- информация о рисках объединяется в форму, в которой можно определить и отслеживать требуемые действия;
- информация о различных рисках представлена в сопоставимом формате, который может использоваться для определения приоритетов и к которому относительно легко обращаться для получения информации;
- создание реестра рисков обычно вовлекает в процесс многих людей и повышает общую осведомленность о необходимости управления рисками.
- риски, зафиксированные в реестрах рисков, обычно основаны на событиях, что может затруднить точное описание некоторых форм риска (см. 4.2);
- кажущаяся простота использования может привести к чрезмерной уверенности в информации, поскольку зачастую бывает сложно описывать риски последовательно, а источники риска, риски и недостатки в мерах управления рисками часто путают;
- существует много разных способов описания риска, и выделение приоритетных рисков будет зависеть от способа их описания и уровня дезагрегации проблемы;
- необходимы значительные усилия для поддержания реестра рисков в актуальном состоянии (например, все предлагаемые методы воздействия должны быть указаны в качестве текущих мер по управлению после их внедрения, возникающие риски должны постоянно добавляться, а те, которые больше не существуют, удаляться);
- риски, как правило, фиксируются в реестрах рисков по отдельности. Это может затруднить консолидацию информации для разработки общей программы по обработке рисков.
Матрица последствий/вероятности (также называемая матрицей рисков или тепловой картой) представляет собой способ отображения рисков в соответствии с их последствиями и вероятностью и объединения этих характеристик для отображения рейтинга значимости риска.
Для осей матрицы определяются индивидуальные шкалы последствия и вероятности. Шкалы могут иметь любое количество точек: 3-, 4- или 5-точечные шкалы являются наиболее распространенными. Шкалы могут быть качественными, полуколичественными или количественными. Если для определения уровней шкалы используются числовые описания, они должны соответствовать доступным данным и должны быть указаны их значения.
Как правило, чтобы соответствовать данным, каждый последующий уровень на двух шкалах должен быть на порядок больше, чем предыдущий.
Шкала (или шкалы) последствий может изображать положительные или отрицательные последствия. Масштабы должны быть непосредственно связаны с целями организации и должны охватывать диапазон от максимального возможного правдоподобного последствия до минимального потенциально значимого уровня. Частичный пример для неблагоприятных последствий показан на рисунке Б.17.
