(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
- неспособность человеческого разума распознавать сложные данные, ситуации с долгосрочными последствиями, судить без предвзятости.
Не вся неопределенность может быть понята, и ее значение может быть трудно или невозможно определить. Однако признание того факта, что неопределенность существует в конкретной области, позволяет внедрять системы раннего предупреждения для выявления изменений и механизмы, которые необходимо использовать для повышения устойчивости к непредвиденным обстоятельствам.

4.2 Характеристики риска

В общем случае риск включает в себя последствия любой из форм неопределенности, описанных в 4.1.
Один из способов описания риска - это формирование набора последствий и их вероятностей, которые могут возникнуть в результате определенных, но изменчивых событий. Они могут иметь несколько причин и привести к нескольким последствиям. Не все риски могут быть описаны в этих условиях. Не всегда существует идентифицируемое событие. Кроме того, источники риска могут включать присущую неопределенность, поведенческие аспекты, быть связаны с организационной структурой и договоренностями. Также последствия могут принимать ряд дискретных значений, быть непрерывными, переменными или быть неизвестными. Они могут быть положительными, отрицательными или и тем и другим. Последствия могут быть не заметны или не оценены вначале, но могут накапливаться с течением времени. Из этого следует, что риск не всегда может быть легко скомбинирован в виде множества событий, их последствий и вероятностей.
Технологии оценки риска направлены на то, чтобы помочь людям понять неопределенность и связанный с ней риск в более широкой, более сложной и разнообразной области применения с целью обеспечения более обоснованных решений и действий.

5 Использование и преимущества технологий оценки риска

5.1 Использование технологий оценки риска

ГОСТ Р ИСО 31000 описывает принципы управления рисками, основы и организационные механизмы, которые позволяют управлять рисками. В нем определен процесс, в рамках которого существует возможность распознавать, понимать и изменять риск в соответствии с критериями, которые устанавливаются в рамках этого же процесса. Технологии оценки риска могут применяться в рамках данного структурированного подхода для определения области применения, среды и критериев, оценки риска, обработки риска, мониторинга и пересмотра, документирования и отчетности, обмена информацией и консультирования. Этот процесс проиллюстрирован на рисунке 1, где также приведены примеры того, где, в рамках процесса, данные техники могут быть применены. В ГОСТ Р ИСО 31000 оценка рисков включает в себя идентификацию рисков, их анализ и использование информации, полученной в результате анализа, для сравнительной оценки риска и формирования выводов относительно их значимости по отношению к целям и показателям эффективности деятельности организации. Этот процесс вносит вклад в принятие решений о том, требуется ли обработка риска, каковы приоритеты обработки и какие мероприятия, направленные на снижение риска, необходимо предпринять. На практике данный подход носит итеративный характер.
Технологии оценки риска, описанные в этом документе, применяются в следующих случаях:
- когда необходимо принять решение с учетом неопределенности;
- в рамках решения, в котором необходимо сравнить/оптимизировать ряд вариантов;
- когда требуется большее понимание существующих рисков или конкретного риска;
- как часть любого процесса принятия решений об обработке риска.
Технология оценки риска зависит от сложности ситуации, ее новизны, от уровня имеющихся и применимых знаний и понимания:
1) в простейшем случае, когда в ситуации нет ничего нового или необычного, риск хорошо понимается, без каких-либо существенных последствий или с незначительными последствиями для причастных сторон; действия, скорее всего, будут выполняться в соответствии с установленными правилами и процедурами и предыдущими оценками риска;
2) для совсем новых, комплексных или сложных ситуаций, где существует высокая неопределенность и малый опыт, традиционные технологии оценки могут не дать требуемого результата. Это также относится к обстоятельствам, когда причастные стороны придерживаются сильно расходящихся взглядов. В этих случаях используется несколько технологий оценки с учетом организационных и общественных ценностей, а также мнений причастных сторон.
Технологии, описанные в данном стандарте, наиболее применимы в ситуациях между этими двумя крайностями, при которых сложность умеренная и есть некоторая информация, на которой основана оценка.

5.2 Преимущества использования технологий оценки риска

Технологии, описанные в данном стандарте, обеспечивают средства для лучшего понимания неопределенности и ее последствий для принятия решений. Когда соответствующие технологии применяются эффективно, они могут предоставить ряд практических преимуществ для организации, включая помощь в:
- определении реалистичных стратегических и оперативных целей;
- определении (или пересмотре) четких и логических приоритетов;
- определении критериев риска организации, таких как толерантность к риску, риск-аппетит или допустимая рисковая нагрузка;
- выявлении и понимании риска, включая риск, который может иметь экстремальные последствия;
- понимании того, какие неопределенности имеют наибольшее значение для достижения целей организации, и обоснования того, что следует делать с ними;
- более успешном использовании возможностей;
- демонстрации того, что нормативные требования выполнены.
Использование соответствующих технологий обеспечивает:
- структурирование информации для поддержки решений и действий, в которых существует неопределенность;
- ясность в отношении последствий предположений о достижении целей;
- четкое определение факторов, которые способствуют реализации риска, и понимание их существенности;
- распространение информации о риске и его последствиях;
- способность сравнивать несколько вариантов, систем, технологий, подходов и т.д. в тех случаях, где существует множественная неопределенность вокруг каждого варианта;
- способность более эффективно учиться на инцидентах (результатах расследования инцидентов), что может быть использовано для улучшения качества управления рисками;
- подходы к оценке эффекта от обработки риска, включая любые изменения характера или величины риска;
- эффективные и действенные меры по обработке риска;
- совершенствование принятия решений во всей организации.

6 Выполнение оценки рисков

6.1 Планирование оценки

6.1.1 Определение цели и границ применения
Определение цели оценки рисков должно включать определение решений или действий, к которым будут применены результаты оценки, лиц, принимающих решения, причастных сторон, а также сроков и характера требуемых результатов (например, требуется ли качественная или количественная информация).
Должна быть определена область применения оценки рисков, описано, что включено и что исключено из оценки. Любые условия, допущения, ограничения или необходимые ресурсы, относящиеся к оценочной деятельности, также должны быть указаны.
6.1.2 Понимание области применения
Лица, проводящие оценку, должны знать о более широком круге условий, в которых будут приниматься решения и действия, основанные на их оценке. Это включает внутренние и внешние обстоятельства, которые вносят вклад в среду организации, а также более широкие социальные аспекты и аспекты, связанные с окружающей средой. Любое заявление, имеющее отношение к среде и к проводимой оценке, должно быть проанализировано и проверено, чтобы убедиться, что оно является актуальным и целесообразным. Понимание расширенной картины особенно важно в задачах повышенной сложности.
6.1.3 Взаимодействие с причастными сторонами
Необходимо определить причастные стороны и тех, кто может привнести полезные знания или точку зрения, учитывать их позицию и рассмотреть перспективы их привлечения независимо от того, включены ли они в число участников оценки.
Полноценное участие причастных сторон помогает обеспечить достоверность и применимость информации, на которой основана оценка риска, добиться понимания причастными сторонами причин принимаемых решений.
Привлечение причастных сторон может:
- дать представление об информации, которая позволяет понять обстоятельства оценки;
- объединить различные области знаний и опыта для более эффективного выявления и понимания риска;