Действующий
Организация должна идентифицировать риски независимо от того, находятся ли источники данных рисков под контролем. Следует учитывать, что может быть более одного исхода в случае реализации риска, что может привести к различным материальным или нематериальным последствиям.
Цель анализа риска заключается в том, чтобы понять природу риска и его характеристики, в том числе, когда это необходимо, уровень риска. Анализ риска включает подробное рассмотрение неопределенностей, источников риска, последствий, вероятности, событий, сценариев, методов управления риском и их эффективности. Событие может иметь несколько причин и последствий и может влиять на достижение нескольких целей.
Анализ риска может проводиться с различной степенью детализации и сложности, в зависимости от цели анализа, доступности и достоверности информации и доступных ресурсов. Технологии анализа могут быть качественными, количественными или их комбинациями в зависимости от обстоятельств и предполагаемого использования.
На анализ риска может влиять любое расхождение мнений, предвзятость, восприятие риска и суждения. Дополнительное влияние оказывает качество используемой информации, сделанные допущения и исключения, любые ограничения технологий и способов их применения. Эти факторы следует рассматривать, документировать и сообщать лицам, ответственным за принятие решений.
Крайне неопределенные события могут плохо поддаваться количественной оценке, что может являться проблемой при анализе событий с существенными последствиями. В таких случаях использование комбинации технологий обычно обеспечивает более глубокое понимание.
Анализ риска обеспечивает входные данные для оценки риска, принятия решения о том, следует ли обрабатывать риск и как, а также о наиболее подходящей стратегии и методах ее реализации. Результаты дают представление о сути принятого решения, которое является результатом выбора с учетом различных типов и уровней риска.
Цель сравнительной оценки риска заключается в поддержке принятия решений. Сравнительная оценка риска включает в себя сравнение результатов анализа риска с установленными критериями риска, чтобы определить, где требуются дополнительные действия. Это может привести к принятию следующих решений:
Решения должны учитывать широкое влияние среды, фактические и потенциальные последствия для внешних и внутренних причастных сторон.
Результаты сравнительной оценки риска должны быть задокументированы, доведены до сведения причастных сторон, а затем подтверждены на соответствующих уровнях организации.
Выбор наиболее подходящего варианта (вариантов) обработки риска включает в себя принятие взвешенного решения с учетом потенциальных выгод от достижения целей с одной стороны и понесенных затрат, усилий или недостатков данного решения с другой.
Варианты обработки риска не обязательно являются взаимоисключающими или подходящими при любых обстоятельствах. Варианты обработки риска могут включать одно или несколько из следующих:
- избежание риска посредством решения не начинать или не продолжать деятельность, в результате которой возникает риск;
При выборе варианта обработки риска учитываются не только экономические соображения, но и все обязательства организации, включая добровольные обязательства и мнения причастных сторон. Выбор варианта обработки риска должен производиться в соответствии с целями организации, критериями риска и имеющимися ресурсами.
При выборе вариантов обработки риска организация должна учитывать ценности, восприятие и потенциальное вовлечение причастных сторон и наиболее подходящие способы обмена информации и консультирования с ними. Несмотря на эффективность, некоторые виды обработки риска могут быть более приемлемыми для некоторых причастных сторон, чем для других.
Методы обработки риска, даже если они тщательно разработаны и реализованы, могут не дать ожидаемых результатов и могут привести к непредвиденным последствиям. Мониторинг и пересмотр должны быть неотъемлемой частью реализации методов обработки риска, чтобы гарантировать, что различные формы обработки риска продолжат оставаться эффективными.
Если отсутствуют доступные варианты обработки риска или если варианты недостаточно эффективны, риск следует задокументировать и держать под постоянным наблюдением.