(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
Технология оценки риска зависит от сложности ситуации, ее новизны, от уровня имеющихся и применимых знаний и понимания:
1) в простейшем случае, когда в ситуации нет ничего нового или необычного, риск хорошо понимается, без каких-либо существенных последствий или с незначительными последствиями для причастных сторон; действия, скорее всего, будут выполняться в соответствии с установленными правилами и процедурами и предыдущими оценками риска;
2) для совсем новых, комплексных или сложных ситуаций, где существует высокая неопределенность и малый опыт, традиционные технологии оценки могут не дать требуемого результата. Это также относится к обстоятельствам, когда причастные стороны придерживаются сильно расходящихся взглядов. В этих случаях используется несколько технологий оценки с учетом организационных и общественных ценностей, а также мнений причастных сторон.
Технологии, описанные в данном стандарте, наиболее применимы в ситуациях между этими двумя крайностями, при которых сложность умеренная и есть некоторая информация, на которой основана оценка.

5.2 Преимущества использования технологий оценки риска

Технологии, описанные в данном стандарте, обеспечивают средства для лучшего понимания неопределенности и ее последствий для принятия решений. Когда соответствующие технологии применяются эффективно, они могут предоставить ряд практических преимуществ для организации, включая помощь в:
- определении реалистичных стратегических и оперативных целей;
- определении (или пересмотре) четких и логических приоритетов;
- определении критериев риска организации, таких как толерантность к риску, риск-аппетит или допустимая рисковая нагрузка;
- выявлении и понимании риска, включая риск, который может иметь экстремальные последствия;
- понимании того, какие неопределенности имеют наибольшее значение для достижения целей организации, и обоснования того, что следует делать с ними;
- более успешном использовании возможностей;
- демонстрации того, что нормативные требования выполнены.
Использование соответствующих технологий обеспечивает:
- структурирование информации для поддержки решений и действий, в которых существует неопределенность;
- ясность в отношении последствий предположений о достижении целей;
- четкое определение факторов, которые способствуют реализации риска, и понимание их существенности;
- распространение информации о риске и его последствиях;
- способность сравнивать несколько вариантов, систем, технологий, подходов и т.д. в тех случаях, где существует множественная неопределенность вокруг каждого варианта;
- способность более эффективно учиться на инцидентах (результатах расследования инцидентов), что может быть использовано для улучшения качества управления рисками;
- подходы к оценке эффекта от обработки риска, включая любые изменения характера или величины риска;
- эффективные и действенные меры по обработке риска;
- совершенствование принятия решений во всей организации.

6 Выполнение оценки рисков

6.1 Планирование оценки

6.1.1 Определение цели и границ применения
Определение цели оценки рисков должно включать определение решений или действий, к которым будут применены результаты оценки, лиц, принимающих решения, причастных сторон, а также сроков и характера требуемых результатов (например, требуется ли качественная или количественная информация).
Должна быть определена область применения оценки рисков, описано, что включено и что исключено из оценки. Любые условия, допущения, ограничения или необходимые ресурсы, относящиеся к оценочной деятельности, также должны быть указаны.
6.1.2 Понимание области применения
Лица, проводящие оценку, должны знать о более широком круге условий, в которых будут приниматься решения и действия, основанные на их оценке. Это включает внутренние и внешние обстоятельства, которые вносят вклад в среду организации, а также более широкие социальные аспекты и аспекты, связанные с окружающей средой. Любое заявление, имеющее отношение к среде и к проводимой оценке, должно быть проанализировано и проверено, чтобы убедиться, что оно является актуальным и целесообразным. Понимание расширенной картины особенно важно в задачах повышенной сложности.
6.1.3 Взаимодействие с причастными сторонами
Необходимо определить причастные стороны и тех, кто может привнести полезные знания или точку зрения, учитывать их позицию и рассмотреть перспективы их привлечения независимо от того, включены ли они в число участников оценки.
Полноценное участие причастных сторон помогает обеспечить достоверность и применимость информации, на которой основана оценка риска, добиться понимания причастными сторонами причин принимаемых решений.
Привлечение причастных сторон может:
- дать представление об информации, которая позволяет понять обстоятельства оценки;
- объединить различные области знаний и опыта для более эффективного выявления и понимания риска;
- предоставить соответствующий опыт для использования технологий оценки;
- обеспечить понимание и рассмотрение интересов причастных сторон;
- обеспечить вклад в процесс определения того, является ли риск приемлемым, особенно в тех случаях, когда есть влияние на причастные стороны;
- обеспечить соблюдение любых требований в части информирования и консультирования с людьми;
- позволить получать поддержку полученных результатов и решений, возникающих в результате оценки рисков.
Следует определить средства, с помощью которых выходные данные и результаты оценки рисков должны быть надежно, точно и прозрачно переданы соответствующим причастным сторонам.
Технологии получения мнений со стороны причастных сторон и экспертов описаны в приложении Б.1.
6.1.4 Рассмотрение человеческих аспектов
Человеческие, организационные и социальные факторы должны рассматриваться в явном виде и учитываться при необходимости.
Человеческие аспекты связаны с оценкой риска:
- как источник неопределенности;
- через влияние на выбор и применение методов;
- способами интерпретации и использования информации (например, из-за различного восприятия риска).
Результаты деятельности человека (превосходят или не достигают ожиданий) являются источником риска и могут также влиять на эффективность управления. Потенциал отклонения от ожидаемого или предполагаемого поведения следует учитывать при оценке риска. Осмысление результатов деятельности человека часто является сложным процессом, и для выявления и анализа человеческих аспектов риска может потребоваться экспертная консультация.