(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
6.1.2 Понимание области применения
Лица, проводящие оценку, должны знать о более широком круге условий, в которых будут приниматься решения и действия, основанные на их оценке. Это включает внутренние и внешние обстоятельства, которые вносят вклад в среду организации, а также более широкие социальные аспекты и аспекты, связанные с окружающей средой. Любое заявление, имеющее отношение к среде и к проводимой оценке, должно быть проанализировано и проверено, чтобы убедиться, что оно является актуальным и целесообразным. Понимание расширенной картины особенно важно в задачах повышенной сложности.
6.1.3 Взаимодействие с причастными сторонами
Необходимо определить причастные стороны и тех, кто может привнести полезные знания или точку зрения, учитывать их позицию и рассмотреть перспективы их привлечения независимо от того, включены ли они в число участников оценки.
Полноценное участие причастных сторон помогает обеспечить достоверность и применимость информации, на которой основана оценка риска, добиться понимания причастными сторонами причин принимаемых решений.
Привлечение причастных сторон может:
- дать представление об информации, которая позволяет понять обстоятельства оценки;
- объединить различные области знаний и опыта для более эффективного выявления и понимания риска;
- предоставить соответствующий опыт для использования технологий оценки;
- обеспечить понимание и рассмотрение интересов причастных сторон;
- обеспечить вклад в процесс определения того, является ли риск приемлемым, особенно в тех случаях, когда есть влияние на причастные стороны;
- обеспечить соблюдение любых требований в части информирования и консультирования с людьми;
- позволить получать поддержку полученных результатов и решений, возникающих в результате оценки рисков.
Следует определить средства, с помощью которых выходные данные и результаты оценки рисков должны быть надежно, точно и прозрачно переданы соответствующим причастным сторонам.
Технологии получения мнений со стороны причастных сторон и экспертов описаны в приложении Б.1.
6.1.4 Рассмотрение человеческих аспектов
Человеческие, организационные и социальные факторы должны рассматриваться в явном виде и учитываться при необходимости.
Человеческие аспекты связаны с оценкой риска:
- как источник неопределенности;
- через влияние на выбор и применение методов;
- способами интерпретации и использования информации (например, из-за различного восприятия риска).
Результаты деятельности человека (превосходят или не достигают ожиданий) являются источником риска и могут также влиять на эффективность управления. Потенциал отклонения от ожидаемого или предполагаемого поведения следует учитывать при оценке риска. Осмысление результатов деятельности человека часто является сложным процессом, и для выявления и анализа человеческих аспектов риска может потребоваться экспертная консультация.
Человеческие факторы также влияют на выбор и использование методов, особенно в тех случаях, когда необходимо принимать решения или использовать командные подходы. Для минимизации данных воздействий требуется квалифицированное управление процессом. Следует учесть также фактор когнитивных искажений, например групповое мышление и чрезмерная уверенность (в оценках или восприятиях). Экспертное заключение должно основываться на фактах и данных, где это возможно, необходимо прикладывать усилия, направленные на предотвращение или минимизацию когнитивных искажений.
Личные цели и ценности людей могут варьироваться и отличаться от целей организации. Это может привести к различному восприятию уровня риска и различных критериев, по которым люди принимают решения. Организация должна стремиться к общему пониманию риска и учитывать различное восприятие причастных сторон.
Социальные аспекты, в том числе социально-экономическое положение, расовая, этническая принадлежность и культура, гендерные аспекты, социальные отношения и условия проживания и сообщества могут влиять на риск как прямо, так и косвенно. Воздействие может быть долгосрочным и не сразу видимым и может потребовать длительной перспективы планирования.
6.1.5 Рассмотрение критериев для принятия решений
6.1.5.1 Общее
Основа, на которой принимаются решения и определяются дальнейшие действия, зависит от:
- способа анализа риска;
- результатов, которые необходимо получить от анализа;
- наиболее подходящих для использования технологий оценки.
Поэтому критерии, которые необходимо принимать во внимание при принятии решений, включая критерии риска, должны быть проанализированы до проведения оценки. Критерии могут быть качественными или количественными. В некоторых случаях не могут быть использованы явные критерии, и причастные стороны используют свое суждение для ответа на результаты анализа.
При рассмотрении критериев необходимо учитывать:
- как будет принято решение о приемлемости риска;
- как будет определяться относительная значимость рисков;
- как риск будет приниматься во внимание при выборе между несколькими вариантами в ситуациях, когда каждый вариант связан с несколькими рисками, которые могут иметь положительные или отрицательные последствия, или и то и другое.
6.1.5.2 Критерии, используемые при решении, связанном с принятием риска
Критерии определения характера и степени риска, которые могут быть приняты в отношении поставленной цели, иногда называемые аппетитом к риску (риск-аппетитом), могут быть определены через выбор технологии определения величины риска или параметров, связанных с риском, совместно с установлением ограничения для риска, превышение которого является неприемлемым. Ограничение, установленное для неприемлемого неблагоприятного риска, может зависеть от потенциальных выгод.
Приемлемость риска также может быть определена путем указания приемлемого различия в конкретных показателях эффективности, связанных с целями.
Различные критерии могут быть выбраны в зависимости от типа последствий реализации риска. Например, критерии организации в отношении финансового риска могут отличаться от критериев, определенных для риска, связанного с жизнью человека.
Примеры подходов, используемых при определении того, можно ли принять риск, таковы:
- емкость риска (или емкость принятия риска, risk-bearing capacity, RBC) - это максимальный риск, который организация может принять с учетом своих финансовых и операционных возможностей. RBC обычно рассматривается с точки зрения неблагоприятных последствий, а не риска. Для коммерческой организации емкость риска может быть выражена как максимально возможная емкость, которая может быть обеспечена активами организации, или как крупнейшие финансовые убытки, которые организация способна понести без объявления банкротства. Оцененный RBC должен быть проверен сценариями стресс-тестирования для обеспечения достаточного уровня доверия. Риск-аппетит организации отражает готовность руководства использовать существующую емкость риска;
- SFAIRP и ALARP: критерии, задаваемые на законодательном уровне, используются в ряде стран для принятия решений относительно снижения риска, связанного с безопасностью. Включают в себя гарантии того, что риск получения травмы или заболевания является настолько низким, насколько это практически возможно (ALARP), или демонстрацию того, что существующие меры контроля минимизируют риск, насколько это возможно на практике (SFAIRP) (см. Б.8.2);
- глобальный эквивалент (Globally At Least Equivalent, GALE/GAME): в рамках данного подхода считается допустимым увеличение рисков с неблагоприятными последствиями из определенного источника, если можно доказать, что риски из других источников уменьшились на эквивалентную или большую величину;
- критерии эффективности затрат, такие как цена за сохраненную жизнь или возврат на инвестиции (ROI).
Примечание - ROI = (ожидаемые годовые потери) x (процентное снижение риска, достигнутое за счет мероприятий) - (годовая стоимость обработки риска).
6.1.5.3 Критерии оценки значимости риска
Критерии риска (понятия и связи, на основании которых определяется значимость риска) могут быть выражены в терминах, которые включают любые характеристики и показатели риска, раскрытые в 6.3.5. Этические, культурные, правовые, социальные, репутационные, экологические, договорные, финансовые и другие аспекты также могут иметь значение.
Сравнительная оценка значимости риска по сравнению с другими рисками часто базируется на оценке величины риска и ее сопоставлении со значениями, которые напрямую связаны с границами, установленными в отношении целей организации. Сравнение с данными критериями позволяет информировать организацию о том, на каких рисках нужно сосредоточить управление, исходя из потенциала снижения данных рисков ниже пороговых значений, заданных в отношении целей организации.
Величина риска редко является единственным критерием, относящимся к выбору приоритетов обработки риска или определению того, какие риски наиболее важны с точки зрения их последующего мониторинга. Другими соответствующими факторами могут быть устойчивое развитие (например, концепция тройного критерия) и эластичность, этические и правовые критерии, эффективность управления, максимально возможный ущерб в случае, если контроль отсутствует или неэффективен, затраты на управление или мнения причастных сторон.