Действующий
Поэтому критерии, которые необходимо принимать во внимание при принятии решений, включая критерии риска, должны быть проанализированы до проведения оценки. Критерии могут быть качественными или количественными. В некоторых случаях не могут быть использованы явные критерии, и причастные стороны используют свое суждение для ответа на результаты анализа.
- как риск будет приниматься во внимание при выборе между несколькими вариантами в ситуациях, когда каждый вариант связан с несколькими рисками, которые могут иметь положительные или отрицательные последствия, или и то и другое.
Критерии определения характера и степени риска, которые могут быть приняты в отношении поставленной цели, иногда называемые аппетитом к риску (риск-аппетитом), могут быть определены через выбор технологии определения величины риска или параметров, связанных с риском, совместно с установлением ограничения для риска, превышение которого является неприемлемым. Ограничение, установленное для неприемлемого неблагоприятного риска, может зависеть от потенциальных выгод.
Приемлемость риска также может быть определена путем указания приемлемого различия в конкретных показателях эффективности, связанных с целями.
Различные критерии могут быть выбраны в зависимости от типа последствий реализации риска. Например, критерии организации в отношении финансового риска могут отличаться от критериев, определенных для риска, связанного с жизнью человека.
- емкость риска (или емкость принятия риска, risk-bearing capacity, RBC) - это максимальный риск, который организация может принять с учетом своих финансовых и операционных возможностей. RBC обычно рассматривается с точки зрения неблагоприятных последствий, а не риска. Для коммерческой организации емкость риска может быть выражена как максимально возможная емкость, которая может быть обеспечена активами организации, или как крупнейшие финансовые убытки, которые организация способна понести без объявления банкротства. Оцененный RBC должен быть проверен сценариями стресс-тестирования для обеспечения достаточного уровня доверия. Риск-аппетит организации отражает готовность руководства использовать существующую емкость риска;
- SFAIRP и ALARP: критерии, задаваемые на законодательном уровне, используются в ряде стран для принятия решений относительно снижения риска, связанного с безопасностью. Включают в себя гарантии того, что риск получения травмы или заболевания является настолько низким, насколько это практически возможно (ALARP), или демонстрацию того, что существующие меры контроля минимизируют риск, насколько это возможно на практике (SFAIRP) (см. Б.8.2);
- глобальный эквивалент (Globally At Least Equivalent, GALE/GAME): в рамках данного подхода считается допустимым увеличение рисков с неблагоприятными последствиями из определенного источника, если можно доказать, что риски из других источников уменьшились на эквивалентную или большую величину;
- критерии эффективности затрат, такие как цена за сохраненную жизнь или возврат на инвестиции (ROI).
Примечание - ROI = (ожидаемые годовые потери) x (процентное снижение риска, достигнутое за счет мероприятий) - (годовая стоимость обработки риска).
Критерии риска (понятия и связи, на основании которых определяется значимость риска) могут быть выражены в терминах, которые включают любые характеристики и показатели риска, раскрытые в 6.3.5. Этические, культурные, правовые, социальные, репутационные, экологические, договорные, финансовые и другие аспекты также могут иметь значение.
Сравнительная оценка значимости риска по сравнению с другими рисками часто базируется на оценке величины риска и ее сопоставлении со значениями, которые напрямую связаны с границами, установленными в отношении целей организации. Сравнение с данными критериями позволяет информировать организацию о том, на каких рисках нужно сосредоточить управление, исходя из потенциала снижения данных рисков ниже пороговых значений, заданных в отношении целей организации.
Величина риска редко является единственным критерием, относящимся к выбору приоритетов обработки риска или определению того, какие риски наиболее важны с точки зрения их последующего мониторинга. Другими соответствующими факторами могут быть устойчивое развитие (например, концепция тройного критерия) и эластичность, этические и правовые критерии, эффективность управления, максимально возможный ущерб в случае, если контроль отсутствует или неэффективен, затраты на управление или мнения причастных сторон.
Организация будет сталкиваться со многими решениями, в которых потенциально может быть затронуто несколько целей, зачастую конкурирующих между собой, и необходимо учитывать как потенциальные неблагоприятные последствия, так и потенциальные выгоды. Для принятия решений может потребоваться сопоставление нескольких критериев и поиск компромисса между конкурирующими целями. Необходимо определить критерии, имеющие отношение к принимаемому решению, а также каким образом данные критерии должны быть взвешены или какой компромисс в противном случае должен быть принят и учтен. Данная информация должна быть задокументирована и распространена. При определении критериев следует учитывать возможность того, что затраты и выгоды могут отличаться для разных причастных сторон. Следует также принять решение о том, каким образом будут приняты во внимание различные формы неопределенности.
До и во время оценки риска необходимо собирать актуальную информацию, которая используется в качестве входных данных для статистического анализа, моделирования или применения технологий, описанных в приложениях А и Б. В некоторых случаях информация может использоваться лицами, принимающими решения, без дальнейшего анализа.
Информация, необходимая в каждом случае, зависит от результатов более раннего сбора информации, цели и объема оценки, технологии или технологий, которые будут использоваться для анализа. Требуется также определить способ сбора, хранения и предоставления информации.
Одновременно с решением о получении результатов оценки риска необходимо принять решение о том, как эти результаты будут получены, как будет организовано их хранение, как они будут актуализироваться и каким образом будут предоставляться причастным сторонам. Также необходимо указывать источники получения информации.
Информация может быть собрана из таких источников, как обзоры литературы, наблюдения и мнения экспертов. Данные могут быть собраны или получены из измерений, экспериментов, интервью и опросов.
Обычно данные прямо или косвенно представляют собой историю произошедших потерь или выгод. Примеры таких данных включают провалы или успехи проекта, количество полученных жалоб, финансовую прибыль или убытки, последствия для здоровья, травмы и смертельные случаи и т.д. Дополнительная информация также может быть полезна, например причины неудач или успехов, источники жалоб, характер травм и т.д. Данные могут также включать вывод из моделей или результаты других методов анализа.
Когда данные, подлежащие анализу, получаются из выборки, требуемая статистическая достоверность должна быть заранее определена так, чтобы собранных данных было достаточно для анализа. Если статистический анализ не требуется, это также должно быть указано.
Если доступны данные или результаты предыдущих оценок, сначала необходимо установить, было ли какое-либо изменение в параметрах, и если да, то остаются ли предыдущие данные или результаты актуальными.
Достоверность, надежность и ограничения любой информации, которая используется в оценке, должна оцениваться с учетом: