Действующий
Важно, чтобы оценки для каждой части системы были внутренне согласованы и сохраняли их правильные отношения.
Математические формулы не могут применяться к порядковым шкалам. Поэтому, как только система подсчета очков была разработана, модель должна быть подтверждена путем ее применения к хорошо понимаемой системе. Разработка индекса - это итеративный подход, и для проверки достоверности выбранного метода следует испытать несколько разных систем комбинации баллов.
Индексы риска представляют собой, по существу, качественный или полуколичественный подход к ранжированию и сопоставлению рисков. Они могут использоваться для внутренних или внешних рисков ограниченной или расширенной сферы действия. Они часто специфичны для конкретного типа риска и используются для сравнения различных ситуаций, когда этот риск возникает. В тех случаях, когда базовая модель или система не являются хорошо известными или не могут быть репрезентативными, обычно лучше использовать более явный качественный подход, который не подразумевает уровень точности, который невозможно использовать по порядковым шкалам.
1 Индекс риска заболевания используется для оценки риска заражения конкретным заболеванием человеком путем комбинации баллов для различных известных факторов риска, выявленных в эпидемиологических исследованиях, с учетом силы ассоциации между фактором риска и заболеванием.
2 Оценки опасности кустарниковых пожаров сравнивают риск возгорания в разные дни с учетом прогнозируемых условий, таких как влажность, сила ветра, сухость ландшафта и топливная нагрузка.
3 Кредиторы рассчитывают кредитные риски для клиентов, используя индексы, которые представляют собой компоненты их финансовой стабильности.
Входы основаны на анализе системы. Это требует хорошего понимания всех источников риска и того, как могут возникнуть последствия.
Можно использовать такие инструменты, как искусственные нейронные сети, FTA (см. Б.5.6), ETA (см. Б.5.5) и многокритериальный анализ (см. Б.7.5), а также исторические данные для поддержки развития индексов риска.
Поскольку выбор используемой порядковой шкалы является в некоторой степени произвольным, для подтверждения индекса необходимы достаточные данные.
Выход представляет собой ряд чисел (составных индексов), которые относятся к определенному риску и которые можно сравнить с индексами, разработанными для других рисков в рамках одной и той же системы.
- они допускают учет множественных факторов, которые влияют на уровень риска, в единой численной оценке.
- если процесс (модель) и его результат недостаточно обоснованы, результаты могут быть бессмысленными;
- тот факт, что выход представляет собой числовое значение для риска, может быть неверно истолкован и использован неправильно, например, при последующем анализе затрат/выгод;
- во многих ситуациях, где используются индексы, отсутствует основополагающая модель для определения того, являются ли отдельные шкалы для факторов риска линейными, логарифмическими или иными, и модель для определения того, как факторы должны быть скомбинированы. В этих ситуациях рейтинг по своей сути ненадежен, и валидация по отношению к реальным данным особенно важна;
- использование числовых значений может предполагать уровень точности, который не может быть оправдан.
В этом разделе рассматриваются технологии, используемые для подготовки отчетности и документирования общей информации о рисках. Требования к подробным отчетам приведены в разделе 6.6.
Обычный подход к отчетности и документированию информации о рисках заключается в том, чтобы ввести основную информацию о каждом риске в реестр рисков, например, в виде электронной таблицы или базы данных (см. Б.9.2). Некоторые риски могут потребовать более сложного описания, чем может быть изложено в обычном реестре рисков. Например, описание может потребовать включения нескольких источников риска, приводящих к одному событию, нескольких возможных результатов от одного события или источника, срабатывания эффектов и потенциальных сбоев управления. Диаграмма галстук-бабочка является примером инструмента, который можно использовать для организации и передачи такой информации (см. Б.4.2).
Наиболее распространенный способ предполагает использование матрицы последствий/вероятности (см. Б.9.3). Помимо вероятности, последствий и уровня риска, обозначенных позицией в матрице, в ней также может быть представлена дополнительная информация, такая как характер контролей, степень выполнения мероприятий по обработке риска и т.д., через размер точек, обозначающих риск, или их цвет.
Матрица последствий/вероятности требует, чтобы риск мог быть представлен одной комбинацией последствий и вероятности. Риски, к которым данный подход неприменим, иногда могут быть представлены функцией распределения вероятности или плотности распределения вероятностей (см. Б.9.4).
Реестр рисков объединяет информацию о рисках для информирования лиц, подвергающихся риску, и тех, кто несет ответственность за управление ими. Он может быть сформирован в бумажном виде или в виде базы данных и обычно включает в себя:
Риски обычно перечисляются как отдельные события, но взаимозависимости могут быть отмечены. При записи информации о рисках следует четко определять различия между рисками (потенциальные последствия того, что может произойти), источниками риска (как и почему это может произойти) и неэффективными мерами по управлению ими. Также может быть полезно указать признаки того, что событие может произойти в ближайшее время.
Многие реестры рисков также включают некоторый рейтинг значимости риска, указание того, считается ли риск приемлемым или допустимым, или требуется ли дальнейшая обработка риска и причины этого решения. Если рейтинг значимости применяется к риску, основанному на последствиях и их вероятности, он должен учитывать вероятность того, что меры по управлению риском будут неэффективны. Неэффективным мерам по управлению риском не должен присваиваться уровень риска, как если бы это был отдельный риск.
Риски с положительными последствиями могут быть записаны в том же документе, что и те, где последствия являются отрицательными, или отдельно. Возможности (которые представляют собой обстоятельства или идеи, которые могут быть использованы, а не случайные события) обычно документируются отдельно и анализируются таким образом, чтобы учитывать издержки, выгоды и любые потенциальные негативные последствия. Такой документ иногда называют реестром стоимости и возможностей.
Реестр рисков используется для документирования и отслеживания информации об отдельных рисках и управлении ими. Он может использоваться для передачи информации о рисках причастным сторонам и выделения особо важных рисков. Он может использоваться на корпоративном уровне, уровне подразделения или проекта, но, как правило, наиболее часто используется на операционном уровне, где существует большое количество рисков и мер по управлению и обработке риска, которые необходимо отслеживать. Информация из реестра рисков может быть консолидирована для предоставления информации для высшего руководства.
Реестр рисков может использоваться в качестве основы для отслеживания реализации методов обработки риска, поэтому он может содержать информацию о данных методах и способах их реализации или ссылаться на другие документы или базы данных с этой информацией (в такую информацию могут входить владельцы рисков, действия, владельцы действий, краткие сводки дел, бюджеты и сроки и т.д.). В некоторых ситуациях может быть предусмотрена определенная форма реестра рисков.