(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
- существует изменчивость в самой рассматриваемой системе;
- данные берутся из ненадежного источника, являются неполными или недостаточными, например, когда тип собранных данных или методы сбора требуют изменений;
- возможна двусмысленность, например, когда качественное описание зафиксировано и непонятно;
- метод анализа не позволяет адекватно учесть сложность системы;
- существует высокая зависимость от экспертного мнения или суждения людей;
- необходимые данные могут отсутствовать или организация может не собирать необходимые данные;
- данные из прошлого могут не служить надежной основой для прогнозирования будущего, поскольку что-то в области применения или обстоятельствах могло измениться;
- в сделанных предположениях имеются неопределенности или приближения.
Когда во время оценки обнаруживается недостаток достоверных данных, дополнительные данные должны быть собраны, если это практически осуществимо. Это может включать в себя работу по внедрению новых механизмов мониторинга. В качестве альтернативы процесс анализа может быть скорректирован с учетом ограниченности данных.
Анализ чувствительности может быть проведен для оценки размера степени неопределенности исходных данных или предположений, лежащих в основе анализа. Анализ чувствительности позволяет определить относительное изменение результатов, вызванных изменениями отдельных входных параметров. Он применяется для определения данных, которые должны быть точными, и тех, которые менее чувствительны и, следовательно, оказывают меньшее влияние на общую точность. Параметры, чувствительные к анализу, и степень их чувствительности следует указывать там, где это необходимо.
Параметры, которые имеют решающее значение для оценки и которые должны быть изменены, должны быть выявлены в рамках постоянного мониторинга, чтобы была возможность обновить оценку риска и, при необходимости, пересмотреть решения.
6.3.8 Проверка и подтверждение результатов
Там, где возможно на практике, результаты анализа должны быть проверены и подтверждены. Проверка включает оценку правильности выполнения анализа. Подтверждение включает проверку того, что правильно проведенный анализ позволил достичь поставленных целей. В некоторых ситуациях для этих целей требуется независимое подтверждение.
Подтверждение может включать:
- проверку того, что сфера охвата анализа подходит для заявленных целей;
- рассмотрение всех критических допущений, чтобы убедиться, что они заслуживают доверия в свете имеющейся информации;
- проверку использования соответствующих технологий, моделей и данных;
- использование нескольких методов, приближенный анализ и анализ чувствительности для тестирования и проверки выводов.
Проверка может включать:
- проверку правильности математических манипуляций и расчетов;
- проверку того, что результаты нечувствительны к способу отображения данных, или результатов или их представления;
- сравнение результатов с прошлым опытом, при наличии соответствующих данных, или сопоставление с фактическими значениями после их получения;
- определение того, являются ли результаты чувствительными к способу отображения или представления данных или результатов и определения входных параметров, которые оказывают существенное влияние на результаты оценки;
- сравнение результатов с прошлым или последующим опытом, включая получение обратной связи с течением времени.

6.4 Мониторинг и пересмотр

Можно использовать мониторинг для того, чтобы:
- сравнить фактические результаты с результатами, полученными при оценке риска, и, следовательно, улучшать будущие оценки;
- искать предшественников и ранние индикаторы потенциальных последствий, которые были определены в результате оценки;
- собирать данные, необходимые для глубокого понимания риска;
- сканировать новые риски и неожиданные изменения, которые могут указывать на необходимость обновления оценки.
Если по результатам анализа чувствительности выявлены параметры, имеющие особое значение для результатов анализа, их также следует учитывать в рамках мониторинга.
Оценки должны периодически пересматриваться, чтобы можно было определить, произошли ли какие-либо изменения, включая изменения в области применения оценки или в предположениях, и появилась ли новая информация или новые технологии оценки.

6.5 Применение результатов для поддержки решений

6.5.1 Обзор
Результаты анализа рисков являются вкладом в принимаемые решения или действия, которые необходимо предпринять. Факторы, которые следует учитывать при принятии решений, и некоторые специфические критерии должны определяться как часть процедуры определения области применения для целей оценки (см. 6.1.5).
Можно различать два типа решений:
- решение, которое предполагает сравнение вариантов, в каждом из которых есть неопределенность (например, какой из нескольких возможностей следует придерживаться);
- решение о том, следует ли и каким образом снижать риск.
6.5.2 Решения, предусматривающие выбор между вариантами
Выбор между вариантами обычно включает в себя взвешивание потенциальных преимуществ и недостатков каждого отдельного варианта с учетом:
- неопределенности, связанной с потенциальными исходами каждого варианта и оценкой затрат и выгод;
- потенциальных событий, которые могут повлиять на результаты;
- риск-аппетита организации;
- различных взглядов и убеждений причастных сторон;
- различных величин, которые вовлеченные стороны определяют для себя в качестве затрат и выгод;
- компромиссов, которые могут требовать нелогичного выбора между конкурирующими целями.
Такой тип решения часто делается с использованием экспертного заключения на основе понимания результатов анализа имеющихся вариантов и рисков, связанных с каждым из них.
Технологии, которые помогают в сравнении вариантов, описаны в Б.7.
6.5.3 Решения о рисках и обработке риска
Информацию об идентификации и анализе рисков можно применять при формировании выводов о том, следует ли принимать риск, а также для сравнения значимости риска с точки зрения влияния риска на цели с границами эффективности деятельности организации. Это дает возможность принимать решения о приемлемости риска или необходимости воздействия на него, а также приоритетов данного воздействия.