(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
Технологии, которые помогают в сравнении вариантов, описаны в Б.7.
6.5.3 Решения о рисках и обработке риска
Информацию об идентификации и анализе рисков можно применять при формировании выводов о том, следует ли принимать риск, а также для сравнения значимости риска с точки зрения влияния риска на цели с границами эффективности деятельности организации. Это дает возможность принимать решения о приемлемости риска или необходимости воздействия на него, а также приоритетов данного воздействия.
Приоритеты для воздействия, мониторинга или более подробного анализа риска часто основаны на величине риска, получаемой путем объединения репрезентативного последствия риска и его вероятности, и отображения результата с использованием матрицы вероятностей и последствий (см. Б.9.3). Этот метод, однако, ограничен теми рисками, для которых может быть определена только одна пара вероятности и последствий (см. 6.3.5.4). К факторам, отличным от величины риска, которые могут быть приняты во внимание при определении приоритетов, относятся:
- другие меры, связанные с таким риском, как, например, максимальные или ожидаемые последствия или эффективность управления;
- мнения и представления причастных сторон;
- стоимость и практическая ценность дальнейшей обработки риска по сравнению с уровнем его снижения;
- взаимодействие между рисками, включая результаты воздействия на другие риски.
Некоторые технологии оценки значимости риска рассмотрены в Б.8.
После того, как риски были оценены и было принято решение об обработке рисков, процесс оценки риска может быть повторен, чтобы убедиться, что предлагаемые технологии воздействия не вызвали дополнительных неблагоприятных рисков и что риск теперь находится в рамках риск-аппетита организации.

6.6 Документирование, отчетность и передача информации

Результаты оценки риска и применяемая методология должны быть задокументированы, также необходимо принять решение о том, какая информация должна быть сообщена и кому.
Целью документирования является:
- передача информации о рисках лицам, принимающим решения, и другим причастным сторонам, включая регулирующие органы;
- предоставление документальных свидетельств и обоснования принимаемых решений;
- сохранение результатов оценки для будущего использования и упоминаний;
- отслеживание эффективности и тенденций;
- доступность проверки сделанной оценки;
- оставить аудиторский след.
Из этого следует, что любая документация или записи должны быть в форме, которая может быть понята теми, кто их прочитает, но при этом содержать необходимую техническую глубину для проверки и достаточную детализацию для применения результатов оценки в будущем.
Предоставляемая информация должна быть достаточной для того, чтобы можно было проанализировать и подтвердить как сам процесс оценки, так и его результаты. Предположения, ограничения, связанные с исходными данными или методами, а также причины любых сделанных рекомендаций должны быть четко описаны.
Риск должен выражаться в понятных терминах, а единицы, в которых выполняется количественная оценка, должны быть ясными и правильными. Стороны, предоставляющие результаты, должны дать оценку их точности и полноте. Неопределенности должны быть надлежащим образом раскрыты, чтобы не создавалось впечатление, что уровень неопределенности в отчете нереально высокий.
Технологии представления отчетности о риске описаны в Б.9.

7 Выбор технологий оценки рисков

7.1 Общие сведения

В этом разделе описаны факторы, которые следует учитывать при выборе технологии или технологий оценки риска на практике. В приложениях перечисляются и далее объясняются некоторые распространенные технологии. В них описаны характеристики каждой технологии и ее возможные способы применения, а также присущие сильные и слабые стороны.
Многие из технологий, описанных в этом документе, были первоначально разработаны для конкретных отраслей и управления конкретными типами нежелательных последствий. Некоторые из технологий аналогичны друг другу, но используют разные термины, отражающие их независимое развитие для схожих целей в разных секторах. Со временем применение многих технологий расширилось, например, от чисто технических приложений до оценки финансовых или управленческих ситуаций или для рассмотрения как положительных, так и отрицательных результатов. Новые технологии эволюционировали, и старые были адаптированы к новым обстоятельствам. Технологии и их приложения продолжают развиваться, а также существует потенциал для более глубокого понимания риска, используя технологии вне их первоначального применения. Поэтому в приложениях А и Б указываются характеристики технологий, которые могут использоваться для определения диапазона обстоятельств, к которым они могут применяться.

7.2 Выбор технологий

Выбор технологий и способа их использования должен быть обусловлен возможностью адаптации и областью применения, а также предоставлять требуемую информацию для заинтересованных и причастных сторон. В общих чертах количество и тип выбранных технологий должны быть масштабированы с учетом значимости принимаемого решения и учитывать ограничения во времени и других ресурсов, а также альтернативные издержки.
При принятии решения о том, является ли качественная или количественная технология более подходящей, наряду с наличием и достоверностью данных, важным критерием является также форма представления, в которой результаты оценки будут наиболее полезны заинтересованным и причастным сторонам. Для предоставления значимых результатов при использовании количественных технологий обычно требуются данные высокого качества, однако в некоторых случаях, когда данных недостаточно, точность, необходимая для применения количественной технологии, может дать возможность лучше понять риск, хотя результат расчета может быть неопределенным.
Практикуется использование набора технологий, относящихся к конкретному обстоятельству. Возможно, для более полного понимания потребуется рассмотреть несколько технологий. Различные технологии также могут стать применимыми не сразу, а если становится доступно больше исходной информации. При выборе технологии следует учитывать следующие аспекты области их применения:
- цель оценки;
- потребности причастных сторон;
- любые нормативные и контрактные требования;
- условия применения и сценарий;
- значимость решения (например, последствия, если принимается неправильное решение);
- любые заданные критерии принятия решений;
- время, доступное на принятие решения;
- информация, которая доступна или может быть получена;
- сложность ситуации;
- имеющийся опыт или тот, который может быть получен.
Характеристики технологий, относящихся к этим требованиям, перечислены в таблице А.1.
В таблице А.2 приведен перечень технологий, классифицированных в соответствии с этими характеристиками.
По мере увеличения степени неопределенности, сложности и двусмысленности применяемых подходов возрастает необходимость консультироваться с более широкой группой причастных сторон, что оказывает влияние на сочетание выбранных технологий.
Некоторые из технологий, описанных в этом документе, могут применяться на этапах процесса управления рисками согласно ГОСТ Р ИСО 31000 иначе, нежели они используются при оценке риска. Применение технологий в процессе управления рисками по ГОСТ Р ИСО 31000 показано на рисунке А.1.
Приложение Б содержит обзор каждой технологии, ее использования, ее входов и выходов, ее сильных сторон и ограничений. В приложении Б технологии классифицируются в соответствии с их основным применением при оценке риска, а именно:
- технологии выявления мнения причастных сторон и экспертов;
- технологии идентификации;
- анализ источников и доминантных факторов риска;
- технологии анализа средств контроля;