(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
Организации, которые обязаны проводить оценку рисков в целях соблюдения или соответствия, выиграют от использования соответствующих формальных и стандартизированных технологий оценки риска.

1 Область применения

Настоящий стандарт является руководством по выбору и применению технологий оценки риска в широком спектре задач. Технологии используются для оказания помощи и содействия в принятии решений в случаях неопределенности, предоставления информации о конкретных рисках и в рамках процесса управления рисками.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения национального стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р ИСО 31000, ГОСТ Р 51897-2011/Руководство ИСО 73:2009, а также следующие термины с соответствующими определениями:
3.1 возможность (opportunity): Сочетание обстоятельств, благоприятных для достижения цели.
Примечания
1 Возможность является потенциальной выгодой или другим желаемым результатом.
2 Возможность одной стороны может представлять угрозу для другой.
3.2 фактор риска (risk driver): Фактор, который оказывает существенное влияние на риск.
3.3 угроза (threat): Потенциальный источник опасности, вреда и т.д.

4 Основные понятия

4.1 Неопределенность

Неопределенность - это термин, охватывающий многие основные понятия. Было предпринято много попыток и продолжается работа, которая позволит классифицировать типы неопределенности.
Один из подходов к типизации, который может быть полезен, предполагает два основных типа неопределенности:
- неопределенность, которая признает внутреннюю изменчивость некоторых явлений и которая не может быть уменьшена путем дальнейших исследований; например бросание кости (иногда ее называют алеаторной неопределенностью, или неопределенностью случайного события);
- неопределенность, которая обычно возникает из-за отсутствия знаний и поэтому может быть уменьшена путем сбора большего количества данных, уточнения моделей, совершенствования методов выборки и т.д. (иногда ее называют эпистемической неопределенностью, или неопределенностью, зависящей от уровня знания).
Во многих ситуациях встречаются оба типа неопределенности.
Другие общепризнанные типы неопределенности включают:
- лингвистическую неопределенность, которая признает нечеткость и двусмысленность, присущие разговорным языкам;
- неопределенность в решении, которая имеет особое отношение к стратегиям менеджмента риска и которая показывает неопределенность, связанную с системами ценностей, профессиональным суждением, ценностями компаний и социальными нормами.
Таким образом, неопределенность в более широком смысле может охватывать:
- неопределенность относительно достоверности допущений, включая предположения о том, как люди или системы могут себя вести;
- изменчивость параметров, на которых должно основываться решение;
- неопределенность в отношении применимости или точности моделей, которые были созданы для прогнозирования будущего;
- события (включая изменения обстоятельств), появление или характер которых являются неопределенными;
- неопределенность, связанную с разрушительными или прорывными событиями;
- неопределенность в отношении результатов системных вопросов, таких как нехватка компетентного персонала, что может иметь широкомасштабное воздействие, которое не может быть четко определено;
- отсутствие знаний о чем-либо;
- отсутствие знания, которое возникает, когда неопределенность признается, но не полностью понята;
- непредсказуемость;
- неспособность человеческого разума распознавать сложные данные, ситуации с долгосрочными последствиями, судить без предвзятости.
Не вся неопределенность может быть понята, и ее значение может быть трудно или невозможно определить. Однако признание того факта, что неопределенность существует в конкретной области, позволяет внедрять системы раннего предупреждения для выявления изменений и механизмы, которые необходимо использовать для повышения устойчивости к непредвиденным обстоятельствам.

4.2 Характеристики риска

В общем случае риск включает в себя последствия любой из форм неопределенности, описанных в 4.1.
Один из способов описания риска - это формирование набора последствий и их вероятностей, которые могут возникнуть в результате определенных, но изменчивых событий. Они могут иметь несколько причин и привести к нескольким последствиям. Не все риски могут быть описаны в этих условиях. Не всегда существует идентифицируемое событие. Кроме того, источники риска могут включать присущую неопределенность, поведенческие аспекты, быть связаны с организационной структурой и договоренностями. Также последствия могут принимать ряд дискретных значений, быть непрерывными, переменными или быть неизвестными. Они могут быть положительными, отрицательными или и тем и другим. Последствия могут быть не заметны или не оценены вначале, но могут накапливаться с течением времени. Из этого следует, что риск не всегда может быть легко скомбинирован в виде множества событий, их последствий и вероятностей.
Технологии оценки риска направлены на то, чтобы помочь людям понять неопределенность и связанный с ней риск в более широкой, более сложной и разнообразной области применения с целью обеспечения более обоснованных решений и действий.

5 Использование и преимущества технологий оценки риска

5.1 Использование технологий оценки риска

ГОСТ Р ИСО 31000 описывает принципы управления рисками, основы и организационные механизмы, которые позволяют управлять рисками. В нем определен процесс, в рамках которого существует возможность распознавать, понимать и изменять риск в соответствии с критериями, которые устанавливаются в рамках этого же процесса. Технологии оценки риска могут применяться в рамках данного структурированного подхода для определения области применения, среды и критериев, оценки риска, обработки риска, мониторинга и пересмотра, документирования и отчетности, обмена информацией и консультирования. Этот процесс проиллюстрирован на рисунке 1, где также приведены примеры того, где, в рамках процесса, данные техники могут быть применены. В ГОСТ Р ИСО 31000 оценка рисков включает в себя идентификацию рисков, их анализ и использование информации, полученной в результате анализа, для сравнительной оценки риска и формирования выводов относительно их значимости по отношению к целям и показателям эффективности деятельности организации. Этот процесс вносит вклад в принятие решений о том, требуется ли обработка риска, каковы приоритеты обработки и какие мероприятия, направленные на снижение риска, необходимо предпринять. На практике данный подход носит итеративный характер.
Технологии оценки риска, описанные в этом документе, применяются в следующих случаях:
- когда необходимо принять решение с учетом неопределенности;
- в рамках решения, в котором необходимо сравнить/оптимизировать ряд вариантов;
- когда требуется большее понимание существующих рисков или конкретного риска;
- как часть любого процесса принятия решений об обработке риска.