(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
- лингвистическую неопределенность, которая признает нечеткость и двусмысленность, присущие разговорным языкам;
- неопределенность в решении, которая имеет особое отношение к стратегиям менеджмента риска и которая показывает неопределенность, связанную с системами ценностей, профессиональным суждением, ценностями компаний и социальными нормами.
Таким образом, неопределенность в более широком смысле может охватывать:
- неопределенность относительно достоверности допущений, включая предположения о том, как люди или системы могут себя вести;
- изменчивость параметров, на которых должно основываться решение;
- неопределенность в отношении применимости или точности моделей, которые были созданы для прогнозирования будущего;
- события (включая изменения обстоятельств), появление или характер которых являются неопределенными;
- неопределенность, связанную с разрушительными или прорывными событиями;
- неопределенность в отношении результатов системных вопросов, таких как нехватка компетентного персонала, что может иметь широкомасштабное воздействие, которое не может быть четко определено;
- отсутствие знаний о чем-либо;
- отсутствие знания, которое возникает, когда неопределенность признается, но не полностью понята;
- непредсказуемость;
- неспособность человеческого разума распознавать сложные данные, ситуации с долгосрочными последствиями, судить без предвзятости.
Не вся неопределенность может быть понята, и ее значение может быть трудно или невозможно определить. Однако признание того факта, что неопределенность существует в конкретной области, позволяет внедрять системы раннего предупреждения для выявления изменений и механизмы, которые необходимо использовать для повышения устойчивости к непредвиденным обстоятельствам.

4.2 Характеристики риска

В общем случае риск включает в себя последствия любой из форм неопределенности, описанных в 4.1.
Один из способов описания риска - это формирование набора последствий и их вероятностей, которые могут возникнуть в результате определенных, но изменчивых событий. Они могут иметь несколько причин и привести к нескольким последствиям. Не все риски могут быть описаны в этих условиях. Не всегда существует идентифицируемое событие. Кроме того, источники риска могут включать присущую неопределенность, поведенческие аспекты, быть связаны с организационной структурой и договоренностями. Также последствия могут принимать ряд дискретных значений, быть непрерывными, переменными или быть неизвестными. Они могут быть положительными, отрицательными или и тем и другим. Последствия могут быть не заметны или не оценены вначале, но могут накапливаться с течением времени. Из этого следует, что риск не всегда может быть легко скомбинирован в виде множества событий, их последствий и вероятностей.
Технологии оценки риска направлены на то, чтобы помочь людям понять неопределенность и связанный с ней риск в более широкой, более сложной и разнообразной области применения с целью обеспечения более обоснованных решений и действий.

5 Использование и преимущества технологий оценки риска

5.1 Использование технологий оценки риска

ГОСТ Р ИСО 31000 описывает принципы управления рисками, основы и организационные механизмы, которые позволяют управлять рисками. В нем определен процесс, в рамках которого существует возможность распознавать, понимать и изменять риск в соответствии с критериями, которые устанавливаются в рамках этого же процесса. Технологии оценки риска могут применяться в рамках данного структурированного подхода для определения области применения, среды и критериев, оценки риска, обработки риска, мониторинга и пересмотра, документирования и отчетности, обмена информацией и консультирования. Этот процесс проиллюстрирован на рисунке 1, где также приведены примеры того, где, в рамках процесса, данные техники могут быть применены. В ГОСТ Р ИСО 31000 оценка рисков включает в себя идентификацию рисков, их анализ и использование информации, полученной в результате анализа, для сравнительной оценки риска и формирования выводов относительно их значимости по отношению к целям и показателям эффективности деятельности организации. Этот процесс вносит вклад в принятие решений о том, требуется ли обработка риска, каковы приоритеты обработки и какие мероприятия, направленные на снижение риска, необходимо предпринять. На практике данный подход носит итеративный характер.
Технологии оценки риска, описанные в этом документе, применяются в следующих случаях:
- когда необходимо принять решение с учетом неопределенности;
- в рамках решения, в котором необходимо сравнить/оптимизировать ряд вариантов;
- когда требуется большее понимание существующих рисков или конкретного риска;
- как часть любого процесса принятия решений об обработке риска.
Технология оценки риска зависит от сложности ситуации, ее новизны, от уровня имеющихся и применимых знаний и понимания:
1) в простейшем случае, когда в ситуации нет ничего нового или необычного, риск хорошо понимается, без каких-либо существенных последствий или с незначительными последствиями для причастных сторон; действия, скорее всего, будут выполняться в соответствии с установленными правилами и процедурами и предыдущими оценками риска;
2) для совсем новых, комплексных или сложных ситуаций, где существует высокая неопределенность и малый опыт, традиционные технологии оценки могут не дать требуемого результата. Это также относится к обстоятельствам, когда причастные стороны придерживаются сильно расходящихся взглядов. В этих случаях используется несколько технологий оценки с учетом организационных и общественных ценностей, а также мнений причастных сторон.
Технологии, описанные в данном стандарте, наиболее применимы в ситуациях между этими двумя крайностями, при которых сложность умеренная и есть некоторая информация, на которой основана оценка.

5.2 Преимущества использования технологий оценки риска

Технологии, описанные в данном стандарте, обеспечивают средства для лучшего понимания неопределенности и ее последствий для принятия решений. Когда соответствующие технологии применяются эффективно, они могут предоставить ряд практических преимуществ для организации, включая помощь в:
- определении реалистичных стратегических и оперативных целей;
- определении (или пересмотре) четких и логических приоритетов;
- определении критериев риска организации, таких как толерантность к риску, риск-аппетит или допустимая рисковая нагрузка;
- выявлении и понимании риска, включая риск, который может иметь экстремальные последствия;
- понимании того, какие неопределенности имеют наибольшее значение для достижения целей организации, и обоснования того, что следует делать с ними;
- более успешном использовании возможностей;
- демонстрации того, что нормативные требования выполнены.
Использование соответствующих технологий обеспечивает:
- структурирование информации для поддержки решений и действий, в которых существует неопределенность;
- ясность в отношении последствий предположений о достижении целей;
- четкое определение факторов, которые способствуют реализации риска, и понимание их существенности;
- распространение информации о риске и его последствиях;
- способность сравнивать несколько вариантов, систем, технологий, подходов и т.д. в тех случаях, где существует множественная неопределенность вокруг каждого варианта;
- способность более эффективно учиться на инцидентах (результатах расследования инцидентов), что может быть использовано для улучшения качества управления рисками;
- подходы к оценке эффекта от обработки риска, включая любые изменения характера или величины риска;
- эффективные и действенные меры по обработке риска;
- совершенствование принятия решений во всей организации.

6 Выполнение оценки рисков