ГОСТ Р 58771-2019

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ РИСКА

Технологии оценки риска

Risk management. Risk assessment technologies

ОКС 03.100.01

Дата введения 2020-03-01

Предисловие

1 РАЗРАБОТАН некоммерческим партнерством "Русское Общество Управления Рисками" (НП "РусРиск")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 17 декабря 2019 г. N 1405-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта МЭК 31010:2019* "Менеджмент риска. Технологии оценки риска" (IEC 31010:2019 "Risk management - Risk assessment techniques", NEQ)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВЗАМЕН ГОСТ Р ИСО/МЭК 31010-2011

6 Некоторые элементы настоящего стандарта могут являться объектами патентных прав

7 ПЕРЕИЗДАНИЕ. Март 2022 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

В настоящем стандарте содержатся рекомендации по выбору и применению различных технологий, которые могут быть использованы для совершенствования понимания неопределенности и риска.

Технологии оценки риска используются в тех случаях, когда:

- требуется понимание того, какие риски существуют, или углубленное понимание конкретного риска;

- при необходимости выбора, сравнения и оптимизации альтернативных решений с учетом риска;

- в рамках процесса управления рисками, для выбора оптимальных методов обработки риска.

Технологии используются на этапах оценки риска для идентификации, анализа и сравнительной оценки риска, описанных в ИСО 31000, и в целом, когда есть необходимость понять неопределенность и ее последствия.

Технологии, описанные в настоящем стандарте, могут использоваться для решения широкого класса задач, однако большинство из них возникло в технической области. Некоторые технологии схожи по своей концепции, но имеют разные названия и методологию, которые отражают историю их развития в разных секторах. Технологии эволюционировали со временем и продолжают развиваться, многие могут использоваться в широком диапазоне ситуаций помимо их первоначального применения. Технологии могут быть адаптированы, объединены и применены по-новому или расширены для удовлетворения текущих и будущих потребностей.

Международный стандарт МЭК 31010 был выбран в качестве основы для разработки настоящего стандарта, поскольку он представляет собой введение в описываемые в настоящем стандарте технологии и сравнивает их возможные приложения, преимущества и ограничения. В МЭК 31010 указано, что приведенный перечень технологий оценки рисков не является исчерпывающим и может быть расширен.

Технологии оценки риска, описанные в настоящем стандарте, дополнены с учетом российской практики управления рисками организаций.

Потенциальная аудитория этого стандарта:

- лица, участвующие в оценке риска;

- стороны, которые участвуют в разработке руководств, описывающих способы оценки риска в конкретных средах;

- лица, которые должны принимать решения в условиях неопределенности, включая:

1) тех, кто заказывает или оценивает оценку рисков;

2) тех, кто должен понимать результаты оценок;

3) тех, кто должен выбирать технологии оценки для удовлетворения конкретных потребностей.

Организации, которые обязаны проводить оценку рисков в целях соблюдения или соответствия, выиграют от использования соответствующих формальных и стандартизированных технологий оценки риска.

     1 Область применения

Настоящий стандарт является руководством по выбору и применению технологий оценки риска в широком спектре задач. Технологии используются для оказания помощи и содействия в принятии решений в случаях неопределенности, предоставления информации о конкретных рисках и в рамках процесса управления рисками.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения национального стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р ИСО 31000, ГОСТ Р 51897-2011/Руководство ИСО 73:2009, а также следующие термины с соответствующими определениями:

3.1 возможность (opportunity): Сочетание обстоятельств, благоприятных для достижения цели.

Примечания

1 Возможность является потенциальной выгодой или другим желаемым результатом.

2 Возможность одной стороны может представлять угрозу для другой.

3.2 фактор риска (risk driver): Фактор, который оказывает существенное влияние на риск.

3.3 угроза (threat): Потенциальный источник опасности, вреда и т.д.

     4 Основные понятия

     4.1 Неопределенность

Неопределенность - это термин, охватывающий многие основные понятия. Было предпринято много попыток и продолжается работа, которая позволит классифицировать типы неопределенности.

Один из подходов к типизации, который может быть полезен, предполагает два основных типа неопределенности:

- неопределенность, которая признает внутреннюю изменчивость некоторых явлений и которая не может быть уменьшена путем дальнейших исследований; например бросание кости (иногда ее называют алеаторной неопределенностью, или неопределенностью случайного события);

- неопределенность, которая обычно возникает из-за отсутствия знаний и поэтому может быть уменьшена путем сбора большего количества данных, уточнения моделей, совершенствования методов выборки и т.д. (иногда ее называют эпистемической неопределенностью, или неопределенностью, зависящей от уровня знания).

Во многих ситуациях встречаются оба типа неопределенности.

Другие общепризнанные типы неопределенности включают:

- лингвистическую неопределенность, которая признает нечеткость и двусмысленность, присущие разговорным языкам;

- неопределенность в решении, которая имеет особое отношение к стратегиям менеджмента риска и которая показывает неопределенность, связанную с системами ценностей, профессиональным суждением, ценностями компаний и социальными нормами.

Таким образом, неопределенность в более широком смысле может охватывать:

- неопределенность относительно достоверности допущений, включая предположения о том, как люди или системы могут себя вести;

- изменчивость параметров, на которых должно основываться решение;

- неопределенность в отношении применимости или точности моделей, которые были созданы для прогнозирования будущего;

- события (включая изменения обстоятельств), появление или характер которых являются неопределенными;

- неопределенность, связанную с разрушительными или прорывными событиями;

- неопределенность в отношении результатов системных вопросов, таких как нехватка компетентного персонала, что может иметь широкомасштабное воздействие, которое не может быть четко определено;

- отсутствие знаний о чем-либо;

- отсутствие знания, которое возникает, когда неопределенность признается, но не полностью понята;

- непредсказуемость;

- неспособность человеческого разума распознавать сложные данные, ситуации с долгосрочными последствиями, судить без предвзятости.

Не вся неопределенность может быть понята, и ее значение может быть трудно или невозможно определить. Однако признание того факта, что неопределенность существует в конкретной области, позволяет внедрять системы раннего предупреждения для выявления изменений и механизмы, которые необходимо использовать для повышения устойчивости к непредвиденным обстоятельствам.

     4.2 Характеристики риска

В общем случае риск включает в себя последствия любой из форм неопределенности, описанных в 4.1.

Один из способов описания риска - это формирование набора последствий и их вероятностей, которые могут возникнуть в результате определенных, но изменчивых событий. Они могут иметь несколько причин и привести к нескольким последствиям. Не все риски могут быть описаны в этих условиях. Не всегда существует идентифицируемое событие. Кроме того, источники риска могут включать присущую неопределенность, поведенческие аспекты, быть связаны с организационной структурой и договоренностями. Также последствия могут принимать ряд дискретных значений, быть непрерывными, переменными или быть неизвестными. Они могут быть положительными, отрицательными или и тем и другим. Последствия могут быть не заметны или не оценены вначале, но могут накапливаться с течением времени. Из этого следует, что риск не всегда может быть легко скомбинирован в виде множества событий, их последствий и вероятностей.

Технологии оценки риска направлены на то, чтобы помочь людям понять неопределенность и связанный с ней риск в более широкой, более сложной и разнообразной области применения с целью обеспечения более обоснованных решений и действий.

     5 Использование и преимущества технологий оценки риска

     5.1 Использование технологий оценки риска

ГОСТ Р ИСО 31000 описывает принципы управления рисками, основы и организационные механизмы, которые позволяют управлять рисками. В нем определен процесс, в рамках которого существует возможность распознавать, понимать и изменять риск в соответствии с критериями, которые устанавливаются в рамках этого же процесса. Технологии оценки риска могут применяться в рамках данного структурированного подхода для определения области применения, среды и критериев, оценки риска, обработки риска, мониторинга и пересмотра, документирования и отчетности, обмена информацией и консультирования. Этот процесс проиллюстрирован на рисунке 1, где также приведены примеры того, где, в рамках процесса, данные техники могут быть применены. В ГОСТ Р ИСО 31000 оценка рисков включает в себя идентификацию рисков, их анализ и использование информации, полученной в результате анализа, для сравнительной оценки риска и формирования выводов относительно их значимости по отношению к целям и показателям эффективности деятельности организации. Этот процесс вносит вклад в принятие решений о том, требуется ли обработка риска, каковы приоритеты обработки и какие мероприятия, направленные на снижение риска, необходимо предпринять. На практике данный подход носит итеративный характер.

Технологии оценки риска, описанные в этом документе, применяются в следующих случаях:

- когда необходимо принять решение с учетом неопределенности;

- в рамках решения, в котором необходимо сравнить/оптимизировать ряд вариантов;

- когда требуется большее понимание существующих рисков или конкретного риска;

- как часть любого процесса принятия решений об обработке риска.