ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска

     5 Процесс оценки риска

5.1 Краткий обзор

Благодаря глубокому исследованию риска оценка риска помогает лицам, принимающим решения, и ответственным сторонам влиять на достижение поставленных целей, а также выбирать адекватные и эффективные средства управления риском. Оценка риска является основой для принятия решений по обработке риска. Выходные данные процесса оценки риска являются входными данными процессов принятия решений в организации.

Оценка риска является процессом, объединяющим идентификацию, анализ риска и сравнительную оценку риска (см. рисунок 1). Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.

     
Рисунок 1 - Входные данные процесса общей оценки риска

При проведении оценки риска может потребоваться применение мультидисциплинарного подхода, так как риски могут попадать в широкий диапазон причин и последствий.

5.2 Идентификация риска

Идентификация риска - это процесс определения элементов риска, составления их перечня и описания каждого из элементов риска.

Целью идентификации риска является составление перечня источников риска и событий, которые могут повлиять на достижение каждой из установленных целей организации или сделать выполнение этих целей невозможным. После идентификации риска организация должна идентифицировать существенные особенности проекта, персонал, процессы, системы и средства управления.

Процесс идентификации риска включает в себя идентификацию причин и источников опасных событий, ситуаций, обстоятельств или риска, которые могут оказать существенное воздействие на достижение целей организации, и характер этих воздействий.

Методы идентификации риска могут включать в себя:

- методы оценки риска на основе документальных свидетельств, примерами которых являются анализ контрольных листов, анализ экспериментальных данных, а также данных и событий, произошедших в прошлом;

- подход, в соответствии с которым группа экспертов следует установленному процессу идентификации риска посредством структурированного множества подсказок или вопросов;

- индуктивные методы, такие как HAZOP.

Для повышения точности и полноты идентификации риска могут быть использованы различные вспомогательные методы, например метод мозгового штурма и метод Дельфи.

Независимо от фактически используемых методов при идентификации риска важно учитывать человеческие и организационные факторы. Отклонения, вызванные воздействием человеческих и организационных факторов, а также опасные события, связанные с информационными технологиями, должны быть учтены в процессе идентификации риска.

5.3 Анализ риска

5.3.1 Общие положения

Анализ риска включает в себя анализ и исследование информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также помогает выбрать соответствующие стратегии и методы обработки риска.

Анализ риска включает анализ вероятности и последствий идентифицированных опасных событий с учетом наличия и эффективности применяемых способов управления. Данные о вероятности событий и их последствиях используют для определения уровня риска.

Также анализ риска включает анализ источников опасных событий, их положительных и отрицательных последствий и вероятностей появления этих событий. При этом должны быть идентифицированы факторы, влияющие на вероятность события и его последствия. Событие может иметь множественные последствия и может влиять на различные цели. Также должны быть учтены результаты применения и эффективность существующих методов управления. Различные методы анализа риска описаны в приложении B. В сложных ситуациях может быть применено несколько методов.

Анализ риска обычно включает оценку диапазона возможных последствий события, ситуации или обстоятельств и соответствующих им вероятностей для определения уровня риска. Однако в некоторых случаях, например, когда последствия незначительны или вероятность события чрезвычайно низка, для принятия решений может быть достаточно исследований только одного параметра.

В некоторых случаях последствие может быть результатом реализации нескольких событий или неидентифицированного события. В этом случае оценку риска необходимо сосредоточить на анализе значимости и уязвимости компонентов исследуемой системы. При этом следует определить методы обработки риска, соответствующие уровни защиты и стратегии восстановления.

Методы, используемые при анализе риска, могут быть качественными, количественными или смешанными. Степень глубины и детализации анализа зависит от конкретной ситуации, доступности достоверных данных и потребностей организации, связанных с принятием решений. Некоторые методы и степень детализации анализа могут быть установлены в соответствии с правовыми и обязательными требованиями.

При качественной оценке риска определяют последствия, вероятность и уровень риска по шкале "высокий", "средний" и " низкий"; оценка последствий и вероятности может быть объединена; сравнительную оценку уровня риска в этом случае проводят в соответствии с качественными критериями.

В смешанных методах используют числовую шкалу оценки последствий, вероятности и их сочетания для определения уровня риска по соответствующей формуле. Шкалы могут быть линейными, логарифмическими или могут быть построены по другим принципам. Используемые формулы соответственно могут быть различными.

При количественном анализе оценивают практическую значимость и стоимость последствий, их вероятности и получают значение уровня риска в определенных единицах, установленных при разработке области применения менеджмента риска. Полный количественный анализ не всегда может быть возможен или желателен из-за недостаточной информации об анализируемой системе, видах деятельности организации, недостатка данных, влияния человеческого фактора и т.п. или потому, что такой анализ не требуется, или трудозатраты на количественный анализ слишком велики. В таком случае ранжирование рисков высококвалифицированными специалистами может быть более эффективно.