ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска (Переиздание)

     6.5 Применение результатов для поддержки решений

6.5.1 Обзор

Результаты анализа рисков являются вкладом в принимаемые решения или действия, которые необходимо предпринять. Факторы, которые следует учитывать при принятии решений, и некоторые специфические критерии должны определяться как часть процедуры определения области применения для целей оценки (см. 6.1.5).

Можно различать два типа решений:

- решение, которое предполагает сравнение вариантов, в каждом из которых есть неопределенность (например, какой из нескольких возможностей следует придерживаться);

- решение о том, следует ли и каким образом снижать риск.

6.5.2 Решения, предусматривающие выбор между вариантами

Выбор между вариантами обычно включает в себя взвешивание потенциальных преимуществ и недостатков каждого отдельного варианта с учетом:

- неопределенности, связанной с потенциальными исходами каждого варианта и оценкой затрат и выгод;

- потенциальных событий, которые могут повлиять на результаты;

- риск-аппетита организации;

- различных взглядов и убеждений причастных сторон;

- различных величин, которые вовлеченные стороны определяют для себя в качестве затрат и выгод;

- компромиссов, которые могут требовать нелогичного выбора между конкурирующими целями.

Такой тип решения часто делается с использованием экспертного заключения на основе понимания результатов анализа имеющихся вариантов и рисков, связанных с каждым из них.

Технологии, которые помогают в сравнении вариантов, описаны в Б.7.

6.5.3 Решения о рисках и обработке риска

Информацию об идентификации и анализе рисков можно применять при формировании выводов о том, следует ли принимать риск, а также для сравнения значимости риска с точки зрения влияния риска на цели с границами эффективности деятельности организации. Это дает возможность принимать решения о приемлемости риска или необходимости воздействия на него, а также приоритетов данного воздействия.

Приоритеты для воздействия, мониторинга или более подробного анализа риска часто основаны на величине риска, получаемой путем объединения репрезентативного последствия риска и его вероятности, и отображения результата с использованием матрицы вероятностей и последствий (см. Б.9.3). Этот метод, однако, ограничен теми рисками, для которых может быть определена только одна пара вероятности и последствий (см. 6.3.5.4). К факторам, отличным от величины риска, которые могут быть приняты во внимание при определении приоритетов, относятся:

- другие меры, связанные с таким риском, как, например, максимальные или ожидаемые последствия или эффективность управления;

- мнения и представления причастных сторон;

- стоимость и практическая ценность дальнейшей обработки риска по сравнению с уровнем его снижения;

- взаимодействие между рисками, включая результаты воздействия на другие риски.

Некоторые технологии оценки значимости риска рассмотрены в Б.8.

После того, как риски были оценены и было принято решение об обработке рисков, процесс оценки риска может быть повторен, чтобы убедиться, что предлагаемые технологии воздействия не вызвали дополнительных неблагоприятных рисков и что риск теперь находится в рамках риск-аппетита организации.