ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска (Переиздание)

     Б.9 Технологии отчетности и документирования рисков

Б.9.1 Общие положения

В этом разделе рассматриваются технологии, используемые для подготовки отчетности и документирования общей информации о рисках. Требования к подробным отчетам приведены в разделе 6.6.

Обычный подход к отчетности и документированию информации о рисках заключается в том, чтобы ввести основную информацию о каждом риске в реестр рисков, например, в виде электронной таблицы или базы данных (см. Б.9.2). Некоторые риски могут потребовать более сложного описания, чем может быть изложено в обычном реестре рисков. Например, описание может потребовать включения нескольких источников риска, приводящих к одному событию, нескольких возможных результатов от одного события или источника, срабатывания эффектов и потенциальных сбоев управления. Диаграмма галстук-бабочка является примером инструмента, который можно использовать для организации и передачи такой информации (см. Б.4.2).

Информация о величине риска также может быть представлена несколькими различными способами.

Наиболее распространенный способ предполагает использование матрицы последствий/вероятности (см. Б.9.3). Помимо вероятности, последствий и уровня риска, обозначенных позицией в матрице, в ней также может быть представлена дополнительная информация, такая как характер контролей, степень выполнения мероприятий по обработке риска и т.д., через размер точек, обозначающих риск, или их цвет.

Матрица последствий/вероятности требует, чтобы риск мог быть представлен одной комбинацией последствий и вероятности. Риски, к которым данный подход неприменим, иногда могут быть представлены функцией распределения вероятности или плотности распределения вероятностей (см. Б.9.4).

Б.9.2 Реестры рисков

Б.9.2.1 Обзор

Реестр рисков объединяет информацию о рисках для информирования лиц, подвергающихся риску, и тех, кто несет ответственность за управление ими. Он может быть сформирован в бумажном виде или в виде базы данных и обычно включает в себя:

- краткое описание риска (например, название, последствия и последовательность событий);

- заявление о вероятности возникновения последствий;

- источники или причины риска;

- информацию о том, что в настоящее время делается для управления риском.

Риски могут быть классифицированы по разным категориям для эффективности отчетности (см. Б.2.2).

Риски обычно перечисляются как отдельные события, но взаимозависимости могут быть отмечены. При записи информации о рисках следует четко определять различия между рисками (потенциальные последствия того, что может произойти), источниками риска (как и почему это может произойти) и неэффективными мерами по управлению ими. Также может быть полезно указать признаки того, что событие может произойти в ближайшее время.

Многие реестры рисков также включают некоторый рейтинг значимости риска, указание того, считается ли риск приемлемым или допустимым, или требуется ли дальнейшая обработка риска и причины этого решения. Если рейтинг значимости применяется к риску, основанному на последствиях и их вероятности, он должен учитывать вероятность того, что меры по управлению риском будут неэффективны. Неэффективным мерам по управлению риском не должен присваиваться уровень риска, как если бы это был отдельный риск.

Риски с положительными последствиями могут быть записаны в том же документе, что и те, где последствия являются отрицательными, или отдельно. Возможности (которые представляют собой обстоятельства или идеи, которые могут быть использованы, а не случайные события) обычно документируются отдельно и анализируются таким образом, чтобы учитывать издержки, выгоды и любые потенциальные негативные последствия. Такой документ иногда называют реестром стоимости и возможностей.

Б.9.2.2 Использование

Реестр рисков используется для документирования и отслеживания информации об отдельных рисках и управлении ими. Он может использоваться для передачи информации о рисках причастным сторонам и выделения особо важных рисков. Он может использоваться на корпоративном уровне, уровне подразделения или проекта, но, как правило, наиболее часто используется на операционном уровне, где существует большое количество рисков и мер по управлению и обработке риска, которые необходимо отслеживать. Информация из реестра рисков может быть консолидирована для предоставления информации для высшего руководства.

Реестр рисков может использоваться в качестве основы для отслеживания реализации методов обработки риска, поэтому он может содержать информацию о данных методах и способах их реализации или ссылаться на другие документы или базы данных с этой информацией (в такую информацию могут входить владельцы рисков, действия, владельцы действий, краткие сводки дел, бюджеты и сроки и т.д.). В некоторых ситуациях может быть предусмотрена определенная форма реестра рисков.

Б.9.2.3 Входы

Входы в реестр рисков, как правило, являются результатом технологий оценки риска, таких как описанные в разделах Б.1-Б.4, дополненные отчетами об ошибках.

Б.9.2.4 Выход

Результатом является запись информации о рисках.

Б.9.2.5 Сильные стороны и ограничения.

Сильные стороны реестров рисков:

- информация о рисках объединяется в форму, в которой можно определить и отслеживать требуемые действия;

- информация о различных рисках представлена в сопоставимом формате, который может использоваться для определения приоритетов и к которому относительно легко обращаться для получения информации;