IV. Понятие оценки риска

4.1. Цели и преимущества.

Основной целью оценки риска является представление на основе объективных свидетельств информации, необходимой для принятия обоснованного решения относительно способов обработки риска.

Оценка риска обеспечивает:

  1. понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей организации;
  2. получение информации, необходимой для принятия решений;
  3. понимание опасности и ее источников;
  4. идентификацию ключевых факторов, формирующих риск, уязвимых мест организации и ее систем;
  5. возможность сравнения риска с риском альтернативных организаций, технологий, методов и процессов;
  6. обмен информацией о риске и неопределенностях;
  7. информацию, необходимую для ранжирования риска;
  8. предотвращение новых инцидентов на основе исследования последствий произошедших инцидентов;
  9. выбор способов обработки риска;
  10. соответствие правовым и обязательным требованиям;
  11. получение информации, необходимой для обоснованного решения о принятии риска в соответствии с установленными критериями;
  12. оценку риска на всех стадиях жизненного цикла продукции.

4.2. Оценка риска и структура менеджмента риска.

Оценка риска, установленная в настоящем стандарте, соответствует структуре и процессу менеджмента риска, установленным ИСО 31000.

Структура менеджмента риска предусматривает установление политики, процедуры и организационных мероприятий, направленных на внедрение менеджмента риска во всех подразделениях организации.

Организация должна официально сформулировать политику и стратегию в области менеджмента риска, а также применять соответствующие методы оценки риска.

Ответственные за оценку риска должны знать:

  1. область деятельности и цели организации;
  2. уровень приемлемого риска и способы обработки неприемлемого риска;
  3. способы интеграции процессов оценки риска в процессы менеджмента организации;
  4. методы оценки риска и способы их применения в процессе менеджмента риска;
  5. систему подотчетности, распределения ответственности и полномочий в области оценки риска;
  6. требуемые и доступные ресурсы для выполнения оценки риска;
  7. способы регистрации и анализа оценки риска.

4.3. Оценка риска и процесс менеджмента риска.

4.3.1 Общие положения.

Оценка риска является основным элементом процесса менеджмента риска, включающего в соответствии с ИСО 31000 следующие элементы:

  1. обмен информацией и консультации;
  2. установление области применения менеджмента риска;
  3. оценку риска (включая идентификацию риска, анализ риска и сравнительную оценку риска);
  4. обработку риска;
  5. мониторинг и анализ риска.

Являясь основным элементом процесса менеджмента риска, деятельность по оценке риска должна быть интегрирована в другие элементы этого процесса.

4.3.2 Обмен информацией и консультации.

Результативность оценки риска зависит от эффективности обмена информацией и консультаций с причастными сторонами.

Вовлечение причастных сторон в процесс менеджмента риска является полезным при:

  1. разработке плана обмена информацией;
  2. определении области применения менеджмента риска;
  3. изучении и анализе интересов причастных сторон;
  4. совмещении и гармонизации различных областей знаний для идентификации и анализа риска;
  5. анализе различных мнений в оценке риска;
  6. обеспечении соответствующей идентификации риска;
  7. обеспечении одобрения и поддержки плана обработки риска.

Причастные стороны должны способствовать обмену информацией о процессе менеджмента риска с другими элементами менеджмента, такими как управление изменениями, разработка и управление программ и проектов, а также финансовый менеджмент.

4.3.3 Установление области применения менеджмента риска.

При установлении области применения менеджмента риска определяют основные параметры управления, область применения и критерии процесса менеджмента риска. При этом должен быть проведен анализ внутренних и внешних параметров области применения, относящихся к организации в целом, а также определена специфика оцениваемого риска.

При установлении области применения менеджмента риска должны быть определены и согласованы цели оценки риска, критерии риска и программа оценки риска.

При установлении области применения менеджмента риска в рамках процесса оценки риска определяют внешнюю и внутреннюю среду организации, цель деятельности организации в области менеджмента риска, а также проводят классификацию опасных событий.

a) Установление внешней области применения включает определение внешних условий, в которых функционирует организация, в том числе:

  1. внешнюю среду, связанную с ведением бизнеса, социальной и экологической сферой деятельности, правовыми и обязательными требованиями, культурными факторами, конкуренцией, финансовым положением и политикой государства на международном, национальном, региональном или местном уровне;
  2. ключевые тенденции и мотивы, влияющие на достижение целей организации;
  3. значимость внешних причастных сторон и их восприятие риска.

b) Установление внутренней области применения включает определение:

  1. возможностей организации с точки зрения ресурсов и информации в области риска;
  2. информационных потоков и процессов принятия решений;
  3. внутренних причастных сторон;
  4. целей и задач организации, а также стратегий, необходимых для их достижения;
  5. восприятия организацией риска и его значимости для организации;
  6. политики и процессов организации;
  7. стандартов и применяемых сравнительных моделей, принятых организацией,
  8. структуры организации (например, системы управления, распределения функций и ответственности).

c) Установление целей в области менеджмента риска предусматривает:

  1. определение распределения обязанностей, ответственности и подотчетности;
  2. определение необходимых действий в области менеджмента риска с учетом установленных ограничений и исключений;
  3. определение размера и объема рассматриваемых проекта, процесса, функции или деятельности с учетом условий ограничения по времени и местоположению;
  4. определение взаимосвязи рассматриваемого проекта с деятельностью и другими проектами организации;
  5. определение методов оценки риска;
  6. определение критериев риска;
  7. определение критериев оценки действий в области менеджмента риска;
  8. идентификацию и определение требований к принимаемым решениям и предпринимаемым действиям;
  9. определение, при необходимости исследований, цели и глубины исследований, а также требуемых для этого ресурсов.

d) Определение критериев риска включает в себя установление:

  1. характера и типа последствий реализации опасных событий и способов их оценки;
  2. методов оценки вероятности опасного события;
  3. методов установления уровней риска;
  4. критериев принятия решений при необходимости обработки риска;
  5. критериев приемлемости риска;
  6. возможности одновременного возникновения различных видов опасных событий и особенности соответствующего риска.

При разработке критериев могут быть использованы следующие источники информации:

  1. цели процесса менеджмента риска;
  2. критерии, установленные в требованиях;
  3. общие источники данных;
  4. общепринятые в промышленности критерии, такие как уровень общей безопасности;
  5. уровень риска организации;
  6. правовые, обязательные и иные требования для оборудования или видов деятельности.

4.3.4 Оценка риска.

Оценка риска - процесс, объединяющий идентификацию, анализ и сравнительную оценку риска.

Риск может быть оценен для всей организации, ее подразделений, отдельных проектов, деятельности или конкретного опасного события. Поэтому в различных ситуациях могут быть применены различные методы оценки риска.

Оценка риска обеспечивает понимание возможных опасных событий, их причин и последствий, вероятности их возникновения и принятие решений:

  1. о необходимости предпринимать соответствующие действия;
  2. о способах максимальной реализации всех возможностей снижения риска;
  3. о необходимости обработки риска;
  4. о выборе между различными видами риска;
  5. о приоритетности действий по обработке риска;
  6. о выборе стратегии обработки риска, позволяющей снизить риск до приемлемого уровня.

4.3.5 Обработка риска.

После завершения оценки риска принимают и выполняют одно или несколько решений об обработке риска, позволяющих изменить вероятность возникновения опасного события и/или его воздействие.

Обработка риска обычно является адаптивным процессом проверки риска на его приемлемость и соответствие ранее установленным критериям для определения необходимости дальнейшей обработки риска.

4.3.6 Мониторинг и анализ.

Мониторинг и анализ риска являются составной частью процесса менеджмента риска. Регулярное проведение мониторинга, анализа и управления риском направлены на проверку:

  1. достоверности предположений о риске;
  2. достоверности предположений, на которых основана оценка риска, включая внешние и внутренние области применения;
  3. достижимости ожидаемых результатов;
  4. соответствия результатов оценки риска фактической информации о риске;
  5. правильности применения методов оценки риска;
  6. эффективности обработки риска.

Процессы мониторинга и анализа риска должны быть документированы, а результаты мониторинга и анализа риска зафиксированы в отчете.