V. Процесс оценки риска

5.1. Краткий обзор.

Благодаря глубокому исследованию риска оценка риска помогает лицам, принимающим решения, и ответственным сторонам влиять на достижение поставленных целей, а также выбирать адекватные и эффективные средства управления риском. Оценка риска является основой для принятия решений по обработке риска. Выходные данные процесса оценки риска являются входными данными процессов принятия решений в организации.

Оценка риска является процессом, объединяющим идентификацию, анализ риска и сравнительную оценку риска (см. рисунок 1). Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.

Рисунок 1 - Входные данные процесса общей оценки риска

Рисунок 1 - Входные данные процесса общей оценки риска

Рисунок 1 - Входные данные процесса общей оценки риска

При проведении оценки риска может потребоваться применение мультидисциплинарного подхода, так как риски могут попадать в широкий диапазон причин и последствий.

5.2. Идентификация риска.

Идентификация риска - это процесс определения элементов риска, составления их перечня и описания каждого из элементов риска.

Целью идентификации риска является составление перечня источников риска и событий, которые могут повлиять на достижение каждой из установленных целей организации или сделать выполнение этих целей невозможным. После идентификации риска организация должна идентифицировать существенные особенности проекта, персонал, процессы, системы и средства управления.

Процесс идентификации риска включает в себя идентификацию причин и источников опасных событий, ситуаций, обстоятельств или риска, которые могут оказать существенное воздействие на достижение целей организации, и характер этих воздействий.

Методы идентификации риска могут включать в себя:

  1. методы оценки риска на основе документальных свидетельств, примерами которых являются анализ контрольных листов, анализ экспериментальных данных, а также данных и событий, произошедших в прошлом;
  2. подход, в соответствии с которым группа экспертов следует установленному процессу идентификации риска посредством структурированного множества подсказок или вопросов;
  3. индуктивные методы, такие как HAZOP.

Для повышения точности и полноты идентификации риска могут быть использованы различные вспомогательные методы, например метод мозгового штурма и метод Дельфи.

Независимо от фактически используемых методов при идентификации риска важно учитывать человеческие и организационные факторы. Отклонения, вызванные воздействием человеческих и организационных факторов, а также опасные события, связанные с информационными технологиями, должны быть учтены в процессе идентификации риска.

5.3. Анализ риска.

5.3.1. Общие положения.

Анализ риска включает в себя анализ и исследование информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также помогает выбрать соответствующие стратегии и методы обработки риска.

Анализ риска включает анализ вероятности и последствий идентифицированных опасных событий с учетом наличия и эффективности применяемых способов управления. Данные о вероятности событий и их последствиях используют для определения уровня риска.

Также анализ риска включает анализ источников опасных событий, их положительных и отрицательных последствий и вероятностей появления этих событий. При этом должны быть идентифицированы факторы, влияющие на вероятность события и его последствия. Событие может иметь множественные последствия и может влиять на различные цели. Также должны быть учтены результаты применения и эффективность существующих методов управления. Различные методы анализа риска описаны в приложении B. В сложных ситуациях может быть применено несколько методов.

Анализ риска обычно включает оценку диапазона возможных последствий события, ситуации или обстоятельств и соответствующих им вероятностей для определения уровня риска. Однако в некоторых случаях, например, когда последствия незначительны или вероятность события чрезвычайно низка, для принятия решений может быть достаточно исследований только одного параметра.

В некоторых случаях последствие может быть результатом реализации нескольких событий или неидентифицированного события. В этом случае оценку риска необходимо сосредоточить на анализе значимости и уязвимости компонентов исследуемой системы. При этом следует определить методы обработки риска, соответствующие уровни защиты и стратегии восстановления.

Методы, используемые при анализе риска, могут быть качественными, количественными или смешанными. Степень глубины и детализации анализа зависит от конкретной ситуации, доступности достоверных данных и потребностей организации, связанных с принятием решений. Некоторые методы и степень детализации анализа могут быть установлены в соответствии с правовыми и обязательными требованиями.

При качественной оценке риска определяют последствия, вероятность и уровень риска по шкале "высокий", "средний" и " низкий"; оценка последствий и вероятности может быть объединена; сравнительную оценку уровня риска в этом случае проводят в соответствии с качественными критериями.

В смешанных методах используют числовую шкалу оценки последствий, вероятности и их сочетания для определения уровня риска по соответствующей формуле. Шкалы могут быть линейными, логарифмическими или могут быть построены по другим принципам. Используемые формулы соответственно могут быть различными.

При количественном анализе оценивают практическую значимость и стоимость последствий, их вероятности и получают значение уровня риска в определенных единицах, установленных при разработке области применения менеджмента риска. Полный количественный анализ не всегда может быть возможен или желателен из-за недостаточной информации об анализируемой системе, видах деятельности организации, недостатка данных, влияния человеческого фактора и т.п. или потому, что такой анализ не требуется, или трудозатраты на количественный анализ слишком велики. В таком случае ранжирование рисков высококвалифицированными специалистами может быть более эффективно.

Если применен качественный анализ риска, четкие объяснения всех используемых терминов и принципов, лежащих в основе критериев, должны быть зарегистрированы в виде записей.

В случае применения количественного анализа необходимо помнить, что уровни вычисленного риска являются только оценками. Необходимо обеспечить согласованность неопределенностей полученных оценок с уровнем точности и прецизионности используемых методов и данных.

Уровни риска должны быть выражены в соответствующих терминах для конкретного вида риска в наиболее удобной форме. В некоторых случаях значение риска может быть выражено в виде распределения вероятностей диапазона последствий.

5.3.2. Оценка методов управления.

Уровень риска зависит от адекватности и эффективности применяемых методов управления. Для оценки методов управления риском необходимо ответить на следующие вопросы:

  1. Какие методы применяют для снижения конкретного риска?
  2. Действительно ли применение этих методов приводит к обработке риска, обеспечивающей достижение приемлемого уровня риска?
  3. Действительно ли эти методы управления риском работают, как запланировано, и их эффективность при необходимости может быть продемонстрирована?

Ответы на эти вопросы можно получить только при наличии установленных в организации документации и процессов.

Уровень эффективности конкретного метода управления или комбинации взаимосвязанных методов может быть выражен в виде качественной, смешанной или количественной оценки. В большинстве случаев высокую точность такой оценки обеспечить очень трудно. Однако целесообразно применение мер повышения уровня эффективности метода управления риском, на основе которых можно сделать вывод о том, какие действия необходимы и наиболее предпочтительны для улучшения управления риском или обеспечения различных видов обработки риска.

5.3.3. Анализ последствий.

При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств. Событие может оказать несколько воздействий различной значимости, повлиять на достижение нескольких целей и затронуть интересы причастных сторон организации. Вовлеченные причастные стороны и типы последствий, которые необходимо проанализировать, определяют при установлении области применения менеджмента риска.

Анализ последствий может изменяться от простого описания результатов до детализированного количественного моделирования ситуации, процессов и анализа уязвимостей.

Воздействия могут иметь небольшие последствия, но высокую вероятность появления или значимые последствия и низкую вероятность появления, а также любой промежуточный вариант. В некоторых случаях уместно сосредоточиться на опасных событиях с очень опасными последствиями, поскольку именно эти события вызывают наибольшее беспокойство. В других случаях важно проанализировать отдельно последствия с высокой и низкой значимостью для организации. Например, часто повторяющиеся, незначительные по воздействию события могут иметь большие совокупные или долгосрочные последствия. Кроме того, действия по обработке этих ситуаций риска зачастую различны, поэтому их полезно проанализировать отдельно.

Анализ последствий может включать в себя следующее:

  1. учет существующих методов управления риском, направленных на снижение последствий и всех сопутствующих факторов, влияющих на последствия;
  2. исследование взаимосвязи последствий опасного события и установленных целей;
  3. раздельное изучение отдаленных последствий события и происходящих в настоящий момент времени, если они включены в область применения оценки риска;
  4. рассмотрение вторичных последствий, таких как последствия, воздействующие на взаимосвязанные системы, виды деятельности, оборудование или организацию.

5.3.4. Анализ и оценка вероятности.

Для оценки вероятности обычно применяют следующие три общих подхода, которые могут быть использованы как самостоятельно, так и совместно:

  1. Использование соответствующих хронологических данных для идентификации события или ситуации, произошедших в прошлом и допускающих возможность экстраполяции вероятности их появления в будущем. Используемые данные должны относиться к рассматриваемым системам, оборудованию, организациям или видам деятельности, а также к требованиям деятельности организации. Если в соответствии с имеющимися данными частота появления события очень низка, то все оценки вероятности будут иметь высокую неопределенность. Это характерно для ситуаций, вероятность появления которых близка к нулю, когда появление события, ситуации или обстоятельств в будущем очень маловероятно.
  2. Использование для оценки вероятности методов прогнозирования, таких как анализ дерева ошибок и анализ дерева событий (см. приложение B). Если хронологические данные недоступны или недостоверны, то для оценки вероятности необходимо провести анализ системы, деятельности, оборудования или организации и соответствующих отказов или работоспособных состояний. Для оценки вероятности главного события числовые данные для оборудования, персонала, организации и систем, полученные на основе эксплуатации и из опубликованных источников данных, следует использовать совместно. При применении методов прогнозирования важно обеспечить полноту анализа общей причины возможности появления отказов, включающих отказы различных частей или компонентов системы, вызванные одной причиной. Для оценки вероятности отказов оборудования и систем, а также их элементов, вызванных процессами износа, применяют методы моделирования, позволяющие учесть влияние неопределенности.
  3. Использование экспертных оценок в систематизированном и структурированном процессе оценки вероятности. Для получения экспертных оценок следует использовать всю доступную информацию, включая хронологические данные, сведения об особенностях системы, специфике организации, экспериментальные данные и т.д. Существуют формализованные методы получения экспертных оценок, которые помогают формулировать соответствующие вопросы. Доступные методы включают в себя методы Дельфи, попарного сравнения, ранжирования по категориям оценки и абсолютных оценок.

5.3.5 Предварительный анализ.

Необходимо провести анализ опасных событий, чтобы идентифицировать наиболее существенные виды опасности, исключить менее существенные или незначительные виды опасности из дальнейшего анализа. Основной целью предварительного анализа является сосредоточение ресурсов на самых важных видах опасных событий и риска. Важно не пропустить события с высокой частотой появления и существенным совокупным риском.

Анализ должен быть основан на критериях, установленных в области применения менеджмента риска. На этапе предварительного анализа принимают следующие решения:

  1. проводить обработку риска без дальнейшей оценки;
  2. исключить из обработки незначительные виды риска, обработка которых неоправданна и нецелесообразна;
  3. продолжить более детальную оценку риска.

Исходные предположения и полученные результаты должны быть зарегистрированы.

5.3.6. Неопределенность и чувствительность.

Часто анализу риска присуща значительная неопределенность. Понимание неопределенности необходимо для эффективной интерпретации результатов анализа риска и соответствующего обмена информацией. Анализ неопределенности, соответствующий данным методам и моделям, используемым для идентификации и анализа риска, играет важную роль. Анализ неопределенности включает определение погрешностей результатов, вызванных изменениями параметров и предположений. С анализом неопределенности тесно связан анализ чувствительности.

Анализ чувствительности включает в себя определение амплитуды изменений риска в зависимости от изменений отдельных индивидуальных входных параметров. Такой анализ применяют для идентификации данных, для которых необходима высокая точность, и данных, к точности которых риск менее чувствителен.

Полнота и точность анализа риска должны быть обеспечены настолько, насколько возможно. Источники неопределенности должны быть идентифицированы для всех исследуемых показателей, поэтому следует использовать всю известную информацию о неопределенности применяемых моделей, методов и данных. Результаты анализа параметров чувствительности должны быть установлены.

5.4. Сравнительная оценка риска.

Сравнительная оценка риска включает в себя сопоставление уровня риска с критериями риска, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.

Сравнительная оценка риска использует информацию о риске, полученную при анализе риска. Результаты сравнительной оценки риска используют для принятия решений о будущих действиях. Этические, юридические, финансовые и другие вопросы, а также восприятие риска организацией могут повлиять на принятие решения.

Принимаемые решения могут касаться таких вопросов как:

  1. необходимость обработки риска;
  2. приоритеты обработки риска;
  3. необходимость выполнения действий;
  4. выбор способа обработки риска.

Характер принимаемых решений и используемые критерии при принятии решений ранее установлены при определении области применения, однако на данном этапе они должны быть повторно и более подробно рассмотрены с точки зрения уже полученных данных об идентифицированных опасностях и риске.

Наиболее простая структура для определения критериев риска - это установление одного уровня, разделяющего опасности и риск, требующие обработки, от тех, которые подобных действий не требуют. Применение такой структуры приводит к простым и понятным результатам, однако не отражает неопределенность, присущую оценке риска и установленному пограничному уровню риска.

Решение о необходимости и способах обработки риска зависит от затрат и преимуществ принятия риска и улучшения управления риском.

В соответствии с общим подходом следует разделить риск на три группы.

  1. Высшая группа, в которой уровень риска является недопустимым, безотносительно преимуществ принятия риска и доходов, получаемых от деятельности организации, обработка риска является необходимой независимо от затрат.
  2. Средняя группа ("серая" область), для которой затраты и преимущества принятия риска следует учитывать, а возможности соотносить с последствиями.
  3. Низшая группа, в которой уровень риска незначителен или настолько мал, что необходимость в обработке риска отсутствует.

Для отнесения риска к низшей группе, используемой в сфере безопасности (в системе критериев ALARPГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска - "Низкий, насколько реально возможно"), применяют следующий подход.

Для отнесения риска к низшей группе ("Низкий, насколько реально возможно" в системе критериев ALARPГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска), используемой в сфере безопасности, применяют следующий подход: для низкого риска в средней группе устанавливают скользящую шкалу, в которой затраты и преимущества могут быть непосредственно сопоставлены, а возможный вред от событий с высоким риском следует снижать до тех пор, пока стоимость дальнейшего снижения риска не превысит полученные преимущества.

ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска ALARP - As Low As Reasonably Practicable (принцип разумной достаточности).

5.5. Документация.

Процесс оценки риска должен быть зарегистрирован вместе с результатами оценки. Риск должен быть выражен в понятных и точных терминах и единицах.

Необходимая степень отчетности зависит от целей и области определения оценки. За исключением очень простых случаев документация должна включать:

  1. цели и область применения;
  2. описание соответствующих системы, ее частей и функций;
  3. краткое описание внешних и внутренних целей и сферы деятельности организации во взаимосвязи с оцениваемыми ситуацией, системой или обстоятельствами;
  4. применяемые критерии риска и соответствующие выводы;
  5. недостатки, предположения и обоснования принятых гипотез;
  6. методы оценки;
  7. результаты идентификации риска;
  8. данные, предположения, их источники и валидацию их использования;
  9. результаты анализа риска и количественную оценку риска;
  10. данные анализа чувствительности и неопределенности;
  11. критические предположения и другие факторы, для которых необходим мониторинг;
  12. протоколы обсуждения результатов;
  13. выводы, заключения и рекомендации;
  14. ссылки.

Если оценка риска производится в рамках непрерывного процесса менеджмента риска, то она должна быть выполнена и зарегистрирована способом, позволяющим использовать ее результаты на всех этапах жизненного цикла системы, организации, оборудования или деятельности. Оценка должна актуализироваться по мере получения новой информации, изменения области применения анализа риска и потребностей процесса менеджмента.

5.6. Мониторинг и повторная оценка риска.

Процесс оценки риска выдвигает на первый план область применения оценки риска, а также другие факторы, которые могут подвергнуться изменениям в течение продолжительного времени. Предполагаемые преимущества оценки риска также могут измениться или корректироваться. Такие факторы должны быть четко идентифицированы для процессов непрерывного мониторинга и повторной оценки, так чтобы оценка риска могла обновляться по мере необходимости.

Данные мониторинга оценки риска должны быть идентифицированы и собраны.

Следует проводить мониторинг и регистрацию эффективности методов управления, используемых при анализе риска. Должна быть определена ответственность за оформление и пересмотр соответствующих свидетельств и документации.

5.7. Применение оценки риска на различных стадиях жизненного цикла.

Каждому виду деятельности, проектирования и разработки продукции соответствует свой жизненный цикл: от концепции и разработки до стадии полного завершения эксплуатации (использования), которая, например, может предусматривать демонтаж и утилизацию оборудования.

Оценка риска может быть применена на всех стадиях жизненного цикла. Обычно ее многократно используют с различными уровнями детализации на каждой стадии жизненного цикла для принятия решений.

Для разных стадий жизненного цикла установлены различные требования и применимы различные методы оценки риска. Например, на стадии концепции и технико-экономического обоснования, когда идентифицируют возможные перспективы применения продукции, оценка риска может быть использована для принятия решения о продолжении работ.

В ситуации, когда существует несколько вариантов, оценка риска может быть использована для оценки альтернативных способов при принятии решения, обеспечивающего наилучший баланс положительного и отрицательного риска.

На стадии проектирования и разработки оценка риска способствует:

  1. обеспечению допустимого риска системы;
  2. усовершенствованию проекта;
  3. исследованию экономической эффективности;
  4. идентификации событий, воздействующих на последующие стадии жизненного цикла.

Оценка риска может быть использована для получения информации, необходимой при разработке процедур в нормальных и чрезвычайных условиях.