При установлении области применения менеджмента риска определяют основные параметры управления, область применения и критерии процесса менеджмента риска. При этом должен быть проведен анализ внутренних и внешних параметров области применения, относящихся к организации в целом, а также определена специфика оцениваемого риска.
При установлении области применения менеджмента риска должны быть определены и согласованы цели оценки риска, критерии риска и программа оценки риска.
При установлении области применения менеджмента риска в рамках процесса оценки риска определяют внешнюю и внутреннюю среду организации, цель деятельности организации в области менеджмента риска, а также проводят классификацию опасных событий.
a) Установление внешней области применения включает определение внешних условий, в которых функционирует организация, в том числе:
- внешнюю среду, связанную с ведением бизнеса, социальной и экологической сферой деятельности, правовыми и обязательными требованиями, культурными факторами, конкуренцией, финансовым положением и политикой государства на международном, национальном, региональном или местном уровне;
- ключевые тенденции и мотивы, влияющие на достижение целей организации;
- значимость внешних причастных сторон и их восприятие риска.
b) Установление внутренней области применения включает определение:
- возможностей организации с точки зрения ресурсов и информации в области риска;
- информационных потоков и процессов принятия решений;
- внутренних причастных сторон;
- целей и задач организации, а также стратегий, необходимых для их достижения;
- восприятия организацией риска и его значимости для организации;
- политики и процессов организации;
- стандартов и применяемых сравнительных моделей, принятых организацией,
- структуры организации (например, системы управления, распределения функций и ответственности).
c) Установление целей в области менеджмента риска предусматривает:
- определение распределения обязанностей, ответственности и подотчетности;
- определение необходимых действий в области менеджмента риска с учетом установленных ограничений и исключений;
- определение размера и объема рассматриваемых проекта, процесса, функции или деятельности с учетом условий ограничения по времени и местоположению;
- определение взаимосвязи рассматриваемого проекта с деятельностью и другими проектами организации;
- определение методов оценки риска;
- определение критериев риска;
- определение критериев оценки действий в области менеджмента риска;
- идентификацию и определение требований к принимаемым решениями предпринимаемым действиям;
- определение, при необходимости исследований, цели и глубины исследований, а также требуемых для этого ресурсов.
d) Определение критериев риска включает в себя установление:
- характера и типа последствий реализации опасных событий и способов их оценки;
- методов оценки вероятности опасного события;
- методов установления уровней риска;
- критериев принятия решений при необходимости обработки риска;
- критериев приемлемости риска;
- возможности одновременного возникновения различных видов опасных событий и особенности соответствующего риска.
При разработке критериев могут быть использованы следующие источники информации:
- цели процесса менеджмента риска;
- критерии, установленные в требованиях;
- общие источники данных;
- общепринятые в промышленности критерии, такие как уровень общей безопасности;
- уровень риска организации;
- правовые, обязательные и иные требования для оборудования или видов деятельности.
Оценка риска
Оценка риска - процесс, объединяющий идентификацию, анализ и сравнительную оценку риска.
Риск может быть оценен для всей организации, ее подразделений, отдельных проектов, деятельности или конкретного опасного события. Поэтому в различных ситуациях могут быть применены различные методы оценки риска.
Оценка риска обеспечивает понимание возможных опасных событий, их причин и последствий, вероятности их возникновения и принятие решений:
- о необходимости предпринимать соответствующие действия;
- о способах максимальной реализации всех возможностей снижения риска;
- о необходимости обработки риска;
- о выборе между различными видами риска;
- о приоритетности действий по обработке риска;
- о выборе стратегии обработки риска, позволяющей снизить риск до приемлемого уровня.
Обработка риска
После завершения оценки риска принимают и выполняют одно или несколько решений об обработке риска, позволяющих изменить вероятность возникновения опасного события и/или его воздействие.
Обработка риска обычно является адаптивным процессом проверки риска на его приемлемость и соответствие ранее установленным критериям для определения необходимости дальнейшей обработки риска.
Мониторинг и анализ
Мониторинг и анализ риска являются составной частью процесса менеджмента риска. Регулярное проведение мониторинга, анализа и управления риском направлены на проверку:
- достоверности предположений о риске;
- достоверности предположений, на которых основана оценка риска, включая внешние и внутренние области применения;
- достижимости ожидаемых результатов;
- соответствия результатов оценки риска фактической информации о риске;
- правильности применения методов оценки риска;
- эффективности обработки риска.
Процессы мониторинга и анализа риска должны быть документированы, а результаты мониторинга и анализа риска зафиксированы в отчете.
Процесс оценки риска
Краткий обзор
Благодаря глубокому исследованию риска оценка риска помогает лицам, принимающим решения, и ответственным сторонам влиять на достижение поставленных целей, а также выбирать адекватные и эффективные средства управления риском. Оценка риска является основой для принятия решений по обработке риска. Выходные данные процесса оценки риска являются входными данными процессов принятия решений в организации.
Оценка риска является процессом, объединяющим идентификацию, анализ риска и сравнительную оценку риска (см. рисунок 1). Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.
При проведении оценки риска может потребоваться применение мультидисциплинарного подхода, так как риски могут попадать в широкий диапазон причин и последствий.
Идентификация риска
Идентификация риска - это процесс определения элементов риска, составления их перечня и описания каждого из элементов риска.
Целью идентификации риска является составление перечня источников риска и событий, которые могут повлиять на достижение каждой из установленных целей организации или сделать выполнение этих целей невозможным. После идентификации риска организация должна идентифицировать существенные особенности проекта, персонал, процессы, системы и средства управления.
Процесс идентификации риска включает в себя идентификацию причин и источников опасных событий, ситуаций, обстоятельств или риска, которые могут оказать существенное воздействие на достижение целей организации, и характер этих воздействий.
Методы идентификации риска могут включать в себя:
- методы оценки риска на основе документальных свидетельств, примерами которых являются анализ контрольных листов, анализ экспериментальных данных, а также данных и событий, произошедших в прошлом;
- подход, в соответствие с которым группа экспертов следует установленному процессу идентификации риска посредством структурированного множества подсказок или вопросов;
- индуктивные методы, такие как HAZOP.
Для повышения точности и полноты идентификации риска могут быть использованы различные вспомогательные методы, например метод мозгового штурма и метод Дельфи.
Независимо от фактически используемых методов при идентификации риска важно учитывать человеческие и организационные факторы. Отклонения, вызванные воздействием человеческих и организационных факторов, а также опасные события, связанные с информационными технологиями, должны быть учтены в процессе идентификации риска.
Анализ риска
Общие положения
Анализ риска включает в себя анализ и исследование информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также помогает выбрать соответствующие стратегии и методы обработки риска.
Анализ риска включает анализ вероятности и последствий идентифицированных опасных событий с учетом наличия и эффективности применяемых способов управления. Данные о вероятности событий и их последствиях используют для определения уровня риска.
Также анализ риска включает анализ источников опасных событий, их положительных и отрицательных последствий и вероятностей появления этих событий. При этом должны быть идентифицированы факторы, влияющие на вероятность события и его последствия. Событие может иметь множественные последствия и может влиять на различные цели. Также должны быть учтены результаты применения и эффективность существующих методов управления. Различные методы анализа риска описаны в приложении В. В сложных ситуациях может быть применено несколько методов.
Анализ риска обычно включает оценку диапазона возможных последствий события, ситуации или обстоятельств и соответствующих им вероятностей для определения уровня риска. Однако в некоторых случаях, например, когда последствия незначительны или вероятность события чрезвычайно низка, для принятия решений может быть достаточно исследований только одного параметра.
В некоторых случаях последствие может быть результатом реализации нескольких событий или неидентифицированного события. В этом случае оценку риска необходимо сосредоточить на анализе значимости и уязвимости компонентов исследуемой системы. При этом следует определить методы обработки риска, соответствующие уровни защиты и стратегии восстановления.
Методы, используемые при анализе риска, могут быть качественными, количественными или смешанными. Степень глубины и детализации анализа зависит от конкретной ситуации, доступности достоверных данных и потребностей организации, связанных с принятием решений. Некоторые методы и степень детализации анализа могут быть установлены в соответствии с правовыми и обязательными требованиями.
При качественной оценке риска определяют последствия, вероятность и уровень риска по шкале "высокий", "средний" и "низкий"; оценка последствий и вероятности может быть объединена; сравнительную оценку уровня риска в этом случае проводят в соответствии с качественными критериями.
В смешанных методах используют числовую шкалу оценки последствий, вероятности и их сочетания для определения уровня риска по соответствующей формуле. Шкалы могут быть линейными, логарифмическими или могут быть построены по другим принципам. Используемые формулы соответственно могут быть различными.
При количественном анализе оценивают практическую значимость и стоимость последствий, их вероятности и получают значение уровня риска в определенных единицах, установленных при разработке области применения менеджмента риска. Полный количественный анализ не всегда может быть возможен или желателен из-за недостаточной информации об анализируемой системе, видах деятельности организации, недостатка данных, влияния человеческого фактора и т.п. или потому, что такой анализ не требуется, или трудозатраты на количественный анализ слишком велики. В таком случае ранжирование рисков высококвалифицированными специалистами может быть более эффективно.
Если применен качественный анализ риска, четкие объяснения всех используемых терминов и принципов, лежащих в основе критериев, должны быть зарегистрированы в виде записей.
В случае применения количественного анализа необходимо помнить, что уровни вычисленного риска являются только оценками. Необходимо обеспечить согласованность неопределенностей полученных оценок с уровнем точности и прецизионности используемых методов и данных.
Уровни риска должны быть выражены в соответствующих терминах для конкретного вида риска в наиболее удобной форме. В некоторых случаях значение риска может быть выражено в виде распределения вероятностей диапазона последствий.
Оценка методов управления
Уровень риска зависит от адекватности и эффективности применяемых методов управления. Для оценки методов управления риском необходимо ответить на следующие вопросы:
- Какие методы применяют для снижения конкретного риска?
- Действительно ли применение этих методов приводит к обработке риска, обеспечивающей достижение приемлемого уровня риска?
- Действительно ли эти методы управления риском работают, как запланировано, и их эффективность при необходимости может быть продемонстрирована?
Ответы на эти вопросы можно получить только при наличии установленных в организации документации и процессов.
Уровень эффективности конкретного метода управления или комбинации взаимосвязанных методов может быть выражен в виде качественной, смешанной или количественной оценки. В большинстве случаев высокую точность такой оценки обеспечить очень трудно. Однако целесообразно применение мер повышения уровня эффективности метода управления риском, на основе которых можно сделать вывод о том, какие действия необходимы и наиболее предпочтительны для улучшения управления риском или обеспечения различных видов обработки риска.
Анализ последствий
При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств. Событие может оказать несколько воздействий различной значимости, повлиять на достижение нескольких целей и затронуть интересы причастных сторон организации. Вовлеченные причастные стороны и типы последствий, которые необходимо проанализировать, определяют при установлении области применения менеджмента риска.
Анализ последствий может изменяться от простого описания результатов до детализированного количественного моделирования ситуации, процессов и анализа уязвимостей.
Воздействия могут иметь небольшие последствия, но высокую вероятность появления или значимые последствия и низкую вероятность появления, а также любой промежуточный вариант. В некоторых случаях уместно сосредоточиться на опасных событиях с очень опасными последствиями, поскольку именно эти события вызывают наибольшее беспокойство. В других случаях важно проанализировать отдельно последствия с высокой и низкой значимостью для организации. Например, часто повторяющиеся, незначительные по воздействию события могут иметь большие совокупные или долгосрочные последствия. Кроме того, действия по обработке этих ситуаций риска зачастую различны, поэтому их полезно проанализировать отдельно.
Анализ последствий может включать в себя следующее:
- учет существующих методов управления риском, направленных на снижение последствий и всех сопутствующих факторов, влияющих на последствия;
- исследование взаимосвязи последствий опасного события и установленных целей;
- раздельное изучение отдаленных последствий события и происходящих в настоящий момент времени, если они включены в область применения оценки риска;
- рассмотрение вторичных последствий, таких как последствия, воздействующие на взаимосвязанные системы, виды деятельности, оборудование или организацию.
Анализ и оценка вероятности
Для оценки вероятности обычно применяют следующие три общих подхода, которые могут быть использованы как самостоятельно, так и совместно:
a) Использование соответствующих хронологических данных для идентификации события или ситуации, произошедших в прошлом и допускающих возможность экстраполяции вероятности их появления в будущем. Используемые данные должны относиться к рассматриваемым системам, оборудованию, организациям или видам деятельности, а также к требованиям деятельности организации. Если в соответствии с имеющимися данными частота появления события очень низка, то все оценки вероятности будут иметь высокую неопределенность. Это характерно для ситуаций, вероятность появления которых близка к нулю, когда появление события, ситуации или обстоятельств в будущем очень маловероятно.
b) Использование для оценки вероятности методов прогнозирования, таких как анализ дерева ошибок и анализ дерева событий (см. приложение В). Если хронологические данные недоступны или недостоверны, то для оценки вероятности необходимо провести анализ системы, деятельности, оборудования или организации и соответствующих отказов или работоспособных состояний. Для оценки вероятности главного события числовые данные для оборудования, персонала, организации и систем, полученные на основе эксплуатации и из опубликованных источников данных, следует использовать совместно. При применении методов прогнозирования важно обеспечить полноту анализа общей причины возможности появления отказов, включающих отказы различных частей или компонентов системы, вызванные одной причиной. Для оценки вероятности отказов оборудования и систем, а также их элементов, вызванных процессами износа, применяют методы моделирования, позволяющие учесть влияние неопределенности.
c) Использование экспертных оценок в систематизированном и структурированном процессе оценки вероятности. Для получения экспертных оценок следует использовать всю доступную информацию, включая хронологические данные, сведения об особенностях системы, специфике организации, экспериментальные данные и т.д. Существуют формализованные методы получения экспертных оценок, которые помогают формулировать соответствующие вопросы. Доступные методы включают в себя методы Дельфи, попарного сравнения, ранжирования по категориям оценки и абсолютных оценок.
Предварительный анализ
Необходимо провести анализ опасных событий, чтобы идентифицировать наиболее существенные виды опасности, исключить менее существенные или незначительные виды опасности из дальнейшего анализа. Основной целью предварительного анализа является сосредоточение ресурсов на самых важных видах опасных событий и риска. Важно не пропустить события с высокой частотой появления и существенным совокупным риском.
Анализ должен быть основан на критериях, установленных в области применения менеджмента риска. На этапе предварительного анализа принимают следующие решения:
- проводить обработку риска без дальнейшей оценки;
- исключить из обработки незначительные виды риска, обработка которых неоправданна и нецелесообразна;
- продолжить более детальную оценку риска.
Исходные предположения и полученные результаты должны быть зарегистрированы.
Дата: 2019-02-19, просмотров: 285.