Часто анализу риска присуща значительная неопределенность. Понимание неопределенности необходимо для эффективной интерпретации результатов анализа риска и соответствующего обмена информацией. Анализ неопределенности, соответствующий данным методам и моделям, используемым для идентификации и анализа риска, играет важную роль. Анализ неопределенности включает определение погрешностей результатов, вызванных изменениями параметров и предположений. С анализом неопределенности тесно связан анализ чувствительности.

Анализ чувствительности включает в себя определение амплитуды изменений риска в зависимости от изменений отдельных индивидуальных входных параметров. Такой анализ применяют для идентификации данных, для которых необходима высокая точность, и данных, к точности которых риск менее чувствителен.

Полнота и точность анализа риска должны быть обеспечены настолько, насколько возможно. Источники неопределенности должны быть идентифицированы для всех исследуемых показателей, поэтому следует использовать всю известную информацию о неопределенности применяемых моделей, методов и данных. Результаты анализа параметров чувствительности должны быть установлены.

Сравнительная оценка риска

Сравнительная оценка риска включает в себя сопоставление уровня риска с критериями риска, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.

Сравнительная оценка риска использует информацию о риске, полученную при анализе риска. Результаты сравнительной оценки риска используют для принятия решений о будущих действиях. Этические, юридические, финансовые и другие вопросы, а также восприятие риска организацией могут повлиять на принятие решения.

Принимаемые решения могут касаться таких вопросов как:

- необходимость обработки риска;

- приоритеты обработки риска;

- необходимость выполнения действий;

- выбор способа обработки риска.

Характер принимаемых решений и используемые критерии при принятии решений ранее установлены при определении области применения, однако на данном этапе они должны быть повторно и более подробно рассмотрены с точки зрения уже полученных данных об идентифицированных опасностях и риске.

Наиболее простая структура для определения критериев риска - это установление одного уровня, разделяющего опасности и риск, требующие обработки, от тех, которые подобных действий не требуют. Применение такой структуры приводит к простым и понятным результатам, однако не отражает неопределенность, присущую оценке риска и установленному пограничному уровню риска.

Решение о необходимости и способах обработки риска зависит от затрат и преимуществ принятия риска и улучшения управления риском.

В соответствии с общим подходом следует разделить риск на три группы.

a) Высшая группа, в которой уровень риска является недопустимым, безотносительно преимуществ принятия риска и доходов, получаемых от деятельности организации, обработка риска является необходимой независимо от затрат.

b) Средняя группа ("серая" область), для которой затраты и преимущества принятия риска следует учитывать, а возможности соотносить с последствиями.

c) Низшая группа, в которой уровень риска незначителен или настолько мал, что необходимость в обработке риска отсутствует.

Для отнесения риска к низшей группе, используемой в сфере безопасности (в системе критериев ALARP* - "Низкий, насколько реально возможно"), применяют следующий подход.

Для отнесения риска к низшей группе ("Низкий, насколько реально возможно" в системе критериев ALARP*), используемой в сфере безопасности, применяют следующий подход: для низкого риска в средней группе устанавливают скользящую шкалу, в которой затраты и преимущества могут быть непосредственно сопоставлены, а возможный вред от событий с высоким риском следует снижать до тех пор, пока стоимость дальнейшего снижения риска не превысит полученные преимущества.

Документация

Процесс оценки риска должен быть зарегистрирован вместе с результатами оценки. Риск должен быть выражен в понятных и точных терминах и единицах.

Необходимая степень отчетности зависит от целей и области определения оценки. За исключением очень простых случаев документация должна включать:

- цели и область применения;

- описание соответствующих системы, ее частей и функций;

- краткое описание внешних и внутренних целей и сферы деятельности организации во взаимосвязи с оцениваемыми ситуацией, системой или обстоятельствами;

- применяемые критерии риска и соответствующие выводы;

- недостатки, предположения и обоснования принятых гипотез;

- методы оценки;

- результаты идентификации риска;

- данные, предположения, их источники и валидацию их использования;

- результаты анализа риска и количественную оценку риска;

- данные анализа чувствительности и неопределенности;

- критические предположения и другие факторы, для которых необходим мониторинг;

- протоколы обсуждения результатов;

- выводы, заключения и рекомендации;

- ссылки.

Если оценка риска производится в рамках непрерывного процесса менеджмента риска, то она должна быть выполнена и зарегистрирована способом, позволяющим использовать ее результаты на всех этапах жизненного цикла системы, организации, оборудования или деятельности. Оценка должна актуализироваться по мере получения новой информации, изменения области применения анализа риска и потребностей процесса менеджмента.