ГОСТ Р 58771-2019. Национальный стандарт Российской Федерации. Менеджмент риска. Технологии оценки риска

6.3 Применение технологий оценки риска

 

6.3.1 Обзор

Технологии, описанные в приложениях А и Б, используются для рассмотрения риска в процессе принятия решений, в которых существует неопределенность, включая решения о том, следует ли и как снижать риск. Технологии оценки могут использоваться, когда:

- риск идентифицируется;

- определяются источники и факторы риска, уровень воздействия на них;

- исследуется общая эффективность управления и оценивается эффект предлагаемых методов обработки риска;

- исследуются последствия, вероятность и риск;

- анализируются взаимодействия и зависимости.

Эти действия подробно объясняются в следующих разделах стандарта. Факторы, которые следует учитывать при выборе конкретной технологии для выполнения указанных выше действий, описаны в разделе 7.

В целом анализ может быть описательным (например, отчет по обзору литературы, сценарный анализ или описание последствий) или количественным, где данные анализируются для получения числовых значений. В некоторых случаях рейтинговые шкалы могут применяться для сравнения конкретных рисков.

Способ оценки риска и форма вывода должны быть совместимы с какими-либо заданными критериями. Например, количественные критерии требуют применения технологий количественного анализа, которые дают соответствующие результаты. Математические операции следует использовать только в том случае, если позволяют выбранные показатели. В общем случае математические операции не должны использоваться с порядковыми шкалами.

Даже при полном количественном анализе входные значения обычно оцениваются приблизительно. Уровень аккуратности и точности не следует относить к результатам, выходящим за рамки, которые соответствуют применяемым технологиям.

6.3.2 Идентификация риска

Выявленные риски, неопределенности и их последствия детально анализируются при прогнозировании, рассмотрении вариантов или формировании плана действий. Выходные данные могут быть записаны способом, который явно показывает неопределенность, путем перечисления рисков или другими подходящими способами.

Все источники неопределенности как с положительным, так и с отрицательным эффектом могут иметь значение, в зависимости от области применения и объема оценки.

Технологии определения риска обычно используют знания и опыт различных причастных сторон и включают рассмотрение следующих факторов:

- какая неопределенность существует и каковы ее последствия;

- какие обстоятельства или проблемы (материальные или нематериальные) могут иметь потенциальные последствия для будущего;

- какие источники риска существуют или могут развиваться;

- какие средства управления имеются и эффективны ли они;

- что, как, когда, где и почему может повлиять на события и их последствия;

- что происходило в прошлом и как это может разумно повлиять на будущее;

- человеческие аспекты и организационные факторы.

Технологии идентификации риска описываются в Б.2.

В дополнение к офисным технологиям физические обследования могут быть полезны при определении источников риска или ранних признаков наступления возможных последствий.

Независимо от того, какие технологии используются, идентификацию риска необходимо выполнять методически корректно и последовательно, достигая тщательности и эффективности процесса. Риск следует определять как можно раньше, что позволит предпринять необходимые корректирующие действия.

6.3.3 Определение источников и факторов риска

Идентификация источников и факторов риска может:

- способствовать оценке вероятности события или последствий;

- помочь определить методы обработки риска, которые позволят изменить риск;

- помочь в определении показателей раннего предупреждения риска и пороговых значений для их обнаружения;

- определить общие корневые причины, которые могут помочь разработать приоритеты для снижения риска.

Зачастую риск можно контролировать только путем изменения факторов риска. Они влияют на состояние и подверженность риску и могут приводить к нескольким рискам одновременно. В результате факторы риска зачастую нуждаются в большем внимании, чем конкретные риски.

Выбранные технологии определения источников и факторов риска описаны в Б.3.

6.3.4 Исследование эффективности управления рисками

Риск зависит от общей эффективности применяемых методов управления риском. Необходимо учитывать следующие аспекты:

- как действуют методы управления на изменение самого риска;

- исполняются ли методы управления на практике, способны ли они работать по назначению и достигают ли ожидаемых результатов;

- имеются ли недостатки в дизайне методов управления или их практическом применении;

- есть ли неучтенные элементы в применяемых методах управления риском;

- является ли функция управления самостоятельной или должна действовать совместно с другими для эффективной работы;

- имеются ли факторы, условия, уязвимости или обстоятельства, которые могут уменьшить или исключить эффективность методов управления, включая ошибки общего характера;

- не создают ли сами методы управления дополнительные риски.

Следует проводить различие между методами управления риском, которые изменяют вероятность, последствия или и то и другое, и методами управления, которые изменяют, как тяжесть риска распределяется между причастными сторонами. Например, страхование и другие формы финансирования рисков напрямую не влияют на вероятность события или его последствия, но могут сделать некоторые из последствий более приемлемыми для конкретного причастного лица, уменьшив их степень или сглаживая денежный поток.

Любые допущения, сделанные во время анализа риска об эффективности и надежности методов управления, должны быть проверены, когда это возможно, с акцентом на те методы управления или их комбинации, которые предположительно имеют наиболее значимый изменяющий эффект. При этом нужно учитывать информацию, полученную в результате регулярного мониторинга и пересмотра методов управления.

Технологии, используемые в основном для анализа методов управления, описаны в Б.4.

6.3.5 Понимание последствий, вероятности и риска

6.3.5.1 Анализ типа, величины и продолжительности последствий

Анализ последствий может варьироваться от описания результатов до подробного количественного моделирования или анализа уязвимости. В некоторых случаях следует также учитывать косвенные последствия, когда одно последствие приводит к другому.

Риск может быть связан с рядом различных типов последствий, влияющих на различные цели. Виды последствий, подлежащие анализу, должны быть определены при формировании области применения оценки. Утверждения в отношении области применения также должны быть проверены, чтобы убедиться, что анализируемые последствия согласуются с целью оценки и принимаемым решением. Они также могут быть пересмотрены во время оценки, при появлении дополнительной информации.

Величина последствий может быть выражена количественно как точечное значение или как распределение. Распределение подходит для случаев, когда:

- размер последствия неизвестен;

- последствия варьируются в зависимости от обстоятельств;

- параметры, влияющие на последствия, различаются.

Масштабы последствий могут также варьироваться в зависимости от других параметров. Например, последствия воздействия химического вещества на здоровье в целом зависят от дозы, которой подвергся человек или иные живые существа. В этом примере риск обычно представлен кривой зависимости от дозы, которая отображает вероятность определенного конечного последствия (например, смерти) как функцию зависимости от единоразовой или накопленной дозы.

Последствия могут также со временем меняться. Например, неблагоприятные последствия отказа могут стать более серьезными, чем дольше длительность отказа. Для учета этого в оценке риска необходимо выбрать подходящие технологии.

Рассмотрение полного графика распределения последствий риска дает исчерпывающую информацию. Также можно представить результаты распределения в виде какого-либо точечного значения, например наиболее ожидаемого значения (мода или среднее), вариации (дисперсия) или процентиля в хвосте распределения (например, 95%) или какой-либо другой частью распределения (процентилем).

Для любой технологии выбора точечного значения или значений для представления результатов распределения последствий риска существуют следующие предположения и неопределенности:

- форма распределения, выбранная для представления данных (например, непрерывная или дискретная, нормальная или сильно перекошенная);

- наиболее подходящий способ представления этого распределения в качестве точечного значения;

- размер точечного значения с учетом присущей неопределенности исходных данных, на основе которых было построено распределение.

Не следует полагать, что данные, относящиеся к риску, обязательно следуют нормальному распространению.

В некоторых случаях информацию можно обобщить как качественный или полуколичественный рейтинг, который можно использовать при сравнении рисков.

6.3.5.2 Совокупный риск

Иногда последствия возникают из-за воздействия нескольких событий или факторов риска или со временем развиваются, например, воздействие на окружающую среду или здоровье человека от действия биологических, химических, физических и психосоциальных факторов риска. При группировке таких рисков следует учитывать возможность синергического эффекта, а также влияние продолжительности и степени воздействия данных рисков. Следует также рассмотреть возможность отсроченных эффектов.

6.3.5.3 Анализ вероятности

Вероятность может относиться к вероятности события или к вероятности определенного последствия. Параметр, к которому применяется значение вероятности, должен быть четко сформулирован, также четко необходимо определить событие, вероятность которого оценивается.

Вероятность может быть описана различными способами, включая функцию распределения вероятностей, плотность распределения вероятностей, как ожидаемая частота и описательными терминами (например, "высокая вероятность"). Где это применимо, параметры "воздействия и продолжительности" включены в анализ вероятности.

В случаях, если значение процента используется в качестве меры вероятности, следует указать характер отношения, к которому применяется процент.

ПРИМЕР 1 - Утверждение о том, что вероятность того, что поставщик не сможет выполнить поставку для целей проекта, составляет 5%, является неопределенным как по отношению к срокам, так и ко всей популяции. Также неясно, относится ли значение 5% к количеству заказов или это 5% поставщиков. Более явным утверждением будет: "вероятность того, что один или несколько поставщиков, которые не смогут предоставить требуемые товары или услуги для проекта в течение срока действия этого проекта, составляет 5% по всем заказам".

Чтобы свести к минимуму неправильное толкование при определении вероятности, как в качественном, так и в количественном отношении, период времени и популяция должны быть четко определены и соответствовать периметру конкретной оценки.

ПРИМЕР 2 - Вероятность того, что один или несколько поставщиков не смогут предоставить требуемые товары или услуги для реализуемых проектов в течение следующих 2 месяцев, составит 1% от всех заказов, тогда как в течение 6 месяцев может произойти сбой в поставке по 3% от всех заказов.

Существует множество возможных предубеждений, которые могут влиять на оценки вероятности. Кроме того, интерпретация оценки вероятности может варьироваться в зависимости от области применения, в которой выполняется оценка. Следует проявлять осторожность, чтобы понять возможное влияние индивидуальных (когнитивных) и культурных предубеждений.

6.3.5.4 Разработка мероприятий по управлению рисками

В некоторых ситуациях полезно определять уровень риска как некоторую комбинацию величины возможных последствий и вероятности этих последствий. Уровень риска может быть задан качественным, полуколичественным или количественным образом.

Качественные подходы обычно основаны на описательных (номинальных) или ранговых (порядковых) шкалах для последствий и вероятностей.

Полуколичественные подходы включают:

- один параметр (обычно вероятность) выражен количественно, а другой описан или выражен в качестве рейтинговой шкалы;

- шкалы делятся на дискретные интервалы, пределы которых выражены количественно. Шкалы подчиняются нормальному логарифмическому распределению и подстраиваются под исходные данные;

- числовые идентификаторы накладываются на шкалы, значения которых описаны качественно.

Использование полуколичественных шкал может привести к неверным истолкованиям, если база для каких-либо расчетов не будет объясняться тщательно. Поэтому полуколичественные подходы должны быть проверены и использоваться с осторожностью.

Количественные подходы используют для измерений последствий и вероятностей, которые выражаются в числовых (количественных) шкалах, в виде диапазонов или распределений. В тех случаях, когда риск измеряется с помощью количественного подхода, необходимо учитывать размерность значений и определить единицы измерения для использования в оценке.

Качественные и полуколичественные технологии могут использоваться только для сравнения рисков с другими рисками, измеренными таким же образом, или с критериями, определенными на тех же условиях. Они не могут использоваться для объединения или агрегирования рисков, и их очень сложно использовать в ситуациях, когда есть как положительные, так и отрицательные последствия или когда между рисками должна быть взаимоувязка.

Когда количественные значения по последствию и его вероятности комбинируются, становится возможным определение величины риска, в некоторых случаях для этого рассчитывается математическое ожидание. Такой подход может не отражать истинную важность риска, поскольку в этом случае теряется часть информации. В частности, на практике теряется информация о менее вероятных последствиях риска, которые могут быть важны для его понимания. Это также не позволяет провести различия между рисками с высоким последствием и низкой вероятностью и рисками с низкими последствиями, которые происходят часто.

Примеры количественных показателей величины риска включают:

- ожидаемую частоту возникновения определенного последствия, например количество дорожно-транспортных происшествий на тысячу километров пути в заданном регионе;

- ожидаемое время между событиями, представляющими интерес, такими как среднее время выполнения операции;

- вероятность достижения указанного значения в течение определенного периода воздействия (релевантно, когда последствия накапливаются в течение периода воздействия), например вероятность заражения раком в течение жизни в результате воздействия определенной дозы химического вещества;

- ожидаемое значение, например ожидаемая доходность или финансовая прибыль за время инвестиций, или ожидаемые расходы на общественное здравоохранение по инвалидности с учетом года жизни на миллион человек в год;

- статистику, представляющую собой форму распределения последствий, таких как дисперсия или волатильность доходности инвестиций;

- значение выше или ниже определенного процентиля в распределении последствий, например прибыль проекта, которая может быть достигнута с вероятностью 90%, или стоимость под риском (VaR) портфеля, в котором оцениваются убытки, которые могут возникнуть в портфеле за определенный период времени с определенной вероятностью;

- крайнее значение, связанное с распределением последствий, например ожидаемые максимальные последствия.

Метрики, связанные с последствиями, такие как максимально вероятная потеря или вероятная максимальная потеря, в основном используются, когда трудно определить, какие средства управления риском могут отказать, а также в условиях недостаточности данных, на которых основываются оценки вероятности. Риск не всегда может быть адекватно описан или оценен как одно значение, представляющее вероятность конкретного последствия. Примерами таких случаев являются ситуации, в которых:

- последствия лучше всего выражаются через вероятностную функцию распределения последствий;

- событие имеет несколько разных причин и приводит к целому ряду результатов с различными последствиями;

- последствия нарастают кумулятивно под непрерывным воздействием источников риска;

- источники риска (такие как системные проблемы) идентифицируются, но при этом сложно определить природу и/или вероятности последствий, которые могут возникнуть (в этом случае оценка воздействия риска с точки зрения вероятности и последствий становится невозможной).

Когда риск, оцененный через распределение последствий, суммируется в качестве единого значения, большая часть информации обычно теряется. В частности, практика измерения риска как средневзвешенного значения последствий (т.е. расчет математического ожидания) отражает средние последствия риска, при этом менее вероятные последствия также должны быть в фокусе внимания при оценке риска.

Величина риска зависит от предположений о наличии и эффективности соответствующих мер управления рисками. Такие термины, как присущий или общий риск (в ситуации, когда существующие меры управления риском не срабатывают) и остаточный или чистый риск для описания уровня риска, когда предполагается, что методы управления будут применяться в соответствии с их назначением и практикой применения. Однако на практике трудно однозначно определить данные меры, и поэтому целесообразно четко указывать допущения, связанные с управлением риском.

Когда вы сообщаете о величине риска, оцененной как качественно, так и количественно, должны быть указаны неопределенности, связанные с допущениями и с входными и выходными параметрами оценки.

6.3.5.5 Агрегирование мер по управлению риском

В некоторых случаях (например, при распределении капитала) может быть полезным объединить стоимость нескольких рисков для получения единого значения. Это можно делать при условии, что риски характеризуются единым последствием и измеряются в одних и тех же единицах, например в деньгах, тогда риски могут быть объединены. То есть их можно комбинировать только тогда, когда последствия и вероятность указаны количественно, а данные являются соизмеримыми и корректными. В некоторых ситуациях меру полезности можно использовать в качестве единой базы для количественной оценки и объединения последствий, которые изначально оценены в разных единицах измерения.

При расчете единого консолидированного значения риска для набора более сложных рисков теряется информация о специфике данных риска. Кроме того, если не проявлять особой осторожности, консолидированное значение может быть неточным и потенциально может вводить в заблуждение. Все технологии агрегирования рисков для одного значения имеют основополагающие предположения, которые следует понимать до их использования. Данные должны быть проанализированы для поиска корреляций и зависимостей, которые влияют на объединение рисков. Технологии моделирования, используемые для получения совокупного уровня риска, должны поддерживаться с помощью анализа сценариев и стресс-тестирования.

В тех случаях, когда модели включают расчеты нескольких распределений, они должны включать соответствующие корреляции между данными распределениями. Если корреляция не будет учтена должным образом, результаты будут неточными и могут в значительной степени ввести в заблуждение. Консолидация рисков путем их простого сложения не является надежной основой для принятия решений и может привести к нежелательным результатам. Моделирование методом Монте-Карло может использоваться для сочетания распределений (см. Б.5.10).

Качественные или полуколичественные показатели риска не могут быть непосредственно агрегированы. В равной степени могут быть сделаны только общие утверждения об относительной эффективности управления на основе качественных или полуколичественных показателей изменений уровня риска.

Сопоставимые данные о различных рисках могут быть объединены различными способами для оказания помощи лицам, принимающим решения. В тех случаях, когда количественные измерения недоступны, возможно проведение качественного агрегирования, основанного на экспертном заключении, с учетом более подробной информации о рисках. Сделанные предположения и информация, используемая для проведения качественной агрегации риска, должны быть четко сформулированы.

Подраздел Б.5 описывает технологии, направленные на понимание последствий, вероятности и риска.

6.3.5.6 Социальный риск

Когда население подвергается риску, простая агрегация риска путем умножения количества населения, подвергающегося воздействию, на индивидуальный уровень риска, в большинстве случаев не отражает адекватных последствий. Например, риск летального исхода для одного индивидуума от реализации такого события, как прорыв плотины, скорее всего, придется рассматривать иначе, чем тот же риск для группы людей.

Социальный риск обычно выражается и оценивается с точки зрения взаимосвязи между частотой возникновения последствий (F) и числом людей, подверженных последствиям (N) (см. диаграммы F-N в Б.8.3).

6.3.6 Анализ взаимосвязей и взаимозависимостей

Как правило, существует множество взаимосвязей и взаимозависимостей между рисками. Например, множественные последствия могут возникать по одной причине или конкретное последствие может иметь несколько причин. Возникновение одних рисков может сделать появление других рисков более или менее вероятным, и эти причинно-следственные связи могут образовывать каскады или циклы.

Для получения более надежных оценок риска в случаях, когда причинно-следственные связи между рисками значительны, может быть полезно создать причинно-следственную модель, которая будет объединять риски по определенной форме.

Для выявления взаимосвязей можно использовать сведения о рисках, такие как общие причины или факторы риска, или общие последствия.

Взаимосвязи между рисками могут иметь различное влияние на принимаемые решения, например повышенное внимание может быть приковано к деятельности, которая охватывает несколько связанных между собой рисков или повышает привлекательность одного варианта развития событий над другим. Риски могут быть восприимчивы к обычным методам обработки риска или могут быть ситуации, при которых снижение одного риска может иметь положительные или отрицательные последствия где-то еще. Методы обработки риска часто могут быть консолидированы таким образом, чтобы требуемая работа значительно сокращалась, а ресурсы можно было более эффективно сбалансировать в рамках портфеля работ. Скоординированный план обработки риска должен учитывать эти факторы, а не предполагать, что каждый риск следует рассматривать независимо.

В подразделе Б.6 описаны технологии оценки взаимосвязей и взаимозависимостей.

6.3.7 Неопределенность и анализ чувствительности

Те, кто анализирует риск, должны понимать неопределенность в рамках анализа и оценивать последствия для достоверности результатов. Неопределенность и ее последствия всегда должны сообщаться лицам, принимающим решения.

Неопределенность результатов анализа может возникнуть из-за того, что:

- существует изменчивость в самой рассматриваемой системе;

- данные берутся из ненадежного источника, являются неполными или недостаточными, например, когда тип собранных данных или методы сбора требуют изменений;

- возможна двусмысленность, например, когда качественное описание зафиксировано и непонятно;

- метод анализа не позволяет адекватно учесть сложность системы;

- существует высокая зависимость от экспертного мнения или суждения людей;

- необходимые данные могут отсутствовать или организация может не собирать необходимые данные;

- данные из прошлого могут не служить надежной основой для прогнозирования будущего, поскольку что-то в области применения или обстоятельствах могло измениться;

- в сделанных предположениях имеются неопределенности или приближения.

Когда во время оценки обнаруживается недостаток достоверных данных, дополнительные данные должны быть собраны, если это практически осуществимо. Это может включать в себя работу по внедрению новых механизмов мониторинга. В качестве альтернативы процесс анализа может быть скорректирован с учетом ограниченности данных.

Анализ чувствительности может быть проведен для оценки размера степени неопределенности исходных данных или предположений, лежащих в основе анализа. Анализ чувствительности позволяет определить относительное изменение результатов, вызванных изменениями отдельных входных параметров. Он применяется для определения данных, которые должны быть точными, и тех, которые менее чувствительны и, следовательно, оказывают меньшее влияние на общую точность. Параметры, чувствительные к анализу, и степень их чувствительности следует указывать там, где это необходимо.

Параметры, которые имеют решающее значение для оценки и которые должны быть изменены, должны быть выявлены в рамках постоянного мониторинга, чтобы была возможность обновить оценку риска и, при необходимости, пересмотреть решения.

6.3.8 Проверка и подтверждение результатов

Там, где возможно на практике, результаты анализа должны быть проверены и подтверждены. Проверка включает оценку правильности выполнения анализа. Подтверждение включает проверку того, что правильно проведенный анализ позволил достичь поставленных целей. В некоторых ситуациях для этих целей требуется независимое подтверждение.

Подтверждение может включать:

- проверку того, что сфера охвата анализа подходит для заявленных целей;

- рассмотрение всех критических допущений, чтобы убедиться, что они заслуживают доверия в свете имеющейся информации;

- проверку использования соответствующих технологий, моделей и данных;

- использование нескольких методов, приближенный анализ и анализ чувствительности для тестирования и проверки выводов.

Проверка может включать:

- проверку правильности математических манипуляций и расчетов;

- проверку того, что результаты нечувствительны к способу отображения данных, или результатов или их представления;

- сравнение результатов с прошлым опытом, при наличии соответствующих данных, или сопоставление с фактическими значениями после их получения;

- определение того, являются ли результаты чувствительными к способу отображения или представления данных или результатов и определения входных параметров, которые оказывают существенное влияние на результаты оценки;

- сравнение результатов с прошлым или последующим опытом, включая получение обратной связи с течением времени.