ГОСТ Р 58771-2019. Национальный стандарт Российской Федерации. Менеджмент риска. Технологии оценки риска

Б.9 Технологии отчетности и документирования рисков

 

Б.9.1 Общие положения

В этом разделе рассматриваются технологии, используемые для подготовки отчетности и документирования общей информации о рисках. Требования к подробным отчетам приведены в разделе 6.6.

Обычный подход к отчетности и документированию информации о рисках заключается в том, чтобы ввести основную информацию о каждом риске в реестр рисков, например, в виде электронной таблицы или базы данных (см. Б.9.2). Некоторые риски могут потребовать более сложного описания, чем может быть изложено в обычном реестре рисков. Например, описание может потребовать включения нескольких источников риска, приводящих к одному событию, нескольких возможных результатов от одного события или источника, срабатывания эффектов и потенциальных сбоев управления. Диаграмма галстук-бабочка является примером инструмента, который можно использовать для организации и передачи такой информации (см. Б.4.2).

Информация о величине риска также может быть представлена несколькими различными способами.

Наиболее распространенный способ предполагает использование матрицы последствий/вероятности (см. Б.9.3). Помимо вероятности, последствий и уровня риска, обозначенных позицией в матрице, в ней также может быть представлена дополнительная информация, такая как характер контролей, степень выполнения мероприятий по обработке риска и т.д., через размер точек, обозначающих риск, или их цвет.

Матрица последствий/вероятности требует, чтобы риск мог быть представлен одной комбинацией последствий и вероятности. Риски, к которым данный подход неприменим, иногда могут быть представлены функцией распределения вероятности или плотности распределения вероятностей (см. Б.9.4).

Б.9.2 Реестры рисков

Б.9.2.1 Обзор

Реестр рисков объединяет информацию о рисках для информирования лиц, подвергающихся риску, и тех, кто несет ответственность за управление ими. Он может быть сформирован в бумажном виде или в виде базы данных и обычно включает в себя:

- краткое описание риска (например, название, последствия и последовательность событий);

- заявление о вероятности возникновения последствий;

- источники или причины риска;

- информацию о том, что в настоящее время делается для управления риском.

Риски могут быть классифицированы по разным категориям для эффективности отчетности (см. Б.2.2).

Риски обычно перечисляются как отдельные события, но взаимозависимости могут быть отмечены. При записи информации о рисках следует четко определять различия между рисками (потенциальные последствия того, что может произойти), источниками риска (как и почему это может произойти) и неэффективными мерами по управлению ими. Также может быть полезно указать признаки того, что событие может произойти в ближайшее время.

Многие реестры рисков также включают некоторый рейтинг значимости риска, указание того, считается ли риск приемлемым или допустимым, или требуется ли дальнейшая обработка риска и причины этого решения. Если рейтинг значимости применяется к риску, основанному на последствиях и их вероятности, он должен учитывать вероятность того, что меры по управлению риском будут неэффективны. Неэффективным мерам по управлению риском не должен присваиваться уровень риска, как если бы это был отдельный риск.

Риски с положительными последствиями могут быть записаны в том же документе, что и те, где последствия являются отрицательными, или отдельно. Возможности (которые представляют собой обстоятельства или идеи, которые могут быть использованы, а не случайные события) обычно документируются отдельно и анализируются таким образом, чтобы учитывать издержки, выгоды и любые потенциальные негативные последствия. Такой документ иногда называют реестром стоимости и возможностей.

Б.9.2.2 Использование

Реестр рисков используется для документирования и отслеживания информации об отдельных рисках и управлении ими. Он может использоваться для передачи информации о рисках причастным сторонам и выделения особо важных рисков. Он может использоваться на корпоративном уровне, уровне подразделения или проекта, но, как правило, наиболее часто используется на операционном уровне, где существует большое количество рисков и мер по управлению и обработке риска, которые необходимо отслеживать. Информация из реестра рисков может быть консолидирована для предоставления информации для высшего руководства.

Реестр рисков может использоваться в качестве основы для отслеживания реализации методов обработки риска, поэтому он может содержать информацию о данных методах и способах их реализации или ссылаться на другие документы или базы данных с этой информацией (в такую информацию могут входить владельцы рисков, действия, владельцы действий, краткие сводки дел, бюджеты и сроки и т.д.). В некоторых ситуациях может быть предусмотрена определенная форма реестра рисков.

Б.9.2.3 Входы

Входы в реестр рисков, как правило, являются результатом технологий оценки риска, таких как описанные в разделах Б.1 - Б.4, дополненные отчетами об ошибках.

Б.9.2.4 Выход

Результатом является запись информации о рисках.

Б.9.2.5 Сильные стороны и ограничения

Сильные стороны реестров рисков:

- информация о рисках объединяется в форму, в которой можно определить и отслеживать требуемые действия;

- информация о различных рисках представлена в сопоставимом формате, который может использоваться для определения приоритетов и к которому относительно легко обращаться для получения информации;

- создание реестра рисков обычно вовлекает в процесс многих людей и повышает общую осведомленность о необходимости управления рисками.

Ограничения:

- риски, зафиксированные в реестрах рисков, обычно основаны на событиях, что может затруднить точное описание некоторых форм риска (см. 4.2);

- кажущаяся простота использования может привести к чрезмерной уверенности в информации, поскольку зачастую бывает сложно описывать риски последовательно, а источники риска, риски и недостатки в мерах управления рисками часто путают;

- существует много разных способов описания риска, и выделение приоритетных рисков будет зависеть от способа их описания и уровня дезагрегации проблемы;

- необходимы значительные усилия для поддержания реестра рисков в актуальном состоянии (например, все предлагаемые методы воздействия должны быть указаны в качестве текущих мер по управлению после их внедрения, возникающие риски должны постоянно добавляться, а те, которые больше не существуют, удаляться);

- риски, как правило, фиксируются в реестрах рисков по отдельности. Это может затруднить консолидацию информации для разработки общей программы по обработке рисков.

Б.9.3 Матрица последствий/вероятности (матрица рисков или тепловая карта)

Б.9.3.1 Обзор

Матрица последствий/вероятности (также называемая матрицей рисков или тепловой картой) представляет собой способ отображения рисков в соответствии с их последствиями и вероятностью и объединения этих характеристик для отображения рейтинга значимости риска.

Для осей матрицы определяются индивидуальные шкалы последствия и вероятности. Шкалы могут иметь любое количество точек: 3-, 4- или 5-точечные шкалы являются наиболее распространенными. Шкалы могут быть качественными, полуколичественными или количественными. Если для определения уровней шкалы используются числовые описания, они должны соответствовать доступным данным и должны быть указаны их значения.

Как правило, чтобы соответствовать данным, каждый последующий уровень на двух шкалах должен быть на порядок больше, чем предыдущий.

Шкала (или шкалы) последствий может изображать положительные или отрицательные последствия. Масштабы должны быть непосредственно связаны с целями организации и должны охватывать диапазон от максимального возможного правдоподобного последствия до минимального потенциально значимого уровня. Частичный пример для неблагоприятных последствий показан на рисунке Б.17.

 

 

Рисунок Б.17 - Пример части таблицы,

определяющий масштабы последствий

 

Примечания

1 Частичные примеры используются для того, чтобы они не могли использоваться непосредственно, чтобы подчеркнуть, что шкалы всегда должны быть адаптированы.

2 Можно использовать большее или меньшее количество категории последствий, и в зависимости от области применения шкала может иметь меньше или больше пяти уровней. Значения рейтинга шкалы оценки последствий могут быть указаны словами, цифрами или буквами.

 

Шкала вероятности должна охватывать диапазон, соответствующий данным для оцениваемых рисков. Пример части шкалы, определяющей вероятность, показан на рисунке Б.18.

Примечание - Шкала рейтинга вероятности может иметь более или менее пяти уровней, а значения рейтинга могут быть указаны в виде слов или букв.

 

 

Рисунок Б.18 - Пример части шкалы, определяющей вероятность

 

Шкала вероятности должна быть адаптирована к ситуации; может потребоваться охват разных диапазонов для положительных или отрицательных последствий. Самый низкий уровень шкалы вероятности, который должен использоваться с отрицательными последствиями, должен отражать приемлемую вероятность для наибольшего определенного последствия (в противном случае все события с самым высоким уровнем последствий определяются как недопустимые и не могут стать допустимыми). При принятии решения о приемлемой вероятности для конкретного риска с высоким уровнем последствий следует учитывать тот факт, что несколько других рисков могут приводить к таким же последствиям.

Матрица изображается с последствиями по одной оси, а вероятностью на другой, в соответствии с выбранными шкалами. Оценка приоритета может быть связана с каждой ячейкой. В приведенном примере есть пять уровней приоритетности, обозначенных римскими цифрами. Правила принятия решений (такие как уровень внимания руководства или срочность ответа) могут быть связаны с ячейками матрицы.

Это будет зависеть от подходов к определению шкал и отношения организации к риску. Структура матрицы должна позволить определять приоритетность риска исходя из того, в какой степени он приводит к результатам, которые находятся за пределами установленных организацией порогов производительности относительно ее целей.

Матрица может быть построена так, чтобы придавать дополнительный вес последствиям (как показано на рисунке Б.19) или вероятности, либо она может быть симметричной, в зависимости от ее применения.

 

 

Рисунок Б.19 - Пример матрицы последствий и вероятности

 

Б.9.3.2 Использование

Матрица последствий/вероятности используется для оценки и передачи относительной величины рисков на основе пары последствия - вероятность, которая обычно ассоциируется с рассматриваемым событием.

Чтобы оценить риск, пользователь сначала определяет категории последствий, которые наилучшим образом соответствуют ситуации, а затем определяет предполагаемую вероятность реализации данных последствий. Определяется ячейка матрицы, соответствующая точке пересечения их значений, и далее из нее считываются уровень риска и связанное с ним правило принятия решения.

Риски с потенциально высокими последствиями часто вызывают наибольшее беспокойство у лиц, принимающих решения, даже когда их вероятность очень низка, но частый риск с низкой степенью воздействия может иметь большие кумулятивные или долгосрочные последствия. Может быть необходимо проанализировать оба вида рисков, поскольку соответствующие методы обработки риска могут быть совершенно разными.

Примечание - В тех случаях, когда для одного события возможен диапазон различных значений последствий, вероятность того или иного последствия будет отличаться от вероятности события, которое вызывает это последствие.

 

Матрица может использоваться для сравнения рисков с различными типами потенциальных последствий и имеет применение на любом уровне в организации. Она обычно используется в качестве инструмента для проверки, когда выявляются многие риски, например, для определения того, какие риски необходимо направлять на более высокий уровень управления. Она также может использоваться для определения того, является ли данный риск в целом приемлемым или неприемлемым в соответствии с зоной, где он находится на матрице. Она может использоваться в ситуациях, когда для подробного анализа недостаточно данных, или ситуация не позволяет использовать больше времени и усилий для более подробного или количественного анализа. Форма матрицы последствий/вероятности может использоваться для анализа критичности в технологии FMECA (см. Б.2.3) или для определения приоритетов после технологий HAZOP (см. Б.2.4) или SWIFT (см. Б.2.6).

Б.9.3.3 Входы

Матрица последствий/вероятности должна разрабатываться в соответствии с областью ее применения, что требует наличия некоторых данных для определения реалистичных шкал. Проекты матриц должны быть протестированы для обеспечения того, чтобы действия, предлагаемые матрицей, соответствовали отношению организации к риску и чтобы пользователи правильно понимали применение шкал.

Использование матрицы требует лиц (в идеале группы) с пониманием оцениваемых рисков и данных, которые могут быть доступны, чтобы помочь в суждениях о последствиях и их вероятности.

Б.9.3.4 Выходы

Результатом является отображение, которое иллюстрирует относительную вероятность, последствия и уровень разных рисков, а также рейтинг значимости каждого отдельного риска.

Б.9.3.5 Сильные стороны и ограничения

Сильные стороны технологии:

- она относительно проста в использовании;

- она обеспечивает быстрое ранжирование рисков по разным уровням значимости;

- она обеспечивает четкое визуальное отображение относительной значимости риска по последствиям, вероятности или уровню риска;

- ее можно использовать для сравнения рисков с различными типами последствий.

Ограничения:

- для разработки обоснованной матрицы требуется хороший опыт;

- может быть сложно определить общие шкалы, которые применяются в различных обстоятельствах, относящихся к организации;

- трудно однозначно определить шкалы, чтобы пользователи могли взвешивать последствия и вероятность последовательно;

- достоверность оценок рисков зависит от того, насколько хорошо разработаны и откалиброваны шкалы;

- для определения последствий требуется одно индикативное значение, тогда как во многих ситуациях возможен диапазон значений последствий, и от этого зависит ранжирование риска;

- правильно калиброванная матрица будет включать в себя очень низкий уровень вероятности для многих индивидуальных рисков, которые трудно понять;

- ее использование очень субъективно, и разные люди часто присваивают очень разные оценки одному и тому же риску;

- риски не могут быть агрегированы (например, нельзя определить, эквивалентно ли определенное количество низких рисков или низкий риск, выявленный определенное количество раз, риску со средним уровнем значимости);

- сложно сочетать или сравнивать уровень риска для разных категорий последствий;

- для правильного ранжирования требуется последовательное формулирование рисков (чего трудно достичь);

- каждый рейтинг будет зависеть от способа описания риска и уровня детализации (то есть, чем более подробно описание, тем выше количество выявленных сценариев реализации, каждый из которых имеет более низкую вероятность). Способ, которым сценарии группируются вместе при описании риска, должен быть согласован и определен до ранжирования.

Б.9.4 S-кривые

Б.9.4.1 Обзор

В случае, когда риск имеет диапазон значений последствий, он может быть отображен на графике распределения вероятностей последствий (pdf). См., например, красную кривую на рисунке Б.20.

Данные также могут быть отображены через кривую плотности распределения вероятностей (cdf), иногда называемую S-кривой.

Вероятность того, что последствие превысит конкретное значение, может быть непосредственно считана с кривой S. Например, на рисунке Б.20 указано, что с вероятностью 90% последствия не превысят значение C.

 

 

Рисунок Б.20 - Функция распределения вероятности (pdf)

и функция плотности распределения вероятностей (cdf)

 

В некоторых случаях форма распределения известна исходя из теоретических соображений (например, вероятность того, что человек будет иметь определенный рост, соответствует нормальному распределению). В других случаях форма распределения может быть получена из имеющихся данных или является результатом применения моделирования Монте-Карло (см. Б.5.10).

Также можно использовать экспертное заключение для оценки нижней точки диапазона последствий, вероятной средней точки и верхней точки диапазона. Затем можно использовать различные формулы для определения среднего значения последствия, дисперсии и кривой распределения, построенной на основе этой информации.

Б.9.4.2 Использование

В pdf отображается вероятность различных значений последствий в визуальной форме, включая наиболее вероятное значение, дисперсию и вероятность возникновения экстремального события.

В некоторых случаях может оказаться полезным получить единственное репрезентативное значение из распределения вероятности, например, для сравнения с критериями оценки. Часто ожидаемое значение (эквивалентное среднему) является оптимальной оценкой величины последствий (т.к. эквивалентно сумме вероятностей каждого результата, представленного кривой). Другие меры включают дисперсию распределения или некоторый процентиль, такой как межквартильный размах (ширина шкалы, заключенная между 25-м и 75-м процентилями) или 5-й и 95-й процентили (см., например, VaR Б.5.12). Однако такие меры могут по-прежнему недостаточно акцентировать внимание на возможности получения чрезвычайных последствий, которые могут иметь важное значение для принятия решений.

Примеры

1 При выборе инвестиций учитываются как ожидаемый доход, так и колебания доходности.

2 При планировании мер реагирования на пожар учитываются как экстремальные явления, так и ожидаемые последствия.

S-кривая является полезным инструментом при обсуждении значений последствий, представляющих приемлемый риск. Это инструмент представления данных, позволяющий легко увидеть вероятность того, что последствия превысят заданное значение.

Б.9.4.3 Входы

Для получения S-кривой требуются данные или суждения, из которых может быть получено достоверное распределение. Хотя распределение может быть построено на основе суждения с небольшим количеством данных, достоверность распределения и его статистические характеристики будут тем больше, чем больше качественных данных будет доступно.

Б.9.4.4 Выходы

Результатом является диаграмма, которая может использоваться лицами, принимающими решения, при рассмотрении приемлемости риска, и ее статистические характеристики, которые могут быть сопоставлены с определенными критериями.

Б.9.4.5 Сильные стороны и ограничения

Сильные стороны:

- технология позволяет представить величину риска в тех случаях, когда есть распределение последствий;

- эксперты обычно могут судить о максимальных, минимальных и наиболее вероятных значениях последствий и давать разумную оценку вероятной формы распределения. Перевод этой информации в форму плотности распределения вероятностей облегчает пользование этой информацией для непрофессионала.

Ограничения:

- метод может создать впечатление точности, которая не оправдана уровнем достоверности данных, из которых было получено распределение;

- для любого метода получения точечного значения или значений для представления распределения последствий существуют основные допущения и неопределенности в отношении:

- формы распределения (например, нормальное, дискретное или ассиметричное);

- наиболее подходящего способа представления этого распределения в качестве точечного значения;

- значения точечной оценки из-за присущих неопределенностей в данных, из которых она получена;

- распределения и их статистические данные, основанные на опыте или прошлых данных, по-прежнему дают мало информации о вероятности будущих событий с экстремальными последствиями, но с низкой вероятностью.