Цей стандарт розроблено, щоб розвинути положення ISO 31000. Він подає настанови щодо вибирання та застосування систематичних методів загального оцінювання ризику.
Загальне оцінювання ризику, що його провадять відповідно до цього стандарту, сприяє іншим видам діяльності з керування ризиком.
Настанови щодо застосування низки методів подано разом із конкретними посиланнями на інші міжнародні стандарти, у яких концепцію та застосування методів описано докладніше.
Цей стандарт не призначено для цілей сертифікації та регуляторних або контрактних цілей.
У цьому стандарті немає конкретних критеріїв ідентифікації потреби в аналізуванні ризику і він не встановлює тип методу аналізування ризику, необхідний для конкретного випадку застосування.
У цьому стандарті охоплено не всі методи, тому, якщо певний метод не подано в ньому, це не означає, що цей метод не є чинний. Те, що певний метод застосовний до конкретної обставини, не означає, що саме цей метод треба обов'язково застосовувати.
Загальне оцінювання ризику дає змогу тим, хто приймає рішення, а також відповідальним сторонам краще розуміти ризики, які можуть впливати на досягнення цілей, адекватність та результативність запроваджених засобів контролювання. Це забезпечує основу для прийняття рішень щодо найбільш відповідного підходу до обробляння ризиків. Вихідні дані загального оцінювання ризику — це вхідні дані для процесів прийняття рішень в організації.
Загальне оцінювання ризику — це спільний процес ідентифікування ризику, аналізування ризику та оцінювання ризику. Спосіб застосування цього процесу залежить не лише від оточення процесу керування ризиком, але також від методів і методик, використовуваних для загального оцінювання ризику. Для загального оцінювання ризику може бути потрібно застосувати багатодисциплінарний підхід, оскільки ризики можуть охоплювати широкий діапазон причин і наслідків.
Рисунок 1 - Внесок загального оцінювання ризику до процесу керування ризиком
Ідентифікування ризику — це процес виявляння, усвідомлення та реєстрування ризиків.
Призначеність ідентифікування ризику — визначити, що може статися, або які можуть виникнути ситуації, що можуть впливати на досягнення цілей системи чи організації. Після того, як ризик ідентифіковано, організація має визначити будь-які наявні засоби контролювання, зокрема стосовно конструктивних особливостей, персоналу, процесів і систем. Процес ідентифікування ризику охоплює визначення причин і джерела ризику (небезпеки в контексті фізичної шкоди), подій, ситуацій або обставин, які можуть чинити матеріальний вплив на досягнення цілей, а також визначення характеру цього впливу.
Методами ідентифікування ризику можуть бути:
Щоб поліпшити точність і повноту ідентифікування ризику, можна використовувати різноманітні доломіжні методи, зокрема «мозкову атаку» та метод Дельфі.
Незалежно від фактично застосованих методів під час ідентифікування ризику особливу увагу важливо приділяти людським та організаційним чинникам. Тому під час процесу ідентифікування ризику треба враховувати відхили людських і організаційних чинників від очікуваних станів, а також події, пов'язані з технічними та програмними засобами.
Ризик аналізують для того, щоб поглибити розуміння ризику. Воно дає змогу отримувати вхідні дані для загального оцінювання ризику і прийняття рішень щодо потреби оброблення ризику та щодо найбільш відповідних стратегій і методів обробляння.
Аналізування ризику полягає у визначанні наслідків і їхніх імовірностей стосовно ідентифікованих ризикових подій, ураховуючи наявність (чи відсутність) і результативність будь-яких наявних засобів контролювання. Потім наслідки та їхні ймовірності поєднують, щоб визначити рівень ризику.
Аналізування ризику передбачає розглядання причин і джерел ризику, їхніх наслідків та ймовірностей виникнення цих наслідків. Треба визначити чинники, що впливають на наслідки і ймовірність. Подія може мати багато наслідків і може впливати на багато цілей. Треба враховувати наявні засоби контролювання та їхню результативність. Різноманітні методи цього аналізування описано в додатку В. У складних випадках може бути потрібно застосувати кілька методів.
Аналізування ризику, зазвичай, передбачає кількісне оцінювання низки потенційних наслідків, які можуть виникати за настання події, ситуації чи обставини, а також пов'язаних з ними ймовірностей з тим, щоб виміряти рівень ризику. Однак, у деяких випадках, наприклад, коли наслідки незначні чи коли очікувана ймовірність надзвичайно низька, для прийняття рішення може бути достатньо оцінки лише одного параметра.
За деяких обставин наслідок може бути результатом низки різних подій чи умов або того, що конкретну подію не ідентифіковано. У такому разі загальне оцінювання ризику зосереджують на аналізуванні важливості та вразливості елементів системи з тим, щоб визначити види обробляння ризику, пов'язані з рівнями захисту чи стратегіями відновлювання.
Методи, використовувані під час аналізування ризику, можуть бути якісними, напівкількісними чи кількісними. Необхідний ступінь докладності залежить від конкретного випадку застосування, наявності вірогідних даних і потреб організації щодо прийняття рішень. Деякі методи та ступінь докладності аналізування може бути приписано в законодавстві.
Якісне загальне оцінювання дає змогу позначити наслідок, імовірність і рівень ризику такими термінами щодо рівня значущості, як «високий», «середній» та «низький», поєднати наслідок та ймовірність і оцінити рівень ризику, який випливає з цього, відповідно до якісних критеріїв.
Напівкількісні методи передбачають застосування числових шкал оцінювання наслідків і ймовірностей та їх поєднання, щоб отримати рівень ризику за деякою формулою. Шкали можуть бути лінійними чи логарифмічними, або можуть мати якийсь інший взаємозв'язок; використовувані формули також можуть різнитися.
Під час кількісного аналізування оцінюють практичне значення наслідків і їхніх імовірностей, а також обчислюють значення рівня ризику в конкретних одиницях, визначених під час установлювання оточення. Повне кількісне аналізування не завжди може бути можливе чи слушне через недостатність інформації про аналізовувані систему чи діяльність, нестачу даних, вплив людських чинників тощо або тому, що витрати на кількісне аналізування не окупні чи потрібні. За таких обставин ефективним може бути порівняльне напівкількісне чи якісне ранжування ризиків із залученням спеціалістів, визнаних у відповідних галузях.
У разі кількісного аналізування треба чітко пояснити всі використовувані терміни та протоколювати основу для всіх критеріїв.
Навіть якщо проведено повне кількісне аналізування, потрібно визнавати, що обчислені рівні ризику є лише його оцінками. Треба бути уважним для забезпечення впевненості в тому, що їм не приписано рівень точності та прецизійності, несумісний з точністю використовуваних даних і методів аналізування.
Рівні ризику треба подавати в термінах, найпридатніших для цього типу ризику, та у формі, що сприяє оцінюванню ризику. У деяких випадках величину ризику може бути подано як розподілення ймовірності за діапазоном наслідків.
Рівень ризику залежить від адекватності та результативності наявних засобів контролювання. Щоб з'ясувати це, треба відповісти на такі запитання:
Упевнено відповісти на ці запитання можна тільки за наявності належної документації та запровадження відповідних процесів забезпечення.
Рівень результативності конкретного засобу контролювання чи низки відповідних засобів контролювання може бути подано якісно, напівкількісно чи кількісно. У багатьох випадках високий рівень точності не є виправданим. Однак може бути корисно подавати та протоколювати міру результативності контролю ризику так, щоб можна було скласти думку про те, на що доцільніше спрямовувати зусилля: на поліпшення засобу контролювання чи на забезпечення іншого обробляння ризику.
Аналізування наслідків дає змогу визначати характер і тип впливу, який може виникати, за припущення, що відбуваються конкретні події чи настають конкретні обставини. Подія може чинити низку впливів різної величини та позначатися на низці різних цілей і різних зацікавлених сторін. Типи наслідків, які треба аналізувати, і зацікавлені сторони, на яких вони позначаються, визначають під час установлення оточення.
Аналізування наслідків може змінюватися від простого описування результатів до докладного кількісного моделювання чи аналізування вразливості.
Наслідок впливів може бути незначний, але з великою ймовірністю, або він може бути значний, але з малою ймовірністю, або може бути якийсь проміжний випадок. У деяких випадках доцільно робити наголос на ризиках з потенційно дуже змінюваними рівнями, оскільки часто саме вони є предметом особливої уваги з боку керівництва. В інших випадках може бути важливим аналізувати ризики зі значними та незначними наслідками окремо. Наприклад, часта (або постійна), але з незначним впливом проблема може мати значні сумарні чи довготривалі ефекти. Крім того, дії з обробляння, застосовувані до цих двох різних видів ризиків, часто суттєво різняться, отже, їх доцільно аналізувати окремо.
Аналізування наслідків може охоплювати:
Для кількісного оцінювання ймовірності зазвичай застосовують три загальні підходи, які можна використовувати окремо чи спільно:
Ризики можна ранжувати з тим, щоб визначити найзначніші ризики або вилучити з подальшого аналізування менш значні чи мінімальні ризики. Ціль полягає в тому, щоб забезпечити зосередження ресурсів на найважливіших ризиках. Однак треба дбати про те, щоб не відкинути низькі ризики, які виникають часто і мають значний сумарний ефект.
Ранжування треба базувати на критеріях, визначених для оточення. Попереднє аналізування дає змогу вибрати одну чи кілька з таких дій:
Початкові припущення та результати має бути задокументовано.
З аналізуванням ризику часто пов'язано значні невизначеності. Розуміння невизначеностей необхідне для того, щоб належним чином інтерпретувати результати аналізування ризиків і обмінюватися інформацією про них. Аналізування невизначеностей, пов'язаних з даними, методами та моделями, використовуваними для ідентифікування й аналізування ризиків, відіграє важливу роль в їх застосуванні. Аналізування невизначеності передбачає визначення відхилу або неточності результатів унаслідок сукупного змінення параметрів і припущень, використовуваних для визначення результатів. З аналізуванням невизначеності значною мірою пов'язане аналізування чутливості.
Аналізування чутливості передбачає визначення розміру та значення величини ризику, пов'язаних зі змінами в окремих вхідних параметрах. Його використовують, щоб ідентифікувати дані, які мають бути точними, і дані, які є менш чутливі, і, тому, менше впливають на загальну точність.
Всеохопність і точність аналізування ризику треба встановити якомога повніше. В усіх можливих випадках треба ідентифікувати джерела невизначеності та звернути увагу на невизначеності, пов'язані як з даними, так і з моделлю чи методом. Треба встановити характеристики, щодо яких аналізування вкрай важливе, а також ступінь важливості.
Оцінювання ризику передбачає порівнювання кількісно оцінених рівнів ризику з критеріями ризику, визначеними під час установлювання оточення, для того, щоб установити значення рівня й типу ризику.
Оцінювання ризику грунтується на розумінні ризику, набутому під час аналізування ризику, і слугує для прийняття рішень щодо подальших дій. Етичні, правові, фінансові та інші міркування, зокрема, сприйняття ризику, також є вхідними даними для прийняття рішень.
Рішення можуть бути щодо:
На цій стадії, коли є більше інформації про конкретні ідентифіковані ризики, потрібно знову докладніше розглянути вибрані ще під час установлювання оточення характер рішень, що їх потрібно прийняти, і критерії, що їх використовуватимуть для прийняття цих рішень.
Найпростішою структурою критеріїв ризику є один рівень, що відокремлює ризики, які потребують обробляння, від ризиків, які не потребують обробляння. Ця структура дає цікаві прості результати, але не відображає невизначеності, притаманні кількісному оцінюванню ризиків і розмежуванню ризиків на ті, які потребують обробляння, і ті, які не потребують обробляння.
Рішення щодо необхідності та способу обробляння ризику може залежати від витрат і переваг, пов'язаних із взяттям на себе ризику, і від витрат і переваг, пов'язаних із запровадженням поліпшених засобів контролювання.
Загальноприйнятий підхід полягає в розділенні ризиків на три діапазони:
Система критеріїв АLАRP («настільки низький, наскільки це практично доцільно»), використовувана у практиці убезпечення, реалізує цей підхід, за якого середній діапазон має рухому шкалу для низьких ризиків, що дає змогу безпосередньо порівнювати витрати та переваги, тоді як для високих ризиків потенційну можливість шкоди треба знижувати доти, доки витрати на подальше знижування не стануть цілком диспропорційними отриманій перевазі щодо безпеки.
Багато видів діяльності, проектів і продукції можна розглядати як такі, життєвий цикл яких починається від первісних концепції та визначення понять і продовжується, охоплюючи розробляння, до остаточного завершення, зокрема до припинення роботи чи виводу з експлуатації та утилізації технічних засобів.
Загальне оцінювання ризику можна застосовувати на всіх стадіях життєвого циклу і зазвичай його застосовують багаторазово з різними рівнями докладності, щоб полегшувати прийняття рішення на кожній стадії.
Стадії життєвого циклу характеризуються різними вимогами та потребою застосування різних методів. Наприклад, на стадії концептуального розробляння й визначання понять, коли встановлено можливості, загальне оцінювання ризику можна використовувати для прийняття рішення щодо продовження чи припинення роботи чи проекту.
За наявності кількох варіантів загальне оцінювання ризику можна використовувати для оцінювання альтернативних концепцій на полегшення прийняття рішення про те, яка з них забезпечує найкращий баланс позитивних і негативних ризиків.
На стадії проектування та розробляння загальне оцінювання ризику сприяє:
Оскільки робота продовжується, загальне оцінювання можна використовувати для отримання інформації, що сприяє розроблянню процедур для нормальних і надзвичайних умов.