У цьому розділі описано, як вибирати методи загального оцінювання ризику. У додатках перелічено та докладно пояснено низку засобів і методів, які можна використати для провадження загального оцінювання ризику чи для полегшення процесу загального оцінювання ризику. lнколи, можливо, необхідно буде застосувати кілька методів загального оцінювання.
Загальне оцінювання ризику можна провадити зі зміненням ступенів глибини та докладності, а також з використанням одного чи кількох методів — від найпростіших до найскладніших. Треба, щоб форма загального оцінювання та його результат було узгоджено з критеріями ризику, розробленими під час установлювання оточення. У додатку А показано концептуальний взаємозв'язок між основними категоріями методик загального оцінювання ризику та чинниками, пов'язаними з конкретною ситуаціею ризику, а також наведено наочні приклади того, як організації можуть вибирати відповідні методи загального оцінювання ризику стосовно конкретної ситуації.
Загалом треба, щоб придатний метод був таким:
Обґрунтовуючи вибір методів, треба враховувати їхню відповідність і придатність. У разі поєднання результатів різних досліджень треба, щоб застосовувані методи та отримані вихідні дані можна було порівняти.
Після того, як прийнято рішення про провадження загального оцінювання ризику і визначено цілі та сферу застосування, треба вибрати методи, зважаючи на такі чинники:
Ресурси та можливості, які можуть впливати на вибирання методів загального оцінювання ризику, охоплюють:
Щоб визначити характер і ступінь невизначеності, потрібне розуміння щодо якості, кількості та повноти наявної інформації щодо розгляданого ризику. Це стосується також меж достатності наявної інформації про ризик, його джерела та причини, а також про наслідки для досягнення цілей. Невизначеність може бути зумовлено низькою якістю даних або нестачею значимих і вірогідних даних. Наприклад, можуть змінюватися як методи збирання даних, так і спосіб, у який організація застосовує ці методи, чи організація може зовсім не мати запровадженого результативного методу збирання даних про ідентифікований ризик.
Невизначеність може також бути притаманна зовнішньому та внутрішньому оточенню організації. Наявні дані не завжди забезпечують надійну основу для прогнозування майбутнього. Для унікальних типів ризиків хронологічних даних може не бути або різні зацікавлені сторони можуть по-різному інтерпретувати наявні дані. Особи, які провадять загальне оцінювання ризику, мають розуміти тип і характер невизначеності та зважати на наслідки щодо вірогідності результатів загального оцінювання ризику. Про ці аспекти треба завжди інформувати тих, хто приймає рішення.
За своїм характером ризики можуть бути комплексними, наприклад, у складних системах, де потрібне здебільшого загальне оцінювання ризиків у межах усієї системи, аніж обробляння кожного складового елемента системи окремо, нехтуючи взаємодіями. В інших випадках обробляння окремого ризику може мати наслідки де-небудь ще і може впливати на інші види діяльності. Потрібно розуміти подальші значні впливи та взаємозалежності між ризиками, щоб мати впевненість у тому, що під час керування одним ризиком не створюватиметься недопустима ситуація де-небудь ще. Розуміння комплексності окремого ризику чи сукупності ризиків організації конче важливе для вибирання належних методів або методик загального оцінювання ризику.
Методи загального оцінювання ризику можна покласифікувати різноманітними способами, щоб полегшити розуміння їхніх відносно сильних і слабких аспектів. У таблицях додатку А наведено деякі потенційно можливі методи та їхні категорії. Кожний з методів докладніше подано також у додатку В відповідно до характеру загального оцінювання, що його вони уможливлюють, з наведенням рекомендацій щодо їхньої застосовності в певних ситуаціях.