Оценку риска можно проводить на уровне организации, подразделений, для проектов, отдельных видов деятельности или конкретных рисков. В различных контекстах могут применяться различные подходы и методики.
Как уже указывалось, в международном стандарте ISO/IEC 31010:2009 «Менеджмент риска. Методы оценки рисков» приведены наиболее распространенные методы оценки риска. Этот стандарт является основополагающим, поэтому он может применяться для многих отраслей и типов систем. Он не ограничивается только областью безопасности, а является общим стандартом в области менеджмента риска.
Рис. 3.1. Место оценки риска в процессе менеджмента риска
Оценка риска не является отдельным видом деятельности, она должна быть неотъемлемой частью других составляющих процесса менеджмента риска (рис. 3.1). Установление контекста включает рассмотрение внутренних и внешних параметров, относящихся к организации в целом, а также исходных данных для оценки конкретных рисков. При установлении контекста определяют и согласовывают цели оценки риска, критерии риска и программу оценки риска.
К внешним параметрам относят культурные, политические, правовые, нормативные, финансовые, экономические и конкурентные факторы среды на международном, национальном, региональном или локальном уровне. К внутренним параметрам относят возможности организации в отношении ресурсов и знаний, информационных потоков и процессов принятия решений, внутренних заинтересованных сторон, целей и стратегий, разработанных для их достижения, восприятий, ценностей и культуры, политик и процессов, стандартов и базовых моделей, принятых организацией.
Идентификация риска – это выявление причин и источника риска (опасность в контексте материального ущерба), событий, ситуаций или обстоятельств, которые могут иметь материальное воздействие на цели и характер этого воздействия. Цель идентификации – установление ситуаций, которые могут повлиять на достижение целей системы или организации. На этой стадии могут использоваться методы, основанные на свидетельствах (контрольные листы и анализ накопленных данных), HAZOP, «мозговой штурм» и метод Делфи.
Анализ риска – это определение последствий и их вероятности в отношении выявленных событий риска с учётом наличия (или отсутствия) и результативности каких-либо имеющихся мер управления. Последствия и их вероятности объединяют, чтобы определить уровень риска.
Методы, применяемые при анализе риска, могут быть качественными, полуколичественными или количественными, в некоторых случаях методы предписаны законодательно.
Качественная оценка применяется для определения последствия, вероятности и уровня риска по таким уровням значимости, как «высокий», «средний» и «низкий».
В полуколичественных методах применяются численные шкалы последствия и вероятности, которые объединяются с использованием соответствующей формулы для получения уровня риска. Шкалы могут быть линейными или логарифмическими, или иметь какую-либо другую взаимосвязь. При количественном анализе оцениваются практические значения последствий и их вероятностей и рассчитываются значения уровня риска в конкретных единицах, определенных при разработке контекста. Из-за неполноты информации полуколичественное или качественное ранжирование рисков специалистами, компетентными в соответствующей области, может быть достаточным.
Для количественной оценки вероятности применяются обычно три общих подхода, которые могут применяться совместно и раздельно, а именно:
1) используются соответствующие накопленные данные для выявления событий или ситуаций, которые возникали в прошлом, что дает возможность экстраполировать вероятность их возникновения в будущем;
2) вероятность прогнозируется с применением специальных методик, например, анализа «дерева» неисправностей и анализа «дерева» событий;
3) для количественной оценки вероятности в ходе структурированного и систематического процесса можно применять экспертные мнения (метод Делфи, парные сравнения, порядковое ранжирование, экспертную оценку абсолютной вероятности и др.).
Риски необходимо предварительно проанализировать для выбора одного или нескольких из следующих направлений действий:
· обработка рисков без последующей оценки;
· отклонение незначительных рисков, обработка которых не целесообразна;
· проведение более подробной оценки.
Анализ неопределенностей включает определение отклонения или неточности в результатах, вызываемой совокупным изменением в параметрах и допущениях. Источники неопределенности должны быть выявлены везде, где это возможно: необходимо рассматривать как сами данные, так и неопределенности, связанные с моделью и (или) методом.
Областью, тесно связанной с анализом неопределенности, является анализ чувствительности, который включает определение размера и значительности величины риска по отношению к изменениям в отдельных параметрах входных данных. Необходимо установить параметры, к которым анализ чувствителен, а также степень чувствительности.
Оценивание риска – это сравнение риска с критериями. Общий подход в оценивании риска заключается в разделении рисков на три группы:
1) верхнюю группу, в которой уровень риска рассматривают как недопустимый, независимо от того, какие выгоды может принести деятельность, и в которой обработка риска необходима, независимо от затрат на нее;
1) среднюю группу (или «серую» область), в которой принимают во внимание затраты и преимущества, а также возможности, сбалансированные в соответствии с потенциальными последствиями;
2) нижнюю группу, в которой уровень риска рассматривают как незначительный или настолько малый, что нет необходимости в каких-либо мерах по обработке риска.
Минимальный практически приемлемый уровень риска, или система критериев ALARP, применяемая в практике обеспечения безопасности, реализует данный подход таким образом, что в средней группе существует подвижная шкала для низких рисков, когда можно непосредственно сравнивать затраты и выгоды, тогда как для высоких рисков возможность ущерба должна быть снижена до тех пор, пока затраты на дальнейшее снижение не станут явно непропорциональными полученным преимуществам в безопасности.
Виды деятельности, проекты и продукцию можно рассматривать как имеющие жизненный цикл. Этапы жизненного цикла: концепция (замысел), научные исследования, проектирование, изготовление, производство, эксплуатация, вывод из эксплуатации и утилизация. Оценку риска можно применять на всех этапах жизненного цикла для содействия принятию решений, которое необходимо осуществлять на каждом этапе.
На этапе замысла и проектирования оценку риска можно применять для того, чтобы решить, следует ли продолжать разработку данной концепции. При наличии нескольких вариантов оценку риска можно применять для оценивания альтернативных решений и выбора альтернативы, соответствующей наилучшему балансу положительных сторон и рисков.
На этапе разработки проекта оценка риска способствует обеспечению допустимости рисков и идентификации рисков, воздействующих на последующие этапы жизненного цикла.
По мере продолжения деятельности оценку риска можно применять для получения информации, содействующей разработке процедур для нормальных и аварийных условий.