ГОСТР ИСО 31000—2010
Идентификация должна включать риски, независимо от того, контролирует ли организация их ис
точник или нет. даже если их источник или причина могут быть неочевидными. Идентификация рисков
должна включать рассмотрение эффекта домино, включая эффект каскада и кумулятивные эффекты.
Также необходимо рассматривать широкий спектр последствий, даже если источник риска может быть
не очевиден. Наряду с идентификацией, что может произойти, необходимо рассматривать возможные
причины и сценарии, которые показывают, какие могут наступить последствия. Все существенные
причины и следствия должны быть рассмотрены.
Организация должна применять инструменты и методы, которые соответствуют ее целям и воз
можностям. а также рискам, с которыми она сталкивается. На этапе идентификации рисков большое
значение имеет соответствующая и актуализированная информация. Это по возможности должно
включать соответствующую исходную информацию. Для идентификации рисков необходимо привле
кать людей, обладающих соответствующими знаниями.
5.4.3 Анализ риска
Анализ риска включает дальнейшее осознание риска. Анализ риска обеспечивает входную ин
формацию для оценивания риска и решений относительно необходимости дальнейшего воздействия
на эти риски, а также наиболее подходящих стратегий и методов воздействия. Анализ риска может так же
предоставлять входную информацию для принятия решений, когда необходим выбор, и наличие
альтернативных вариантов, включающих различные типы и уровни риска.
Анализ риска включает рассмотрение причин и источников риска, их положительных и отрица
тельных последствий и возможности того, что эти последствия могут произойти. Факторы, влияющие на
последствия и возможность, должны быть идентифицированы. Риск анализируют посредством опреде
ления последствий и возможности, а также других характеристик риска. Событие может иметь множес
твенные последствия и может воздействовать на различные цели. Необходимо также принимать во
внимание существующие средства управления, их результативность и эффективность.
Способ, которым выражают последствия и возможности, испособ их комбинированиядля опреде
ления уровня риска должны отражать тип риска, имеющуюся информацию и цель, для которой резуль
татоценки рискадолжен быть использован. Все этодолжносогласовываться с критериями риска. Также
важно рассматривать взаимозависимость различных рисков и их источников.
При анализе необходимо рассматривать достоверность в определении уровня риска и его чув
ствительность к предварительным условиям идопущениям и эффективно обмениваться информацией с
теми, кто принимает решения, и. в случае необходимости, с другими заинтересованным сторонами.
Такие факторы, как наличие разброса мнений экспертов, неопределенность, доступность, качество, ко
личество, соответствие текущей информации или ограничения моделирования, необходимо констати
ровать и по возможности обращать на них особое внимание.
Анализ риска может осуществляться с различной степенью подробности, в зависимости от риска,
цели анализа идоступной информации, данных и имеющихся ресурсов. Анализ может быть качествен
ным. полуколичественным или количественным, либо быть их комбинацией в зависимости от обстоя
тельств.
Последствия и вероятность (возможность) могут быть определены посредством моделирования
исходов событий или рядасобытий, или экстраполяциейданныхэкспериментальных исследований или
имеющихсяданных. Последствия могут быть выражены в виде материальных или нематериальных воз
действий. В некоторых случаях требуется более одного численного значения или описывающий пара
метр для указания последствий и степени их осуществимости для различных моментов времени,
местоположения, групп или ситуаций.
5.4.4 Оценивание риска
Цель оценивания риска заключается в том. чтобы способствовать принятию решений, основанных
на исходных результатах анализа риска, относительно необходимости воздействия на риск и установ
ления приоритета воздействия на риск.
Оценивание риска включает сравнение уровня риска, выявленного во время процесса анализа, с
установленными критериями риска во время рассмотрения ситуации (контекста). Рассмотрение необ
ходимости воздействия на риск должно основываться на этом сравнении.
Решениядолжны более широко учитывать ситуацию (контекст) риска иучитыватьтолерантность к
рискуне толькоорганизации, извлекающей из риска пользу, ноидругихсторон. Решениядолжны прини
маться в соответствии с правовыми, регулятивными и другими требованиями.
14