ГОСТ Р 57272.1-2016
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ РИСКА ПРИМЕНЕНИЯ НОВЫХ ТЕХНОЛОГИЙ
Часть 1
Общие требования
Risk management of new technologies using. Part 1. General requirements
ОКС 13.180
Дата введения 2017-12-01
Предисловие
1 РАЗРАБОТАН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (АО "НИЦ КД")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии 21 ноября 2016 г. N 1717-ст
4 В настоящем стандарте реализованы основные положения международного документа CWA 16649:2013* "Менеджмент риска применения новых технологий" (CWA 16649:2013 "Managing emerging technology-related risks")
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Июнь 2019 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Внедрение новых технологий связано с идентификацией связанного с этим риска. Идентификация риска - сложная проблема. Дополнительная трудность состоит в том, что новые виды риска часто связаны с неизученными феноменами.
В настоящем стандарте рассмотрен риск применения новых технологий. Риск и потенциально опасные явления не изучены в полной мере, ввиду сложности прогнозирования всех ситуаций, реализация которых возможна при применении новых технологий.
В настоящем стандарте рассмотрены основные этапы менеджмента новых видов риска, связанных с внедрением новых технологий. Важнейшая составляющая этих этапов - деятельность по обмену информацией и консультирование по вопросам, связанным с новыми видами риска. Обмен информацией и консультирование улучшают взаимодействие организации со всеми заинтересованными сторонами и помогают достижению компромисса между заинтересованными сторонами.
В настоящем стандарте приведен комплексный подход к рассмотрению новых видов риска, их появлению и развитию. Приведены методики оценки риска при использовании новых технологий. Представлены основные принципы менеджмента новых рисков.
1 Область применения
В стандарте установлены общие принципы менеджмента риска в области применения новых технологий. Стандарт является основополагающим в комплексе стандартов по менеджменту риска при применении новых технологий. Основу стандарта составляет рассмотрение десяти этапов процесса менеджмента риска применения новых технологий с указанием процедур, соответствующих каждому этапу. На рисунке 1 показана связь между содержанием данного стандарта и других стандартов комплекса "Менеджмент риска применения новых технологий".
Рисунок 1 - Взаимосвязь содержания стандартов комплекса "Менеджмент риска применения новых технологий"
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 51897/Руководство ИСО 73 Менеджмент риска. Термины и определения
ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов и классификаторов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячно издаваемого информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана недатированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 51897, ГОСТ Р ИСО 31000, а также следующие термины с соответствующими определениями:
3.1 активы (assets): Совокупность имущества и денежных средств, включая здания, сооружения, машины и оборудование, материальные запасы и другие объекты, которые представляют собой ценность для организации.
Примечание - К активам также относят пароли и коды программного обеспечения, необходимые для использования активов по назначению.
3.2 обмен информацией и консультирование (communication and consultation): Непрерывный итеративный процесс, выполняемый организацией для обеспечения, распространения или получения информации и участия в диалоге с заинтересованными сторонами по вопросам, относящимся к менеджменту риска.
Примечания
1 Информация может иметь отношение к существованию, источникам, особенностям, вероятности, уровню, оценке, приемлемости, допустимости, обработке или другим аспектам риска и менеджменту риска.
2 Консультирование - это двусторонний процесс обмена информацией между организацией и ее заинтересованными сторонами по любому вопросу, проводимый до принятия. Консультирование - это:
- процесс, который способствует принятию решения на основе убеждения, а не под давлением;
- процесс, который предшествует процессу принятия решения, но не объединен с ним.
3.3 последствие (consequence): Результат воздействия события.
Примечания
1 У каждого инцидента может существовать диапазон возможных последствий.
2 Последствия могут быть определенными и неопределенными, а также могут иметь позитивное или негативное воздействие на достижение целей организации.
3 Последствия могут быть выражены качественно или количественно.
4 Некоторые последствия могут вызывать другие последствия (цепная реакция последствий).
3.4 раннее предупреждение (early warning): Предоставление своевременной и полезной информации определенными субъектами (организациями, обществами, индивидуумами и т.п.), содержащей сведения о возникновении определенных видов риска.
3.5 новый риск (emerging risk): Риск, связанный с появлением новых источников риска или причин увеличения существующего риска.
Примечание - "Новый" - означает то, что данный риск ранее не существовал, его появление вызвано появлением новых процессов, новых технологий, новых рабочих мест, а также социальными и организационными изменениями, применением существующих ранее объектов, как источников риска, что связано с научными исследованиями и социальными изменениями в обществе.
3.6 событие (event): Возникновение или изменение набора специфических условий.
Примечания
1 Событие может быть единичным или многократным и может иметь несколько причин.
2 Событие может состоять в отсутствии определенного явления.
3 Событие может быть названо терминами "инцидент", "опасное событие", "несчастный случай" и т.п.
4 Событие без последствий может быть названо терминами "угроза возникновения опасного события", "угроза инцидента", "угроза поражения" или "угроза возникновения аварийной ситуации".
3.7 вред (harm): Неблагоприятное последствие для здоровья людей, животных или растений, окружающей среды или имущества.
3.8 опасность (hazard): Источник последствий, которые могут причинить ущерб.
3.9 опасное событие (hazardous event): Событие, результатом которого может быть причинение ущерба.
3.10 опасная ситуация (hazardous situation): Ситуация, характеризующаяся тем, что люди, имущество, окружающая среда подвержены одной или нескольким опасностям.
3.11 показатель (indicator): Регистрируемое отображение определенного свойства изучаемого объекта.
3.12 использование по предназначению (intended use): Использование продукции, процесса или услуги в соответствии с инструкцией и ограничениями, установленными поставщиком.
3.13 (ключевые) индикаторы функционирования ((key) performance indicators): Показатели, с помощью которых периодически или непрерывно производят оценку работы организации, системы, технологии и/или человека.
3.14 уровень риска (level of risk): Величина показателей риска, представляющая собой комбинацию последствий и их вероятности.
3.15 вероятность, частота (likelihood): Величина, характеризующая возможность реализации события.
Примечание - В менеджменте риска термин "вероятность" используют как характеристику возможности появления события, которая может быть определенной или неопределенной, измеримой или неизмеримой, объективной или субъективной, иметь качественную или количественную оценку и может быть выражена математически (как вероятность или частота за установленный период времени).
3.16 заявление (о возникновении нового риска) (emerging risk notion): Обоснование того, что риск может возникнуть в данных условиях.
3.17 охрана труда (occupational safety and health): Междисциплинарная область деятельности, связанная с разработкой методов обеспечения охраны труда, защиты здоровья и благополучия людей, занимающихся определенным видом профессиональной деятельности, и имеющая целью создание безопасной рабочей среды.
3.18 принцип предосторожности (precautionary principle): Принцип, утверждающий, что в случае угрозы нанесения значительного или необратимого вреда окружающей среде, отсутствие полного научного обоснования не должно быть использовано в качестве причины, по которой не могут быть применены эффективные методы, помогающие предотвратить экологический вред.
3.19 допустимость риска (risk acceptance): Обоснованное решение о признании риска как допустимого.
Примечания
1 Решение о признании риска как допустимого может быть принято без обработки риска или в процессе обработки риска.
2 Необходимо проводить мониторинг и пересмотр допустимости риска.
3.20 анализ риска (risk analysis): Процесс изучения источников и особенностей риска и определения уровня риска.
Примечания
1 Анализ риска является основой для процесса оценки риска и принятия решений о воздействии на риск.
2 Анализ риска включает определение оценок показателей риска.
3.21 оценка риска (risk assessment): Процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.
3.22 подход, основанный на риске (risk based approach): Подход к рассмотрению безопасности продукции, процессов и систем, в основе которого лежит анализ опасностей и соответствующих видов риска.
3.23 критерии риска (risk criteria): Совокупность факторов, по сопоставлению с которыми оценивают значимость риска.
Примечания
1 Критерии риска основаны на установленных целях организации, внешней и внутренней области деятельности организации.
2 Критерии риска могут быть сформированы на основе требований стандартов, политики, законодательных и иных требований.
3.24 обмен информацией о риске (risk communication): Процесс обмена информацией экспертов, менеджеров по риску и заинтересованных сторон.
Примечание - Это интегральный и непрерывный процесс, где желательно участие заинтересованных сторон уже на начальной стадии совместной работы.
3.25 сравнительная оценка риска (risk evaluation): Процесс сопоставления результатов анализа риска с критериями риска для определения приемлемости риска.
Примечание - Сравнительная оценка риска может быть использована при принятии решения об обработке риска.
3.26 идентификация риска (risk identification): Процесс определения, составления перечня и описания сведений и данных о риске.
Примечания
1 К сведениям и данным о риске относят: источники риска, события, причины риска и возможные последствия риска.
2 Идентификация риска также может включать в себя теоретический анализ, анализ накопленных данных, экспертных оценок и требований заинтересованных сторон.
3.27 структура менеджмента риска (risk management framework): Взаимосвязанные элементы, обеспечивающие реализацию принципов менеджмента риска и организационные меры, применяемые при планировании, разработке, внедрении, мониторинге, анализе и постоянном улучшении менеджмента риска организации.
Примечания
1 Принципы отражают политику, цели, полномочия и обязательства в области менеджмента риска.
2 Организационные меры включают в себя планы, взаимоотношения, подотчетность, ресурсы, процессы и действия.
3 Структура менеджмента риска должна быть интегрирована в общую стратегию, политику и практическую деятельность организации.
3.28 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.
3.29 матрица риска (risk matrix): Инструмент классификации и представления риска путем ранжирования последствий и вероятностей.
3.30 развитие риска (risk maturation): Процесс, начинающийся с появления ранних предупреждений, слабых сигналов, накопления свидетельств о проявлении риска и заканчивающийся признанием наличия риска.
Примечания
1 Признание наличия риска - необязательная характеристика данного процесса; сигналы и свидетельства появления риска могут быть ложными.
2 Развитие риска коррелирует с развитием технологий, вызывающих появление риска.
3.31 владелец риска (risk owner): Лицо или организация, которые имеют полномочия и несут ответственность за управление риском.
3.32 восприятие риска (risk perception): Представления заинтересованных сторон о риске.
Примечания
1 Восприятие риска зависит от потребностей, проблем и осведомленности заинтересованной стороны.
2 Восприятие риска может иметь расхождение с объективными данными.
3 Субъективное восприятие риска часто не коррелирует со статистической вероятностью соответствующих ущерба и/или вреда.
3.33 профиль риска (risk profile): Описание некоторого набора рисков.
Примечание - Такой набор может включать виды риска, относящиеся ко всей организации, ее частям или определенные иным образом.
3.34 меры по снижению риска, защитные меры (risk reduction measure, protective measures): Действия по снижению риска.
3.35 остаточный риск (residual risk): Риск, оставшийся после обработки риска.
3.36 безопасность (safety): Отсутствие недопустимого риска.
3.37 заинтересованные стороны (stakeholders): Лицо или организация, которые могут воздействовать на осуществление деятельности или принятие решения, быть подверженными их воздействию или воспринимать себя в качестве последних.
3.38 приемлемый риск (acceptance risk): Риск, который в данной ситуации считают приемлемым при существующих общественных ценностях.
3.39 уязвимость (vulnerability): Внутренние свойства или слабые места объекта, вызывающие его чувствительность к источнику риска, что может привести к реализации события и его последствий.
Примечание - Уязвимость как концепция берет свое начало в медицине, оборонной промышленности, кибернетических системах и распространяется на другие объекты и системы.
4 Новый риск
4.1 Новый риск и инновации
Безопасность в современном мире в большой степени основана на соблюдении правил и законов. Подобным образом осуществляют управление риском по отношению к известным опасным событиям. Правила и нормы в данном случае отражают общественное мнение, связанное с риском, определяют действия по управлению риском. Однако, если общество имеет дело с потенциально опасными явлениями, которые не были рассмотрены или изучены до сих пор, то в данном случае общество имеет дело с новыми видами риска.
Если знание о некотором явлении является неполным, неоднозначным или содержит высокую неопределенность, то в обществе появляется и нарастает беспокойство, связанное с данным явлением, особенно в случаях, когда дефицит знаний о явлении приводит к таким событиям, которые считают невозможными. Потенциально опасные явления могут возникать при внедрении технических инноваций. Рассмотрение новых технологий как источника риска изучает возможность применения этих технологий в соответствии с принципом предосторожности (3.19).
Основными принципами рассмотрения новых рисков являются следующие:
- рассмотрение новых рисков должно быть сделано обязательной частью инновационной политики;
- появление новых видов риска является открытой проблемой, требующей постоянного всестороннего и глубокого изучения;
- появление новых рисков связано с развитием и эволюцией;
- необходимо применять схемы отбора новых рисков.
4.2 Понятие "новый риск"
Риск характеризуют как новый, если:
а) риск не был ранее идентифицирован или он связан с применением новых технологий, новых способов работы, социальными или организационными изменениями (например, риск, связанный с нанотехнологиями, биотехнологиями, информационными и коммуникационными технологиями, химическими технологиями, эффектами глобализации и т.д.);
б) существовавшую ранее ситуацию рассматривают как создающую риск из-за изменения в ее социальном или общественном восприятии (например, из-за появления стресса, запугивания);
в) новые научные знания позволяют рассматривать существовавшую ранее ситуацию, как создающую риск.
Риск считают развивающимся, если количество опасностей, связанных с ним возрастает, или если обнаружено, что данный вид опасности вызывает более тяжелые последствия, чем считалось ранее.
Важно следить за согласованностью позиций всех заинтересованных сторон относительно опасностей и существующих видов риска.
При этом следует принимать во внимание:
- системную природу риска;
- наличие опасностей с низкой вероятностью возникновения, но причиняющих большой ущерб;
- необходимость мультидисциплинарного изучения риска.
4.3 Расширение понятия "новый риск" в структуре менеджмента новых рисков
С точки зрения безопасности, в первую очередь обращают внимание на новые риски, появление которых вызвано:
а) новыми технологиями, новыми процессами, новыми рабочими местами, социальными и организационными изменениями;
б) пересмотром отношения к существующим ранее объектам и системам, вызванным появлением новых научных данных, социальными изменениями и т.д.;
в) событиями, вероятность которых изменяется/возрастает.
При появлении нового риска необходимо рассматривать две главные характеристики: возникновение нового риска и развитие нового риска во времени (см. рисунок 2).
Кроме того, в промышленном производстве негативное влияние опасных объектов рассматривают вместе с преимуществами, которые могут быть получены (см. рисунок 3). Соответственно, рассмотрение рисков расширено и включает:
1) вероятности негативного и позитивного воздействия.
Примечание - В общем случае эти вероятности различны;
2) рассмотрение и негативного и позитивного воздействия;
3) рассмотрение новых рисков вместе с появившимися новыми возможностями;
4) сценарий развития, согласно которому анализируют риски и благоприятные последствия;
5) шкалу (выраженную в баллах/категориях), с которой соотносят воздействия (позитивные и негативные), и их вероятности;
6) показатель, отражающий значение, присвоенное объекту в соответствии со шкалой.
Рисунок 2 - Трехмерное представление нового риска
В настоящем стандарте появление риска рассматривают как условия, характеризуемые набором показателей, факторов, способствующих развитию риска, индикаторов риска и/или набором других элементов, характеризующих риск, как более или менее развитый. На практике, одному из двух рисков, имеющих одинаковую оценку последствий и вероятности, может быть дан при рассмотрении более высокий приоритет, чем другому.
Вопрос об общих измерениях и сравнении негативных и позитивных воздействий, вызывающих новый риск, должен быть рассмотрен индивидуально для каждого случая. Должно быть рассмотрено (при наличии), как негативное воздействие ситуации на определенную сторону, так и полученные преимущества от ситуации для другой стороны (сложные риски). На практике для анализа риска часто используют методику "Матрица риска" (см. рисунок 3). Матрица 5x5 содержит возможные сочетания 5 категорий риска и пяти классов его вероятности.
Рисунок 3 - Представление риска/благоприятных возможностей
4.4 Определение уровня нового риска
Новые риски связаны с неизученными феноменами. Формализация исследования рисков помогает анализировать сопоставимые случаи. Для существующих рисков хорошо известны системы шкал и получение оценок (см. таблицы 1-4).
Таблица 1 - Пример цветового кодирования для оценки новых рисков
В таблице 2 показан пример предварительного анализа, проводимого до определения вероятностей и возможных последствий.
Таблица 2 - Пример цветового кодирования для предварительной оценки новых рисков
В таблицах 3 и 4 приведены некоторые специфические шкалы и системы определения.
Таблица 3 - Пример вероятностной шкалы, содержащей пять классов вероятностей
Класс | Значение (период между событиями) | Количество (событий в год) | Категория вероятности |
Очень вероятно | <1 года | >1х10 | 5 |
Вероятно | 1 | 1х10 | 4 |
Возможно | 5 | 1х10 | 3 |
Маловероятно | 25 | 1х10 | 2 |
Очень маловероятно | >100 ktn | 1 |
Таблица 4 - Пример вероятностной шкалы, содержащей пять классов
Класс | Значение | Пример | Категория последствий |
Незначительный негативный | (-1)<0 | Незначительное негативное воздействие на здоровье человека, условия жизни, общественные службы, экономику | А |
Малый негативный | (-2)<(-1) | Ограниченное воздействие на здоровье человека и его благополучие (пыль, шум от движения машин и т.д.) | В |
Умеренный негативный | (-3)<(-2) | Умеренное воздействие на здоровье и благополучие людей (шум, запах, пыль, травмы) | С |
Очень негативный | (-4)<(-3) | Чрезвычайные ситуации с вредными последствиями для здоровья людей, потеря человеком средств к существованию | D |
Крайне негативный | (-5)<(-4) | Крайне негативные события, затрагивающие одновременно здоровье человека, окружающую среду, экономику и т.д. | Е |
4.5 Развитие новых рисков
Определение источников нового риска - сложная теоретическая задача, так как в самом начале нет никаких свидетельств появления риска. На практике существование нового риска выявляют при его первом проявлении. После этого, сигналы, говорящие о проявлении нового риска, свидетельствуют о существовании данного риска (см. рисунки 4, 5). В большинстве случаев, собранные свидетельства появления нового риска являются разнородными и неполными, часто противоречивыми, поэтому необходимо гарантировать, что каждая часть свидетельств структурирована и сохранена для получения последовательной картины появляющегося риска как можно ранее. Как показано на рисунке 4, проявление нового риска обычно начинается со слабых сигналов, приводя к первым ожидаемым сценариям развития риска, при этом, заинтересованные стороны начинают чувствовать угрозу своим интересам. Если проявление риска нарастает (происходит эскалация событий и т.д.), то можно говорить о развитии риска. За этим следует реакция заинтересованных сторон по изучению и предотвращению риска. Если деятельность этих сторон привела к созданию новых норм, регламентов, новых юридических отношений и т.д., то это свидетельствует о появившемся, полностью развитом риске, который переведен в разряд известных существующих рисков.
Рисунок 4 - Развитие риска через накопление знаний о нем
Развитие нового риска может не носить характер постоянно возрастающей опасности: если отсутствуют события, подтверждающие проявление риска, если есть доказательства отсутствия опасности и негативных последствий, то процесс развития нового риска начинает спадать, и новый развивающийся риск может, в конечном счете, исчезнуть (см. рисунок 5).
Рисунок 5 - Три варианта развития нового риска
5 Требования к менеджменту новых рисков
5.1 Общие требования
Менеджмент новых рисков должен обеспечивать:
а) четко заданный объем;
б) непротиворечивость;
в) реалистичность;
г) применимость к различным сферам деятельности, отраслям промышленности и т.д.
д) учет интересов и/или приоритетов заинтересованных сторон;
е) учет регулирующих/законодательных требований;
ж) учет технических и других факторов влияния;
и) наличие согласованных метрик и принятых методологий;
к) определенность целей анализа и критериев риска, четко заданных как можно ранее в процессе анализа и пересматриваемых непрерывно в процессе анализа, в связи с появлением знаний о новом риске;
л) повышение качества входной информации;
м) мультидисциплинарным подходом, осуществляемым командой экспертов, обладающих необходимой компетентностью.
В соответствии с ГОСТ Р ИСО 31000 менеджмент риска должен быть частью общего менеджмента организации и включать в себя: определение целей, задач и требований, относящихся к работе с риском; установление системы работы с риском; схемы оповещения об изменениях, происходящих в системе менеджмента риска организации.
5.2 Основные принципы анализа нового риска
Комплексный подход к анализу нового риска основан на следующих базовых принципах.
1 "Жизненный цикл". Все возможные, характеризующие новый риск параметры должны подлежать анализу на протяжении всего жизненного цикла новой технологии, новой продукции, что дает возможность избежать ущерба или уменьшить его и предотвращает появление новых проблем.
2 "Интеграция". Новому риску дают интегральную, комплексную оценку, которая связана также с процедурами и методами управления риском.
3) "Целостность". При конкретном способе управления появляющимся риском должно быть сохранено целостное видение ситуации, что помогает отслеживать изменение сферы воздействия опасностей, связанных с риском и дифференциации риска.
4 "Профилактика". В случае, когда существует угроза причинения ущерба здоровью или окружающей среде, предупредительные меры должны быть приняты, даже при отсутствии строго обоснованных научно причинно-следственных связей между риском и ущербом.
5 "Непрерывное улучшение". Процессы менеджмента нового риска необходимо постоянно анализировать и совершенствовать их эффективность, результативность и гибкость.
5.3 Выполнение требований
При внедрении системы менеджмента новых рисков должно быть принято во внимание следующее:
а) Различные методы анализа риска следует применять таким образом, чтобы не вносить ошибки в анализ сценариев неблагоприятных событий, т.е. в анализ сценариев следует вносить все сценарии.
б) Особое внимание следует уделять нетипичным, нестандартным сценариям развития неблагоприятных событий, они также должны быть рассмотрены. Их нельзя оставлять без внимания, даже если для них невозможно разработать сценарий [см. а)].
в) Не рекомендуется объединять вероятности и последствия, относящиеся к различным сценариям (например, последствия представляют собой различные режимы отказов), даже если эти сценарии принадлежат одной системе. В то же время нельзя опускать общие последствия и общие отказы.
г) Общими требованиями к анализу вероятностей являются следующие:
- получение гарантированных оценок;
Примечания
1 Доступные методы определения вероятностей могут иметь различия в уровне детализации. Метод с низким уровнем детализации (например, качественный анализ) может давать гарантированную оценку, т.е. давать более высокую вероятность отказа или равную средней вероятности отказа.
- возможность проверки результатов;
2 Результаты анализа должны быть представлены так, чтобы они были доступны для проверки уполномоченными экспертами.
- мультиуровневый подход: могут быть использованы и количественный и качественный методы (с различными уровнями детализации);
- структурированный характер: процесс анализа должен быть структурирован с указанием четких границ этапов анализа;
- отсутствие усреднения: наивысшая оценка вероятности конкретного аспекта риска должна доминировать в итоговом рассмотрении, нельзя допускать усреднения оценок для различных аспектов риска;
- дополнительные аспекты: результативность методов выявления новых рисков, степень доверия, возможные эффекты взаимодействия, взаимосвязь вероятности и критерия и т.д.
д) Общими требованиями последовательного анализа являются следующие:
- анализ должен быть обращен к различным типам последствий, главные из них связаны со здоровьем, безопасностью и непрерывностью бизнеса;
- важные воздействия должны быть документированы, внесены в нормативные документы, одобрены и зарегистрированы соответствующими органами;
- при использовании конкретной модели важно избегать недооценки последствий, каждую модель следует использовать в границах ее применимости;
- для получения оценки вероятностей и возможных последствий допустимо использование экспертных оценок, однако их использование должно быть прозрачным, при этом, желательно привлекать группу экспертов с признанной соответствующей квалификацией.
е) Общие требования к персоналу. Управление новыми рисками требует вовлечение квалифицированного персонала и соответствующих методов работы. Некоторые случаи могут требовать особой компетенции. Требования могут быть установлены в местных законодательных актах, нормах, требованиях конкретного производства. Управление новыми рисками является командной задачей, решаемой группой экспертов, обладающих соответствующими навыками. При анализе новых рисков обычно выделяют три уровня компетентности участников:
- непрофессионал, общественный деятель;
- участник среднего уровня;
- аналитик в области риска.
6 Структура менеджмента новых рисков
6.1 Основные принципы менеджмента новых рисков
В общем менеджменте риска существует одиннадцать основных принципов (см. ГОСТ Р ИСО 31000, раздел 3), применимых также к новым рискам.
а) Менеджмент риска создает и защищает ценность.
б) Менеджмент риска является неотъемлемой частью всех процессов организации (включая стратегическое планирование и все процессы управления проектами и изменениями).
в) Менеджмент риска является частью процесса принятия решений.
г) Менеджмент риска явным образом связан с неопределенностью.
д) Менеджмент риска является системным, структурированным и своевременным.
е) Менеджмент риска основывается на наилучшей доступной информации.
ж) Менеджмент риска является адаптируемым.
и) Менеджмент риска учитывает человеческие и культурные факторы.
к) Менеджмент риска является прозрачным и учитывает интересы заинтересованных сторон.
л) Менеджмент риска является динамичным, итеративным и реагирующим на изменения.
м) Менеджмент риска способствует постоянному улучшению организации.
6.2 Основные этапы менеджмента новых рисков
В менеджменте новых рисков выделяют 10 основных этапов. Как показано на рисунке 6, данные этапы включены в основные виды деятельности по работе с новыми рисками:
- мониторинг свидетельств появления нового риска (этап 1);
- предварительная оценка нового риска (этапы 2-4);
- оценка нового риска (этапы 5-8);
- непрерывный анализ нового риска (этапы 9-10).
Ниже приведено описание основных этапов менеджмента новых рисков.
1 Раннее проявление
Проявления новых рисков должны быть обнаружены как можно раньше. За дальнейшими проявлениями новых рисков относительно различных аспектов окружающей действительности (экологического, технического, социального, экономического и т.д.), должен быть установлен постоянный контроль. Практически это означает непрерывный мониторинг с элементами предвосхищения возможных опасных ситуаций. На этом этапе следует:
- информировать заинтересованные стороны о ранних проявлениях нового риска;
- представлять заинтересованным сторонам возможные сценарии развития нового риска;
- представлять заинтересованным сторонам желательную линию действия при осуществлении определенного сценария развития риска;
- вести постоянный мониторинг проявлений нового риска с помощью различных методов анализа, моделирования и прогнозирования;
- получать динамическую оценку допустимости нового риска и оценку его возможного влияния на различные аспекты жизни и деятельности заинтересованных сторон.
2 Установление области применения
На данном этапе устанавливают область применения менеджмента нового риска. Организация должна четко сформулировать свои цели, определить внешние и внутренние учитываемые показатели, а также объем и критерии оценки нового риска.
Рисунок 6 - Основные этапы менеджмента новых рисков
На этом этапе информацию получают при помощи:
- исследований восприятия данного риска различными группами населения (опросы, интервью, голосования и т.п.);
- проведения анализа методом фокус-групп, мозгового штурма и т.п.;
- рассмотрения нового риска в свете передовых научных данных.
Оценку полученной информации дают компетентные лица, обладающие необходимыми знаниями и опытом.
3 Определение сценариев
Цель данного этапа - определение возможных сценариев развития событий, связанных с появлением нового риска. Задачи этапа - установление причинно-следственных связей между событиями, связанными с развитием нового риска и определение силы этих связей. Отдельно анализируют цепочки событий, приводящие к реализации опасного события и отдельно цепочки, содержащие только риски. Силу связей в анализе сценариев оценивают как с точки зрения величины воздействия опасного события, так и с точки зрения уязвимости объекта воздействия. В некоторых случаях, при рассмотрении сценария, оценку опасностей и оценку новых рисков можно совместить. Данный этап поддерживает прозрачность ситуации развития нового риска и прозрачность менеджмента новых рисков.
4 Предварительная оценка
Предварительная оценка дает представление о возможных взглядах на проблему, формирует основу для дальнейшей оценки риска. Основная задача этапа - изучение всех возможных характеристик риска. Для этих характеристик устанавливают предельные значения, влияние различных значений характеристик нового риска на заинтересованные стороны, изучают научные данные, нормативные и правовые документы, имеющие отношение к данному вопросу.
При получении предварительной оценки должны быть собраны все показатели, характеризующие риск, или, по крайней мере, показатели значимые для всех заинтересованных сторон.
5 Анализ риска
На данном этапе рассматривают всю информацию, собранную на предыдущих этапах, и принимают решение о значимости данного риска и возможностях снижения связанных с ним опасностей. На этом этапе должны быть изучены физические и измеримые характеристики риска, включая вероятность его проявления. Должны быть получены научно обоснованные выводы о качественных и количественных показателях предполагаемых опасных событий и возможном ущербе. Необходимо иметь оценку восприятия риска всеми заинтересованными сторонами: группами населения, сообществами, частными лицами и т.д. Важная составляющая данного этапа - анализ ответной реакции различных социальных институтов: систем массовой информации (СМИ), органов управления, общественных и политических организаций. Должны быть найдены способы разрешения конфликтов, связанных с восприятием риска и реакцией на риск.
Анализ должен охватывать весь жизненный цикл риска.
6 Классификация
Цель данного этапа - обеспечение гарантии того, что информация о новом риске собрана в соответствии с научными данными, причинно-следственными связями сценариями развития риска. На данном этапе истинные характеристики риска отделяют от политизированных, навязанных средствами массовой информации и т.п. Данный этап важен при наличии большого количества одновременно рассматриваемых новых рисков, а также в случае существования большого количества ранних предупреждений, поступающих в одно и то же время. На этом этапе риски могут быть характеризованы как простые, сложные, неопределенные, двойственные.
7 Приемлемость и допустимость
Данный этап вызывает наибольшее количество дискуссий по сравнению с остальными этапами. Оценка допустимости риска характеризует можно ли принять существование данного риска. Как правило, для риска, оцененного как допустимый, не проводят мероприятий по снижению риска и смягчению его возможных последствий. Для риска, оцененного как приемлемый, как правило, проводят мероприятия, помогающие держать данный риск под контролем и/или снижать последствия опасных событий, вызванных реализацией данного риска.
Анализ приемлемости и допустимости нового риска идет вне анализа технических аспектов риска, он имеет дело с социальными, культурными и этическими аспектами ситуации, связанной с новым риском. Важное значение на данном этапе имеет обмен информацией и консультирование по вопросам связанным с новым риском.
8 Обработка риска
Этап основан на данных предыдущих этапов, анализе и синтезе полученной информации. На данном этапе разрабатывают методы управления рисками, признанными допустимыми, назначают ответственных лиц за выполнение конкретных действий, при необходимости принимают решение о возможности международного сотрудничества по данному вопросу, рассматривают компромиссы между уровнем риска и преимуществами наличия данного риска. На этом этапе идет обработка качественных и количественных данных, рассмотрение альтернативных сценариев развития опасного события.
9 Информирование
При работе с новым риском обмен информацией и консультирование играют более важную роль, чем при работе с ранее известными (не новыми) рисками. Информация о риске должна быть доведена до сведения общественности так, чтобы избежать большого разрыва между экспертными оценками и общественным мнением. Информирование должно быть прозрачным, вызывающим доверие различных заинтересованных сторон, культурных слоев общества и отдельных его представителей. Данный этап важен для организации продуктивного взаимодействия заинтересованных сторон, которое возможно только при наличии у них доверия друг к другу.
10 Мониторинг и улучшение
Менеджмент риска должен быть восприимчив к изменениям ситуации и развитию риска. Для этого саму структуру менеджмента постоянно анализируют с точки зрения соответствия ее характеристик решаемым задачам. Несоответствующий менеджмент сам порождает новые риски. Таким образом, на этом этапе следует удостовериться в том, что менеджмент риска:
- постоянно улучшается;
- является эффективным и результативным;
- устойчивым.
В таблице 5 представлены входные и выходные данные, действия, характерные для каждого этапа и возможные причины затруднений при проведении действий на каждом этапе.
Таблица 5 - Этапы менеджмента новых рисков
Этап | Входные данные | Характерные действия | Выходные данные | Причины затруднений |
1 Раннее проявление | Ранние проявления, слабые сигналы, свидетельства, мнения | Регистрация входных данных, полученных из различных источников | Краткая информация, снабженная основными данными и фактами, планирование будущих действий (исследование риска, проверка источника риска и т.д.) | Ложные сигналы и данные, негативное воздействие ложных сведений |
2 Область применения | Выходные данные этапа 1 | Анализ информации об области применения (например, семантический анализ с помощью программного обеспечения) | Отчеты, описывающие область применения и интересы, ожидания и причины озабоченности заинтересованных сторон | Игнорирование каких-либо заинтересованных сторон, нечувствительность к доводам заинтересованных сторон |
3 Определение сценариев | Все значимые причины и последствия; краткая информация, представленная на этапе 1 | Определение причин появления риска, анализ хронологических данных, относящихся к риску | Исчерпывающий структурированный перечень рисков и возможных сценариев, основанный на отобранных для анализа событиях | Ошибочное понимание сценариев развития идентифи- |
4 Предварительная оценка | Информация об области определения, анализа и оценки риска, полученная на этапе 2 и исчерпывающий структурированный перечень рисков и возможных сценариев, полученный на этапе 3 | Ранжирование мнений о новом риске, рассмотрение сценариев, полученных на этапе 3 | Предварительная оценка сценариев, для последующего, более детального анализа риска | Влияние ошибочных положительных и отрицательных решений при предварительной оценке, исключение из рассмотрения важных сценариев, сохранение несущественных сценариев для дальнейшего анализа |
5 Анализ риска | Перечень всех сценариев, для которых дана предварительная оценка и вся доступная информация, имеющая отношение к этим сценариям | Использование всех доступных, подходящих методов анализа риска | Полностью проанализи- | Недостаток научных данных, низкий уровень доверия к данным, недостаточное внимание к взаимозависимости и взаимодействию заинтересованных сторон, недостаточное внимание к заинтересованным сторонам и объектам воздействия риска |
6 Классификация | Вся существенная информация относительно проанализи- | Основанная на научных данных и полученных оценках классификация риска как: простого, сложного, неопределенного, двойственного; назначение цветового кода, соответствующего оценке нового риска | Полное описание сценариев развития риска, полное соглашение об оценках риска | Недооценка воздействия риска; характеристика риска, основанная на мнениях слишком малого числа экспертов |
7 Приемлемость и допустимость | Уровень риска, установленный при анализе риска и определение области применения риска; юридические, законодательные и другие требования | Принятие решения по приемлемости и допустимости риска | Информирование о приемлемости и допустимости риска, о действиях, необходимых для достижения допустимости риска | Отсутствие четкого понимания для кого риск является приемлемым; отсутствие успеха при применении мер по снижению риска |
8 Обработка риска | Определение приемлемости и допустимости риска; выбор способа обработки риска | Определение мер по снижению риска | Четко определенные способы обработки риска | Выбор неудачного способа обработки риска; запаздывание или невыполнение действий по обработке риска |
9 Информирование | Планы по обмену информацией и консультированию по вопросам, связанным с новым риском; выходные данные всех других этапов | Социальные диалоги, обмен информацией с определенной целью | Непрерывный обмен правдивой, точной и понятной информацией с заинтересованными сторонами, принимающий во внимание их интересы и потребности | Рассмотрение интересов не всех заинтересованных сторон, а только группы заинтересованных сторон |
10 Мониторинг и улучшение | Информация, полученная на всех этапах; информация о возможном снижении риска, как результат информирования о риске | Непрерывное наблюдение и постоянный анализ | Контроль риска, контроль условий, влияющих на риск, анализ менеджмента | Недостаточно внимательный контроль, недостаточно чувствительный к изменениям контроль; недостаточный контроль за деятельностью по обработке риска |
6.3 Взаимосвязь этапов менеджмента новых рисков с этапами процесса менеджмента рисков
Менеджмент новых рисков соответствует системе менеджмента риска, установленной ГОСТ Р ИСО 31000. Основное отличие состоит в том, что процесс менеджмента новых рисков дополнен этапами, важными при работе с новым риском.
Наиболее значимое отличие состоит в наличии этапа 1 - "Раннее проявление", назначение которого состоит в поиске и регистрации самых ранних свидетельств проявления нового риска.
Десять этапов менеджмента новых рисков представляет собой непрерывный путь от слабого проявления нового риска, о котором нет информации, к известному новому риску (см. рисунок 7).
На этапе 10. так же как и на этапе 1. важны любые сигналы (ранние предупреждения), свидетельствующие о возникновении риска, которые необходимо распознавать настолько рано, насколько это возможно. Это делает этап 10 и этап 1 несколько схожими - ранние предупреждения являются ключевым моментом обоих этапов.
Другая особенность менеджмента новых рисков связана с этапами 2 и 5 (установление области определения и анализа риска). Эти этапы особенно важны при наличии разногласий в оценке новых рисков. Они включают постоянное отслеживание потребностей заинтересованных сторон и вопросов, вызывающих обеспокоенность заинтересованных сторон.
Еще одно отличие менеджмента новых рисков состоит в выделении этапа 3, на котором происходит рассмотрение сценариев развития опасных событий. В менеджменте новых рисков важный момент - выявление сценариев риска, в которых ущерб от реализации риска наиболее велик. Данный этап помогает идентифицировать новые риски, обладающие наибольшей критичностью.
Рисунок 7 - Преобразование неизвестных новых рисков в известные
На рисунке 8 схематично представлен процесс менеджмента риска с выделенными этапами процесса менеджмента новых рисков.
Примечание - Пунктиром выделены этапы менеджмента риска по ГОСТ Р ИСО 31000, наименования этих этапов выделены курсивом. Цифрами указаны этапы менеджмента нового риска в соответствии с рисунком 6.
Рисунок 8 - Процесс менеджмента риска с указанием этапов менеджмента новых рисков
УДК 362:621.001:658.382.3:006.354 | ОКС 13.180 | |
Ключевые слова: риск, новый риск, менеджмент риска, менеджмент нового риска, созревание риска, оценка риска, анализ риска, последствие, ущерб, опасное событие, новые технологии |
Электронный текст документа
и сверен по:
, 2019