ГОСТ Р МЭК 31010-2021 Надежность в технике. Методы оценки риска

Обложка ГОСТ Р МЭК 31010-2021 Надежность в технике. Методы оценки риска
Обозначение
ГОСТ Р МЭК 31010-2021
Наименование
Надежность в технике. Методы оценки риска
Статус
Действует
Дата введения
2022.01.01
Дата отмены
-
Заменен на
-
Код ОКС
03.100.01

ГОСТ Р МЭК 31010-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Надежность в технике

МЕТОДЫ ОЦЕНКИ РИСКА

Dependability in technics. Risk assessment techniques

ОКС 03.100.01

Дата введения 2022-01-01

Предисловие

1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 "Надежность в технике"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2021 г. N 1011-ст

4 Настоящий стандарт идентичен международному стандарту МЭК 31010:2019* "Менеджмент риска. Технологии оценки риска" (IEC 31010:2019 "Risk management - Risk assessment techniques", IDT).

Международный стандарт разработан Техническим комитетом IEC/TC 56.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

В настоящем стандарте приведено руководство по выбору и применению различных методов, способствующих пониманию риска и учету соответствующей неопределенности.

Эти методы используют:

- в ситуациях, где необходимо более глубокое понимание существующего или другого конкретного риска;

- при принятии решения по результатам сопоставления вариантов, каждому из которых соответствует свой риск, или оптимизации риска;

- в процессе менеджмента риска при выполнении действий по обработке риска.

Эти методы используют на этапах оценки риска, связанных с идентификацией, анализом и сравнительной оценкой риска в соответствии с ИСО 31000, и в более общем случае для понимания неопределенности и ее последствий.

Методы, приведенные в настоящем стандарте, могут быть использованы в широком диапазоне ситуаций в основном в технической области. Некоторые методы похожи по концепции, но имеют различные наименования и методологию, отражающую историю их разработки в различных странах. Методы продолжают развиваться, и многие из них могут быть использованы в широком диапазоне ситуаций, выходящих за границы их первоначального применения. Методы могут быть адаптированы, объединены и применены по-новому или распространены на новые области применения в соответствии с текущими и будущими потребностями.

Настоящий стандарт представляет собой введение в избранные методы и включает в себя сопоставление вариантов их применения, преимуществ и ограничений. В стандарте приведены ссылки на источники более подробной информации.

Пользователями настоящего стандарта являются:

- все участники действий по оценке и менеджменту риска;

- специалисты, участвующие в разработке руководства по оценке риска в конкретных условиях;

- специалисты, принимающие решения в условиях неопределенности, включая:

- специалистов, выполняющих сравнительную оценку риска или назначающих исполнителей такой оценки,

- специалистов, анализирующих и интерпретирующих результаты оценок,

- специалистов, осуществляющих выбор методов оценки в соответствии с конкретными требованиями.

Организации, которые обязаны проводить оценку рисков на соответствие установленным требованиям или целям, получат преимущества при использовании соответствующих стандартизированных методов оценки риска.

Стандарт в первую очередь предназначен для организаций, взаимодействующих с зарубежными партнерами, которые, как правило, не признают применения неидентичных национальных стандартов. Эти проблемы не позволяет решить ГОСТ Р 58771, при разработке которого были использованы основные положения МЭК 31010.

1 Область применения

Настоящий стандарт устанавливает руководство по выбору и применению методов оценки риска в широком диапазоне ситуаций. Эти методы используют при принятии решений в условиях неопределенности, для получения информации о конкретных видах риска при выполнении процесса менеджмента риска. В стандарте приведено краткое описание ряда методов со ссылками на документы, содержащие более подробную информацию.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO Guide 73:2009, Risk management - Vocabulary (Менеджмент риска. Термины и определения)

ISO 31000:2018, Risk management - Guidelines (Менеджмент риска. Принципы и руководство)

3 Термины и определения

В настоящем стандарте применены термины по ИСО 31000:2018, Руководству ИСО 73:2009, а также следующие термины с соответствующими определениями.

Терминологические базы данных ИСО и МЭК доступны по следующим интернет-адресам:

- электронная база МЭК Electropedia по адресу: http://www.electropedia.org/;

- электронная платформа ИСО с функцией онлайн-просмотра терминов по адресу: http://www.iso. org/obp.

3.1 правдоподобность (появления события) (likelihood): Характеристика возможности и частоты появления события.

Примечание 1 - В менеджменте риска термин "правдоподобность" используют как характеристику возможности появления события, которая может быть определенной или неопределенной, измеримой или неизмеримой, объективной или субъективной, иметь качественную или количественную оценку и может быть выражена математически (как вероятность или частота за установленный период времени).

Примечание 2 - Английский термин "правдоподобность" не имеет прямого эквивалента в некоторых языках, вместо которого в этом случае применяют термин "вероятность". В английском языке термин "вероятность" часто применяют как чисто математический термин. Таким образом, в области управления риском в части терминологии термин "вероятность" использован в более широком смысле, чем в других языках, кроме английского.

[ИСО 31000:2018, 3.7]

3.2 возможность (opportunity): Сочетание обстоятельств, которое, как ожидается, будет благоприятно для достижения целей.

Примечание 1 - Возможность - это позитивная ситуация, в которой вероятно получение преимуществ и над которой существует объективный контроль.

Примечание 2 - Возможность для одной стороны может быть угрозой для другой стороны.

Примечание 3 - Как использование, так и неиспользование возможности являются источниками риска.

3.3 вероятность (probability): Мера возможности появления события, выражаемая действительным числом из интервала от 0 до 1, где 0 соответствует невозможному, а 1 - достоверному событию.

Примечание - См. определение 3.1, примечание 2.

3.4 драйвер риска (risk driver, driver of risk): Фактор, оказывающий основное влияние на риск.

3.5 угроза (threat): Потенциальный источник опасности, вреда или другого нежелательного результата.

Примечание 1 - Угроза - негативная ситуация, в которой вероятны потери и которую человек плохо контролирует.

Примечание 2 - Угроза для одной стороны может создавать возможности для другой стороны.

4 Основные концепции

4.1 Неопределенность

Неопределенность - это термин, охватывающий многие основные понятия. Было предпринято много попыток, которые продолжаются по классификации типов неопределенности, включая:

- неопределенность, которая характеризует внутреннюю изменчивость некоторых явлений и не может быть уменьшена в результате дальнейших исследований; например, бросание кубиков (иногда такую неопределенность называют алеаторной неопределенностью);

- неопределенность, которая обычно возникает из-за недостатка знаний (и поэтому может быть уменьшена при получении большего количества данных), уточнения моделей, совершенствования методов отбора проб и т.д. (иногда такую неопределенность называют эпистемической неопределенностью).

Другие общеизвестные формы неопределенности охватывают:

- лингвистическую неопределенность, которая характеризует двусмысленность, присущую разговорной речи;

- неопределенность принятия решений, имеющую особое значение для стратегий менеджмента риска и характеризующую неопределенность, связанную с системами ценностей, профессиональными суждениями, ценностями организации и социальными нормами.

Примерами неопределенности являются:

- неопределенность в отношении истинности предположений, включая предположения о поведении людей или функционировании системы;

- вариабельность параметров, на которых основано принятие решения;

- неопределенность в достоверности или точности моделей, используемых для прогнозирования;

- события (включая изменение обстоятельств или условий), их возникновение, особенности или последствия;

- неопределенность, связанная с разрушительными событиями;

- неопределенные результаты проблем в системе, таких как недостаток компетентного персонала, которые могут иметь широкий диапазон воздействий, четкое определение которых невозможно;

- недостаток знаний, возникающий, когда наличие неопределенности признано, но непонятно;

- непредсказуемость;

- неопределенность, возникающая из-за ограниченности человеческого мышления, например в понимании сложных данных, прогнозировании ситуации с долгосрочными последствиями или формировании объективных выводов.

Не все типы неопределенности могут быть понятны, значение неопределенности может быть трудно или невозможно определить и изменить. Однако признание того, что неопределенность существует в конкретных условиях, позволяет создавать системы раннего обнаружения изменений и принятия мер для повышения устойчивости к неожиданным ситуациям.

4.2 Риск

Риск охватывает воздействие на цели всех форм неопределенности, описанных в 4.1. Воздействие неопределенности может привести к положительным или отрицательным последствиям или к тем и другим одновременно.

Риск часто описывают в терминах источников риска, возможных событий, их последствий и вероятности этих последствий. Событие может иметь несколько причин и привести к нескольким последствиям. Последствия могут быть описаны переменными различного вида, дискретными, непрерывными или неизвестными. Вначале последствия могут быть неразличимыми и не поддающимися оценке, но со временем они могут накапливаться. Источники риска могут иметь присущую им изменчивость или неопределенность, связанную с целым рядом факторов, включая поведение людей, структуру организации, социальные воздействия, для которых может быть трудно предсказать какое-либо конкретное событие, которое может произойти. Отсюда следует, что риск не всегда можно легко свести в таблицу в виде набора событий, их последствий и вероятностей.

Методы оценки риска направлены на то, чтобы помочь людям осознать неопределенность и соответствующий риск в сложных и разнообразных условиях с целью обеспечения информацией принятие решений и выполнение действий.

5 Использование методов оценки риска

Методы, установленные в настоящем стандарте, позволяют улучшить понимание неопределенности и ее последствий для принятия решений и выполнения необходимых действий.

В ИСО 31000 установлены принципы менеджмента риска, а также основы и организационные принципы управления риском. В ИСО 31000 установлен процесс, позволяющий распознать риск, понять и изменить его в соответствии с установленными критериями, которые являются частью процесса. Методы оценки риска могут быть применены в соответствии с этим структурированным подходом, который включает установление условий и области применения менеджмента риска, оценку риска, обработку риска вместе с постоянным мониторингом, анализом, консультациями, записями и отчетностью. Этот процесс показан на рисунке А.1, где также показаны примеры того, где внутри процесса могут быть применены методы.

В процессе, установленном в ИСО 31000, оценка риска включает в себя идентификацию рисков, их анализ и использование полученной в результате анализа информации для количественной и сравнительной оценки риска, для выводов об их значимости по отношению к целям и пороговым показателям работы организации. Этот процесс обеспечивает принятие решений о необходимости, приоритетности и действиях по обработке риска. На практике применяют итерационный подход.

Методы оценки риска, описанные в настоящем стандарте, обычно используют:

- в ситуациях, когда требуется более глубокое понимание существующих рисков или конкретного риска;

- в рамках процесса менеджмента риска, при выборе действий по обработке риска;

- при необходимости сравнения нескольких вариантов или оптимизации риска.

В частности, методы могут быть использованы:

- для обеспечения структурированной информацией принятия решений и выбора действий в условиях неопределенности;

- для точного разъяснения предположений о достижении целей;

- при сравнении различных вариантов, систем, методов или подходов и т.п., когда существует много неопределенностей по каждому варианту;

- при определении реалистичных стратегических и оперативных целей;

- при определении критериев риска организации, таких как границы риска, аппетит риска и способность выдержать риск;

- для учета риска при установлении или повторном анализе приоритетов;

- для более успешного распознавания и использования риска, включая риск, который может привести к экстремальным результатам;

- для понимания, какие неопределенности имеют наибольшее значение для целей организации, и обоснования того, что с ними следует делать;

- для более успешного распознавания или использования возможностей;

- при описании факторов, способствующих возникновению риска, для понимания их значимости;

- при определении эффективных и результативных мер обработки риска;

- для определения последствий, предполагаемых методов обработки риска, включая все изменения особенностей и количественных характеристик риска;

- при обмене информацией о риске и его последствиях;

- при анализе неудач и успехов для улучшения менеджмента риска;

- для демонстрации того, что нормативные и другие требования выполнены.

Способ оценки риска зависит от сложности и новизны ситуации, а также от уровня соответствующих знаний и понимания задачи.

В самом простом случае, когда в ситуации нет ничего нового или необычного, риск хорошо понятен, а последствия и воздействия на заинтересованные стороны не являются существенными, решение о выборе, вероятно, будет принято в соответствии с установленными правилами, процедурами и предыдущими оценками риска.

Для очень новых, сложных или спорных вопросов, где существует высокая неопределенность и мало опыта, имеется мало информации, на основе которой могут быть сделаны оценки, а обычные методы анализа могут оказаться бесполезными или бессмысленными. Это также относится к обстоятельствам, когда заинтересованные стороны придерживаются сильно различающихся взглядов. В этих случаях можно использовать несколько методов для достижения частичного понимания риска, с выводами в отношении организации, социальных ценностей, а также мнения заинтересованных сторон.

Методы, установленные в настоящем стандарте, имеют наибольшее применение в ситуациях между указанными крайностями, когда сложность умеренная и имеется некоторая доступная информация для выполнения оценки.

6 Выполнение оценки риска

6.1 Планирование оценки

6.1.1 Определение цели и области применения оценки риска

Цель оценки риска должна быть установлена с указанием решений или действий, к которым она относится, лиц, принимающих решения, заинтересованных сторон, а также сроков и особенностей требуемой оценки (например, необходима качественная, полуколичественная или количественная информация).

Область применения, глубина и уровень детализации оценки должны быть определены с описанием того, что включено и что исключено. Виды последствий, которые необходимо рассмотреть при оценке риска, должны быть определены. Все условия, предположения, ограничения и необходимые ресурсы, имеющие отношение к деятельности по оценке риска, также должны быть установлены.

6.1.2 Понимание условий

При проведении оценки риска участники оценки должны быть осведомлены обо всех обстоятельствах, в которых принимают решения и выполняют действия на основе оценки риска. Эти обстоятельства включают понимание внутренних и внешних проблем, которые вносят свой вклад в условия работы организации, а также более широких социальных и экологических аспектов. Установление любого условия должно быть рассмотрено и проверено на предмет его актуальности и уместности. Понимание общей картины особенно важно в сложных ситуациях.

6.1.3 Взаимодействие с заинтересованными сторонами

Заинтересованные стороны и тех, кто может внести полезные знания, следует идентифицировать и рассматривать их мнение, независимо от того, являются ли они участниками оценки. Надлежащее вовлечение заинтересованных сторон помогает обеспечить выполнение оценки риска на основе достоверной и применимой информации, а также понимание заинтересованными сторонами причин принятия тех или иных решений. Вовлечение заинтересованных сторон может:

- обеспечить информацию, позволяющую понять условия оценки риска;

- способствовать объединению различных областей знаний и опыта для результативной идентификации и понимания риска;

- обеспечить соответствующую экспертизу при использовании этих методов;

- обеспечить понимание и учет интересов заинтересованных сторон;

- обеспечить исходные данные для процесса определения приемлемости риска, особенно когда риск оказывает влияние на заинтересованные стороны;

- обеспечить выполнение всех требований к информированию или консультированию людей;

- обеспечить сопровождение результатов и решений, принятых на основе оценки риска;

- выявить пробелы в знаниях, которые необходимо устранить до и/или в процессе оценки риска.

Следует решить, каким образом выводы и результаты оценки риска могут быть достоверны, точны и доведены до сведения соответствующих заинтересованных сторон.

Методы получения мнений заинтересованных сторон и экспертов описаны в В.1 приложения В.

6.1.4 Определение целей

Цели конкретной системы или процесса, в отношении которых проводят оценку риска, должны быть определены и там, где это практически осуществимо, документированы. Это облегчает идентификацию рисков и понимание их последствий.

В той мере, в какой это практически осуществимо, цель должна:

- отражать специфику объекта оценки;

- допускать количественное или качественное определение показателей;

- быть достижимой в рамках ограничений, налагаемых условиями;

- соответствовать более широким целям и условиям организации;

- быть выполнимой в установленные сроки.

6.1.5 Учет человеческих, организационных и социальных факторов

Человеческие, организационные и социальные факторы должны быть рассмотрены и приняты во внимание по мере необходимости. Человеческий фактор при оценке риска может быть рассмотрен как источник:

- неопределенности;

- влияния на выбор и применение методов;

- вариантов интерпретаций и использования информации (например, из-за различий восприятия риска).

Деятельность человека (хуже или лучше ожиданий) является источником риска и может также влиять на результативность контроля. Возможные отклонения от ожидаемого или предполагаемого поведения должны быть специально рассмотрены при оценке риска. Рассмотрение работы человека часто является сложным, для идентификации и анализа риска, связанного с работой человека, может потребоваться консультация экспертов.

Человеческий фактор также влияет на выбор и использование методов, особенно там, где необходимо заключение или использование командного подхода. Для уменьшения такого влияния необходима квалифицированная помощь. Такие особенности, как конформизм или чрезмерная уверенность (например, в оценке или восприятии), должны быть рассмотрены везде, где это возможно. Экспертное заключение должно быть подкреплено доказательствами, данными и усилиями, предпринятыми для предотвращения или минимизации когнитивных предубеждений.

Личные цели и ценности людей могут отличаться от целей и ценностей организации. Это может привести к различным представлениям об уровне риска и различным критериям, по которым конкретные люди принимают решения. Организация должна стремиться к достижению общего понимания риска внутри организации и учитывать различные представления заинтересованных сторон.

Социальные аспекты, включая социально-экономическое положение, расовую, этническую принадлежность, культуру, гендерные и социальные взаимоотношения, жилищные и общинные условия, могут влиять на риск как прямо, так и косвенно. Последствия могут быть долгосрочными и не сразу заметными и могут потребовать перспективного планирования.

6.1.6 Критерии анализа для принятия решений

6.1.6.1 Общие положения

Критерии, в том числе в области риска, которые необходимо применять при принятии решений, должны быть рассмотрены до проведения оценки. Критерии могут быть качественными, полуколичественными или количественными. В некоторых случаях могут отсутствовать какие-либо явные критерии; в этом случае заинтересованные стороны используют свои заключения при реагировании на результаты анализа.

Критерии анализа:

- как следует принимать решение о приемлемости риска;

- как необходимо определять относительную значимость риска;

- как следует учитывать при принятии решений из нескольких вариантов, когда каждому варианту соответствует несколько рисков, которые могут иметь положительные и отрицательные последствия;

- как следует учитывать взаимосвязи между различными видами риска.

6.1.6.2 Критерии принятия решения о приемлемости риска

Критерии определения особенностей и уровня риска, который может быть принят при выполнении поставленных целей, иногда называемого аппетитом риска, могут быть заданы путем установления метода определения величины риска или параметра, связанного с риском, вместе с пределом значений этого параметра, за которым риск становится неприемлемым. Предел, установленный для неприемлемого неблагоприятного риска, может быть связан с возможным вознаграждением.

Приемлемый риск также может быть определен путем установления приемлемых отклонений значения показателя, связанного с достижением целей.

В зависимости от вида последствий могут быть установлены различные критерии. Например, критерии приемлемости финансового риска могут отличаться от критериев приемлемости риска, связанного с опасностью для жизни человека.

Ниже приведены примеры анализа, используемого при определении приемлемого риска.

- Риск получения возможностей (RBC) (также называемый риском возможностей): RBC организации обычно определяют в терминах рискового капитала, который доступен для устранения неблагоприятных воздействий соответствующих событий. Для коммерческой фирмы возможности могут быть установлены в терминах максимальных возможностей сохранения активов, или наибольшего финансового убытка, который компания может выдержать без необходимости объявления о банкротстве. Оцененный RBC должен быть объективно проверен с помощью стресс-тестирования возможных сценариев для обеспечения достоверного уровня доверия. Аппетит риска организации отражает готовность руководства использовать свой RBC.

- ALARP/ALARA и SFAIRP: в некоторых сферах законодательно установлены следующие критерии принятия решения об обработке риска, связанного с безопасностью: риск травм или ухудшения здоровья должен быть так мал, "как разумно выполнимо" (ALARP), так мал, "как разумно достижимо" (ALARA), или средства контроля снижают частоту возникновения опасного события до уровня "столь малого, насколько это обоснованно и практически осуществимо" (SFAIRP) (см. В.8.2).

- Критерий "Глобально, по крайней мере эквивалентно" (GALE) [globalement au moins equivalent] (GAME) [1] считается приемлемым для рисков с неблагоприятными последствиями и увеличения риска конкретного источника, если можно продемонстрировать, что риски других источников уменьшились на эквивалентную или большую величину.

- Критерии затрат/преимуществ, такие как стоимость сохраненной жизни или рентабельность инвестиций (ROI).

6.1.6.3 Критерии оценки значимости риска

Критерии риска (в соответствии с которыми определяют значимость риска) могут быть выражены в терминах, которые включают в себя любую из характеристик и мер риска, разработанных в 6.3.5 и 6.3.7. Этические, культурные, правовые, социальные, репутационные, экологические, договорные, финансовые и другие соображения также могут иметь значение.

Оценка значимости риска по сравнению с другими рисками часто основана на оценке уровня риска по сравнению с критериями, которые непосредственно связаны с установленными пороговыми значениями вблизи целей организации. Сопоставление с этими критериями позволяет организации определить риски, которые необходимо обработать на основе возможностей управления результатами, выходящими за пределы пороговых значений, установленных вокруг целей.

Уровень риска редко является единственным критерием, имеющим отношение к принятию решений о значимости риска. Другие факторы могут включать устойчивость (например, тройной запас) и гибкость, этические и правовые критерии, эффективность средств контроля, максимальное воздействие, если средства контроля не применяются или отказали, сроки реализации последствий, затраты на контроль и мнения заинтересованных сторон.

Методы оценки значимости риска описаны в В.8.

6.1.6.4 Критерии выбора варианта

Организация сталкивается со многими вариантами решения, когда может быть затронуто несколько, часто конкурирующих целей и возможны как неблагоприятные, так и благоприятные результаты. Для принятия решений в такой ситуации может потребоваться выполнение нескольких критериев и поиск компромисса между конкурирующими целями. Следует определить критерии, имеющие отношение к данному решению, а также способ сопоставления критериев и достижения компромисса, все это должно быть отражено в записях. При установлении критериев возможно, что затраты и преимущества могут быть различны для разных заинтересованных сторон. Должен быть выбран способ учета различных форм неопределенности.

Методы, описанные в В.9, относятся к выбору варианта.

6.2 Управление информацией и разработка моделей

6.2.1 Общие положения

До и в процессе оценки риска должна быть получена соответствующая информация. Эта информация обеспечивает исходные данные для статистического анализа, моделей или методов, описанных в приложениях А и В. В некоторых случаях информация может быть использована лицами, принимающими решения без дальнейшего анализа.

Информация, необходимая на каждом этапе, зависит от результатов более раннего сбора информации, цели и области применения оценки, а также метода или методов, использованных для анализа. Следует определить способ сбора, хранения и представления информации.

Следует принять решение о том, какие записи о результатах оценки необходимо хранить, а также о том, как их надо выполнять, сохранять, обновлять и представлять тем, кому они необходимы. Источники информации всегда должны быть указаны.

6.2.2 Сбор информации

Информация может быть собрана из литературы, наблюдений и мнений экспертов. Данные могут быть получены, например, на основе измерений, экспериментов, интервью и опросов.

Как правило, данные прямо или косвенно отражают прошлые потери или преимущества. Примерами могут быть отказы или успешная работа конструкции, количество жалоб, финансовые выгоды или потери, воздействия на здоровье, травмы и смертельные случаи и т.п. Также может быть доступна дополнительная информация, например, о причинах отказов или успехов, источниках жалоб, характере травм и т.п. Данные также могут включать выводы на основе моделей или других методов анализа.

Необходимо принять решение по следующим вопросам:

- определить источник информации и его достоверность;

- определить тип информации (например, качественная или количественная или и та и другая одновременно (см. 6.3.7.1));

- установить уровень, к которому относится информация (например, стратегический, тактический, оперативный);

- определить количество и качество необходимых данных;

- выбрать методологию сбора данных;

- установить уровень конфиденциальности информации.

Если используемые при анализе данные являются выборочными, необходимая статистическая достоверность должна быть установлена таким образом, чтобы было собрано достаточное количество данных. Неприменение статистического анализа также следует установить.

При наличии данных или результатов предыдущих оценок необходимо сначала установить, были ли какие-либо изменения в условиях и области применения объекта. При наличии таких изменений необходимо выяснить, когда собраны данные - до изменений или позже.

Достоверность и ограничения любой информации, использованной при оценке, должны быть исследованы с учетом:

- срока давности и актуальности информации;

- источника информации и методов сбора;

- неопределенности и пробелов в информации;

- авторитетности источника или происхождения информации, наборов данных, алгоритмов и моделей.

6.2.3 Анализ данных

Анализ данных может обеспечить:

- понимание прошлых последствий и вероятности их возникновения для приобретения опыта;

- информацию о тенденциях и закономерностях, включая периодичность, что позволяет оценить влияние на будущее;

- данные корреляции, что может выявить возможные причины зависимостей при проверке.

Ограничения и неопределенности данных должны быть идентифицированы и поняты.

Нельзя предполагать, что старые данные можно продолжать применять в будущем, но они могут указать лицам, принимающим решения, вероятные события в будущем.

6.2.4 Разработка и применение моделей

6.2.4.1 Общие положения

Модель - это приближенное представление реальности. Ее цель - представить реальную сложную ситуацию в более простом виде, позволяющем ее проанализировать. Модель может помочь в понимании данных и моделировании развития процессов в различных условиях. Модель может быть физической, представленной с помощью программного обеспечения, или представлять собой набор математических соотношений.

Моделирование обычно включает в себя следующие этапы:

- описание проблемы;

- описание цели построения модели и желаемых результатов;

- разработку концептуальной модели проблемы;

- построение физического, программного или математического представления концептуальной модели;

- разработку программного обеспечения или других методов анализа поведения моделируемого процесса;

- обработку данных;

- проверку или калибровку модели путем анализа результатов в известных ситуациях;

- формулировку выводов на основе модели.

Каждый из этих этапов может включать аппроксимации, предположения и мнения экспертов (по возможности), они должны быть проверены и утверждены людьми, не зависящими от разработчиков. Критические предположения должны быть проанализированы на основе имеющейся информации в отношении их достоверности.

Для достижения достоверных результатов при использовании моделей необходимо утвердить следующее:

- концептуальную модель, адекватно отражающую оцениваемую ситуацию;

- использование модели в соответствии с условиями, для которых она была разработана;

- теоретические концепции, лежащие в основе модели, все связанные с моделью расчеты;

- обоснованность выбора параметров и математических представлений;

- применение математики, на которой основаны расчеты;

- точность и достоверность входных данных и то, что модель позволяет учесть достоверность используемых входных данных;

- работу модели в соответствии с планом без внутренних ошибок или сбоев;

- стабильность модели без излишней чувствительности к небольшим изменениям ключевых входных данных.

Это может быть достигнуто с помощью:

- выполнения анализа чувствительности для проверки чувствительности модели к изменениям входных данных и параметров;

- стресс-тестирования модели с использованием конкретных сценариев и часто экстремальных сценариев;

- сравнения результатов с прошлыми данными (кроме тех, на основе которых они были получены);

- проверки того, что применение модели различными людьми дает аналогичные результаты;

- проверки выходных данных на соответствие фактическим показателям.

Всесторонняя документация о модели, теории и предположениях, на которых она основана, должна быть сохранена и должна быть достаточной для обеспечения валидации модели.

6.2.4.2 Использование программного обеспечения для анализа

Для представления, систематизации данных и анализа могут быть использованы программные средства. Программное обеспечение, используемое для моделирования и анализа, часто обеспечивает простой пользовательский интерфейс и быстрое получение результатов, но это может привести к недопустимым результатам, чего может не заметить пользователь. Недопустимые результаты могут возникнуть:

- из-за неадекватности алгоритмов, используемых для представления ситуации;

- предположений, сделанных при разработке и использовании модели, на которой основано программное обеспечение;

- ошибок при вводе данных, включая непонимание смысла данных;

- проблем преобразования данных при использовании нового программного обеспечения;

- плохой интерпретации результатов.

Приобретаемое программное обеспечение часто является для пользователя черным ящиком и может содержать любую из этих ошибок.

Новое программное обеспечение должно быть протестировано с использованием простой модели с известными входными и выходными данными до его тестирования для сложных моделей. Детали тестирования должны быть сохранены для использования в будущем при появлении версий или программ анализа программного обеспечения.

Ошибки в построенной модели можно проверить, увеличивая или уменьшая входные значения, определяя, соответствуют ли результаты ожидаемым значениям. Это можно применить к каждому значению различных входных данных. Ошибки входных данных часто выявляют при изменении входных данных. Этот подход также дает информацию о чувствительности модели к изменениям данных.

Хорошее знание математики, относящейся к конкретному анализу, позволяет избежать ошибочных выводов. Не только вышеуказанные ошибки вероятны, но и выбор конкретной программы может оказаться неподходящим. Легко следовать программе, предполагая, что ответ будет правильным. Необходимо собрать доказательства проверки того, что результаты верны.

6.3 Применение методов оценки риска

6.3.1 Общие положения

Методы, описанные в приложениях А и В, используют для понимания риска как исходные данные для принятия решений при наличии неопределенности, включая решения о необходимости и способах обработки риска.

Методы оценки могут быть использованы:

- при идентификации риска (см. 6.3.2);

- для определения причин, источников и факторов риска, а также уровня экспозиции риска (см. 6.3.3);

- при исследовании общей результативности контроля и воздействия предлагаемой обработки риска (см. 6.3.4);

- для понимания последствий и вероятности опасных событий (см. 6.3.5);

- для анализа взаимодействий и зависимостей (см. 6.3.6);

- для определения показателей риска (см. 6.3.7).

Факторы, которые необходимо учитывать при выборе конкретного метода для этих действий, описаны в разделе 7.

В общем случае анализ может быть описательным (например, отчет об обзоре литературы, анализ сценариев или описание последствий) или количественным, когда определяют числовые значения. В некоторых случаях для сравнения конкретных видов риска могут быть применены рейтинговые шкалы.

Способ оценки риска и форма выходных данных должны быть совместимы со всеми установленными критериями. Например, количественные критерии требуют применения метода количественного анализа, который позволяет получить выходные данные в соответствующих единицах измерения.

Математические операции следует использовать только в том случае, если это позволяют выбранные метрики. В общем случае не следует использовать математические операции с порядковыми шкалами. Даже в полностью количественном анализе входными данными обычно являются оценки. Результатам не должна быть приписана точность выше точности используемых данных и методов.

6.3.2 Идентификация риска

Идентификация риска позволяет учитывать неопределенность. Все источники неопределенности, как благоприятных, так и неблагоприятных последствий, могут быть уместны в зависимости от условий и области определения оценки риска.

Методы идентификации риска обычно используют знания и опыт специалистов различных заинтересованных сторон (см. В.1.1). Они исследуют следующие вопросы:

- какая неопределенность существует и каковы могут быть ее последствия;

- какие обстоятельства или проблемы (материальные или нематериальные) могут вызвать в будущем последствия;

- какие источники риска присутствуют или могут возникнуть;

- какие существуют средства контроля и эффективны ли они;

- какие события и последствия могут произойти, как, когда, где и почему это может случиться;

- какие события произошли в прошлом и как они могут быть связаны с будущим;

- какие человеческие аспекты и организационные факторы могут быть применены.

При идентификации источников риска или ранних предупреждающих признаков возможных последствий могут быть полезны физические исследования.

Результатом идентификации рисков является перечень рисков с указанием событий, причин и последствий, могут быть использованы и другие подходящие формы представления этой информации.

Какие бы методы ни использовались, идентификацию рисков следует выполнять методично и итеративно для обеспечения тщательности и результативности. Риск должен быть идентифицирован достаточно рано для обеспечения выполнения необходимых действий. Однако возможны ситуации, когда некоторые виды риска не могут быть идентифицированы в процессе оценки риска. Поэтому необходимо создать механизм учета возникающих рисков и раннего распознавания возможных признаков успеха или неудачи.

Методы идентификации риска описаны в В.2.

6.3.3 Определение источников, причин и факторов риска

Идентификация причин, источников и факторов риска может:

- помочь при оценке вероятности события или его последствий;

- помочь в определении методов обработки риска;

- быть полезной при определении показателей раннего предупреждения и пороговых значений их обнаружения;

- определить общие причины, которые могут помочь в разработке приоритетности обработки риска.

Источниками риска могут быть события, решения, действия и процессы, как благоприятные, так и неблагоприятные, а также ситуации, которые существуют, но результаты которых не определены.

Источником риска может быть любая форма неопределенности, описанная в 4.1. События и последствия могут иметь несколько причин или причинно-следственных цепочек.

Риск часто можно контролировать только путем изменения факторов риска. Они влияют на статус и развитие экспозиции риска и часто затрагивают более одного вида риска. В результате факторы риска зачастую требуют больше внимания, чем источники отдельных рисков.

Методы определения источников, причин и факторов риска описаны в В.3.

6.3.4 Исследование результативности существующих средств контроля

На риск влияет общая результативность всех существующих средств контроля. Следует рассмотреть следующие аспекты средств контроля:

- способ назначения средств контроля риска;

- наличие средств контроля, их способность работать в соответствии с назначением и возможность достижения ожидаемых результатов;

- наличие недостатков в конструкции средств контроля или способе их применения;

- наличие пробелов в охвате средствами контроля;

- независимость друг от друга или согласованность функционирования средств контроля для обеспечения результативной работы;

- существование факторов, условий, уязвимости или обстоятельств, которые могут уменьшить или уничтожить результативность контроля, включая отказы по общей причине;

- внесение средствами контроля дополнительных рисков.

Примечание - Риску может соответствовать несколько средств контроля, а средства контроля могут влиять на несколько рисков.

Следует проводить различие между средствами контроля, которые изменяют вероятность, последствия или то и другое вместе, и средствами контроля, которые изменяют распределение риска между заинтересованными сторонами. Например, страхование и другие формы финансовых рисков напрямую не влияют на вероятность реализации события или его результаты и последствия, но могут сделать некоторые из последствий более приемлемыми для конкретной заинтересованной стороны путем уменьшения риска или сглаживания денежных потерь.

Все предположения, сделанные в процессе анализа риска относительно фактического воздействия и достоверности средств контроля, должны быть валидированы, если это возможно - с особым акцентом на отдельных средствах контроля или их комбинациях, которые, как предполагается, оказывают существенное модифицирующее воздействие на риск. Следует учитывать информацию, полученную в ходе регулярного мониторинга и анализа средств контроля.

Методы анализа средств контроля описаны в В.4.

6.3.5 Понимание последствий и вероятности

6.3.5.1 Анализ вида, величины и сроков последствий

Анализ последствий может варьироваться от описания результатов до детального количественного моделирования или анализа уязвимости. При необходимости следует рассматривать косвенные воздействия (эффект домино), когда одно последствие влечет за собой другое.

Риск может быть связан с несколькими различными видами последствий для различных целей. Виды анализируемых последствий должны быть определены при планировании оценки риска. Установленные условия должны быть проверены, чтобы гарантировать, что анализируемые последствия соответствуют целям оценки и принимаемым решениям. Условия могут быть предусмотрены в процессе оценки по мере поступления новой информации.

Величина последствий может быть выражена количественно в виде балльной величины или в виде распределения. Распределение может быть назначено, если:

- значение последствия является неопределенным;

- последствия варьируются в зависимости от обстоятельств;

- параметры, влияющие на последствия, различны.

Рассмотрение полного распределения, связанного с последствием, обеспечивает полную информацию. Можно суммировать распределение в виде точечного значения, такого как математическое ожидание значения (среднее значение), вариации (дисперсия) или процента на хвосте или в другой части распределения (процентиля).

Для любого способа получения точечного значения или значений, представляющих собой распределение последствий, существуют основополагающие предположения и неопределенности относительно:

- формы распределения, выбранной в соответствии с данными (например, непрерывная или дискретная, нормальная или несимметричная);

- наиболее подходящего способа представления этого распределения в виде точечного значения;

- значения балльной оценки из-за присущих ей неопределенностей в данных, на основе которых распределение было построено.

Не следует полагать, что данные, относящиеся к риску, обязательно подчиняются нормальному распределению.

В некоторых случаях информация может быть обобщена в виде качественного или полуколичественного ранжирования, которое может быть использовано при сопоставлении рисков.

Величина последствий может также варьироваться в зависимости от других параметров. Например, последствия воздействия на человека химического вещества обычно зависят от дозы, воздействующей на человека или другое живое существо. В этом примере риск обычно представляют кривой зависимости отклика от дозы, которая изображает вероятность заданной конечной точки (например, смерти) как функцию воздействия кратковременной или накопленной дозы.

Последствия также могут меняться с течением времени. Например, неблагоприятные последствия неисправности могут становиться со временем более значимыми. Следует выбрать соответствующие методы, чтобы это учесть.

Иногда последствия возникают в результате воздействия нескольких источников риска: например, воздействие на окружающую среду или здоровье человека в результате воздействия биологических, химических, физических и психосоциальных источников риска. При рассмотрении нескольких экспозиций риска следует учитывать возможность синергетического воздействия, а также влияние продолжительности и степени воздействия.

6.3.5.2 Анализ вероятности

Вероятность может относиться к вероятности события или к вероятности определенного последствия. Параметр, к которому относится значение вероятности, должен быть точно установлен, а событие или последствие, вероятность которого необходимо установить, должны быть четко определены. Для полного определения вероятности необходимо определить воздействие и его продолжительность.

Вероятность может быть описана различными способами, в том числе как математическое ожидание, вероятность или частота или в виде описательной формулировки (например, "весьма вероятно"). Если используют описательную формулировку, ее смысл должен быть определен. Вероятность может иметь неопределенность, которая может быть представлена в виде распределения значений, показывающих степень уверенности в том, что возникает конкретное значение.

Если в качестве меры уровня вероятности используют проценты, исследуемые события, по отношению к которым определяют процент, должны быть установлены.

Пример 1 - Утверждение, что шанс того, что поставка будет сорвана, составляет 5%, является неясным с точки зрения периода времени и совокупности. Также неясно, относится ли этот процент к 5% проектов или к 5% поставщиков. Более точным является утверждение: "Вероятность того, что один или несколько поставщиков сорвут поставку товаров или услуг, необходимых для проекта, в течение срока действия проекта составляет 5% от всех проектов".

Чтобы минимизировать неверные интерпретации при описании вероятности, как в качественном, так и в количественном виде должны быть четко определены период времени и совокупность в соответствии с областью определения конкретной оценки.

Пример 2 - Вероятность того, что один или несколько поставщиков не сорвут поставку необходимых товаров или услуг для проекта в течение ближайших двух месяцев, составляет 1% проектов, а в течение шести месяцев срыв поставок может произойти в 3% проектов.

Существует множество возможных смещений, которые могут повлиять на оценки вероятности. Кроме того, интерпретация оценки вероятности может применяться в зависимости от особенностей задачи. Следует позаботиться о том, чтобы понять возможные последствия индивидуальных (когнитивных) и культурных искажений.

Методы понимания последствий и вероятности описаны в В.5.

6.3.6 Анализ взаимодействий и зависимостей

Обычно между рисками существует много взаимодействий и зависимостей. Например, несколько последствий могут возникнуть по одной причине или конкретное последствие может иметь несколько причин. Возникновение одних рисков может сделать возникновение других рисков более или менее вероятными, и эти причинно-следственные связи могут образовывать цепочки или петли.

Для определения более надежной оценки риска в ситуации, когда причинно-следственные связи между рисками существенны, полезно создание причинно-следственной модели, включающей риски. Связи между рисками могут быть найдены в информации о риске, такой как сведения об общих причинах опасного события, факторах риска или общих результатах событий.

Взаимодействия между рисками могут иметь много воздействий на принятие решений, например повышение значимости деятельности, касающейся нескольких связанных рисков, или увеличение привлекательности одного варианта перед другими. Риск может поддаваться обычным методам обработки, могут быть ситуации, когда обработка одного риска имеет положительное или отрицательное значение в других местах. Действия по обработке риска могут быть объединены во времени, это позволяет значительно уменьшить объем работы и сбалансировать имеющиеся ресурсы. Скоординированный план обработки риска должен учитывать факторы, а не предполагать, что каждый риск должен быть обработан отдельно от других.

Методы анализа взаимодействий и зависимостей описаны в В.6.

6.3.7 Понимание мер риска

6.3.7.1 Определение мер риска

В некоторых ситуациях полезно использовать меру риска в виде некоторой комбинации величины возможных последствий и вероятности этих последствий. При этом могут быть использованы качественные, полуколичественные и количественные величины.

Применение качественных величин обычно предполагает использование описательных (символических) или ранговых (порядковых) шкал последствий и вероятностей.

Применение полуколичественных величин включает три варианта:

- один параметр (обычно вероятность) является количественным, а другой описательным или может быть выражен с помощью ранговой шкалы;

- шкалы делят на дискретные полосы, границам которых приписаны количественные значения. Точки на шкале часто устанавливают так, чтобы они имели логарифмическую связь сданными;

- точки шкалы ставят в соответствии с числовыми идентификаторами, значениям которых соответствуют качественные описания.

Использование полуколичественных шкал может привести к неверным толкованиям, если для всех расчетов не приведены тщательные объяснения. Поэтому полуколичественные подходы необходимо проверять и использовать с осторожностью.

Применение количественных величин предполагает использование числовых значений мер последствий и вероятностей. При выполнении количественного анализа риска необходимо обеспечить, чтобы для оценки были использованы соответствующие величины и единицы измерения.

Качественные и полуколичественные методы могут быть использованы только при сопоставлении рисков, измеряемых одним и тем же способом или с помощью критериев, выраженных в одних тех же терминах и понятиях. Качественные и полуколичественные методы не могут быть использованы для непосредственного объединения или комбинирования рисков, их очень трудно использовать в ситуациях, когда существуют как положительные, так и отрицательные последствия или когда необходим компромиссный вариант.

Если количественная оценка риска представляет собой произведение показателя последствия на вероятность, часть информации может быть потеряна. В этом случае нет различий между рисками с высокими последствиями и низкой вероятностью и рисками с низкими последствиями и высокой вероятностью. Для компенсации этого явления могут быть применены весовые коэффициенты к последствиям или вероятности; однако это следует делать с осторожностью.

Риск не всегда может быть адекватно описан или оценен как единственная величина, представляющая вероятность конкретного последствия. Примеры, когда это применимо, включают ситуации, в которых:

- последствия лучше всего выражаются в виде вероятностного распределения последствий;

- событие имеет несколько различных причин и приводит к целому ряду исходов и возможных косвенных последствий;

- последствия возникают совместно в результате постоянного воздействия источника риска;

- источники риска (например, проблемы системы) идентифицированы, но для них очень трудно определить характеристики и/или вероятность возможных последствий. (В данном случае определение достоверной оценки величины риска с точки зрения вероятности и последствий невозможно.)

Если для риска существует распределение возможных последствий, мера риска может быть получена в виде средневзвешенной по вероятности величины последствий (то есть математического ожидания). Однако такая мера не всегда подходит - она отражает среднее последствие распределения. Это приводит к потере информации о менее вероятных последствиях, которые могут быть значительными и, следовательно, важны для понимания риска. Методы работы с экстремальными значениями не включены в настоящий стандарт.

Примечание - При определении математического ожидания или среднего значения суммируют все произведения пар последствие/вероятность по распределению, это эквивалентно среднему последствий распределения.

Пример - Количественные показатели величины риска включают в себя:

- среднюю частоту реализации определенного последствия, такого как количество дорожно-транспортных происшествий на тысячу километров, в регионе;

- среднее время между исследуемыми событиями, например среднюю продолжительность работоспособного состояния объекта;

- вероятность достижения заданной конечной точки в результате определенного периода воздействия (когда последствия зависят от продолжительности воздействия), такая как вероятность возникновения рака в течение жизни в результате воздействия определенной дозы химического вещества;

- среднюю стоимость, например ожидаемую доходность или финансовую прибыль от инвестиционного периода или ожидаемую нагрузку на здравоохранение с точки зрения скорректированной инвалидности в течение жизни в расчете на миллион человек в год;

- статистику, представляющую форму распределения последствий, таких как дисперсия или волатильность доходности инвестиций;

- значения на уровне выше или ниже заданного процентиля распределения последствий.

Пример - Прибыль от проекта, вероятность достижения которой составляет 90%, или величина риска (VaR) проекта, которая показывает возможный убыток за определенный период времени с заданной вероятностью;

- экстремальную меру, связанную с распределением последствий, такую как ожидаемые максимальные последствия.

Показатели, основанные на последствиях, такие как вероятные максимальные потери, в основном используют, когда трудно определить, какие средства контроля могут отказать или где недостаточно данных для оценки вероятности.

Величина риска зависит от предположений о наличии и результативности соответствующих средств контроля. Часто используют такие термины, как присущий или общий риск (в ситуации, когда предполагается, что средства контроля работают в соответствии с назначением). Однако трудно однозначно определить эти термины, поэтому желательно всегда четко указывать предположения, сделанные относительно средств контроля.

При документировании информации о риске, как в качественном, так и в количественном виде, неопределенность, соответствующая предположениям, входным и выходным параметрам, должна быть описана.

6.3.7.2 Агрегирование показателей риска

В некоторых случаях (например, при распределении капитала) полезно объединить значения для установления одной величины риска. Могут быть объединены риски, характеризующиеся последствиями, измеряемыми в одних и тех же единицах, например в денежном выражении. То есть риски могут быть объединены только тогда, когда последствия и вероятность описаны количественно, а единицы измерений корректны. В некоторых ситуациях может быть использована мера полезности в качестве общей шкалы количественной оценки и объединения последствий, измеряемых в различных единицах измерения.

При разработке единой объединенной величины для набора более сложных рисков теряется информация о составляющих риска. Кроме того, без должного внимания при оценке объединенная величина может быть неточной и даже ошибочной. Во всех методах объединения рисков в единственную величину использованы предположения, которые следует осознать до применения метода. Данные следует проанализировать для выявления корреляций и зависимостей, которые могут повлиять на объединение рисков. Методы моделирования, используемые для определения объединенного уровня риска, должны быть подкреплены анализом сценариев и данными стресс-тестирования.

Если модели включают вычисления, включающие распределения, они должны включать учет корреляций между этими распределениями соответствующим образом. Если корреляция не учтена, результаты могут быть неточными и ошибочными. Объединение рисков простым суммированием может служить основой для принятия решений и может привести к нежелательным последствиям. Для объединения распределений может быть использовано моделирование методом Монте-Карло (см. В.5.10).

Качественные или полуколичественные показатели риска не могут быть объединены непосредственно. Таким образом, могут быть сделаны только общие качественные заявления об относительной результативности средств контроля и управления на основе изменения уровня риска.

Соответствующие данные о различных рисках могут быть объединены различными способами для помощи разработчикам при принятии решений. Можно провести качественное объединение на основе мнений экспертов с учетом более подробной информации о рисках. При проведении качественного объединения риска сделанные предположения и использованная информация должны быть записаны.

6.3.7.3 Социальный риск

Если население подвержено воздействию социального риска, простое объединение индивидуального уровня риска, умноженного на объем популяции, подверженной воздействию опасности, в большинстве случаев не адекватно отражает истинное влияние последствий. Например, риск гибели человека в результате такого события, как разрушение плотины, необходимо рассматривать по-разному для отдельного человека и для группы людей.

Социальный риск обычно выражают и оценивают в терминах соотношения между частотой возникновения последствий (F) и количеством людей, подверженных последствиям (N) (см. диаграммы F-N в В.8.3).

Методы, обеспечивающие меру риска, описаны в В.7.

6.4 Обзор результатов анализа

6.4.1 Верификация и валидация результатов

Там, где это практически осуществимо, результаты анализа должны быть верифицированы и валидированы. Верификация включает в себя проверку того, что анализ выполнен корректно. Валидация включает в себя проверку того, что сточки зрения установленных целей анализ проведен правильно. Для некоторых ситуаций верификация и валидация могут включать в себя процессы независимого анализа.

Валидация может включать в себя:

- проверку соответствия области применения анализа установленным целям;

- анализ всех критических предположений для обеспечения их достоверности в свете имеющейся информации;

- проверку использования соответствующих методов, моделей и данных;

- использование нескольких методов, аппроксимаций и анализа чувствительности для проверки и валидации выводов.

Верификация может включать в себя:

- проверку правильности математических преобразований и расчетов;

- проверку того, что результаты нечувствительны к способу отображения или представления данных и результатов;

- сравнение результатов с прошлым опытом (при наличии данных) или сравнение с результатами после их реализации;

- определение чувствительности результатов к способу отображения и представления данных или результатов и идентификация входных параметров, оказывающих существенное воздействие на результаты оценки;

- сравнение результатов с прошлым или последующим опытом, включая получение данных обратной связи стечением времени.

6.4.2 Анализ неопределенности и чувствительности

Специалисты, анализирующие риск, должны понимать наличие неопределенности в анализе и оценивать их влияние на достоверность результатов. О неопределенностях и их влиянии всегда должны быть информированы лица, принимающие решения.

Неопределенность результатов анализа может быть вызвана:

- вариабельностью рассматриваемой системы;

- получением данных из ненадежного источника, их несогласованностью или недостаточным объемом, например, при изменении типа собранных данных или методов их сбора;

- неоднозначностью понимания, например, установленных качественных идентификаторов;

- неадекватным отражением сложности системы в методе анализа;

- высокой зависимостью от мнений экспертов или суждений людей;

- отсутствием необходимых данных;

- использованием для прогнозирования данных, полученных ранее, из-за произошедших изменений;

- неопределенностями или аппроксимациями в используемых предположениях.

Если в процессе анализа выявлен недостаток достоверных данных, следует по возможности собрать дополнительные данные. Это может быть связано с внедрением новых способов мониторинга. В качестве альтернативы процесс анализа может быть скорректирован с учетом ограниченности данных.

Для оценки значимости неопределенностей в данных или в предположениях, используемых при анализе, может быть проведен анализ чувствительности. Анализ чувствительности включает в себя определение относительного изменения результатов, вызванного изменением отдельных входных параметров. Его используют для идентификации данных, которые должны быть точными, и данных, которые меньше влияют на общую точность. Параметры, к которым чувствителен анализ, и степень чувствительности должны быть указаны там, где это необходимо.

Параметры, критичные для оценки, изменение которых возможно, должны быть идентифицированы для постоянного мониторинга с тем, чтобы при необходимости оценка риска могла быть обновлена, а решения пересмотрены.

6.4.3 Мониторинг и анализ

Мониторинг используют:

- для сопоставления фактических результатов с результатами, спрогнозированными по результатам оценки риска, и, следовательно, для совершенствования оценок в будущем;

- поиска предвестников и ранних признаков возможных последствий, выявленных с помощью оценки;

- сбора данных, необходимых для хорошего понимания риска;

- поиска новых рисков и неожиданных изменений, которые могут указывать на необходимость обновления оценки.

Если анализ чувствительности указывает на параметры, имеющие особое значение для результатов анализа, они также должны быть рассмотрены для включения в мониторинг.

Оценки необходимо периодически пересматривать для идентификации наличия изменений, включая изменения в области применения, условиях и предположениях, а также при наличии новой информации или доступных новых методов.

6.5 Применение результатов для принятия решений

6.5.1 Общие положения

Результаты анализа риска служат основой для принятия решений и выполнения необходимых действий.

Примечание - Понимание риска помогает выполнению действий даже при отсутствии явного процесса принятия решений.

Факторы, рассматриваемые при принятии решений, и все установленные критерии должны быть определены при установлении области определения и условий оценки риска (см. 6.1.6).

Можно выделить два типа решений:

- решения о значимости риска, а также о том, следует ли проводить обработку риска и как это необходимо делать;

- решения по результатам сопоставления вариантов, когда каждый из вариантов имеет неопределенность (например, к какой из нескольких благоприятных возможностей надо стремиться).

6.5.2 Решения о значимости риска

Информация, полученная в результате идентификации и анализа риска, может быть использована для получения выводов о возможности принятия риска и сравнительной значимости риска по отношению к цели и пороговым показателям деятельности организации. Это обеспечивает входные данные при принятии решения о приемлемости риска или необходимости его обработки, а также обо всех приоритетах обработки.

Некоторые риски могут быть приняты на ограниченный период времени (например, на время выполнения обработки). Оценщик должен четко представлять себе механизмы принятия рисков во времени и процессы, которые будут использованы при последующем пересмотре.

Приоритеты для обработки, мониторинга или более детального анализа часто основаны на величине риска, полученной путем объединения характерных последствий и их вероятности, их отображают с использованием матрицы последствий/вероятностей (В.10.3). Этот метод имеет некоторые ограничения (см. В.10.3.5 и 6.3.7.1). Факторы, отличные от величины риска, которые должны быть учтены при принятии решений о приоритетности, включают в себя:

- другие меры, связанные с риском, такие как максимальные или средние последствия или результативности средств контроля;

- качественные характеристики событий и их возможные последствия;

- мнения и представления заинтересованных сторон;

- стоимость и целесообразность дальнейшей обработки по сравнению с полученным улучшением;

- взаимодействие между рисками, включая воздействия обработки на другие риски.

После того как риски оценены и принято решение об обработке рисков, процесс оценки рисков может быть повторен для проверки того, что предлагаемые методы обработки не создали дополнительных неблагоприятных рисков и что риск, остающийся после обработки, находится в установленных пределах (границах аппетита риска организации).

Методы оценки значимости риска описаны в В.8.

6.5.3 Решения, связанные с выбором вариантов

Выбор из нескольких вариантов обычно включает рассмотрение возможных преимуществ и недостатков каждого варианта с учетом его неопределенностей, в том числе:

- неопределенностей, соответствующих результатам варианта и оценкам затрат и преимуществ;

- возможных событий и разработок, которые могут повлиять на результаты;

- различных значений, которые заинтересованные стороны придают затратам и преимуществам;

- неопределенности заключений, сделанных на основе результатов анализа рисков, включая необходимость сохранения неизменными целей и критериев в будущем.

Такой тип решений часто принимают с использованием мнений экспертов на основе понимания результатов анализа вариантов и соответствующих им рисков, с учетом:

- необходимых компромиссов между конкурирующими целями;

- аппетита риска организации;

- различных мнений и убеждений заинтересованных сторон.

Методы, которые могут быть использованы при сопоставлении вариантов с учетом неопределенности, описаны в В.9.

6.6 Записи и отчетность об оценке рисков

Результаты оценки рисков, используемые методы, обоснование предположений и все рекомендации должны быть документированы и должно быть принято решение о том, кого и о чем следует информировать. Способ анализа и обновления записей должен быть определен.

Цель записей состоит:

- в обмене информацией о рисках с лицами, принимающими решения, и другими заинтересованными сторонами, включая руководителей;

- обеспечении учета и обоснования принятых решений;

- сохранении результатов оценки для дальнейшего использования и в качестве справочной информации;

- отслеживании изменения показателей и их тенденции;

- обеспечении уверенности в том, что риски поняты и учтены при управлении организацией;

- возможности верификации оценки риска;

- обеспечении прослеживаемости результатов аудита.

Из этого следует, что вся документация или записи должны быть представлены своевременно и в форме, понятной тем, кто их прочтет. Документы также должны обладать необходимой технической глубиной для валидации и достаточной детализацией будущего использования оценки. Представленная информация должна быть достаточной для прослеживания, анализа и валидации результатов. Предположения, ограничения в данных или методах и обоснование всех сделанных рекомендаций должны быть ясны.

Риск должен быть выражен в понятных терминах и единицах измерения, в которых количественные меры должны быть четкими и правильными.

Те, кто представляет результаты, должны характеризовать свою уверенность или уверенность своей команды в точности и полноте полученных результатов. Неопределенность должна быть адекватно сообщена таким образом, что отчет не гарантирует достоверности за рамками фактических данных.

Методы выполнения записей и отчетности описаны в В.10.

7 Выбор методов оценки риска

7.1 Общие положения

В данном разделе описаны факторы, которые следует учитывать при выборе методов для конкретной цели. В приложениях А и В перечислены и приведены разъяснения некоторых широко применяемых методов. В них описаны особенности каждого метода, его возможная область применения и присущие ему преимущества и недостатки.

Многие из методов, описанных в настоящем стандарте, были первоначально разработаны для конкретных отраслевых целей и направлены на управление конкретными типами нежелательных результатов. Несколько методов похожи, но используют различную терминологию, отражающую их самостоятельное развитие в течение определенного периода времени и аналогичное назначение в разных отраслях. Со временем применение многих из этих методов изменилось; например, расширилась область их применения до финансовых или управленческих ситуаций с рассмотрением как положительных, так и отрицательных результатов. Появились новые методы, а старые адаптированы к новым обстоятельствам. Методы и их применение продолжают развиваться. Существует возможность более глубокого понимания риска, используя методы вне их первоначальной области применения. Таким образом, в приложениях А и В указаны характеристики методов, которые могут быть использованы для определения набора обстоятельств, к которым они могут быть применены.

7.2 Выбор методов

Выбор метода и способ его применения должны быть адаптированы к условиям использования, а также должна быть представлена информация того типа и формы, которые необходимы заинтересованным сторонам. В целом количество и тип выбранных методов должны быть согласованы со значимостью принимаемых решений с учетом ограничений по времени, другим ресурсам и возможным затратам.

При принятии решения о том, какой метод (качественный или количественный) является более подходящим, основным критерием является форма результатов, наиболее используемая заинтересованными сторонами, а также доступность и достоверность данных. Количественные методы обычно требуют высококачественных данных, если они должны обеспечить значимые результаты. Однако в некоторых случаях, когда данных недостаточно, строгое применение количественного метода может обеспечить лучшее понимание риска, даже если результат расчетов может быть неопределенным.

Часто выбор метода соответствует конкретным обстоятельствам. Возможно, потребуется рассмотреть несколько методов, а применение более одного метода иногда может обеспечить полезное дополнительное понимание проблемы [2]. Различные методы также могут быть применены по мере увеличения количества доступной информации.

Поэтому при выборе метода следует учитывать следующее:

- цель оценки;

- потребности заинтересованных сторон;

- все правовые, нормативные и договорные требования;

- условия и сценарий функционирования;

- важность принятого решения (например, последствия принятия неправильного решения);

- все определенные критерии принятия решений и их форму;

- время до принятия решения;

- информацию, которая доступна или может быть получена;

- сложность ситуации;

- имеющийся опыт или знания, которые могут быть получены.

Характеристики методов, соответствующих этим требованиям, перечислены в таблице А.1. В таблице А.2 приведен перечень методов, классифицированных в соответствии с этими характеристиками.

По мере увеличения неопределенности, сложности и неоднозначности условий возрастает необходимость консультаций с более широкой группой заинтересованных сторон с последствиями для сочетания выбранных методов.

Примечание - Например, в IEC TR 63039:2016 [50] приведено руководство по использованию методов ETA, FTA и Марковских методов, так что их комбинированное использование является эффективным способом анализа риска сложных систем.

Некоторые из методов, описанных в настоящем стандарте, могут быть применены на этапах процесса менеджмента риска в дополнение к их использованию при оценке риска. Применение методов в процессе менеджмента риска показано на рисунке А.1. Таблица А.3 иллюстрирует их применение при оценке риска.

В приложении В приведены обзор каждого метода, его использование, входы и выходы, преимущества, а также ограничения и, где это применимо, ссылки на источники детальной информации. В приложении В дана классификация методов в соответствии с их основным применением при оценке риска, а именно:

- выявлением мнений заинтересованных сторон и экспертов (В.1);

- идентификацией риска (см. В.2);

- определением источников, причин и факторов риска (В.3);

- анализом существенных средств контроля (В.4);

- пониманием последствий и вероятности (см. В.5);

- анализом зависимостей и взаимодействий (см. В.6);

- обеспечением мер риска (см. В.7);

- оценкой значимости риска (см. В.8);

- выбором вариантов (см. В.9);

- выполнением записей и отчетности (см. В.10).

Внутри каждой группы методы расположены в алфавитном порядке, а не в соответствии с важностью и значимостью.

В большинстве методов, приведенных в приложении В, предполагается, что риски или источники риска могут быть идентифицированы. Существуют также методы, которые могут быть использованы для косвенной оценки остаточного риска путем рассмотрения существующих средств контроля и требований (см. МЭК 61508 [36]).

Несмотря на то, что в настоящем стандарте рассмотрены и приведены примеры методов, перечень описанных методов не является исчерпывающим и не приведены рекомендации относительно эффективности какого-либо метода в заданных обстоятельствах. Следует проявлять осторожность при выборе метода, чтобы гарантировать его применимость, достоверность и результативность.

Приложение А

(справочное)

Классификация методов

А.1 Введение в классификацию методов

В таблице А.1 приведены объяснения особенностей методов, которые могут быть использованы при выборе метода.

Таблица А.1 - Характеристики методов

Характеристика

Описание

Детали

(например, индикаторы свойств)

Применение

Как используют метод при оценке риска (см. наименования подразделов В.1-В.10)

Выявление мнений, идентификация, анализ причин, анализ средств контроля и т.д.

Область применения

Применяется к риску на уровне организации, департамента или проекта, отдельного процесса или оборудования

организация (орг.),

проект/департамент (деп.),

оборудование/процесс (обор/проц.)

Период во времени

Применим к краткосрочному, среднесрочному или долгосрочному риску или к любому

Короткий, средний, длинный, любой

Уровень решений

Применяется к риску на стратегическом, тактическом или операционном уровне

Стратегический (1), тактический (2), оперативный (3)

Начальная информация/

потребности в данных

Необходимый уровень исходной информации или данных

Высокий, средний, низкий

Компетентность специалистов

Уровень знаний, необходимый для правильного использования

Низкий уровень: интуитивный уровень или один-два дня обучения

Средний уровень: курс обучения более двух дней

Высокий уровень: значительная подготовка или опыт специалистов

Качественно-

количественная

Является ли метод качественным, пол у количественным или количественным

количественный (колич.), качественный (кач.), полуколичественный (полуколич.), может использоваться качественно или количественно

Усилия по применению

Время и затраты труда, необходимые для применения метода

Высокие, средние, низкие

А.2 Применение классификации методов

В таблице А.2 приведены методы, классифицированные в соответствии с приведенными характеристиками. Описанные методы представляют структурированные способы рассмотрения проблемы, полезные в определенных условиях. Этот перечень не является исчерпывающим, но охватывает целый ряд широко используемых методов из самых разных секторов экономики. Для простоты методы перечислены в алфавитном порядке без какого-либо приоритета.

Каждый метод более подробно описан в приложении В, как указано в колонке 1 таблицы А.2.

Таблица А.2 - Методы и ориентировочные характеристики

Под-

раз-

дел стан-

дарта

Метод

Описание

Применение

Область приме-

нения

Период времени

Уровень реше-

ния

Нача-

льные потреб-

ности в инфор-

мации/

данных

Компе-

тентность специ-

алистов

Кач./

колич./

полу-

колич.

Усилия по приме-

нению

В.8.2

ALARP/

SFAIRP

Критерии принятия решения о значимости риска и средства оценки допустимости риска

Оценка риска

1

Любой

1/2

Высокие

Высокая

Кач./

колич.

Высокие

В.5.2

Байесовский анализ

Способ вывода параметров модели на основе теоремы Байеса, позволяющий использовать эмпирические данные для априорных выводов вероятности

Анализ вероятности

Любая

Любой

Любой

Средние

Высокая

Колич.

Средние

В.5.3

Байесовские сети/

диаграммы влияния

Графическая модель переменных и их причинно-

следственных связей, выраженная с помощью вероятности. Базовая байесовская сеть имеет переменные, представляющие неопределен-

ность. Расширенная версия, известная как диаграмма влияния, включает переменные, представляющие неопределен-

ность, последствия и действия

Идентифи-

кация рисков, оценка рисков

Любая

Любой

Любой

Средние

Высокая

Колич.

Средние/

высокие

В.4.2

Анализ галстук-

бабочка

Схематическое представление пути от источников риска к последствиям и анализ средств контроля

Анализ риска, анализ средств контроля, описание риска

2/3

Неболь-

шой/

средний

Любой

Низкие

Низкая/

средняя

Колич./

полу-

колич.

Низкие

В.1.2

Мозговой штурм

Метод ведения обсуждений, поощряющий образное мышление

Выявление мнений

Любая

Любой

Любой

Нет

Низкая/

средняя

Кач./

полу-

колич.

Низкие

В.5.4

Анализ воздействия на бизнес

Анализ последствий разрушительного инцидента для организации, который определяет приоритеты восстановления деятельности организации по производству продукции/услуг и, таким образом, приоритеты деятельности и необходимые ресурсы

Анализ послед-

ствий, анализ средств контроля

1

Неболь-

шой/

средний

2

Средние

Низкая

Средние

В.6.1

Состав-

ление карты причин

Диаграмма, представляющая события, причины, последствия и их взаимосвязи

Анализ причин

2/3

Любой

2/3

Средние

Средняя

Средние

В.5.5

Анализ причин и последствий

Сочетание анализа дерева неисправностей и дерева событий, позволяющее включить время простоев. Рассматриваются как причины, так и последствия инициирующего события

Анализ послед-

ствий

2/3

Любой

2/3

Средние/

высокие

Средняя/

высокая

Средние/

высокие

В.2.2

Контроль-

ные перечни, классифи-

кации и таксономии

Списки, основанные на опыте, концепциях и моделях, которые могут быть использованы для идентификации рисков и средств контроля

Идентифи-

кация рисков или средств контроля

2/3

Любой

Любой

Высокие при разра-

ботке, низкие при исполь-

зовании

Низкая/

средняя

Кач.

Низкие/

средние

В.3.2

Синдиниче-

ский подход

Рассмотрение цели, значимости, правил, данных и моделей заинте-

ресованных сторон и идентификация несоответствия, неясности, упущения и невежества. Формирование системных источников и драйверов риска

Иденти-

фикация драйверов риска

1/2

Неболь-

шой или средний

1

Низкие

Средняя

Кач.

Высокие

В.7.3

Условная сумма под риском CVaR

VaR (также называемый ожидаемым дефицитом (ES)) является мерой ожидаемых портфолио финансовых потерь в
% в худших случаях

Мера риска

Любая

Неболь-

шой или средний

3

Высокие

Высокая

Колич.

Средние

В.10.3

Матрица послед-

ствий/

вероятности

Сопоставление индивидуальных рисков по парам последствие/

вероятность и отображение их в матрице с осями последствие и вероятность

Записи об оценке риска

Любая

Любой

Любой

Средние

Низкая для исполь-

зования, средняя для разра-

ботки

Кач./

полу-

колич./

колич.

Низкие

В.9.2

Анализ затрат и преиму-

ществ

Использование денег в качестве шкалы для оценки положительных и отрицательных вещественных нематериальных последствий различных вариантов

Сравнение вариантов

Любая

Неболь-

шой или средний

Любой

Средние/

высокие

Средняя/

высокая

Колич.

Средние/

высокие

В.6.2

Анализ перекрест-

ных воздействий

Оценка изменений вероятности возникновения заданного набора событий по фактическому возникновению одного из них

Анализ вероятности и причин

Любая

Неболь-

шой или средний

Любой

От низких до высоких

Средняя/

высокая

Колич.

Средние/

высокие

В.9.3

Анализ дерева решений

Использование древовидного представления или модели принятия решений и их возможных последствий. Результаты обычно выражают в денежных единицах или в терминах преимуществ. Альтернативным представлением дерева решений является диаграмма влияния (см. В.5.3)

Сопостав-

ление вариантов

Любая

Любой

2

Низкие/

средние

Средняя

Колич.

Средние

В.1.3

Метод Дельфи

Сбор суждений с помощью после-

довательного анкетирования. Люди участвуют индивидуально, но получают обратную связь по ответам других людей после каждого набора ответов

Сбор мнений

Любая

Любой

Любой

Нет

Средняя

Кач.

Средние

В.5.6

Анализ дерева событий (ETA)

Моделирует возможные исходы данного инициирующего события и состояние средств контроля, таким образом анализируя частоту или вероятность различных возможных исходов

Анализ послед-

ствий, анализ средств контроля

2/3

Любой

Любой

Низкие/

средние

Средняя

Кач./

колич.

Средние

В.5.7

Анализ дерева неисправ-

ностей (FTA)

Анализ причин возникновения события с помощью Булевой логики для описания комбинаций отказов. Варианты включают в себя дерево успеха, где высшим событием является желаемое событие, и дерево причин используют для исследования прошлых событий

Анализ вероятности и причин

2/3

Средний

2/3

Высокие для колич. анализа

Зависит от слож-

ности

Кач./

колич.

Средние/

высокие

В.2.3

Анализ видов и последствий критичности отказов FME (C)A

Рассмотрение способов отказа каждого компонента, причин и последствий отказа. После FMEA может быть выполнен анализ критичности, который определяет значимость каждого вида отказа (FMECA)

Идентифи-

кация риска

2/3

Любой

2/3

Зависит от приме-

нения

Средняя

Кач./

полу-

колич./

колич.

Низкие/

высокие

В.8.3

F/N диаграммы

Частный случай количественного графика последствий/

вероятности применительно к рассмотрению допустимости риска для жизни человека

Оценка риска

1

Любой

Любой

Высокие

Высокая

Колич.

Высокие

В.9.4

Теория игр

Изучение принятия стратегических решений для моделирования влияния решений участвующих в игре игроков. Примером области применения может быть ценообразование с учетом риска

Решение о выборе варианта

1

Средний

1,2

Высокие

Высокая

Средние/

высокие

В.4.3

Анализ опасности и критических контроль-

ных точек (HACCP)

Анализ снижения риска, которое может быть достигнуто различными слоями защиты

Анализ монито-

ринга средств контроля

2/3

Неболь-

шой/

средний

2/3

Средние

Средняя

Кач.

Средние

В.2.4

Исследо-

вание опасности и работоспо-

собности (HAZOP)

Структуриро-

ванное и систематическое изучение планируемого или существующего процесса или действия для выявления и оценки проблем, которые могут представлять риск для персонала или оборудования, или нарушения эффективной работы

Идентифи-

кация и анализ риска

3

Средний/

продол-

житель-

ный

2/3

Средние

У фасили-

татора высокая, у участ-

ников средняя

Кач.

Средние/

высокие

В.5.8

Анализ надежности человече-

ского фактора (HRA)

Набор методов идентификации возможных ошибок человека и оценки вероятности отказа

Анализ риска и источники риска

2/3

Любой

2/3

Средние

Высокая

Кач./

колич.

От средних до высоких

В.1.5

Метод интервью

Структуриро-

ванное или полуструктури-

рованное обсуждение с глазу на глаз для выяснения мнений

Выяснение мнений

Любая

Любой

Любой

Нет

Средняя

Кач.

Высокие

В.3.3

Анализ Исикавы (метод рыбного скелета)

Идентификация факторов, способствующих определенному результату (желательному или нежелательному). Факторы обычно разделяют на предопреде-

ленные категории и отображают в виде диаграммы рыбного скелета

Анализ источников риска

Любая

Любой

Любой

Низкие

Средняя

Кач.

Низкие

В.4.4

Анализ уровней защиты (LOPA)

Анализ снижения риска, который может быть достигнут различными слоями защиты

Анализ средств контроля

3

Любой

2/3

Средние

Средняя/

высокая

Кач./

колич.

Средние/

высокие

В.5.9

Марковский анализ

Вычисление вероятности того, что система, которая может находиться в одном из нескольких состояний, будет находиться в определенном состоянии в заданный момент времени
в будущем

Анализ вероятности

3

Любой

2/3

Средние/

высокие

Высокая

Квант

Средние

В.5.10

Анализ методом Монте-

Карло

Вычисление вероятности исходов с помощью моделирования с использованием случайных переменных

Анализ вероятности

Любая

Любой

Любой

Средние

Высокая

Колич.

Средние/

высокие

В.9.5

Многокри-

териальный анализ (MCA)

Сопоставление вариантов, позволяющее выявить компромиссы, является альтернативой анализа затрат/

преимуществ и не требует назначения денежного эквивалента всем входам

Выбор варианта

Любая

Любой

Любой

Низкие

Средние

Кач.

Низкие/

средние

В.1.4

Метод номина-

льной группы

Способ получения мнений группы людей, где первоначально участники не взаимодей-

ствуют, затем группа обсуждает выдвинутые идеи

Выявление мнений

Любая

Любой

Любой

Нет

Низкая

Кач.

Средние

В.8.4

Диаграмма Парето

Применение принципа Парето (правило 80-20), утверждающего, что для многих событий 80% последствий являются результатом 20% причин

Устано-

вление приори-

тетов

Любая

Любой

Любой

Средние

Средняя

Полу-

колич./

колич.

Низкие

В.5.11

(PIA/DPIA) Анализ влияния конфиден-

циальности/

анализ защиты данных

Анализ того, как инциденты и события влияют на частную жизнь человека (PI) и идентификация и количественная оценка возможностей, необходимых для управления конфиденциаль-

ностью

Анализ источников риска, анализ послед-

ствий

Любая

Любой

1/2

Средние

Средняя/

высокая

Кач.

Средние

В.8.5

Техническое обслужи-

вание, ориентиро-

ванное на безотказ-

ность (RCM)

Основанная на риске идентификация задач технического обслуживания для систем и ее компонентов

Оценка риска, принятие решений относи-

тельно средств контроля

2/3

Средний

2/3

Средние

Высокая для руково-

дителя, для исполь-

зования средняя

Кач./

полу-

колич./

колич.

Средние/

высокие

В.8.6

Индексы риска

Ранжирование оценки значимости риска на основе рангов факторов, которые, как предполагается, влияют на риск

Сопостав-

ление рисков

Любая

Любой

Любой

Средние

Низкая для исполь-

зования, средняя для разра-

ботки

Полу-

колич.

Низкие

В.10.2

Реестр риска

Способ записи информации о рисках и отслеживание действий с ними

Отчетные записи о рисках.

Любая

Любой

Любой

Низкие/

средние

Низкая/

средняя

Кач.

Средние

В.10.4

S-кривая

Способ отображения взаимосвязей, последствий и их вероятности в виде функции распределения (S-кривая)

Отобра-

жение риска, оценка риска

Любая

Любой

2/3

Средние/

высокие

Средняя/

высокая

Кач./

полу-

колич.

Средние

В.2.5

Анализ сценариев

Определение возможных будущих сценариев с помощью воображения, экстраполяции из настоящего или моделирования. Затем рассматривают риск для каждого сценария

Идентифи-

кация риска, анализ послед-

ствий

Любая

Средний или продол-

житель-

ный

Любой

Низкие/

средние

Средняя

Кач.

Низкие/

средние

В.1.6

Метод опроса

Бумажные или компьютерные опросы для получения мнений

Выявление мнений

Любая

Средний/

продол-

житель-

ный

2/3

Низкие

Средняя

Кач.

Высокие

В.2.6

Структу-

рированный метод "что, если" (SWIFT)

Более простая форма HAZOP с подсказками "что, если" для идентификации отклонений от ожидаемых результатов

Идентифи-

кация рисков

1|2

Средний/

большой

1|2

Средние

Низкая/

средняя

Кач.

Низкие/

средние

В.7.1

Оценка токсико-

логического риска

Способ получения меры риска воздействия химических веществ на человека или экологическую систему

Мера риска

3

Средний/

продол-

житель-

ный

2/3

Высокие

Высокая

Колич.

Высокие

В.7.2

Стоимость под риском (VaR)

Финансовая мера риска, использующая предполагаемое распределение вероятностей потерь в условиях стабильного рынка для вычисления величины потерь, которые могут возникнуть с заданной вероятностью в течение определенного периода времени

Мера риска

Любая

Неболь-

шой/

средний

3

Высокие

Высокая

Колич.

Средние

А.3 Использование методов в процессе ИСО 31000

В таблице А.3 приведен перечень степени применимости каждого метода на различных стадиях оценки риска, а именно идентификации риска, анализа риска и оценки риска. Некоторые из методов также используют на других этапах процесса. Это показано на рисунке А.1.

Рисунок А.1 - Применение методов в процессе менеджмента риска ИСО 31000 [3]

Примечание - Рисунок А.1 является иллюстративным и не содержит исчерпывающий перечень методов, которые могут быть использованы на каждом этапе.

Таблица А.3 - Применимость методов в процессе ИСО 31000

Инструменты и методы

Процесс оценки риска

П/п

Иденти-

Анализ рисков

Оценка

стан-

фикация риска

Послед-

ствия

Вероят-

ность

Уровень риска

риска

дарта

ALARP, ALARA and SFAIRP

NA

NA

NA

NA

SA

В.8.2

Байесовский анализ

NA

NA

SA

NA

NA

В.5.2

Сети Байеса

NA

NA

SA

NA

SA

В.5.3

Анализ галстук-бабочка

A

SA

A

A

A

В.4.2

Мозговой штурм

SA

A

NA

NA

NA

В.1.2

Анализ воздействий на деятельность

A

SA

NA

NA

NA

В.5.4

Составление карты

A

A

NA

NA

NA

В.6.1

Анализ причин и последствий

A

SA

SA

A

A

В.5.5

Контрольные перечни, классификации и таксономии

SA

NA

NA

NA

NA

В.2.2

Синдинический подход

SA

NA

NA

NA

NA

В.3.2

Матрица следствий/вероятностей

NA

A

A

SA

A

В.10.3

Анализ затрат/преимуществ

NA

SA

NA

NA

SA

В.9.2

Анализ перекрестных воздействий

NA

NA

SA

NA

NA

В.6.2

Анализ дерева решений

NA

SA

SA

A

A

В.9.3

Метод Дельфи

SA

NA

NA

NA

NA

В.1.3

Анализ дерева событий

NA

SA

A

A

A

В.5.6

Анализ видов и последствий отказов

SA

SA

NA

NA

NA

В.2.3

Анализ видов, последствий и критичности отказов

SA

SA

SA

SA

SA

В.2.3

Анализ дерева неисправностей

A

NA

SA

A

A

В.5.7

F-N диаграммы

A

SA

SA

A

SA

В.8.3

Теория игр

A

SA

NA

NA

SA

В.9.4

Исследование опасности и работоспособности (HAZOP)

SA

NA

NA

NA

NA

В.2.4

Анализ опасности и критических контрольных точек (HACCP)

SA

SA

NA

NA

SA

В.4.3

Анализ надежности человеческого фактора

SA

SA

SA

SA

A

В.5.8

Анализ Исикавы (рыбный скелет)

SA

A

NA

NA

NA

В.3.3

Анализ уровней защиты (LOPA)

A

SA

A

A

NA

В.4.4

Марковский анализ

A

A

SA

NA

NA

В.5.9

Моделирование методом Монте-Карло

NA

A

A

A

SA

В.5.10

Многокритериальный анализ (MCA)

A

NA

NA

NA

SA

В.9.5

Метод номинальной группы

SA

A

A

NA

NA

В.1.4

Диаграммы Парето

NA

A

A

A

SA

В.8.4

Анализ влияния конфиденциальности/данных, оценка влияния конфиденциальности (PIA/DPIA)

A

SA

A

A

SA

В.5.11

Техническое обслуживание, ориентированное на безотказность

A

A

A

A

SA

В.8.5

Индексы риска

NA

SA

SA

A

SA

В.8.6

S-кривая

NA

A

A

SA

SA

В.10.4

Анализ сценариев

SA

SA

A

A

A

В.2.5

Структурированное или полуструктурированное интервью

SA

NA

NA

NA

NA

В.1.5

Структурированный метод "что, если?" (SWIFT)

SA

SA

A

A

A

В.2.6

Опросы

SA

NA

NA

NA

NA

В.1.6

Оценка токсикологического риска

SA

SA

SA

SA

SA

В.7.1

Стоимость под риском (VaR)

NA

A

A

SA

SA

В.7.2

A: применимо; SA: строго применимо; NA: не применимо.

Приложение В

(справочное)

Описание приемов

В.1 Методы выявления мнений заинтересованных сторон и экспертов

В.1.1 Общие положения

Некоторые из методов, описанных в В.2-В.7, предусматривают использование исходных данных, полученных от заинтересованных сторон и экспертов. Это обеспечивает широкий спектр экспертиз и позволяет вовлекать заинтересованные стороны. Мнения заинтересованных сторон и экспертов могут быть получены на индивидуальной основе (например, путем интервью или опроса) или с использованием групповых методов, таких как мозговой штурм, метод номинальной группы или метод Дельфи. Мнения могут включать в себя раскрытие информации, выражение точки зрения или творческих идей. В В.1 описаны некоторые методы, которые могут быть использованы для получения информации или достижения консенсуса.

В некоторых ситуациях заинтересованные стороны обладают определенным опытом, выполняют определенные функции, и расхождения между ними в мнении невелики. Однако иногда можно ожидать значительного расхождения мнений заинтересованных сторон, могут существовать властные структуры и другие факторы, влияющие на взаимодействие людей. Эти факторы влияют на выбор используемого метода. Количество заинтересованных сторон, которые должны быть проконсультированы, временные ограничения и практические возможности сбора всех необходимых участников вместе влияют на выбор метода.

При использовании группового метода для ведения заседания важно участие опытного и квалифицированного фасилитатора, это позволяет достичь хороших результатов. Функции фасилитатора (координатора) состоят:

- в организации команды;

- получении и распространении соответствующей информации и данных до начала совещания/совместной работы;

- подготовке эффективной структуры и формата встречи/сотрудничества;

- стимулировании творческого мышления для улучшения понимания и генерирования идей;

- проверке того, что результаты точны и максимально свободны от предвзятости.

Контрольные перечни, полученные по результатам классификаций и таксономий, могут быть использованы как часть процесса (см. В.2.2).

Любая методика получения информации, опирающаяся на восприятие и мнения людей, может быть ненадежной и зависеть от различных предубеждений, таких как предубеждение доступности (склонности к переоценке вероятности события), иллюзия, кластеризации (склонности к переоценке значимости малых кластеров в большой выборке) или влияние моды (склонность делать или верить в то, что делают или во что верят другие).

Руководство по функциональному анализу, которое может быть использовано для уменьшения смещения и концентрации творческого мышления на наиболее важных аспектах, приведено в EN 12973 [4].

Информация, на которой основаны выводы и все сделанные предположения, должна быть документирована.

В.1.2 Мозговой штурм

В.1.2.1 Краткое описание

Мозговой штурм - это процесс, используемый для стимулирования и поощрения группы людей к разработке идей, связанных какой-либо темой. Термин "мозговой штурм" часто используют очень свободно, имея в виду любой вид группового обсуждения, но эффективный мозговой штурм требует сознательных усилий для гарантии того, что идеи членов группы стимулируют творчество каждого из остальных участников. Любой анализ или критику идей проводят отдельно от заседания мозгового штурма.

Метод дает наилучшие результаты при наличии эксперта-фасилитатора, который может провести стимуляцию творчества участников без ограничения свободы мышления. Фасилитатор стимулирует группу к охвату всех соответствующих областей и гарантирует, что высказанные идеи будут использованы для последующего анализа.

Мозговой штурм может быть структурированным или неструктурированным. Для структурированного мозгового штурма фасилитатор разбивает обсуждаемый вопрос на разделы и использует подготовленные подсказки для генерации идей на новую тему, когда предыдущая исчерпана. Неструктурированный мозговой штурм часто менее формален. В обоих случаях фасилитатор запускает цепочку идей, а каждый участник генерирует свои идеи. Фасилитатор поддерживает необходимый темп, чтобы позволить идеям вызвать латеральное мышление. Фасилитатор может предложить новое направление или применить другой способ творческого мышления, когда одно направление является исчерпанным или обсуждение слишком далеко отклоняется от цели. Цель состоит в том, чтобы собрать как можно больше разнообразных идей для последующего анализа.

Показано, что на практике группы генерируют меньше идей, чем те же люди, работающие индивидуально. Например:

- в группе идеи людей направлены на сужение темы, а не на разнообразие подходов;

- задержки в ожидании очереди для высказывания, как правило, блокируют идеи;

- люди, как правило, в группе меньше умственно работают.

Эти тенденции могут быть уменьшены путем:

- предоставления людям возможности работать в одиночку в течение какого-то времени;

- диверсификации команд и изменения состава команд;

- комбинирования с такими методами, как метод номинальной группы (В.1.4) или электронный мозговой штурм. Это поощряет более активное индивидуальное участие и может обеспечить анонимное участие, что позволяет избежать личных, политических и культурных проблем.

В.1.2.2 Использование

Мозговой штурм может быть применен на любом уровне организации для выявления неопределенностей, успехов или видов, причин, последствий отказов, критериев принятия решений или вариантов обработки риска. Количественное использование возможно только в структурированной форме для обеспечения учета предубеждений, особенно при привлечении всех заинтересованных сторон. Мозговой штурм стимулирует творчество и поэтому очень полезен при работе над инновационными проектами, продукцией и процессами.

В.1.2.3 Входы

Мозговой штурм выявляет мнения участников, поэтому меньше нуждается в данных или внешней информации, чем другие методы. Участники должны иметь квалификацию, опыт и широту взглядов, необходимые для решения поставленной задачи. Как правило, для того, чтобы мозговой штурм был продуктивным, необходим квалифицированный фасилитатор.

В.1.2.4 Выходы

Результаты представляют собой перечень всех идей, сгенерированных в ходе обсуждений, и возникших соображений.

В.1.2.5 Преимущества и недостатки

Преимуществами мозгового штурма являются:

- стимулирование воображения и творчества, что помогает выявить новые виды риска и новые решения;

- возможность применения в ситуациях, когда мало или вообще нет данных, используются новые технологии или требуются новые решения;

- вовлечение ключевых заинтересованных сторон и, следовательно, повышение обмена информацией и взаимодействия с заинтересованными сторонами;

- относительная быстрота и легкость применения

К недостаткам относится следующее:

- трудность подтверждения того, что процесс был всеобъемлющим;

- как правило, меньшее генерирование идей в группе, чем людьми, работающими в одиночку;

- неактивность в группе некоторых людей, имеющих ценные идеи, пока доминируют в дискуссии другие участники. Это может быть преодолено действиями квалифицированного фасилитатора;

- отклонение обсуждения от рассматриваемого вопроса, на что уходит время на совещании.

В.1.2.6 Справочные документы

[5] PROCTOR, A. (2009). Creative problem solving for managers

[6] GOLDENBERG, Olga, WILEY, Jennifer. Quality, conformity, and conflict: Questioning the assumptions of Osborn’s brainstorming technique

В.1.3 Метод Дельфи

В.1.3.1 Краткое описание

Метод Дельфи - это процедура достижения консенсуса мнений в группе экспертов. Это метод сбора и сопоставления мнений по конкретной теме с помощью набора последовательных вопросников. Существенной особенностью метода Дельфи является то, что эксперты выражают свои мнения индивидуально, независимо и анонимно, имея доступ к мнениям других экспертов по мере продвижения процесса.

Группу экспертов независимо знакомят с рассматриваемыми вопросами. Информацию, полученную в ходе первого раунда изучения вопросов, анализируют и направляют участникам обсуждения, которые могут пересмотреть свои первоначальные ответы. Участники дискуссии дают новые ответы, и процесс повторяется до тех пор, пока не будет достигнут консенсус. Если один участник дискуссии или меньшинство участников дискуссии последовательно придерживаются своего мнения, это может свидетельствовать о том, что у них есть важная информация или важная точка зрения.

В.1.3.2 Использование

Метод Дельфи используют для решения сложных задач, в отношении которых существует неопределенность, для устранения которой необходимо экспертное заключение. Метод может быть использован в прогнозировании и политике, а также для достижения консенсуса или устранения разногласий между экспертами. Его можно использовать для идентификации рисков (с положительными и отрицательными результатами), угроз, возможностей и достижения компромисса вероятности и последствий будущих событий. Метод обычно применяют на стратегическом или тактическом уровнях. Первоначально метод использовали для долгосрочного прогнозирования, но он может быть применен к любому временному интервалу.

В.1.3.3 Входы

Метод основан на знаниях и постоянном сотрудничестве участников в течение различных периодов времени, которые могут измеряться днями, неделями, месяцами или даже годами.

Количество участников может варьироваться от нескольких человек до сотен человек. Анкеты могут быть в бумажной или электронной форме. Использование технологических систем помогает обеспечить гибкость и точность представления информации участникам на каждом цикле.

В.1.3.4 Выходы

Консенсус по рассматриваемому вопросу.

В.1.3.5 Преимущества и недостатки

Достоинства метода включают следующее:

- поскольку мнения анонимны, более вероятно появление непопулярных мнений, но меньше предвзятости;

- все взгляды имеют равное значение, что позволяет избежать проблемы доминирования личностей;

- метод обеспечивает авторство результатов;

- участники не должны находиться в одном месте в одно время;

- у участников есть время для обдуманного ответа на поставленные вопросы;

- эксперты уделяют все свое внимание исследуемой задаче.

Недостатки охватывают следующее:

- метод представляет собой длительный и трудоемкий процесс;

- участники должны уметь ясно выражать свои мысли в письменной форме.

В.1.3.6 Справочный документ

[7] ROWE, G., WRIGHT, G. The Delphi technique: Past, present, and future prospects. Technological forecasting and social change 2011, 78, Special Delphi Issue

В.1.4 Метод номинальной группы

В.1.4.1 Краткое описание

Метод номинальной группы, как и мозговой штурм, направлен на сбор идей. Сначала ищут индивидуальные мнения без взаимодействия между членами группы, затем обсуждают их в группе.

Процесс заключается в следующем:

- фасилитатор направляет каждому члену группы вопросы для рассмотрения;

- участники записывают свои идеи молча и независимо;

- затем каждый член группы представляет свои идеи без обсуждения. Если в группе одни голоса имеют больший вес, чем другие, идеи могут быть переданы фасилитатору анонимно. Затем участники могут пытаться найти дальнейшие разъяснения;

- затем группа обсуждает идеи для составления согласованного перечня;

- члены группы голосуют за идеи в частном порядке, на основе этого голосования выносится решение группы.

В.1.4.2 Использование

Метод номинальной группы может быть использован в качестве альтернативы метода мозгового штурма. Метод также полезен для ранжирования идей внутри группы.

В.1.4.3 Входы

Идеи и опыт участников.

В.1.4.4 Выходы

Идеи, решения, выводы.

В.1.4.5 Преимущества и недостатки

Преимуществами метода номинальной группы является следующее:

- в ситуации, когда мнение некоторых членов группы является более значимым, чем другие, метод обеспечивает более сбалансированную точку зрения, чем мозговой штурм;

- метод обеспечивает равноправие участников, если все или некоторые члены группы являются новичками, имеются спорные вопросы или конфликты в команде;

- показано, что метод генерирует большее количество идей, чем мозговой штурм;

- метод уменьшает давление на участников по склонению к мнению большинства в группе;

- можно достичь консенсуса в относительно короткие сроки.

К недостаткам относится следующее:

- перекрестная проработка идей ограничена;

- одни и те же идеи могут быть выражены по-разному, это затрудняет их сопоставление.

В.1.4.6 Справочный документ

[8] MCDONALD, D., BAMMER, G. and DEANE, P. Research Integration Using Dialogue Methods

Примечание - Ссылка также содержит подробные сведения о ряде других методов, некоторые из которых также обсуждаются в этом разделе документа.

В.1.5 Структурированные или частично структурированные интервью

В.1.5.1 Общие положения

В структурированном интервью каждому интервьюируемому задают заранее подготовленные вопросы. Частично структурированное интервью аналогично структурированному, однако оно обеспечивает больше свободы для обсуждения исследуемой проблемы. В частично структурированном интервью имеется возможность исследовать области, которые хотел бы охватить интервьюируемый.

Вопросы должны быть проверены людьми аналогичной квалификации с интервьюируемыми на предмет исключения двусмысленности, понятности и соответствия намеченным проблемам. Следует позаботиться о том, чтобы "не вести" собеседника.

В.1.5.2 Использование

Структурированные и частично структурированные интервью являются способом получения углубленной информации и мнений отдельных людей в группе. Их ответы могут быть конфиденциальными, если это необходимо. Метод позволяет получить исчерпывающую информацию в тех случаях, когда у участников нет предвзятости по отношению к мнениям других членов группы.

Метод полезен, если трудно собрать людей в одном и том же месте в одно и то же время или если свободное обсуждение в группе не подходит для данной ситуации или вовлеченных людей. Кроме того, можно получить более подробную информацию в интервью, чем это возможно при опросе или в организации. Интервью можно использовать на любом уровне организации.

В.1.5.3 Входы

Входными данными являются четкое понимание необходимой информации и подготовленный набор вопросов, которые были проверены на пилотной группе.

Те, кто проектирует интервью, и интервьюеры нуждаются в некоторых навыках, чтобы получить хорошие валидные ответы, не окрашенные собственными предубеждениями интервьюеров.

В.1.5.4 Выходы

Результат - это требуемая подробная информация.

В.1.5.5 Преимущества и недостатки

Преимущества структурированных интервью заключаются в следующем:

- интервью дают участникам время для обдуманного ответа на вопросы;

- индивидуальное общение допускает более глубокое рассмотрение вопросов, чем в группе;

- структурированные интервью позволяют вовлечь большее количество заинтересованных сторон, чем обсуждение в группе.

Недостатки метода включают следующее:

- интервью отнимают много времени на разработку, проведение и анализ;

- интервью требуют некоторого опыта для разработки, если ответы должны быть непредвзятыми;

- предвзятость в отношении респондента терпима, не смягчается и не устраняется при обсуждении в группе;

- интервью не требует воображения (что является особенностью групповых методов);

- частично структурированные интервью дают значительный объем информации, выраженной словами интервьюируемого. Бывает трудно однозначно преобразовать эти слова в форму, поддающуюся анализу.

В.1.5.6 Справочные документы

[9] HARRELL, M.C., BRADLEY, M.A. 2009, Data collection methods - A training Manual - Semi structured interviews and focus groups

[10] GILL, J., JOHNSON, R 2010, Research methods for managers

В.1.6 Метод опроса

В.1.6.1 Краткое описание

Опросы обычно более привлекательны для людей, чем интервью, и содержат меньше вопросов. Как правило, опрос проводят с использованием вопросника (компьютерного или бумажного). Вопросы часто предлагают ответы "Да"/"нет", выбор из рейтинговой шкалы или выбор из ряда вариантов. Это позволяет проводить статистический анализ полученных результатов, что является особенностью таких методов. В вопросник может быть включено несколько вопросов, предполагающих свободные ответы, но их количество должно быть ограничено, поскольку затрудняет анализ.

В.1.6.2 Использование

Опросы могут быть использованы в любой ситуации, когда необходимо знать мнение большой группы заинтересованных сторон, в частности когда от большого количества людей требуется относительно мало информации.

В.1.6.3 Входы

Предварительно протестированные, однозначные вопросы, предназначенные для большой репрезентативной выборки людей, желающих участвовать в опросе. Количество ответов должно быть достаточным для обеспечения статистической достоверности. (Процент возврата часто невелик, а это означает, что необходимо разослать большое количество анкет.) При разработке опросника необходим некоторый опыт, что позволяет достичь полезных результатов при статистическом анализе.

В.1.6.4 Выходы

Результатом является анализ мнений различных людей, часто в графической форме.

В.1.6.5 Преимущества и недостатки

Преимущества метода состоят в следующем:

- может быть задействовано большее количество людей, чем для интервью, что обеспечивает получение большего количества информации обследуемой группы;

- проведение опросов имеет относительно низкую стоимость, особенно при использовании онлайн-программного обеспечения, способного выполнить некоторый статистический анализ;

- может быть представлена статистически достоверная информация;

- результаты могут быть сведены в таблицу и понятны, обычно возможно графическое представление;

- отчет об обследованиях может быть относительно легко подготовлен и представлен заинтересованным сторонам.

Недостатки метода включают следующее:

- суть вопросов должна быть простой и недвусмысленной;

- обычно для интерпретации результатов необходима некоторая демографическая информация;

- количество вопросов ограничено, если ожидается достаточное количество респондентов;

- отсутствует возможность давать объяснения к вопросу, поэтому респонденты могут интерпретировать вопросы иначе, чем предполагали разработчики;

- трудно сформулировать вопросы, которые не подталкивают респондентов к конкретному ответу;

- опросники, как правило, имеют основополагающие предположения, которые могут оказаться неверными;

- трудно получить хороший и беспристрастный ответ.

В.1.6.6 Справочные документы

[11] SAUNDERS, M., LEWIS, P. THORNHILL, A. 2016, Research Methods for Business Students

[12] UNIVERSITY OF KANSAS COMMUNITY TOOL BOX, Section 13: Conducting surveys

В.2 Методы идентификации риска

В.2.1 Общие положения

Методы идентификации риска охватывают:

- методы, основанные на фактических данных, такие, как анализ исторических данных из литературы;

- эмпирические методы, включая тестирование и моделирование для определения того, что может произойти в конкретных условиях;

- опросы мнений широкого круга квалифицированных людей;

- методы, в которых рассматриваемый объект делят на более мелкие элементы, каждый из которых рассматривают, в свою очередь исследуют с использованием вопросов "что, если".

Примеры: HAZOP (В.2.4), FMEA (В.2.3) и SWIFT (В.2.6);

- методы, стимулирующие творческое мышление о возможностях в будущем, такие как анализ сценариев (В.2.5);

- контрольные перечни или таксономия, основанные на полученных ранее данных или теоретических моделях (В.2.2).

Методы, описанные в В.2, являются примерами некоторых структурированных подходов к идентификации риска. Структурированный метод является более комплексным, чем неструктурированный или частично структурированный, его легко использовать для демонстрации должной тщательности идентификации риска.

Использование нескольких методов, включая как методы "сверху вниз", так и методы "снизу вверх", способствует комплексной идентификации риска. Подходы, которые ставят под сомнение результаты идентификации риска (например, группа красных), также могут быть использованы для проверки того, что все соответствующие риски идентифицированы.

Примечание - Группа красных - это способ рассмотрения проблемы с точки зрения противника или конкурента [13].

Описанные методы могут задействовать много заинтересованных сторон и экспертов. Методы, которые могут быть использованы для получения мнений, как индивидуальных, так и групповых, описаны в В.1.

В.2.2 Контрольные перечни, классификации и таксономии

В.2.2.1 Общие положения

Контрольные перечни используют при оценке рисков различными способами, например для содействия пониманию условий и области применения оценки риска при группировке рисков в процессе анализа. Контрольные перечни также используют при менеджменте риска, например при классификации средств контроля, и обработке риска, для определения обязанностей и ответственности, а также при составлении отчетов и обмене информацией о риске.

Контрольный перечень может быть основан на данных о прошлых отказах и успехах, но более формально типологии и таксономии риска могут быть разработаны для категоризации и классификации рисков на основе общих свойств. В чистом виде типологии представляют собой концептуально выведенную схему классификации "сверху вниз", а таксономии являются эмпирически или теоретически выведенной "восходящей" схемой классификации. Гибридные формы обычно используют оба эти подхода.

Таксономии рисков являются взаимоисключающими и коллективно исчерпывающими (исключают пересечения и пробелы). Классификация рисков может быть сосредоточена на выделении отдельной конкретной категории рисков для более тщательного изучения.

Как типологии, так и таксономии могут быть иерархическими с несколькими развитыми уровнями классификации. Любая таксономия должна быть иерархической и иметь возможность деления на более мелкие уровни. Это помогает поддерживать управляемое количество категорий, а также способствует достижению достаточной детализации.

В.2.2.2 Использование

Контрольные перечни, классификации и таксономии могут быть разработаны для применения на стратегическом или оперативном уровнях. Они могут быть применены с помощью анкет, интервью, структурированных семинаров или комбинации всех трех методов - очных или компьютерных.

Примеры часто используемых контрольных перечней, классификаций или таксономий, используемых на стратегическом уровне, включают следующее:

- метод SWOT (сильные и слабые стороны, возможности и угрозы) выявляет факторы внутренних, а также внешних условий и помогает установить цели и разработать стратегии их достижения с учетом риска;

- PESTLE, STEEP, STEEPLED и т.д. - это аббревиатуры, представляющие типы факторов, которые следует учитывать при установлении условий и области применения оценки риска и идентификации риска [14]. Аббревиатуры обозначают политические, экономические, социальные, технологические, экологические, правовые, этические и демографические факторы. Для конкретной ситуации могут быть выбраны соответствующие категории и разработаны контрольные перечни по каждой категории;

- рассмотрение стратегических целей, критических факторов успеха для достижения целей, угроз для факторов успеха и условий реализации риска. Исходя из этого могут быть разработаны методы обработки риска и индикаторы раннего предупреждения реализации риска.

На оперативном уровне для выявления опасностей используют контрольные перечни опасностей, метод HAZID и предварительный анализ опасности (PHA) [15]. Предварительную оценку риска для нарушения безопасности обычно выполняют на ранней стадии разработки проекта.

Классификацию рисков обычно выполняют:

- по источникам риска: рыночные цены, дефолт контрагента, мошенничество, угрозы безопасности и т.п.;

- по последствиям, аспектам или характеристикам целей или деятельности.

Заранее установленные категории риска могут быть полезны в качестве направлений анализа в полном наборе вопросов. Однако трудно гарантировать, что в этом случае категории будут исчерпывающими; из-за того, что анализ направлен по определенным вопросам, некоторые аспекты риска могут быть упущены.

Контрольные перечни, типологии и таксономии используют и в других методах, описанных в настоящем стандарте; например, ключевые слова в HAZOP В.2.4 и категории в анализе Исикавы (В.3.3). Таксономия, которая может быть использована для анализа человеческого фактора при идентификации риска, приведена в МЭК 62740:2015 [16]

В целом чем конкретнее контрольный перечень, тем более ограничено его использование в конкретном случае, для которого он разработан. Слова, дающие общие подсказки, обычно стимулируют творческий подход к идентификации рисков.

В.2.2.3 Входы

Исходными данными являются данные или модели, на основе которых разрабатывают правильные контрольные перечни, таксономии или классификации.

В.2.2.4 Выходы

Выходы:

- контрольные перечни, подсказки или категории и схемы классификации;

- понимание риска в результате использования контрольных перечней, подсказок, категорий, классов, включая (в некоторых случаях) перечни рисков и группировку рисков.

В.2.2.5 Преимущества и недостатки

Преимущества контрольных перечней, таксономий, типологий включают следующее:

- содействие общему пониманию риска и заинтересованных сторон;

- при правильном применении для неэкспертов метод приносит широкий спектр знаний в простой в использовании форме;

- после разработки не требуют обширных проверок специалистами.

Недостатки метода включают следующее:

- в новых ситуациях, когда нет релевантной прошлой истории, или в ситуациях, отличных от ситуации, для которой была разработана классификация, использование перечней, таксономий и типологий невозможно;

- метод использует то, что уже известно или можно представить;

- классификация часто носит общий характер и не может быть применена к конкретным обстоятельствам;

- сложность может препятствовать выявлению взаимосвязей (например, взаимосвязей и альтернативных вариантов группировки);

- недостаток информации может привести к дублированию и/или пробелам (например, схемы не являются исключающими и совместно исчерпывающими);

- поощрение ответов типа "поставьте галочку" не способствует исследованию идей.

В.2.2.6 Справочные документы

[17] BROUGHTON, Vanda, Essential classification

[18] BAILEY, Kenneth, Typologies and taxonomies: An introduction to classification techniques

[19] VDI 2225 Blatt 1, Konstruktionsmethodik-Technisch-wirtschaftliches Konstruieren - Vereinfachte Kostenermittlung, 1997 Beuth Verlag

В.2.3 Анализ видов и последствий отказов (FMEA) и анализ видов, последствий и критичности отказов (FMECA)

В.2.3.1 Краткое описание

При выполнении FMEA команда подразделяет аппаратное обеспечение, систему, процесс или процедуру на элементы. Для каждого элемента используют способы, которыми он может отказать, а также причины и последствия отказа. FMEA может сопровождаться анализом критичности, который определяет значимость каждого вида отказа (FMECA).

Для каждого элемента записывают следующее:

- функцию;

- отказ, который может произойти (вид отказа);

- механизмы, которые могут привести к таким видам отказа;

- особенности последствий в случае реализации отказа;

- является ли отказ безвредным или наносит ущерб;

- как и когда отказ можно обнаружить;

- существующее обеспечение для компенсации отказа.

При выполнении FMECA исследовательская группа классифицирует каждый из выявленных видов отказа в соответствии с его критичностью. Можно использовать несколько различных методов критичности. Наиболее часто используемые - это качественная, полуколичественная или количественная матрица последствий/вероятности (В.10.3) или ранг приоритетности риска (RPN). Количественная мера критичности также может быть получена на основе фактической интенсивности отказов, а также количественная мера последствий, если она известна.

Примечание - RPN - Метод (В.8.6), который использует произведение рангов последствий отказа, вероятности отказа и возможности обнаружения проблемы (обнаружение). Отказу присваивают более высокий приоритет, если его трудно обнаружить.

В.2.3.2 Использование

Метод FMEA/FMECA может быть использован при проектировании, производстве и эксплуатации физической системы для улучшения конструкций, выбора одного из вариантов конструкции или планирования программы технического обслуживания. Метод также может быть применен к процессам и процедурам, таким как медицинские процедуры и производственные процессы. Он может быть выполнен на любом уровне системы, от крупных составных частей до компонент системы или этапов процесса.

FMEA может быть использован для представления информации для таких методов анализа, как анализ дерева неисправностей. Он может давать исходные данные для анализа первопричин.

В.2.3.3 Входы

Исходные данные включают информацию об исследуемой системе и ее элементах в достаточно подробной степени для содержательного анализа способов, отказа каждого элемента и последствий такого отказа, если он произойдет. Необходимая информация может включать чертежи и блок-схемы, детали условий окружающей среды, в которых работает система, а также хронологическую информацию об отказах там, где она имеется.

FMEA обычно выполняет команда, обладающая глубокими знаниями об исследуемой системе под руководством опытного фасилитатора. Важно, чтобы команда охватила все области проверки.

В.2.3.4 Выходы

Результатами FMEA являются:

- перечень видов, последствий, причин отказов и существующих средств контроля;

- мера критичности каждого вида отказа (в FMECA) и методология, используемая для его определения;

- все рекомендуемые действия, например, для дальнейшего анализа, изменения конструкции или свойств объекта, которые должны быть включены в программу испытаний.

FMECA обычно обеспечивает качественное ранжирование значимости видов отказов, но может дать количественные результаты при использовании данных об интенсивности и последствиях отказов.

В.2.3.5 Преимущества и недостатки

Преимущества FMEA/FMECA включают в себя следующее:

- методы могут быть применены как к человеческим, так и к техническим системам, аппаратным средствам, программному обеспечению и процедурам;

- методы позволяют определить виды отказов, их причины и последствия для системы, а также представляют их в удобном формате;

- методы позволяют избежать необходимости дорогостоящих модификаций оборудования в процессе эксплуатации, выявляя проблемы на ранней стадии проектирования объекта;

- методы обеспечивают исходные данные для программ технического обслуживания и мониторинга, выделяя ключевые свойства объекта для их мониторинга.

Недостатки методов включают следующее:

- FMEA может быть использован для идентификации только одиночных видов отказов, а не комбинаций видов отказов;

при отсутствии надлежащего контроля и целенаправленности исследования могут быть продолжительными и дорогостоящими;

для сложных многоуровневых систем FMEA может быть трудным и утомительным.

В.2.3.6 Справочный документ

[20] IEC 60812, Failure modes and effects analysis (FMEA and FMECA)

В.2.4 Исследование опасности и работоспособности (HAZOP)

В.2.4.1 Краткое описание

Исследование HAZOP - это структурированное и систематизированное исследование планируемых или существующих процесса, процедуры или системы, включающее выявление возможных отклонений от проекта и исследование их возможных причин и последствий.

В рамках небольшого семинара исследовательская группа:

- разделяет систему, процесс или процедуру на более мелкие элементы;

- согласовывает для каждого элемента его назначение в соответствии с проектом, включая определение соответствующих параметров (таких, как расход, температура и т.п.);

- применяет управляющие слова последовательно к каждому параметру для каждого элемента, устанавливает возможные отклонения параметра от проектного замысла, которые могут привести к нежелательным результатам.

Примечание - Не все комбинации параметров и управляющих слов имеют смысл;

- согласовывает причины и последствия в каждом конкретном случае, предлагая действия по их обработке;

- документирует обсуждение и согласовывает возможные действия по обработке выявленных рисков

В таблице В.1 приведены примеры часто используемых управляющих слов для технических систем. Подобные управляющие слова, такие как "слишком рано", "слишком поздно", "слишком много", "слишком мало", "слишком долго", "слишком быстро", "неправильное направление", "неправильный объект", "неправильное действие", могут быть использованы для идентификации видов ошибок человека.

Управляющие слова применяют к таким параметрам, как:

- физические свойства материала или процесса;

- физические условия, такие как температура или скорость;

- синхронизация;

- установленное назначение компонента системы или конструкции (например, передача информации);

- эксплуатационные аспекты.

Таблица В.1 - Примеры основных управляющих слов

Управляющее слово

Определение

Не или нет

Ни одна часть предназначенного результата не достигнута или предполагаемое условие отсутствует

Больше (выше)

Количественное увеличение

Меньше (ниже)

Количественное уменьшение

Также как

Качественная модификация/увеличение (например, дополнительный материал)

Часть

Качественная модификация/уменьшение (например, только один из двух компонентов в смеси)

Обратный/противоположный

Логическая противоположность замыслу проекта (например, обратный поток)

Другой, чем

Полная замена, происходит что-то совершенно другое (например, неправильный материал)

Рано

По отношению к синхронизированному времени

Поздно

По отношению к синхронизированному времени

В.2.4.2 Использование

Исследование HAZOP первоначально разработано для анализа систем химических процессов, но затем было распространено на другие типы систем, включая механические, электронные и электрические системы, программные комплексы, организационные изменения, поведение человека, разработку юридических документов и их анализ.

Процесс HAZOP может работать со всеми формами отклонений от проектного замысла в конструкции, компонентах, планируемых процедурах и действий человека. Метод обычно используют для улучшения конструкции или идентификации риска, связанного с изменением конструкции. Обычно метод применяют на этапе детального проектирования, когда доступна информация о полной схеме предполагаемого процесса и поддерживающей конструкции, но конструктивные изменения все еще практически осуществимы. Исследование может быть выполнено поэтапно, с различными управляющими словами для каждого этапа, по мере детальной разработки конструкции. Исследование HAZOP также может быть выполнено во время работы, но необходимые изменения на этом этапе могут быть затратными.

В.2.4.3 Входы

Исходные данные включают текущую информацию об исследуемой системе, а также о назначении и технических характеристиках конструкции. Для оборудования информация может включать чертежи, спецификации, технологические схемы, схемы управления процессами и логические схемы, а также процедуры эксплуатации и технического обслуживания. Для объектов, не связанных с оборудованием, входом может быть любой документ, который описывает функции и элементы исследуемой системы или процедуры, например организационные диаграммы, описание обязанностей персонала, а также проект контракта или проект процедуры.

Исследование HAZOP обычно проводит междисциплинарная команда, в которую должны входить конструкторы и операторы системы, а также лица, не имеющие непосредственного отношения к проектированию или системе, рассматриваемому процессу или процедуре. Руководитель/фасилитатор исследования должен иметь квалификацию и опыт работы с исследованиями HAZOP.

В.2.4.4 Выходы

Выходами являются отчеты о заседаниях HAZOP с отклонениями для каждой исследуемой точки. Записи должны включать в себя используемые управляющие слова и возможные причины отклонений. Они могут также включать действия по устранению выявленных проблем и лицо, ответственное за выполнение этих действий

В.2.4.5 Преимущества и недостатки

К преимуществам HAZOP относится следующее:

- обеспечение средств систематической проверки системы, процесса или процедуры с целью выявления способов недостижения своей цели;

- обеспечение детальной и тщательной проверки междисциплинарной группой;

- выявление возможных проблем на стадии проектирования процесса;

- генерирование решений и действий по обработке риска;

- применение к широкому спектру систем, процессов и процедур;

- четкое рассмотрение причин и последствий ошибок человека;

- создание письменного отчета о процессе HAZOP, который может быть использован для демонстрации правильности выполнения метода.

Недостатки метода включают следующее:

- детальный анализ может быть продолжительным и, следовательно, дорогостоящим;

- метод склонен к повторению, находя одни и те же вопросы несколько раз; следовательно, участникам трудно поддерживать внимание;

- детальный анализ требует высокого уровня документации или наличия системы/процесса и процедуры спецификации;

- метод может сосредоточиться на поиске детальных решений, а не на сложных фундаментальных предположениях (однако эта особенность может быть смягчена с помощью поэтапного подхода);

- обсуждение может быть направлено на детальные вопросы конструкции, а не на более широкие или внешние вопросы;

- действия команды ограничены проектом и назначением конструкции, а также областью применения и целями, поставленными перед командой;

- процесс в значительной степени основан на опыте проектировщиков, которым трудно быть достаточно объективными при поиске проблем в их конструкции.

В.2.4.6 Справочный документ

[21] IEC 61882, Hazard and operability studies (HAZOP studies) - Application guide

В.2.5 Анализ сценариев

В.2.5.1 Краткое описание

Анализ сценариев - наименование нескольких методов, которые включают в себя разработку моделей развития событий в будущем. В общих чертах метод состоит в определении вероятного сценария и проработке событий, которые, возможно, могут произойти в будущем.

Для относительно коротких периодов времени метод может включать экстраполяцию на основе того, что произошло в прошлом. Для более длительных периодов времени анализ сценариев может включать построение воображаемого, но правдоподобного сценария, затем в рамках этого сценария исследуют свойства рисков. Метод чаще всего применяет группа заинтересованных сторон с различными интересами и опытом. Анализ сценариев включает в себя определение в некоторых деталях сценария или сценариев, подлежащих рассмотрению, и изучение последствий сценария и соответствующего риска. Обычно рассматриваемые изменения включают:

- изменения в технологии;

- возможные будущие решения, которые могут иметь различные результаты;

- потребности заинтересованных сторон и то, как они могут измениться;

- изменения в макросреде (обязательных требованиях, демографической ситуации и др.);

- изменения в физической среде.

В.2.5.2 Использование

Анализ сценариев чаще всего используют для идентификации риска и изучения последствий. Метод можно использовать как на стратегическом, так и на оперативном уровнях для организации в целом или ее частей.

Анализ долгосрочного сценария помогает планированию крупных изменений в будущем, таких как произошедшие за последние 50 лет в области технологий, потребительских предпочтений, социальных отношений и т.д. Анализ сценариев не может предсказать вероятности таких изменений, но может рассмотреть последствия и помочь организации развить преимущества и устойчивость, необходимые для адаптации к предсказуемым изменениям. Метод можно использовать для прогнозирования как угроз, так и возможностей для развития, он может быть использован для всех видов риска.

Анализ краткосрочных сценариев используют для изучения последствий инициирующего события. Вероятные сценарии могут быть экстраполированы на основе данных о прошлых событиях или на основе моделей. Примерами такого применения являются схемы развития чрезвычайных ситуаций или нарушений деятельности. Если данных нет, то используют мнения экспертов, но в данном случае очень важно уделять особое внимание объяснениям их мнений.

В.2.5.3 Входы

Для выполнения анализа сценариев необходимы данные о текущих тенденциях и изменениях, а также о будущих изменениях. Для сложных или очень долгосрочных сценариев необходима компетентность в выполнении метода.

В.2.5.4 Выходы

Для каждого сценария результатом является "история", которая рассказывает о способе перехода из настоящего к объекту сценария. Рассматриваемые воздействия могут быть как полезными, так и вредными. Истории могут включать правдоподобные детали, которые добавляют сценариям значимость.

Другие результаты могут включать понимание возможных воздействий политики или планов на различные варианты будущего, перечень рисков, которые могут возникнуть, если эти варианты будут реализованы, и в некоторых случаях перечень основных индикаторов этих рисков.

В.2.5.5 Преимущества и недостатки

Преимущества анализа сценариев включают следующее:

- метод позволяет учесть несколько возможных вариантов будущего. Метод может быть предпочтительным для традиционного подхода, основанного на прогнозах, которые предполагают, что будущие события продолжат прошлые тенденции. Это важно для ситуаций, когда существует мало знаний, на которых основываются прогнозы, когда риски рассматривают в долгосрочной перспективе;

- метод поддерживает разнообразие направлений мышления;

- метод поощряет мониторинг основных индикаторов изменений;

- решения, принятые в отношении идентифицированных рисков, могут помочь повысить устойчивость к любым возможным последствиям.

Недостатки метода включают следующее:

- используемые сценарии могут не иметь адекватной основы, например данные могут быть умозрительными. Это может привести к нереалистичным результатам, которые могут быть не признаны;

- существует мало свидетельств того, что сценарии, исследуемые для долгосрочного периода, будут происходить в действительности.

В.2.5.6 Справочные документы

[22] RINGLAND, Gill. Scenarios in business

[23] Van der HEIJDEN, Kees. Scenarios: The art of strategic conversation

[24] CHERMACK, Thomas J. Scenario planning in organizations

[25] MUKUL PAREEK, Using Scenario analysis for managing technology risk

В.2.6 Структурный метод "что, если" (SWIFT)

В.2.6.1 Краткое описание

SWIFT - это метод идентификации рисков высокого уровня, который может быть использован самостоятельно или в составе поэтапного подхода при выполнении восходящих методов, таких как HAZOP или FMEA. Метод SWIFT использует структурированный мозговой штурм (В.1.2) в упрощенном виде, когда участникам предлагают заданный набор управляющих слов (продолжительность, сумма и т.д.) вместе с подсказками, полученными от участников, которые часто начинаются со слов "что, если?" или "как мог?". Метод похож на HAZOP, но его применяют к системе или подсистеме, а не к замыслам проектировщика.

Перед началом исследования фасилитатор готовит перечень подсказок, чтобы обеспечить всесторонний анализ риска или источников риска. В начале семинара обсуждают и устанавливают применение SWIFT и критерии успеха. Используя управляющие слова и подсказки "что, если?", фасилитатор просит участников поднять и обсудить такие вопросы, как:

- известные риски;

- источники и факторы риска;

- предыдущий опыт, успехи и инциденты;

- известные и существующие средства контроля;

- обязательные требования и ограничения.

Фасилитатор использует перечень подсказок для мониторинга обсуждения и предложения дополнительных вопросов и сценариев для обсуждения командой. Команда рассматривает адекватность средств контроля и возможные методы обработки риска. Далее в процессе дискуссии обсуждают вопрос "что, если?".

В некоторых случаях идентифицируют и описывают конкретные риски, их причины, последствия и средства контроля, все это должно быть отражено в записях. Кроме того, могут быть идентифицированы более общие источники или факторы риска, проблемы контроля или системные вопросы.

При формировании перечня рисков часто используют качественный или полуколичественный метод оценки риска для ранжирования действий, разработанных с учетом уровня риска. При этом обычно учитывают существующие средства контроля и их результативность.

В.2.6.2 Использование

Метод может быть применен к системам, производственным объектам, процедурам и организациям в целом. В частности, метод используют для изучения последствий изменений и связанного с этим риска. Могут быть рассмотрены как положительные, так и отрицательные результаты. Метод также может быть использован для идентификации систем или процессов, которые целесообразно инвестировать как ресурсы для HAZOP и FMEA.

В.2.6.3 Входы

Необходимо четкое понимание системы, процедуры, объекта и/или изменений, а также внешних и внутренних условий. Для этого фасилитатор применяет интервью, формирует многофункциональную команду и обеспечивает изучение документов, планов и чертежей. Как правило, исследуемую систему разбивают на элементы, это облегчает процесс анализа. Хотя фасилитатор должен быть подготовлен для применения SWIFT, это, как правило, может быть быстро выполнено.

В.2.6.4 Выходы

Результаты включают реестр рисков с ранжированными (в соответствии с риском) действиями или задачами, реестр может быть использован в качестве основы для разработки плана обработки риска.

В.2.6.5 Преимущества и недостатки

Преимущества SWIFT включают следующее:

- метод применим ко всем формам оборудования или систем, ситуаций или обстоятельств, организаций или деятельности;

- требуется минимальная подготовка участников команды;

- выполнение метода происходит относительно быстро, основные риски и источники риска могут быть выявлены в процессе рабочего совещания;

- исследование является "системно ориентированным" и позволяет участникам определить реакцию системы на отклонения, а не только исследовать последствия отказов компонентов;

- метод может быть использован для выявления возможностей улучшения процессов и систем, как правило, может быть использован для идентификации действий, которые приводят к повышению вероятности успеха процессов и систем;

- участие в семинаре ответственных за существующие средства контроля и дальнейшие действия по обработке рисков усиливает их ответственность;

- метод без особых усилий формирует реестр рисков и план обработки рисков.

Недостатки метода включают следующее:

- если команда метода не имеет достаточного опыта или если система подсказок не является всеобъемлющей, некоторые риски или опасности могут быть не идентифицированы;

- применение метода на высоком уровне может не обнаружить сложные, детализированные или коррелированные причины;

- рекомендации часто носят общий характер; например, метод не обеспечивает поддержку робастности методов и назначение средств контроля без проведения дальнейшего анализа.

В.2.6.6 Справочный документ

[26] CARD, Alan J. WARD, James R. and CLARKSON, P. John. Beyond FMEA: The structured what-if technique (SWIFT)

В.3 Методы определения источников, причин и факторов риска

В.3.1 Общие положения

Понимание причин возможных событий и факторов риска может быть использовано для проектирования стратегии предотвращения негативных или усиления позитивных последствий. Часто существует иерархия причин с несколькими слоями до достижения первопричины. Обычно причины анализируют до тех пор, пока действия не будут определены и обоснованы.

Методы анализа причин могут исследовать восприятие причин в рамках набора предопределенных фраз, таких как в методе Исикавы (см. В.3.3), или может быть использован более логичный подход, в анализе дерева ошибок и анализе дерева успеха (см. В.5.7).

Для графического представления причин и следствий и иллюстрации управления ими может быть использован анализ галстук-бабочка (см. В.4.2).

Некоторые из методов, описанных в МЭК 62740 [16], могут быть использованы проактивно для анализа возможных причин событий, которые могут произойти в будущем, а также событий, которые уже произошли. Эти приемы здесь не повторяются.

В.3.2 Синдинический подход

В.3.2.1 Общие положения

Синдиника буквально означает науку об опасности. Синдинический подход направлен на идентификацию нематериальных источников риска и факторов, способствующих увеличению различных последствий. В частности, метод позволяет идентифицировать и анализировать:

- несоответствия, двусмысленности, упущения, неопределенность (так называемые дефициты);

- расхождения мнений заинтересованных сторон (называемые диссонансами).

Синдинический подход начинается со сбора информации об исследуемых системе или организации, синдиническую ситуацию определяют как географическую, временную и хронологическую области применения и набор сетей или групп заинтересованных сторон.

Метод использует частично структурированные интервью (см. В.1.5) для сбора информации в разное время (
,
, ...,
) о состоянии знаний и мышления каждой заинтересованной стороны, поскольку они относятся к пяти критериям синдинического подхода:

- цели (основная цель организации);

- значимости (высокой оценки заинтересованными сторонами);

- правилам (правам, стандартам, процедурам и т.д., обеспечивающим достижения организации);

- данным (на которых основано принятие решений);

- модели (технической, организационной, человеческой и др., которые используют данные при принятии решений).

Примечание - Элементы, характеризующие внутренние и внешние условия, могут быть объединены в соответствии с пятью критериями синдинического подхода.

Данный подход учитывает не только факты, но и восприятие.

Как только эта информация получена, согласованность между целями, которые должны быть достигнуты, и пятью синдиническими критериями анализируют и составляют таблицы, в которых указывают дефициты и диссонансы.

В.3.2.2 Использование

Цель синдинического подхода состоит в том, чтобы понять, почему, несмотря на все принятые меры контроля по предотвращению катастрофы, она все равно происходит. Этот подход был расширен для улучшения экономической эффективности организаций. Метод выявляет системные источники и факторы риска внутри организации, которые могут привести к самым разным последствиям. Метод применяют на стратегическом уровне, он может быть использован для выявления факторов, действующих благоприятным или неблагоприятным образом в течение эволюции системы в направлении достижения новых целей.

Метод может быть использован для валидации состоятельности любого проекта и особенно полезен в изучении сложных систем.

В.3.2.3 Входы

Информация, описанная выше. Анализ обычно включает в себя междисциплинарную команду участников с реальным опытом работы и тех, кто будет выполнять обработку риска, чтобы устранить выявленные источники риска.

В.3.2.4 Выходы

Результаты представляют собой таблицы, в которых указаны диссонансы и дефициты заинтересованных сторон, они проиллюстрированы в приведенных ниже примерах. В таблице В.2 приведена матрица, показывающая дефициты каждой заинтересованной стороны по пяти критериям анализа (цели, значимость, правила, модели и данные). Сопоставление информации, представляющей входные данные для ситуаций, соответствующих моментам времени
,
, ...,
, может выявить дефициты в различных ситуациях.

Таблица В.2 - Таблица дефицитов для каждой заинтересованной стороны

Заинтере-

Критерии анализа

сованная сторона

Цель

Значимость

Правила

Данные

Модель

S1

Фокусировка на ограниченное количество величин

Нет ссылок на процедуры

Нет ссылок на измерения

Нет ссылок на модели

S2

Несогласован-

ность целей и правил

Отсутствие рейтинга между значениями

Отсутствие ранжирования величин

Незнание опыта и данных обратной связи из зарубежных стран

Незнание конкретных моделей

S3

Несогласован-

ность целей и стандартов

Фокусировка на конкретное значение (например, занятость)

Отсутствие ранжирования правил

Не уделено внимание конкретным данным, (например, данным о профессио-

нальных травмах)

Отсутствие ранжирования выбранных моделей

Таблица В.3 представляет собой матрицу, в которой представлены мнения соответствующих заинтересованных сторон и различия во мнениях заинтересованных сторон (так называемые диссонансы). Такая таблица позволяет разработать программу сокращения дефицитов и диссонансов.

Таблица В.3 - Таблица диссонансов между заинтересованными сторонами

Окончание таблицы В.3

В.3.2.5 Преимущества и недостатки

Преимущества синдинического подхода включают следующее:

- подход является системным, многоплановым и междисциплинарным;

- подход обеспечивает знание возможных рисков системы и их согласованность;

- подход учитывает человеческие и организационные аспекты риска на любом уровне ответственности;

- подход объединяет понятия пространства и времени;

- подход позволяет найти решения для снижения рисков.

Недостатки метода включают следующее:

- подход не пытается приоритизировать источники риска или риски;

- метод только недавно начал распространяться в промышленности. Поэтому он не дает преимущества одной и той же зрелости, приобретенной в результате прошлых разработок, как традиционные подходы;

- в зависимости от количества вовлеченных заинтересованных сторон метод может потребовать значительного времени, усилий и ресурсов.

В.3.2.6 Справочные документы

[27] KERVERN, G-Y. Elements fondamentaux des cindyniques

[28] KERVERN, G-Y. Latest advances in cindynics

[29] KERVERN, G-Y. & BOULENGER, P. Cindyniques - Concepts et mode d’emploi

В.3.3 Метод анализа Исикавы (метод рыбной кости)

В.3.3.1 Общие положения

Анализ Исикавы использует командный подход для идентификации возможных причин любого желательного или нежелательного события, последствия, проблемы или ситуации. Возможные вспомогательные факторы позволяют охватить технические и организационные причины, также причины, связанные с человеком. Информацию изображают на диаграмме "рыбного скелета" (называемой диаграммой Исикавы) (см. рисунок В.1). Основными этапами выполнения анализа являются следующие:

- установление анализируемого последствия и размещение его в голове диаграммы "рыбного скелета". Последствие может быть положительным (цель) или отрицательным (проблема);

- согласование основных категорий причин. Примеры часто используемых категорий включают:

- например, методы, машины, управление, материалы, рабочую силу, деньги (6М);

- материалы, методы и процессы, окружающую среду, оборудование, людей, измерения.

Примечание - Можно использовать любой набор согласованных категорий, соответствующих анализируемым обстоятельствам. На рисунке В.1 показана еще одна возможность;

- многократное применение вопросов "почему?" и "как это могло произойти?" для исследования причин и влияющих факторов в каждой категории, добавляя каждый раз кости к диаграмме рыбного скелета;

- анализ всех ветвей диаграммы для проверки согласованности и полноты гарантии того, что причины применимы к основным последствиям;

- идентификация наиболее важных факторов на основе мнения команды и имеющихся доказательств.

Диаграмму часто разрабатывают на заседании команды.

В.3.3.2 Использование

Анализ Исикавы может быть использован при выполнении анализа первопричин произошедших событий или идентификации факторов, которые могут содействовать еще не произошедшим результатам. Этот метод можно использовать для изучения ситуаций на любом уровне организации в любом масштабе времени.

Диаграммы обычно используют для качественной информации. Можно присвоить вероятности общим причинам, а затем и подпричинам, на основе степени уверенности в их обоснованности. Однако вспомогательные факторы часто взаимодействуют и вносят дополнительные воздействия, в результате могут возникнуть неидентифицированные причины, которые делают количественную оценку неверной.

В.3.3.3 Входы

Входами являются знания и опыт участников, а также понимание рассматриваемой ситуации.

Рисунок В.1 - Пример диаграммы Исикавы (рыбный скелет)

В.3.3.4 Выходы

Результат - это выявленные причины анализируемых последствий, обычно изображаемых в виде рыбного скелета (схемы Исикавы). Диаграмму рыбного скелета структурируют, представляя основные категории в виде основных костей, отходящих от позвоночника рыбы с ветвями и ответвлениями, которые описывают более конкретные причины в этих категориях.

В.3.3.5 Преимущества и недостатки

Преимущества метода Исикавы включают следующее:

- метод поощряет участие и использует знания членов команды;

- метод обеспечивает подход для мозгового штурма или аналогичных методов идентификации;

- метод может быть применен к широкому спектру ситуаций;

- метод обеспечивает структурированный анализ причин с наглядным графическим представлением;

- метод позволяет документировать проблемы в нейтральных условиях;

- метод может быть использован для идентификации факторов, способствующих как желательным, так и нежелательным последствиям.

Примечание - Позитивная направленность может способствовать большей ответственности и участию.

Недостатки метода включают следующее:

- разделение причинных факторов на основные категории в начале анализа означает, что взаимодействие между категориями может рассматриваться неадекватно;

- возможные причины, не охваченные выбранными категориями, не могут быть идентифицированы.

В.3.3.6 Справочные документы

[30] ISHIKAWA, K. Guide to Quality Control

[16] IEC 62740 Root cause analisis (RCA)

В.4 Методы анализа средств контроля

В.4.1 Общие положения

Методы, описанные в В.4, могут быть использованы для проверки того, являются ли средства контроля подходящими и адекватными.

Анализ галстук-бабочка (В.4.2) и LOPA (В.4.4) выявляют барьеры между источником риска и его возможными последствиями и могут быть использованы для проверки достаточности этих барьеров.

HACCP (В.4.3) направлен на поиск точек в процессе, где возможен мониторинг условий, если есть признаки изменения условий.

Анализ дерева событий (В.5.6) также может быть использован для количественного анализа средств контроля с помощью расчета влияния различных средств контроля на вероятность последствий.

Любой метод анализа причин может быть использован в качестве основы для проверки того, что каждая причина контролируется.

В.4.2 Анализ галстук-бабочка

В.4.2.1 Общие положения

Галстук-бабочка - это графическое представление путей развития события от причины до последствий. Метод показывает средства контроля, которые изменяют вероятность события и/или его последствие, если событие произойдет. Метод можно рассматривать как упрощенное представление дерева неисправностей или дерева успеха (анализ причины события) и дерева событий (анализ последствий). Диаграмму галстук-бабочка можно построить начиная с деревьев неисправностей и событий, но чаще всего эти диаграммы рисуют непосредственно участники команды на заседании.

Схему галстук-бабочка изображают следующим образом:

- определяют исследуемое событие и представляют его в качестве центрального узла схемы галстук-бабочка (см. рисунок В.2);

- представляют источники риска (или опасности/угрозы при анализе безопасности) в левой части схемы, их соединяют с узлом линиями, представляющими различные механизмы, с помощью которых источники риска могут привести к реализации события;

- барьеры или средства контроля для каждого механизма изображают в виде вертикальных прямоугольников, пересекающих линии;

- с правой стороны от узла чертят линии, соединяющие событие с каждым последствием;

Рисунок В.2 - Пример схемы галстук-бабочка

- справа от события изображают вертикальные прямоугольники, представляющие реактивные средства контроля или барьеры, которые изменяют последствия;

- изображают факторы, которые могут привести к неисправности средств контроля (факторы эскалации), а также средства контроля факторов эскалации;

- функции управления, которые поддерживают средства контроля (такие, как обучение и контроль), могут быть показаны под галстуком-бабочкой и соединены с соответствующими средствами контроля.

Некоторый уровень количественной оценки по диаграмме галстук-бабочка возможен в случае, когда пути независимы, вероятность конкретного последствия известна и вероятность отказа средства контроля можно оценить. Однако во многих ситуациях пути и барьеры не являются независимыми, средства контроля могут иметь процедурный характер, а их результативность может быть неопределенной. Количественную оценку чаще проводят с использованием анализа дерева неисправностей (В.5.7) и анализа дерева событий (В.5.6) или LOPA (В.4.4).

В.4.2.2 Использование

Анализ галстук-бабочка используют для отображения и обмена информацией о рисках в ситуациях, когда событие имеет много возможных причин и последствий. Метод можно использовать для детального исследования причин и последствий событий, которые записывают в простой форме в реестре риска (В.10.2). Метод, в частности, используют для анализа событий с более значимыми последствиями. Метод галстук-бабочка используют при оценке средств контроля для проверки того, что каждый путь от причины к событию и от события к последствию оснащен результативными средствами контроля и что факторы, которые могут привести средства контроля к неисправности (включая отказы систем управления), выявлены. Метод может быть использован в качестве основы средств документирования информации о риске, которая не соответствует простому линейному представлению в реестре риска. Метод может быть использован проактивно для рассмотрения возможных событий, а также ретроспективно для моделирования событий, которые уже произошли.

Метод галстук-бабочка используют в случаях, когда ситуация не соответствует сложности анализа полного дерева неисправностей и анализа дерева событий, но ситуация является более сложной, чем единственный путь причина - событие - последствие.

Для некоторых ситуаций, когда последствия одного события становятся причиной следующего, могут быть разработаны каскадные схемы галстук-бабочка.

В.4.2.3 Входы

Входные данные включают информацию о причинах и последствиях заранее определенного события, а также средствах контроля, которые могут его изменить. Эта информация может быть выходными данными методов идентификации рисков и средств контроля или данными опыта отдельных лиц.

В.4.2.4 Выходы

Выходные данные представляют собой простую диаграмму, показывающую основные пути риска, размещения средств контроля и факторы, которые могут вызвать отказ средств контроля. Метод также показывает возможные последствия и действия, которые могут быть выполнены после реализации события для его изменения.

В.4.2.5 Преимущества и недостатки

Преимущества анализа галстук-бабочка включают следующее:

- метод прост для понимания и дает четкое графическое представление о событии, его причинах и последствиях;

- метод фокусирует внимание на средствах контроля, которые должны быть на местах, и их результативности;

- метод можно использовать как для желательных, так и для нежелательных последствий;

- для использования метода не требуется высокий уровень знаний.

Недостатки метода включают следующее:

- анализ галстук-бабочка не может представить ситуацию, когда пути от причин к событию являются зависимыми (то есть ситуации с вентилем И в дереве неисправностей);

- метод может чрезмерно упростить сложную ситуацию, особенно когда предпринимается попытка количественной оценки.

В.4.2.6 Справочные документы

[31] LEWIS, S. SMITH, K., Lessons learned from real world application of the bow-tie method.

[32] HALE, A.R., GOOSSENS L.H.J., ALE, B.J.M., BELLAMY L.A. POST J. Managing safety barriers and controls at the workplace

[33] MCCONNELL, P. and DAVIES, M. Scenario Analysis under Basel II

В.4.3 Анализ опасности и критических контрольных точек (HACCP)

В.4.3.1 Общие положения

Метод анализа опасности и критических контрольных точек (HACCP) разработан для обеспечения безопасности пищевых продуктов для космической программы NASA, но может быть использован для других процессов или видов деятельности. Метод обеспечивает структуру идентификации источников риска (опасностей или угроз) и расположения средств контроля во всех соответствующих частях процесса для их защиты. Метод HACCP используют на соответствующих уровнях эксплуатации, хотя его результаты могут поддерживать общую стратегию организации. HACCP направлен на обеспечение минимальных рисков за счет мониторинга средств контроля на протяжении всего процесса, а не за счет контроля в конце процесса.

HACCP состоит из следующих семи принципов:

1) идентификация опасностей, фактов, влияющих на риск, и возможных превентивных мер;

2) определение точек в процессе, где возможны мониторинг и контроль процесса для минимизации угроз (критических контрольных точек или ССР);

3) установление критических границ для параметров, контролируемых при мониторинге, т.е. для каждой ССР должны быть установлены границы параметров, обеспечивающие контролируемость риска;

4) установление процедуры мониторинга критических границ для параметров каждой ССР через определенные интервалы времени;

5) установление корректирующих действий, применяемых в случае выхода процесса за установленные границы;

6) установление процедур верификации;

7) выполнение процедур документирования и хранения записей на каждом этапе.

В.4.3.2 Использование

В большинстве стран применение HACCP является обязательным требованием для организаций, работающих в любой точке цепочки от сбора урожая до потребления, для контроля рисков, связанных с физическим, химическим или биологическим загрязнением.

Метод расширен для использования в производстве фармацевтических препаратов, медицинских изделий и в других областях, где возможны риски биологического, химического и физического загрязнения.

Принцип работы методики состоит в идентификации источников риска, связанных с качеством выходов процесса, а также определением точек в этом процессе, где возможны мониторинг критических параметров и контроль источников риска. Метод может быть обобщен на многие другие процессы, включая финансовые процессы.

В.4.3.3 Входы

Входные данные включают:

- базовую технологическую схему или схему процесса;

- информацию об источниках риска, которые могут повлиять на качество, безопасность или надежность продукта или выходов процесса;

- информацию о точках процесса, где возможен мониторинг показателей и могут быть установлены средства контроля.

В.4.3.4 Выходы

Выходом метода являются записи, включающие перечень опасностей и план HACCP.

Перечень опасностей на каждом этапе процесса включает:

- опасности, которые могут быть введены, контролироваться или усугубляться на данном этапе;

- указание для каждой опасности значимости риска (на основе рассмотрения последствий и вероятности с использованием опыта, данных и технической литературы);

- обоснование рейтинга значимости;

- возможные превентивные меры для каждой опасности;

- возможности применения на данном этапе мер мониторинга или контроля (т.е. является ли это CCP?).

План HACCP определяет процедуры, которые необходимо выполнять для обеспечения контроля конкретного проекта, продукции, процесса или процедуры. План включает перечень всех CCP с указанием для каждой CCP перечней:

- критических границ для превентивных мер;

- действий мониторинга и непрерывного контроля деятельности (включая, кто, что, как и когда контролирует);

- корректирующих действий, необходимых при обнаружении отклонений от критических границ;

- действий по верификации, ведению и хранению записей.

В.4.3.5 Преимущества и недостатки

Преимущества HACCP включают следующее.

- HACCP - структурированный процесс, обеспечивающий документированные свидетельства контроля качества, а также идентификации и снижения рисков;

- метод фокусируется на практических аспектах того, как и где в процессе можно найти источники риска и контролировать риск;

- метод обеспечивает контроль риска на протяжении всего процесса, а не полагается на контроль конечной продукции.

- метод привлекает внимание к риску, вызванному действиями человека, и к способу его контроля в точке введения или впоследствии.

Недостатки метода включают следующее:

- HACCP требует, чтобы опасности были идентифицированы, риски, которые их представляют, определены, а их значимость являлась входом в процесс. Кроме того, должны быть определены средства контроля. Может потребоваться объединить HACCP с другими методами для обеспечения этих входов;

- выполнение действий только тогда, когда контролируемые параметры превышают определенные границы, может пропустить постепенные изменения контрольных параметров, которые являются статистически значимыми и, следовательно, должны быть задействованы.

В.4.3.6 Справочные документы

[34] ISO 22000, Food safety management systems - Requirements for any organization in the food chain

[35] Food Quality and Safety Systems - A Training Manual on Food Hygiene and the Hazard Analysis and Critical Control Point (HACCP) System

В.4.4 Анализ уровней защиты (LOPA)

В.4.4.1 Общие положения

Метод LOPA направлен на снижение риска с помощью набора средств контроля. Метод можно рассматривать как частный случай анализа дерева событий (В.5.6), а иногда его выполняют в качестве последующего шага после исследования HAZOP (В.2.4).

Пары "причина/следствие" выбирают из перечня идентифицированных рисков и независимых уровней защиты (IPL). IPL - это устройство, система или действие, которые способны предотвратить переход сценария к нежелательным последствиям. Каждый IPL должен быть независим от причинного события или любого другого уровня защиты, связанного со сценарием, и должен быть проверяемым. IPL включают:

- особенности конструкции;

- физическую защиту;

- системы блокировки и отключения;

- критические сигналы тревоги и ручное вмешательство;

- физическую защиту после события;

- системы экстренного реагирования.

Стандартные процедуры и/или инспекции непосредственно не добавляют барьеров отказам, поэтому их не следует считать IPL. Оценивают вероятность отказа каждого IPL и вычисляют порядок величины для определения достаточности общей защиты для снижения риска до приемлемого уровня.

Частоту возникновения нежелательных последствий можно определить, комбинируя частоту инициирующей причины с вероятностями отказа каждого IPL с учетом всех условных модификаторов. (Пример условного модификатора - будет ли человек присутствовать и может ли он быть подвержен влиянию.) Для частот и вероятности используют порядки величин.

В.4.4.2 Использование

LOPA может быть использован в качественном варианте для анализа уровней защиты между причинным фактором и последствием. Он также может быть использован количественно для распределения ресурсов при обработке риска путем анализа снижения риска, достигаемого каждым уровнем защиты. Метод может быть применен к системам в долгосрочном или краткосрочном периодах времени и обычно используется при работе с рисками при эксплуатации системы.

LOPA также может быть использован в количественном варианте для требований IPL и уровней полноты безопасности (Уровни SIL) для инструментальных систем в соответствии с МЭК 61508 (все части) и МЭК 61511 (все части), а также для демонстрации, что заданный SIL достигнут.

Примечание - SIL - дискретный уровень (один из возможных четырех) для установления требований к безотказности систем, связанных с безопасностью. Уровень 4 имеет самый высокий уровень целостности безопасности, а уровень 1 - самый низкий.

В.4.4.3 Входы

Входы метода LOPA включают:

- основные сведения об источниках, причинах и последствиях событий;

- информацию о существующих средствах контроля на местах или предлагаемых методах обработки риска;

- частоту возникновения причинного события и вероятности отказа защитных слоев, меры последствий и определение допустимого риска.

В.4.4.4 Выходы

Выходами являются рекомендации по всем дальнейшим методам обработки и оценки остаточного риска.

В.4.4.5 Преимущества и недостатки

Преимущества LOPA включают следующее:

- метод требует меньше времени и ресурсов, чем анализ дерева событий или полная количественная оценка риска, но более строгий, чем субъективные качественные суждения;

- метод помогает выявить и сосредоточить ресурсы на наиболее критичных уровнях защиты;

- метод идентифицирует операции, системы и процессы с недостаточной защитой;

- метод фокусируется на наиболее значимых последствиях.

Недостатки метода LOPA включают следующее:

- метод фокусируют на одной причинно-следственной паре и одном сценарии одновременно; сложные взаимодействия между рисками или средствами контроля метод не охватывает;

- в количественном варианте метод не может учитывать отказы общего вида;

- метод не применим к очень сложным сценариям, где существует много пар "причина/следствие", или в ситуациях, когда существуют различные последствия, затрагивающие различные заинтересованные стороны.

В.4.4.6 Справочные документы

[36] IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems

[37] IEC 61511 (all parts), Functional safety - Safety instrumented systems for the process industry sector

[38] Layer of protection analysis - Simplified process risk assessment

В.5 Методы понимания последствий и вероятности

В.5.1 Общие положения

Методы, описанные ниже, направлены на обеспечение более глубокого понимания последствий и их вероятности. В общем случае последствия могут быть исследованы с помощью:

- экспериментов, таких как клеточные исследования, изучение последствий воздействия токсинов на человека и экологию, применимых к рискам для здоровья человека и окружающей среды;

- исследования прошлых событий, включая эпидемиологические исследования;

- моделирования для определения способа развития последствий и как они зависят от средств контроля на местах. Это могут быть математические или инженерные модели и логические методы, такие как анализ дерева событий (В.5.6);

- методов поощрения творческого мышления, таких как анализ сценариев (В.2.5).

Вероятность события или конкретного последствия может быть оценена с помощью:

- экстраполяции полученных ранее данных (при условии наличия достаточного количества релевантных статистически достоверных данных для анализа). Это особенно относится к нулевым событиям, когда возможно предположить, что поскольку событие или последствие ранее не происходило, оно не произойдет и в ближайшем будущем;

- синтеза данных, относящихся к интенсивностям отказов или успеха компонентов систем, используя такие методы, как анализ дерева событий (В.5.6), анализ дерева неисправностей (В.5.7) или причинно-следственный анализ (В.5.5);

- методов моделирования, позволяющих генерировать, например, вероятность отказов оборудования и конструктивных отказов, вызванных старением и другими процессами деградации.

Эксперты могут высказать свое мнение о вероятностях и последствиях, принимая во внимание соответствующую информацию и полученные ранее данные. Существует много формальных методов получения заключений, экспертов, которые делают использование их мнений видимым и явным (см. В.1).

Последствия и вероятность могут быть объединены для определения уровня риска. Это может быть использовано для оценки значимости риска путем сопоставления уровня риска с критерием приемлемости или ранжирования рисков.

Методы объединения качественных величин последствий и вероятности включают методы индексов (В.8.6) и матрицы следствий/вероятности (В.10.3). Простая мера риска может быть получена из распределения вероятностей последствий (см., например, VaR (В.7.2), CVaR (В.7.3) и S-кривых (В.10.4)).

В.5.2 Байесовский анализ

В.5.2.1 Общие положения

Часто встречаются проблемы, когда имеются данные и субъективная информация. Байесовский анализ позволяет использовать оба вида информации для принятия решений. Байесовский анализ основан на теореме, приписываемой преподобному Томасу Байесу (1760). В самом простом виде теорема Байеса дает вероятностную основу для изменения решения при наличии новых доказательств. Теорема Байеса имеет вид (1):

, (1)
где
- априорная оценка вероятности события А;
- априорная оценка вероятности события В;
- вероятность события А при условии, что событие В произошло (апостериорная оценка);
- вероятность события В при условии, что событие А произошло.

Теорема Байеса может быть расширена, чтобы охватить несколько событий в конкретном пространстве выборки.

Например, предположим, имеются некоторые данные D, которые необходимо использовать для обновления понимания риска на основе предыдущих данных. Эти данные необходимы для оценки относительных достоинств числа N конкурирующих и непересекающихся гипотез
(где
). Тогда на основе теоремы Байеса может быть вычислена вероятность
-й гипотезы с использованием формулы (2):
, (2)
где
.
В соответствии с формулой (2) обновленная вероятность для
-й гипотезы [т.е.
] представляет собой произведение априорной вероятности
на заключенную в квадратные скобки дробь.
Числитель этой дроби - вероятность получения этих данных, если
-я гипотеза верна. Знаменатель в соответствии с "законом полной вероятности" - вероятность получения этих данных, если одна за другой все гипотезы оказывались верными. Знаменатель - это нормирующий коэффициент.

Байесовскую вероятность легче понять, если рассматривать ее как степень веры в некое событие в противоположность классической вероятности, основанной на физическом доказательстве факта.

В.5.2.2 Использование

Байесовский анализ - это средство получения выводов на основе данных, как субъективных, так и эмпирических. Байесовские методы могут быть разработаны для получения выводов о параметрах в рамках разработанной модели риска в конкретных условиях; например, вероятности события, интенсивности реализации события или времени до события.

Байесовские методы могут быть использованы для получения априорной оценки исследуемого параметра на основе субъективных суждений. Априорное распределение вероятностей обычно связано с субъективными данными, поскольку оно представляет собой неопределенность знаний. Априорное распределение может быть построено с использованием только субъективных данных или с использованием релевантных данных, соответствующих аналогичным ситуациям. Априорная оценка может обеспечить прогноз вероятности события и может быть полезна для оценки риска в ситуации отсутствия эмпирических данных.

Данные о наблюдаемых событиях могут быть объединены с априорным распределением с помощью байесовского анализа для определения апостериорной оценки исследуемого параметра риска.

Теорему Байеса используют для включения новых доказательств в предыдущие суждения, чтобы сформировать обновленную оценку.

Байесовский анализ позволяет определить как точечные, так и интервальные оценки исследуемого параметра. Эти оценки отражают неопределенности, связанные как с изменчивостью данных, так и со знаниями об объекте. Это не похоже на классический частотный вывод, который основан на статистической изменчивости исследуемой случайной величины.

Вероятностная модель, лежащая в основе байесовского анализа, зависит от особенностей задачи. Например, вероятностная модель Пуассона может быть использована для таких событий, как аварии, несоответствия, задержки поставок, а биномиальная вероятностная модель может быть использована для невосстанавливаемых объектов. Все чаще используют построение вероятностной модели для представления причинно-следственных связей между переменными в виде сети Байеса (В.5.3).

В.5.2.3 Входы

Входами байесовского анализа являются субъективные и эмпирические данные, необходимые для структурирования и количественной оценки вероятностной модели.

В.5.2.4 Выходы

Как и классическая статистика, байесовский анализ позволяет получить оценки (точечные и интервальные) исследуемого параметра и имеет широкую область применения.

В.5.2.5 Преимущества и недостатки

Преимущества метода включают следующее:

- полученные утверждения легко понять;

- метод обеспечивает способ использования субъективных представлений о проблеме;

- метод обеспечивает способ объединения априорных представлений с новыми данными.

Недостатки метода состоят в следующем:

- построенные апостериорные распределения сильно зависят от предшествующего выбора;

- решение сложных задач может потребовать больших вычислительных затрат и быть трудоемким

В.5.2.6 Справочные документы

[39] GHOSH, J., DELA.MPADY, M. and SAMANTA, T. An introduction to Bayesian analysis, New York Springer-Verlag, 2006

[40] QUIGLEY, J.L., BEDFORD, T.J. and WALLS, L.A. Prior Distribution Elicitation

В.5.3 Байесовские сети и диаграммы влияния

В.5.3.1 Краткое описание

Байесовская сеть (BN) - это графическая модель, узлы которой представляют собой случайные переменные (дискретные и/или непрерывные) (см. рисунок В.3). Узлы соединены направленными отрезками или дугами и представляют собой прямые зависимости (которые часто являются причинно-следственными связями) между переменными.

Узлы, указывающие на узел X, называют родительскими и обозначают ра(Х). Отношения между переменными количественно определяют условные распределения вероятностей (CPD), соответствующие каждому узлу Р (
), где состояние дочерних узлов зависит от комбинации значений родительских узлов. На рисунке 3 вероятности указаны точечными оценками.

Рисунок В.3 - Байесовская сеть, показывающая упрощенную версию реальной экологической проблемы: моделирование природных популяций рыб в штате Виктория (Австралия)

В.5.3.2 Использование

Базовая сеть содержит переменные, которые представляют неопределенные события и могут быть использованы для оценки вероятности или риска или выявления ключевых факторов риска, приводящих к заданным последствиям.

Сеть Байеса может быть расширена и включать в себя действия по принятию решений оценки, а также неопределенности. В этом случае сеть Байеса называют диаграммой влияния, которая может быть использована для оценки влияния риска (контроля/снижения) на смягчение последствий или оценки вариантов вмешательства.

Модель BN может быть построена как качественное представление проблемы заинтересованными сторонами с последующей количественной оценкой, с использованием соответствующих данных, включая субъективные (например, анализ риска, связанного с распределением лекарств), модель BN может быть изучена на основе эмпирических данных (например, с использованием веб-поисковых систем). Независимо от формы сети Байеса основной алгоритм вывода основан на теореме Байеса и обладает общими свойствами байесовского анализа (В.5.2).

Сети Байеса были использованы в широком диапазоне применений, включая принятие экологических решений, медицинскую диагностику, продление срока службы критической инфраструктуры, риск цепочки поставок, новую продукцию, моделирование процесса разработки и изображений, генетику, распознавание речи, экономику, космические исследования и веб-поисковые системы.

В целом сети Байеса обеспечивают создание визуальных моделей, которые поддерживают соединение проблем и обмен информацией между заинтересованными сторонами. Модели сети Байеса позволяют проводить анализ чувствительности для изучения исследования сценариев методом "что, если?" Построение качественной структуры сети Байеса может быть поддержано путем составления карт причин (В.6.1), сети Байеса могут быть использованы вместе с анализом сценариев (В.2.5) и анализом воздействий (В.6.2).

Сети Байеса полезны для получения инвестиций от заинтересованных сторон и согласования решений в ситуациях с высокой неопределенностью и расхождениями во взглядах заинтересованных сторон. Представление понятно, хотя для его создания требуется проверка.

Сети Байеса могут быть полезны при отображении анализа рисков для нетехнических заинтересованных сторон, что способствует прозрачности предположений и процессов, а также трактовке неопределенности математически обоснованным способом.

В.5.3.3 Входы

Входами сети Байеса являются понимание переменных системы (узлов), причинно-следственных связей между ними (направленных дуг) и априорные и условные вероятности этих соотношений.

В случае диаграммы влияния также необходимы оценки (например, финансовые потери, количество травм и т.д.).

В.5.3.4 Выходы

Сети Байеса обеспечивают условное и маргинальное распределение в графическом выводе, который обычно считается легким в интерпретации, по крайней мере по сравнению с другими моделями, например с моделью "черного ящика". Модель сети Байеса и данные могут быть легко изменены, чтобы легко визуализировать отношения и исследовать чувствительность параметров к различным входным сигналам.

В.5.3.5 Преимущества и недостатки

Преимущества сети Байеса включают следующее:

- существует легкодоступное программное обеспечение, которое можно относительно легко использовать и понять;

- сети Байеса имеют прозрачную структуру и способны быстро запускать сценарии и анализировать чувствительность выходных данных к различным предположениям;

- сети Байеса могут включать субъективные представления о проблеме вместе с данными.

Недостатки метода включают следующее:

- определение всех взаимодействий для сложных систем затруднительно и может стать вычислительно неразрешимым, когда таблицы условных вероятностей становятся слишком большими;

- сети Байеса часто статичны и обычно не включают петли обратной связи. Однако использование динамических сетей Байеса возрастает;

- установка параметров требует знания многих условных вероятностей, которые определены на основе экспертных заключений. Сеть Байеса может дать ответы только на основе этих предположений (ограничение, которое является общим для других методов моделирования);

- пользователь может вводить ошибки, но вывод все равно может дать правдоподобный ответ; проверка экстремумов может помочь найти ошибки.

В.5.3.6 Справочные документы

[41] NEIL, Martin and FENTON, Norman. Risk Assessment and Decision Analysis with Bayesian Networks CRC Press, 2012

[42] JENSEN, F.V., NIELSEN T.D. Bayesian Networks and Decision Graphs, 2nd ed. Springer, New York, 2007

[43] NICHOLSON, A., WOODBERRY O. and TWARDY C, The "Native Fish" Bayesian networks. Bayesian Intelligence Technical Report 2010/3, 2010

[44] NETICA TUTORIAL

В.5.4 Анализ воздействия на деятельность (BIA)

В.5.4.1 Короткое описание

Анализ воздействия на деятельность позволяет исследовать последствия инцидентов и событий на деятельность организации, а также идентифицировать и количественно оценить возможности организации по управлению в этих условиях.

В частности, BIA обеспечивает согласованное понимание:

- критичности ключевых процессов, функций и соответствующих ресурсов, а также ключевых взаимозависимостей, существующих у организации;

- влияния разрушительных событий на возможности достижения критически важных целей деятельности;

- возможностей, необходимых для управления последствиями разрушений и восстановлением согласованных уровней работы.

BIA может быть выполнен с использованием анкет, интервью, структурированных обсуждений или их комбинации.

В.5.4.2 Использование

BIA используют для определения критичности и сроков восстановления процессов и соответствующих ресурсов (таких, как персонал, оборудование, информационные технологии) для обеспечения надлежащего планирования в случае разрушительных событий. BIA также полезен при определении взаимозависимостей и взаимосвязей между процессами, внутренними и внешними сторонами и всеми связями в цепочке поставок.

Метод также может быть использован как часть анализа последствий при исследовании последствий разрушительных событий.

BIA позволяет получить информацию, которая помогает организации определить и выбрать соответствующие стратегии обеспечения непрерывности деятельности, обеспечивающие результативное реагирование на разрушительное воздействие инцидента и последующее восстановление.

В.5.4.3 Входы

Входы включают:

- информацию о целях, стратегическом направлении, окружающей среде, активах и взаимозависимостях организации;

- перечень продукции и услуг организации и их взаимосвязей с процессами организации;

- оценку приоритетов на основе предыдущего анализа со стороны руководства;

- подробную информацию о деятельности организации, включая процессы, ресурсы, взаимосвязи с другими организациями, цепочках поставок, аутсорсинговых соглашениях и заинтересованных сторонах;

- информацию, позволяющую оценить финансовые, правовые и производственные последствия в результате нарушения критических процессов;

- подготовленный вопросник или другие средства сбора информации;

- результаты других оценок рисков и анализа критических инцидентов, связанных с результатами исследуемых разрушительных инцидентов;

- список специалистов из соответствующих областей деятельности организации и/или заинтересованных сторон.

В.5.4.4 Выходы

Выходами являются:

- перечень ранжированных по приоритетности продуктов и услуг организации;

- документы, детализирующие информацию, собранную в качестве входных данных;

- перечень ранжированных по значимости критических процессов и связанных с ними взаимозависимостей;

- документированные воздействия нарушений критических процессов, включая финансовые, юридические, экологические, эксплуатационные и другие;

- информация о вспомогательных ресурсах и мероприятиях, необходимых для восстановления критических процессов;

- оценка краткосрочных, среднесрочных и долгосрочных последствий непредоставления организацией продуктов и услуг;

- приоритетные сроки возобновления поставок продуктов и услуг на установленном минимальном уровне с учетом периода времени, по истечении которого последствия их невозобновления становятся неприемлемыми;

- сроки простоя для восстановления критических процессов и связанных с ними информационных технологий.

В.5.4.5 Преимущества и недостатки

Преимуществами BIA являются следующие:

- метод обеспечивает глубокое понимание важнейших процессов, позволяющих организации достичь своих целей и выявить области улучшения деятельности;

- метод позволяет получить информацию, необходимую для планирования реакции организации на разрушительное событие;

- метод обеспечивает понимание ключевых ресурсов, необходимых в случае возникновения разрушительного события;

- метод позволяет переопределить производственный процесс организации для улучшения устойчивости организации.

Недостатки метода включают следующее:

- BIA основан на знаниях и восприятии участников опроса, собеседований и обсуждений. Это может привести к излишне упрощенным или чрезмерно оптимистичным ожиданиям при разработке требований к восстановлению;

- деятельность группы может отрицательно повлиять на выполнение анализа критического процесса;

- возможны упрощенные или чрезмерно оптимистичные ожидания в отношении требований к восстановлению;

- бывает трудно достичь адекватного понимания деятельности организации.

В.5.4.6 Справочные документы

[45] ISO TS 22317, Societal security - Business continuity management systems - Guidelines for business Impact analysis

[46] ISO 22301, Societal security - Business continuity management systems - Requirements

В.5.5 Анализ причин и последствий (CCA)

В.5.5.1 Краткое описание

В некоторых случаях событие, которое можно анализировать с помощью дерева неисправностей, лучше анализировать с помощью CCA. Это ситуации, когда:

- легче разработать последовательность событий, чем причинно-следственные связи;

- дерево FTA может стать необозримо большим;

- существуют отдельные группы, занимающиеся различными частями анализа.

На практике часто сначала определяют не высшее событие, а возможные события на стыке функциональной и технической областей.

Например, рассмотрим событие "потеря экипажа или транспортного средства" при полете космического корабля. Прежде построения большого дерева неисправностей с таким высшим событием могут быть проанализированы отдельные деревья неисправностей с такими высшими событиями, как отказ зажигания или отказ тяги. Эти высшие события затем используют в качестве исходных данных дерева событий при анализе последствий производственной деятельности.

Можно выделить два типа CCA в зависимости от того, какая часть анализа является более важной в конкретных обстоятельствах. Если необходимы детали причин, но приемлемо более общее описание последствий, то расширяют эту часть анализа дерева неисправностей и анализ называют CCA-SELF (небольшое дерево событий большого дерева неисправностей). Если требуется детальное описание последствий, а причина может быть рассмотрена менее подробно, анализ называют CCA-LESF (большое дерево событий небольшого дерева неисправностей). На рисунке В.4 показана концептуальная схема типичного причинно-следственного анализа.

Рисунок В.4 - Пример схемы "причинно-следственного анализа"

В.5.5.2 Использование

Как и анализ дерева неисправностей, CCA используют для представления логики отказа, ведущего к критическому событию, но к функциональности дерева отказов добавляется возможность анализировать последовательные отказы во времени. Метод также позволяет включать периоды простоев в анализ последствий, это невозможно при анализе дерева событий. Метод позволяет анализировать различные пути, которыми система может достичь критического события в зависимости от состояния отдельных подсистем (таких, как аварийная система реагирования).

В количественном варианте причинно-следственный анализ позволяет определить оценки вероятности различных возможных последствий критического события.

Поскольку каждая последовательность на схеме причинно-следственного анализа представляет собой комбинацию деревьев неисправностей, причинно-следственный анализ может быть использован для построения больших деревьев неисправностей.

Поскольку схемы причинно-следственного анализа сложны при разработке и использовании, метод, как правило, применяют в ситуации, когда значимость возможных последствий отказа оправдывает приложенные усилия

В.5.5.3 Входы

Необходимо понимание системы, ее видов отказов и сценариев отказов

В.5.5.4 Выходы

Выходами CCA являются:

- схематическое представление путей отказа системы с указанием причин и последствий отказа;

- оценки вероятности возникновения каждого возможного последствия на основе анализа вероятностей появления условий, возникающих в результате критического события.

В.5.5.5 Преимущества и недостатки

В дополнение к преимуществам деревьев неисправностей и событий CCA способен лучше них одновременно представлять причины и последствия соответствующего события и временные зависимости.

Недостатком является то, что CCA более сложный метод, чем анализ дерева неисправностей и анализ дерева событий, как по строению, так и по тому, как рассматривают зависимости в процессе количественной оценки.

В.5.5.6 Справочные документы

[47] ANDREWS J.D, RIDLEY L.M. 2002. Application of the cause-consequence diagram method to static systems

[48] NIELSEN D.S. The Cause/Consequence Diagram Method as a Basis for Quantitative Accident Analysis

В.5.6 Анализ дерева событий (ETA)

В.5.6.1 Краткое описание

Анализ дерева событий (ETA) - графический метод, представляющий взаимоисключающие последовательности событий, которые могут возникнуть после инициирующего события в зависимости оттого, изменяют или нет различные системы функцию последствий. Дерево событий может быть количественным и обеспечивать определение вероятности различных возможных исходов (см. рисунок В.5).

Построение дерева событий начинают с инициирующего события, затем от каждого управляемого элемента рисуют линии успеха и отказа. Вероятность отказа или успеха может быть присвоена каждому элементу в соответствии с мнением эксперта на основе данных или анализа отдельных деревьев неисправностей. Вероятности являются условными. Например, вероятность функционирования элемента не является вероятностью, полученной в результате испытаний в нормальных условиях, а вероятностью функционирования в условиях инициирующего события.

Частоту различных выходов представляют произведением отдельных условных вероятностей и вероятности или частоты инициирующего события с учетом независимости различных событий. На рисунке В.5 вероятность инициирующего события предполагается равной 1.

В.5.6.2 Использование

ETA может быть использован с качественными величинами, это помогает анализировать возможные сценарии и последовательности событий, возникающих после инициирующего события, и изучать влияние различных управляющих элементов. Метод может быть применен на любом уровне организации и к любому типу инициирующего события.

Количественный вариант ETA может быть использован для принятия решения о приемлемости средств контроля и относительной важности различных средств контроля для общего уровня риска. Количественный анализ требует, чтобы средства контроля были либо в работоспособном, либо в неработоспособном состоянии (метод не может учитывать частичное ухудшение работы) и были независимы. В основном это касается эксплуатации системы. ETA можно использовать для моделирования инициирующих событий, которые могут принести убытки или дать преимущества. Однако обстоятельства, в которых найдены способы оптимизации, чаще всего моделируют с использованием дерева решений (В.9.3).

В.5.6.3 Входы

Входы включают:

- заданное инициирующее событие;

- информацию о барьерах и средствах контроля, а также, для количественного анализа, вероятности их отказа;

- понимание возможных сценариев.

Рисунок В.5 - Пример анализа дерева событий

В.5.6.4 Выходы

Выходы ETA включают следующее:

- качественное описание возможных результатов инициирующих событий;

- количественные оценки интенсивности/частоты или вероятностей относительной важности различных последовательностей отказов и сопутствующих событий;

- количественные оценки результативности средств контроля.

В.5.6.5 Преимущества и недостатки

Преимущества ETA состоят в следующем:

- анализ возможных сценариев после инициирующего события и влияние успеха или отказа средств контроля показаны на четкой диаграмме, которая при необходимости может быть рассчитана;

- метод позволяет определить конечные события, которые в противном случае не могут быть предсказаны;

- метод позволяет идентифицировать возможные единичные отказы, области уязвимости системы и низкую отдачу контрмер, а значит, может быть использован для повышения результативности контроля;

- метод учитывает хронометраж и эффект домино, который трудно смоделировать с помощью неисправностей.

Недостатки метода включают следующее:

- для всестороннего анализа необходимо идентифицировать все возможные инициирующие события. Всегда есть возможность пропуска некоторых важных инициирующих событий или последовательности событий;

- метод обеспечивает рассмотрение только успешных состояний и состояний отказа системы. В анализ трудно включить частично работающие средства контроля, отложенные события успеха или восстановления;

- любой путь является условным на событиях, которые произошли в предыдущих точках ветвления пути. Поэтому рассматривают многие зависимости вдоль возможных путей. Однако некоторые зависимости, такие как общие компоненты, служебные системы и операторы, могут быть упущены из виду, что приводит к излишне оптимистическим оценкам вероятности конкретных последствий;

- для сложных систем дерево событий трудно построить на пустом месте.

В.5.6.6 Справочные документы

[49] IEC 62502, Analysis techniques for dependability - Event tree analysis

[50] IEC TR 63039, Probabilistic risk analysis of technological systems - Estimation of final event rate at a given initial state

В.5.7 Анализ дерева неисправностей (FTA)

В.5.7.1 Краткое описание

FTA - метод идентификации и анализа факторов, способствующих возникновению определенного нежелательного события (называемого "высшим событием"). Высшее событие анализируют начиная с идентификации его непосредственной и необходимой причин. Это могут быть отказы аппаратных или программных средств, ошибки человека или любые другие соответствующие события. Логическая связь между этими причинами представлена рядом вентилей, таких как И/ИЛИ. Каждую причину затем анализируют поэтапно одним и тем же способом, пока дальнейший анализ не станет непродуктивным. Результат представляют графически в виде древовидной схемы (см. рисунок В.6), которая представляет собой графическое представление булева уравнения.

Рисунок В.6 - Пример дерева неисправностей

В.5.7.2 Использование

FTA используют главным образом на уровне эксплуатации и для решения краткосрочных и среднесрочных вопросов. FTA используют качественно для идентификации возможных причин и путей к высшему событию или количественно для вычисления вероятности высшего события. Для количественного анализа необходимо следовать строгой логике. Это означает, что события на входе вентиля И должны быть необходимыми и достаточными для возникновения события выше, а события на входе вентиля ИЛИ представляют собой все возможные причины события выше, любое из которых может быть единственной причиной. Затем используют методы, основанные на бинарном решении схемы FTA или булевой алгебре, для учета повторяющихся видов отказа.

FTA можно использовать в процессе проектирования, для выбора одного из различных вариантов или в процессе эксплуатации для идентификации способов реализации основных отказов и относительной важности различных путей к высшему событию.

Тесно связанные с FTA методы - это дерево причин, которое используют ретроспективно для анализа событий, которые уже произошли, и дерево успеха, где высшим событием является успех. Дерево успеха используют для изучения причин успеха с целью достижения будущих успехов.

Как правило, вероятности в дереве успеха выше, чем в дереве неисправностей, при вычислении вероятности высшего события следует учитывать вероятность того, что события могут быть не взаимоисключающими.

В.5.7.3 Входы

Входами анализа дерева неисправностей являются следующие:

- необходимое понимание системы и причин отказов или успеха, а также техническое понимание того, как система работает в различных обстоятельствах. Подробные схемы полезны для облегчения анализа;

- для всех базовых событий при количественном анализе дерева неисправностей необходимы данные об интенсивности отказов или вероятности пребывания в состоянии отказа или частоте отказов и, где это уместно, интенсивности ремонта/восстановления и т.д.;

- для сложных ситуаций при использовании программного обеспечения необходимо понимание теории вероятностей и булевой алгебры для того, чтобы входные данные в программное обеспечение были корректными.

В.5.7.4 Выходы

Выходами анализа дерева неисправностей являются следующие:

- наглядное представление путем возникновения высшего события, которое показывает взаимодействующие пути, каждый из которых предполагает возникновение двух или более (базовых) событий;

- перечень минимальных сечений (индивидуальных путей к отказу) с указанием, при наличии данных, вероятности реализации;

- в случае количественного анализа вероятность высшего события и относительная значимость базовых событий.

В.5.7.5 Преимущества и недостатки

Преимуществами FTA являются следующие:

- метод представляет собой упорядоченный подход, который в высшей степени систематичен, но в то же время достаточно гибок, позволяет анализировать различные факторы, включая взаимодействия людей и физические явления;

- метод особенно полезен для анализа систем со многими интерфейсами и взаимодействиями;

- метод дает наглядное представление, обеспечивающее более легкое понимание работы системы и включенных в нее факторов;

- логический анализ дерева неисправностей и определение набора сечений полезны при идентификации простых путей отказа в сложной системе, когда определенные комбинации событий и последовательности событий, ведущих к высшему событию, могут быть опущены;

- метод может быть адаптирован к простым или сложным задачам с уровнем усилий, зависящим от сложности.

Недостатками метода являются следующие:

- в некоторых ситуациях может быть трудно установить, все ли важные пути, ведущие к высшему событию, учтены, например включение всех источников воспламенения в анализ пожара. В этих ситуациях невозможно рассчитать вероятность высшего события;

- временные взаимозависимости не рассматриваются;

- FTA имеет дело только с бинарными состояниями (успех/отказ);

- в то время как виды ошибок человека могут быть включены в дерево неисправностей, определение особенностей таких отказов может быть трудным;

- FTA анализирует одно высшее событие. Метод не анализирует вторичные или попутные отказы;

- FTA может стать очень большим для крупномасштабных систем.

В.5.7.6 Справочные документы

[51] IEC 61025, Fault tree analysis (FTA)

[16] IEC 62740, Root cause analysis (RCA)

В.5.8 Анализ надежности человеческого фактора (HRA)

В.5.8.1 Общие положения

Метод FIRA относится к группе методов, направленных на оценку вклада ошибок человека в безотказность и безопасность системы за счет выявления и анализа возможности неправильных действий человека. Хотя в контексте безопасности метод наиболее часто применяют к пониженным показателям работы операторов, подобные методы могут быть применены и к повышенным уровням показателей. HRA применяют на тактическом уровне к конкретным задачам, где правильные показатели имеют критическое значение.

Сначала для идентификации этапов и подэтапов действий выполняют иерархический анализ задач. Возможные механизмы ошибок идентифицируют для каждого подэтапа, часто с использованием набора ключевых слов, подсказок (таких, как: слишком рано, слишком поздно, неправильный объект, неправильное действие, правильный объект).

Источники таких ошибок (невнимательность, дефицит времени и т.д.) могут быть идентифицированы, а информация использована для уменьшения вероятности ошибок при выполнении задачи. Факторы внутри человека организации или окружающей среды, влияющие на вероятность ошибки (факторы формирования производительности (PSF)), также идентифицируют.

Вероятность неправильного действия может быть оценена различными методами, в том числе с помощью базы данных аналогичных задач или мнений экспертов. Обычно сначала определяют номинальную частоту ошибок для конкретного типа задач, затем к факторам поведения или экологии применяют множители, которые увеличивают или уменьшают вероятность отказа. Для применения этих основных этапов были разработаны различные методы.

Ранние методы уделяли большое внимание оценке вероятности отказа. Более поздние качественные методы фокусируются на когнитивных причинах вариаций производительности человека с большим анализом способов изменения производительности под воздействием внешних факторов и с меньшим вниманием к вычислению вероятности отказа.

В.5.8.2 Использование

Качественный HRA может быть использован:

- в процессе проектирования таким образом, чтобы проект системы минимизировал вероятность ошибки операторов;

- при модификации системы, чтобы увидеть, подвержена ли производительность человека влиянию в любом направлении;

- при улучшении процедуры для уменьшения количества ошибок;

- для оказания помощи в идентификации и снижении факторов, вызывающих ошибки в окружающей среде или в организационных мероприятиях.

Количественный HRA используют для представления данных о производительности человека в качестве входных данных для методов логического дерева или других методов оценки рисков.

В.5.8.3 Входы

Входы включают:

- информацию по определению задач, которые люди должны выполнять;

- опыт работы с типами ошибок или экстраординарной производительностью, которые происходят на практике;

- проверку производительности человека и факторов, на нее влияющих;

- экспертные методы, которые должны быть использованы.

В.5.8.4 Выходы

Результаты включают:

- перечень ошибок или экстраординарных характеристик, которые могут возникнуть, и методы, с помощью которых они могут быть устранены или улучшены за счет изменения проекта системы;

- режимы, типы, причины и последствия деятельности человека;

- качественная или количественная оценка риска, связанного с различиями в результатах деятельности.

В.5.8.5 Преимущества и недостатки

Преимущества HRA включают следующее:

- метод обеспечивает формальный алгоритм учета результатов деятельности человека при рассмотрении рисков, соответствующих системам, в которых люди играют важную роль;

- формальное рассмотрение видов и алгоритмов деятельности человека, основанных на понимании когнитивных механизмов, может помочь идентифицировать способы изменения риска.

Недостатки метода включают следующее:

- методы лучше всего подходят для рутинных задач, выполняемых в хорошо контролируемых условиях. Они менее полезны для сложных задач или там, где действия должны основываться на нескольких и, возможно, противоречивых источниках информации;

- многие действия не имеют простого режима работа/отказ. HRA с трудом справляется с частичным воздействием на производительность, а также на качество действий или решений;

- количественные оценки в значительной степени зависят от мнений экспертов, поскольку мало доступных верифицированных данных.

В.5.8.6 Справочные документы

[51] IEC 62508, Guidance on human aspects of dependability

[52] BELL Julie, HOLROYD Justin, Review of human reliability assessment methods

[53] OECD, Establishing the Appropriate Attributes in Current Human Reliability Assessment Techniques for Nuclear Safety

В.5.9 Марковский анализ

В.5.9.1 Краткое описание

Марковский анализ - это количественный метод, применимый к любой системе, которая может быть представлена с помощью набора дискретных состояний и переходов между ними, при условии, что текущее состояние не зависит от ее состояния в любой момент времени.

Обычно предполагается, что переходы между состояниями происходят через определенные промежутки времени с соответствующими вероятностями перехода (дискретная временная цепь Маркова). На практике это происходит, если через регулярные промежутки времени систему исследуют для определения ее состояния. В некоторых приложениях переходами управляют в случайные моменты времени, подчиняющиеся экспоненциальному распределению с соответствующей интенсивностью перехода (непрерывная марковская цепь). Это обычно используют для анализа надежности (см. МЭК 61165).

Состояния и их переходы могут быть представлены на диаграмме Маркова (см. рисунок 7). Здесь круги представляют состояния, а стрелки - переходы из одного состояния в другое с соответствующими вероятностями перехода. В этом примере существует только четыре состояния: хорошее (S1), удовлетворительное (S2), плохое (S3) и состояние отказа (S4). Предполагается, что каждое утро система проходит проверку, в результате которой определяют, в каком из этих четырех состояний она находится. Если система отказала, то ее всегда ремонтируют в этот день и возвращают в хорошее состояние.

Система также может быть представлена матрицей переходов, как показано в таблице В.4. Необходимо заметить, что в этой таблице сумма каждой строки равна 1, так как приведенные значения представляют собой вероятности всех возможных переходов в каждом конкретном случае.

Рисунок В.7 - Пример диаграммы Маркова

Таблица В.4 - Пример матрицы Маркова

Текущее состояние

Состояние после перехода

S1

хорошее

S2

удовлетворительное

S3

плохое

S4

состояние отказа

S1, хорошее

0,8

0,15

0,05

0

S2, удовлетворительное

0

0,85

0,1

0,05

S3, плохое

0

0

0,5

0,5

S4, состояние отказа

1

0

0

0

В.5.9.2 Использование

Марковский анализ может быть использован для оценки:

- долгосрочной вероятности пребывания системы в заданном состоянии; например, это может быть вероятность того, что производственная машина работает в соответствии с установленными требованиями, компонент системы или уровень поставки упал ниже критического значения;

- среднего времени до первого отказа для сложной системы (времени первого периода работы) или среднего времени до возвращения системы в заданное состояние (время повторения).

Примеры систем, состояний и переходов в различных областях приведены в таблице В.5.

Таблица В.5 - Примеры систем, к которым может быть применен марковский анализ

Система

Состояние

Переход

Технические средства

Состояние машин

Износ, поломка, ремонт

Производство

Производственный уровень

Работа, очистка, сброс

Маркетинг

Торговая марка

Лояльность к бренду, переключение бренда

Учет

Наличие дебиторской задолженности

Оплата, списание, продление

Охрана здоровья

Состояние пациента

Инфекция, восстановление, лечение, рецидив

Резервуар

Количество воды

Приток, отток, испарение

Человеческие ресурсы

Категория работы

Перемещение между категориями должностей и уход

В.5.9.3 Входы

Входными данными для Марковского анализа является множество дискретных состояний, которые может занимать система, а также понимание возможных переходов, которые необходимо смоделировать, и оценка вероятности перехода или скорости перехода (в случае непрерывной временной цепи Маркова - СТМС).

В.5.9.4 Выходы

Марковский анализ генерирует оценки вероятности того, что система пребывает в любом заданном состоянии. Этот анализ поддерживает многие виды решений о видах вмешательств, которые менеджер может сделать в сложной системе (например, для изменения состояний системы и переходов между ними).

В.5.9.5 Преимущества и недостатки

Преимуществами Марковского анализа являются следующие:

метод может быть использован для моделирования динамических систем с несколькими состояниями;

диаграммы состояний и переходов обеспечивают простые и легко передаваемые структуры.

Недостатками метода является следующее:

- предположения метода могут быть неприменимы ко всем исследуемым системам; в частности, вероятности или интенсивности переходов между состояниями могут изменяться во времени по мере ухудшения или адаптации системы;

- для точного моделирования необходимы сбор и проверка обширных данных;

- слишком большое количество данных сводит ответ к среднему значению.

В.5.9.6 Справочные документы

[54] IEC 61165, Application of Markov techniques

[55] OXLEY, ALAN. Markov Processes in Management Science

В.5.10 Моделирование методом Монте-Карло

В.5.10.1 Краткое описание

Некоторые расчеты, выполняемые при анализе риска, включают определение распределения. Однако выполнение вычислений с использованием распределений является не простым, так как часто невозможно получить аналитические решения, если не установлена четкая форма распределения, и то только с ограничениями и предположениями, которые могут оказаться нереалистичными. В этих условиях используют такие методы, как метод моделирование Монте-Карло, и обеспечивают возможность выполнения расчетов и разработки результатов. Моделирование обычно включает в себя отбор случайных выборок из каждого входного распределения, выполнение вычислений для определения результирующего значения, а затем повторение процесса в виде нескольких итераций для построения распределения результатов. Результат может иметь вид распределения вероятностей значения или некоторой статистики, например среднего значения.

Системы могут быть разработаны с использованием электронных таблиц и других общепринятых приемов, но для оценки системы с более сложными требованиями необходимы более сложные программные средства.

В.5.10.2 Использование

В общем случае моделирование методом Монте-Карло может быть применено к любой системе, у которой:

- набор входов взаимодействует для определения выхода;

- взаимосвязь между входами и выходами может быть представлена в виде набора зависимостей;

- аналитические методы не способны обеспечить релевантные результаты или когда существует неопределенность входных данных.

Моделирование методом Монте-Карло может быть использовано при оценке риска для двух целей:

- распространение неопределенности на обычные аналитические модели;

- вероятностные расчеты, когда аналитические методы не работают или неосуществимы.

Применения метода охватывают моделирование и оценку неопределенности финансовых прогнозов, инвестиционной эффективности, проектной стоимости и графика прогнозов, прерываний работы и потребности в персонале.

В.5.10.3 Входы

Входами для моделирования методом Монте-Карло являются:

- модель системы, которая содержит взаимосвязь между различными входными данными, а также между входами и выходами;

- информация о типах исходных данных или источниках неопределенности, которые должны быть представлены;

- требуемая форма выхода.

Входные данные с неопределенностью представляют в виде случайных величин с распределениями с большим или меньшим разбросом, в зависимости от уровня неопределенности. Для этой цели часто используют равномерные, треугольные, нормальные и логнормальные распределения.

В.5.10.4 Выходы

Выход может быть единичным значением или может быть выражен в виде вероятности или частоты, или он может быть идентификацией основных функций модели, которые оказывают наибольшее влияние на результат.

В общем случае результатом моделирования методом Монте-Карло являются либо все распределения результатов, которые могут возникнуть, либо ключевые показатели распределения, такие как:

- вероятность возникновения определенного результата;

- значение результата, которое с заданным уровнем доверия не будет превышено. Примерами могут служить затраты, вероятность превышения которых составляет менее 10%, или продолжительность, которая с уровнем доверия 80% будет превышена.

Анализ взаимосвязей между входами и выходами может выявить относительное значение неопределенности входных значений и идентифицировать цели по влиянию на неопределенность результатов.

В.5.10.5 Преимущества и недостатки

Преимуществами анализа методом Монте-Карло является следующее:

- метод можно приспособить к любому распределению входной переменной, включая эмпирические данные, полученные из наблюдений за похожими системами;

- модели относительно просты в разработке и могут быть расширены при необходимости;

- с помощью метода могут быть представлены любые воздействия или взаимосвязи, включая условные зависимости;

- для выявления сильных и слабых воздействий может быть применен анализ чувствительности;

- модели могут быть легко поняты, поскольку взаимосвязь между входами и выходами является прозрачной;

- метод обеспечивает определение точности результата;

- доступно необходимое программное обеспечение.

Недостатками метода является следующее:

- точность решений зависит от количества симуляций, которые могут быть выполнены;

- использование метода опирается на возможность представления неопределенностей в параметрах с помощью правильного распределения;

- трудно создать модель, адекватно отражающую ситуацию;

- большие и сложные модели могут вызывать сомнения при моделировании и затруднять привлечение заинтересованных сторон к участию в этом процессе;

- метод имеет тенденцию к искажению рисков с существенными последствиями и низкой вероятностью.

Анализ Монте-Карло предотвращает чрезмерный вес маловероятных результатов с существенными последствиями, признавая, что все такие результаты вряд ли произойдут одновременно. Это может привести к исключению экстремальных событий из рассмотрения, особенно в ситуации, когда рассматривают большой перечень рисков. Это может дать неоправданную уверенность при принятии решения.

В.5.10.6 Справочные документы

[56] ISO/IEC Guide 98-3:2008/Suppl 1: Uncertainty of measurement - Part 3: Guide to the expression of uncertainty in measurement (GUM:1995) - Propagation of distributions using a Monte Carlo method

В.5.11 Анализ влияния конфиденциальности (PIA)/анализа влияния защиты данных (DPIA)

В.5.11.1 Краткое описание

Метод анализа влияния конфиденциальности (PIA) (также называемый оценкой влияния конфиденциальности) анализ влияния защиты данных (DPIA) исследуют, как инциденты и события могут повлиять на конфиденциальность (PI), а также идентифицируют и определяют возможности, необходимые для управления ею. Методы PIA/DPIA - это процесс оценки возможных воздействий на конфиденциальность и персональные данные.

PIA и DPIA помогают организациям идентифицировать, оценивать и обрабатывать риски конфиденциальности, связанные с деятельностью по обработке данных. Методы особенно важны при внедрении новых систем или метода обработки данных. PIA и DPIA являются неотъемлемой частью обеспечения конфиденциальности при проектировании.

Метод DPIA также помогает организации выполнять требования регулирующих органов по защите данных (например, общих положений Европейского союза о защите данных, GDPR) и демонстрировать, что для выполнения таких требований приняты соответствующие меры.

В частности, процесс:

- анализирует возможные последствия нарушения конфиденциальности для здравствующего человека (скрининг базовых рисков);

- учитывает, имеет ли обработка персональных данных высокий риск в случае нарушения конфиденциальности;

- проводит углубленный анализ риска обработки персональных идентифицируемых данных.

PIA/DPIA могут быть проведены с использованием опросников, интервью, структурированных семинаров или их сочетания с использованием руководства ЕИ, статья 29, и нескольких разработанных шаблонов, например ICO (Великобритания), CNIL (Франция), NOREA (NL).

В.5.11.2 Использование

PIA/DPIA используют при определении последствий высоких рисков для процессов и связанных с ними ресурсов (людей, оборудования и информационных технологий) для ограничения возможных негативных последствий нарушения конфиденциальности данных о людях, связанных со способом информации.

Метод также может быть использован как часть анализа последствий при рассмотрении последствий обработки информации в более общем виде.

В.5.11.3 Входы

Входы включают:

- информацию о целях, стратегическом направлении, окружающей среде, активах и взаимозависимостях организации;

- оценку приоритетов по результатам предыдущего скрининга базовых рисков;

- сведения о деятельности и операциях организации при обращении с персональными данными, включая процессы, ресурсы, взаимосвязи с другими организациями, цепочки поставок, аутсорсинговые соглашения и заинтересованные стороны;

- информацию, позволяющую оценить финансовые, правовые и другие последствия утечки информации или потери личной информации (особенно высокочувствительной личной информации);

- подготовленный опросник или другие средства сбора информации;

- результаты других оценок рисков и анализа критических инцидентов, связанных с результатами исследуемых инцидентов (особенно с утечкой или потерей данных об инцидентах и другой информации, связанной с безопасностью при инцидентах, которые могут повлиять на предполагаемую обработку данных);

- перечень людей из соответствующих подразделений организации и/или заинтересованных сторон, с которыми необходимы контакты.

В.5.11.4 Выходы

Выходы включают:

- документы, детализирующие информацию, собранную в качестве входных данных;

- ранжированный перечень критических информационных процессов и соответствующих взаимозависимостей;

- набор сценариев с высоким риском обработки персональных данных по назначению;

- документально подтвержденные последствия утечки или потери личной информации здравствующего физического лица;

- информация о вспомогательных ресурсах и действиях, необходимых для ограничения возможных последствий для субъекта, к которому относятся данные;

- ранжированный перечень продукции и услуг организаций, участвующих в процессе;

- оценка последствий во времени и средств, не гарантирующих конфиденциальность, целостность и доступность персональных данных и последствий для субъектов персональных данных;

- сроки задержек при выполнении мер по локализации и/или восстановлению информации, заявлению в соответствующие органы власти и, в некоторых случаях, субъекту (субъектам) данных.

В.5.11.5 Преимущества и недостатки

Преимуществами PIA/DPIA является следующее:

- метод обеспечивает глубокое понимание критических процессов, связанных с (важной) личной информацией внутри организации или от ее имени;

- метод допускает оценку реализации конфиденциальности при проектировании и по умолчанию;

- метод позволяет получить информацию, необходимую для планирования реагирования организации на инцидент с персональными данными;

- метод обеспечивает понимание ключевых ресурсов, необходимых в случае утечки или потери персональных данных;

- метод допускает возможность переопределения и пересмотра процесса обработки персональных данных в организации;

- в случае юридических обязательств (например, см. европейский Общий регламент защиты данных) до обработки высокого риска начинается сбор персональных данных и документации для информирования органов по защите персональных данных.

Недостатками метода являются следующие:

- получение упрощенной или заниженной оценки возможной значимости риска для конфиденциальности персональных данных на начальном этапе (скрининг влияния конфиденциальности);

- PIA/DPIA основан на знаниях и восприятии участников анкетирования, интервью или обсуждений;

- атмосфера в группе и дефицит времени могут отрицательно повлиять на полный анализ критического процесса;

- трудно достичь адекватного понимания деятельности организации и действий по обработке персональных данных.

В.5.11.6 Справочные документы

[57] EU: General Data Protection Regulation (European Union Official Journal, 04.05.2016)

[58] ICO (UK): Data protection impact assessments

[59] CNIL (FR), Privacy Impact Assessment (PIA)

В.6 Методы анализа зависимостей и взаимодействий

В.6.1 Составление карты причин

В.6.1.1 Краткое описание

Карта причин отражает индивидуальное восприятие в форме цепочек направленного графа исследуемого и анализируемого события. На карте могут быть изображены события, причины и последствия.

Как правило, карты разрабатывают в условиях заседания, где представители различных областей знаний проверяют выявление, структурирование и анализ материала. Восприятие дополняют информацией из документов, если это возможно. Входы могут охватывать различные методы, от настойчивых замечаний до программного обеспечения по поддержке принятия решений. Это позволяет непосредственно входить в проблемы и может быть продуктивным средством их решения. Выбранные методы должны позволять анонимное описание проблемы для создания открытой, не конфронтационной среды для поддержки целенаправленного обсуждения взаимосвязей и причин.

Как правило, процесс начинается с генерирования вкладов, которые влияют на рассматриваемые события или вызывают их. Затем их группируют в соответствии с их содержанием и исследуют для обеспечения всестороннего охвата.

Затем участники рассматривают, как эти события могут повлиять друг на друга. Это позволяет связать отдаленные события и сформировать карту обоснования причин. Процесс направлен на облегчение понимания неопределенных событий, а также инициирование дальнейших действий по обоснованиям, необходимым для построения цепочки доказательств того, как одно событие влияет на другое. Существуют четкие правила формирования узлов, представляющих события, их взаимосвязей, обеспечивающих устойчивость и полноту модели.

После того как сеть событий для формирования полной карты разработана, ее следует проанализировать для определения свойств, которые могут быть полезны для менеджмента риска, например для определения центральных узлов, представляющих собой события, возникновение которых может иметь существенное значение для системы или определения петель обратной связи, которые могут привести к динамическим и деструктивным событиям.

В.6.1.2 Использование

Карта причин определяет связи и взаимодействия между рисками и темами из перечня рисков.

Карта может быть использована в суде для разработки карты причин произошедшего события (например, перерасход при проектировании, отказ системы). Судебные карты причин могут выявить триггеры, последствия и динамику событий. Они позволяют определить причины, которые могут быть критическими для претензий.

Карты причин также могут быть использованы проактивно для оценки полноты и системности сценариев событий. Затем карту можно изучить для обеспечения возможности глубокого изучения и формирования основы количественного анализа рисков и определения приоритетов.

Карты позволяют разработать комплексную программу обработки рисков, а не каждого риска отдельно.

Обсуждение анализа причин можно проводить через регулярные промежутки времени, чтобы гарантировать надлежащую оценку и менеджмент динамических изменений риска.

В.6.1.3 Входы

Данные для разработки карт причин могут поступать из различных источников, например из индивидуальных интервью, в которых на основе разработанных карт дают исчерпывающее представление о том, что произошло или могло произойти. Данные также могут быть получены из документации, такой как отчеты, материалы по претензиям и др. Данные могут быть использованы непосредственно в качестве исходной информации для анализа цепочек аргументов, связанных с событиями на заседании.

В.6.1.4 Выходы

Выходы включают:

- карты причин, обеспечивающие визуальное представление связанных с риском событий и системных взаимосвязей между этими событиями;

- результаты анализа карт причин, используемых для выявления кластеров опасных событий, критических событий, обусловленных их центральностью, петлями обратной связи и т.д.;

- документ, переводящий карты в текст и записи о ключевых результатах, а также объясняющий отбор участников и процесс, используемый для разработки карт.

Результаты должны содержать информацию, связанную с решениями в области менеджмента риска, и данные для аудита процесса получения этой информации.

В.6.1.5 Преимущества и недостатки

Преимущества метода включают следующее:

- риски, относящиеся к исследуемому вопросу, участники рассматривают с нескольких сторон;

- дивергентный и открытый характер процесса позволяет исследовать риск, снижая вероятность пропустить критические события или взаимосвязи;

- процесс обеспечивает эффективный и результативный охват взаимодействий между событиями и понимание их взаимодействий;

- процесс определения сети событий, формирующих карту, позволяет создать общий язык и понимание, жизненно важные для результативного менеджмента риска.

Недостатки метода включают следующее:

- процесс составления карт нелегко освоить, так как он требует не только умения, но и способности управления группами участников работы;

- карты носят качественный характер, и при необходимости количественной оценки карты следует использовать в качестве исходных данных для других соответствующих моделей;

- содержание карты определяют источники, и поэтому их тщательное рассмотрение участниками имеет критическое значение, в противном случае жизненно важные области могут быть опущены.

В.6.1.6 Справочные документы

[60] BRYSON, J.M., ACKERMANN, F., EDEN, C., & FINN, C. Visible thinking unlocking causal mapping for practical business results

[61] ACKERMANN, F, HOWICK, S, QUIGLEY, J, WALLS, L, HOUGHTON, T. Systemic risk elicitation: Using causal maps to engage stakeholders and build a comprehensive view of risks

В.6.2 Анализ перекрестных воздействий

В.6.2.1 Краткое описание

Анализ перекрестных воздействий - общее наименование семейства методов, предназначенных для оценки изменений вероятности реализации заданного набора событий, являющегося следствием возникновения одного из них.

Анализ перекрестных воздействий включает в себя построение матрицы, показывающей взаимозависимость различных событий. Набор событий или тенденций, которые могут произойти, указывают в строках, а события или тенденции, которые, возможно, будут затронуты, указывают в столбцах. Затем необходимо привлечение экспертов для оценки:

- вероятности каждого события (отдельно от других) за заданный период времени;

- условной вероятности каждого события при реализации каждого другого события, т.е. для пары событий
:
- вероятности реализации события
при условии реализации события
,
,
- вероятности реализации события
при условии, что событие
не произошло,
.

Эти данные вводят в компьютер для анализа.

Существует несколько различных методов расчета условных вероятностей, Обычная процедура заключается в проведении моделирования методом Монте-Карло, при котором компьютер в соответствии с моделью систематически отбирает наборы событий и повторяет это несколько раз. По мере получения наборов генерируют новую апостериорную вероятность реализации каждого события.

Анализ чувствительности проводят путем выбора начальной оценки вероятности или условной оценки вероятности, у которой существует неопределенность. Заключение меняют и матрицу заполняют снова.

В.6.2.2 Использование

Анализ перекрестных воздействий используют в прогнозных исследованиях и в качестве аналитического метода для прогнозирования того, как различные факторы влияют на будущие решения. Метод может быть объединен с анализом сценариев (В.2.5) для решения, какой из разработанных сценариев наиболее вероятен. Метод можно использовать при наличии нескольких взаимодействующих рисков, например, в сложных проектах или в менеджменте риска нарушения безопасности.

Временной период анализа перекрестных воздействий обычно является среднесрочным и долгосрочным и может представлять собой период от настоящего момента времени до пяти лет или пятидесяти лет. Период времени должен быть задан.

Матрица событий и их взаимозависимостей может быть полезна для принятия решений как фон, даже без вероятности, рассчитанной на основе анализа.

В.6.2.3 Входы

Метод требует наличия экспертов, знакомых с изучаемым вопросом и обладающих соответствующими способностями по прогнозированию событий и реальной оценке вероятности.

Для расчета условных вероятностей необходимо использовать программное обеспечение. Для того чтобы понять алгоритм обработки данных с помощью программного обеспечения, необходимы знания в области моделирования. Обычно для разработки и запуска модели требуется значительное время (несколько месяцев).

В.6.2.4 Выходы

Выходом являются перечень возможных сценариев и их интерпретация. Каждое обращение к модели создает синтетическую будущую историю, или сценарий, который включает возникновение некоторых событий и отсутствие других. На основе применяемой модели перекрестных воздействий пытаются сгенерировать либо наиболее вероятный сценарий, либо набор статистически состоятельных сценариев или один или несколько правдоподобных сценариев из общего набора.

В.6.2.5 Преимущества и недостатки

Преимущества анализа перекрестных воздействий включают следующее:

- создать опросник перекрестных воздействий достаточно легко;

- метод направляет внимание на цепочки причин (
влияет на
;
влияет на
и т.д.);

- метод помогает увеличить знания о будущих событиях;

- метод полезен при исследовании гипотез и поиске точек согласия и расхождения.

Недостатки метода включают следующее:

- количество событий, которые могут быть использованы, ограничено как программным обеспечением, так и временем, необходимым экспертам. Количество обращений к программе и количество оценок условных вероятностей быстро возрастают с увеличением количества событий (например, при наборе из десяти событий эксперт должен дать 90 заключений об условных вероятностях);

- реалистичное исследование требует значительной работы экспертов, часто наблюдается высокий процент отказа экспертов от работы;

- трудно определить события, которые должны быть включены в анализ, все воздействия, не включенные в набор событий, полностью исключены из исследования, кроме того, включение несущественных событий может излишне усложнить анализ;

- как и в случае с другими методами, основанными на привлечении экспертов, метод зависит от уровня их компетентности.

В.6.2.6 Справочный документ

[62] JOINT RESEARCH CENTRE, EUROPEAN COMMISSION, Cross-impact analysis [viewed 2019-02-13]

В.7 Методы, обеспечивающие определение величины риска

В.7.1 Оценка токсикологического риска

В.7.1.1 Краткое описание

Оценка риска для растений, животных, экологии и человека как результат воздействия целого ряда экологических опасностей включает в себя следующие этапы.

Риски для растений, животных, окружающей среды и человека могут быть обусловлены физическими, химическими и/или биологическими агентами, вызывающими повреждение ДНК, врожденные дефекты, распространение заболеваний, загрязнение пищевых цепей и воды. Оценка таких видов риска может потребовать применения ряда методов в соответствии со следующими этапами.

a) Формулировка проблемы. Этап включает установление области применения оценки путем определения цели оценки, целевых групп населения и типов исследуемой опасности.

b) Идентификация и анализ опасности. Этап включает идентификацию всех возможных источников вреда для целевой популяции в рамках исследования и понимания свойств опасности и ее взаимодействия с целью. Например, при рассмотрении воздействия на человека химического вещества рассматриваемые последствия могут включать в себя возможное повреждение ДНК, возникновение онкологических заболеваний или врожденных дефектов. Идентификация и анализ опасности обычно опираются на знания экспертов и данные литературы.

c) Оценка реакции на дозу. Реакция целевой популяции обычно является функцией уровня воздействия или дозы. Кривые реакции на дозу обычно разрабатывают на основе тестов на животных или экспериментов на культурах тканей. Для опасностей, таких как воздействие микроорганизмов или изменение вида, кривая реакции на дозу может быть определена на основе данных реальных эпидемиологических исследований. По возможности определяют механизм, с помощью которого достигается воздействие. На рисунке 8 показана упрощенная кривая реакции на дозу.

NOEL - предел отсутствия наблюдаемой реакции; LOAEL - наименьший уровень наблюдаемых неблагоприятных воздействий

Рисунок В.8 - Пример кривой реакции на дозу

d) Оценка воздействия. Оценивают дозу, которая будет воздействовать на целевую популяцию. Этап часто включает в себя анализ реализации путей воздействия опасностей барьеров, которые могут помешать им достичь цели и факторов, которые могут повлиять на уровень воздействия. Например, при оценке риска распыления химического вещества анализ воздействия должен исследовать, сколько химического вещества распылено и при каких условиях, происходило ли непосредственное воздействие на людей или животных, сколько вещества может остаться на растениях, опасная для экологии локализация всех пестицидов, достигших земли (накопление в животных, попадание в грунтовые воды и т.д.).

e) Характеристика риска. На данном этапе информацию, полученную на предыдущих этапах, сводят воедино для оценки вероятности конкретных последствий, когда воздействия в результате всех путей объединены.

В.7.1.2 Использование

Метод позволяет определить величину риска для здоровья человека или окружающей среды. Метод используют при формировании утверждений о воздействии на окружающую среду, чтобы показать, является ли риск конкретного воздействия допустимым. Метод используют в качестве основы для определения границ допустимого риска.

В.7.1.3 Входы

Входы включают информацию о токсикологических опасностях, экологической системе, вызывающей озабоченность (включая здоровье человека), и по возможности задействованные механизмы. Как правило, для оценки воздействия необходимы измерения физических величин.

В.7.1.4 Выходы

Выходом является оценка риска для здоровья человека или окружающей среды, выраженная количественно или предоставленная в виде качественной и количественной информации. Выход может включать границы, используемые для определения допустимых пределов опасности в окружающей среде, например границы отсутствия наблюдаемого неблагоприятного воздействия (см. рисунок В.8).

В.7.1.5 Преимущества и недостатки

Преимуществами метода является следующее:

- метод дает очень подробное понимание особенностей риска и факторов, влияющих на его увеличение;

- анализ путей является очень полезным для всех областей риска и позволяет определить, как и где можно улучшить средства контроля или ввести новые;

- анализ может сформировать основу простых правил относительно допустимых воздействий.

Недостатками метода являются следующие:

- для применения метода требуются хорошие данные, которые могут быть не сразу доступны, для этого могут потребоваться значительные исследования;

- для применения метода необходим высокий уровень квалификации.

- часто кривым реакции на дозу и модели, используемой для их построения, соответствует высокий уровень неопределенности;

- в ситуации, когда целью является экология, а не человек, и опасность не является химической, возможно не очень хорошее понимание задействованных систем.

В.7.1.6 Справочные документы

[63] WORLD HEALTH ORGANISATION, Human health risk assessment toolkit - chemical hazards

[64] US EPA, Guidelines for ecological risk assessment

В.7.2 Стоимость под риском (VaR)

В.7.2.1 Краткое описание

Метод VaR широко используют в финансовом секторе для определения суммы возможных потерь в портфолио финансовых активов за определенный период времени с заданным уровнем доверия. Потери, превышающие VaR, возможны только с заданной малой вероятностью.

Распределение прибылей и убытков обычно выполняют одним из трех способов:

- применение моделирования методом Монте-Карло (см. В.5.10) для определения изменчивости параметров портфолио и построения распределения. Такой подход особенно полезен, поскольку позволяет получить информацию о рисках на хвостах распределения и проверить корреляционные предположения;

- имитационные модели позволяют сделать прогнозы на основе ранее наблюдаемых событий, результатов и распределений. Это простой подход, но он может быть очень обманчивым, если развитие событий в будущем не соответствует прошлому опыту, что является важным ограничением в периоды рыночных потрясений;

- аналитические методы основаны на предположении о том, что рыночные факторы имеют многомерное нормальное распределение. Таким образом, прибыль и убыток, которые также подчиняются нормальному распределению, можно определить.

Многие финансовые организации используют комбинацию таких подходов.

В некоторых секторах экономики существует требование расчета VaR на основе показателей рыночного состояния и условий высокой волатильности для обеспечения набора результатов в "наихудшей ситуации".

Общие показатели VaR связаны с потерями за одну и две недели с уровнем вероятности потерь 1% и 5%. По соглашению VaR записывают как положительное число, несмотря на то, что это потери.

Например, на рисунке В.9 показано распределение стоимости для портфолио финансовых активов за рассматриваемый период с распределением, показанным в кумулятивной форме. На рисунке В.10 показана область, в которой портфолио терпит убыток со значениями VaR 1,6 млн с уровнем вероятности 1% (вероятность потерь 0,01) и 0,28 млн с уровнем вероятности 5% (вероятность потерь 0,05).

Рисунок В.9 - Распределение стоимости портфолио

Рисунок В.10 - Детализация области потерь значения VaR

В.7.2.2 Использование

VaR имеет три параметра: сумма возможных потерь, вероятность реализации этой суммы потерь и период времени, в течение которого могут произойти потери. VaR используют для следующих целей:

- установления границ для управляющего портфолио на максимальные потери портфолио в пределах согласованного допустимого риска и аппетита риска;

- мониторинга "рискованности" активов портфолио в определенный момент времени и тенденций рискованности;

- определение объема финансового капитала, требований разумности и обязательных требований для выделения установленного портфолио;

- отчетности перед регулирующими органами.

В.7.2.3 Входы

Исходными данными являются показатели рынка, влияющие на стоимость портфолио, такие как обменные курсы, учетные ставки и цены на акции. Как правило, путем декомпозиции идентифицируют документы, выделяя документы, непосредственно связанные с основными показателями рынка, затем интерпретируют эти документы как более мелкие портфолио. Спонсоры и регулирующие органы могут требовать установления конкретных методов оценки входных переменных.

В.7.2.4 Выходы

По отношению к определенному периоду времени с помощью VaR рассчитывают возможные потери финансовых активов портфолио с заданной вероятностью. Вероятность заданной суммы потерь может быть определена с помощью анализа.

В.7.2.5 Преимущества и недостатки

Преимущества метода включают следующее:

- метод прост и принят (часто используется) финансовыми регулирующими органами;

- метод может быть использован для расчета требований к финансовому капиталу (ежедневного или при необходимости);

- метод обеспечивает способ установления лимитов на торговый портфолио в соответствии с согласованным аппетитом риска, а также мониторинг выполнения этих лимитов и тем самым поддержку управления.

Недостатки метода включают следующее:

- VaR - это показатель, а не конкретная оценка возможных потерь. Максимально возможные потери для любой заданной ситуации не очевидны на основе одной цифры, соответствующей VaR с уровнем вероятности потерь 1% или 5%, полученной в результате анализа VaR;

- VaR имеет несколько нежелательных математических свойств; например, VAR является согласованной мерой риска, основанной на эллиптическом распределении, таком как стандартное нормальное распределение, но не других. Расчеты на хвосте распределения часто неустойчивы и могут зависеть от конкретных предположений о форме и корреляции распределения, которые трудно обосновать и которые не могут действовать во время рыночных потрясений;

- имитационные модели могут быть сложными и требовать существенного времени для их применения;

- организации могут потребоваться сложные ИТ-системы для сбора рыночной информации в форме, которую можно легко и своевременно использовать для расчетов VaR;

- необходимо принять значения набора параметров, которые затем фиксируют в модели. Если ситуация изменится и эти предположения нарушатся, метод даст некорректные результаты. Другими словами, это модель риска, которая не может быть использована в нестабильных условиях.

В.7.2.6 Справочные документы

[65] CHANCE, D., BROOKS, R. (2010). An introduction to derivatives and risk management

[66] THOMAS J. and PEARSON Neil D. Value at risk. Financial Analysts Journal 2000 56, 47-67

В.7.3 Условная сумма под риском (CVaR) или средний дефицит (ES)

В.7.3.1 Краткое описание

Условная сумма под риском (CVaR), называемая средним дефицитом (ES), является мерой средних потерь финансового портфолио в худших
% случаев. Это мера аналогичная VaR, но более чувствительная к форме нижнего хвоста (хвоста потерь) распределения стоимости портфолио. CVaR (
) - это средняя сумма потерь, которые происходят только в определенном проценте случаев. Например, на рисунке В.10, когда
равно 5, CVaR(5) - это среднее значение суммы потерь, представленных на кривой слева от вертикальной линии в 5%, т.е. среднее суммы всех потерь больше 0,28 млн.

В.7.3.2 Использование

Методы CVaR применяют для оценки кредитного риска, который позволяет кредиторам понять изменения в области экстремальных рисков в различных отраслях промышленности с момента начала финансового кризиса.

Рисунок В.11 лучше всего иллюстрирует различия CVaR и VaR портфолио в рискованной ситуации.

В.7.3.3 Входы и выходы

См. описание значения риска (VaR) в В.7.2.

В.7.3.4 Преимущества и недостатки

Преимущества метода включают следующее:

- CVaR более чувствителен к форме хвоста распределения, чем VaR;

- CVaR позволяет избежать некоторых математических ограничений VaR;

- CVaR является более консервативной мерой, чем VaR, поскольку фокусируется на результатах, которые генерируют наибольшие потери.

Рисунок В.11 - VaR и CVaR для возможных убытков портфолио

Недостатки метода включают следующее:

- CVaR - это показатель потенциальной потери, а не оценка максимально возможной потери;

- как и в случае с VaR, CVaR чувствителен к фундаментальным предположениям о волатильности стоимости активов;

- CVaR опирается на сложную математику и требует большого диапазона предположений.

В.7.3.5 Справочные документы

[67] CHOUDHRY, M. An introduction to Value at Risk

[68] Value at Risk. New York University, [viewed 2017-9-14]. Available at: http://people.stern.nyu.edu/adamodar/pdfiles/papers/VAR.pdf

В.8 Методы оценки значимости риска

В.8.1 Краткое описание

Методы, описанные в данном разделе, используют в процессе принятия решения о необходимости и способах обработки риска. Некоторые из них могут быть использованы для принятия решения о допустимости конкретного риска, другие - для определения относительной значимости риска или ранжирования риска в порядке приоритета.

В.8.2 Принципы разумной осуществимости ALARP и SFAIRP

В.8.2.1 Общие положения

ALARP и SFAIRP - аббревиатуры, отражающие принцип "разумной осуществимости". Они представляют собой критерии, в которых критерием приемлемости или допустимости риска является разумная осуществимость уменьшения риска. ALARP, как правило, требует, чтобы уровень риска снижался до практически осуществимого. SFAIRP обычно требует, чтобы безопасность была обеспечена в той мере, в какой это разумно осуществимо. Разумная осуществимость должна быть определена на законодательном уровне или на уровне прецедентного права.

Критерии SFAIRP и ALARP предназначены для достижения одного и того же результата, однако они различаются по одному смыслу. ALARP обеспечивает безопасность, делая риск настолько низким, насколько это практически возможно, в то время как SFAIRP не делает ссылок на уровень риска. SFAIRP обычно интерпретируют как критерий, по которому оценивают средства контроля, чтобы увидеть возможность обработки риска, затем, если она возможна, определяют ее осуществимость на практике. Как ALARP, так и SFAIRP делают скидку на обработку риска на том основании, что затраты не пропорциональны полученным преимуществам, хотя степень их доступности зависит от юрисдикции. Например, в некоторых юрисдикциях исследования затрат и выгод (см. В.9.2) могут быть использованы для доказательства того, что ALARP и SFAIRP были достигнуты.

Концепция ALARP, первоначально выраженная британским исполнительным органом по охране труда и технике безопасности, показана на рисунке В.12. В некоторых юрисдикциях количественные уровни риска установлены для границ недопустимой области ALARP и приемлемой области.

В.8.2.2 Использование

ALARP и SFAIRP используют в качестве критериев для принятия решения о необходимости обработки риска. Их обычно используют для оценки рисков, связанных с безопасностью, а также используют законодатели в некоторых юрисдикциях.

Модель ALARP может быть использована для классификации рисков по следующим трем категориям:

- категория недопустимого риска, когда риск не может быть оправдан, за исключением чрезвычайных ситуаций;

- категория приемлемого риска, когда риск настолько низок, что требования дальнейшего снижения риска не рассматривают (но оно может быть реализовано, если это практически осуществимо и разумно);

- категория, соответствующая области между этими двумя категориями (область ALARP), где должно быть выполнено дальнейшее снижение риска, если это разумно осуществимо.

Рисунок В.12 - Диаграмма ALARP

В.8.2.3 Входы

Входами является следующая информация:

- источник риска и связанный с ним риск;

- критерии для границ области ALARP;

- имеющиеся средства контроля и возможные другие средства контроля;

- возможные последствия;

- вероятность возникновения последствий;

- стоимость возможной обработки риска.

В.8.2.4 Выходы

Выходом является решение о необходимости обработки риска и способе обработки риска, который следует применять.

В.8.2.5 Преимущества и недостатки

Преимущества использования критерия ALARP/SFAIRP включают следующее:

- метод устанавливает общий уровень осторожности, основанный на прецедентном праве и законодательстве, который поддерживает принцип справедливости в том, что все люди имеют право на равный уровень защиты от опасных событий, это считается незыблемым и не зависит от предпочтений организации;

- метод поддерживает принцип полезности, то есть снижение риска не должно требовать больше усилий, чем реально возможно;

- метод допускает не директивное установление цели;

- метод поддерживает постоянное улучшение в направлении минимизации риска;

- метод обеспечивает прозрачную и объективную методологию обсуждения и определения приемлемого или допустимого риска посредством консультаций с заинтересованными сторонами.

Недостатки метода включают следующее:

- интерпретация ALARP или SFAIRP может быть сложной задачей, поскольку требует от организаций понимания законодательных условий разумной осуществимости и разработки решения в отношении этих условий;

- применение ALARP или SFAIRP к новым технологиям может быть проблематичным, поскольку риски и возможные методы их обработки могут быть неизвестны или недостаточно понятны;

- ALARP и SFAIRP устанавливают общий уровень осторожности, который может быть финансово не доступен для небольших организаций, что приводит либо к принятию риска, либо к прекращению деятельности.

В.8.2.6 Справочные документы

[69] HSE, 2010a, HID’S Approach To ‘As Low As Reasonably Practicable’ (ALARP) Decisions

[70] HSE, 2010b, Guidance on (ALARP) decisions in control of major accident hazards (COMAH)

[71] HSE, Principles and guidelines to assist HSE in its judgments that duty-holders have reduced risk as low as reasonably practicable

В.8.3 (F-N) диаграммы

В.8.3.1 Краткое описание

F-N диаграмма является частным случаем матрицы количественных последствий/вероятности (В.10.3). В данном приложении на оси X откладывают совокупное количество смертельных случаев, а на оси Y - частоту, с которой они происходят. Обе шкалы логарифмические для соответствия типовым данным. Критерии риска обычно изображают на графике в виде прямых линий; чем больше угловой коэффициент, тем выше неприятие большого количества смертельных случаев.

В.8.3.2 Использование

F-N диаграммы используют или в качестве записи результатов инцидентов, связанных со смертельными случаями, или для отображения результатов количественного анализа риска гибели людей в сравнении с заранее определенными критериями приемлемости.

На рисунке В.13 показаны два примера критериев, обозначенных А, А-1, В и В-1. Они выделяют недопустимую область (выше А или В) и приемлемую область (ниже А-1 и В-1), а также область между линиями, где риски являются приемлемыми, то есть риски настолько низки, насколько это осуществимо (ALARP) (В.8.2). Обе прямые критерия В имеют более высокое значение углового коэффициента (т.е. меньшую толерантность к смертельным случаям) и более консервативные границы в целом. Также показаны шесть точек на кривой С, представляющей результаты количественного анализа уровня риска по сравнению с критериями.

Рисунок В.13 - Выборочная диаграмма F-N

Наиболее распространенным применением метода является представление социального риска, связанного с предполагаемыми основными опасностями мест, на которых планируется землепользование, или аналогичных оценок безопасности.

Примечание - Социальный риск относится к социальным проблемам, связанным с возникновением нескольких смертельных случаев в одном событии.

В.8.3.3 Входы

Данные инцидентов или количественного анализа риска, который предсказывает вероятность смертельных случаев.

В.8.3.4 Выходы

Графическое представление данных по сравнению с заранее определенными критериями.

В.8.3.5 Преимущества и недостатки

Преимущества F-N диаграмм включают следующее:

- диаграммы обеспечивают легко понимаемый результат, на котором могут быть основаны решения.

- количественный анализ, необходимый для разработки F-N графика, обеспечивает хорошее понимание риска, его причин и последствий.

Недостатки диаграмм включают следующее:

- расчеты при построении графиков часто являются сложными и содержат много неопределенностей;

- полный анализ требует анализа всех возможных сценариев крупных инцидентов. Для этого необходимы время и высокий уровень квалификации;

- F-N диаграммы нелегко сопоставить друг с другом с целью ранжирования (например, принятия решения о том, какой вариант обеспечивает более высокий социальный риск).

В.8.3.6 Справочные документы

[72] Understanding and using F-N Diagrams, Annex in Guidelines for Developing Quantitative Safety Risk Criteria

[73] EVANS, A. Transport fatal accidents and FN-curves

В.8.4 Диаграмма Парето

В.8.4.1 Краткое описание

Диаграмма Парето (см. рисунок В.14) - это метод выбора ограниченного числа задач, которые будут производить значительное общее воздействие. Он использует принцип Парето (также известный как правило 80/20), который утверждает, что 80% проблем порождаются 20% причин или что, выполняя 20% работы, можно получить 80% пользы.

Построение диаграммы Парето, которая позволяет выбирать причины, подлежащие устранению, включает в себя следующие этапы:

- идентификация и составление перечня проблем;

- идентификация причин каждой проблемы;

- группировка проблем по причинам;

- сложение баллов в каждой группе;

Рисунок В.14 - Пример диаграммы Парето

- изображение столбчатого графика причин; в первую очередь изображают причины с более высокими баллами.

Принцип Парето применим к некоторому количеству проблем и не учитывает их значимости. Другими словами, проблемы с существенными последствиями могут быть не связаны с наиболее распространенными причинами проблем с менее значимыми последствиями. Это можно учесть, присваивая проблемам баллы в соответствии с последствиями в качестве весовых коэффициентов. Анализ Парето - это подход снизу вверх, он может дать количественные результаты. Несмотря на то, что для применения метода не требуется специальной подготовки или особой компетентности, некоторый опыт помогает избежать частых недостатков и ошибок.

Примечание - Цифры 80% и 20% являются иллюстративными - принцип Парето иллюстрирует отсутствие симметрии между проделанной работой и достигнутыми результатами. Например, 13% работы может принести 87% прибыли или 70% проблем могут быть решены путем устранения 30% причин.

В.8.4.2 Использование

Анализ Парето полезен на уровне эксплуатации, когда существует множество конкурирующих возможных вариантов действий. Анализ можно применять всякий раз, когда требуется какая-либо форма ранжирования. Например, метод может быть использован для принятия решения о том, какие причины являются наиболее важными или какая обработка риска наиболее полезна.

Типичное представление анализа Парето показано в виде гистограммы, в которой на горизонтальной оси указаны исследуемые категории (например, типы материалов, размеры, коды лома, центры процесса) вместо непрерывной шкалы (например, от 0 до 100). Эти категории часто являются "дефектами", источниками дефектов или входами процесса. На вертикальной оси указывают баллы или частоты (например, событий, инцидентов, деталей). Затем строят линейный график совокупного процента.

Категории, расположенные слева оттого места, где совокупный процент пересекает линия, соответствующая 80%, это исследуемые категории.

В.8.4.3 Входы

Данные для анализа, такие как данные, относящиеся к прошлым успехам и отказам и их причинам.

В.8.4.4 Выходы

Выходом является диаграмма Парето, которая помогает продемонстрировать, какие категории являются наиболее значимыми, то есть усилия можно сосредоточить на тех областях, где можно добиться наибольших улучшений. Диаграмма Парето может помочь визуально определить, какие из категорий составляют "немногое жизненно важное", а какие представляют собой "тривиальное множество". Хотя анализ носит количественный характер, результатом является категоризация проблем, причин и т.д., ранжированных по значимости.

Если первый анализ содержит много мелких или не частых проблем, их можно объединить вместе в "другую" категорию. Это показано последним на диаграмме Парето столбиком (даже если соответствующий столбик не самый маленький). Также может быть показана линия совокупного процентного вклада (скользящая сумма вкладов по каждой категории в виде доли от общей суммы).

В.8.4.5 Преимущества и недостатки

Преимуществами анализа Парето является следующее:

- анализ Парето ищет общие причины отдельных рисков в качестве основы для планирования обработки;

- метод обеспечивает графическое представление, четко указывающее, где можно получить наибольший выигрыш;

- время и усилия, необходимые для достижения результатов, скорее всего, умеренные или низкие.

Недостатки метода включают следующее:

- метод не учитывает затраты или относительные трудности работы с каждой основной причиной;

- должны быть доступны данные, применимые к анализируемой ситуации;

- для обеспечения валидности метода данные должны быть разделены на категории и соответствовать правилу 80/20;

- трудно построить относительные веса, когда данных недостаточно;

- как правило, рассматривают только исторические данные и не рассматривают возможные изменения.

В.8.4.6 Справочные документы

[74] Pareto Chart, Excel Easy

[75] Pareto Chart

В.8.5 Техническое обслуживание, ориентированное на безотказность (RCM)

В.8.5.1 Краткое описание

Техническое обслуживание, ориентированное на безотказность (RCM), - это метод, основанный на риске, его используют для определения соответствующих политики и задач технического обслуживания системы и ее компонентов таким образом, чтобы эффективно и результативно достичь требуемой безопасности, готовности и экономичности эксплуатации для всех видов оборудования. Метод включает в себя все этапы процесса выполнения оценки риска, включая идентификацию риска, анализ риска и сравнительную оценку риска.

Основными этапами программы RCM являются:

- инициирование и планирование;

- анализ функциональных отказов;

- выбор задачи технического обслуживания;

- выполнение;

- постоянное улучшение.

Функциональный анализ в рамках RCM чаще всего выполняют с помощью анализа видов, последствий и критичности отказов (FMECA, В.2.3), направленного на ситуации, в которых возможные отказы могут быть устранены, уменьшена частота их возникновения и/или последствия за счет проведения технического обслуживания. Последствия устанавливают путем определения последствий отказа, затем анализируют риске помощью оценки частоты каждого вида отказа без проведения технического обслуживания. Матрица риска (В.10.3) позволяет установить категории уровней риска.

Затем выбирают соответствующую политику работы с отказами для каждого вида отказа. Для выбора наиболее подходящих задач обычно применяют стандартную логику выбора задач.

Составляют план выполнения рекомендуемых задач технического обслуживания путем определения подробных задач, периодичности их выполнения, используемых процедур, необходимых запасных частей и других ресурсов, необходимых для выполнения задач технического обслуживания. Пример приведен в таблице В.6.

Весь процесс RCM подробно документируют для дальнейшего использования и анализа. Сбор данных об отказах и техническом обслуживании позволяет осуществлять мониторинг результатов и выполнить улучшения.

В.8.5.2 Использование

RCM используют для возможности применения результативного технического обслуживания. Вопросы RCM решают на этапе проектирования и разработки системы, а затем реализуют на этапе ее эксплуатации и технического обслуживания. Наибольшие преимущества RCM дает за счет нацеленности анализа на ситуации, где отказы приводят к серьезным последствиям для безопасности, окружающей среды, экономики или эксплуатации системы.

RCM инициируют после того, как анализ критичности высшего уровня идентифицирует систему и оборудование, для которых необходимо определить задачи технического обслуживания. Это может произойти на начальном этапе проектирования или позже, во время использования или при необходимости проверки или улучшения технического обслуживания.

В.8.5.3 Входы

Успешное применение RCM требует хорошего знания оборудования и его структуры, эксплуатационной среды и связанных систем, подсистем и элементов оборудования, возможных отказов и их последствий.

Для выполнения этого процесса необходима команда с необходимыми знаниями и опытом, управляемая обученным и опытным руководителем.

В.8.5.4 Выходы

Конечным результатом работы является заключение о необходимости выполнения задачи технического обслуживания или других действий, таких как оперативные изменения.

Выходы - это соответствующая политика работы с отказами для каждого вида отказа, устанавливающая условия мониторинга, поиск отказов, график восстановления, замену в установленный период (например, календарные сроки, часы работы или количество циклов) или обнаружение отказа. Другие возможные действия, которые могут быть следствием анализа, включают перепроектирование, изменения в процедурах эксплуатации или технического обслуживания или дополнительное обучение. Пример приведен в таблице В.6.

Необходимо подготовить план выполнения рекомендуемых задач технического обслуживания. Он детализирует задачи, периодичность их решения, используемые процедуры, запасные части и другие ресурсы, необходимые для выполнения задач технического обслуживания.

Таблица В.6 - Пример выбора задачи RCM

Функциональный отказ - отказы при обеспечении защиты компрессора и его выключения

Оборудо-

вание

Вид отказа

Пери-

одич-

ность отказов (час)

Обнару-

жение отказа

Причина

Тип задачи

Описание задачи

Перио-

дичность решения задачи в часах

Датчик давления - давление масла в компрессоре

Неточный выход

80000

Отказ очеви-

ден

Резуль-

таты калиб-

ровки

Ориен-

тация на время

Верификация калибровки

16000

Датчик вибрации - вибрация компрессора

Отказ обеспечения правильных показаний

40000

Отказ очеви-

ден

Отказ детектора/

датчика

Ориен-

тация на состояние

Верификация точности, если происходит изменение вибрации

Непре-

рывный контроль на панели

Реле уровня - низкий уровень масла в компрессоре

Отказ изменения состояния по запросу

80000

Скрытый отказ

Отказ детектора/

датчика

Обнару-

жение отказа

Функциона-

льная проверка реле уровня

8000

Сенсор и проводка - температура масла в компрессоре

Высокие показания

160000

Отказ очеви-

ден

Разомк-

нутая цепь

Ориен-

тация на время

Проверка плотности соединений

8000

Датчик уровня - резервуар с гликолем

Неправи-

льные показания

40000

Скрытый отказ

Резуль-

таты калиб-

ровки

Ориен-

тация на время

Калибровка передатчика до подтвер-

ждения уровня гликоля

8000

Датчик давления - всасывание компрессо-

ром/сброс

Неправи-

льные показания

80000

Отказ очеви-

ден

Резуль-

таты калиб-

ровки

Ориен-

тация на время

Верификация калибровки

16000

Сенсор и проводка - всасывание компрессо-

ром/сброс температуры

Высокие показания

160000

Отказ очеви-

ден

Разомк-

нутая цепь

Ориен-

тация на время

Проверка соблюдения соединений

8000

Датчик вибрации - вибрация кулера

Отказ обеспечения правильных показаний

40000

Отказ очеви-

ден

Отказ детектора/

датчика

Ориен-

тация на состояние

Верификация точности, если происходит изменение вибрации

Непре-

рывный контроль на панели

В.8.5.5 Преимущества и недостатки

Преимущества метода включают следующее:

- процесс позволяет использовать величину риска для принятия решений о техническом обслуживании;

- задачи основаны на их применимости (достигли ли они ожидаемого результата);

- задачи оценивают на предмет обеспечения их экономической эффективности и целесообразности улучшений;

- при надлежащем обосновании метод позволяет исключить ненужные действия технического обслуживания;

- процесс и решения документируют для последующего анализа.

Недостатки метода включают следующее:

- процесс, как правило, занимает много времени для обеспечения его результативности;

- процесс сильно зависит от подготовки и квалификации руководителя;

- команда должна обладать необходимой квалификацией и опытом в области технического обслуживания для принятия объективных решений;

- может возникнуть тенденция к принятию быстрых решений, что влияет на их обоснованность;

- рассматриваемые задачи ограничены знанием доступных методов, таких как методы мониторинга состояний.

В.8.5.6 Справочные документы

[76] IEC 60300-3-11, Dependability management - Part 3-11: Application guide - Reliability centred maintenance

В.8.6 Индексы риска

В.8.6.1 Общие положения

Индексы риска обеспечивают меру риска, которую выводят, используя скрининговый подход и порядковую шкалу. Факторы, которые, как полагают, влияют на риск, идентифицируют, оценивают в баллах и объединяют с помощью уравнения, которое описывает взаимосвязь между ними. В простейшей формулировке факторы, повышающие уровень риска, перемножают и делят на факторы, снижающие уровень риска. По возможности оценки в баллах и способ их объединения должны быть основаны на доказательствах и данных.

Важно, чтобы оценки в баллах для каждой части системы были непротиворечивы и поддерживали их правильные взаимоотношения.

Математические формулы не могут быть применены к порядковым шкалам. Поэтому одновременно должна быть разработана система оценки в баллах, модель должна быть валидирована путем применения ее к хорошо известной системе.

Разработка индекса - это итеративный подход; несколько различных систем для объединения их оценок в баллах должны быть опробованы для валидации метода.

В.8.6.2 Использование

Индексы риска - это качественный или полуколичественный подход к ранжированию и сопоставлению рисков. Индексы могут быть использованы для внутренних или внешних рисков с узкой или широкой областью применения. Индексы часто очень специфичны для конкретного вида риска, их используют для сопоставления различных ситуаций, связанных с риском. При использовании числовых величин метод существенно упрощается. В тех случаях, когда лежащая в основе модель или система не очень хорошо известна или не может быть представлена, лучше использовать качественный подход, не обеспечивающий какой-либо уровень точности (что невозможно при использовании порядковых шкал).

Пример 1 - Для оценки индивидуального риска заражения конкретным заболеванием использован индекс риска в виде комбинации оценок в баллах, соответствующих различным известным факторам риска, выявленным в эпидемиологических исследованиях, с учетом связи между фактором риска и заболеванием.

Пример 2 - Для оценки пожарной опасности кустарника сопоставляют пожарный риск в разные дни с учетом прогнозируемых условий, таких как влажность, сила ветра, наличие сушняка и его пожароопасности.

Пример 3 - Кредиторы рассчитывают кредитные риски для клиентов, используя индексы, представляющие компоненты их финансовой стабильности.

В.8.6.3 Входы

Входные данные получают из анализа системы. Это требует хорошего понимания всех источников риска, способов возникновения последствий.

Для разработки индексов риска можно использовать такие методы, как FTA (В.5.7), ETA (В.5.6) и MCA (В.9.5), а также полученные ранее данные.

Поскольку выбор используемой порядковой шкалы в некоторой степени произволен, достаточными данными являются данные, необходимые для валидации индекса.

В.8.6.4 Выходы

Выходом является серия чисел (составных индексов), которые относятся к конкретному риску и которые можно сопоставлять с индексами, разработанными для других рисков той же самой системы.

В.8.6.5 Преимущества и недостатки

Преимущества индексов риска включают следующее:

- метод обеспечивает простоту ранжирования различных рисков;

- метод позволяет объединять несколько факторов, влияющих на уровень риска, в одну балльную оценку.

Недостатки метода включают следующее:

- если процесс (модель) и его выходные данные недостаточно обоснованы, результаты могут оказаться бессмысленными;

- тот факт, что выход представляет собой числовое значение риска, может быть неверно истолкован и неправильно использован, например в последующем анализе затрат и преимуществ;

- во многих ситуациях использования индексов отсутствует фундаментальная модель для определения того, являются ли индивидуальные шкалы факторов риска линейными, логарифмическими или иными, и отсутствует модель определения способа объединения факторов. В этих ситуациях рейтинг по своей сути ненадежен и особенно важна валидация на соответствие реальным данным;

- часто трудно получить достаточные свидетельства для валидации шкал;

- использование числовых величин может подразумевать уровень точности, который не может быть обоснован.

В.8.6.6 Справочные документы

[77] MACKENZIE Cameron A. Summarizing risk using risk measures and risk indices

В.9 Методы выбора вариантов

В.9.1 Краткое описание

Методы, описанные в В.9, помогают лицам, принимающим решения, сделать выбор из нескольких вариантов, связанных с несколькими рисками, и найти компромисс. Эти методы обеспечивают логическую основу для обоснования того или иного решения. Поскольку методы основаны на различной философии, они могут быть полезны для изучения вариантов с использованием более одного метода.

Анализ дерева решений и анализ затрат/преимуществ основывают решения на ожидаемых финансовых потерях или преимуществах. Многокритериальный анализ позволяет взвешивать различные критерии и находить компромиссы. Кроме того, для изучения возможных последствий может быть использован анализ сценариев (см. В.2.5), если варианты различны. Метод особенно полезен там, где существует высокая неопределенность. Решение проблемы также может быть смоделировано с помощью диаграмм влияния (В.5.3).

В.9.2 Анализ затрат и преимуществ (CBA)

В.9.2.1 Краткое описание

Анализ затрат и преимуществ взвешивает общую ожидаемую стоимость вариантов в денежном выражении по отношению к общим ожидаемым преимуществам для выбора наиболее результативного или наиболее выгодного варианта. Метод может быть качественным или количественным или включать сочетание количественных и качественных элементов и может быть применен на любом уровне организации.

Заинтересованные стороны, которые могут столкнуться с затратами или преимуществами (материальными или нематериальными), идентифицируют вместе с прямыми и косвенными преимуществами также прямые и косвенные затраты.

Примечание - Прямые затраты - это затраты, непосредственно связанные с действием. Косвенные затраты - это дополнительные альтернативные затраты, такие как потеря полезности, отвлечение времени от управления или отвлечение капитала от других возможных инвестиций.

В количественном CBA всем материальным и нематериальным затратам и преимуществам присваивают денежную стоимость. Часто бывает так, что затраты возникают в течение короткого периода времени (например, года), а преимущества поступают в течение длительного периода. Затем необходимо дисконтировать затраты и преимущества для приведения их к "сегодняшнему дню", чтобы можно было провести обоснованное сопоставление выгоды между затратами и преимуществами. Приведенная стоимость всех затрат (PVC) и приведенная стоимость преимуществ (PVB) для всех заинтересованных сторон могут быть объединены для получения чистого приведенного эффекта (NPV): NPV=PVB-PVC.

Положительный NPV подразумевает, что действие является подходящим вариантом. Вариант с самым высоким NPV - не обязательно лучший вариант по стоимости. Самое высокое отношение NPV к настоящему значению затрат - полезный показатель наилучшего варианта. Отбор на основе СВА должен быть комбинированным со стратегическим выбором из удовлетворительных вариантов, которым по отдельности соответствуют самые низкие затраты на обработку и самые высокие преимущества или наилучшая ценность (наиболее выгодная отдача от инвестиций). Такой стратегический выбор может потребоваться как на политическом, так и на оперативном уровне.

Неопределенность в затратах и преимуществах может быть учтена путем расчета средневзвешенной вероятности чистого эффекта (ожидаемого чистого приведенного эффекта или ENPV). В этом расчете предполагается, что пользователь безразличен к небольшому выигрышу с высокой вероятностью и большому выигрышу с низкой вероятностью, если они оба имеют одинаковое среднее значение. Расчеты NPV также могут быть объединены с деревьями принятия решений (В.9.3) для моделирования неопределенности в будущих решениях и их результатах. В некоторых ситуациях можно отложить некоторые расчеты до тех пор, пока не появится более полная информация о затратах и преимуществах. Возможность сделать это имеет значение, которое можно оценить с помощью анализа реальных вариантов.

В качественном варианте CBA не предпринимаются попытки найти денежную оценку нематериальных потерь и выгод и вместо использования единой цифры, суммирующей затраты и преимущества, взаимосвязи и компромиссы между различными затратами и преимуществами рассматривают качественно.

Родственным методом является анализ экономической эффективности. Он предполагает, что желательны определенная выгода или результат, и есть несколько альтернативных способов их достижения. Анализ рассматривает только затраты и стремится выявить самый дешевый способ достижения преимуществ.

С нематериальными ценностями обычно работают, приписывая им денежный эквивалент, также можно применить весовой коэффициент к другим затратам, например к преимуществам безопасности - более высокий, чем к финансовым выгодам.

Вариант CBA - анализ риска затрат/преимуществ (CBRA) - сфокусирован на риск. Несмотря на то, что CBA использует точечные или бинарные распределения, в CBRA для значений риска также можно рассматривать полные распределения вероятностей для отрицательных и положительных последствий [78].

В.9.2.2 Использование

CBA используют на оперативном и стратегическом уровнях для выбора из нескольких вариантов. В большинстве ситуаций, в которых эти варианты включают неопределенность, необходимо учитывать при расчетах изменчивость ожидаемых приведенных значений затрат и преимуществ и возможность непредвиденных событий. Для этого можно использовать анализ чувствительности или анализ Монте-Карло (В.5.10).

CBA также может быть использован при принятии решений о рисках и их обработке, например:

- в качестве исходной информации для принятия решения о необходимости обработки риска;

- при принятии решения о наилучшем способе обработки риска;

- при сопоставлении долгосрочных и краткосрочных вариантов обработки.

В.9.2.3 Входы

Исходные данные включают информацию о затратах и преимуществах для соответствующих заинтересованных сторон, а также о неопределенностях, соответствующих этим затратам и преимуществам. Следует учитывать материальные и нематериальные затраты и преимущества. Затраты включают все ресурсы, которые могут быть израсходованы, включая прямые и косвенные затраты, связанные с этим накладные расходы и негативные воздействия. Преимущества включают в себя положительные последствия и затраты на предотвращение опасных событий (которые могут быть результатом обработки риска). Уже израсходованные затраты не являются частью анализа. Простой анализ электронных таблиц или качественное обсуждение не требуют значительных усилий, но их применение к более сложным проблемам требует значительного времени, необходимых данных и подходящей оценки денежной стоимости нематериальных активов.

В.9.2.4 Выходы

Результатом анализа затрат и преимуществ является информация относительно затрат и преимуществ различных вариантов или действий. Это может быть количественная информация в виде чистого приведенного эффекта (NPV), наилучшего отношения (NPV/PVC) или отношения приведенного значения преимуществ к приведенному значению затрат.

Качественный результат обычно представляет собой таблицу сопоставления затрат и преимуществ различных видов затрат и преимуществ с привлечением внимания к компромиссам.

В.9.2.5 Преимущества и недостатки

Преимущества CBA включают следующее:

- CBA позволяет сопоставлять затраты и преимущества, используя один показатель (обычно деньги);

- метод обеспечивает прозрачность информации, используемой для принятия обоснованных решений;

- метод способствует сбору подробной информации по всем возможным аспектам решения (это может быть важно как для устранения неосведомленности, так и для обмена знаниями).

Недостатки включают следующее:

- CBA требует хорошего понимания вероятных преимуществ, поэтому он не подходит для новой ситуации с высокой степенью неопределенности;

- количественный вариант CBA может давать резко отличающиеся цифры в зависимости от предположений и методов, используемых для присвоения экономической ценности неэкономическим и нематериальным преимуществам;

- в некоторых приложениях трудно определить обоснованную ставку дисконтирования для будущих затрат и преимуществ;

- преимущества, которые получает большая группа населения, трудно оценить, особенно преимущества, относящиеся к общественному благу. Однако в сочетании с принципом "готовность платить или принимать" можно учесть такие внешние или социальные преимущества;

- в зависимости от выбранной ставки дисконтирования практика дисконтирования до приведенной стоимости означает, что преимущества, которые будут получены в далеком будущем, могут оказать незначительное воздействие на решение, препятствующее долгосрочным инвестициям;

- CBA не очень хорошо работает с неопределенностью во времени, при возникновении затрат и преимуществ или с гибкостью в принятии решений в будущем.

В.9.2.6 Справочные документы

[79] The Green book, Appraisal and Evaluation in Central Government

[80] ANDOSEH, S., et al. The case for a real options approach to ex-ante cost-benefit analyses of agricultural research projects

В.9.3 Анализ дерева решений

В.9.3.1 Краткое описание

Дерево решений моделирует возможные пути, которые следуют из первоначального решения (например, к выполнению какого проекта следует приступить, проекта А или проекта В). Пока выполняются два гипотетических проекта, может произойти целый ряд событий и потребуется принять различные предсказуемые решения. Решения представлены в виде дерева, аналогичного дереву событий. Вероятность событий может быть оценена вместе с ожидаемой ценностью или полезностью конечного результата каждого пути.

Информация, касающаяся наилучшего пути принятия решений, логически дает наилучшее ожидаемое значение, вычисленное как произведение всех условных вероятностей вдоль пути и ценности результата.

В.9.3.2 Использование

Дерево решений может быть использовано для структурирования и решения последовательных задач принятия решений, особенно удобно его применение, когда сложность проблемы растет. Метод позволяет организации количественно оценить возможные результаты принимаемых решений и, следовательно, помогает принять решение о выборе наилучших действий, когда результаты неопределенны. Графическое представление также может помочь обмену информацией об обосновании принятых решений.

Метод применяют для оценки предлагаемого решения, часто используя субъективные оценки вероятности, он помогает принимать решения и преодолевать врожденные предубеждения в отношении успеха или отказа. Метод может быть использован для решения краткосрочных, среднесрочных и долгосрочных вопросов на оперативном или стратегическом уровнях.

В.9.3.3 Входы

Для разработки дерева решений требуется план проекта с точками принятия решений, информация о возможных результатах решений и о вероятности событий, которые могут повлиять на принимаемые решения. Необходима экспертиза для правильного установления дерева, особенно в сложных ситуациях.

В зависимости от структуры дерева необходимы количественные данные или достаточная информация, чтобы обосновать экспертное мнение о вероятностях.

В.9.3.4 Выходы

Выходы метода включают:

- графическое представление задачи решения;

- расчет ожидаемого значения для каждого возможного пути;

- ранжированный перечень возможных результатов, основанный на ожидаемой ценности или рекомендованном пути.

В.9.3.5 Преимущества и недостатки

Преимущества анализа дерева решений включают следующее:

- метод обеспечивает четкое графическое представление деталей решения проблемы;

- разработка дерева может привести к улучшению понимания проблемы;

- метод способствует ясному мышлению и планированию;

- метод позволяет рассчитать наилучший путь выхода из ситуации и получения ожидаемого результата.

Недостатки метода включают следующее:

- большие деревья решений могут стать слишком сложными для обмена информацией;

- часто возникает тенденция к чрезмерному упрощению ситуации для представления ее в виде древовидной диаграммы;

- метод опирается на полученные ранее данные, которые могут не относиться к моделируемому решению;

- метод упрощает решение задачи, дискретизируя ее, что исключает экстремальные значения.

В.9.3.6 Справочный документ

[81] KIRKWOOD Craig, Decision Tree Primer

В.9.4 Теория игр

В.9.4.1 Краткое описание

В.9.4.1.1 Общие положения

Теория игр - это средство моделирования последствий различных возможных решений при заданном количестве возможных будущих ситуаций. Будущие ситуации могут быть определены по-разному: лицом, принимающим решение (например, конкурентом), или внешним событием, таким как успех или неудача технологии или теста. Предположим, что задача состоит в определении цены продукции с учетом различных решений, различными заинтересованными лицами (так называемыми игроками) в разное время. Выплата каждому игроку, участвующему в игре, связана с рассматриваемым периодом времени, и может быть рассчитана и выбрана стратегия оптимальной выплаты каждому игроку. Теория игр также может быть использована для определения ценности информации о другом игроке или различных возможных результатах (например, успехе технологии).

Существуют различные типы игр, например кооперативные/некооперативные, симметричные/несимметричные, с нулевой/ненулевой суммой, параллельные/последовательные, с идеальной/неидеальной информацией и комбинаторные со стохастическими результатами.

В.9.4.1.2 Кооперативные и некооперативные игры

Важным фактором является наличие у игроков возможности общения. Игра является кооперативной, если игроки способны сформировать обязательные утверждения. В некооперативных играх это невозможно. Гибридные игры содержат кооперативные и некооперативные элементы. Например, в кооперативной игре игроки могут формировать коалиции, однако коалиции играют в некооперативном режиме.

Классическим примером игр без общения игроков является так называемая "дилемма заключенного". Она показывает, что в некоторых случаях действие каждого игрока по улучшению своего результата без учета интересов других участников может привести к наихудшей ситуации для каждого из них. Этот тип игры использован для анализа конфликта и сотрудничества между двумя игроками, когда отсутствие обмена информацией между игроками может вызвать нестабильную ситуацию, которая может привести к наихудшему результату для обоих игроков. В игре "дилемма заключенного" предполагается, что два человека совершили преступление вместе. Их держат отдельно, они не могут общаться. Полиция предлагает сделку. Если каждый заключенный признает свою вину и даст показания против другого, он получит низкий срок, но другой заключенный получит больший срок. Заключенный получает максимальное наказание, если он не даст показаний, а другой игрок дает показания. Поэтому для улучшения своего положения для обоих есть соблазн признаться и дать показания, но в этом случае они оба получат максимальное наказание.

Их лучшей стратегией было бы отказаться от сделки и ничего не признавать. В этом случае оба получат минимальное наказание.

В.9.4.1.3 Игры с нулевой/ненулевой суммой и симметричные/несимметричные игры

В игре с нулевой суммой один игрок получает выигрыш, а другой проигрывает. В игре с ненулевой суммой сумма результатов может меняться в зависимости от принятых решений. Например, снижение цены может сделать расходы одного игрока больше, чем у другого, но может увеличить объем рынка для обоих.

В.9.4.1.4 Параллельные/последовательные игры

В некоторых играх расчет выполняют только для одного взаимодействия игроков. Но в последовательных играх игроки взаимодействуют много раз и могут изменять свою стратегию.

Например, имитационные игры были созданы для исследования воздействия мошенничества на рынок. Существует две возможности для каждого игрока. Поставщик может выполнить или не выполнить поставку, а покупатель может ее оплатить или не оплатить. Из четырех возможных вариантов в нормальном результате преимущества получают оба игрока (поставщик поставляет, а покупатель оплачивает покупку). Результат, когда поставщик не выполняет поставку, а покупатель ее не оплачивает, - это упущенные возможности. Последние две возможности являются убытком для поставщика (заказчик не платит) или для заказчика (поставщик не выполняет поставку). Моделирование разыгрывает различные стратегии, например: всегда играть честно, всегда мошенничать или мошенничать случайным образом. Определено, что оптимальной стратегией является честная игра в первом взаимодействии, а затем надо делать то, что партнер делал в прошлый раз (играть честно или жульничать).

Примечание - В реальной жизни, скорее всего, поставщик распознает покупателей, которые мошенничают, и перестанет с ними взаимодействовать.

В.9.4.2 Использование

Теория игр позволяет оценивать риск в тех случаях, когда результат ряда решений зависит от действий другого игрока (например, конкурента) или от ряда возможных событий (например, будет ли работать новая технология). Следующий пример иллюстрирует информацию, которая может быть получена в результате анализа игры.

В таблице В.7 показана ситуация, в которой организация может выбрать одну из трех различных технологий. Но прибыль зависит от действий конкурента (действия 1, 2 или 3). Неизвестно, какое действие выберет конкурент, но известны вероятности этих действий (см. таблицу В.7). Прибыль, выраженная в миллионах денежных единиц (MU), приведена в таблице.

Таблица В.7 - Пример матрицы игры

Характеристика

Конкурент

Средняя

Гарантированная

Максимальное

Действие 1

Действие 2

Действие 3

прибыль

прибыль

сожаление

Вероятность

0,4

0,5

0,1

Технология 1

0,10

0,50

0,90

0,38

0,10

0,50

Технология 2

0,50

0,50

0,50

0,50

0,50

0,40

Технология 3

0,60

0,60

0,30

0,57

0,30

0,60

Для поддержки принимаемого решения из таблицы можно получить следующую информацию.

Очевидно, что технология 3 является лучшей, со средней прибылью в 0,57 миллиона MU. Но необходимо рассмотреть чувствительность к действиям конкурента. В колонке "гарантированная прибыль" указана прибыль вне зависимости от действий конкурента. Здесь технология 2 является лучшей, с гарантированной прибылью в размере 0,50 млн MU. Следует решить, стоит ли выбирать технологию 3, чтобы получить дополнительно лишь 0,07 млн MU, рискуя потерять 0,20 млн MU.

Далее можно вычислить "максимальное сожаление", которое представляет собой разность между прибылью от выбранной технологии и возможной прибылью, если бы действия конкурента были известны. Эта величина показывает денежную выгоду от повышения осведомленности о решении конкурента. Эта информация может быть получена путем переговоров или другими законными способами. В данном примере значение увеличения объема информации является наибольшим для технологии 3.

В.9.4.3 Входы

Для применения метода необходимо определить, по меньшей мере, следующие элементы:

- игроков или альтернативы игры;

- информацию и действия, доступные каждому игроку в каждой точке принятия решений

В.9.4.4 Выходы

Выходом является выигрыш в каждом варианте игры, часто называемый полезностью игры для отдельного игрока. Часто при моделировании ситуации выигрыш представляют в денежных единицах, но возможны другие результаты (например, доля рынка или задержка проекта).

В.9.4.5 Преимущества и недостатки

Преимущества теории игр включают следующее:

- метод разрабатывает структуру анализа принятия решений там, где возможно несколько решений, но где результат зависит от решения другого игрока или результата будущего события;

- метод разрабатывает структуру анализа принятия решений в ситуациях, когда учитывается взаимозависимость решений, принимаемых различными организациями;

- метод обеспечивает понимание нескольких менее известных понятий, которые возникают в ситуациях конфликта; например, он описывает и объясняет феномены торга и формирования коалиций;

- в играх с нулевой суммой и двумя организациями теория игр очерчивает научный количественный метод, который может быть использован игроками для достижения оптимальной стратегии.

Недостатки метода включают следующее:

- предполагается, что игроки знают о своих выигрышах и действиях, а выигрыш других игроков не имеет значения;

- методы теории игр, включающие смешанные стратегии (особенно в случае большой матрицы выплат), очень сложны;

- не все конкурентные проблемы могут быть проанализированы с помощью теории игр

В.9.4.6 Справочные документы

[82] MYERSON, ROGER B., Game Theory: Analysis of Conflict

[83] MARYNARD, SMITH JOHN, Evolution and Theory of Games

[84] ROSENHEAD, J. and MINGER, J. (Eds), Rational Analysis for a Problematic World Revisited

В.9.5 Многокритериальный анализ (MCA)

В.9.5.1 Краткое описание

MCA использует набор критериев прозрачности оценок и сопоставлений общего представления набора вариантов. Цель состоит в разработке порядка преференций для набора вариантов. Анализ включает разработку матрицы вариантов и критериев, которые ранжируют и суммируют для получения общего балла по каждому варианту. Эти методы также известны как многоаспектное или многоцелевое принятие решений. Есть много вариантов этого метода, много программных приложений для его поддержки.

Как правило, физическое лицо или группа хорошо осведомленных заинтересованных сторон выполняет следующий процесс:

- определение целей и атрибутов (критериев или функциональных характеристик), которые относятся к каждой цели;

- структурирование атрибутов в иерархии необходимых и желательных требований;

- определение значимости каждого критерия и присвоение каждому из них весового коэффициента;

- достижение консенсуса заинтересованных сторон по взвешенной иерархии;

- оценка альтернатив по отношению к критериям (их можно представить в виде матрицы);

- объединение нескольких оценок по одному атрибуту в общую взвешенную оценку по нескольким атрибутам;

- оценка результатов для каждого варианта;

- оценка робастности ранжирования вариантов путем выполнения анализа чувствительности для изучения воздействия изменения весовых коэффициентов атрибутов.

Существуют различные методы, с помощью которых можно получить весовые коэффициенты для каждого критерия и различные способы агрегирования баллов критериев для каждого варианта в единый балл. Например, баллы могут быть агрегированы в виде взвешенной суммы или взвешенного произведения или с помощью аналитического иерархического процесса (метод выявления весовых коэффициентов и баллов на основе попарных сравнений). Все эти методы предполагают, что предпочтение отдается какому-либо одному критерию, не зависящему от значений других критериев. Если это предположение не выполняется, используют другие модели.

Поскольку баллы субъективны, анализ чувствительности полезен для изучения степени, с которой весовые коэффициенты и баллы влияют на общие преференции вариантов.

В.9.5.2 Использование

MCA может быть использован:

- для сопоставления вариантов первоначального анализа при определении предпочтительных и неприемлемых вариантов;

- сопоставления вариантов с несколькими, иногда противоречащими друг другу критериями;

- достижения консенсуса по решению в ситуации, где заинтересованные стороны имеют противоречивые цели или ценности.

В.9.5.3 Входы

Исходными данными является набор вариантов анализа и критериев, основанных на целях, которые могут быть использованы при оценке работы вариантов.

В.9.5.4 Выходы

Результаты могут быть представлены в виде:

- ранжированного представления вариантов от лучших до наименее предпочтительных;

- матрицы, где осями матрицы являются вес критериев и оценка в баллах критериев для каждого варианта;

Представление результатов в виде матрицы позволяет исключить варианты, которые не соответствуют критерию с высоким весом или не соответствуют необходимому критерию.

В.9.5.5 Преимущества и недостатки

Преимущества MCA включают следующее:

- метод обеспечивает простую структуру для результативного принятия решений и представления предположений и выводов;

- метод позволяет сделать более управляемыми сложные проблемы принятия решений, которые не поддаются анализу затрат/преимуществ;

- метод обеспечивает помощь в разумном рассмотрении проблем в ситуациях, где необходимо найти компромисс;

- метод помогает достичь согласия, когда заинтересованные стороны имеют разные цели и, следовательно, разные ценности и критерии.

Недостатками метода является следующее:

- MCA может быть подвержен влиянию предвзятости и плохого выбора критериев принятия решений;

- алгоритмы агрегации при вычислении весовых коэффициентов критериев на основе установленных предпочтений или различных мнений может исказить истинную основу решений;

- система назначения баллов может чрезмерно упростить решение проблемы

В.9.5.6 Справочные документы

[85] EN 16271:2012, Value management - Functional expression of the need and functional performance specification - Requirements for expressing and validating the need to be satisfied within the process of purchasing or obtaining a product

Примечание - EN 16271:2012 устанавливает подходы к устранению противоречий в потребностях заинтересованных сторон, методы, которые могут быть использованы при выведении требований к параметрам функционирования, и руководство по определению глубины многокритериального анализа до сопоставления вариантов.

[86] DEPARTMENT FOR COMMUNITIES AND LOCAL GOVERNMENT, Multi-criteria analysis: a manual 2009

[87] RABIHAH MHD.SUM (2001), Risk Management Decision Making

[88] VELASQUEZ, M., HESTER, P. An Analysis of Multi-criteria Decision Making Methods

В.10 Методы ведения записей и составления отчетов

В.10.1 Общие положения

В данном разделе приведены методы, используемые для ведения записей и составления отчетов об общей информации о рисках. Подробные требования к отчетам приведены в разделе 6.6.

Общий подход к составлению отчета и ведению записей об информации о рисках состоит в ведении записей основной информации по каждому риску в реестре рисков в виде электронной таблицы или базы данных (см. В.10.2). Некоторые риски могут требовать более сложного описания, чем это может быть сделано в традиционном реестре рисков. Например, описание может включать в себя несколько источников риска, приводящих к одному событию, множество возможных последствий одного события или источника, последствия возможных отказов средств контроля. Диаграмма галстук-бабочка является примером метода, используемого для организации обмена информацией такого рода (см. В.4.2.).

Информация о величине риска также может быть представлена в отчете несколькими различными способами. Наиболее распространенный метод использует матрицу последствий/вероятностей (см. В.10.3). Кроме того, вероятность, последствия и уровень риска, указанные в матрице, дополнительная информация, такая как особенности средств контроля, уровень проведения обработки и т.д., могут быть выделены с помощью размера знаков, обозначающих риск, или их цвета.

Матрица последствий/вероятности требует, чтобы риск был представлен одной парой последствие/вероятность. Риски, для которых это невозможно сделать, иногда могут быть представлены с помощью функции распределения вероятностей или плотности распределения (см. В.10.4).

В.10.2 Реестр рисков

В.10.2.1 Краткое описание

Реестр риска объединяет сведения о рисках, для информирования о способах воздействия на риск ответственных за менеджмент риска. Реестр может быть разработан на бумаге или в формате базы данных и, как правило, включает в себя:

- краткое описание риска (наименования, последствия, последовательность событий, ведущих к последствиям, и т.д.);

- заявление о вероятности возникновения последствий;

- источники или причины риска;

- что в настоящее время делается для контроля риска.

Для облегчения отчетности риски могут быть классифицированы по различным категориям (В.2.2).

Риски обычно перечисляются индивидуально, как отдельные события, но должны быть также отмечены взаимозависимости.

При записях информации о рисках должны быть подробно указаны различия между рисками (возможные последствия того, что может произойти), источники риска (как и почему это может произойти), а также средства контроля, которые могут отказать. Полезно также указание ранних предупреждающих признаков того, что событие может произойти.

Многие реестры рисков также включают некоторую оценку значимости риска, указание на то, является ли риск приемлемым или допустимым, или требуется дальнейшая обработка и обоснование такого решения. Если к риску применен рейтинг значимости, основанный на последствиях и их вероятности, необходимо учитывать возможность отказа средств контроля. Уровень риска для отказа средств контроля не должен быть назначен как независимый риск.

Записи о рисках с положительными последствиями могут быть сделаны в том же документе, что и о рисках с отрицательными последствиями, или в другом. Благоприятные возможности (которые чаще всего являются обстоятельствами или идеями, которые могут быть использованы), как правило, регистрируют отдельно и анализируют с учетом затрат, преимуществ и всех возможных негативных последствий. Иногда реестр риска называют реестром ценностей и возможностей.

В.10.2.2 Использование

Реестр рисков используют для записей и отслеживания информации об отдельных рисках и способах их контроля. Реестр риска может быть использован для обмена информацией о рисках заинтересованных сторон и выделенных особо важных рисках. Реестр риска можно использовать на корпоративном, ведомственном, оперативном уровне и уровне проекта, где существует большое количество рисков, средств контроля и методов обработки, которые должны быть прослеживаемыми. Информация из реестра рисков может быть консолидирована для представления информации высшему руководству.

Реестр риска может быть использован в качестве основы для отслеживания выполнения предложенных методов обработки, поэтому он может содержать информацию о методах обработки и о том, как они будут реализованы, или содержать ссылки на другие документы или базы данных с этой информацией. (Такая информация может включать в себя риск владельца, действия владельца, резюме бизнес-кейсов, бюджеты, графики и т.д.). В некоторых ситуациях может быть предписана форма реестра риска.

В.10.2.3 Входы

Входными данными реестра риска обычно являются результаты применения таких методов оценки рисков, как описанные в В.1-В.4, дополненные записями об отказах.

В.10.2.4 Выходы

Выходными данными являются записи и отчеты о рисках.

В.10.2.5 Преимущества и недостатки

Преимущества реестра риска включают следующее:

- информацию о рисках сводят воедино в форме, в которой могут быть определены и прослежены необходимые действия;

- информацию о различных рисках представляют в сопоставимом формате, который может быть использован для указания приоритетов, а его запрос может быть легко выполнен;

- создание реестра риска обычно вовлекает много людей и формирует общее понимание необходимости менеджмента риска.

Недостатки метода включают следующее:

- риски, отражаемые в реестрах рисков, как правило, основаны на событиях, которые могут затруднить точное описание некоторых форм риска (см. 4.2);

- очевидная простота может вызвать несоответствующее доверие к информации, потому что трудно последовательно описывать риски и источники риска, риски и слабые стороны средств контроля.

- существует много различных способов описания риска, и любой выделенный приоритет зависит от способа описания риска и уровня декомпозиции проблемы;

- требуются значительные усилия для поддержания реестра риска в актуальном состоянии (например, все предложенные методы обработки и средства текущего контроля должны быть перечислены, как только они будут внедрены, следует постоянно добавлять новые риски и удалять несуществующие);

- риски обычно описывают в реестрах рисков индивидуально. Это может затруднить консолидацию информации для разработки общей программы обработки риска.

В.10.2.6 Справочные документы

Справочных документов по этой методике нет.

В.10.3 Матрица последствий/вероятностей (матрица риска)

В.10.3.1 Краткое описание

Матрица последствий/вероятностей (также называемая матрицей риска) - это способ отображения рисков в соответствии с их последствиями и вероятностью и объединения их характеристик для отображения рейтинга значимости риска.

В качестве осей матрицы заданы шкалы последствий и вероятностей. Шкалы могут иметь любое количество точек, наиболее распространены шкалы с тремя, четырьмя или пятью и более точками, шкалы могут быть качественными, полуколичественными или количественными. Если для определения точек шкал определены количественные описания, они должны быть согласованы с имеющимися данными и иметь единицы измерения. Как правило, для согласования сданными каждая точка шкалы должна быть на порядок больше предыдущей

Шкала последствий может отражать положительные или отрицательные последствия. Шкалы должны быть непосредственно связаны с целями организации и должны простираться от максимально правдоподобного последствия до минимального исследуемого последствия. Пример с неблагоприятными последствиями показан на рисунке В.15.

Рисунок В.15 - Пример таблицы с определением шкал последствий

Примечание - Приведенные примеры шкал не могут быть непосредственно применены для использования, шкалы всегда должны быть построены индивидуально.

Могут быть использованы дополнительные или меньшие категории последствий, а шкалы могут иметь количество точек меньше или больше пяти. В колонке ранга последствий могут быть слова, цифры или буквы.

Шкала вероятности должна охватывать область, соответствующую данным для оценки рисков. Пример шкалы вероятности показан на рисунке В.16.

Рисунок В.16 - Пример шкалы правдоподобия

Шкала рейтинга вероятности может иметь больше или меньше пяти точек, ранг может быть характеризован словами, цифрами или буквами.

Шкала вероятности должна быть адаптирована к конкретной ситуации, и может быть необходимо, чтобы она охватывала как положительные, так и отрицательные последствия. Если наивысшее последствие считается допустимым с некоторой низкой вероятностью, тогда самая низкая точка на шкале вероятности должна представлять приемлемую вероятность для самого высокого последствия (в противном случае все действия с наивысшими последствиями определяют как недопустимые). При принятии решения о допустимой вероятности для единственного последствия с высоким риском должен быть учтен тот факт, что несколько рисков могут привести к одному и тому же последствию.

Матрицу строят с последствиями по одной оси и вероятностью по другой в соответствии с определенным масштабом. Каждой ячейке может быть поставлен в соответствие ранг приоритетности. В приведенном примере это пять рангов приоритетности, обозначенных римскими цифрами. Как правило, клетки закрашивают в цвет, указывающий величину риска. Правила принятия решений (такие, как уровень внимания руководства или срочность реакции) могут быть связаны с ячейками матрицы. Это зависит от определений, используемых для шкал, и отношения организации к риску. Построение матрицы должно обеспечивать приоритетность риска на основе степени, в которой риск приводит к последствиям за пределами установленных организацией пороговых значений.

Матрица может быть настроена так, чтобы придать дополнительный вес последствиям (как показано на рисунке В.17) или вероятности, она может быть симметричной, в зависимости от применения.

Рисунок В.17 - Пример матрицы последствий/вероятности

В.10.3.2 Использование

Матрицу последствий/вероятностей используют для оценки и обмена информацией об относительной величине рисков на основе пары последствие/вероятность, которая обычно ассоциируется с центральным событием.

Чтобы оценить риск, пользователь сначала находит описание последствий, которое наилучшим образом соответствует ситуации, затем определяет вероятность, с которой, как предполагается, произойдет последствие. Точку помещают в прямоугольник, объединяющий эти значения, а уровень риска и связанное с ним правило принятия решений считывают из матрицы.

Риски с возможными высокими последствиями часто вызывают наибольшую озабоченность даже у лиц, принимающих решения, когда вероятность таких последствий очень мала, но риск с частыми и низкими воздействиями может иметь большие суммарные или долгосрочные последствия. Может возникнуть необходимость анализа обоих видов риска, обработки могут быть совершенно различными.

Там, где возможен диапазон различных значений последствий одного события, вероятность всех конкретных последствий будет отличаться от вероятности события, вызывающего это последствие. Обычно используют вероятность заданного последствия. Способы интерпретации вероятности и ее использования должны быть согласованы со всеми сопоставляемыми рисками.

Матрица может быть использована для сопоставления рисков с различными типами возможных последствий и применима на всех уровнях организации. Ее обычно используют в качестве метода скрининга, когда определено много рисков, например, чтобы определить, какие риски необходимо отнести к более высокому уровню менеджмента. Матрица также может быть использована при определении приемлемости или неприемлемости риска в зависимости от зоны его расположения в матрице. Матрицу можно использовать в ситуации, когда недостаточно данных для детального анализа или ситуация не гарантирует время и усилия для более детального или количественного анализа. Форма матрицы последствия/вероятности может быть использована для анализа критичности в FMECA (В.2.3) или для установления приоритетов в соответствии с HAZOP (В.2.4) или SWIFT (В.2.6).

В.10.3.3 Входы

Необходимо разработать матрицу последствий/вероятностей в соответствии с обстоятельствами. Для этого требуются некоторые данные, доступные для установления реалистичных шкал. Проекты матриц должны быть проверены, чтобы гарантировать, что действия, предлагаемые матрицей, соответствуют отношению организации к риску, а пользователи правильно понимают применение шкал.

Для использования матрицы необходимы люди (в идеале - команда), понимающие исследуемые риски и способные сделать выводы о последствиях и их вероятности.

В.10.3.4 Выходы

Выход представляет собой отображение, иллюстрирующее относительную вероятность последствий, уровень риска и рейтинг значимости для каждого риска.

В.10.3.5 Преимущества и недостатки

Преимущества метода включают следующее:

- метод относительно прост в использовании;

- метод обеспечивает быстрое ранжирование рисков по уровням значимости;

- метод обеспечивает четкое визуальное отображение соответствующей значимости риска по последствиям, вероятности или уровню риска;

- метод может быть использован для сопоставления рисков с различными типами последствий.

Недостатки метода включают следующее:

- для разработки корректной матрицы требуется хорошая квалификация;

- бывает трудно определить общие шкалы, применимые к целому ряду обстоятельств, важных для организации;

- трудно однозначно определить шкалы, чтобы пользователи могли согласованно оценивать последствия и вероятность;

- достоверность рангов рисков зависит от того, насколько хорошо были разработаны и калиброваны шкалы;

- необходимо определить единое ориентировочное значение последствия, тогда как во многих ситуациях возможна область значений последствий и ранжирование риска зависит от выбранного значения;

- правильно калиброванная матрица включает очень низкие уровни вероятности для многих индивидуальных рисков, которые трудно понять и объяснить;

- использование метода очень субъективно, и разные люди часто присваивают очень разные ранги одному и тому же риску. Это создает условия для манипуляций;

- риски не могут быть непосредственно агрегированы (например, невозможно определить, является ли определенное количество низких рисков или выявление низкого риска, определенное количество раз, эквивалентным среднему риску);

- трудно совместить или сопоставить уровень риска с различными категориями последствий;

- достоверный ранг требует последовательной формулировки рисков (чего трудно достичь);

- каждый ранг зависит от способа описания риска и уровня его детализации (чем более детализирована идентификация, тем больше описано сценариев, каждый из которых имеет более низкую вероятность). Способ группировки сценариев при описании риска должен быть согласован и определен до ранжирования.

В.10.3.6 Справочные документы

[89] ELMONSTRI, Mustafa, Review of the strengths and weaknesses of risk matrices

[90] BAYBUTT, Paul, Calibration of risk matrices for process safety

В.10.4 S-кривые

В.10.4.1 Краткое описание

Если риск имеет диапазон значений последствий, они могут отображаться в виде плотности распределения последствий (PDF). См., например, сплошную кривую на рисунке 18. По данным можно также построить график интегральной функции распределения (CDF), иногда называемый S-кривой (пунктирная линия на рисунке В.18). PDF может быть параметрическим или непараметрическим.

Рисунок В.18 - Функция распределения и плотность распределения последствий

Вероятность того, что последствие превысит определенное значение, может быть непосредственно считана с S-кривой. Например, на рисунке В.18 показано, что с уровнем вероятности 90% последствия не превысят значения С.

В некоторых случаях форма распределения известна на основе теоретических знаний. В других случаях форма распределения может быть получена из данных или является результатом моделирования.

Также для определения нижней, средней и верхней точек диапазона последствий можно использовать экспертные оценки. Затем используют различные формулы для определения среднего значения дисперсии последствий и строят кривую по этой информации.

В.10.4.2 Использование

PDF указывает вероятность различных значений последствий в визуальной форме, которая показывает наиболее вероятное значение, степень изменчивости и вероятность экстремального события.

В некоторых случаях полезно получить одно репрезентативное значение плотности распределения, например, для сравнения с критериями оценки. Часто математическое ожидание (среднее) используют в качестве наилучшей оценки величины последствий. (Это эквивалентно сумме произведений вероятностей и последствий, представленных кривой.) Другие меры включают дисперсию распределения или область некоторых процентилей, например межквартильную область (область между 25-м и 75-м процентилями или 5-м и 95-м процентилями (см., например, VaR В.7.2)). Однако такие меры все еще могут не уделять достаточного внимания возможности экстремальных последствий, что может иметь важное значение для принятия решений. Например, при выборе инвестиции учитывают как ожидаемую доходность, так и колебания доходности; при планировании способа реагирования на пожар необходимо учитывать экстремальные события, а также ожидаемые последствия.

S-кривая полезна при обсуждении значений последствий, представляющих собой приемлемый риск. Это способ представления данных, который облегчает понимание вероятности того, что последствия превысят определенную величину.

В.10.4.3 Входы

Для построения S-кривой требуются данные или заключения, на основе которых можно построить достоверное распределение. Хотя распределение может быть построено на основе рассуждений и небольшого количества данных, обоснованность распределения и полученной статистики тем больше, чем больше данных доступно.

В.10.4.4 Выходы

Выходы представляют собой диаграмму, которая может быть использована для принятия решений при рассмотрении приемлемости риска, а также различных статистик распределения, которые можно сопоставлять с критерием.

В.10.4.5 Преимущества и недостатки

Преимущества метода включают следующее:

- метод представляет величину риска, когда существует распределение последствий;

- эксперты обычно могут высказывать мнения о максимальных, минимальных и наиболее вероятных значениях последствий и делать разумную оценку формы распределения. Непрофессионалу легче использовать эту информацию на основе функции распределения. По мере увеличения доступных данных точность S-кривой повышается.

Недостатки метода включают следующее:

- метод может создать впечатление точности распределения, которое не оправдано уровнем достоверности используемых данных;

- в основе любого метода получения точечного значения или значений для представления распределения последствий существуют предположения и неопределенности относительно:

- формы распределения (например, нормальное, дискретное или сильно несимметричное);

- наиболее подходящего способа представления этого распределения в виде точечного значения;

- значения точечной оценки из-за неопределенностей, присущих использованным исходным данным;

- распределения и их статистики, основанные на опыте или полученные ранее данных, по-прежнему дают мало информации о вероятности будущих событий с экстремальными последствиями, но низкой вероятностью.

В.10.4.6 Справочный документ

[91] GARVEY, P., BOOK S.A., COVERT R.P. Probability Methods for Cost Uncertainty Analysis: A Systems Engineering Perspective

Приложение ДА

(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА.1

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального стандарта

ISO Guide 73:2009

IDT

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 "Менеджмент риска. Термины и определения"

ISO 31000:2018

IDT

ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство"

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

- IDT - идентичные стандарты.

Библиография

[1]

Principe "GAME" (Globalement au moins equivalent) Methodologie de demonstration, Les guides d’application. Systemes de transport public guides urbains de personnes. 2011

[2]

FEKETE ISTVAN. Integrated Risk Assessment for supporting Management decisions Scholars Press, Saarbrucken, Germany 2015

[3]

PEACE, C. The reasonably practicable test and work health and safety-related risk assessments New Zealand Journal of Employment Relations. 2017, 42(2), 61-78.

Методы получения мнений заинтересованных сторон и экспертов

[4]

EN 12973, Value Management

[5]

PROCTOR, A. Creative problem solving for managers. Abingdon: Routledge

[6]

GOLDENBERG, Olga, WILEY, Jennifer. Quality, conformity, and conflict: Questioning the assumptions of Osborn’s brainstorming technique, The Journal of Problem Solving. 2011, 3(2),96-108 [viewed 2019-02-13] available at: http://docs.lib.purdue.edu/cgi/viewcontent.cgi?article=1093&context=jps

[7]

ROWE, G., WRIGHT, G. The Delphi technique: Past, present, and future prospects. Technological forecasting and social change. 2011, 78, Special Delphi Issue

[8]

MCDONALD, D. BAMMER, G. and DEANE, P. Research Integration Using Dialogue Methods, ANU press Canberra. 2009. Chapter 3: Dialogue methods for understanding a problem: integrating judgements. Section 7: Nominal Group Technique [viewed 2019-02-13]. Available at: http://press.anu.edu.au/node/393/download

[9]

HARRELL, M.C. BRADLEY, M.A. 2009, Data collection methods - A training Manual - Semi structured interviews and focus groups, RAND National defence research Institute USA [viewed 2019-02-13]. Available at: http://www.rand.org/content/dam/rand/pubs/technical_reports/2009/RAND_TR718.pdf

[10]

GILL, J., JOHNSON, P. Research methods for managers 4th ed. 2010 London: Sage Publications Ltd

[11]

SAUNDERS, M., LEWIS, P., THORNHILL, A. Research Methods for Business Students 7th ed. 2016 Harlow: Pearson Education Ltd.

[12]

UNIVERSITY OF KANSAS COMMUNITY TOOL BOX. Section 13: Conducting surveys [viewed 2019-02-13]. Available at: https://ctb.ku.edu/en/table-of-contents/assessment/

assessing-community-needs-and-resources/conduct-surveys/main

Методы идентификации риска

[13]

MATHERLY, Carter. The Red Teaming Essential: Social Psychology Premier for Adversarial Based Alternative Analysis. 2013 [viewed 2019-02-13]. Available at: https://works.bepress.eom/matherly/6/download/

[14]

Pestle analysis Free Management eBooks [viewed 2019-02-13]. Available at: http://www.free-management-ebooks.com/dldebk/dlst-pestle.htm

[15]

POPOV, G., LYON, B., HOLLCROFT, B. Risk Assessment: A Practical Guide to Assessing Operational Risks. Hoboken, NJ: Wiley, 2016

[16]

IEC 62740, Root cause analysis (RCA)

[17]

BROUGHTON, Vanda. Essential classification. Facet Publishing 2015

[18]

BAILEY, Kenneth. Typologies and taxonomies: An introduction to classification technique. Quantitative applications in the social sciences Series 7,102 1994 Sage publications

[19]

VDI 2225 Blatt 1, Konstruktionsmethodik - Technisch-wirtschaftliches Konstruieren - Vereinfachte Kostener-mittlung, 1997 Beuth Verlag

[20]

IEC 60812, Failure modes ana effects analysis (FMEA and FMECA)

[21]

IEC 61882, Hazard and operability studies (HAZOP studies) - Application guide

[22]

RINGLAND, Gill. Scenarios in business, Chichester: John Wiley, 2002

[23]

Van der HEIJDEN, Kees. Scenarios: The art of strategic conversation, Chichester; John Wiley, 2005

[24]

CHERMACK, Thomas J. Scenario planning in organizations, San Francisco: Berrett Koehler publishers Inc. 2011

[25]

MUKUL PAREEK. Using Scenario analysis for managing technology risk: [viewed 2019-02-13]. Available at: http://www.isaca.org/Journal/archives/2012/Volume-6/Pages/Using-

Scenario-Analysis-for-Managing-Technology-Risk.aspx

[26]

CARD, Alan J. WARD, James R. and CLARKSON, P. John. Beyond FMEA: The structured what-if technique (SWIFT) Journal of Healthcare Risk Management, 2012, 31(4), 23-29

Методы определения источников, причин и драйверов риска

[27]

KERVERN, G-Y. Elements fondamentaux des cindyniques, Editions Economica 1995

[28]

KERVERN, G-Y. Latest advances in cindynics, Editions Economica, 1994

[29]

KERVERN, G-Y. & BOULENGER, P. Cindyniques - Concepts et mode d’emploi, Edition Economica 2007

[30]

ISHIKAWA, K. Guide to Quality Control, Asia Productivity Organization, 1986

Методы анализа существующих средств контроля

[31]

LEWIS, S. SMITH, K. Lessons learned from real world application of the bow-tie method. 6th AlChE. Global Congress of Process Safety, 2010, San Antonio, Texas [viewed 2019-02-13]. Available at: http://risktecsolutions.co.uk/media/43525/bowtie%20lessons%20learned%20-

o/o20aiche.pdf

[32]

HALE, A.R., GOOSSENS L.H.J., ALE, B.J.M., BELLAMY L.A. POST J. Managing safety barriers and controls at the workplace. In Probabilistic safety assessment and management. Editors SPITZER C, SCHMOCKER, U, DANG VN, Berlin: Springer; 2004. pp.608-13

[33]

MCCONNELL, P. and DAVIES, M. Scenario Analysis under Basel II [viewed 2019-02-13]. Available at: http://www.continuitycentral.com/feature0338.htm

[34]

ISO 22000, Food safety management systems - Requirements for any organization in the food chain

[35]

Food Quality and Safety Systems - A Training Manual on Food Hygiene and the Hazard Analysis and Critical Control Point (HACCP) System [viewed 2019-02-13]. Available at: http://www.fao.org/docrep/W8088E/w8088e05.htm

[36]

IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems

[37]

IEC 61511 (all parts), Functional safety - Safety instrumented systems for the process industry sector

[38]

CENTRE FOR CHEMICAL PROCESS SAFETY OF THE AMERICAN INSTITUTE OF CHEMICAL ENGINEERS New York 2001. Layer of protection analysis - Simplified process risk assessment

Методы повышения последствий и вероятности

[39]

GHOSH, J., DELAMPADY, M. and SAMANTA, T. An introduction to Bayesian analysis, New York Springer-Verlag, 2006

[40]

QUIGLEY, J.L., BEDFORD, T.J. and WALLS, L.A. Prior Distribution Elicitation. In: Encyclopaedia of Statistics in Quality and Reliability. Wiley. 2008 ISBN 9780470018613

[41]

NEIL, Martin and FENTON, Norman. Risk Assessment and Decision Analysis with Bayesian Networks. CRC Press, 2012

[42]

JENSEN, F.V., NIELSEN T.D. Bayesian Networks and Decision Graphs, 2nd ed. Springer, New York, 2007

[43]

NICHOLSON, A., WOODBERRY O. and TWARDY C. The "Native Fish" Bayesian networks. Bayesian Intelligence Technical Report 2010/3, 2010

[44]

NETICA TUTORIAL Introduction to Bayes Nets: What is a Bayes Net? [viewed 2019-0213]. Available at: https://www.norsys.com/tutorials/netica/secA/tut_A1.htm

[45]

ISO/TS 22317, Societal security - Business continuity management systems - Guidelines for business impact analysis (BIA)

[46]

ISO 22301, Societal security - Business continuity management systems - Requirements

[47]

ANDREWS J.D, RIDLEY L.M. 2002. Application of the cause-consequence diagram method to static systems, Reliability engineering and system safety 75(1) 47-58: also at: https://dspace.lboro.ac.Uk/dspace-jspui/bit-stream/2134/695/1/01-22.pdf [viewed 201902-13]

[48]

NIELSEN D.S. The Cause/Consequence Diagram Method as a Basis for Quantitative Accident Analysis, Danish Atomic Energy Commission, RISO-M-1374, May 1971

[49]

IEC 62502, Analysis techniques for dependability - Event tree analysis (ETA)

[50]

IEC TR 63039:2016, Probabilistic risk analysis of technological systems - Estimation of final event rate at a given initial state

[51]

IEC 62508, Guidance on human aspects of dependability

[52]

BELL Julie, HOLROYD Justin. Review of human reliability assessment methods. Health and Safety Executive UK, HMSO 2009 [viewed 2019-02-13]. Available at: http://www.hse.gov.uk/research/rrpdf/rr679.pdf

[53]

OECD Establishing the Appropriate Attributes in Current Human Reliability Assessment Techniques for Nuclear Safety, NEA/CSNI/R 2015 [viewed 2019-02-13] Available at: http://www.oecd.rg/officialdocuments/publicdisplaydocumentpdf/?cote=NEA/CSNI/R(2 015)1&

docLanguage=En

[54]

IEC 61165, Application of Markov techniques

[55]

OXLEY, ALAN. Markov Processes in Management Science, published by Applied Probability Trust, 2011 [viewed 2019-02-13]. Available at: https://studylib.net/doc/8176892/markov-processes-in-manayement-science

[56]

ISO/IEC Guide 98-3:2008/Suppl.1:2008, Uncertainty of measurement - Part 3: Guide to the expression of uncertainty in measurement (GUM: 1995) - Supplement 1: Propagation of distributions using a Monte Carlo method

[57]

EU: General Data Protection Regulation (European Union Official Journal, 04.05.2016)

[58]

ICO (UK): Conducting privacy impact assessments code of practice [viewed 2019-0213] Available at: https://ico.org.uk/media/about-the-ico/consultations/2052/draft-conducting-

privacy-impact-assessments-code-of-practice.pdf

[59]

CNIL (FR), Privacy Impact assessment (PIA) [viewed 2019-02-13]. Available at: https://www.cnil.fr/en/privacy-impact-assessment-pia

Методы анализа зависимостей и взаимодействий

[60]

BRYSON, J.M, ACKERMANN, F., EDEN, C., & FINN, C. (2004). Visible thinking unlocking causal mapping for practical business results. Chichester: John Wiley & Sons

[61]

ACKERMANN, F., HOWICK, S., QUIGLEY, J., WALLS, L., HOUGHTON, T. Systemic risk elicitation: Using causal maps to engage stakeholders and build a comprehensive view of risks, European Journal of Operational Research 2014, 238(1), 290-299

[62]

JOINT RESEARCH CENTRE, EUROPEAN COMMISSION, Cross-impact analysis [viewed 2019-02-13] Available at: http://forlearn.jrc.ec.europa.eu/guide/2_design/meth_cross-impact-analysis.htm

Методы обеспечения меры риска

[63]

WORLD HEALTH ORGANISATION Human health risk assessment toolkit - chemical hazards. 2010 [viewed 2019-02-13]. Available at: http://www.inchem.org/documents/harmproj/harmproji/harmproj8.pdf

[64]

US EPA Guidelines for ecological risk assessment 1998 [viewed 2019-02-13]. Available at: https://www.epa.gov/sites/production/files/2014-11/documents/eco_risk_assessment1998.pdf

[65]

CHANCE, D., BROOKS, R. An introduction to derivatives and risk management, (9th ed). Published Mason, Ohio: South-Western Cengage Learning 2013

[66]

THOMAS J. and PEARSON Neil D. Value at risk Financial Analysts Journal 2000 56, 47-67

[67]

CHOUDHRY, M. An introduction to Value at Risk, Ed. 5, John Wiley and Sons, Chichester UK, 2013

[68]

Value at Risk New York University, [viewed 2019-02-13]. Available at: http://people.stern.nyu.edu/adamodar/pdfiles/papers/VAR.pdf

Методы оценки значимости риска

[69]

UK HEALTH AND SAFTY EXECUTIVE, 2010a: HID’S Approach To ‘As Low As Reasonably Practicable’ (ALARP) Decisions [viewed 2019-02-13] available at: http://www.hse.gov.uk/risk/theory/alarpglance.htm

[70]

UK HEALTH AND SAFTY EXECUTIVE, 2010b Guidance on (ALARP) decisions in control of major accident hazards (COMAH), [viewed 2019-02-13] available at: http://www.hse.gov.uk/foi/internalops/hid_circs/permissioning/spc_perm_37/

[71]

UK HEALTH AND SAFTY EXECUTIVE, 2014: Principles and guidelines to assist HSE in its judgments that duty-holders have reduced risk as low as reasonably practicable [viewed 2019-02-13] available at: http://www.hse.gov.uk/risk/theory/alarp1.htm

[72]

AMERICAN INSTITUTE FOR CHEMICAL ENGINEERS: Understanding and using F-N Diagrams: Annex A in Guidelines for Developing Quantitative Safety Risk Criteria. New York. John Wiley 2009

[73]

EVANS, A. Transport fatal accidents and FN-curves: 1967-2001. Health and Safety Executive Research Report RR 073 [viewed 2019-02-13]. Available at: http://webarchive.nationalarchives.gov.uk/20101111125221/

http://www.rail-reg.gov.uk/upload/pdf/rr073.pdf

[74]

Pareto Chart, Excel Easy [viewed 2019-02-13]. Available at: http://www.exce!-easy.com/examples/pareto-chart.html

[75]

Pareto Chart [viewed 2019-02-13]. Available at: http://www.uphs.upenn.edu/gme/pdfs/Pareto%20Chart.pdf

[76]

IEC 60300-3-11, Dependability management - Part 3-11: Application guide - Reliability centred maintenance

[77]

MACKENZIE Cameron A. Summarizing risk using risk measures and risk indices. Risk Analysis, 34, 12 2143-2163 2014

Методы выбора варианта

[78]

KHOJASTEH, P. (2016). Application of benefit-cost-risk formula and key change indicators to meet project objectives [viewed 2019-02-13]. Available at: https://www1.bournemouth.ac.uk/sites/default/files/asset/document/Mon%205.1%20Kh ojasteh%20Pejman%20Risk pdf

[79]

The Green book, Appraisal and Evaluation in Central Government; 2011 Treasury Guidance LONDON: TSO London

[80]

ANDOSEH, S. et al. The case for a real options approach to ex-ante cost-benefit analyses of agricultural research projects. Food policy 44, 2014, 218-226 [viewed 201902-13]. Available at: http://pdf.usaid.gov/pdf_docs/pnaec758.pdf

[81]

KIRKWOOD, CRAIG. Decision Tree Primer University of Arizona in Decision Analysis and System Dynamics resources 2002 [viewed 2019-02-13]. Available at: http://www.public.asu.edu/-kirkwood/DAStuff/decisiontrees/

[82]

MYERSON, ROGER B. Game Theory: Analysis of Conflict, Harvard University Press, 1991

[83]

MARYNARD, SMITH JOHN. Evolution and Theory of Games, Cambridge University Press 1982

[84]

ROSENHEAD, J. and MINGER, J. (Eds). Rational Analysis for a Problematic World Revisited, 2nd ed. Wiley, Chichester UK, 2001

[85]

EN 16271:2012, Value management - Functional expression of the need and functional performance specification - Requirements for expressing and validating the need to be satisfied within the process of purchasing or obtaining a product

[86]

DEPARTMENT FOR COMMUNITIES AND LOCAL GOVERNMENT, Multi-criteria analysis: a manual 2009 [viewed 2019-02-13]. Available at: https://www.gov.uk/government/publications/multi-criteria-analgsis-manual-for-making-

government-policy

[87]

RABIHAH MHD.SUM. Risk Management Decision Making, 2001 [viewed 2019-02-13]. Available at: http://www.isahp.org/uploads/47.pdf

[88]

VELASQUEZ, M., HESTER, P. An Analysis of Multi-criteria Decision Making Methods, International Journal of Operations Research, 10 (2), 55-66, 2013 [viewed 2019-02-13]. Available at: http://www.orstw.org.tw/ijor/vol10no2/ijor_vol I0_no2_p56_p66.pdf

Методы выполнения записей и отчетности

Techniques for recording and reporting

[89]

ELMONSTRI, Mustafa. Review of the strengths and weaknesses of risk matrices, Journal of Risk Analysis and Crisis Response, 4 (1), 49-57, 2014 [viewed 2019-02-13]. Available at: http://www.atlantis-press.com/php/download_paper.php?id=11718

[90]

BAYBUTT, Paul. Calibration of risk matrices for process safety. Journal of Loss Prevention in the Process Industries, 38, 163-168, 2015

[91]

GARVEY, P., BOOK S.A., COVERT R.P. Probability Methods for Cost Uncertainty Analysis: ASystems Engineering Perspective, Ed 2 Annex E Unravelling the S curve. CRC 2016

УДК 658:562.014:006.354

ОКС 03.100.01

Ключевые слова: угроза, вред, событие, риск последствия, оценка риска, обработка риска, принятие решения о риске, идентификация риска, анализ риска, методы анализа риска