IEC/ISO 31010:2009 Керування ризиком. Методи загального оцінювання ризику IEC/ISO 31010:2009 Керування ризиком. Методи загального оцінювання ризику (англ. Risk management — Risk assessment techniques, фр. Gestion des risques — Techniques d'évaluation des risques) — Стандарт розроблений технічним комітетом ISO/TC 262 та запроваджений Міжнародною електротехнічною комісією — IEC та Міжнародною Організацією зі Стандартизації — ISO.
Група стандартів з ризик-менеджменту
Стандарт належить до групи стандартів з ризик-менеджменту, в яку входять наступні три стандарти:
- ISO 31000:2009 Risk management – Principles and guidelines
- ISO/TR 31004:2013 Risk management – Guidance for the implementation of ISO 31000
- IEC 31010:2009 Risk management – Risk assessment techniques
На стадії розробки у технічному комітеті ISO/TC 262 знаходяться три стандарти:
- ISO/DIS 31000 Risk management – Guidelines
- IEC/CD 31010 Risk management – Risk assessment techniques
- ISO/AWI 31022 Guidelines for Implementation of Enterprise Legal Risk Management
Терміни, що відносяться до ризику; менеджменту ризику; процесі менеджменту ризику тощо визначено у стандарті ISO Guide 73:2009 Risk management — Vocabulary — Guidelines for use in standards.
Сфера застосування
Стандарт розвиває положення ISO 31000:2009, надаючи настанови щодо вибору та застосування методів загального оцінювання ризиків, які спрямовані на забезпечення діяльності з керування ризиками.
Стандарт не надає конкретні критерії ідентифікації потреби в аналізуванні ризику, не встановлює тип методу його аналізування, необхідний для конкретного випадку застосування.
Концепції загального оцінювання ризиків
Концепції загального оцінювання ризиків включають:
- Призначеність і вигоди загального оцінювання ризиків. Призначеність – забезпечувати отримання і аналізування доказової інформації для прийняття рішень щодо того, як обробляти конкретні ризики та вибирати варіант їх обробки.
- Загальне оцінювання ризику та структура керування ризиком, що відбувається в межах структури і процесу керування ризиком, який описано в ISO 31000. Структура керування ризиком забезпечується політикою, процедурами та організаційними заходами на всіх рівнях організації.
- Загальне оцінювання ризику та процес керування ризиком, яке має бути інтегрованим з іншими складовими керування ризиками, що включає основні елементи, встановлені в ISO 31000, а саме:
- обмінювання інформацією та консультування;
- установлення контексту (оточення);
- загальне оцінювання ризику (його ідентифікація, аналіз та оцінювання);
- оброблення ризику;
- моніторинг і критичне аналізування.
Вибирання методів загального оцінювання ризиків
У стандарті описано, як вибирати методи загального оцінювання ризиків, яке можна провадити зі зміненням ступенів глибини і докладності, використанням одного чи кількох методів – від найпростіших до найскладніших. Показано взаємозв’язок між основними методиками оцінювання та чинниками, пов’язаними із з конкретною ситуацією ризику, наведено приклади вибору відповідних методів оцінювання ризику в цій ситуації.
Методи оцінки ризиків
Стандарт охоплює деякі (не всі) методи оцінки ризику, які описано за наступною схемою: 1) загальний огляд; 2) застосування; 3) вхідні дані; 4) процес; 5) вихідні дані; 6) переваги та обмеженості.
У стандарті надано набір з 31 потенційно можливих методів оцінки ризиків, докладно поданий кожний з методів з наведенням рекомендацій щодо їх застосовності, а саме:
- Мозковий штурм (англ. Brainstorming) — допоміжний метод ризик-менеджменту, який забезпечує збирання великої кількості ідей та оцінок від компетентних осіб щодо ідентифікації потенційних видів відмов та пов'язаних з ними чинників, критерії прийняття рішень. Сформований перелік ідей та оцінок у подальшому ранжується групою експертів. Цей метод передбачає застосування спеціальних прийомів активізації учасників обговорення.
- Структуроване або напівструктуроване опитування (англ. Structured or semi-structured interviews) — допоміжний метод ризик-менеджменту, який забезпечує збирання інформації від компетентних осіб щодо ідентифікації потенційних ризиків за допомогою аркушів наведених запитань. Застосовується у випадку, коли зібрати експертів для «мозкової атаки» неможливо або недоречно. Є засобом щодо отримання вхідних даних для подальшого загального оцінювання ризиків.
- Метод Дельфі (англ. Delphi method), або метод експертних оцінок — допоміжний метод ризик-менеджменту, який забезпечує підготовку консенсусної оцінки групи експертів, які сприятимуть ідентифікуванню джерела ризику та впливу, кількісному оцінюванню ймовірностей й наслідків, оцінювання ризиків. Передбачає індивідуальну незалежну роботу експертів.
- Переліки контрольних запитань (англ. Checklist) — метод пошуку, що дозволяє ідентифікувати ризики, уможливлюючи складання переліку типивих невизначеностей для подальшого їх розгляду.
- Попереднє аналізування небезпечних чинників (РНА) (англ. Preliminary hazard analysis, PHA) — метод пошуку, призначений для ідентифікації небезпечних чинників та ситуацій/подій, що можуть завдати шкоду конкретним видам діяльності, технічному засобу чи системі.
- Дослідження небезпечних чинників і працездатності (HAZOP) (англ. Hazard and operability study, HAZOP) — метод функційного аналізування, який дає змогу ідентифікувати ризики, щоб визначити можливі відхилення від передбачуваної/очікуваної діяльності, виявити критичність відхилів.
- Аналізування небезпечних чинників і критичні точки контролю (НАССР) (англ. Hazard analysis and critical control points, HACCP) — метод функційного аналізування, який є систематичним, проактивним і прентивним для забезпечення якості продукції, надійності та безпечності процесів за допомогою вимірювання і моніторингу перебування визначених характеристик у встановлених межах.
- Загальне оцінювання екологічного ризику (англ. Toxicity assessment) — метод аналізування сценарію, який дозволяє ідентифікувати та аналізувати небезпечні чинники, можливі способи впливу цього чинника на цільовий об'єкт задля встановлення ймовірності виникнення конкретної шкоди.
- Структурований метод «Що якщо» (SWIFT) (англ. Structured What If Technique, SWIFT) — допоміжний метод ризик-менеджменту, що стимулює тематичні робочі групи експертів ідентифікувати ризики.
- Аналізування сценаріїв (англ. Scenario analysis) — метод, що належить до групи аналізування сценарію, який забезпечує визначення уявленням або екстраполяцією на основі ризиків, зокрема — фактичних, за припущенням, що кожний із сценаріїв можна реалізувати.
- Аналізування впливу на діяльність (англ. Business impact analysis, ВІА) — метод, який дає змогу аналізувати критичність і строки відновлення ключових бізнес-процесів, які постраждали внаслідок дестабілізації, пов'язаних з цими процесами ресурсів (персонал, устаткування, інформаційні технології), забезпечуючи досягнення цілей організації.
- Аналіз першопричин (англ. Root cause analysis) — метод аналізування сценарію, який забезпечує аналіз окремої втрати, що сталася з метою розуміння зумовлюваних чинників та того, як систему чи процес можна вдосконалити, щоб у подальшому уникнути аналогічних втрат.
- Аналізування видів і наслідків відмов (англ. Failure mode and effects analysis, FMEA) — метод функційного аналізування, який дає змогу ідентифікувати характер відмов і чинники їх виникнення, їхні впливи. Застосовуються до аналізування: 1) проекту (продукції); 2) системи, 3) виробничого чи складального процесу, 4) послуг, 5) програмних засобів. Може бути доповнений аналізування критичності із визначенням важливості кожного виду відмов за допомогою якісних, напівкількісних чи кількісних підходів.
- Аналізування дерева відмов (англ. Fault tree analysis) — метод аналізування сценарію, за яким спочатку зазначають небажану кінцеву подію, а потім визначають усі способи за якими вона може відбутися. Елементи відображають графічно у формі деревоподібної схеми для подальшого аналізу способів послаблення/усунення потенційних небезпек.
- Аналізування дерева подій (англ. Event tree analysis) — метод аналізування сценарію, який забезпечує переведення ймовірностей різних першоподій у можливі результати.
- Аналізування причин і наслідків (англ. Cause and consequence analysis) — метод аналізування сценарію, що поєднує аналізування дерева відмов і дерева подій, яке дає змогу враховувати затримки у часі.
- Аналізування причино-наслідкових зв'язків (англ. Cause-and-effect analysis) — метод аналізування сценарію, який забезпечує групування зумовлюваних чинників ризику у різні категорії. Результат відображається графічно у формі деревоподібної структури чи діаграми Ісікави.
- Аналізування рівнів захисту (LOPA) (англ. Layer protection analysis, LOPA) — метод загального оцінювання засобів контролювання, їх результативності (інша назва — метод бар'єрів)
- Дерево рішень (англ. Decision tree) — метод, що застосовують у керуванні проектними ризиками чи за інших обставин для вибору найкращого способу дій за наявністю невизначеності у формі деревоподібної діаграми.
- Загальне оцінювання надійності людини (англ. Human reliability analysis, HRA) — допоміжний метод ризик-менеджменту, який забезпечує оцінки впливу помилок персоналу на дієвість системи.
- Аналізування за схемою «краватка-метелик» (англ. Bow tie analysis) — простий метод загального оцінювання засобів контролювання, який надає змогу описати та проаналізувати варіанти розвитку ризику з початку (визначення небезпечних чинників) до наслідків, поєднуючи у графічній формі дерево відмов (аналіз причин подій) і дерева подій (аналізування наслідків).
- Технічне обслуговування, зорієнтоване на забезпечення безвідмовності (англ. Reliability centered maintenance) — метод функційного аналізування, який дає змогу ідентифікувати політики, які треба запровадити для керування відмовами, щоб ефективно та результативно досягати необхідного рівня безпеки, готовності та економічності функціонування всіх типів устаткування.
- Аналіз паразитних схем (англ. Sneak circuit analysis) — метод функційного аналізування, який дає змогу ідентифікувати паразитні (приховані) стани технічного засобу, програмного засобу чи їх поєднання, які мають випадковий характер; станів, що можуть спричинити виникнення небажаної події чи перешкоджати виникненню бажаної події та не може бути спричинений відмовою якогось складника.
- Марковське аналізування (англ. Markov analysis) — статистичний метод, що зазвичай використовується для аналізування ремонтопридатності складних систем, які можуть бути у багатьох станах, зокрема — у стані спровності (іноді називають аналізуванням «простору станів»).
- Імітаційне моделювання за методом Монте-Карло (англ. Monte Carlo simulation) — статистичний метод, що використовують для виявлення сукупних змін в системі сукупності вхідних даних, які мають визначений розподіл та пов'язані з результатом визначеними взаємозв'язками.
- Байєсова статистика і мережі Байєса (англ. Bayesian statistics and Bayes nets) — статистичний метод, що передбачає використання даних апріорного розподілу для оцінювання ймовірності результату.
- Криві FN (англ. FN curve) — спосіб графічного зображення ймовірності подій, які спричиняють рівень шкоди для популяції. Криві FN показують накопичену частоту (F), з якою N чи більше представників популяції зазнаватимуть впливу.
- Показники ризику (англ. Risk index) — кількісна оцінка міри ризику, отриманою з використанням бальних оцінок на основі порядкових шкал, які дають змогу привести низки чинників, що впливають на рівень ризику, до єдиної числової бальної оцінки цього рівня.
- Матриця «наслідок/ймовірність» (англ. Consequence/probability matrix) — засіб поєднання якісних та кількісних оцінок наслідків та ймовірностей для визначення рівнів ризику чи їх ранжування.
- Аналізування витрат і вигід (СВА) (англ. Cost/benefit analysis) — метод оцінювання ризику, за яким загальні очікувані витрати порівнюються з загальними очікуваними вигодами з метою вибору найкращого/найрентабільнішого варіанту.
- Багатокритеріальне аналізування рішень (MCDA) (англ. Multi-criteria decision analysis, MCDA) — метод, що використовує низку критеріїв для оцінювання загальної цінності сукупності варіантів (формування матриці варіантів і критеріїв, ранжованих і агрегованих для отримання бальної оцінки варіатів).
Національний відповідник
В Україні діє Національний стандарт України ДСТУ ІЕС/ISO 31010:2013 (ІЕС/ISO 31010:2009,IDT). Керування ризиком. Методи загального оцінювання ризику, прийнятий методом перекладу. Надано чинності наказом Мінекономрозвитку від 11.12.2013 р. № 1469.
Див. також
Посилання
|