IEC/ISO 31010:2009 Керування ризиком. Методи загального оцінювання ризику

Стандарт належить до групи стандартів з ризик-менеджменту, в яку входять наступні три стандарти:

• ISO 31000:2009 Risk management – Principles and guidelines
• ISO/TR 31004:2013 Risk management – Guidance for the implementation of ISO 31000
• IEC 31010:2009 Risk management – Risk assessment techniques

На стадії розробки у технічному комітеті ISO/TC 262 знаходяться три стандарти:

• ISO/DIS 31000 Risk management – Guidelines
• IEC/CD 31010 Risk management – Risk assessment techniques
• ISO/AWI 31022 Guidelines for Implementation of Enterprise Legal Risk Management

Терміни, що відносяться до ризику; менеджменту ризику; процесі менеджменту ризику тощо визначено у стандарті ISO Guide 73:2009 Risk management — Vocabulary — Guidelines for use in standards.

Стандарт розвиває положення ISO 31000:2009, надаючи настанови щодо вибору та застосування методів загального оцінювання ризиків, які спрямовані на забезпечення діяльності з керування ризиками.

Стандарт не надає конкретні критерії ідентифікації потреби в аналізуванні ризику, не встановлює тип методу його аналізування, необхідний для конкретного випадку застосування.

Концепції загального оцінювання ризиків включають:

1. Призначеність і вигоди загального оцінювання ризиків. Призначеність – забезпечувати отримання і аналізування доказової інформації для прийняття рішень щодо того, як обробляти конкретні ризики та вибирати варіант їх обробки.
2. Загальне оцінювання ризику та структура керування ризиком, що відбувається в межах структури і процесу керування ризиком, який описано в ISO 31000. Структура керування ризиком забезпечується політикою, процедурами та організаційними заходами на всіх рівнях організації.
3. Загальне оцінювання ризику та процес керування ризиком, яке має бути інтегрованим з іншими складовими керування ризиками, що включає основні елементи, встановлені в ISO 31000, а саме:

• обмінювання інформацією та консультування;
• установлення контексту (оточення);
• загальне оцінювання ризику (його ідентифікація, аналіз та оцінювання);
• оброблення ризику;
• моніторинг і критичне аналізування.

У стандарті описано, як вибирати методи загального оцінювання ризиків, яке можна провадити зі зміненням ступенів глибини і докладності, використанням одного чи кількох методів – від найпростіших до найскладніших. Показано взаємозв’язок між основними методиками оцінювання та чинниками, пов’язаними із з конкретною ситуацією ризику, наведено приклади вибору відповідних методів оцінювання ризику в цій ситуації.

Стандарт охоплює деякі (не всі) методи оцінки ризику, які описано за наступною схемою: 1) загальний огляд; 2) застосування; 3) вхідні дані; 4) процес; 5) вихідні дані; 6) переваги та обмеженості.

У стандарті надано набір з 31 потенційно можливих методів оцінки ризиків, докладно поданий кожний з методів з наведенням рекомендацій щодо їх застосовності, а саме:

1. Мозковий штурм (англ. Brainstorming) — допоміжний метод ризик-менеджменту, який забезпечує збирання великої кількості ідей та оцінок від компетентних осіб щодо ідентифікації потенційних видів відмов та пов'язаних з ними чинників, критерії прийняття рішень. Сформований перелік ідей та оцінок у подальшому ранжується групою експертів. Цей метод передбачає застосування спеціальних прийомів активізації учасників обговорення.
2. Структуроване або напівструктуроване опитування (англ. Structured or semi-structured interviews) — допоміжний метод ризик-менеджменту, який забезпечує збирання інформації від компетентних осіб щодо ідентифікації потенційних ризиків за допомогою аркушів наведених запитань. Застосовується у випадку, коли зібрати експертів для «мозкової атаки» неможливо або недоречно. Є засобом щодо отримання вхідних даних для подальшого загального оцінювання ризиків.
3. Метод Дельфі (англ. Delphi method), або метод експертних оцінок — допоміжний метод ризик-менеджменту, який забезпечує підготовку консенсусної оцінки групи експертів, які сприятимуть ідентифікуванню джерела ризику та впливу, кількісному оцінюванню ймовірностей й наслідків, оцінювання ризиків. Передбачає індивідуальну незалежну роботу експертів.
4. Переліки контрольних запитань (англ. Checklist) — метод пошуку, що дозволяє ідентифікувати ризики, уможливлюючи складання переліку типивих невизначеностей для подальшого їх розгляду.
5. Попереднє аналізування небезпечних чинників (РНА) (англ. Preliminary hazard analysis, PHA) — метод пошуку, призначений для ідентифікації небезпечних чинників та ситуацій/подій, що можуть завдати шкоду конкретним видам діяльності, технічному засобу чи системі.
6. Дослідження небезпечних чинників і працездатності (НАZOР) (англ. Hazard and operability study, HAZOP) — метод функційного аналізування, який дає змогу ідентифікувати ризики, щоб визначити можливі відхилення від передбачуваної/очікуваної діяльності, виявити критичність відхилів.
7. Аналізування небезпечних чинників і критичні точки контролю (НАССР) (англ. Hazard analysis and critical control points, HACCP) — метод функційного аналізування, який є систематичним, проактивним і прентивним для забезпечення якості продукції, надійності та безпечності процесів за допомогою вимірювання і моніторингу перебування визначених характеристик у встановлених межах.
8. Загальне оцінювання екологічного ризику (англ. Toxicity assessment) — метод аналізування сценарію, який дозволяє ідентифікувати та аналізувати небезпечні чинники, можливі способи впливу цього чинника на цільовий об'єкт задля встановлення ймовірності виникнення конкретної шкоди.
9. Структурований метод «Що якщо» (SWIFT) (англ. Structured What If Technique, SWIFT) — допоміжний метод ризик-менеджменту, що стимулює тематичні робочі групи експертів ідентифікувати ризики.
10. Аналізування сценаріїв (англ. Scenario analysis) — метод, що належить до групи аналізування сценарію, який забезпечує визначення уявленням або екстраполяцією на основі ризиків, зокрема — фактичних, за припущенням, що кожний із сценаріїв можна реалізувати.
11. Аналізування впливу на діяльність (англ. Business impact analysis, ВІА) — метод, який дає змогу аналізувати критичність і строки відновлення ключових бізнес-процесів, які постраждали внаслідок дестабілізації, пов'язаних з цими процесами ресурсів (персонал, устаткування, інформаційні технології), забезпечуючи досягнення цілей організації.
12. Аналіз першопричин (англ. Root cause analysis) — метод аналізування сценарію, який забезпечує аналіз окремої втрати, що сталася з метою розуміння зумовлюваних чинників та того, як систему чи процес можна вдосконалити, щоб у подальшому уникнути аналогічних втрат.
13. Аналізування видів і наслідків відмов (англ. Failure mode and effects analysis, FMEA) — метод функційного аналізування, який дає змогу ідентифікувати характер відмов і чинники їх виникнення, їхні впливи. Застосовуються до аналізування: 1) проекту (продукції); 2) системи, 3) виробничого чи складального процесу, 4) послуг, 5) програмних засобів. Може бути доповнений аналізування критичності із визначенням важливості кожного виду відмов за допомогою якісних, напівкількісних чи кількісних підходів.
14. Аналізування дерева відмов (англ. Fault tree analysis) — метод аналізування сценарію, за яким спочатку зазначають небажану кінцеву подію, а потім визначають усі способи за якими вона може відбутися. Елементи відображають графічно у формі деревоподібної схеми для подальшого аналізу способів послаблення/усунення потенційних небезпек.
15. Аналізування дерева подій (англ. Event tree analysis) — метод аналізування сценарію, який забезпечує переведення ймовірностей різних першоподій у можливі результати.
16. Аналізування причин і наслідків (англ. Cause and consequence analysis) — метод аналізування сценарію, що поєднує аналізування дерева відмов і дерева подій, яке дає змогу враховувати затримки у часі.
17. Аналізування причино-наслідкових зв'язків (англ. Cause-and-effect analysis) — метод аналізування сценарію, який забезпечує групування зумовлюваних чинників ризику у різні категорії. Результат відображається графічно у формі деревоподібної структури чи діаграми Ісікави.
18. Аналізування рівнів захисту (LOPA) (англ. Layer protection analysis, LOPA) — метод загального оцінювання засобів контролювання, їх результативності (інша назва — метод бар'єрів)
19. Дерево рішень (англ. Decision tree) — метод, що застосовують у керуванні проектними ризиками чи за інших обставин для вибору найкращого способу дій за наявністю невизначеності у формі деревоподібної діаграми.
20. Загальне оцінювання надійності людини (англ. Human reliability analysis, HRA) — допоміжний метод ризик-менеджменту, який забезпечує оцінки впливу помилок персоналу на дієвість системи.
21. Аналізування за схемою «краватка-метелик» (англ. Bow tie analysis) — простий метод загального оцінювання засобів контролювання, який надає змогу описати та проаналізувати варіанти розвитку ризику з початку (визначення небезпечних чинників) до наслідків, поєднуючи у графічній формі дерево відмов (аналіз причин подій) і дерева подій (аналізування наслідків).
22. Технічне обслуговування, зорієнтоване на забезпечення безвідмовності (англ. Reliability centered maintenance) — метод функційного аналізування, який дає змогу ідентифікувати політики, які треба запровадити для керування відмовами, щоб ефективно та результативно досягати необхідного рівня безпеки, готовності та економічності функціонування всіх типів устаткування.
23. Аналіз паразитних схем (англ. Sneak circuit analysis) — метод функційного аналізування, який дає змогу ідентифікувати паразитні (приховані) стани технічного засобу, програмного засобу чи їх поєднання, які мають випадковий характер; станів, що можуть спричинити виникнення небажаної події чи перешкоджати виникненню бажаної події та не може бути спричинений відмовою якогось складника.
24. Марковське аналізування (англ. Markov analysis) — статистичний метод, що зазвичай використовується для аналізування ремонтопридатності складних систем, які можуть бути у багатьох станах, зокрема — у стані спровності (іноді називають аналізуванням «простору станів»).
25. Імітаційне моделювання за методом Монте-Карло (англ. Monte Carlo simulation) — статистичний метод, що використовують для виявлення сукупних змін в системі сукупності вхідних даних, які мають визначений розподіл та пов'язані з результатом визначеними взаємозв'язками.
26. Байєсова статистика і мережі Байєса (англ. Bayesian statistics and Bayes nets) — статистичний метод, що передбачає використання даних апріорного розподілу для оцінювання ймовірності результату.
27. Криві FN (англ. FN curve) — спосіб графічного зображення ймовірності подій, які спричиняють рівень шкоди для популяції. Криві FN показують накопичену частоту (F), з якою N чи більше представників популяції зазнаватимуть впливу.
28. Показники ризику (англ. Risk index) — кількісна оцінка міри ризику, отриманою з використанням бальних оцінок на основі порядкових шкал, які дають змогу привести низки чинників, що впливають на рівень ризику, до єдиної числової бальної оцінки цього рівня.
29. Матриця «наслідок/ймовірність» (англ. Consequence/probability matrix) — засіб поєднання якісних та кількісних оцінок наслідків та ймовірностей для визначення рівнів ризику чи їх ранжування.
30. Аналізування витрат і вигід (СВА) (англ. Cost/benefit analysis) — метод оцінювання ризику, за яким загальні очікувані витрати порівнюються з загальними очікуваними вигодами з метою вибору найкращого/найрентабільнішого варіанту.
31. Багатокритеріальне аналізування рішень (MCDA) (англ. Multi-criteria decision analysis, MCDA) — метод, що використовує низку критеріїв для оцінювання загальної цінності сукупності варіантів (формування матриці варіантів і критеріїв, ранжованих і агрегованих для отримання бальної оцінки варіатів).

В Україні діє Національний стандарт України ДСТУ ІЕС/ІSО 31010:2013 (ІЕС/ІSО 31010:2009,IDТ). Керування ризиком. Методи загального оцінювання ризику, прийнятий методом перекладу. Надано чинності наказом Мінекономрозвитку від 11.12.2013 р. № 1469.

• Міжнародна організація зі стандартизації
• Міжнародна електротехнічна комісія
• Стандарти ISO
• Управління ризиком
• Ризик-менеджмент
• Ризик (значення)
• Глосарій термінів з управління проектами

• IEC/ISO 31010:2009 Risk management -- Risk assessment techniques
• ГОСТ Р ИСО/МЭК 31010 — 2011. Менеджмент риска. Методы оценки риска
• Technical Committee ISO/TC 262 «Risk management» Технічний комітет ISO/TC 262 (англ.)
• ДСТУ ІЕС/ІSО 31010:2013 (ІЕС/ІSО 31010:2009,IDТ) Національний стандарт України. Керування ризиком. Методи загального оцінювання ризику
• ДСТУ ISO Guide 73:2013 (ISO Guide 73:2009, IDТ) Національний стандарт України. Керування ризиком. Словник термінів