ГОСТ Р МЭК 31010-2021 Надежность в технике. Методы оценки риска

ГОСТ Р МЭК 31010-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Надежность в технике

МЕТОДЫ ОЦЕНКИ РИСКА

Dependability in technics. Risk assessment techniques

ОКС 03.100.01

Дата введения 2022-01-01

Предисловие

1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 "Надежность в технике"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2021 г. N 1011-ст

4 Настоящий стандарт идентичен международному стандарту МЭК 31010:2019* "Менеджмент риска. Технологии оценки риска" (IEC 31010:2019 "Risk management - Risk assessment techniques", IDT).

Международный стандарт разработан Техническим комитетом IEC/TC 56.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

В настоящем стандарте приведено руководство по выбору и применению различных методов, способствующих пониманию риска и учету соответствующей неопределенности.

Эти методы используют:

- в ситуациях, где необходимо более глубокое понимание существующего или другого конкретного риска;

- при принятии решения по результатам сопоставления вариантов, каждому из которых соответствует свой риск, или оптимизации риска;

- в процессе менеджмента риска при выполнении действий по обработке риска.

Эти методы используют на этапах оценки риска, связанных с идентификацией, анализом и сравнительной оценкой риска в соответствии с ИСО 31000, и в более общем случае для понимания неопределенности и ее последствий.

Методы, приведенные в настоящем стандарте, могут быть использованы в широком диапазоне ситуаций в основном в технической области. Некоторые методы похожи по концепции, но имеют различные наименования и методологию, отражающую историю их разработки в различных странах. Методы продолжают развиваться, и многие из них могут быть использованы в широком диапазоне ситуаций, выходящих за границы их первоначального применения. Методы могут быть адаптированы, объединены и применены по-новому или распространены на новые области применения в соответствии с текущими и будущими потребностями.

Настоящий стандарт представляет собой введение в избранные методы и включает в себя сопоставление вариантов их применения, преимуществ и ограничений. В стандарте приведены ссылки на источники более подробной информации.

Пользователями настоящего стандарта являются:

- все участники действий по оценке и менеджменту риска;

- специалисты, участвующие в разработке руководства по оценке риска в конкретных условиях;

- специалисты, принимающие решения в условиях неопределенности, включая:

- специалистов, выполняющих сравнительную оценку риска или назначающих исполнителей такой оценки,

- специалистов, анализирующих и интерпретирующих результаты оценок,

- специалистов, осуществляющих выбор методов оценки в соответствии с конкретными требованиями.

Организации, которые обязаны проводить оценку рисков на соответствие установленным требованиям или целям, получат преимущества при использовании соответствующих стандартизированных методов оценки риска.

Стандарт в первую очередь предназначен для организаций, взаимодействующих с зарубежными партнерами, которые, как правило, не признают применения неидентичных национальных стандартов. Эти проблемы не позволяет решить ГОСТ Р 58771, при разработке которого были использованы основные положения МЭК 31010.

1 Область применения

Настоящий стандарт устанавливает руководство по выбору и применению методов оценки риска в широком диапазоне ситуаций. Эти методы используют при принятии решений в условиях неопределенности, для получения информации о конкретных видах риска при выполнении процесса менеджмента риска. В стандарте приведено краткое описание ряда методов со ссылками на документы, содержащие более подробную информацию.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO Guide 73:2009, Risk management - Vocabulary (Менеджмент риска. Термины и определения)

ISO 31000:2018, Risk management - Guidelines (Менеджмент риска. Принципы и руководство)

3 Термины и определения

В настоящем стандарте применены термины по ИСО 31000:2018, Руководству ИСО 73:2009, а также следующие термины с соответствующими определениями.

Терминологические базы данных ИСО и МЭК доступны по следующим интернет-адресам:

- электронная база МЭК Electropedia по адресу: http://www.electropedia.org/;

- электронная платформа ИСО с функцией онлайн-просмотра терминов по адресу: http://www.iso. org/obp.

3.1 правдоподобность (появления события) (likelihood): Характеристика возможности и частоты появления события.

Примечание 1 - В менеджменте риска термин "правдоподобность" используют как характеристику возможности появления события, которая может быть определенной или неопределенной, измеримой или неизмеримой, объективной или субъективной, иметь качественную или количественную оценку и может быть выражена математически (как вероятность или частота за установленный период времени).

Примечание 2 - Английский термин "правдоподобность" не имеет прямого эквивалента в некоторых языках, вместо которого в этом случае применяют термин "вероятность". В английском языке термин "вероятность" часто применяют как чисто математический термин. Таким образом, в области управления риском в части терминологии термин "вероятность" использован в более широком смысле, чем в других языках, кроме английского.

[ИСО 31000:2018, 3.7]

3.2 возможность (opportunity): Сочетание обстоятельств, которое, как ожидается, будет благоприятно для достижения целей.

Примечание 1 - Возможность - это позитивная ситуация, в которой вероятно получение преимуществ и над которой существует объективный контроль.

Примечание 2 - Возможность для одной стороны может быть угрозой для другой стороны.

Примечание 3 - Как использование, так и неиспользование возможности являются источниками риска.

3.3 вероятность (probability): Мера возможности появления события, выражаемая действительным числом из интервала от 0 до 1, где 0 соответствует невозможному, а 1 - достоверному событию.

Примечание - См. определение 3.1, примечание 2.

3.4 драйвер риска (risk driver, driver of risk): Фактор, оказывающий основное влияние на риск.

3.5 угроза (threat): Потенциальный источник опасности, вреда или другого нежелательного результата.

Примечание 1 - Угроза - негативная ситуация, в которой вероятны потери и которую человек плохо контролирует.

Примечание 2 - Угроза для одной стороны может создавать возможности для другой стороны.

4 Основные концепции

4.1 Неопределенность

Неопределенность - это термин, охватывающий многие основные понятия. Было предпринято много попыток, которые продолжаются по классификации типов неопределенности, включая:

- неопределенность, которая характеризует внутреннюю изменчивость некоторых явлений и не может быть уменьшена в результате дальнейших исследований; например, бросание кубиков (иногда такую неопределенность называют алеаторной неопределенностью);

- неопределенность, которая обычно возникает из-за недостатка знаний (и поэтому может быть уменьшена при получении большего количества данных), уточнения моделей, совершенствования методов отбора проб и т.д. (иногда такую неопределенность называют эпистемической неопределенностью).

Другие общеизвестные формы неопределенности охватывают:

- лингвистическую неопределенность, которая характеризует двусмысленность, присущую разговорной речи;

- неопределенность принятия решений, имеющую особое значение для стратегий менеджмента риска и характеризующую неопределенность, связанную с системами ценностей, профессиональными суждениями, ценностями организации и социальными нормами.

Примерами неопределенности являются:

- неопределенность в отношении истинности предположений, включая предположения о поведении людей или функционировании системы;

- вариабельность параметров, на которых основано принятие решения;

- неопределенность в достоверности или точности моделей, используемых для прогнозирования;

- события (включая изменение обстоятельств или условий), их возникновение, особенности или последствия;

- неопределенность, связанная с разрушительными событиями;

- неопределенные результаты проблем в системе, таких как недостаток компетентного персонала, которые могут иметь широкий диапазон воздействий, четкое определение которых невозможно;

- недостаток знаний, возникающий, когда наличие неопределенности признано, но непонятно;

- непредсказуемость;

- неопределенность, возникающая из-за ограниченности человеческого мышления, например в понимании сложных данных, прогнозировании ситуации с долгосрочными последствиями или формировании объективных выводов.

Не все типы неопределенности могут быть понятны, значение неопределенности может быть трудно или невозможно определить и изменить. Однако признание того, что неопределенность существует в конкретных условиях, позволяет создавать системы раннего обнаружения изменений и принятия мер для повышения устойчивости к неожиданным ситуациям.

4.2 Риск

Риск охватывает воздействие на цели всех форм неопределенности, описанных в 4.1. Воздействие неопределенности может привести к положительным или отрицательным последствиям или к тем и другим одновременно.

Риск часто описывают в терминах источников риска, возможных событий, их последствий и вероятности этих последствий. Событие может иметь несколько причин и привести к нескольким последствиям. Последствия могут быть описаны переменными различного вида, дискретными, непрерывными или неизвестными. Вначале последствия могут быть неразличимыми и не поддающимися оценке, но со временем они могут накапливаться. Источники риска могут иметь присущую им изменчивость или неопределенность, связанную с целым рядом факторов, включая поведение людей, структуру организации, социальные воздействия, для которых может быть трудно предсказать какое-либо конкретное событие, которое может произойти. Отсюда следует, что риск не всегда можно легко свести в таблицу в виде набора событий, их последствий и вероятностей.

Методы оценки риска направлены на то, чтобы помочь людям осознать неопределенность и соответствующий риск в сложных и разнообразных условиях с целью обеспечения информацией принятие решений и выполнение действий.

5 Использование методов оценки риска

Методы, установленные в настоящем стандарте, позволяют улучшить понимание неопределенности и ее последствий для принятия решений и выполнения необходимых действий.

В ИСО 31000 установлены принципы менеджмента риска, а также основы и организационные принципы управления риском. В ИСО 31000 установлен процесс, позволяющий распознать риск, понять и изменить его в соответствии с установленными критериями, которые являются частью процесса. Методы оценки риска могут быть применены в соответствии с этим структурированным подходом, который включает установление условий и области применения менеджмента риска, оценку риска, обработку риска вместе с постоянным мониторингом, анализом, консультациями, записями и отчетностью. Этот процесс показан на рисунке А.1, где также показаны примеры того, где внутри процесса могут быть применены методы.

В процессе, установленном в ИСО 31000, оценка риска включает в себя идентификацию рисков, их анализ и использование полученной в результате анализа информации для количественной и сравнительной оценки риска, для выводов об их значимости по отношению к целям и пороговым показателям работы организации. Этот процесс обеспечивает принятие решений о необходимости, приоритетности и действиях по обработке риска. На практике применяют итерационный подход.

Методы оценки риска, описанные в настоящем стандарте, обычно используют:

- в ситуациях, когда требуется более глубокое понимание существующих рисков или конкретного риска;

- в рамках процесса менеджмента риска, при выборе действий по обработке риска;

- при необходимости сравнения нескольких вариантов или оптимизации риска.

В частности, методы могут быть использованы:

- для обеспечения структурированной информацией принятия решений и выбора действий в условиях неопределенности;

- для точного разъяснения предположений о достижении целей;

- при сравнении различных вариантов, систем, методов или подходов и т.п., когда существует много неопределенностей по каждому варианту;

- при определении реалистичных стратегических и оперативных целей;

- при определении критериев риска организации, таких как границы риска, аппетит риска и способность выдержать риск;

- для учета риска при установлении или повторном анализе приоритетов;

- для более успешного распознавания и использования риска, включая риск, который может привести к экстремальным результатам;

- для понимания, какие неопределенности имеют наибольшее значение для целей организации, и обоснования того, что с ними следует делать;

- для более успешного распознавания или использования возможностей;

- при описании факторов, способствующих возникновению риска, для понимания их значимости;

- при определении эффективных и результативных мер обработки риска;

- для определения последствий, предполагаемых методов обработки риска, включая все изменения особенностей и количественных характеристик риска;

- при обмене информацией о риске и его последствиях;

- при анализе неудач и успехов для улучшения менеджмента риска;

- для демонстрации того, что нормативные и другие требования выполнены.

Способ оценки риска зависит от сложности и новизны ситуации, а также от уровня соответствующих знаний и понимания задачи.

В самом простом случае, когда в ситуации нет ничего нового или необычного, риск хорошо понятен, а последствия и воздействия на заинтересованные стороны не являются существенными, решение о выборе, вероятно, будет принято в соответствии с установленными правилами, процедурами и предыдущими оценками риска.

Для очень новых, сложных или спорных вопросов, где существует высокая неопределенность и мало опыта, имеется мало информации, на основе которой могут быть сделаны оценки, а обычные методы анализа могут оказаться бесполезными или бессмысленными. Это также относится к обстоятельствам, когда заинтересованные стороны придерживаются сильно различающихся взглядов. В этих случаях можно использовать несколько методов для достижения частичного понимания риска, с выводами в отношении организации, социальных ценностей, а также мнения заинтересованных сторон.

Методы, установленные в настоящем стандарте, имеют наибольшее применение в ситуациях между указанными крайностями, когда сложность умеренная и имеется некоторая доступная информация для выполнения оценки.

6 Выполнение оценки риска

6.1 Планирование оценки

6.1.1 Определение цели и области применения оценки риска

Цель оценки риска должна быть установлена с указанием решений или действий, к которым она относится, лиц, принимающих решения, заинтересованных сторон, а также сроков и особенностей требуемой оценки (например, необходима качественная, полуколичественная или количественная информация).

Область применения, глубина и уровень детализации оценки должны быть определены с описанием того, что включено и что исключено. Виды последствий, которые необходимо рассмотреть при оценке риска, должны быть определены. Все условия, предположения, ограничения и необходимые ресурсы, имеющие отношение к деятельности по оценке риска, также должны быть установлены.

6.1.2 Понимание условий

При проведении оценки риска участники оценки должны быть осведомлены обо всех обстоятельствах, в которых принимают решения и выполняют действия на основе оценки риска. Эти обстоятельства включают понимание внутренних и внешних проблем, которые вносят свой вклад в условия работы организации, а также более широких социальных и экологических аспектов. Установление любого условия должно быть рассмотрено и проверено на предмет его актуальности и уместности. Понимание общей картины особенно важно в сложных ситуациях.

6.1.3 Взаимодействие с заинтересованными сторонами

Заинтересованные стороны и тех, кто может внести полезные знания, следует идентифицировать и рассматривать их мнение, независимо от того, являются ли они участниками оценки. Надлежащее вовлечение заинтересованных сторон помогает обеспечить выполнение оценки риска на основе достоверной и применимой информации, а также понимание заинтересованными сторонами причин принятия тех или иных решений. Вовлечение заинтересованных сторон может:

- обеспечить информацию, позволяющую понять условия оценки риска;

- способствовать объединению различных областей знаний и опыта для результативной идентификации и понимания риска;

- обеспечить соответствующую экспертизу при использовании этих методов;

- обеспечить понимание и учет интересов заинтересованных сторон;

- обеспечить исходные данные для процесса определения приемлемости риска, особенно когда риск оказывает влияние на заинтересованные стороны;

- обеспечить выполнение всех требований к информированию или консультированию людей;

- обеспечить сопровождение результатов и решений, принятых на основе оценки риска;

- выявить пробелы в знаниях, которые необходимо устранить до и/или в процессе оценки риска.

Следует решить, каким образом выводы и результаты оценки риска могут быть достоверны, точны и доведены до сведения соответствующих заинтересованных сторон.

Методы получения мнений заинтересованных сторон и экспертов описаны в В.1 приложения В.

6.1.4 Определение целей

Цели конкретной системы или процесса, в отношении которых проводят оценку риска, должны быть определены и там, где это практически осуществимо, документированы. Это облегчает идентификацию рисков и понимание их последствий.

В той мере, в какой это практически осуществимо, цель должна:

- отражать специфику объекта оценки;

- допускать количественное или качественное определение показателей;

- быть достижимой в рамках ограничений, налагаемых условиями;

- соответствовать более широким целям и условиям организации;

- быть выполнимой в установленные сроки.

6.1.5 Учет человеческих, организационных и социальных факторов

Человеческие, организационные и социальные факторы должны быть рассмотрены и приняты во внимание по мере необходимости. Человеческий фактор при оценке риска может быть рассмотрен как источник:

- неопределенности;

- влияния на выбор и применение методов;

- вариантов интерпретаций и использования информации (например, из-за различий восприятия риска).

Деятельность человека (хуже или лучше ожиданий) является источником риска и может также влиять на результативность контроля. Возможные отклонения от ожидаемого или предполагаемого поведения должны быть специально рассмотрены при оценке риска. Рассмотрение работы человека часто является сложным, для идентификации и анализа риска, связанного с работой человека, может потребоваться консультация экспертов.

Человеческий фактор также влияет на выбор и использование методов, особенно там, где необходимо заключение или использование командного подхода. Для уменьшения такого влияния необходима квалифицированная помощь. Такие особенности, как конформизм или чрезмерная уверенность (например, в оценке или восприятии), должны быть рассмотрены везде, где это возможно. Экспертное заключение должно быть подкреплено доказательствами, данными и усилиями, предпринятыми для предотвращения или минимизации когнитивных предубеждений.

Личные цели и ценности людей могут отличаться от целей и ценностей организации. Это может привести к различным представлениям об уровне риска и различным критериям, по которым конкретные люди принимают решения. Организация должна стремиться к достижению общего понимания риска внутри организации и учитывать различные представления заинтересованных сторон.

Социальные аспекты, включая социально-экономическое положение, расовую, этническую принадлежность, культуру, гендерные и социальные взаимоотношения, жилищные и общинные условия, могут влиять на риск как прямо, так и косвенно. Последствия могут быть долгосрочными и не сразу заметными и могут потребовать перспективного планирования.

6.1.6 Критерии анализа для принятия решений

6.1.6.1 Общие положения

Критерии, в том числе в области риска, которые необходимо применять при принятии решений, должны быть рассмотрены до проведения оценки. Критерии могут быть качественными, полуколичественными или количественными. В некоторых случаях могут отсутствовать какие-либо явные критерии; в этом случае заинтересованные стороны используют свои заключения при реагировании на результаты анализа.

Критерии анализа:

- как следует принимать решение о приемлемости риска;

- как необходимо определять относительную значимость риска;

- как следует учитывать при принятии решений из нескольких вариантов, когда каждому варианту соответствует несколько рисков, которые могут иметь положительные и отрицательные последствия;

- как следует учитывать взаимосвязи между различными видами риска.

6.1.6.2 Критерии принятия решения о приемлемости риска

Критерии определения особенностей и уровня риска, который может быть принят при выполнении поставленных целей, иногда называемого аппетитом риска, могут быть заданы путем установления метода определения величины риска или параметра, связанного с риском, вместе с пределом значений этого параметра, за которым риск становится неприемлемым. Предел, установленный для неприемлемого неблагоприятного риска, может быть связан с возможным вознаграждением.

Приемлемый риск также может быть определен путем установления приемлемых отклонений значения показателя, связанного с достижением целей.

В зависимости от вида последствий могут быть установлены различные критерии. Например, критерии приемлемости финансового риска могут отличаться от критериев приемлемости риска, связанного с опасностью для жизни человека.

Ниже приведены примеры анализа, используемого при определении приемлемого риска.

- Риск получения возможностей (RBC) (также называемый риском возможностей): RBC организации обычно определяют в терминах рискового капитала, который доступен для устранения неблагоприятных воздействий соответствующих событий. Для коммерческой фирмы возможности могут быть установлены в терминах максимальных возможностей сохранения активов, или наибольшего финансового убытка, который компания может выдержать без необходимости объявления о банкротстве. Оцененный RBC должен быть объективно проверен с помощью стресс-тестирования возможных сценариев для обеспечения достоверного уровня доверия. Аппетит риска организации отражает готовность руководства использовать свой RBC.

- ALARP/ALARA и SFAIRP: в некоторых сферах законодательно установлены следующие критерии принятия решения об обработке риска, связанного с безопасностью: риск травм или ухудшения здоровья должен быть так мал, "как разумно выполнимо" (ALARP), так мал, "как разумно достижимо" (ALARA), или средства контроля снижают частоту возникновения опасного события до уровня "столь малого, насколько это обоснованно и практически осуществимо" (SFAIRP) (см. В.8.2).

- Критерий "Глобально, по крайней мере эквивалентно" (GALE) [globalement au moins equivalent] (GAME) [1] считается приемлемым для рисков с неблагоприятными последствиями и увеличения риска конкретного источника, если можно продемонстрировать, что риски других источников уменьшились на эквивалентную или большую величину.

- Критерии затрат/преимуществ, такие как стоимость сохраненной жизни или рентабельность инвестиций (ROI).

6.1.6.3 Критерии оценки значимости риска

Критерии риска (в соответствии с которыми определяют значимость риска) могут быть выражены в терминах, которые включают в себя любую из характеристик и мер риска, разработанных в 6.3.5 и 6.3.7. Этические, культурные, правовые, социальные, репутационные, экологические, договорные, финансовые и другие соображения также могут иметь значение.

Оценка значимости риска по сравнению с другими рисками часто основана на оценке уровня риска по сравнению с критериями, которые непосредственно связаны с установленными пороговыми значениями вблизи целей организации. Сопоставление с этими критериями позволяет организации определить риски, которые необходимо обработать на основе возможностей управления результатами, выходящими за пределы пороговых значений, установленных вокруг целей.

Уровень риска редко является единственным критерием, имеющим отношение к принятию решений о значимости риска. Другие факторы могут включать устойчивость (например, тройной запас) и гибкость, этические и правовые критерии, эффективность средств контроля, максимальное воздействие, если средства контроля не применяются или отказали, сроки реализации последствий, затраты на контроль и мнения заинтересованных сторон.

Методы оценки значимости риска описаны в В.8.

6.1.6.4 Критерии выбора варианта

Организация сталкивается со многими вариантами решения, когда может быть затронуто несколько, часто конкурирующих целей и возможны как неблагоприятные, так и благоприятные результаты. Для принятия решений в такой ситуации может потребоваться выполнение нескольких критериев и поиск компромисса между конкурирующими целями. Следует определить критерии, имеющие отношение к данному решению, а также способ сопоставления критериев и достижения компромисса, все это должно быть отражено в записях. При установлении критериев возможно, что затраты и преимущества могут быть различны для разных заинтересованных сторон. Должен быть выбран способ учета различных форм неопределенности.

Методы, описанные в В.9, относятся к выбору варианта.

6.2 Управление информацией и разработка моделей

6.2.1 Общие положения

До и в процессе оценки риска должна быть получена соответствующая информация. Эта информация обеспечивает исходные данные для статистического анализа, моделей или методов, описанных в приложениях А и В. В некоторых случаях информация может быть использована лицами, принимающими решения без дальнейшего анализа.

Информация, необходимая на каждом этапе, зависит от результатов более раннего сбора информации, цели и области применения оценки, а также метода или методов, использованных для анализа. Следует определить способ сбора, хранения и представления информации.

Следует принять решение о том, какие записи о результатах оценки необходимо хранить, а также о том, как их надо выполнять, сохранять, обновлять и представлять тем, кому они необходимы. Источники информации всегда должны быть указаны.

6.2.2 Сбор информации

Информация может быть собрана из литературы, наблюдений и мнений экспертов. Данные могут быть получены, например, на основе измерений, экспериментов, интервью и опросов.

Как правило, данные прямо или косвенно отражают прошлые потери или преимущества. Примерами могут быть отказы или успешная работа конструкции, количество жалоб, финансовые выгоды или потери, воздействия на здоровье, травмы и смертельные случаи и т.п. Также может быть доступна дополнительная информация, например, о причинах отказов или успехов, источниках жалоб, характере травм и т.п. Данные также могут включать выводы на основе моделей или других методов анализа.

Необходимо принять решение по следующим вопросам:

- определить источник информации и его достоверность;

- определить тип информации (например, качественная или количественная или и та и другая одновременно (см. 6.3.7.1));

- установить уровень, к которому относится информация (например, стратегический, тактический, оперативный);

- определить количество и качество необходимых данных;

- выбрать методологию сбора данных;

- установить уровень конфиденциальности информации.

Если используемые при анализе данные являются выборочными, необходимая статистическая достоверность должна быть установлена таким образом, чтобы было собрано достаточное количество данных. Неприменение статистического анализа также следует установить.

При наличии данных или результатов предыдущих оценок необходимо сначала установить, были ли какие-либо изменения в условиях и области применения объекта. При наличии таких изменений необходимо выяснить, когда собраны данные - до изменений или позже.

Достоверность и ограничения любой информации, использованной при оценке, должны быть исследованы с учетом:

- срока давности и актуальности информации;

- источника информации и методов сбора;

- неопределенности и пробелов в информации;

- авторитетности источника или происхождения информации, наборов данных, алгоритмов и моделей.

6.2.3 Анализ данных

Анализ данных может обеспечить:

- понимание прошлых последствий и вероятности их возникновения для приобретения опыта;

- информацию о тенденциях и закономерностях, включая периодичность, что позволяет оценить влияние на будущее;

- данные корреляции, что может выявить возможные причины зависимостей при проверке.

Ограничения и неопределенности данных должны быть идентифицированы и поняты.

Нельзя предполагать, что старые данные можно продолжать применять в будущем, но они могут указать лицам, принимающим решения, вероятные события в будущем.

6.2.4 Разработка и применение моделей

6.2.4.1 Общие положения

Модель - это приближенное представление реальности. Ее цель - представить реальную сложную ситуацию в более простом виде, позволяющем ее проанализировать. Модель может помочь в понимании данных и моделировании развития процессов в различных условиях. Модель может быть физической, представленной с помощью программного обеспечения, или представлять собой набор математических соотношений.

Моделирование обычно включает в себя следующие этапы:

- описание проблемы;

- описание цели построения модели и желаемых результатов;

- разработку концептуальной модели проблемы;

- построение физического, программного или математического представления концептуальной модели;

- разработку программного обеспечения или других методов анализа поведения моделируемого процесса;

- обработку данных;

- проверку или калибровку модели путем анализа результатов в известных ситуациях;

- формулировку выводов на основе модели.

Каждый из этих этапов может включать аппроксимации, предположения и мнения экспертов (по возможности), они должны быть проверены и утверждены людьми, не зависящими от разработчиков. Критические предположения должны быть проанализированы на основе имеющейся информации в отношении их достоверности.

Для достижения достоверных результатов при использовании моделей необходимо утвердить следующее:

- концептуальную модель, адекватно отражающую оцениваемую ситуацию;

- использование модели в соответствии с условиями, для которых она была разработана;

- теоретические концепции, лежащие в основе модели, все связанные с моделью расчеты;

- обоснованность выбора параметров и математических представлений;

- применение математики, на которой основаны расчеты;

- точность и достоверность входных данных и то, что модель позволяет учесть достоверность используемых входных данных;

- работу модели в соответствии с планом без внутренних ошибок или сбоев;

- стабильность модели без излишней чувствительности к небольшим изменениям ключевых входных данных.

Это может быть достигнуто с помощью:

- выполнения анализа чувствительности для проверки чувствительности модели к изменениям входных данных и параметров;

- стресс-тестирования модели с использованием конкретных сценариев и часто экстремальных сценариев;

- сравнения результатов с прошлыми данными (кроме тех, на основе которых они были получены);

- проверки того, что применение модели различными людьми дает аналогичные результаты;

- проверки выходных данных на соответствие фактическим показателям.

Всесторонняя документация о модели, теории и предположениях, на которых она основана, должна быть сохранена и должна быть достаточной для обеспечения валидации модели.

6.2.4.2 Использование программного обеспечения для анализа

Для представления, систематизации данных и анализа могут быть использованы программные средства. Программное обеспечение, используемое для моделирования и анализа, часто обеспечивает простой пользовательский интерфейс и быстрое получение результатов, но это может привести к недопустимым результатам, чего может не заметить пользователь. Недопустимые результаты могут возникнуть:

- из-за неадекватности алгоритмов, используемых для представления ситуации;

- предположений, сделанных при разработке и использовании модели, на которой основано программное обеспечение;

- ошибок при вводе данных, включая непонимание смысла данных;

- проблем преобразования данных при использовании нового программного обеспечения;

- плохой интерпретации результатов.

Приобретаемое программное обеспечение часто является для пользователя черным ящиком и может содержать любую из этих ошибок.

Новое программное обеспечение должно быть протестировано с использованием простой модели с известными входными и выходными данными до его тестирования для сложных моделей. Детали тестирования должны быть сохранены для использования в будущем при появлении версий или программ анализа программного обеспечения.

Ошибки в построенной модели можно проверить, увеличивая или уменьшая входные значения, определяя, соответствуют ли результаты ожидаемым значениям. Это можно применить к каждому значению различных входных данных. Ошибки входных данных часто выявляют при изменении входных данных. Этот подход также дает информацию о чувствительности модели к изменениям данных.

Хорошее знание математики, относящейся к конкретному анализу, позволяет избежать ошибочных выводов. Не только вышеуказанные ошибки вероятны, но и выбор конкретной программы может оказаться неподходящим. Легко следовать программе, предполагая, что ответ будет правильным. Необходимо собрать доказательства проверки того, что результаты верны.

6.3 Применение методов оценки риска

6.3.1 Общие положения

Методы, описанные в приложениях А и В, используют для понимания риска как исходные данные для принятия решений при наличии неопределенности, включая решения о необходимости и способах обработки риска.

Методы оценки могут быть использованы:

- при идентификации риска (см. 6.3.2);

- для определения причин, источников и факторов риска, а также уровня экспозиции риска (см. 6.3.3);

- при исследовании общей результативности контроля и воздействия предлагаемой обработки риска (см. 6.3.4);

- для понимания последствий и вероятности опасных событий (см. 6.3.5);

- для анализа взаимодействий и зависимостей (см. 6.3.6);

- для определения показателей риска (см. 6.3.7).

Факторы, которые необходимо учитывать при выборе конкретного метода для этих действий, описаны в разделе 7.

В общем случае анализ может быть описательным (например, отчет об обзоре литературы, анализ сценариев или описание последствий) или количественным, когда определяют числовые значения. В некоторых случаях для сравнения конкретных видов риска могут быть применены рейтинговые шкалы.

Способ оценки риска и форма выходных данных должны быть совместимы со всеми установленными критериями. Например, количественные критерии требуют применения метода количественного анализа, который позволяет получить выходные данные в соответствующих единицах измерения.

Математические операции следует использовать только в том случае, если это позволяют выбранные метрики. В общем случае не следует использовать математические операции с порядковыми шкалами. Даже в полностью количественном анализе входными данными обычно являются оценки. Результатам не должна быть приписана точность выше точности используемых данных и методов.

6.3.2 Идентификация риска

Идентификация риска позволяет учитывать неопределенность. Все источники неопределенности, как благоприятных, так и неблагоприятных последствий, могут быть уместны в зависимости от условий и области определения оценки риска.

Методы идентификации риска обычно используют знания и опыт специалистов различных заинтересованных сторон (см. В.1.1). Они исследуют следующие вопросы:

- какая неопределенность существует и каковы могут быть ее последствия;

- какие обстоятельства или проблемы (материальные или нематериальные) могут вызвать в будущем последствия;

- какие источники риска присутствуют или могут возникнуть;

- какие существуют средства контроля и эффективны ли они;

- какие события и последствия могут произойти, как, когда, где и почему это может случиться;

- какие события произошли в прошлом и как они могут быть связаны с будущим;

- какие человеческие аспекты и организационные факторы могут быть применены.

При идентификации источников риска или ранних предупреждающих признаков возможных последствий могут быть полезны физические исследования.

Результатом идентификации рисков является перечень рисков с указанием событий, причин и последствий, могут быть использованы и другие подходящие формы представления этой информации.

Какие бы методы ни использовались, идентификацию рисков следует выполнять методично и итеративно для обеспечения тщательности и результативности. Риск должен быть идентифицирован достаточно рано для обеспечения выполнения необходимых действий. Однако возможны ситуации, когда некоторые виды риска не могут быть идентифицированы в процессе оценки риска. Поэтому необходимо создать механизм учета возникающих рисков и раннего распознавания возможных признаков успеха или неудачи.

Методы идентификации риска описаны в В.2.

6.3.3 Определение источников, причин и факторов риска

Идентификация причин, источников и факторов риска может:

- помочь при оценке вероятности события или его последствий;

- помочь в определении методов обработки риска;

- быть полезной при определении показателей раннего предупреждения и пороговых значений их обнаружения;

- определить общие причины, которые могут помочь в разработке приоритетности обработки риска.

Источниками риска могут быть события, решения, действия и процессы, как благоприятные, так и неблагоприятные, а также ситуации, которые существуют, но результаты которых не определены.

Источником риска может быть любая форма неопределенности, описанная в 4.1. События и последствия могут иметь несколько причин или причинно-следственных цепочек.

Риск часто можно контролировать только путем изменения факторов риска. Они влияют на статус и развитие экспозиции риска и часто затрагивают более одного вида риска. В результате факторы риска зачастую требуют больше внимания, чем источники отдельных рисков.

Методы определения источников, причин и факторов риска описаны в В.3.

6.3.4 Исследование результативности существующих средств контроля

На риск влияет общая результативность всех существующих средств контроля. Следует рассмотреть следующие аспекты средств контроля:

- способ назначения средств контроля риска;

- наличие средств контроля, их способность работать в соответствии с назначением и возможность достижения ожидаемых результатов;

- наличие недостатков в конструкции средств контроля или способе их применения;

- наличие пробелов в охвате средствами контроля;

- независимость друг от друга или согласованность функционирования средств контроля для обеспечения результативной работы;

- существование факторов, условий, уязвимости или обстоятельств, которые могут уменьшить или уничтожить результативность контроля, включая отказы по общей причине;

- внесение средствами контроля дополнительных рисков.

Примечание - Риску может соответствовать несколько средств контроля, а средства контроля могут влиять на несколько рисков.

Следует проводить различие между средствами контроля, которые изменяют вероятность, последствия или то и другое вместе, и средствами контроля, которые изменяют распределение риска между заинтересованными сторонами. Например, страхование и другие формы финансовых рисков напрямую не влияют на вероятность реализации события или его результаты и последствия, но могут сделать некоторые из последствий более приемлемыми для конкретной заинтересованной стороны путем уменьшения риска или сглаживания денежных потерь.

Все предположения, сделанные в процессе анализа риска относительно фактического воздействия и достоверности средств контроля, должны быть валидированы, если это возможно - с особым акцентом на отдельных средствах контроля или их комбинациях, которые, как предполагается, оказывают существенное модифицирующее воздействие на риск. Следует учитывать информацию, полученную в ходе регулярного мониторинга и анализа средств контроля.

Методы анализа средств контроля описаны в В.4.

6.3.5 Понимание последствий и вероятности

6.3.5.1 Анализ вида, величины и сроков последствий

Анализ последствий может варьироваться от описания результатов до детального количественного моделирования или анализа уязвимости. При необходимости следует рассматривать косвенные воздействия (эффект домино), когда одно последствие влечет за собой другое.

Риск может быть связан с несколькими различными видами последствий для различных целей. Виды анализируемых последствий должны быть определены при планировании оценки риска. Установленные условия должны быть проверены, чтобы гарантировать, что анализируемые последствия соответствуют целям оценки и принимаемым решениям. Условия могут быть предусмотрены в процессе оценки по мере поступления новой информации.

Величина последствий может быть выражена количественно в виде балльной величины или в виде распределения. Распределение может быть назначено, если:

- значение последствия является неопределенным;

- последствия варьируются в зависимости от обстоятельств;

- параметры, влияющие на последствия, различны.

Рассмотрение полного распределения, связанного с последствием, обеспечивает полную информацию. Можно суммировать распределение в виде точечного значения, такого как математическое ожидание значения (среднее значение), вариации (дисперсия) или процента на хвосте или в другой части распределения (процентиля).

Для любого способа получения точечного значения или значений, представляющих собой распределение последствий, существуют основополагающие предположения и неопределенности относительно:

- формы распределения, выбранной в соответствии с данными (например, непрерывная или дискретная, нормальная или несимметричная);

- наиболее подходящего способа представления этого распределения в виде точечного значения;

- значения балльной оценки из-за присущих ей неопределенностей в данных, на основе которых распределение было построено.

Не следует полагать, что данные, относящиеся к риску, обязательно подчиняются нормальному распределению.

В некоторых случаях информация может быть обобщена в виде качественного или полуколичественного ранжирования, которое может быть использовано при сопоставлении рисков.

Величина последствий может также варьироваться в зависимости от других параметров. Например, последствия воздействия на человека химического вещества обычно зависят от дозы, воздействующей на человека или другое живое существо. В этом примере риск обычно представляют кривой зависимости отклика от дозы, которая изображает вероятность заданной конечной точки (например, смерти) как функцию воздействия кратковременной или накопленной дозы.

Последствия также могут меняться с течением времени. Например, неблагоприятные последствия неисправности могут становиться со временем более значимыми. Следует выбрать соответствующие методы, чтобы это учесть.

Иногда последствия возникают в результате воздействия нескольких источников риска: например, воздействие на окружающую среду или здоровье человека в результате воздействия биологических, химических, физических и психосоциальных источников риска. При рассмотрении нескольких экспозиций риска следует учитывать возможность синергетического воздействия, а также влияние продолжительности и степени воздействия.

6.3.5.2 Анализ вероятности

Вероятность может относиться к вероятности события или к вероятности определенного последствия. Параметр, к которому относится значение вероятности, должен быть точно установлен, а событие или последствие, вероятность которого необходимо установить, должны быть четко определены. Для полного определения вероятности необходимо определить воздействие и его продолжительность.

Вероятность может быть описана различными способами, в том числе как математическое ожидание, вероятность или частота или в виде описательной формулировки (например, "весьма вероятно"). Если используют описательную формулировку, ее смысл должен быть определен. Вероятность может иметь неопределенность, которая может быть представлена в виде распределения значений, показывающих степень уверенности в том, что возникает конкретное значение.

Если в качестве меры уровня вероятности используют проценты, исследуемые события, по отношению к которым определяют процент, должны быть установлены.

Пример 1 - Утверждение, что шанс того, что поставка будет сорвана, составляет 5%, является неясным с точки зрения периода времени и совокупности. Также неясно, относится ли этот процент к 5% проектов или к 5% поставщиков. Более точным является утверждение: "Вероятность того, что один или несколько поставщиков сорвут поставку товаров или услуг, необходимых для проекта, в течение срока действия проекта составляет 5% от всех проектов".

Чтобы минимизировать неверные интерпретации при описании вероятности, как в качественном, так и в количественном виде должны быть четко определены период времени и совокупность в соответствии с областью определения конкретной оценки.

Пример 2 - Вероятность того, что один или несколько поставщиков не сорвут поставку необходимых товаров или услуг для проекта в течение ближайших двух месяцев, составляет 1% проектов, а в течение шести месяцев срыв поставок может произойти в 3% проектов.

Существует множество возможных смещений, которые могут повлиять на оценки вероятности. Кроме того, интерпретация оценки вероятности может применяться в зависимости от особенностей задачи. Следует позаботиться о том, чтобы понять возможные последствия индивидуальных (когнитивных) и культурных искажений.

Методы понимания последствий и вероятности описаны в В.5.

6.3.6 Анализ взаимодействий и зависимостей

Обычно между рисками существует много взаимодействий и зависимостей. Например, несколько последствий могут возникнуть по одной причине или конкретное последствие может иметь несколько причин. Возникновение одних рисков может сделать возникновение других рисков более или менее вероятными, и эти причинно-следственные связи могут образовывать цепочки или петли.

Для определения более надежной оценки риска в ситуации, когда причинно-следственные связи между рисками существенны, полезно создание причинно-следственной модели, включающей риски. Связи между рисками могут быть найдены в информации о риске, такой как сведения об общих причинах опасного события, факторах риска или общих результатах событий.

Взаимодействия между рисками могут иметь много воздействий на принятие решений, например повышение значимости деятельности, касающейся нескольких связанных рисков, или увеличение привлекательности одного варианта перед другими. Риск может поддаваться обычным методам обработки, могут быть ситуации, когда обработка одного риска имеет положительное или отрицательное значение в других местах. Действия по обработке риска могут быть объединены во времени, это позволяет значительно уменьшить объем работы и сбалансировать имеющиеся ресурсы. Скоординированный план обработки риска должен учитывать факторы, а не предполагать, что каждый риск должен быть обработан отдельно от других.

Методы анализа взаимодействий и зависимостей описаны в В.6.

6.3.7 Понимание мер риска

6.3.7.1 Определение мер риска

В некоторых ситуациях полезно использовать меру риска в виде некоторой комбинации величины возможных последствий и вероятности этих последствий. При этом могут быть использованы качественные, полуколичественные и количественные величины.

Применение качественных величин обычно предполагает использование описательных (символических) или ранговых (порядковых) шкал последствий и вероятностей.

Применение полуколичественных величин включает три варианта:

- один параметр (обычно вероятность) является количественным, а другой описательным или может быть выражен с помощью ранговой шкалы;

- шкалы делят на дискретные полосы, границам которых приписаны количественные значения. Точки на шкале часто устанавливают так, чтобы они имели логарифмическую связь сданными;

- точки шкалы ставят в соответствии с числовыми идентификаторами, значениям которых соответствуют качественные описания.

Использование полуколичественных шкал может привести к неверным толкованиям, если для всех расчетов не приведены тщательные объяснения. Поэтому полуколичественные подходы необходимо проверять и использовать с осторожностью.

Применение количественных величин предполагает использование числовых значений мер последствий и вероятностей. При выполнении количественного анализа риска необходимо обеспечить, чтобы для оценки были использованы соответствующие величины и единицы измерения.

Качественные и полуколичественные методы могут быть использованы только при сопоставлении рисков, измеряемых одним и тем же способом или с помощью критериев, выраженных в одних тех же терминах и понятиях. Качественные и полуколичественные методы не могут быть использованы для непосредственного объединения или комбинирования рисков, их очень трудно использовать в ситуациях, когда существуют как положительные, так и отрицательные последствия или когда необходим компромиссный вариант.

Если количественная оценка риска представляет собой произведение показателя последствия на вероятность, часть информации может быть потеряна. В этом случае нет различий между рисками с высокими последствиями и низкой вероятностью и рисками с низкими последствиями и высокой вероятностью. Для компенсации этого явления могут быть применены весовые коэффициенты к последствиям или вероятности; однако это следует делать с осторожностью.

Риск не всегда может быть адекватно описан или оценен как единственная величина, представляющая вероятность конкретного последствия. Примеры, когда это применимо, включают ситуации, в которых:

- последствия лучше всего выражаются в виде вероятностного распределения последствий;

- событие имеет несколько различных причин и приводит к целому ряду исходов и возможных косвенных последствий;

- последствия возникают совместно в результате постоянного воздействия источника риска;

- источники риска (например, проблемы системы) идентифицированы, но для них очень трудно определить характеристики и/или вероятность возможных последствий. (В данном случае определение достоверной оценки величины риска с точки зрения вероятности и последствий невозможно.)

Если для риска существует распределение возможных последствий, мера риска может быть получена в виде средневзвешенной по вероятности величины последствий (то есть математического ожидания). Однако такая мера не всегда подходит - она отражает среднее последствие распределения. Это приводит к потере информации о менее вероятных последствиях, которые могут быть значительными и, следовательно, важны для понимания риска. Методы работы с экстремальными значениями не включены в настоящий стандарт.

Примечание - При определении математического ожидания или среднего значения суммируют все произведения пар последствие/вероятность по распределению, это эквивалентно среднему последствий распределения.

Пример - Количественные показатели величины риска включают в себя:

- среднюю частоту реализации определенного последствия, такого как количество дорожно-транспортных происшествий на тысячу километров, в регионе;

- среднее время между исследуемыми событиями, например среднюю продолжительность работоспособного состояния объекта;

- вероятность достижения заданной конечной точки в результате определенного периода воздействия (когда последствия зависят от продолжительности воздействия), такая как вероятность возникновения рака в течение жизни в результате воздействия определенной дозы химического вещества;

- среднюю стоимость, например ожидаемую доходность или финансовую прибыль от инвестиционного периода или ожидаемую нагрузку на здравоохранение с точки зрения скорректированной инвалидности в течение жизни в расчете на миллион человек в год;

- статистику, представляющую форму распределения последствий, таких как дисперсия или волатильность доходности инвестиций;

- значения на уровне выше или ниже заданного процентиля распределения последствий.

Пример - Прибыль от проекта, вероятность достижения которой составляет 90%, или величина риска (VaR) проекта, которая показывает возможный убыток за определенный период времени с заданной вероятностью;

- экстремальную меру, связанную с распределением последствий, такую как ожидаемые максимальные последствия.

Показатели, основанные на последствиях, такие как вероятные максимальные потери, в основном используют, когда трудно определить, какие средства контроля могут отказать или где недостаточно данных для оценки вероятности.

Величина риска зависит от предположений о наличии и результативности соответствующих средств контроля. Часто используют такие термины, как присущий или общий риск (в ситуации, когда предполагается, что средства контроля работают в соответствии с назначением). Однако трудно однозначно определить эти термины, поэтому желательно всегда четко указывать предположения, сделанные относительно средств контроля.

При документировании информации о риске, как в качественном, так и в количественном виде, неопределенность, соответствующая предположениям, входным и выходным параметрам, должна быть описана.

6.3.7.2 Агрегирование показателей риска

В некоторых случаях (например, при распределении капитала) полезно объединить значения для установления одной величины риска. Могут быть объединены риски, характеризующиеся последствиями, измеряемыми в одних и тех же единицах, например в денежном выражении. То есть риски могут быть объединены только тогда, когда последствия и вероятность описаны количественно, а единицы измерений корректны. В некоторых ситуациях может быть использована мера полезности в качестве общей шкалы количественной оценки и объединения последствий, измеряемых в различных единицах измерения.

При разработке единой объединенной величины для набора более сложных рисков теряется информация о составляющих риска. Кроме того, без должного внимания при оценке объединенная величина может быть неточной и даже ошибочной. Во всех методах объединения рисков в единственную величину использованы предположения, которые следует осознать до применения метода. Данные следует проанализировать для выявления корреляций и зависимостей, которые могут повлиять на объединение рисков. Методы моделирования, используемые для определения объединенного уровня риска, должны быть подкреплены анализом сценариев и данными стресс-тестирования.

Если модели включают вычисления, включающие распределения, они должны включать учет корреляций между этими распределениями соответствующим образом. Если корреляция не учтена, результаты могут быть неточными и ошибочными. Объединение рисков простым суммированием может служить основой для принятия решений и может привести к нежелательным последствиям. Для объединения распределений может быть использовано моделирование методом Монте-Карло (см. В.5.10).

Качественные или полуколичественные показатели риска не могут быть объединены непосредственно. Таким образом, могут быть сделаны только общие качественные заявления об относительной результативности средств контроля и управления на основе изменения уровня риска.

Соответствующие данные о различных рисках могут быть объединены различными способами для помощи разработчикам при принятии решений. Можно провести качественное объединение на основе мнений экспертов с учетом более подробной информации о рисках. При проведении качественного объединения риска сделанные предположения и использованная информация должны быть записаны.

6.3.7.3 Социальный риск

Если население подвержено воздействию социального риска, простое объединение индивидуального уровня риска, умноженного на объем популяции, подверженной воздействию опасности, в большинстве случаев не адекватно отражает истинное влияние последствий. Например, риск гибели человека в результате такого события, как разрушение плотины, необходимо рассматривать по-разному для отдельного человека и для группы людей.

Социальный риск обычно выражают и оценивают в терминах соотношения между частотой возникновения последствий (F) и количеством людей, подверженных последствиям (N) (см. диаграммы F-N в В.8.3).

Методы, обеспечивающие меру риска, описаны в В.7.

6.4 Обзор результатов анализа

6.4.1 Верификация и валидация результатов

Там, где это практически осуществимо, результаты анализа должны быть верифицированы и валидированы. Верификация включает в себя проверку того, что анализ выполнен корректно. Валидация включает в себя проверку того, что сточки зрения установленных целей анализ проведен правильно. Для некоторых ситуаций верификация и валидация могут включать в себя процессы независимого анализа.

Валидация может включать в себя:

- проверку соответствия области применения анализа установленным целям;

- анализ всех критических предположений для обеспечения их достоверности в свете имеющейся информации;

- проверку использования соответствующих методов, моделей и данных;

- использование нескольких методов, аппроксимаций и анализа чувствительности для проверки и валидации выводов.

Верификация может включать в себя:

- проверку правильности математических преобразований и расчетов;

- проверку того, что результаты нечувствительны к способу отображения или представления данных и результатов;

- сравнение результатов с прошлым опытом (при наличии данных) или сравнение с результатами после их реализации;

- определение чувствительности результатов к способу отображения и представления данных или результатов и идентификация входных параметров, оказывающих существенное воздействие на результаты оценки;

- сравнение результатов с прошлым или последующим опытом, включая получение данных обратной связи стечением времени.

6.4.2 Анализ неопределенности и чувствительности

Специалисты, анализирующие риск, должны понимать наличие неопределенности в анализе и оценивать их влияние на достоверность результатов. О неопределенностях и их влиянии всегда должны быть информированы лица, принимающие решения.

Неопределенность результатов анализа может быть вызвана:

- вариабельностью рассматриваемой системы;

- получением данных из ненадежного источника, их несогласованностью или недостаточным объемом, например, при изменении типа собранных данных или методов их сбора;

- неоднозначностью понимания, например, установленных качественных идентификаторов;

- неадекватным отражением сложности системы в методе анализа;

- высокой зависимостью от мнений экспертов или суждений людей;

- отсутствием необходимых данных;

- использованием для прогнозирования данных, полученных ранее, из-за произошедших изменений;

- неопределенностями или аппроксимациями в используемых предположениях.

Если в процессе анализа выявлен недостаток достоверных данных, следует по возможности собрать дополнительные данные. Это может быть связано с внедрением новых способов мониторинга. В качестве альтернативы процесс анализа может быть скорректирован с учетом ограниченности данных.

Для оценки значимости неопределенностей в данных или в предположениях, используемых при анализе, может быть проведен анализ чувствительности. Анализ чувствительности включает в себя определение относительного изменения результатов, вызванного изменением отдельных входных параметров. Его используют для идентификации данных, которые должны быть точными, и данных, которые меньше влияют на общую точность. Параметры, к которым чувствителен анализ, и степень чувствительности должны быть указаны там, где это необходимо.

Параметры, критичные для оценки, изменение которых возможно, должны быть идентифицированы для постоянного мониторинга с тем, чтобы при необходимости оценка риска могла быть обновлена, а решения пересмотрены.

6.4.3 Мониторинг и анализ

Мониторинг используют:

- для сопоставления фактических результатов с результатами, спрогнозированными по результатам оценки риска, и, следовательно, для совершенствования оценок в будущем;

- поиска предвестников и ранних признаков возможных последствий, выявленных с помощью оценки;

- сбора данных, необходимых для хорошего понимания риска;

- поиска новых рисков и неожиданных изменений, которые могут указывать на необходимость обновления оценки.

Если анализ чувствительности указывает на параметры, имеющие особое значение для результатов анализа, они также должны быть рассмотрены для включения в мониторинг.

Оценки необходимо периодически пересматривать для идентификации наличия изменений, включая изменения в области применения, условиях и предположениях, а также при наличии новой информации или доступных новых методов.

6.5 Применение результатов для принятия решений

6.5.1 Общие положения

Результаты анализа риска служат основой для принятия решений и выполнения необходимых действий.

Примечание - Понимание риска помогает выполнению действий даже при отсутствии явного процесса принятия решений.

Факторы, рассматриваемые при принятии решений, и все установленные критерии должны быть определены при установлении области определения и условий оценки риска (см. 6.1.6).

Можно выделить два типа решений:

- решения о значимости риска, а также о том, следует ли проводить обработку риска и как это необходимо делать;

- решения по результатам сопоставления вариантов, когда каждый из вариантов имеет неопределенность (например, к какой из нескольких благоприятных возможностей надо стремиться).

6.5.2 Решения о значимости риска

Информация, полученная в результате идентификации и анализа риска, может быть использована для получения выводов о возможности принятия риска и сравнительной значимости риска по отношению к цели и пороговым показателям деятельности организации. Это обеспечивает входные данные при принятии решения о приемлемости риска или необходимости его обработки, а также обо всех приоритетах обработки.

Некоторые риски могут быть приняты на ограниченный период времени (например, на время выполнения обработки). Оценщик должен четко представлять себе механизмы принятия рисков во времени и процессы, которые будут использованы при последующем пересмотре.

Приоритеты для обработки, мониторинга или более детального анализа часто основаны на величине риска, полученной путем объединения характерных последствий и их вероятности, их отображают с использованием матрицы последствий/вероятностей (В.10.3). Этот метод имеет некоторые ограничения (см. В.10.3.5 и 6.3.7.1). Факторы, отличные от величины риска, которые должны быть учтены при принятии решений о приоритетности, включают в себя:

- другие меры, связанные с риском, такие как максимальные или средние последствия или результативности средств контроля;

- качественные характеристики событий и их возможные последствия;

- мнения и представления заинтересованных сторон;

- стоимость и целесообразность дальнейшей обработки по сравнению с полученным улучшением;

- взаимодействие между рисками, включая воздействия обработки на другие риски.

После того как риски оценены и принято решение об обработке рисков, процесс оценки рисков может быть повторен для проверки того, что предлагаемые методы обработки не создали дополнительных неблагоприятных рисков и что риск, остающийся после обработки, находится в установленных пределах (границах аппетита риска организации).

Методы оценки значимости риска описаны в В.8.

6.5.3 Решения, связанные с выбором вариантов

Выбор из нескольких вариантов обычно включает рассмотрение возможных преимуществ и недостатков каждого варианта с учетом его неопределенностей, в том числе:

- неопределенностей, соответствующих результатам варианта и оценкам затрат и преимуществ;

- возможных событий и разработок, которые могут повлиять на результаты;

- различных значений, которые заинтересованные стороны придают затратам и преимуществам;

- неопределенности заключений, сделанных на основе результатов анализа рисков, включая необходимость сохранения неизменными целей и критериев в будущем.

Такой тип решений часто принимают с использованием мнений экспертов на основе понимания результатов анализа вариантов и соответствующих им рисков, с учетом:

- необходимых компромиссов между конкурирующими целями;

- аппетита риска организации;

- различных мнений и убеждений заинтересованных сторон.

Методы, которые могут быть использованы при сопоставлении вариантов с учетом неопределенности, описаны в В.9.

6.6 Записи и отчетность об оценке рисков

Результаты оценки рисков, используемые методы, обоснование предположений и все рекомендации должны быть документированы и должно быть принято решение о том, кого и о чем следует информировать. Способ анализа и обновления записей должен быть определен.

Цель записей состоит:

- в обмене информацией о рисках с лицами, принимающими решения, и другими заинтересованными сторонами, включая руководителей;

- обеспечении учета и обоснования принятых решений;

- сохранении результатов оценки для дальнейшего использования и в качестве справочной информации;

- отслеживании изменения показателей и их тенденции;

- обеспечении уверенности в том, что риски поняты и учтены при управлении организацией;

- возможности верификации оценки риска;

- обеспечении прослеживаемости результатов аудита.

Из этого следует, что вся документация или записи должны быть представлены своевременно и в форме, понятной тем, кто их прочтет. Документы также должны обладать необходимой технической глубиной для валидации и достаточной детализацией будущего использования оценки. Представленная информация должна быть достаточной для прослеживания, анализа и валидации результатов. Предположения, ограничения в данных или методах и обоснование всех сделанных рекомендаций должны быть ясны.

Риск должен быть выражен в понятных терминах и единицах измерения, в которых количественные меры должны быть четкими и правильными.

Те, кто представляет результаты, должны характеризовать свою уверенность или уверенность своей команды в точности и полноте полученных результатов. Неопределенность должна быть адекватно сообщена таким образом, что отчет не гарантирует достоверности за рамками фактических данных.

Методы выполнения записей и отчетности описаны в В.10.

7 Выбор методов оценки риска

7.1 Общие положения

В данном разделе описаны факторы, которые следует учитывать при выборе методов для конкретной цели. В приложениях А и В перечислены и приведены разъяснения некоторых широко применяемых методов. В них описаны особенности каждого метода, его возможная область применения и присущие ему преимущества и недостатки.

Многие из методов, описанных в настоящем стандарте, были первоначально разработаны для конкретных отраслевых целей и направлены на управление конкретными типами нежелательных результатов. Несколько методов похожи, но используют различную терминологию, отражающую их самостоятельное развитие в течение определенного периода времени и аналогичное назначение в разных отраслях. Со временем применение многих из этих методов изменилось; например, расширилась область их применения до финансовых или управленческих ситуаций с рассмотрением как положительных, так и отрицательных результатов. Появились новые методы, а старые адаптированы к новым обстоятельствам. Методы и их применение продолжают развиваться. Существует возможность более глубокого понимания риска, используя методы вне их первоначальной области применения. Таким образом, в приложениях А и В указаны характеристики методов, которые могут быть использованы для определения набора обстоятельств, к которым они могут быть применены.

7.2 Выбор методов

Выбор метода и способ его применения должны быть адаптированы к условиям использования, а также должна быть представлена информация того типа и формы, которые необходимы заинтересованным сторонам. В целом количество и тип выбранных методов должны быть согласованы со значимостью принимаемых решений с учетом ограничений по времени, другим ресурсам и возможным затратам.

При принятии решения о том, какой метод (качественный или количественный) является более подходящим, основным критерием является форма результатов, наиболее используемая заинтересованными сторонами, а также доступность и достоверность данных. Количественные методы обычно требуют высококачественных данных, если они должны обеспечить значимые результаты. Однако в некоторых случаях, когда данных недостаточно, строгое применение количественного метода может обеспечить лучшее понимание риска, даже если результат расчетов может быть неопределенным.

Часто выбор метода соответствует конкретным обстоятельствам. Возможно, потребуется рассмотреть несколько методов, а применение более одного метода иногда может обеспечить полезное дополнительное понимание проблемы [2]. Различные методы также могут быть применены по мере увеличения количества доступной информации.

Поэтому при выборе метода следует учитывать следующее:

- цель оценки;

- потребности заинтересованных сторон;

- все правовые, нормативные и договорные требования;

- условия и сценарий функционирования;

- важность принятого решения (например, последствия принятия неправильного решения);

- все определенные критерии принятия решений и их форму;

- время до принятия решения;

- информацию, которая доступна или может быть получена;

- сложность ситуации;

- имеющийся опыт или знания, которые могут быть получены.

Характеристики методов, соответствующих этим требованиям, перечислены в таблице А.1. В таблице А.2 приведен перечень методов, классифицированных в соответствии с этими характеристиками.

По мере увеличения неопределенности, сложности и неоднозначности условий возрастает необходимость консультаций с более широкой группой заинтересованных сторон с последствиями для сочетания выбранных методов.

Примечание - Например, в IEC TR 63039:2016 [50] приведено руководство по использованию методов ETA, FTA и Марковских методов, так что их комбинированное использование является эффективным способом анализа риска сложных систем.

Некоторые из методов, описанных в настоящем стандарте, могут быть применены на этапах процесса менеджмента риска в дополнение к их использованию при оценке риска. Применение методов в процессе менеджмента риска показано на рисунке А.1. Таблица А.3 иллюстрирует их применение при оценке риска.

В приложении В приведены обзор каждого метода, его использование, входы и выходы, преимущества, а также ограничения и, где это применимо, ссылки на источники детальной информации. В приложении В дана классификация методов в соответствии с их основным применением при оценке риска, а именно:

- выявлением мнений заинтересованных сторон и экспертов (В.1);

- идентификацией риска (см. В.2);

- определением источников, причин и факторов риска (В.3);

- анализом существенных средств контроля (В.4);

- пониманием последствий и вероятности (см. В.5);

- анализом зависимостей и взаимодействий (см. В.6);

- обеспечением мер риска (см. В.7);

- оценкой значимости риска (см. В.8);

- выбором вариантов (см. В.9);

- выполнением записей и отчетности (см. В.10).

Внутри каждой группы методы расположены в алфавитном порядке, а не в соответствии с важностью и значимостью.

В большинстве методов, приведенных в приложении В, предполагается, что риски или источники риска могут быть идентифицированы. Существуют также методы, которые могут быть использованы для косвенной оценки остаточного риска путем рассмотрения существующих средств контроля и требований (см. МЭК 61508 [36]).

Несмотря на то, что в настоящем стандарте рассмотрены и приведены примеры методов, перечень описанных методов не является исчерпывающим и не приведены рекомендации относительно эффективности какого-либо метода в заданных обстоятельствах. Следует проявлять осторожность при выборе метода, чтобы гарантировать его применимость, достоверность и результативность.

Приложение А

(справочное)

Классификация методов

А.1 Введение в классификацию методов

В таблице А.1 приведены объяснения особенностей методов, которые могут быть использованы при выборе метода.

Таблица А.1 - Характеристики методов

А.2 Применение классификации методов

В таблице А.2 приведены методы, классифицированные в соответствии с приведенными характеристиками. Описанные методы представляют структурированные способы рассмотрения проблемы, полезные в определенных условиях. Этот перечень не является исчерпывающим, но охватывает целый ряд широко используемых методов из самых разных секторов экономики. Для простоты методы перечислены в алфавитном порядке без какого-либо приоритета.

Каждый метод более подробно описан в приложении В, как указано в колонке 1 таблицы А.2.

Таблица А.2 - Методы и ориентировочные характеристики

Под- раз- дел стан- дарта	Метод	Описание	Применение	Область приме- нения	Период времени	Уровень реше- ния	Нача- льные потреб- ности в инфор- мации/ данных	Компе- тентность специ- алистов	Кач./ колич./ полу- колич.	Усилия по приме- нению
В.8.2	ALARP/ SFAIRP	Критерии принятия решения о значимости риска и средства оценки допустимости риска	Оценка риска	1	Любой	1/2	Высокие	Высокая	Кач./ колич.	Высокие
В.5.2	Байесовский анализ	Способ вывода параметров модели на основе теоремы Байеса, позволяющий использовать эмпирические данные для априорных выводов вероятности	Анализ вероятности	Любая	Любой	Любой	Средние	Высокая	Колич.	Средние
В.5.3	Байесовские сети/ диаграммы влияния	Графическая модель переменных и их причинно- следственных связей, выраженная с помощью вероятности. Базовая байесовская сеть имеет переменные, представляющие неопределен- ность. Расширенная версия, известная как диаграмма влияния, включает переменные, представляющие неопределен- ность, последствия и действия	Идентифи- кация рисков, оценка рисков	Любая	Любой	Любой	Средние	Высокая	Колич.	Средние/ высокие
В.4.2	Анализ галстук- бабочка	Схематическое представление пути от источников риска к последствиям и анализ средств контроля	Анализ риска, анализ средств контроля, описание риска	2/3	Неболь- шой/ средний	Любой	Низкие	Низкая/ средняя	Колич./ полу- колич.	Низкие
В.1.2	Мозговой штурм	Метод ведения обсуждений, поощряющий образное мышление	Выявление мнений	Любая	Любой	Любой	Нет	Низкая/ средняя	Кач./ полу- колич.	Низкие
В.5.4	Анализ воздействия на бизнес	Анализ последствий разрушительного инцидента для организации, который определяет приоритеты восстановления деятельности организации по производству продукции/услуг и, таким образом, приоритеты деятельности и необходимые ресурсы	Анализ послед- ствий, анализ средств контроля	1	Неболь- шой/ средний	2	Средние	Низкая		Средние
В.6.1	Состав- ление карты причин	Диаграмма, представляющая события, причины, последствия и их взаимосвязи	Анализ причин	2/3	Любой	2/3	Средние	Средняя		Средние
В.5.5	Анализ причин и последствий	Сочетание анализа дерева неисправностей и дерева событий, позволяющее включить время простоев. Рассматриваются как причины, так и последствия инициирующего события	Анализ послед- ствий	2/3	Любой	2/3	Средние/ высокие	Средняя/ высокая		Средние/ высокие
В.2.2	Контроль- ные перечни, классифи- кации и таксономии	Списки, основанные на опыте, концепциях и моделях, которые могут быть использованы для идентификации рисков и средств контроля	Идентифи- кация рисков или средств контроля	2/3	Любой	Любой	Высокие при разра- ботке, низкие при исполь- зовании	Низкая/ средняя	Кач.	Низкие/ средние
В.3.2	Синдиниче- ский подход	Рассмотрение цели, значимости, правил, данных и моделей заинте- ресованных сторон и идентификация несоответствия, неясности, упущения и невежества. Формирование системных источников и драйверов риска	Иденти- фикация драйверов риска	1/2	Неболь- шой или средний	1	Низкие	Средняя	Кач.	Высокие
В.7.3	Условная сумма под риском CVaR	VaR (также называемый ожидаемым дефицитом (ES)) является мерой ожидаемых портфолио финансовых потерь в % в худших случаях	Мера риска	Любая	Неболь- шой или средний	3	Высокие	Высокая	Колич.	Средние
В.10.3	Матрица послед- ствий/ вероятности	Сопоставление индивидуальных рисков по парам последствие/ вероятность и отображение их в матрице с осями последствие и вероятность	Записи об оценке риска	Любая	Любой	Любой	Средние	Низкая для исполь- зования, средняя для разра- ботки	Кач./ полу- колич./ колич.	Низкие
В.9.2	Анализ затрат и преиму- ществ	Использование денег в качестве шкалы для оценки положительных и отрицательных вещественных нематериальных последствий различных вариантов	Сравнение вариантов	Любая	Неболь- шой или средний	Любой	Средние/ высокие	Средняя/ высокая	Колич.	Средние/ высокие
В.6.2	Анализ перекрест- ных воздействий	Оценка изменений вероятности возникновения заданного набора событий по фактическому возникновению одного из них	Анализ вероятности и причин	Любая	Неболь- шой или средний	Любой	От низких до высоких	Средняя/ высокая	Колич.	Средние/ высокие
В.9.3	Анализ дерева решений	Использование древовидного представления или модели принятия решений и их возможных последствий. Результаты обычно выражают в денежных единицах или в терминах преимуществ. Альтернативным представлением дерева решений является диаграмма влияния (см. В.5.3)	Сопостав- ление вариантов	Любая	Любой	2	Низкие/ средние	Средняя	Колич.	Средние
В.1.3	Метод Дельфи	Сбор суждений с помощью после- довательного анкетирования. Люди участвуют индивидуально, но получают обратную связь по ответам других людей после каждого набора ответов	Сбор мнений	Любая	Любой	Любой	Нет	Средняя	Кач.	Средние
В.5.6	Анализ дерева событий (ETA)	Моделирует возможные исходы данного инициирующего события и состояние средств контроля, таким образом анализируя частоту или вероятность различных возможных исходов	Анализ послед- ствий, анализ средств контроля	2/3	Любой	Любой	Низкие/ средние	Средняя	Кач./ колич.	Средние
В.5.7	Анализ дерева неисправ- ностей (FTA)	Анализ причин возникновения события с помощью Булевой логики для описания комбинаций отказов. Варианты включают в себя дерево успеха, где высшим событием является желаемое событие, и дерево причин используют для исследования прошлых событий	Анализ вероятности и причин	2/3	Средний	2/3	Высокие для колич. анализа	Зависит от слож- ности	Кач./ колич.	Средние/ высокие
В.2.3	Анализ видов и последствий критичности отказов FME (C)A	Рассмотрение способов отказа каждого компонента, причин и последствий отказа. После FMEA может быть выполнен анализ критичности, который определяет значимость каждого вида отказа (FMECA)	Идентифи- кация риска	2/3	Любой	2/3	Зависит от приме- нения	Средняя	Кач./ полу- колич./ колич.	Низкие/ высокие
В.8.3	F/N диаграммы	Частный случай количественного графика последствий/ вероятности применительно к рассмотрению допустимости риска для жизни человека	Оценка риска	1	Любой	Любой	Высокие	Высокая	Колич.	Высокие
В.9.4	Теория игр	Изучение принятия стратегических решений для моделирования влияния решений участвующих в игре игроков. Примером области применения может быть ценообразование с учетом риска	Решение о выборе варианта	1	Средний	1,2	Высокие	Высокая		Средние/ высокие
В.4.3	Анализ опасности и критических контроль- ных точек (HACCP)	Анализ снижения риска, которое может быть достигнуто различными слоями защиты	Анализ монито- ринга средств контроля	2/3	Неболь- шой/ средний	2/3	Средние	Средняя	Кач.	Средние
В.2.4	Исследо- вание опасности и работоспо- собности (HAZOP)	Структуриро- ванное и систематическое изучение планируемого или существующего процесса или действия для выявления и оценки проблем, которые могут представлять риск для персонала или оборудования, или нарушения эффективной работы	Идентифи- кация и анализ риска	3	Средний/ продол- житель- ный	2/3	Средние	У фасили- татора высокая, у участ- ников средняя	Кач.	Средние/ высокие
В.5.8	Анализ надежности человече- ского фактора (HRA)	Набор методов идентификации возможных ошибок человека и оценки вероятности отказа	Анализ риска и источники риска	2/3	Любой	2/3	Средние	Высокая	Кач./ колич.	От средних до высоких
В.1.5	Метод интервью	Структуриро- ванное или полуструктури- рованное обсуждение с глазу на глаз для выяснения мнений	Выяснение мнений	Любая	Любой	Любой	Нет	Средняя	Кач.	Высокие
В.3.3	Анализ Исикавы (метод рыбного скелета)	Идентификация факторов, способствующих определенному результату (желательному или нежелательному). Факторы обычно разделяют на предопреде- ленные категории и отображают в виде диаграммы рыбного скелета	Анализ источников риска	Любая	Любой	Любой	Низкие	Средняя	Кач.	Низкие
В.4.4	Анализ уровней защиты (LOPA)	Анализ снижения риска, который может быть достигнут различными слоями защиты	Анализ средств контроля	3	Любой	2/3	Средние	Средняя/ высокая	Кач./ колич.	Средние/ высокие
В.5.9	Марковский анализ	Вычисление вероятности того, что система, которая может находиться в одном из нескольких состояний, будет находиться в определенном состоянии в заданный момент времени в будущем	Анализ вероятности	3	Любой	2/3	Средние/ высокие	Высокая	Квант	Средние
В.5.10	Анализ методом Монте- Карло	Вычисление вероятности исходов с помощью моделирования с использованием случайных переменных	Анализ вероятности	Любая	Любой	Любой	Средние	Высокая	Колич.	Средние/ высокие

А.3 Использование методов в процессе ИСО 31000

В таблице А.3 приведен перечень степени применимости каждого метода на различных стадиях оценки риска, а именно идентификации риска, анализа риска и оценки риска. Некоторые из методов также используют на других этапах процесса. Это показано на рисунке А.1.

Рисунок А.1 - Применение методов в процессе менеджмента риска ИСО 31000 [3]

Примечание - Рисунок А.1 является иллюстративным и не содержит исчерпывающий перечень методов, которые могут быть использованы на каждом этапе.

Таблица А.3 - Применимость методов в процессе ИСО 31000

Приложение В

(справочное)

Описание приемов

В.1 Методы выявления мнений заинтересованных сторон и экспертов

В.1.1 Общие положения

Некоторые из методов, описанных в В.2-В.7, предусматривают использование исходных данных, полученных от заинтересованных сторон и экспертов. Это обеспечивает широкий спектр экспертиз и позволяет вовлекать заинтересованные стороны. Мнения заинтересованных сторон и экспертов могут быть получены на индивидуальной основе (например, путем интервью или опроса) или с использованием групповых методов, таких как мозговой штурм, метод номинальной группы или метод Дельфи. Мнения могут включать в себя раскрытие информации, выражение точки зрения или творческих идей. В В.1 описаны некоторые методы, которые могут быть использованы для получения информации или достижения консенсуса.

В некоторых ситуациях заинтересованные стороны обладают определенным опытом, выполняют определенные функции, и расхождения между ними в мнении невелики. Однако иногда можно ожидать значительного расхождения мнений заинтересованных сторон, могут существовать властные структуры и другие факторы, влияющие на взаимодействие людей. Эти факторы влияют на выбор используемого метода. Количество заинтересованных сторон, которые должны быть проконсультированы, временные ограничения и практические возможности сбора всех необходимых участников вместе влияют на выбор метода.

При использовании группового метода для ведения заседания важно участие опытного и квалифицированного фасилитатора, это позволяет достичь хороших результатов. Функции фасилитатора (координатора) состоят:

- в организации команды;

- получении и распространении соответствующей информации и данных до начала совещания/совместной работы;

- подготовке эффективной структуры и формата встречи/сотрудничества;

- стимулировании творческого мышления для улучшения понимания и генерирования идей;

- проверке того, что результаты точны и максимально свободны от предвзятости.

Контрольные перечни, полученные по результатам классификаций и таксономий, могут быть использованы как часть процесса (см. В.2.2).

Любая методика получения информации, опирающаяся на восприятие и мнения людей, может быть ненадежной и зависеть от различных предубеждений, таких как предубеждение доступности (склонности к переоценке вероятности события), иллюзия, кластеризации (склонности к переоценке значимости малых кластеров в большой выборке) или влияние моды (склонность делать или верить в то, что делают или во что верят другие).

Руководство по функциональному анализу, которое может быть использовано для уменьшения смещения и концентрации творческого мышления на наиболее важных аспектах, приведено в EN 12973 [4].

Информация, на которой основаны выводы и все сделанные предположения, должна быть документирована.

В.1.2 Мозговой штурм

В.1.2.1 Краткое описание

Мозговой штурм - это процесс, используемый для стимулирования и поощрения группы людей к разработке идей, связанных какой-либо темой. Термин "мозговой штурм" часто используют очень свободно, имея в виду любой вид группового обсуждения, но эффективный мозговой штурм требует сознательных усилий для гарантии того, что идеи членов группы стимулируют творчество каждого из остальных участников. Любой анализ или критику идей проводят отдельно от заседания мозгового штурма.

Метод дает наилучшие результаты при наличии эксперта-фасилитатора, который может провести стимуляцию творчества участников без ограничения свободы мышления. Фасилитатор стимулирует группу к охвату всех соответствующих областей и гарантирует, что высказанные идеи будут использованы для последующего анализа.

Мозговой штурм может быть структурированным или неструктурированным. Для структурированного мозгового штурма фасилитатор разбивает обсуждаемый вопрос на разделы и использует подготовленные подсказки для генерации идей на новую тему, когда предыдущая исчерпана. Неструктурированный мозговой штурм часто менее формален. В обоих случаях фасилитатор запускает цепочку идей, а каждый участник генерирует свои идеи. Фасилитатор поддерживает необходимый темп, чтобы позволить идеям вызвать латеральное мышление. Фасилитатор может предложить новое направление или применить другой способ творческого мышления, когда одно направление является исчерпанным или обсуждение слишком далеко отклоняется от цели. Цель состоит в том, чтобы собрать как можно больше разнообразных идей для последующего анализа.

Показано, что на практике группы генерируют меньше идей, чем те же люди, работающие индивидуально. Например:

- в группе идеи людей направлены на сужение темы, а не на разнообразие подходов;

- задержки в ожидании очереди для высказывания, как правило, блокируют идеи;

- люди, как правило, в группе меньше умственно работают.

Эти тенденции могут быть уменьшены путем:

- предоставления людям возможности работать в одиночку в течение какого-то времени;

- диверсификации команд и изменения состава команд;

- комбинирования с такими методами, как метод номинальной группы (В.1.4) или электронный мозговой штурм. Это поощряет более активное индивидуальное участие и может обеспечить анонимное участие, что позволяет избежать личных, политических и культурных проблем.

В.1.2.2 Использование

Мозговой штурм может быть применен на любом уровне организации для выявления неопределенностей, успехов или видов, причин, последствий отказов, критериев принятия решений или вариантов обработки риска. Количественное использование возможно только в структурированной форме для обеспечения учета предубеждений, особенно при привлечении всех заинтересованных сторон. Мозговой штурм стимулирует творчество и поэтому очень полезен при работе над инновационными проектами, продукцией и процессами.

В.1.2.3 Входы

Мозговой штурм выявляет мнения участников, поэтому меньше нуждается в данных или внешней информации, чем другие методы. Участники должны иметь квалификацию, опыт и широту взглядов, необходимые для решения поставленной задачи. Как правило, для того, чтобы мозговой штурм был продуктивным, необходим квалифицированный фасилитатор.

В.1.2.4 Выходы

Результаты представляют собой перечень всех идей, сгенерированных в ходе обсуждений, и возникших соображений.

В.1.2.5 Преимущества и недостатки

Преимуществами мозгового штурма являются:

- стимулирование воображения и творчества, что помогает выявить новые виды риска и новые решения;

- возможность применения в ситуациях, когда мало или вообще нет данных, используются новые технологии или требуются новые решения;

- вовлечение ключевых заинтересованных сторон и, следовательно, повышение обмена информацией и взаимодействия с заинтересованными сторонами;

- относительная быстрота и легкость применения

К недостаткам относится следующее:

- трудность подтверждения того, что процесс был всеобъемлющим;

- как правило, меньшее генерирование идей в группе, чем людьми, работающими в одиночку;

- неактивность в группе некоторых людей, имеющих ценные идеи, пока доминируют в дискуссии другие участники. Это может быть преодолено действиями квалифицированного фасилитатора;

- отклонение обсуждения от рассматриваемого вопроса, на что уходит время на совещании.

В.1.2.6 Справочные документы

[5] PROCTOR, A. (2009). Creative problem solving for managers

[6] GOLDENBERG, Olga, WILEY, Jennifer. Quality, conformity, and conflict: Questioning the assumptions of Osborn’s brainstorming technique

В.1.3 Метод Дельфи

В.1.3.1 Краткое описание

Метод Дельфи - это процедура достижения консенсуса мнений в группе экспертов. Это метод сбора и сопоставления мнений по конкретной теме с помощью набора последовательных вопросников. Существенной особенностью метода Дельфи является то, что эксперты выражают свои мнения индивидуально, независимо и анонимно, имея доступ к мнениям других экспертов по мере продвижения процесса.

Группу экспертов независимо знакомят с рассматриваемыми вопросами. Информацию, полученную в ходе первого раунда изучения вопросов, анализируют и направляют участникам обсуждения, которые могут пересмотреть свои первоначальные ответы. Участники дискуссии дают новые ответы, и процесс повторяется до тех пор, пока не будет достигнут консенсус. Если один участник дискуссии или меньшинство участников дискуссии последовательно придерживаются своего мнения, это может свидетельствовать о том, что у них есть важная информация или важная точка зрения.

В.1.3.2 Использование

Метод Дельфи используют для решения сложных задач, в отношении которых существует неопределенность, для устранения которой необходимо экспертное заключение. Метод может быть использован в прогнозировании и политике, а также для достижения консенсуса или устранения разногласий между экспертами. Его можно использовать для идентификации рисков (с положительными и отрицательными результатами), угроз, возможностей и достижения компромисса вероятности и последствий будущих событий. Метод обычно применяют на стратегическом или тактическом уровнях. Первоначально метод использовали для долгосрочного прогнозирования, но он может быть применен к любому временному интервалу.

В.1.3.3 Входы

Метод основан на знаниях и постоянном сотрудничестве участников в течение различных периодов времени, которые могут измеряться днями, неделями, месяцами или даже годами.

Количество участников может варьироваться от нескольких человек до сотен человек. Анкеты могут быть в бумажной или электронной форме. Использование технологических систем помогает обеспечить гибкость и точность представления информации участникам на каждом цикле.

В.1.3.4 Выходы

Консенсус по рассматриваемому вопросу.

В.1.3.5 Преимущества и недостатки

Достоинства метода включают следующее:

- поскольку мнения анонимны, более вероятно появление непопулярных мнений, но меньше предвзятости;

- все взгляды имеют равное значение, что позволяет избежать проблемы доминирования личностей;

- метод обеспечивает авторство результатов;

- участники не должны находиться в одном месте в одно время;

- у участников есть время для обдуманного ответа на поставленные вопросы;

- эксперты уделяют все свое внимание исследуемой задаче.

Недостатки охватывают следующее:

- метод представляет собой длительный и трудоемкий процесс;

- участники должны уметь ясно выражать свои мысли в письменной форме.

В.1.3.6 Справочный документ

[7] ROWE, G., WRIGHT, G. The Delphi technique: Past, present, and future prospects. Technological forecasting and social change 2011, 78, Special Delphi Issue

В.1.4 Метод номинальной группы

В.1.4.1 Краткое описание

Метод номинальной группы, как и мозговой штурм, направлен на сбор идей. Сначала ищут индивидуальные мнения без взаимодействия между членами группы, затем обсуждают их в группе.

Процесс заключается в следующем:

- фасилитатор направляет каждому члену группы вопросы для рассмотрения;

- участники записывают свои идеи молча и независимо;

- затем каждый член группы представляет свои идеи без обсуждения. Если в группе одни голоса имеют больший вес, чем другие, идеи могут быть переданы фасилитатору анонимно. Затем участники могут пытаться найти дальнейшие разъяснения;

- затем группа обсуждает идеи для составления согласованного перечня;

- члены группы голосуют за идеи в частном порядке, на основе этого голосования выносится решение группы.

В.1.4.2 Использование

Метод номинальной группы может быть использован в качестве альтернативы метода мозгового штурма. Метод также полезен для ранжирования идей внутри группы.

В.1.4.3 Входы

Идеи и опыт участников.

В.1.4.4 Выходы

Идеи, решения, выводы.

В.1.4.5 Преимущества и недостатки

Преимуществами метода номинальной группы является следующее:

- в ситуации, когда мнение некоторых членов группы является более значимым, чем другие, метод обеспечивает более сбалансированную точку зрения, чем мозговой штурм;

- метод обеспечивает равноправие участников, если все или некоторые члены группы являются новичками, имеются спорные вопросы или конфликты в команде;

- показано, что метод генерирует большее количество идей, чем мозговой штурм;

- метод уменьшает давление на участников по склонению к мнению большинства в группе;

- можно достичь консенсуса в относительно короткие сроки.

К недостаткам относится следующее:

- перекрестная проработка идей ограничена;

- одни и те же идеи могут быть выражены по-разному, это затрудняет их сопоставление.

В.1.4.6 Справочный документ

[8] MCDONALD, D., BAMMER, G. and DEANE, P. Research Integration Using Dialogue Methods

Примечание - Ссылка также содержит подробные сведения о ряде других методов, некоторые из которых также обсуждаются в этом разделе документа.

В.1.5 Структурированные или частично структурированные интервью

В.1.5.1 Общие положения

В структурированном интервью каждому интервьюируемому задают заранее подготовленные вопросы. Частично структурированное интервью аналогично структурированному, однако оно обеспечивает больше свободы для обсуждения исследуемой проблемы. В частично структурированном интервью имеется возможность исследовать области, которые хотел бы охватить интервьюируемый.

Вопросы должны быть проверены людьми аналогичной квалификации с интервьюируемыми на предмет исключения двусмысленности, понятности и соответствия намеченным проблемам. Следует позаботиться о том, чтобы "не вести" собеседника.

В.1.5.2 Использование

Структурированные и частично структурированные интервью являются способом получения углубленной информации и мнений отдельных людей в группе. Их ответы могут быть конфиденциальными, если это необходимо. Метод позволяет получить исчерпывающую информацию в тех случаях, когда у участников нет предвзятости по отношению к мнениям других членов группы.

Метод полезен, если трудно собрать людей в одном и том же месте в одно и то же время или если свободное обсуждение в группе не подходит для данной ситуации или вовлеченных людей. Кроме того, можно получить более подробную информацию в интервью, чем это возможно при опросе или в организации. Интервью можно использовать на любом уровне организации.

В.1.5.3 Входы

Входными данными являются четкое понимание необходимой информации и подготовленный набор вопросов, которые были проверены на пилотной группе.

Те, кто проектирует интервью, и интервьюеры нуждаются в некоторых навыках, чтобы получить хорошие валидные ответы, не окрашенные собственными предубеждениями интервьюеров.

В.1.5.4 Выходы

Результат - это требуемая подробная информация.

В.1.5.5 Преимущества и недостатки

Преимущества структурированных интервью заключаются в следующем:

- интервью дают участникам время для обдуманного ответа на вопросы;

- индивидуальное общение допускает более глубокое рассмотрение вопросов, чем в группе;

- структурированные интервью позволяют вовлечь большее количество заинтересованных сторон, чем обсуждение в группе.

Недостатки метода включают следующее:

- интервью отнимают много времени на разработку, проведение и анализ;

- интервью требуют некоторого опыта для разработки, если ответы должны быть непредвзятыми;

- предвзятость в отношении респондента терпима, не смягчается и не устраняется при обсуждении в группе;

- интервью не требует воображения (что является особенностью групповых методов);

- частично структурированные интервью дают значительный объем информации, выраженной словами интервьюируемого. Бывает трудно однозначно преобразовать эти слова в форму, поддающуюся анализу.

В.1.5.6 Справочные документы

[9] HARRELL, M.C., BRADLEY, M.A. 2009, Data collection methods - A training Manual - Semi structured interviews and focus groups

[10] GILL, J., JOHNSON, R 2010, Research methods for managers

В.1.6 Метод опроса

В.1.6.1 Краткое описание

Опросы обычно более привлекательны для людей, чем интервью, и содержат меньше вопросов. Как правило, опрос проводят с использованием вопросника (компьютерного или бумажного). Вопросы часто предлагают ответы "Да"/"нет", выбор из рейтинговой шкалы или выбор из ряда вариантов. Это позволяет проводить статистический анализ полученных результатов, что является особенностью таких методов. В вопросник может быть включено несколько вопросов, предполагающих свободные ответы, но их количество должно быть ограничено, поскольку затрудняет анализ.

В.1.6.2 Использование

Опросы могут быть использованы в любой ситуации, когда необходимо знать мнение большой группы заинтересованных сторон, в частности когда от большого количества людей требуется относительно мало информации.

В.1.6.3 Входы

Предварительно протестированные, однозначные вопросы, предназначенные для большой репрезентативной выборки людей, желающих участвовать в опросе. Количество ответов должно быть достаточным для обеспечения статистической достоверности. (Процент возврата часто невелик, а это означает, что необходимо разослать большое количество анкет.) При разработке опросника необходим некоторый опыт, что позволяет достичь полезных результатов при статистическом анализе.

В.1.6.4 Выходы

Результатом является анализ мнений различных людей, часто в графической форме.

В.1.6.5 Преимущества и недостатки

Преимущества метода состоят в следующем:

- может быть задействовано большее количество людей, чем для интервью, что обеспечивает получение большего количества информации обследуемой группы;

- проведение опросов имеет относительно низкую стоимость, особенно при использовании онлайн-программного обеспечения, способного выполнить некоторый статистический анализ;

- может быть представлена статистически достоверная информация;

- результаты могут быть сведены в таблицу и понятны, обычно возможно графическое представление;

- отчет об обследованиях может быть относительно легко подготовлен и представлен заинтересованным сторонам.

Недостатки метода включают следующее:

- суть вопросов должна быть простой и недвусмысленной;

- обычно для интерпретации результатов необходима некоторая демографическая информация;

- количество вопросов ограничено, если ожидается достаточное количество респондентов;

- отсутствует возможность давать объяснения к вопросу, поэтому респонденты могут интерпретировать вопросы иначе, чем предполагали разработчики;

- трудно сформулировать вопросы, которые не подталкивают респондентов к конкретному ответу;

- опросники, как правило, имеют основополагающие предположения, которые могут оказаться неверными;

- трудно получить хороший и беспристрастный ответ.

В.1.6.6 Справочные документы

[11] SAUNDERS, M., LEWIS, P. THORNHILL, A. 2016, Research Methods for Business Students

[12] UNIVERSITY OF KANSAS COMMUNITY TOOL BOX, Section 13: Conducting surveys

В.2 Методы идентификации риска

В.2.1 Общие положения

Методы идентификации риска охватывают:

- методы, основанные на фактических данных, такие, как анализ исторических данных из литературы;

- эмпирические методы, включая тестирование и моделирование для определения того, что может произойти в конкретных условиях;

- опросы мнений широкого круга квалифицированных людей;

- методы, в которых рассматриваемый объект делят на более мелкие элементы, каждый из которых рассматривают, в свою очередь исследуют с использованием вопросов "что, если".

Примеры: HAZOP (В.2.4), FMEA (В.2.3) и SWIFT (В.2.6);

- методы, стимулирующие творческое мышление о возможностях в будущем, такие как анализ сценариев (В.2.5);

- контрольные перечни или таксономия, основанные на полученных ранее данных или теоретических моделях (В.2.2).

Методы, описанные в В.2, являются примерами некоторых структурированных подходов к идентификации риска. Структурированный метод является более комплексным, чем неструктурированный или частично структурированный, его легко использовать для демонстрации должной тщательности идентификации риска.

Использование нескольких методов, включая как методы "сверху вниз", так и методы "снизу вверх", способствует комплексной идентификации риска. Подходы, которые ставят под сомнение результаты идентификации риска (например, группа красных), также могут быть использованы для проверки того, что все соответствующие риски идентифицированы.

Примечание - Группа красных - это способ рассмотрения проблемы с точки зрения противника или конкурента [13].

Описанные методы могут задействовать много заинтересованных сторон и экспертов. Методы, которые могут быть использованы для получения мнений, как индивидуальных, так и групповых, описаны в В.1.

В.2.2 Контрольные перечни, классификации и таксономии

В.2.2.1 Общие положения

Контрольные перечни используют при оценке рисков различными способами, например для содействия пониманию условий и области применения оценки риска при группировке рисков в процессе анализа. Контрольные перечни также используют при менеджменте риска, например при классификации средств контроля, и обработке риска, для определения обязанностей и ответственности, а также при составлении отчетов и обмене информацией о риске.

Контрольный перечень может быть основан на данных о прошлых отказах и успехах, но более формально типологии и таксономии риска могут быть разработаны для категоризации и классификации рисков на основе общих свойств. В чистом виде типологии представляют собой концептуально выведенную схему классификации "сверху вниз", а таксономии являются эмпирически или теоретически выведенной "восходящей" схемой классификации. Гибридные формы обычно используют оба эти подхода.

Таксономии рисков являются взаимоисключающими и коллективно исчерпывающими (исключают пересечения и пробелы). Классификация рисков может быть сосредоточена на выделении отдельной конкретной категории рисков для более тщательного изучения.

Как типологии, так и таксономии могут быть иерархическими с несколькими развитыми уровнями классификации. Любая таксономия должна быть иерархической и иметь возможность деления на более мелкие уровни. Это помогает поддерживать управляемое количество категорий, а также способствует достижению достаточной детализации.

В.2.2.2 Использование

Контрольные перечни, классификации и таксономии могут быть разработаны для применения на стратегическом или оперативном уровнях. Они могут быть применены с помощью анкет, интервью, структурированных семинаров или комбинации всех трех методов - очных или компьютерных.

Примеры часто используемых контрольных перечней, классификаций или таксономий, используемых на стратегическом уровне, включают следующее:

- метод SWOT (сильные и слабые стороны, возможности и угрозы) выявляет факторы внутренних, а также внешних условий и помогает установить цели и разработать стратегии их достижения с учетом риска;

- PESTLE, STEEP, STEEPLED и т.д. - это аббревиатуры, представляющие типы факторов, которые следует учитывать при установлении условий и области применения оценки риска и идентификации риска [14]. Аббревиатуры обозначают политические, экономические, социальные, технологические, экологические, правовые, этические и демографические факторы. Для конкретной ситуации могут быть выбраны соответствующие категории и разработаны контрольные перечни по каждой категории;

- рассмотрение стратегических целей, критических факторов успеха для достижения целей, угроз для факторов успеха и условий реализации риска. Исходя из этого могут быть разработаны методы обработки риска и индикаторы раннего предупреждения реализации риска.

На оперативном уровне для выявления опасностей используют контрольные перечни опасностей, метод HAZID и предварительный анализ опасности (PHA) [15]. Предварительную оценку риска для нарушения безопасности обычно выполняют на ранней стадии разработки проекта.

Классификацию рисков обычно выполняют:

- по источникам риска: рыночные цены, дефолт контрагента, мошенничество, угрозы безопасности и т.п.;

- по последствиям, аспектам или характеристикам целей или деятельности.

Заранее установленные категории риска могут быть полезны в качестве направлений анализа в полном наборе вопросов. Однако трудно гарантировать, что в этом случае категории будут исчерпывающими; из-за того, что анализ направлен по определенным вопросам, некоторые аспекты риска могут быть упущены.

Контрольные перечни, типологии и таксономии используют и в других методах, описанных в настоящем стандарте; например, ключевые слова в HAZOP В.2.4 и категории в анализе Исикавы (В.3.3). Таксономия, которая может быть использована для анализа человеческого фактора при идентификации риска, приведена в МЭК 62740:2015 [16]

В целом чем конкретнее контрольный перечень, тем более ограничено его использование в конкретном случае, для которого он разработан. Слова, дающие общие подсказки, обычно стимулируют творческий подход к идентификации рисков.

В.2.2.3 Входы

Исходными данными являются данные или модели, на основе которых разрабатывают правильные контрольные перечни, таксономии или классификации.

В.2.2.4 Выходы

Выходы:

- контрольные перечни, подсказки или категории и схемы классификации;

- понимание риска в результате использования контрольных перечней, подсказок, категорий, классов, включая (в некоторых случаях) перечни рисков и группировку рисков.

В.2.2.5 Преимущества и недостатки

Преимущества контрольных перечней, таксономий, типологий включают следующее:

- содействие общему пониманию риска и заинтересованных сторон;

- при правильном применении для неэкспертов метод приносит широкий спектр знаний в простой в использовании форме;

- после разработки не требуют обширных проверок специалистами.

Недостатки метода включают следующее:

- в новых ситуациях, когда нет релевантной прошлой истории, или в ситуациях, отличных от ситуации, для которой была разработана классификация, использование перечней, таксономий и типологий невозможно;

- метод использует то, что уже известно или можно представить;

- классификация часто носит общий характер и не может быть применена к конкретным обстоятельствам;

- сложность может препятствовать выявлению взаимосвязей (например, взаимосвязей и альтернативных вариантов группировки);

- недостаток информации может привести к дублированию и/или пробелам (например, схемы не являются исключающими и совместно исчерпывающими);

- поощрение ответов типа "поставьте галочку" не способствует исследованию идей.

В.2.2.6 Справочные документы

[17] BROUGHTON, Vanda, Essential classification

[18] BAILEY, Kenneth, Typologies and taxonomies: An introduction to classification techniques

[19] VDI 2225 Blatt 1, Konstruktionsmethodik-Technisch-wirtschaftliches Konstruieren - Vereinfachte Kostenermittlung, 1997 Beuth Verlag

В.2.3 Анализ видов и последствий отказов (FMEA) и анализ видов, последствий и критичности отказов (FMECA)

В.2.3.1 Краткое описание

При выполнении FMEA команда подразделяет аппаратное обеспечение, систему, процесс или процедуру на элементы. Для каждого элемента используют способы, которыми он может отказать, а также причины и последствия отказа. FMEA может сопровождаться анализом критичности, который определяет значимость каждого вида отказа (FMECA).

Для каждого элемента записывают следующее:

- функцию;

- отказ, который может произойти (вид отказа);

- механизмы, которые могут привести к таким видам отказа;

- особенности последствий в случае реализации отказа;

- является ли отказ безвредным или наносит ущерб;

- как и когда отказ можно обнаружить;

- существующее обеспечение для компенсации отказа.

При выполнении FMECA исследовательская группа классифицирует каждый из выявленных видов отказа в соответствии с его критичностью. Можно использовать несколько различных методов критичности. Наиболее часто используемые - это качественная, полуколичественная или количественная матрица последствий/вероятности (В.10.3) или ранг приоритетности риска (RPN). Количественная мера критичности также может быть получена на основе фактической интенсивности отказов, а также количественная мера последствий, если она известна.

Примечание - RPN - Метод (В.8.6), который использует произведение рангов последствий отказа, вероятности отказа и возможности обнаружения проблемы (обнаружение). Отказу присваивают более высокий приоритет, если его трудно обнаружить.

В.2.3.2 Использование

Метод FMEA/FMECA может быть использован при проектировании, производстве и эксплуатации физической системы для улучшения конструкций, выбора одного из вариантов конструкции или планирования программы технического обслуживания. Метод также может быть применен к процессам и процедурам, таким как медицинские процедуры и производственные процессы. Он может быть выполнен на любом уровне системы, от крупных составных частей до компонент системы или этапов процесса.

FMEA может быть использован для представления информации для таких методов анализа, как анализ дерева неисправностей. Он может давать исходные данные для анализа первопричин.

В.2.3.3 Входы

Исходные данные включают информацию об исследуемой системе и ее элементах в достаточно подробной степени для содержательного анализа способов, отказа каждого элемента и последствий такого отказа, если он произойдет. Необходимая информация может включать чертежи и блок-схемы, детали условий окружающей среды, в которых работает система, а также хронологическую информацию об отказах там, где она имеется.

FMEA обычно выполняет команда, обладающая глубокими знаниями об исследуемой системе под руководством опытного фасилитатора. Важно, чтобы команда охватила все области проверки.

В.2.3.4 Выходы

Результатами FMEA являются:

- перечень видов, последствий, причин отказов и существующих средств контроля;

- мера критичности каждого вида отказа (в FMECA) и методология, используемая для его определения;

- все рекомендуемые действия, например, для дальнейшего анализа, изменения конструкции или свойств объекта, которые должны быть включены в программу испытаний.

FMECA обычно обеспечивает качественное ранжирование значимости видов отказов, но может дать количественные результаты при использовании данных об интенсивности и последствиях отказов.

В.2.3.5 Преимущества и недостатки

Преимущества FMEA/FMECA включают в себя следующее:

- методы могут быть применены как к человеческим, так и к техническим системам, аппаратным средствам, программному обеспечению и процедурам;

- методы позволяют определить виды отказов, их причины и последствия для системы, а также представляют их в удобном формате;

- методы позволяют избежать необходимости дорогостоящих модификаций оборудования в процессе эксплуатации, выявляя проблемы на ранней стадии проектирования объекта;

- методы обеспечивают исходные данные для программ технического обслуживания и мониторинга, выделяя ключевые свойства объекта для их мониторинга.

Недостатки методов включают следующее:

- FMEA может быть использован для идентификации только одиночных видов отказов, а не комбинаций видов отказов;

при отсутствии надлежащего контроля и целенаправленности исследования могут быть продолжительными и дорогостоящими;

для сложных многоуровневых систем FMEA может быть трудным и утомительным.

В.2.3.6 Справочный документ

[20] IEC 60812, Failure modes and effects analysis (FMEA and FMECA)

В.2.4 Исследование опасности и работоспособности (HAZOP)

В.2.4.1 Краткое описание

Исследование HAZOP - это структурированное и систематизированное исследование планируемых или существующих процесса, процедуры или системы, включающее выявление возможных отклонений от проекта и исследование их возможных причин и последствий.

В рамках небольшого семинара исследовательская группа:

- разделяет систему, процесс или процедуру на более мелкие элементы;

- согласовывает для каждого элемента его назначение в соответствии с проектом, включая определение соответствующих параметров (таких, как расход, температура и т.п.);

- применяет управляющие слова последовательно к каждому параметру для каждого элемента, устанавливает возможные отклонения параметра от проектного замысла, которые могут привести к нежелательным результатам.

Примечание - Не все комбинации параметров и управляющих слов имеют смысл;

- согласовывает причины и последствия в каждом конкретном случае, предлагая действия по их обработке;

- документирует обсуждение и согласовывает возможные действия по обработке выявленных рисков

В таблице В.1 приведены примеры часто используемых управляющих слов для технических систем. Подобные управляющие слова, такие как "слишком рано", "слишком поздно", "слишком много", "слишком мало", "слишком долго", "слишком быстро", "неправильное направление", "неправильный объект", "неправильное действие", могут быть использованы для идентификации видов ошибок человека.

Управляющие слова применяют к таким параметрам, как:

- физические свойства материала или процесса;

- физические условия, такие как температура или скорость;

- синхронизация;

- установленное назначение компонента системы или конструкции (например, передача информации);

- эксплуатационные аспекты.

Таблица В.1 - Примеры основных управляющих слов

В.2.4.2 Использование

Исследование HAZOP первоначально разработано для анализа систем химических процессов, но затем было распространено на другие типы систем, включая механические, электронные и электрические системы, программные комплексы, организационные изменения, поведение человека, разработку юридических документов и их анализ.

Процесс HAZOP может работать со всеми формами отклонений от проектного замысла в конструкции, компонентах, планируемых процедурах и действий человека. Метод обычно используют для улучшения конструкции или идентификации риска, связанного с изменением конструкции. Обычно метод применяют на этапе детального проектирования, когда доступна информация о полной схеме предполагаемого процесса и поддерживающей конструкции, но конструктивные изменения все еще практически осуществимы. Исследование может быть выполнено поэтапно, с различными управляющими словами для каждого этапа, по мере детальной разработки конструкции. Исследование HAZOP также может быть выполнено во время работы, но необходимые изменения на этом этапе могут быть затратными.

В.2.4.3 Входы

Исходные данные включают текущую информацию об исследуемой системе, а также о назначении и технических характеристиках конструкции. Для оборудования информация может включать чертежи, спецификации, технологические схемы, схемы управления процессами и логические схемы, а также процедуры эксплуатации и технического обслуживания. Для объектов, не связанных с оборудованием, входом может быть любой документ, который описывает функции и элементы исследуемой системы или процедуры, например организационные диаграммы, описание обязанностей персонала, а также проект контракта или проект процедуры.

Исследование HAZOP обычно проводит междисциплинарная команда, в которую должны входить конструкторы и операторы системы, а также лица, не имеющие непосредственного отношения к проектированию или системе, рассматриваемому процессу или процедуре. Руководитель/фасилитатор исследования должен иметь квалификацию и опыт работы с исследованиями HAZOP.

В.2.4.4 Выходы

Выходами являются отчеты о заседаниях HAZOP с отклонениями для каждой исследуемой точки. Записи должны включать в себя используемые управляющие слова и возможные причины отклонений. Они могут также включать действия по устранению выявленных проблем и лицо, ответственное за выполнение этих действий

В.2.4.5 Преимущества и недостатки

К преимуществам HAZOP относится следующее:

- обеспечение средств систематической проверки системы, процесса или процедуры с целью выявления способов недостижения своей цели;

- обеспечение детальной и тщательной проверки междисциплинарной группой;

- выявление возможных проблем на стадии проектирования процесса;

- генерирование решений и действий по обработке риска;

- применение к широкому спектру систем, процессов и процедур;

- четкое рассмотрение причин и последствий ошибок человека;

- создание письменного отчета о процессе HAZOP, который может быть использован для демонстрации правильности выполнения метода.

Недостатки метода включают следующее:

- детальный анализ может быть продолжительным и, следовательно, дорогостоящим;

- метод склонен к повторению, находя одни и те же вопросы несколько раз; следовательно, участникам трудно поддерживать внимание;

- детальный анализ требует высокого уровня документации или наличия системы/процесса и процедуры спецификации;

- метод может сосредоточиться на поиске детальных решений, а не на сложных фундаментальных предположениях (однако эта особенность может быть смягчена с помощью поэтапного подхода);

- обсуждение может быть направлено на детальные вопросы конструкции, а не на более широкие или внешние вопросы;

- действия команды ограничены проектом и назначением конструкции, а также областью применения и целями, поставленными перед командой;

- процесс в значительной степени основан на опыте проектировщиков, которым трудно быть достаточно объективными при поиске проблем в их конструкции.

В.2.4.6 Справочный документ

[21] IEC 61882, Hazard and operability studies (HAZOP studies) - Application guide

В.2.5 Анализ сценариев

В.2.5.1 Краткое описание

Анализ сценариев - наименование нескольких методов, которые включают в себя разработку моделей развития событий в будущем. В общих чертах метод состоит в определении вероятного сценария и проработке событий, которые, возможно, могут произойти в будущем.

Для относительно коротких периодов времени метод может включать экстраполяцию на основе того, что произошло в прошлом. Для более длительных периодов времени анализ сценариев может включать построение воображаемого, но правдоподобного сценария, затем в рамках этого сценария исследуют свойства рисков. Метод чаще всего применяет группа заинтересованных сторон с различными интересами и опытом. Анализ сценариев включает в себя определение в некоторых деталях сценария или сценариев, подлежащих рассмотрению, и изучение последствий сценария и соответствующего риска. Обычно рассматриваемые изменения включают:

- изменения в технологии;

- возможные будущие решения, которые могут иметь различные результаты;

- потребности заинтересованных сторон и то, как они могут измениться;

- изменения в макросреде (обязательных требованиях, демографической ситуации и др.);

- изменения в физической среде.

В.2.5.2 Использование

Анализ сценариев чаще всего используют для идентификации риска и изучения последствий. Метод можно использовать как на стратегическом, так и на оперативном уровнях для организации в целом или ее частей.

Анализ долгосрочного сценария помогает планированию крупных изменений в будущем, таких как произошедшие за последние 50 лет в области технологий, потребительских предпочтений, социальных отношений и т.д. Анализ сценариев не может предсказать вероятности таких изменений, но может рассмотреть последствия и помочь организации развить преимущества и устойчивость, необходимые для адаптации к предсказуемым изменениям. Метод можно использовать для прогнозирования как угроз, так и возможностей для развития, он может быть использован для всех видов риска.

Анализ краткосрочных сценариев используют для изучения последствий инициирующего события. Вероятные сценарии могут быть экстраполированы на основе данных о прошлых событиях или на основе моделей. Примерами такого применения являются схемы развития чрезвычайных ситуаций или нарушений деятельности. Если данных нет, то используют мнения экспертов, но в данном случае очень важно уделять особое внимание объяснениям их мнений.

В.2.5.3 Входы

Для выполнения анализа сценариев необходимы данные о текущих тенденциях и изменениях, а также о будущих изменениях. Для сложных или очень долгосрочных сценариев необходима компетентность в выполнении метода.

В.2.5.4 Выходы

Для каждого сценария результатом является "история", которая рассказывает о способе перехода из настоящего к объекту сценария. Рассматриваемые воздействия могут быть как полезными, так и вредными. Истории могут включать правдоподобные детали, которые добавляют сценариям значимость.

Другие результаты могут включать понимание возможных воздействий политики или планов на различные варианты будущего, перечень рисков, которые могут возникнуть, если эти варианты будут реализованы, и в некоторых случаях перечень основных индикаторов этих рисков.

В.2.5.5 Преимущества и недостатки

Преимущества анализа сценариев включают следующее:

- метод позволяет учесть несколько возможных вариантов будущего. Метод может быть предпочтительным для традиционного подхода, основанного на прогнозах, которые предполагают, что будущие события продолжат прошлые тенденции. Это важно для ситуаций, когда существует мало знаний, на которых основываются прогнозы, когда риски рассматривают в долгосрочной перспективе;

- метод поддерживает разнообразие направлений мышления;

- метод поощряет мониторинг основных индикаторов изменений;

- решения, принятые в отношении идентифицированных рисков, могут помочь повысить устойчивость к любым возможным последствиям.

Недостатки метода включают следующее:

- используемые сценарии могут не иметь адекватной основы, например данные могут быть умозрительными. Это может привести к нереалистичным результатам, которые могут быть не признаны;

- существует мало свидетельств того, что сценарии, исследуемые для долгосрочного периода, будут происходить в действительности.

В.2.5.6 Справочные документы

[22] RINGLAND, Gill. Scenarios in business

[23] Van der HEIJDEN, Kees. Scenarios: The art of strategic conversation

[24] CHERMACK, Thomas J. Scenario planning in organizations

[25] MUKUL PAREEK, Using Scenario analysis for managing technology risk

В.2.6 Структурный метод "что, если" (SWIFT)

В.2.6.1 Краткое описание

SWIFT - это метод идентификации рисков высокого уровня, который может быть использован самостоятельно или в составе поэтапного подхода при выполнении восходящих методов, таких как HAZOP или FMEA. Метод SWIFT использует структурированный мозговой штурм (В.1.2) в упрощенном виде, когда участникам предлагают заданный набор управляющих слов (продолжительность, сумма и т.д.) вместе с подсказками, полученными от участников, которые часто начинаются со слов "что, если?" или "как мог?". Метод похож на HAZOP, но его применяют к системе или подсистеме, а не к замыслам проектировщика.

Перед началом исследования фасилитатор готовит перечень подсказок, чтобы обеспечить всесторонний анализ риска или источников риска. В начале семинара обсуждают и устанавливают применение SWIFT и критерии успеха. Используя управляющие слова и подсказки "что, если?", фасилитатор просит участников поднять и обсудить такие вопросы, как:

- известные риски;

- источники и факторы риска;

- предыдущий опыт, успехи и инциденты;

- известные и существующие средства контроля;

- обязательные требования и ограничения.

Фасилитатор использует перечень подсказок для мониторинга обсуждения и предложения дополнительных вопросов и сценариев для обсуждения командой. Команда рассматривает адекватность средств контроля и возможные методы обработки риска. Далее в процессе дискуссии обсуждают вопрос "что, если?".

В некоторых случаях идентифицируют и описывают конкретные риски, их причины, последствия и средства контроля, все это должно быть отражено в записях. Кроме того, могут быть идентифицированы более общие источники или факторы риска, проблемы контроля или системные вопросы.

При формировании перечня рисков часто используют качественный или полуколичественный метод оценки риска для ранжирования действий, разработанных с учетом уровня риска. При этом обычно учитывают существующие средства контроля и их результативность.

В.2.6.2 Использование

Метод может быть применен к системам, производственным объектам, процедурам и организациям в целом. В частности, метод используют для изучения последствий изменений и связанного с этим риска. Могут быть рассмотрены как положительные, так и отрицательные результаты. Метод также может быть использован для идентификации систем или процессов, которые целесообразно инвестировать как ресурсы для HAZOP и FMEA.

В.2.6.3 Входы

Необходимо четкое понимание системы, процедуры, объекта и/или изменений, а также внешних и внутренних условий. Для этого фасилитатор применяет интервью, формирует многофункциональную команду и обеспечивает изучение документов, планов и чертежей. Как правило, исследуемую систему разбивают на элементы, это облегчает процесс анализа. Хотя фасилитатор должен быть подготовлен для применения SWIFT, это, как правило, может быть быстро выполнено.

В.2.6.4 Выходы

Результаты включают реестр рисков с ранжированными (в соответствии с риском) действиями или задачами, реестр может быть использован в качестве основы для разработки плана обработки риска.

В.2.6.5 Преимущества и недостатки

Преимущества SWIFT включают следующее:

- метод применим ко всем формам оборудования или систем, ситуаций или обстоятельств, организаций или деятельности;

- требуется минимальная подготовка участников команды;

- выполнение метода происходит относительно быстро, основные риски и источники риска могут быть выявлены в процессе рабочего совещания;

- исследование является "системно ориентированным" и позволяет участникам определить реакцию системы на отклонения, а не только исследовать последствия отказов компонентов;

- метод может быть использован для выявления возможностей улучшения процессов и систем, как правило, может быть использован для идентификации действий, которые приводят к повышению вероятности успеха процессов и систем;

- участие в семинаре ответственных за существующие средства контроля и дальнейшие действия по обработке рисков усиливает их ответственность;

- метод без особых усилий формирует реестр рисков и план обработки рисков.

Недостатки метода включают следующее:

- если команда метода не имеет достаточного опыта или если система подсказок не является всеобъемлющей, некоторые риски или опасности могут быть не идентифицированы;

- применение метода на высоком уровне может не обнаружить сложные, детализированные или коррелированные причины;

- рекомендации часто носят общий характер; например, метод не обеспечивает поддержку робастности методов и назначение средств контроля без проведения дальнейшего анализа.

В.2.6.6 Справочный документ

[26] CARD, Alan J. WARD, James R. and CLARKSON, P. John. Beyond FMEA: The structured what-if technique (SWIFT)

В.3 Методы определения источников, причин и факторов риска

В.3.1 Общие положения

Понимание причин возможных событий и факторов риска может быть использовано для проектирования стратегии предотвращения негативных или усиления позитивных последствий. Часто существует иерархия причин с несколькими слоями до достижения первопричины. Обычно причины анализируют до тех пор, пока действия не будут определены и обоснованы.

Методы анализа причин могут исследовать восприятие причин в рамках набора предопределенных фраз, таких как в методе Исикавы (см. В.3.3), или может быть использован более логичный подход, в анализе дерева ошибок и анализе дерева успеха (см. В.5.7).

Для графического представления причин и следствий и иллюстрации управления ими может быть использован анализ галстук-бабочка (см. В.4.2).

Некоторые из методов, описанных в МЭК 62740 [16], могут быть использованы проактивно для анализа возможных причин событий, которые могут произойти в будущем, а также событий, которые уже произошли. Эти приемы здесь не повторяются.

В.3.2 Синдинический подход

В.3.2.1 Общие положения

Синдиника буквально означает науку об опасности. Синдинический подход направлен на идентификацию нематериальных источников риска и факторов, способствующих увеличению различных последствий. В частности, метод позволяет идентифицировать и анализировать:

- несоответствия, двусмысленности, упущения, неопределенность (так называемые дефициты);

- расхождения мнений заинтересованных сторон (называемые диссонансами).

Синдинический подход начинается со сбора информации об исследуемых системе или организации, синдиническую ситуацию определяют как географическую, временную и хронологическую области применения и набор сетей или групп заинтересованных сторон.

Метод использует частично структурированные интервью (см. В.1.5) для сбора информации в разное время (

,

, ...,

) о состоянии знаний и мышления каждой заинтересованной стороны, поскольку они относятся к пяти критериям синдинического подхода:

- цели (основная цель организации);

- значимости (высокой оценки заинтересованными сторонами);

- правилам (правам, стандартам, процедурам и т.д., обеспечивающим достижения организации);

- данным (на которых основано принятие решений);

- модели (технической, организационной, человеческой и др., которые используют данные при принятии решений).

Примечание - Элементы, характеризующие внутренние и внешние условия, могут быть объединены в соответствии с пятью критериями синдинического подхода.

Данный подход учитывает не только факты, но и восприятие.

Как только эта информация получена, согласованность между целями, которые должны быть достигнуты, и пятью синдиническими критериями анализируют и составляют таблицы, в которых указывают дефициты и диссонансы.

В.3.2.2 Использование

Цель синдинического подхода состоит в том, чтобы понять, почему, несмотря на все принятые меры контроля по предотвращению катастрофы, она все равно происходит. Этот подход был расширен для улучшения экономической эффективности организаций. Метод выявляет системные источники и факторы риска внутри организации, которые могут привести к самым разным последствиям. Метод применяют на стратегическом уровне, он может быть использован для выявления факторов, действующих благоприятным или неблагоприятным образом в течение эволюции системы в направлении достижения новых целей.

Метод может быть использован для валидации состоятельности любого проекта и особенно полезен в изучении сложных систем.

В.3.2.3 Входы

Информация, описанная выше. Анализ обычно включает в себя междисциплинарную команду участников с реальным опытом работы и тех, кто будет выполнять обработку риска, чтобы устранить выявленные источники риска.

В.3.2.4 Выходы

Результаты представляют собой таблицы, в которых указаны диссонансы и дефициты заинтересованных сторон, они проиллюстрированы в приведенных ниже примерах. В таблице В.2 приведена матрица, показывающая дефициты каждой заинтересованной стороны по пяти критериям анализа (цели, значимость, правила, модели и данные). Сопоставление информации, представляющей входные данные для ситуаций, соответствующих моментам времени

,

, ...,

, может выявить дефициты в различных ситуациях.

Таблица В.2 - Таблица дефицитов для каждой заинтересованной стороны

Таблица В.3 представляет собой матрицу, в которой представлены мнения соответствующих заинтересованных сторон и различия во мнениях заинтересованных сторон (так называемые диссонансы). Такая таблица позволяет разработать программу сокращения дефицитов и диссонансов.

Таблица В.3 - Таблица диссонансов между заинтересованными сторонами

Окончание таблицы В.3

В.3.2.5 Преимущества и недостатки

Преимущества синдинического подхода включают следующее:

- подход является системным, многоплановым и междисциплинарным;

- подход обеспечивает знание возможных рисков системы и их согласованность;

- подход учитывает человеческие и организационные аспекты риска на любом уровне ответственности;

- подход объединяет понятия пространства и времени;

- подход позволяет найти решения для снижения рисков.

Недостатки метода включают следующее:

- подход не пытается приоритизировать источники риска или риски;

- метод только недавно начал распространяться в промышленности. Поэтому он не дает преимущества одной и той же зрелости, приобретенной в результате прошлых разработок, как традиционные подходы;

- в зависимости от количества вовлеченных заинтересованных сторон метод может потребовать значительного времени, усилий и ресурсов.

В.3.2.6 Справочные документы

[27] KERVERN, G-Y. Elements fondamentaux des cindyniques

[28] KERVERN, G-Y. Latest advances in cindynics

[29] KERVERN, G-Y. & BOULENGER, P. Cindyniques - Concepts et mode d’emploi

В.3.3 Метод анализа Исикавы (метод рыбной кости)

В.3.3.1 Общие положения

Анализ Исикавы использует командный подход для идентификации возможных причин любого желательного или нежелательного события, последствия, проблемы или ситуации. Возможные вспомогательные факторы позволяют охватить технические и организационные причины, также причины, связанные с человеком. Информацию изображают на диаграмме "рыбного скелета" (называемой диаграммой Исикавы) (см. рисунок В.1). Основными этапами выполнения анализа являются следующие:

- установление анализируемого последствия и размещение его в голове диаграммы "рыбного скелета". Последствие может быть положительным (цель) или отрицательным (проблема);

- согласование основных категорий причин. Примеры часто используемых категорий включают:

- например, методы, машины, управление, материалы, рабочую силу, деньги (6М);

- материалы, методы и процессы, окружающую среду, оборудование, людей, измерения.

Примечание - Можно использовать любой набор согласованных категорий, соответствующих анализируемым обстоятельствам. На рисунке В.1 показана еще одна возможность;

- многократное применение вопросов "почему?" и "как это могло произойти?" для исследования причин и влияющих факторов в каждой категории, добавляя каждый раз кости к диаграмме рыбного скелета;

- анализ всех ветвей диаграммы для проверки согласованности и полноты гарантии того, что причины применимы к основным последствиям;

- идентификация наиболее важных факторов на основе мнения команды и имеющихся доказательств.

Диаграмму часто разрабатывают на заседании команды.

В.3.3.2 Использование

Анализ Исикавы может быть использован при выполнении анализа первопричин произошедших событий или идентификации факторов, которые могут содействовать еще не произошедшим результатам. Этот метод можно использовать для изучения ситуаций на любом уровне организации в любом масштабе времени.

Диаграммы обычно используют для качественной информации. Можно присвоить вероятности общим причинам, а затем и подпричинам, на основе степени уверенности в их обоснованности. Однако вспомогательные факторы часто взаимодействуют и вносят дополнительные воздействия, в результате могут возникнуть неидентифицированные причины, которые делают количественную оценку неверной.

В.3.3.3 Входы

Входами являются знания и опыт участников, а также понимание рассматриваемой ситуации.

Рисунок В.1 - Пример диаграммы Исикавы (рыбный скелет)

В.3.3.4 Выходы

Результат - это выявленные причины анализируемых последствий, обычно изображаемых в виде рыбного скелета (схемы Исикавы). Диаграмму рыбного скелета структурируют, представляя основные категории в виде основных костей, отходящих от позвоночника рыбы с ветвями и ответвлениями, которые описывают более конкретные причины в этих категориях.

В.3.3.5 Преимущества и недостатки

Преимущества метода Исикавы включают следующее:

- метод поощряет участие и использует знания членов команды;

- метод обеспечивает подход для мозгового штурма или аналогичных методов идентификации;

- метод может быть применен к широкому спектру ситуаций;

- метод обеспечивает структурированный анализ причин с наглядным графическим представлением;

- метод позволяет документировать проблемы в нейтральных условиях;

- метод может быть использован для идентификации факторов, способствующих как желательным, так и нежелательным последствиям.

Примечание - Позитивная направленность может способствовать большей ответственности и участию.

Недостатки метода включают следующее:

- разделение причинных факторов на основные категории в начале анализа означает, что взаимодействие между категориями может рассматриваться неадекватно;

- возможные причины, не охваченные выбранными категориями, не могут быть идентифицированы.

В.3.3.6 Справочные документы

[30] ISHIKAWA, K. Guide to Quality Control

[16] IEC 62740 Root cause analisis (RCA)

В.4 Методы анализа средств контроля

В.4.1 Общие положения

Методы, описанные в В.4, могут быть использованы для проверки того, являются ли средства контроля подходящими и адекватными.

Анализ галстук-бабочка (В.4.2) и LOPA (В.4.4) выявляют барьеры между источником риска и его возможными последствиями и могут быть использованы для проверки достаточности этих барьеров.

HACCP (В.4.3) направлен на поиск точек в процессе, где возможен мониторинг условий, если есть признаки изменения условий.

Анализ дерева событий (В.5.6) также может быть использован для количественного анализа средств контроля с помощью расчета влияния различных средств контроля на вероятность последствий.

Любой метод анализа причин может быть использован в качестве основы для проверки того, что каждая причина контролируется.

В.4.2 Анализ галстук-бабочка

В.4.2.1 Общие положения

Галстук-бабочка - это графическое представление путей развития события от причины до последствий. Метод показывает средства контроля, которые изменяют вероятность события и/или его последствие, если событие произойдет. Метод можно рассматривать как упрощенное представление дерева неисправностей или дерева успеха (анализ причины события) и дерева событий (анализ последствий). Диаграмму галстук-бабочка можно построить начиная с деревьев неисправностей и событий, но чаще всего эти диаграммы рисуют непосредственно участники команды на заседании.

Схему галстук-бабочка изображают следующим образом:

- определяют исследуемое событие и представляют его в качестве центрального узла схемы галстук-бабочка (см. рисунок В.2);

- представляют источники риска (или опасности/угрозы при анализе безопасности) в левой части схемы, их соединяют с узлом линиями, представляющими различные механизмы, с помощью которых источники риска могут привести к реализации события;

- барьеры или средства контроля для каждого механизма изображают в виде вертикальных прямоугольников, пересекающих линии;

- с правой стороны от узла чертят линии, соединяющие событие с каждым последствием;

Рисунок В.2 - Пример схемы галстук-бабочка

- справа от события изображают вертикальные прямоугольники, представляющие реактивные средства контроля или барьеры, которые изменяют последствия;

- изображают факторы, которые могут привести к неисправности средств контроля (факторы эскалации), а также средства контроля факторов эскалации;

- функции управления, которые поддерживают средства контроля (такие, как обучение и контроль), могут быть показаны под галстуком-бабочкой и соединены с соответствующими средствами контроля.

Некоторый уровень количественной оценки по диаграмме галстук-бабочка возможен в случае, когда пути независимы, вероятность конкретного последствия известна и вероятность отказа средства контроля можно оценить. Однако во многих ситуациях пути и барьеры не являются независимыми, средства контроля могут иметь процедурный характер, а их результативность может быть неопределенной. Количественную оценку чаще проводят с использованием анализа дерева неисправностей (В.5.7) и анализа дерева событий (В.5.6) или LOPA (В.4.4).

В.4.2.2 Использование

Анализ галстук-бабочка используют для отображения и обмена информацией о рисках в ситуациях, когда событие имеет много возможных причин и последствий. Метод можно использовать для детального исследования причин и последствий событий, которые записывают в простой форме в реестре риска (В.10.2). Метод, в частности, используют для анализа событий с более значимыми последствиями. Метод галстук-бабочка используют при оценке средств контроля для проверки того, что каждый путь от причины к событию и от события к последствию оснащен результативными средствами контроля и что факторы, которые могут привести средства контроля к неисправности (включая отказы систем управления), выявлены. Метод может быть использован в качестве основы средств документирования информации о риске, которая не соответствует простому линейному представлению в реестре риска. Метод может быть использован проактивно для рассмотрения возможных событий, а также ретроспективно для моделирования событий, которые уже произошли.

Метод галстук-бабочка используют в случаях, когда ситуация не соответствует сложности анализа полного дерева неисправностей и анализа дерева событий, но ситуация является более сложной, чем единственный путь причина - событие - последствие.

Для некоторых ситуаций, когда последствия одного события становятся причиной следующего, могут быть разработаны каскадные схемы галстук-бабочка.

В.4.2.3 Входы

Входные данные включают информацию о причинах и последствиях заранее определенного события, а также средствах контроля, которые могут его изменить. Эта информация может быть выходными данными методов идентификации рисков и средств контроля или данными опыта отдельных лиц.

В.4.2.4 Выходы

Выходные данные представляют собой простую диаграмму, показывающую основные пути риска, размещения средств контроля и факторы, которые могут вызвать отказ средств контроля. Метод также показывает возможные последствия и действия, которые могут быть выполнены после реализации события для его изменения.

В.4.2.5 Преимущества и недостатки

Преимущества анализа галстук-бабочка включают следующее:

- метод прост для понимания и дает четкое графическое представление о событии, его причинах и последствиях;

- метод фокусирует внимание на средствах контроля, которые должны быть на местах, и их результативности;

- метод можно использовать как для желательных, так и для нежелательных последствий;

- для использования метода не требуется высокий уровень знаний.

Недостатки метода включают следующее:

- анализ галстук-бабочка не может представить ситуацию, когда пути от причин к событию являются зависимыми (то есть ситуации с вентилем И в дереве неисправностей);

- метод может чрезмерно упростить сложную ситуацию, особенно когда предпринимается попытка количественной оценки.

В.4.2.6 Справочные документы

[31] LEWIS, S. SMITH, K., Lessons learned from real world application of the bow-tie method.

[32] HALE, A.R., GOOSSENS L.H.J., ALE, B.J.M., BELLAMY L.A. POST J. Managing safety barriers and controls at the workplace

[33] MCCONNELL, P. and DAVIES, M. Scenario Analysis under Basel II

В.4.3 Анализ опасности и критических контрольных точек (HACCP)

В.4.3.1 Общие положения

Метод анализа опасности и критических контрольных точек (HACCP) разработан для обеспечения безопасности пищевых продуктов для космической программы NASA, но может быть использован для других процессов или видов деятельности. Метод обеспечивает структуру идентификации источников риска (опасностей или угроз) и расположения средств контроля во всех соответствующих частях процесса для их защиты. Метод HACCP используют на соответствующих уровнях эксплуатации, хотя его результаты могут поддерживать общую стратегию организации. HACCP направлен на обеспечение минимальных рисков за счет мониторинга средств контроля на протяжении всего процесса, а не за счет контроля в конце процесса.

HACCP состоит из следующих семи принципов:

1) идентификация опасностей, фактов, влияющих на риск, и возможных превентивных мер;

2) определение точек в процессе, где возможны мониторинг и контроль процесса для минимизации угроз (критических контрольных точек или ССР);

3) установление критических границ для параметров, контролируемых при мониторинге, т.е. для каждой ССР должны быть установлены границы параметров, обеспечивающие контролируемость риска;

4) установление процедуры мониторинга критических границ для параметров каждой ССР через определенные интервалы времени;

5) установление корректирующих действий, применяемых в случае выхода процесса за установленные границы;

6) установление процедур верификации;

7) выполнение процедур документирования и хранения записей на каждом этапе.

В.4.3.2 Использование

В большинстве стран применение HACCP является обязательным требованием для организаций, работающих в любой точке цепочки от сбора урожая до потребления, для контроля рисков, связанных с физическим, химическим или биологическим загрязнением.

Метод расширен для использования в производстве фармацевтических препаратов, медицинских изделий и в других областях, где возможны риски биологического, химического и физического загрязнения.

Принцип работы методики состоит в идентификации источников риска, связанных с качеством выходов процесса, а также определением точек в этом процессе, где возможны мониторинг критических параметров и контроль источников риска. Метод может быть обобщен на многие другие процессы, включая финансовые процессы.

В.4.3.3 Входы

Входные данные включают:

- базовую технологическую схему или схему процесса;

- информацию об источниках риска, которые могут повлиять на качество, безопасность или надежность продукта или выходов процесса;

- информацию о точках процесса, где возможен мониторинг показателей и могут быть установлены средства контроля.

В.4.3.4 Выходы

Выходом метода являются записи, включающие перечень опасностей и план HACCP.

Перечень опасностей на каждом этапе процесса включает:

- опасности, которые могут быть введены, контролироваться или усугубляться на данном этапе;

- указание для каждой опасности значимости риска (на основе рассмотрения последствий и вероятности с использованием опыта, данных и технической литературы);

- обоснование рейтинга значимости;

- возможные превентивные меры для каждой опасности;

- возможности применения на данном этапе мер мониторинга или контроля (т.е. является ли это CCP?).

План HACCP определяет процедуры, которые необходимо выполнять для обеспечения контроля конкретного проекта, продукции, процесса или процедуры. План включает перечень всех CCP с указанием для каждой CCP перечней:

- критических границ для превентивных мер;

- действий мониторинга и непрерывного контроля деятельности (включая, кто, что, как и когда контролирует);

- корректирующих действий, необходимых при обнаружении отклонений от критических границ;

- действий по верификации, ведению и хранению записей.

В.4.3.5 Преимущества и недостатки

Преимущества HACCP включают следующее.

- HACCP - структурированный процесс, обеспечивающий документированные свидетельства контроля качества, а также идентификации и снижения рисков;

- метод фокусируется на практических аспектах того, как и где в процессе можно найти источники риска и контролировать риск;

- метод обеспечивает контроль риска на протяжении всего процесса, а не полагается на контроль конечной продукции.

- метод привлекает внимание к риску, вызванному действиями человека, и к способу его контроля в точке введения или впоследствии.

Недостатки метода включают следующее:

- HACCP требует, чтобы опасности были идентифицированы, риски, которые их представляют, определены, а их значимость являлась входом в процесс. Кроме того, должны быть определены средства контроля. Может потребоваться объединить HACCP с другими методами для обеспечения этих входов;

- выполнение действий только тогда, когда контролируемые параметры превышают определенные границы, может пропустить постепенные изменения контрольных параметров, которые являются статистически значимыми и, следовательно, должны быть задействованы.

В.4.3.6 Справочные документы

[34] ISO 22000, Food safety management systems - Requirements for any organization in the food chain

[35] Food Quality and Safety Systems - A Training Manual on Food Hygiene and the Hazard Analysis and Critical Control Point (HACCP) System

В.4.4 Анализ уровней защиты (LOPA)

В.4.4.1 Общие положения

Метод LOPA направлен на снижение риска с помощью набора средств контроля. Метод можно рассматривать как частный случай анализа дерева событий (В.5.6), а иногда его выполняют в качестве последующего шага после исследования HAZOP (В.2.4).

Пары "причина/следствие" выбирают из перечня идентифицированных рисков и независимых уровней защиты (IPL). IPL - это устройство, система или действие, которые способны предотвратить переход сценария к нежелательным последствиям. Каждый IPL должен быть независим от причинного события или любого другого уровня защиты, связанного со сценарием, и должен быть проверяемым. IPL включают:

- особенности конструкции;

- физическую защиту;

- системы блокировки и отключения;

- критические сигналы тревоги и ручное вмешательство;

- физическую защиту после события;

- системы экстренного реагирования.

Стандартные процедуры и/или инспекции непосредственно не добавляют барьеров отказам, поэтому их не следует считать IPL. Оценивают вероятность отказа каждого IPL и вычисляют порядок величины для определения достаточности общей защиты для снижения риска до приемлемого уровня.

Частоту возникновения нежелательных последствий можно определить, комбинируя частоту инициирующей причины с вероятностями отказа каждого IPL с учетом всех условных модификаторов. (Пример условного модификатора - будет ли человек присутствовать и может ли он быть подвержен влиянию.) Для частот и вероятности используют порядки величин.

В.4.4.2 Использование

LOPA может быть использован в качественном варианте для анализа уровней защиты между причинным фактором и последствием. Он также может быть использован количественно для распределения ресурсов при обработке риска путем анализа снижения риска, достигаемого каждым уровнем защиты. Метод может быть применен к системам в долгосрочном или краткосрочном периодах времени и обычно используется при работе с рисками при эксплуатации системы.

LOPA также может быть использован в количественном варианте для требований IPL и уровней полноты безопасности (Уровни SIL) для инструментальных систем в соответствии с МЭК 61508 (все части) и МЭК 61511 (все части), а также для демонстрации, что заданный SIL достигнут.

Примечание - SIL - дискретный уровень (один из возможных четырех) для установления требований к безотказности систем, связанных с безопасностью. Уровень 4 имеет самый высокий уровень целостности безопасности, а уровень 1 - самый низкий.

В.4.4.3 Входы

Входы метода LOPA включают:

- основные сведения об источниках, причинах и последствиях событий;

- информацию о существующих средствах контроля на местах или предлагаемых методах обработки риска;

- частоту возникновения причинного события и вероятности отказа защитных слоев, меры последствий и определение допустимого риска.

В.4.4.4 Выходы

Выходами являются рекомендации по всем дальнейшим методам обработки и оценки остаточного риска.

В.4.4.5 Преимущества и недостатки

Преимущества LOPA включают следующее:

- метод требует меньше времени и ресурсов, чем анализ дерева событий или полная количественная оценка риска, но более строгий, чем субъективные качественные суждения;

- метод помогает выявить и сосредоточить ресурсы на наиболее критичных уровнях защиты;

- метод идентифицирует операции, системы и процессы с недостаточной защитой;

- метод фокусируется на наиболее значимых последствиях.

Недостатки метода LOPA включают следующее:

- метод фокусируют на одной причинно-следственной паре и одном сценарии одновременно; сложные взаимодействия между рисками или средствами контроля метод не охватывает;

- в количественном варианте метод не может учитывать отказы общего вида;

- метод не применим к очень сложным сценариям, где существует много пар "причина/следствие", или в ситуациях, когда существуют различные последствия, затрагивающие различные заинтересованные стороны.

В.4.4.6 Справочные документы

[36] IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems

[37] IEC 61511 (all parts), Functional safety - Safety instrumented systems for the process industry sector

[38] Layer of protection analysis - Simplified process risk assessment

В.5 Методы понимания последствий и вероятности

В.5.1 Общие положения

Методы, описанные ниже, направлены на обеспечение более глубокого понимания последствий и их вероятности. В общем случае последствия могут быть исследованы с помощью:

- экспериментов, таких как клеточные исследования, изучение последствий воздействия токсинов на человека и экологию, применимых к рискам для здоровья человека и окружающей среды;

- исследования прошлых событий, включая эпидемиологические исследования;

- моделирования для определения способа развития последствий и как они зависят от средств контроля на местах. Это могут быть математические или инженерные модели и логические методы, такие как анализ дерева событий (В.5.6);

- методов поощрения творческого мышления, таких как анализ сценариев (В.2.5).

Вероятность события или конкретного последствия может быть оценена с помощью:

- экстраполяции полученных ранее данных (при условии наличия достаточного количества релевантных статистически достоверных данных для анализа). Это особенно относится к нулевым событиям, когда возможно предположить, что поскольку событие или последствие ранее не происходило, оно не произойдет и в ближайшем будущем;

- синтеза данных, относящихся к интенсивностям отказов или успеха компонентов систем, используя такие методы, как анализ дерева событий (В.5.6), анализ дерева неисправностей (В.5.7) или причинно-следственный анализ (В.5.5);

- методов моделирования, позволяющих генерировать, например, вероятность отказов оборудования и конструктивных отказов, вызванных старением и другими процессами деградации.

Эксперты могут высказать свое мнение о вероятностях и последствиях, принимая во внимание соответствующую информацию и полученные ранее данные. Существует много формальных методов получения заключений, экспертов, которые делают использование их мнений видимым и явным (см. В.1).

Последствия и вероятность могут быть объединены для определения уровня риска. Это может быть использовано для оценки значимости риска путем сопоставления уровня риска с критерием приемлемости или ранжирования рисков.

Методы объединения качественных величин последствий и вероятности включают методы индексов (В.8.6) и матрицы следствий/вероятности (В.10.3). Простая мера риска может быть получена из распределения вероятностей последствий (см., например, VaR (В.7.2), CVaR (В.7.3) и S-кривых (В.10.4)).

В.5.2 Байесовский анализ

В.5.2.1 Общие положения

Часто встречаются проблемы, когда имеются данные и субъективная информация. Байесовский анализ позволяет использовать оба вида информации для принятия решений. Байесовский анализ основан на теореме, приписываемой преподобному Томасу Байесу (1760). В самом простом виде теорема Байеса дает вероятностную основу для изменения решения при наличии новых доказательств. Теорема Байеса имеет вид (1):

, (1)

где

- априорная оценка вероятности события А;

- априорная оценка вероятности события В;

- вероятность события А при условии, что событие В произошло (апостериорная оценка);

- вероятность события В при условии, что событие А произошло.

Теорема Байеса может быть расширена, чтобы охватить несколько событий в конкретном пространстве выборки.

Например, предположим, имеются некоторые данные D, которые необходимо использовать для обновления понимания риска на основе предыдущих данных. Эти данные необходимы для оценки относительных достоинств числа N конкурирующих и непересекающихся гипотез

(где

). Тогда на основе теоремы Байеса может быть вычислена вероятность

-й гипотезы с использованием формулы (2):

, (2)

где

.

В соответствии с формулой (2) обновленная вероятность для

-й гипотезы [т.е.

] представляет собой произведение априорной вероятности

на заключенную в квадратные скобки дробь.

Числитель этой дроби - вероятность получения этих данных, если

-я гипотеза верна. Знаменатель в соответствии с "законом полной вероятности" - вероятность получения этих данных, если одна за другой все гипотезы оказывались верными. Знаменатель - это нормирующий коэффициент.

Байесовскую вероятность легче понять, если рассматривать ее как степень веры в некое событие в противоположность классической вероятности, основанной на физическом доказательстве факта.

В.5.2.2 Использование

Байесовский анализ - это средство получения выводов на основе данных, как субъективных, так и эмпирических. Байесовские методы могут быть разработаны для получения выводов о параметрах в рамках разработанной модели риска в конкретных условиях; например, вероятности события, интенсивности реализации события или времени до события.

Байесовские методы могут быть использованы для получения априорной оценки исследуемого параметра на основе субъективных суждений. Априорное распределение вероятностей обычно связано с субъективными данными, поскольку оно представляет собой неопределенность знаний. Априорное распределение может быть построено с использованием только субъективных данных или с использованием релевантных данных, соответствующих аналогичным ситуациям. Априорная оценка может обеспечить прогноз вероятности события и может быть полезна для оценки риска в ситуации отсутствия эмпирических данных.

Данные о наблюдаемых событиях могут быть объединены с априорным распределением с помощью байесовского анализа для определения апостериорной оценки исследуемого параметра риска.

Теорему Байеса используют для включения новых доказательств в предыдущие суждения, чтобы сформировать обновленную оценку.

Байесовский анализ позволяет определить как точечные, так и интервальные оценки исследуемого параметра. Эти оценки отражают неопределенности, связанные как с изменчивостью данных, так и со знаниями об объекте. Это не похоже на классический частотный вывод, который основан на статистической изменчивости исследуемой случайной величины.

Вероятностная модель, лежащая в основе байесовского анализа, зависит от особенностей задачи. Например, вероятностная модель Пуассона может быть использована для таких событий, как аварии, несоответствия, задержки поставок, а биномиальная вероятностная модель может быть использована для невосстанавливаемых объектов. Все чаще используют построение вероятностной модели для представления причинно-следственных связей между переменными в виде сети Байеса (В.5.3).

В.5.2.3 Входы

Входами байесовского анализа являются субъективные и эмпирические данные, необходимые для структурирования и количественной оценки вероятностной модели.

В.5.2.4 Выходы

Как и классическая статистика, байесовский анализ позволяет получить оценки (точечные и интервальные) исследуемого параметра и имеет широкую область применения.

В.5.2.5 Преимущества и недостатки

Преимущества метода включают следующее:

- полученные утверждения легко понять;

- метод обеспечивает способ использования субъективных представлений о проблеме;

- метод обеспечивает способ объединения априорных представлений с новыми данными.

Недостатки метода состоят в следующем:

- построенные апостериорные распределения сильно зависят от предшествующего выбора;

- решение сложных задач может потребовать больших вычислительных затрат и быть трудоемким

В.5.2.6 Справочные документы

[39] GHOSH, J., DELA.MPADY, M. and SAMANTA, T. An introduction to Bayesian analysis, New York Springer-Verlag, 2006

[40] QUIGLEY, J.L., BEDFORD, T.J. and WALLS, L.A. Prior Distribution Elicitation

В.5.3 Байесовские сети и диаграммы влияния

В.5.3.1 Краткое описание

Байесовская сеть (BN) - это графическая модель, узлы которой представляют собой случайные переменные (дискретные и/или непрерывные) (см. рисунок В.3). Узлы соединены направленными отрезками или дугами и представляют собой прямые зависимости (которые часто являются причинно-следственными связями) между переменными.

Узлы, указывающие на узел X, называют родительскими и обозначают ра(Х). Отношения между переменными количественно определяют условные распределения вероятностей (CPD), соответствующие каждому узлу Р (

), где состояние дочерних узлов зависит от комбинации значений родительских узлов. На рисунке 3 вероятности указаны точечными оценками.

Рисунок В.3 - Байесовская сеть, показывающая упрощенную версию реальной экологической проблемы: моделирование природных популяций рыб в штате Виктория (Австралия)

В.5.3.2 Использование

Базовая сеть содержит переменные, которые представляют неопределенные события и могут быть использованы для оценки вероятности или риска или выявления ключевых факторов риска, приводящих к заданным последствиям.

Сеть Байеса может быть расширена и включать в себя действия по принятию решений оценки, а также неопределенности. В этом случае сеть Байеса называют диаграммой влияния, которая может быть использована для оценки влияния риска (контроля/снижения) на смягчение последствий или оценки вариантов вмешательства.

Модель BN может быть построена как качественное представление проблемы заинтересованными сторонами с последующей количественной оценкой, с использованием соответствующих данных, включая субъективные (например, анализ риска, связанного с распределением лекарств), модель BN может быть изучена на основе эмпирических данных (например, с использованием веб-поисковых систем). Независимо от формы сети Байеса основной алгоритм вывода основан на теореме Байеса и обладает общими свойствами байесовского анализа (В.5.2).

Сети Байеса были использованы в широком диапазоне применений, включая принятие экологических решений, медицинскую диагностику, продление срока службы критической инфраструктуры, риск цепочки поставок, новую продукцию, моделирование процесса разработки и изображений, генетику, распознавание речи, экономику, космические исследования и веб-поисковые системы.

В целом сети Байеса обеспечивают создание визуальных моделей, которые поддерживают соединение проблем и обмен информацией между заинтересованными сторонами. Модели сети Байеса позволяют проводить анализ чувствительности для изучения исследования сценариев методом "что, если?" Построение качественной структуры сети Байеса может быть поддержано путем составления карт причин (В.6.1), сети Байеса могут быть использованы вместе с анализом сценариев (В.2.5) и анализом воздействий (В.6.2).

Сети Байеса полезны для получения инвестиций от заинтересованных сторон и согласования решений в ситуациях с высокой неопределенностью и расхождениями во взглядах заинтересованных сторон. Представление понятно, хотя для его создания требуется проверка.

Сети Байеса могут быть полезны при отображении анализа рисков для нетехнических заинтересованных сторон, что способствует прозрачности предположений и процессов, а также трактовке неопределенности математически обоснованным способом.

В.5.3.3 Входы

Входами сети Байеса являются понимание переменных системы (узлов), причинно-следственных связей между ними (направленных дуг) и априорные и условные вероятности этих соотношений.

В случае диаграммы влияния также необходимы оценки (например, финансовые потери, количество травм и т.д.).

В.5.3.4 Выходы

Сети Байеса обеспечивают условное и маргинальное распределение в графическом выводе, который обычно считается легким в интерпретации, по крайней мере по сравнению с другими моделями, например с моделью "черного ящика". Модель сети Байеса и данные могут быть легко изменены, чтобы легко визуализировать отношения и исследовать чувствительность параметров к различным входным сигналам.

В.5.3.5 Преимущества и недостатки

Преимущества сети Байеса включают следующее:

- существует легкодоступное программное обеспечение, которое можно относительно легко использовать и понять;

- сети Байеса имеют прозрачную структуру и способны быстро запускать сценарии и анализировать чувствительность выходных данных к различным предположениям;

- сети Байеса могут включать субъективные представления о проблеме вместе с данными.

Недостатки метода включают следующее:

- определение всех взаимодействий для сложных систем затруднительно и может стать вычислительно неразрешимым, когда таблицы условных вероятностей становятся слишком большими;

- сети Байеса часто статичны и обычно не включают петли обратной связи. Однако использование динамических сетей Байеса возрастает;

- установка параметров требует знания многих условных вероятностей, которые определены на основе экспертных заключений. Сеть Байеса может дать ответы только на основе этих предположений (ограничение, которое является общим для других методов моделирования);

- пользователь может вводить ошибки, но вывод все равно может дать правдоподобный ответ; проверка экстремумов может помочь найти ошибки.

В.5.3.6 Справочные документы

[41] NEIL, Martin and FENTON, Norman. Risk Assessment and Decision Analysis with Bayesian Networks CRC Press, 2012

[42] JENSEN, F.V., NIELSEN T.D. Bayesian Networks and Decision Graphs, 2nd ed. Springer, New York, 2007

[43] NICHOLSON, A., WOODBERRY O. and TWARDY C, The "Native Fish" Bayesian networks. Bayesian Intelligence Technical Report 2010/3, 2010

[44] NETICA TUTORIAL

В.5.4 Анализ воздействия на деятельность (BIA)

В.5.4.1 Короткое описание

Анализ воздействия на деятельность позволяет исследовать последствия инцидентов и событий на деятельность организации, а также идентифицировать и количественно оценить возможности организации по управлению в этих условиях.

В частности, BIA обеспечивает согласованное понимание:

- критичности ключевых процессов, функций и соответствующих ресурсов, а также ключевых взаимозависимостей, существующих у организации;

- влияния разрушительных событий на возможности достижения критически важных целей деятельности;

- возможностей, необходимых для управления последствиями разрушений и восстановлением согласованных уровней работы.

BIA может быть выполнен с использованием анкет, интервью, структурированных обсуждений или их комбинации.

В.5.4.2 Использование

BIA используют для определения критичности и сроков восстановления процессов и соответствующих ресурсов (таких, как персонал, оборудование, информационные технологии) для обеспечения надлежащего планирования в случае разрушительных событий. BIA также полезен при определении взаимозависимостей и взаимосвязей между процессами, внутренними и внешними сторонами и всеми связями в цепочке поставок.

Метод также может быть использован как часть анализа последствий при исследовании последствий разрушительных событий.

BIA позволяет получить информацию, которая помогает организации определить и выбрать соответствующие стратегии обеспечения непрерывности деятельности, обеспечивающие результативное реагирование на разрушительное воздействие инцидента и последующее восстановление.

В.5.4.3 Входы

Входы включают:

- информацию о целях, стратегическом направлении, окружающей среде, активах и взаимозависимостях организации;

- перечень продукции и услуг организации и их взаимосвязей с процессами организации;

- оценку приоритетов на основе предыдущего анализа со стороны руководства;

- подробную информацию о деятельности организации, включая процессы, ресурсы, взаимосвязи с другими организациями, цепочках поставок, аутсорсинговых соглашениях и заинтересованных сторонах;

- информацию, позволяющую оценить финансовые, правовые и производственные последствия в результате нарушения критических процессов;

- подготовленный вопросник или другие средства сбора информации;

- результаты других оценок рисков и анализа критических инцидентов, связанных с результатами исследуемых разрушительных инцидентов;

- список специалистов из соответствующих областей деятельности организации и/или заинтересованных сторон.

В.5.4.4 Выходы

Выходами являются:

- перечень ранжированных по приоритетности продуктов и услуг организации;

- документы, детализирующие информацию, собранную в качестве входных данных;

- перечень ранжированных по значимости критических процессов и связанных с ними взаимозависимостей;

- документированные воздействия нарушений критических процессов, включая финансовые, юридические, экологические, эксплуатационные и другие;

- информация о вспомогательных ресурсах и мероприятиях, необходимых для восстановления критических процессов;

- оценка краткосрочных, среднесрочных и долгосрочных последствий непредоставления организацией продуктов и услуг;

- приоритетные сроки возобновления поставок продуктов и услуг на установленном минимальном уровне с учетом периода времени, по истечении которого последствия их невозобновления становятся неприемлемыми;

- сроки простоя для восстановления критических процессов и связанных с ними информационных технологий.

В.5.4.5 Преимущества и недостатки

Преимуществами BIA являются следующие:

- метод обеспечивает глубокое понимание важнейших процессов, позволяющих организации достичь своих целей и выявить области улучшения деятельности;

- метод позволяет получить информацию, необходимую для планирования реакции организации на разрушительное событие;

- метод обеспечивает понимание ключевых ресурсов, необходимых в случае возникновения разрушительного события;

- метод позволяет переопределить производственный процесс организации для улучшения устойчивости организации.

Недостатки метода включают следующее:

- BIA основан на знаниях и восприятии участников опроса, собеседований и обсуждений. Это может привести к излишне упрощенным или чрезмерно оптимистичным ожиданиям при разработке требований к восстановлению;

- деятельность группы может отрицательно повлиять на выполнение анализа критического процесса;

- возможны упрощенные или чрезмерно оптимистичные ожидания в отношении требований к восстановлению;

- бывает трудно достичь адекватного понимания деятельности организации.

В.5.4.6 Справочные документы

[45] ISO TS 22317, Societal security - Business continuity management systems - Guidelines for business Impact analysis

[46] ISO 22301, Societal security - Business continuity management systems - Requirements

В.5.5 Анализ причин и последствий (CCA)

В.5.5.1 Краткое описание

В некоторых случаях событие, которое можно анализировать с помощью дерева неисправностей, лучше анализировать с помощью CCA. Это ситуации, когда:

- легче разработать последовательность событий, чем причинно-следственные связи;

- дерево FTA может стать необозримо большим;

- существуют отдельные группы, занимающиеся различными частями анализа.

На практике часто сначала определяют не высшее событие, а возможные события на стыке функциональной и технической областей.

Например, рассмотрим событие "потеря экипажа или транспортного средства" при полете космического корабля. Прежде построения большого дерева неисправностей с таким высшим событием могут быть проанализированы отдельные деревья неисправностей с такими высшими событиями, как отказ зажигания или отказ тяги. Эти высшие события затем используют в качестве исходных данных дерева событий при анализе последствий производственной деятельности.

Можно выделить два типа CCA в зависимости от того, какая часть анализа является более важной в конкретных обстоятельствах. Если необходимы детали причин, но приемлемо более общее описание последствий, то расширяют эту часть анализа дерева неисправностей и анализ называют CCA-SELF (небольшое дерево событий большого дерева неисправностей). Если требуется детальное описание последствий, а причина может быть рассмотрена менее подробно, анализ называют CCA-LESF (большое дерево событий небольшого дерева неисправностей). На рисунке В.4 показана концептуальная схема типичного причинно-следственного анализа.

Рисунок В.4 - Пример схемы "причинно-следственного анализа"

В.5.5.2 Использование

Как и анализ дерева неисправностей, CCA используют для представления логики отказа, ведущего к критическому событию, но к функциональности дерева отказов добавляется возможность анализировать последовательные отказы во времени. Метод также позволяет включать периоды простоев в анализ последствий, это невозможно при анализе дерева событий. Метод позволяет анализировать различные пути, которыми система может достичь критического события в зависимости от состояния отдельных подсистем (таких, как аварийная система реагирования).

В количественном варианте причинно-следственный анализ позволяет определить оценки вероятности различных возможных последствий критического события.

Поскольку каждая последовательность на схеме причинно-следственного анализа представляет собой комбинацию деревьев неисправностей, причинно-следственный анализ может быть использован для построения больших деревьев неисправностей.

Поскольку схемы причинно-следственного анализа сложны при разработке и использовании, метод, как правило, применяют в ситуации, когда значимость возможных последствий отказа оправдывает приложенные усилия

В.5.5.3 Входы

Необходимо понимание системы, ее видов отказов и сценариев отказов

В.5.5.4 Выходы

Выходами CCA являются:

- схематическое представление путей отказа системы с указанием причин и последствий отказа;

- оценки вероятности возникновения каждого возможного последствия на основе анализа вероятностей появления условий, возникающих в результате критического события.

В.5.5.5 Преимущества и недостатки

В дополнение к преимуществам деревьев неисправностей и событий CCA способен лучше них одновременно представлять причины и последствия соответствующего события и временные зависимости.

Недостатком является то, что CCA более сложный метод, чем анализ дерева неисправностей и анализ дерева событий, как по строению, так и по тому, как рассматривают зависимости в процессе количественной оценки.

В.5.5.6 Справочные документы

[47] ANDREWS J.D, RIDLEY L.M. 2002. Application of the cause-consequence diagram method to static systems

[48] NIELSEN D.S. The Cause/Consequence Diagram Method as a Basis for Quantitative Accident Analysis

В.5.6 Анализ дерева событий (ETA)

В.5.6.1 Краткое описание

Анализ дерева событий (ETA) - графический метод, представляющий взаимоисключающие последовательности событий, которые могут возникнуть после инициирующего события в зависимости оттого, изменяют или нет различные системы функцию последствий. Дерево событий может быть количественным и обеспечивать определение вероятности различных возможных исходов (см. рисунок В.5).

Построение дерева событий начинают с инициирующего события, затем от каждого управляемого элемента рисуют линии успеха и отказа. Вероятность отказа или успеха может быть присвоена каждому элементу в соответствии с мнением эксперта на основе данных или анализа отдельных деревьев неисправностей. Вероятности являются условными. Например, вероятность функционирования элемента не является вероятностью, полученной в результате испытаний в нормальных условиях, а вероятностью функционирования в условиях инициирующего события.

Частоту различных выходов представляют произведением отдельных условных вероятностей и вероятности или частоты инициирующего события с учетом независимости различных событий. На рисунке В.5 вероятность инициирующего события предполагается равной 1.

В.5.6.2 Использование

ETA может быть использован с качественными величинами, это помогает анализировать возможные сценарии и последовательности событий, возникающих после инициирующего события, и изучать влияние различных управляющих элементов. Метод может быть применен на любом уровне организации и к любому типу инициирующего события.

Количественный вариант ETA может быть использован для принятия решения о приемлемости средств контроля и относительной важности различных средств контроля для общего уровня риска. Количественный анализ требует, чтобы средства контроля были либо в работоспособном, либо в неработоспособном состоянии (метод не может учитывать частичное ухудшение работы) и были независимы. В основном это касается эксплуатации системы. ETA можно использовать для моделирования инициирующих событий, которые могут принести убытки или дать преимущества. Однако обстоятельства, в которых найдены способы оптимизации, чаще всего моделируют с использованием дерева решений (В.9.3).

В.5.6.3 Входы

Входы включают:

- заданное инициирующее событие;

- информацию о барьерах и средствах контроля, а также, для количественного анализа, вероятности их отказа;

- понимание возможных сценариев.