Расчет рисков в разных стандартах описан по-разному.
Принципиальное различие №1. FERMA разделяет расчет и оценку рисков. В терминологии FERMA расчет рисков – это присвоение значений вероятности и ущерба, а оценка – это сравнение с неким приемлемым заранее заданным уровнем. COSO ERM не содержит раздела по расчету рисков, а сразу переходит к оценке. Большинство менеджеров употребляет слово «оценка» именно как расчет (в книге использовал также), я с этим смирился (различие очень похоже на различие между цифрами и числами). Мне, если честно, всё равно.
Принципиальное различие №2. FERMA рекомендует отдельно оценивать вероятность и ущерб, COSO ERM допускает оценку влияния в целом. Мне больше нравится FERMA, потому что карту рисков таки можно составить, а отобразить приемлемость или неприемлемость в целом на карте не очень получится (разве что просто отразить в «красной зоне»).
На этих страницах приводится расчет рисков именно с точки зрения FERMA. Обратите внимание, если будете читать, что COSO ERM предлагает достаточно много примеров расчета, но они очень подходят именно для конкретных рисков. Еще мне очень понравился пример из COSO ERM про «Увеличение обменного курса на 3% в течение 90 дней» с вероятностью в 1% (я это интерпретирую как раз в 100 периодов, то есть один раз в 100 рабочих дней). «Страшно далеки они от народа» (© А. Гуревич, передача «Сто к одному»), я писал книгу про риски в 2007-2008, сейчас 2014… Нам бы так жить…
Что полезно в COSO ERM – это явное введение понятия «присущего» и «остаточного» риска. Такие определения содержатся в ISO 31000, что лишний раз подтверждает фундаментальность разработчиков в части копипасты всех известных стандартов. Кроме того, в COSO ERM есть достаточно большое количество разных вариантов расчета, может быть интересно.