АНАЛИЗ РИСКА. ЭТАПЫ, ШАГИ, ПРОЦЕДУРЫ

Этапы анализа рисков

АНАЛИЗ РИСКА. ЭТАПЫ, ШАГИ, ПРОЦЕДУРЫ

Управление рисками в первую очередь подразумевает их идентификацию, анализ и прогноз вероятности их наступления. В данной статье предложен алгоритм проведения анализа рисков, рассмотрены основные, составляющие этапы анализа, их очередность. В заключительной части статьи уделено внимание важному и последнему этапу риск-анализа ? проверке и контролю его результатов.

Злободневность проблемы страхования рисков обуславливает появление различных научных трудов, исследований, освещающих данную тему, предлагающих новые идеи в сфере страхования рисков. Большинство подобных публикаций принадлежат зарубежным авторам. В российской сфере страхования существует ряд нерешенных проблем.

Привычно многие из них связаны с несовершенством законодательства в секторе страхования, в том числе и в отношении страхования экологических рисков.

Изучение и управление такими рисками приобретает все большую актуальность в связи с ростом числа предприятий природопользования в нашей стране, развитием энергетического сектора экономики, инновационного развития предприятий топливно-энергетического, добывающего комплекса.

Такие риски отличаются особой непредсказуемостью и плохой прогнозируемостью вероятности их наступления, что требует более тщательного их анализа и четкой методологии их исследования, являющегося первостепенной задачей управления рисками.

Финансово-экономический кризис 2008 г. установил очередные задачи для специалистов в области риск-менеджмента в России и во всем мире. Возникла необходимость создания новых подходов и инструментов управления рисками.

Рассматриваемый в статье материал представляет собой попытку классифицировать, сгруппировать этапы риск-анализа на основе обобщения литературных данных по изучению данного вопроса и собственных идей. Дан обзор содержания каждого из этапов применительно к эколого-экономическим рискам.

Этапы риск-анализа

Риск-анализ – это деятельность в сфере науки и менеджмента, состоящая из нескольких этапов научных исследований, целью которых является определение точных, достоверных характеристик риска, их обоснованности. Риск-анализ также предполагает выработку эффективных мер по снижению выявленных рисков.

Величина среднего риска определяется базовой формулой (1), поэтому сущность всех ступеней анализа риска в различных сферах деятельности отличается несущественно [1, с. 10].

(1)

где – вероятность получения ущерба размера в результате наступления неблагоприятного события i-го типа;
– вероятность наступления неблагоприятного события j-го типа;
– величина ущерба (обычно в стоимостном выражении, но в случае наступления экологического риска может быть выражена в натуральных показателях);
R – количественная мера риска (выражается в тех же показателях, что и ущерб);
n – число возможных вариантов ущерба при наступлении любого неблагоприятного события (включая и ущерб, равный нулю)
– вероятность выбора объектом ситуации с вероятностью наступления неблагоприятного события и законом распределения ущерба , зависящим от принятых защитных мер.

Весь процесс анализа рисков можно разделить на восемь этапов, которые в свою очередь подразделяются на два уровня.

Первый уровень исследования включает в себя пять последовательных этапов и сводится к обобщенной оценке всех возможных вероятностей наступления неблагоприятных ситуации, то есть оценке рисков.

Второй уровень состоит из этапов риск-анализа и предусматривает осуществление деятельности по управлению рисками, то есть весь комплекс мер по их предупреждению и сокращению.

Последовательность всех этапов анализа можно представить в виде следующей схемы (рис. 1).

Рис. 1 – Последовательность этапов анализа рисков

Представленный алгоритм выполнения анализа рисков универсален, но каждый из этапов имеет отличительные особенности в зависимости от сферы применения исследований.

Рассмотрим содержание всех этапов, характерное для сферы анализа эколого-экономическими рисками, в том числе на предприятиях природопользования.

1. Идентификация рисков

Этот этап риск-анализа заключается в формировании полного перечня неблагоприятных событий, которые влекут за собой негативные изменения окружающей среды, выказанные в ухудшении ее качества, прямо или опосредованно приносящие экономический ущерб объекту природопользования.

В отношении эколого-экономических рисков характерными неблагоприятными событиями могут являться природные и техногенные катастрофы, стихийные бедствия.

Поэтому необходимо не только выявить возможность наступления таких событий, но и определить, просчитать все возможные его последствия, способные принести реальный ущерб объекту страхования.

Для выполнения указанных задач на первом этапе риск-анализа необходимо использо-вать в комплексе как объективную, так и субъективную информацию.

2. Оценка вероятности наступления неблагоприятных событий

Суть второго этапа состоит в непосредственной оценке возможности наступления негативных событий, которые были внесены в перечень на первом этапе риск-анализа. Такая оценка производится в расчете на определенный период времени, то есть прогноз может быть краткосрочным и долгосрочным.

Выделяют три главных метода оценки вероятности наступления неблагоприятных событий.

К ним относятся:

  1. статистический – основывается на анализе статистических данных по аналогичным событиям, произошедшим на подобных объектах, на данной территории;
  2. аналитический – основывается на исследовании причинно-следственных связей в территориально-производственной системе, позволяющей оценить вероятность наступления риска как сложного явления;
  3. экспертный – основывается на оценке вероятности наступления неблагоприятных событий посредством анализа результатов опросов экспертов.

Для наиболее качественной и точной оценки вероятности наступления неблагоприятных событий используют все методы одновременно, сверяя полученные данные каждого.

3. Определение структуры предполагаемого ущерба

При анализе эколого-экономических рисков следует учитывать, что выявленный возможный ущерб может стать не прямым последствием катастрофы или бедствия, а проявиться через негативное изменение окружающей среды. Исходя из этого, целесообразно определять структуру каждого вероятного ущерба. Обычно возможный ущерб рассматривается в натуральной и стоимостной форме.

4. Построение законов распределения ущербов

В связи с тем, что точно спрогнозировать развитие событий при наступлении катастрофы невозможно, оценить, какой будет ущерб однозначно нельзя. Поэтому на данном этапе происходит посторенние закона распределения ущерба на однотипных объектах для каждого вероятного неблагоприятного события. Существуют типовые законы распределения ущерба, использующиеся при анализе рисков.

5. Оценка величины риска

Цель данного этапа – формирование количественных показателей риска, на основе которых будут базироваться оставшиеся этапы, касающиеся управленческих решений. Именно на этом этапе рассчитывается средняя количественная мера риска по формуле, приводимой выше.

На практике для дальнейшего осуществления необходимых защитных мероприятий за основу принимают не просто полученный при расчетах показатель размера ущерба, а максимально приемлемую величину ущерба и максимально допустимую вероятность его нанесения.

На предприятиях природопользования такой подход вполне оправдан, так как прогнозы по ухудшению состояния окружающей среды и последующего возможного ущерба носят ориентировочный характер, и зачастую стоимость мер по снижению таких рисков выше предполагаемого вероятного ущерба.

6. Определение и оценка эффективности возможных методов снижения рисков

Этот этап заключается в установлении перечня возможных методов воздействия на риск.

Такие методы разделяются на группы:

  • методы, позволяющие избежать риска;
  • методы, которые снижают вероятность возникновения неблагоприятного события;
  • методы, уменьшающие возможный ущерб;
  • методы, суть которых сводится к передаче риска другим объектам;
  • методы, основанные на компенсации полученного либо нанесенного ущерба.

Передача риска осуществляется в виде страхования ущерба или ответственности. С 1 января 2012 г. в России вступил в силу Федеральный Закон № 225 от 27.07.

2010 «Об обязательном страховании гражданской ответственности владельца опасного объекта за причинение вреда в результате аварии на опасном объекте», который направлен на решение множества проблем на предприятиях в сфере природопользования на фоне растущего числа катастроф.

7. Принятие решения об определении перечня действий по управлению рисками

Этот этап имеет большое значение во всем процессе управления рисками. Суть его сводится к определению и внедрению в программу управления оптимального набора методов воздействия на риски. Эти методы должны обеспечивать уменьшение совокупных издержек на фоне ухудшения состояния окружающей среды и получение максимальной выгоды при этом.

8. Контроль эффективности и результатов внедрения мер по снижению рисков

Последний этап риск-анализа осуществляется при проведении мониторинга состояния окружающей среды, экспертизы действующих опасных объектов, в том числе предприятий природопользования, также при экспертизе проектов строительства новых объектов, при лицензировании видов деятельности, при проверках, проводимых соответствующими инспекциями.

Мониторинг, как правило, состоит в периодическом наблюдении за состоянием окружающей среды, факторами и источниками воздействия на нее. На основе информации, полученной в итоге мониторинга, проводится оценка характеристик риска и источников его возникновения.

Экологическая экспертиза заключается в установлении соответствия деятельности объекта экологическим стандартам и нормативам, тем самым служит предупреждением возможных неблагоприятных воздействий на окружающую среду. Особую роль проведение экспертизы играет на этапе проектирования и создания объектов хозяйственной деятельности.

Подтверждением соответствия всем экологическим стандартам качества окружающей среды и нормативам безопасности для объектов, являющихся источниками экологического риска, служит экологический сертификат.

Заключение

С позиции сегодняшнего дня можно говорить о том, что Россия столкнулась с проблемой все возрастающего числа катастроф.

Большинство объектов народного хозяйства было построено в советские годы и практические не обновлялось последние десятилетия, достигнув износа 80 % и более.

Множество заброшенных объектов, бесхозных сооружений, многие еще действующие объекты не имеют должного обслуживания и находятся в откровенно аварийном состоянии. Все эти факторы привели к серьезному увеличению рисков, которые значительно выше, чем во всем мире.

На крупнейших объектах, государственных предприятиях следят за безопасностью и осуществляют деятельность по контролю вредного воздействия на окружающую среду, что не относится к более мелким, никем не контролируемым объектам.

Предприятия топливно-энергетического комплекса являются опасными объектами. Большие расстояния, обусловленные удаленностью сырьевой базы от потребителя, увеличивают риски, вероятность возникновения техногенных катастроф, аварий при транспортировке нефти и газа.

С вступлением в силу нового Федерального Закона «Об обязательном страховании гражданской ответственности владельца опасного объекта за причинение вреда в результате аварии на опасном объекте» тема анализа рисков приобрела еще большую актуальность. Предложенный алгоритм и последовательность этапов выполнения риск-анализа представляет собой унифицированный подход к осуществлению деятельности по правлению рисками.

Литература:

1. Тихомиров Н.П., Потравный И.М., Тихомирова Т.М. Методы анализа и управления эколого-экономическими риска-ми: учеб. пособие для вузов / под ред. проф. Н.П. Тихомирова. М., 2003.

Версия для печати  

Источник: https://www.cfin.ru/finanalysis/risk/stages.shtml

Управление рисками. Часть 3. Качественный анализ рисков

АНАЛИЗ РИСКА. ЭТАПЫ, ШАГИ, ПРОЦЕДУРЫ

26.08.2005

Глеб Галкин

В этой части цикла, посвященного управлению рисками, мы подробно остановимся на одном из важнейших этапов – качественном анализе найденных рисков, их сортировке и выбору особенно влияющих на проект, а потому значимых рисков для последующей работы с ними.

Следующие два этапа процесса управления рисками – это качественный и количественный анализ рисков.

Задача качественного и количественного анализа состоит в том, чтобы определить какие идентифицированные на предыдущей стадии риски потребуют специфических действий.

Каждый ли риск в имеющемся списке потребует специфических мер или же есть риски с низкой вероятностью или риски с низкой степенью воздействия на проект, работу над которыми можно опустить?

Задачи этапа 4 – качественного анализа рисков – состоят в том, чтобы субъективно оценить вероятность воздействия каждого риска, создать более короткий список рисков, определить критические риски, которые уже будут пропущены через количественный анализ и для которых будут планироваться ответные действия. Кроме того, на стадии качественного анализа принимается решение о судьбе проекта: продолжать проект или закрывать.

В целом этап качественного анализа рисков разбивается на восемь шагов.

Шаг 1. Выбор владельца риска

Так называемые владельцы рисков (risk owners) – это сотрудники, которым руководитель проекта поручает наблюдать за триггерами некоторого определенного риска, а также управлять ответными процедурами в случае возникновения данного риска.

Сотрудники становятся владельцами рисков в силу специфических экспертных знаний относительно той или иной проблемы или в связи с тем, что они обладают определенным контролем над специфическим риском.

Прежде всего надо решить, будут ли владельцы рисков использованы с самого начала процесса качественного анализа рисков или позже, в процессе работы над рисками. Обычно чем раньше в процесс управления рисками вводится владелец риска, тем лучше.

Шаг 2. Анализ всех допущений и определение погрешности данных

Следующий шаг – анализ допущений (assumption testing), которые были сделаны в процессе идентификации рисков. Это надо сделать, прежде чем непосредственно переходить к качественному и количественному анализу рисков. Слишком много неизвестных делают данные еще более рискованными.

Если допущения оказываются ложными, степень риска проекта существенно увеличивается. Поэтому PMBOK считает необходимым проанализировать стабильность каждого сделанного в проекте допущения, а также последствий, если допущение окажется ложным.

Анализ допущений осуществляется, как правило, в формате, показанном в таблице 1.

Таблица 1. Анализ допущений при идентификации рисков

ДопущениеСтабильность допущения (1–10)Последствия, если допущение ложно (1–10)
Работа над проектом не будет мешать ежедневной работе сотрудника А28
Примечание: Стабильность допущения в рамках от 5 до10 означает, что допущение более-менее верно.Последствия допущения в рамках от 5 до10 означает, что влияние на проект может быть существенным

После анализа допущений необходимо провести определение погрешности данных. Данная процедура показывает, достаточно ли хорошо понятны определенные риски, достаточно ли данных, необходимых для определения последствия рисков, доступно, а также насколько эти данные надежны. Кто именно будет проводить процедуру, зависит от понимания проекта и профессионального опыта.

Возможно, руководитель проекта посчитает нужным пройти этот шаг самостоятельно. Важно учесть: чем выше приоритет проекта, тем точнее должен быть проведен анализ погрешности данных. Результаты определения погрешности данных должны быть собраны в таблицу 2.

Возможно, на этом шаге понадобится дополнительный раунд интервью, однако необходимо провести всю эту работу, прежде чем можно будет начать полноценный качественный анализ.

Таблица 2. Результаты определения погрешности данных

РискСтепень понимания рискаКоличество данных,Надежность данных
Система Х инсталлируется с опозданием, приводя к двухнедельному срыву сроков внедрения системы Y972
ПО Z не будет полноценно интегрировано с ПО W через встроенные инструменты, что приведет к необходимости дополнительного программирования229

Шаг 3. Выбор шкал степени воздействия и оценка вероятности возникновения риска

После завершения работы с погрешностью данных необходимо определить степень воздействия на проект каждого риска. Для этого необходимо понять, какие шкалы степени воздействия рисков будут использованы и какие методы качественного анализа могут применяться.

Шкалы представляют собой определенные наборы степеней воздействия рисков на проект в целом. На данном шаге шкала воздействия определяется субъективно. Если в организации шкалы степени воздействия тех или иных рисков не были стандартизированы, можно принять одну из предлагаемых в таблице 3.

Можно построить и свои шкалы.

Таблица 3. Шкалы степени воздействия рисков

ШкалаСтепени воздействия на проект
1Очень низкаяНизкаяСредняяВысокаяОчень высокая
20,050,10,20,40,8
30,10,30,50,70,9
412345678910
Примечание: Степени воздействия, измеряемые в пределах от 1 до 10, интерпретируются в стандартном случае следующим образом. 10 – проект провален; 9 – превышение бюджета на 40% или срыв сроков на 40%; 8 – превышение бюджета на 30% или срыв сроков на 30%; 7 – превышение бюджета на 20% или срыв сроков на 20%; 6 – превышение бюджета на 10% или срыв сроков на 10%; 5 – слегка превышен бюджет проекта; 4 – существенное использование резервного времени или фонда резервных затрат проекта, но в пределах бюджета; 3 – среднее использование резервного времени или фонда резервных затрат проекта; 2 – незначительное использование резервного времени или фонда резервных затрат проекта; 1 – никакого реального воздействия на проект.

Многие компании ошибочно используют трехуровневые шкалы воздействия рисков типа “высокая-средняя-низкая”.

Проблема состоит в том, что такой подход сделает распределение рисков при их сортировке на стадии качественного анализа слишком плотным.

Придется еще долго разбираться со всеми рисками, которые попадут в графу “высокая вероятность – сильное воздействие”. Будет сложно понять, какие риски окажутся приоритетными.

Кроме степени влияния, необходимо определить вероятность возникновения риска. На этом шаге вероятность также определяется субъективно. Необходимо помнить тот факт, что риск не может быть вероятен на 100% или даже на 80%. Такая вероятность выводит проблему из разряда рисков и переводит в разряд фактов, а потому должна быть учтена в плане проекта.

Шаг 4. Сортировка рисков

Далее риски необходимо отсортировать. Разберем реальную технику сортировки большого количества рисков, которая зарекомендовала себя на примере не одной сотни компаний. Она активно используется и пропагандируется подразделением Risk Management Special Interest Group (RMSIG) из Project Management Institute.

Суть метода состоит в том, чтобы распределить риски по специальной карте (другое ее название – PI-матрица). Карта должны выглядеть так, как показано в таблице 4. Обычно все идентифицированные риски распределяются между сотрудниками группы по работе с рисками.

За риск, как правило, отвечает тот, кто идентифицировал данный риск (источник указан на RMC-карте). Риски, определенные теми, кто не присутствует при данной процедуре, делятся поровну между всеми остальными участниками.

Затем участники распределяют имеющиеся у них риски по определенным квадратам, то есть ранжируют вероятности и степени влияния данных рисков.

Таблица 4. Карта сортировки рисков

Вероятность10
9
8
7
6
5
4
3
2
112345678910
Степень воздействия

Некоторые специалисты из RMSIG рекомендуют проводить эту процедуру в реальности, то есть физически начертить карту размером 2х2 метра, раздать участникам RMC-карты созданные ранее и разложить их по квадратам.

Бывает необходимо повысить качество индивидуальных решений о вероятности и степени влияния рисков – такие решения могут быть недостаточно аккуратны.

Рекомендуется раздать членам команды фломастеры разных цветов и предложить, просмотрев все риски, промаркировать те, с которыми они не согласны и которые, по их мнению, необходимо обсудить отдельно. После этого маркированные риски обсуждаются, и делаются соответствующие изменения.

По окончании данного шага вероятность и степень воздействия каждого риска на проект считается установленной, и в RMC-карты вносятся вероятность данного риска и степень влияния.

Шаг 5. Ранжирование и выбор значимых рисков

Кроме процедуры сортировки рисков необходимо проранжировать риски – определить RR (risk ranking) для каждого риска. Формула для определения RR такова:

RR = Вероятность риска х Степень воздействия риска

Отчасти этот шаг повторяет сортировку рисков по карте, однако специалисты советуют проводить его, так как это понадобится в дальнейшем. Потом уже можно определить, какие риски будут запущены в процесс управления рисками.

Список рисков согласно значению RR позволяет отсортировать их.

Таким образом, риски, которые возникают с очень низкой вероятностью или будут оказывать очень незначительное воздействие на проект, могут быть удалены из дальнейшего анализа.

Самое важное на этом шаге – принять решение по поводу пороговых величин рисков, которые будут участвовать в дальнейшем рассмотрении. Это сложный вопрос, по которому трудно дать конкретные рекомендации.

Огромную роль здесь играет опыт руководителя проекта, а также уровни рисков, которые приняты как пороговые в компании. Если в компании принят максимальный уровень риска проектов 77 (степени влияния по шкале 4 и вероятности от 1 до 10), то все риски, имеющие RR выше 45-50, должны быть признаны значимыми.

Все риски, имеющие RR ниже 45-50, документируются, но в работу по управлению рисками не запускаются.

Еще один совет состоит в том, чтобы проанализировать риски на предмет их принадлежности к определенной задаче. Это делается сортировкой RMC-карт.

Если среднее число рисков для различных задач проекта равно 3, а для некоторой задачи было идентифицировано 10 рисков, со значениями RR, колеблющимися от 10 до 50, то такие риски также стоит признать значимыми и вносить в план по управлению рисками.

Следует проанализировать и причины рисков. В формате идентификации рисков, который мы обсуждали в предыдущей статье – Cause-Risk-Effect (CRE), – есть дополнительное преимущество: можно отсортировать данный список по причинам.

Здесь важно отметить, что при определении риска в CRE-форме очень важно грамотно описать причину риска, а не ограничиваться общими словами. В таблице 5 мы приводим примеры правильно и неправильно описанного риска. Именно это позволяет грамотно сортировать риски по причинам.

Часто такая сортировка показывает, что какая-то причина, сотрудник или событие вызывает более чем один риск.

Таким образом, претендентами на дальнейшее участие в процессе управления рисками являются риски с высоким рангом, задачи с количеством рисков, сильно отклоняющимся от среднего по задаче, и часто встречающиеся причины рисков.

Таблица 5. Неправильное и правильное определение риска

ПричинаРискЭффект
Неправильно определенный риск
Есть проблемы с системой backup\recoveryМожет привести к потере важных данных?
Риск, определенный согласно стандарту
Было три случая, когда система backup\recovery не срабатывала. Хотя и были предприняты попытки определить и устранить причину сбоев, однако на момент старта данного проекта ничего так и не было сделано.Означает, что backup\recovery опять может дать сбойЧто может привести к потере важных данных и результатов тестирования в рамках проекта

Шаг 6. Общий риск проекта

Следующий шаг – определить общий риск, с которым компания еще способна смириться, чтобы запустить проект в работу. Как правило, данная шкала допустимости в компании предопределена. Общий риск проекта (risk score, RS) определяется как среднее арифметическое всех значимых рисков проекта:

RS = ? RR / N, где RR = Вероятность риска x Степень воздействия риска

N = общее количество рисков данного проекта

Обычно возникают разные мнения по поводу того, где установить порог для проекта. Это тоже сложный вопрос, и трудно дать конкретные рекомендации. Топ-менеджменту компании порог, как правило, видится несколько иначе, чем функциональным заказчикам проекта, и иначе, чем руководителю проекта.

В компаниях, которые ввели управление рисками проектов в повседневную практику, это порог установлен. В этом случае появляются возможности взаимодействия с топ-менеджментом компании на новом уровне.

Например: “Мы были необыкновенно заинтересованы в работе над данным проектом, однако в результате подготовительной работы было установлено, что риск проекта превышает отметку 77, допустимую в компании. К сожалению, нам придется отказаться от выполнения данного проекта в связи с неоправданностью риска для данного проекта”.

Или: “Риск данного проекта находится на уровне 75. Топ-менеджмент компании согласен инвестировать в проект дополнительно 100 тыс. долларов, если удастся снизить показатель риска до 60”. Именно на этом шаге принимается решение о продолжении или сворачивании проекта.

Шаг 7. Документирование незначимых рисков

Что делать с рисками, которые были “признаны легковесными” и не включены в дальнейшее планирование управления рисками? Разумный подход к решению этого вопроса – принять во внимание следующее: невозможно до начала проекта спрогнозировать проект на 100%, поэтому по мере выполнения проекта и обретения лучшего понимания его составляющих рейтинги рисков будут меняться. Значит, риски, не вошедшие в дальнейшее управление рисками, должны быть задокументированы, чтобы можно было по мере выполнения проекта быстро понять, как ведет себя данный риск. Удобным форматом документирования является форма NTR (Non-top risk), показанная в таблице 6.

Таблица 6. NTR-форма

РискЗадачаВероятностьСтепень воздействияRR (Risk Ranking)

Шаг 8. Количественный анализ или RRP?

После качественного анализа рисков необходимо перейти либо к количественному анализу, либо напрямую к процедуре RRP (Risk Response Planning). Как определить, необходимо ли переходить к количественному анализу или к RRP?

На самом деле опыт показывает, что количественный анализ рисков не так уж важен, как большинство почему-то склонно считать. Поэтому очень многие проекты ограничиваются этапом субъективного качественного анализа рисков.

В общем случае переходить к количественному анализу имеет смысл, если:

  • есть инструменты количественного анализа рисков;
  • количественный анализ стоит затрат времени и средств потраченных на него;
  • приоритет проекта очень высокий или же проект находится в центре внимания руководства по другим причинам;
  • проект практически не допускает дополнительных затрат и нарушений расписания проекта.

Непосредственно к процедуре Risk Response Planning стоит переходить, если:

  • проект краткосрочный или малобюджетный;
  • у вас еще недостаточно опыта в управлении рисками, и количественный анализ пока является проблемой.

Источник: https://www.iemag.ru/master-class/detail.php?ID=15716

Основные этапы анализа риска

АНАЛИЗ РИСКА. ЭТАПЫ, ШАГИ, ПРОЦЕДУРЫ

Работа по анализу риска состоит в том, чтобы оценить величину рисков, выработать методы по их уменьшению, а затем убедиться, что риски заключены в приемлемые рамки. Алгоритм анализа риска представлен на рисунке 2.

Выбор анализируемых объектов и степени детализации

Выбор методологии оценки рисков

Идентификация объектов

Анализ угроз и уязвимостей защиты

Оценка рисков

Выбор защитных мер

Реализация и проверка выбранных мер

Оценка остаточного риска

Рисунок 2

Предварительные этапы анализа риска

На начальном этапе методом экспертной оценки решаются общие вопросы проведения анализа рисков. Первым делом выбираются компоненты АС и степени детальности их рассмотрения.

Более тщательному анализу подвергаются новые и модифицированные компоненты АС, а так же компоненты, где имели место новые инциденты и нарушения безопасности.

Далее выбираются методологии оценки рисков, как процесса получения количественной или качественной оценки ущерба, который может произойти в случае реализации угроз безопасности АС. Методология носит частный характер, присущий организации и АС.

На практике, с учетом допустимой приближенной оценки рисков, часто используют простые, наглядные методы, основанные на элементах теории вероятности и математической статистики.

Идентификация активов

Основу процесса анализа риска составляет определение, что надо защищать, от кого и как. Для этого выделяют активы (компоненты АС), нуждающиеся в защите.

Некоторые активы (например, технические и программные средства) идентифицируются очевидным образом. Про некоторые активы (люди, расходные материалы) часто забывают.

При идентификации активов могут быть затронуты и нематериальные ценности, например, репутация компании, моральный климат в коллективе и т.д.

В таблице представим основные категории активов АС предприятия.

Категории активовКомпоненты информационной системы
Аппаратное обеспечение Компьютеры, периферийные устройства, коммуникационные линии, сетевое оборудование и их составные части
Программное обеспечение Исходные, объектные и загрузочные модули ОС, вспомогательных систем, инструментарных средств разработки, прикладных программных пакетов
Информационное обеспечение Вводимые, обрабатываемые, хранимые, передаваемые и резервные данные
Персонал Обслуживающий персонал и пользователи
Документация Конструкторская, техническая, пользовательская и иная документация
Расходные материалы Бумага, картриджи и т.д.

Планом результата идентификации активов является получение детальной информационной структуры организации и способов использования информации. Дальнейшие этапы анализа риска основываются именно на данной, зафиксированной на данный момент времени, информации.

Анализ угроз

После идентификации активов АС следует рассмотреть все возможные угрозы, оценить риски и ранжировать их по степени возможного ущерба. Под угрозой обычно понимают любое событие (действие), которое потенциально может нанести ущерб АС путем нарушения конфиденциальности, целостности или доступности информации.

В таблице приведем примеры общих угроз, способных привести к нарушению целостности, конфиденциальности и доступности информации.

Реализация угрозОбъекты воздействия
Информационное обеспечениеПрограммное обеспечениеТехническое обеспечениеПерсонал
Нелегальное ознакомление (чтение) НСД, копирование, размножение, хищение, перехват, дешифрование НСД, внедрение вирусов и закладок, использование дефектов, ошибки НСД, внедрение закладок, нарушение режимов работы, хищение носителей, отказы, ошибки Некомпетентность, халатность, разглашение, подкуп и вербовка
Несанкционированное уничтожение или модификация НСД, искажение, удаление, модификация НСД, искажение, удаление, модификация НСД, внедрение закладок, нарушение режимов работы, отказы, ошибки Некомпетентность, халатность, подкуп и вербовка
Отказ в обслуживании НСД, искажение, удаление, адресация НСД, искажение, удаление, внедрение вирусов и закладок, отмена, использование дефектов, ошибки НСД, внедрение закладок, нарушение режимов работы, выход из строя отказы, ошибки, разрушение, перезагрузка Некомпетентность, халатность, болезнь, нарушение режимов работы

После идентификации угрозы необходимо оценить риск проявления угрозы. Кроме вероятности осуществления угрозы важен размер ожидаемых потерь: (произведение вероятностной оценки риска проявления угрозы на ущерб при реализации угроз).

Приведем примеры простых способов оценки вероятности проявления угроз и возможных потерь:

1) Экспертная оценка событий. Методы экспертных оценок применяются при оценки трудно предсказуемых угроз, например, стихийных бедствий и являются самыми неточными.

2) Методика определения приемлемости уровня риска по трехбалльной шкале. Согласно методике, оцениваемым рискам и ущербам ставятся оценки по трехбалльной шкале {1 2 3}.

Полученные два множества оценок рисков и ущерба перемножаются. Множество значений будет следующим {1 2 3 4 6 9}.

Предполагается, что первые два значения характеризуют низкий уровень риска, третий и четвертый – средний, два последних – высокий.

3) Методика определения приемлемости уровня риска с учетом видимости угроз и их последствий. Здесь вводится понятие видимости угрозы для внешнего мира – меры информации о системе, доступной злоумышленнику.

Согласно указанной методике, оцениваемым риском, видимости, физическим ущербом и моральным ущербом ставятся оценки по трехбалльной шкале {1 2 3}.

Значение рисков умножаются на значения для видимости, а значение для физического ущерба умножаются на значения для морального ущерба. Затем, полученные два числа складываются.

Стержнем плана являются рекомендации по реализации системы обеспечения безопасности информации. Здесь целесообразно отметить следующие сведения:

1. Рекомендации по выбору общих средств и способов защиты. Выбираемые средства образуют первостепенную линию обороны.

2. Определение стратегии защит. Важнейшим способом защиты активов является использование нескольких различных стратегий (принцип эшелонированность обороны). Если одна линия обороны прорвана, вступает следующая стратегия.

3. Физическая защита.

4. Выявление неавторизированной деятельности. Для этого могут использоваться следующие способы и средства:

– анализ сообщений пользователей;

– отслеживание пользователем системы с помощью несложных пакетных файлов и программ;

– мониторинг системы администратором;

– ведение и анализ регистрационного журнала системы.

5. В разделе могут быть освещены действия в случае подозрений неавторизированной деятельности.

6. Правила безопасности работы персонала. Обычно правила делятся в соответствии с категориями персонала, а именно:

– правила безопасной работы, различные действия, процедуры докладов пользователей;

– правила администрирования конфигурационного управления процедуры сохранения-восстановления и процедуры докладов администраторов.

7. Ресурсы для предупреждения нарушений безопасности. В данном разделе описываются программные, аппаратные и процедурные ресурсы, реализующие политику безопасности. Интегрированная система безопасности корпоративной сети обычно включает следующие средства:

– системы и средства аутентификации;

– средства обеспечения целостности информации;

– средства обеспечения конфиденциальности (шифрование);

– средства аутентификации источника данных (ЭЦП);

– сетевые соединения, МСЭ и средства ограничения сетевого доступа.

В плане могут быть выделены типы процедур безопасности АС предприятия. Перечислим наиболее типичные процедуры ЗИ:

1) Проверка системной безопасности. Элементом таких проверок является ревизия политики безопасности и защитных механизмов. Примерами могут быть плановые учения и отдельные поверки некоторых процедур.

2) Процедуры управления счетами. Это необходимо для предотвращения несанкционированного доступа к системам. Должны быть процедуры управления счетами и администраторов и пользователей. Администраторы отвечают за заведение, удаление из счетов и осуществляют общий контроль. Пользователь может контролировать, пользуется кто его счетом или нет.

3) Процедура управления паролями (процедуры выбора и смены пароля).

4) Процедура конфигурационного управления.

После рекомендации по реализации защиты в плане могут быть конкретизированы ответственность и обязанность персонала.

Заканчивается план определением общих вопросов жизненного цикла системы защиты: внедрение, эксплуатация, сопровождение и снятие с эксплуатации.

Здесь могут быть определены сроки и периодичность проверки системы защиты в соответствии с порядком пересмотра политики безопасности и анализа риска.

План обеспечения непрерывной работы и восстановление функционирования автоматизированной системы

Частью реакции на нарушение безопасности является предварительная подготовка ответных мер, т.е. поддержание должного уровня защиты так, чтобы ущерб мог быть ограничен, а в дальнейшем и исключен.

Указанный план определяет действия персонала АС в критических ситуациях с целью обеспечения непрерывной работы и восстановления функционирования АС.

Необходимость указанного плана диктуется следующим:

1) Предотвращением угрозы жизни людей.

2) Экономическими целями.

3) Требованиям по защите секретной и критически важной информации.

4) Нежелательной оглаской в прессе.

5) Правовым аспектом.

Обычно план состоит из двух частей, описывающих меры реагирования на нарушение безопасности и восстановительные работы. Меры реагирования на нарушения направлены на обнаружение и нейтрализацию нарушений с целью снижения ущерба и ограничения распространения угрозы. а так же недопущения повторных нарушений. Указанная часть плана содержит следующую группу сведений:

1) Основные положения.

2) Оценка инцидента.

3) Оповещение.

4) ответные меры.

5) Правовой аспект.

6) Регистрационная документация.

После нарушения следует предпринять ряд действий по восстановлению нормального функционирования АС. Основными положениями документа являются следующие:

1) Оперативный пересмотр политики.

2) Устранение слабостей.

3) Усвоение уроков.

4) Совершенствование политики и процедур.

Реализация плана

К основным процедурам обеспечения безопасности относятся:

1) Проверка системы и средств безопасности.

2) Управление паролями.

3) Управление счетами.

4) Поддержка пользователей.

5) сопровождение ПО.

6) Конфигурационное управление

7) Резервное копирование.

8) Управление носителями.

9) Документирование.

Не нашли то, что искали? Воспользуйтесь поиском:

Источник: https://studopedia.ru/12_76772_osnovnie-etapi-analiza-riska.html

4.Этапы анализа и оценки рисков

АНАЛИЗ РИСКА. ЭТАПЫ, ШАГИ, ПРОЦЕДУРЫ

Процессанализарисков делится на несколько этапов:

  1. идентификация информационных ресурсов;

  2. выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения;

  3. оценка угроз;

  4. оценка уязвимостей;

  5. оценка рисков;

  6. оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.

Оценкариска зависит от ряда факторов:

  1. ценности ресурсов;

  2. вероятности реализации угроз;

  3. простоты использования уязвимости для реализации угроз;

  4. существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.

Мойответ(из слайдов):

Процессанализа рисков можно разделить нанесколько последовательных этапов:

      • Идентификация ключевых ресурсов;
      • Определение важности тех или иных ресурсов;
      • Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
      • Вычисление рисков, связанных с осуществлением угроз безопасности.

5. Управление рисками. Цели управления рисками. Что включает в себя управление рисками

Управленияриском -процесспринятия и выполнения управленческихрешений, направленных на снижение вероятностивозникновениянеблагоприятного результата и минимизациювозможных потерь, вызванных егореализацией. 

Цель:повышение защиты от реализации рисков.

Методыуправления риском:

•  избежаниериска- происходитв том случае, если осуществлениедеятельности ведет к нарушению принциповисследования рисков.

•  снижениериска – сутьюявляется уменьшение вероятностинаступления риска и уменьшение объемоввозможных потерь.

•  принятиериска на себя – означаетоставление всего (или части) риска закомпанией и покрытие возможных потерьсобственными средствами. 

•  передачачасти или всего риска третьим лицамприменяютсяв том случае, если риски весьма вероятныи размер ущерба невелик либоесли вероятность наступления ущербанизка, однако его размер значителен. Вэтом случае производится сравнениезатрат на передачу риска с ожидаемымрезультатом. Наиболее часто используемымметодом этой группы является страхование.

6. Уровни зрелости организации, определяемые международными стандартами

Уровень зрелости (оценка, балл)Характеристика уровня
Уровень 1Начальный, нулевой уровеньРаботники действуют исхода из своих личных представлений о целях работы. Отсутствуют внутренние регулирующие документы. Действия не документируются, бизнес-знания не отделены от работников (знания пропадают при увольнении работников). Бизнес-процессы в организации не описаны и, соответственно, не классифицированы. Деятельность компании непрозрачна даже для основного персонала.
Уровень 2Уровень осознанияРуководство компании решило превзойти начальный уровень. Появляются внутренние стандарты, описывающие основные бизнес-процессы компании. Возникает повторяемость: выполнение новых проектов основывается на опыте выполнения предыдущих проектов.
Уровень 3Уровень управляемостиВ организации задокументированы и стандартизированы все бизнес-процессы. Система управления оказывается отделенной от всего персонала организации, т.е. появляется внутренний «свод законов». Этим законам следует весь персонал организации, включая топ-менеджмент.
Уровень 4Уровень измеряемостиВ компании вводится количественная система оценки эффективности бизнес-процессов (используются как финансовые, так и натуральные показатели). Одновременно используется та или иная система оценки работы персонала, например, система ключевых показателей. Обе системы, описание бизнес-процессов и оценки персонала синхронизированы между собой — эффективная деятельность компании приводит к стимулированию персонала
Уровень 5Уровень совершенствованияНа основе анализа количественных показателей в компании проводится корректировка (реинжиниринг) бизнес-процессов. Коррекции отражаются во внутренних документах. Важно то, что процесс коррекции носит постоянный, системный характер.

Мойответ(из крнспекта):

Начальныйуровень- осознание проблемы отсутствует,организацией принимаются фрагментальныемеры противодействия угрозы.

Второйуровень-определяется ответственностьза решение вопросов ИБ, делаются попыткирешения интегрированных решений,центролизованным управлением средствамиИБ.

Третийуровень-характеризуется применениемпроцессного подхода к управлению рискамиИБ.

Источник: https://studfile.net/preview/3022009/page:2/

Этапы оценки риска

АНАЛИЗ РИСКА. ЭТАПЫ, ШАГИ, ПРОЦЕДУРЫ

Первым шагом (этапом) оценки риска является идентификация опасности – определение реальной опасности для человека, окружающей среды. Здесь большая роль отводится научному исследованию. Попытка идентификации опасности сводится к поиску сигналов опасности, выделению такого сигнала на существующем фоне.

Для идентификации опасности важны приемы апробации, отбора (например различных препаратов), моделирования поведения различных веществ в среде, мониторинга и диагностики (оценки симптомов, последствий воздействия).

Отметим, что все вопросы оценки, диагностики и прогноза следует отнести к системе мониторинга. Диагностика начинается с наблюдений отклонений – по этим отклонениям необходимо правильно определить «заболевание».

Практически все данные, полученные с помощью мониторинга, требуют по большей части диагностических.

При идентификации опасности первым является вопрос, что представляет собой опасность, при вычислении риска, какова его величина, т.е. необходимо определить вероятность возникновения данного опасного явления и вероятность неблагоприятных последствий. Для определения вычисления риска могут использоваться предвидение, интуиция и экстраполяция.

На рассматриваемом этапе процедуры оценки риска анализ ведется на качественном уровне.

Второй этап – оценка экспозиции – это оценка того, какими путями и через какие среды, на каком количественном уровне, в какое время и при какой продолжительности воздействия имеет место реальная и ожидаемая экспозиция; это также оценка получаемых доз, если она доступна, и оценка численности лиц, которые подвергаются такой экспозиции и для которых она представляется вероятной.

Численность экспонированной популяции является одним из важнейших факторов для решения вопроса о приоритетности охранных мероприятий, возникающего при использовании результатов оценки риска в целях «управления риском».

В идеальном варианте оценка экспозиции опирается на фактические данные мониторинга загрязнения различных компонентов окружающей среды (атмосферный воздух, воздух внутри помещений, почва, питьевая вода, продукты питания). Однако нередко этот подход неосуществим в связи с большими расходами.

Кроме того, он не всегда позволяет оценить связь загрязнения с конкретным его источником и недостаточен для прогнозирования будущей экспозиции.

Поэтому во многих случаях используют различные математические модели рассеивания атмосферных выбросов, их оседания на почве, диффузии и разбавления загрязнителей в грунтовых водах и/или открытых водоемах.

Третий этап – оценка зависимости «доза-эффект» – это поиск количественных закономерностей, связывающих получаемую дозу вещества с распространенностью того или иного неблагоприятного (для здоровья) эффекта, т.е. с вероятностью его развития.

Подобные закономерности, как правило, выявляются в токсикологических экспериментах. Однако экстраполяция их с группы животных на человеческую популяцию связана со слишком большим числом неопределенностей. Зависимость «доза-эффект», обоснованная эпидемиологическими данными, более надежна, но имеет свои зоны неопределенности.

Этап оценки зависимости «доза-эффект» принципиально различается для канцерогенов и не канцерогенов.

Для не канцерогенных токсических веществ методология исходит из концепции пороговости действия и признает возможным установить так называемую «референтную дозу» (RED) или референтную концентрацию (RFC), при действии которых на человеческую популяцию, включая ее чувствительные подгруппы, не создается риск развития каких-либо уловимых вредных эффектов в течение всего периода жизни. Аналогичное понятие есть в некоторых документах ВОЗ – «переносимое поступление в организм» (tolerable intake – TI).

При оценке зависимости «доза-эффект» для канцерогенов, действие которых всегда рассматривается как не имеющее порога, предпочтение отдается так называемой линеаризированной многоступенчатой модели (linearized multistage model). Данная модель выбрана в качестве основы унифицированного подхода к экстраполяции с высоких доз на низкие.

При этом основным параметром для исчисления риска на здоровье человека является так называемый фактор наклона (slope factor), в качестве которого обычно используется 95%-й верхний доверительный предел наклона кривой «доза-эффект». Фактор наклона выражается в (мг/(кг·день))-1 и является мерой риска, возникающего на единицу дозы канцерогена.

Например, если некто подвергается ежедневно на протяжении всей жизни воздействию канцерогена в дозе 0,02 (мг/(кг·день))-1, то добавленный риск, получаемый умножением дозы на фактор наклона, оценивается величиной 4·10-5. Иными словами, признается вероятным развитие четырех дополнительных случаев рака на 100 000 чел.

, подвергающихся экспозиции такого уровня.

Заключительный этап процедуры оценки риска – характеристика риска – является результатом предыдущих этапов и включает оценку возможных и выявленных неблагоприятных эффектов в состоянии здоровья человека; оценку риска канцерогенных эффектов, установление коэффициента опасности развития общетоксических эффектов, анализ и характеристику неопределенностей, связанных с оценкой, и обобщение всей информации по оценке риска.

Величина риска определяется как произведение величины ущерба I на вероятность W события i, вызывающего этот ущерб:

R = IWi.

Поскольку процедура оценки риска сложна и в значительной степени страдает известной неопределенностью, с целью стандартизации исследований Агентство по защите окружающей среды США (EPA) разработало и утвердило план проведения таких работ. Он содержит описание последовательности решения задачи, учет неопределенностей и допущений с целью получения в какой-то степени унифицированной приблизительной информации о вероятности развития неблагоприятных экологических эффектов.

Согласно этому плану оценка экологического риска включает этапы (рис. 4):

1. Формулирование проблемы и разработка плана анализа ситуации.

2. Анализ экологической ситуации.

3. Обработка данных, формирование выводов и представление материалов заказчику.

Как правило, оценка экологического риска проводится в форме заказного исследования, выполняемого с целью получения информации, носящей перспективный или ретроспективный характер и необходимой заказчику (законодательные, управленческие структуры и т.д.) для принятия административных решений.

Поэтому, в отличие от научных экотоксикологических исследований, в ходе которых рассматриваются объективные закономерности реакций биоценоза на действие стрессора, при определении экотоксического риска в качестве объектов среды, подлежащих изучению и «защите», могут выступать характеристики биосистемы, имеющие антропоцентрическое значение, а порой и отдельные элементы окружающей человека природы, субъективно воспринимаемые общественным мнением, как весьма значимые.

Методология оценки экологического риска до конца не разработана. В подавляющем большинстве случаев её выводы носят качественный, описательный характер. Попытки внедрить методы количественной оценки сталкиваются с серьезными трудностями.

Это обусловлено сложностью экосистем, комплексностью воздействия на среду стрессоров (не только химической, но и физической, и биологический природы), недостаточной изученностью характеристик экотоксической опасности огромного количества ксенобиотиков, используемых человеком, и т.д.

В этой связи, по мнению самих экологов, в настоящее время оценка экологического риска в значительной степени является искусством.

ЗОНЫ ПОВЫШЕННОГО ЭКОЛОГИЧЕСКОГО РИСКАЧасть территории (город, область, регион), для которой характерен: хронический повышенный уровень загрязнения окружающей природной среды, устойчивая повышенная антропогенная нагрузка на окружающую природную среду, угроза дефицита пресной воды, снижение плодородности почв, истощение растительного покрова, исчезновение многообразия видов животных, оскудение рыбных запасов, повышенный уровень заболеваемости населения

Источник: https://studopedia.su/11_100579_etapi-otsenki-riska.html

Book for ucheba
Добавить комментарий