Методы расчета рисков

Методы расчета риска

Для количественной оценки уровня риска можно использовать следующие методы: cтатистический и экспертных оценок. Кратко изложим суть этих методов.

Статистический метод менеджеры используют при наличии значительного объема статистической информации о реализации определенных видов риска и потерях от них в прошлые периоды по конкретным направлениям предпринимательской деятельности в целях оценки вероятности их наступления в будущем. Эта вероятность и будет являться степенью риска, она выражается величиной среднеквадратического отклонения от ожидаемых величин. Главные элементы статистического метода — математическое ожидание, дисперсия, среднеквадратическое отклонение, коэффициент вариации.

Математическое ожидание (s w_val=»28″/> Р• r «> ) — это сумма произведений всех возможных значений, которые может принимать исследуемый параметр (Е), на вероятность их возникновения. Математическое ожидание приблизительно равно среднему арифметическому возможных значений рассматриваемого параметра.

Дисперсия — это мера отклонения (разброса) фактического значения признака Е от его среднего значения, которую определяют как квадрат отклонения значений признака от его среднего значения, умноженный на вероятность Р_i. В теории вероятностей дисперсию определяют как математическое ожидание квадрата отклонения:

(4.1)

где Е – фактическое значение признака;

— среднее значение признака;

– вероятность.

Среднеквадратическое отклонение (σ) рассчитывается извлечением квадратного корня из дисперсии и показывает максимально возможное отклонение параметра от его среднеожидаемого значения:

σ = (4.2)

Величина среднеквадратического отклонения характеризует степень конкретного риска — чем она больше, тем рискованнее избранный путь.

Коэффициент вариации — это отношение среднеквадратического отклонения к математическому ожиданию σ/ . Чем меньше коэффициент вариации, тем более стабильна прогнозируемая ситуация и меньше уровень риска.

Установлена следующая качественная оценка различных значений коэффициента вариации:

— до 10% — слабая колеблемость (малый риск);

— 10—25% — умеренная колеблемость (допустимый риск);

— свыше 25% — высокая колеблемость (опасный риск).

При недостатке или отсутствии статистической информации приходится применять метод экспертных оценок, который сводится к сбору и обработке мнений опытных экспертов, дающих балльную оценку вероятности возникновения того или иного вида риска и степени потерь.

Экспертная оценка уровня риска — это не решение, а лишь полезная информация, помогающая выбрать обоснованное решение. Принимать решение об уровне риска на основе своих предпочтений может только менеджер по риску, он и несет за них ответственность.

Экспертные методы оценки широко используются при определении уровней инфляционного, процентного, эмиссионного, валютного, инвестиционногои некоторых других видов финансовых рисков.

В целях получения более развернутой характеристики уровня риска по рассматриваемой операции опрос следует ориентировать на отдельные виды финансовых рисков, идентифицированные по данной операции (процентный, валютный, инвестиционный и т.п.). В процессе экспертной оценки каждому эксперту предлагается оценить уровень возможного риска, основываясь на определенной балльной шкале, например:

Методы оценки профессиональных рисков: выбираем подходящий

Методы оценки профессиональных рисков: выбираем подходящий

На момент написания этой статьи методы оценки профессиональных рисков не утверждены ни Федеральными законами, ни постановлениями Министерств. Вместе с тем, необходимость в проведении этого мероприятия не исчезает и уже подчеркивается предписаниями Государственной инспекции по труду. Сегодня широкой публике представлены десятки способов оценить профессиональные риски: начиная с тех, что закреплены в ГОСТах и заканчивая авторскими методами экспертных организаций. Сегодня мы разберёмся, какие методы оценки профессиональных рисков подходят для определённых ситуаций, расскажем про их плюсы и минусы применения. Начнём!

Методы оценки профрисков: где их искать?

Несмотря на то, что тема профессиональных рисков далеко не новая, в 2019 году интерес организаций был сильно подогрет к проведению данной процедуры. Во-первых, введение риск-ориентированного подхода. Во-вторых, повышение уровня ответственности работодателей. В-третьих, штрафы после проверок инспекции по труду. Отсутствие единой утверждённой методики оценки профессиональных рисков (и вместе же с этим необходимость проведения) заставило работодателей искать любые зацепки в нормативной документации, строить логические догадки и перечитывать государственные стандарты. В итоге сформировался список документов, которые содержат методы оценки профессиональных рисков:

• OHSAS 18001:2007 (он же ГОСТ Р 54934-2012) «Система менеджмента безопасности охраны труда и охраны здоровья» (действующий)
• OHSAS 18002:2008 «Система менеджмента безопасности и охраны здоровья. Руководство к применению» (действующий)
• BS 18004:2008 «Руководство по достижению эффективности в области безопасности труда и охраны здоровья» (действующий)
• ГОСТ Р 12.0.010-2009 «Система стандартов безопасности труда. Система управления охраной труда. Определение опасностей и оценка риска» (действующий)
• ГОСТ 12.0.003-74 «Опасные и вредные производственные факторы. Классификация, а также нормативно-правовые акты, невыполнение которых может привести к возникновению опасных ситуаций» (действующий)
• ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» (действующий)
• ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска»ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» (действующий)

Чаще стали появляться и авторские методы оценки профессиональных рисков: мы с интересом отмечаем работы Т.В. Ригера (метод коэффициента безопасности труда), С.С. Тимофеевой (совершенствование современного законодательства в области охраны труда) и рады делиться собственными разработками — метод повышения объективности оценки профессионального риска (подготовлено и разработано специалистами ЦПР «Эксперт»).

Безусловно, это не окончательный список. В очень скором времени появится еще методы оценки профессиональных рисков, среди которых, как мы надеемся, будет единый, принятый на Федеральном уровне.

Запутались? Напишите нам, мы поможем. Бесплатно.

Матричные методы оценки профессиональных рисков

Пожалуй, самый простой и недорогостоящий метод оценки профессиональных рисков: работниками организации (или экспертами привлечённой организации) выполняется составление матрицы рисков, согласно которой риски оцениваются по схеме «вероятность — ущерб». Эксперт для каждой ситуации определяет, насколько вероятно её наступление и насколько велик потенциальный ущерб. В итоге составляется таблица, она же — матрица рисков: белые ячейки означают приемлемый риск, серый — высокий и черный — неприемлемый.

Матрица оценки профессиональных рисков

Вместе с простотой использования настоящего метода приходят и его минусы: такая экспертная оценка обладает очень низкой объективностью. Повысить этот показатель можно, привлекая экспертов сторонних организаций (ввиду их опыта), или же используя дисперсионный анализ объективности оценок (авторский метод ЦПР «Эксперт»).

Косвенные методы оценки профессиональных рисков

Суть этого способа оценить профессиональные риски сводится к тому, чтобы найти соотношение между количеством опасных ситуаций и общим числом возможных исходов события. Центральной фигурой этого метода является индекс Элмери, который показывает, сколько % от пунктов безопасности соблюдается на предприятии.

Впрочем, и здесь есть недостаток, не позволяющий применить данный метод для крупных и опасных производств. Все факторы, которые берутся в расчёт, имеют одинаковый вес, подразумевая, что каждая опасность равнозначна остальным.

А вот Вам пара советов, как НЕ нужно проводить оценку профессиональных рисков

Балльные методы оценки профессиональных рисков

Эти методы задействуют специальную балльную систему (от 1 до 6): чем выше балл, тем меньше соответствуют условия труда действующим нормам и правилам. В расчёте показателя уровня риска участвуют результаты проведения специальной оценки условий труда. Главный плюс данного метода в том, что имеется возможность соотнести профессиональные риски в конкретном подразделении, организации в целом, или сравнить несколько организаций.

Подходы и методы

Подходы к расчету рисков.

Стандарт FERMA рекомендует три подхода.

Качественный подход.

В качественном подходе значения присваиваются на уровне много/мало, больше/меньше, сильнее/слабее и т.д. Можно использовать разные по количеству делений шкалы. Типовыми шкалами являются 3х3 и 5х5, их примеры приведены в таблице:

Вероятность

Ущерб

Низкая/ Средняя/ Высокая

Незначительный/ Средний/ Значительный

Очень низкая/ Низкая/ Средняя/ Высокая/ Очень высокая

Незначительный/ Приемлемый/ Средний/ Большой/ Очень большой.

Естественно, что названия в каждой из шкал можно менять.

Плюсы и минусы такого подхода очевидны. Безусловный плюс – это простота и понятность для большинства. Безусловный минус – непонятно, как впоследствии оценивать риски: что для нас опаснее – риск с большой вероятностью и незначительным ущербом либо же наоборот. Кроме того, при использовании качественного подхода в рамках трех и даже пяти делений шкалы возможно возникновение ситуации, когда одинаково оцениваются совершенно разные риски. К примеру, к очень большому ущербу может быть отнесена потеря бизнеса и крупная авария, которая обойдется только в 10% от активов, а к очень низкой вероятности могут быть оценены пожар и падение воздушного судна на наш объект, хотя пожар явно будет случаться чаще.

Поэтому данный метод целесообразно применять только от безнадежности.

Полуколичественный подход.

В полуколичественном подходе значения присваиваются в рамках заданных интервалов. Как и в качественном подходе, можно использовать разные по количеству делений шкалы. Возможные шкалы вероятности я рассмотрю в соответствующем разделе, они описаны в стандарте. Наибольший интерес представляет выбор шкалы для оценки последствий, в частности, ущерба.

Первый вариант основан на выборе шкалы исходя из стоимости компании, оцененной каким-либо образом. Если компания публичная, то это, естественно, капитализация, если непубличная – либо оценка одним из экспертных методов (EBITDA, умноженная на диапазон от 3 до 7), либо же в расчет принимается стоимость чистых активов. Соответственно, выбирается пара (или больше) значений, скажем, 5% и 20% от стоимости чистых активов. Если стоимость активов равна 100ед., то расчет последствий риска состоит в том, чтобы определить, в какой из интервалов этот риск попадет: [0ед., 5ед.], (5ед., 20ед.] или (20ед., +∞). Второй вариант основан на выборе шкалы исходя из какой-либо прибыли компаний: EBIT, EBITDA, валовая прибыль, чистая прибыль и т.д. В этом случае пара (или, опять же, больше) значений – это, к примеру, 10% и 100% от чистой прибыли. В качестве второго желательно всегда использовать прибыль целиком – это позволит отделить риски, которые очень значимы (их реализация приведет к убыткам за год) от менее значимых. Первые два варианта можно комбинировать, к примеру, взять в качестве первого значения 10% от EBITDA, а качестве второго – 10% от оценочной стоимости бизнеса. Последний часто используемый вариант – использование логарифмических шкал. В этом случае используются интервалы [0, 10), [10,100), [100, 1000), [1000, 10000), (10000, +∞) и аналогичные.

Полуколичественный подход, очевидно, точнее, чем качественный, и в этом его главное преимущество. Кроме того, он позволяет более точно оценивать риски. Однако этот подход во многом сохраняет недостатки качественного, особенно при выборе логарифмической шкалы: в рамках одного значения ущерба от риска могут оказаться риски, различающиеся по этому ущербу почти на порядок.

Количественный подход.

Этот подход наиболее прост в описании и сложен в применении. При его использовании каждому риску присваивается количественное значение вероятности в виде процента либо частоты события и ущерба, оцененного в денежном выражении. Сложен он в применении по простой причине – рассчитывать риски бывает непросто, и именно в этом главный минус этого подхода. Ниже я продемонстрирую использование количественного подхода, однако нужно понимать, что для некоторых целей моя интерпретация не очень сгодится и будет нужна серьезная математика (хотя я и не являюсь сторонником её использования).

В конце необходимо сказать о том, что для последствий и вероятностей можно использовать разные подходы: к примеру, вероятность рассчитывать количественно, а ущерб качественно или же, что вероятнее в жизни, наоборот. Однако в дальнейших примерах для демонстрации полных возможностей риск-менеджмента я буду использовать количественные подходы к расчету рисков.

Методы расчета рисков.

Все методы расчета рисков можно разделить на экспертные и статистические, особенности которых следуют из их названия.

Экспертные методы расчета рисков.

При использовании экспертных методов значения вероятности и ущерба определяются на основании мнения специалистов. Примеры экспертных методов:

• опросы (либо устные, либо письменные). На основании результатов этих опросов с помощью нехитрых математических манипуляций производится присвоение значений вероятности и ущерба. Обработка результатов опросов состоит в расчете средних либо же медианных значений, при этом при расчете могут быть отброшены крайние значения. Можно поступить немного более изощренно, и, в случае неанонимного опроса, присвоить каждому из экспертов или групп экспертов свой вес, и итоговые значения присваивать с учетом этих весов. Правда, возникает вопрос, как измерить вес эксперта (не в буквальном значении, а для расчета рисков). Если придумаете — применяйте;
• привлечение экспертов для расчета конкретных рисков. Наиболее эффективно для оценки стратегических и производственных (операционные, опасности) рисков.

Ключевая проблема применения экспертных методов – квалификация самих экспертов. Часто расчеты дают странные значения, особенно в случае большого количества экспертов со стороны анализируемого бизнес-направления. Эксперименты показали, что даже ущерб может отличаться на порядок от некого независимого мнения. А если говорить о качественных оценках, то, за исключением риска конкуренции и недостатка инвестиций, большинство менеджеров предприятия все, что касается внутренних рисков, будет оценивать как минимальная вероятность с незаметным ущербом. Таким образом, внутренние эксперты могут сознательно либо же подсознательно искажать реальную картину. А внешние эксперты могут не столь хорошо разбираться в бизнесе.

Однако это не означает, что от экспертных методов нужно отказываться. Во-первых, с помощью этого метода можно присвоить значения вероятности и ущерба любому риску. Во-вторых, грамотно подбирая экспертные группы, можно добиться хоть какого-то результата. Для этого нужно обеспечить, с одной стороны, независимость экспертов, а с другой – их квалификацию. Хотя бы условную. В общем, ищите людей, и все получится. Но по возможности лучше использовать статистические методы.

Статистические методы расчета рисков.

Статистические методы хорошо работают на больших объемах информации. Они возникли из финансовых бизнесов: банковских, страховых, фондовых. Такой статистики там, как сами понимаете, существуют огромные массивы. И именно поэтому такие методы наиболее эффективны именно в финансовых бизнесах, а также для финансовых рисков. Однако их можно применять и в других секторах экономики и для расчета других рисков: последствий опасностей, в частности, аварий, операционных рисков при часто повторяющемся количестве операций (срыв сроков исполнения заказов, взаимоотношения с потребителями), а иногда и для стратегических рисков (к примеру, для расчета рисков венчурных проектов в какой-либо области).

Небольшая проблема – по операционным рискам редко имеется статистика в агрегированном виде, на ее сбор будут необходимы дополнительные трудозатраты. Но если есть принципиальная возможность собрать статистику – лучше попробовать. Однако если попытки извлечь требуемую статистику закончатся исключительно методами робастного оценивания, надо готовиться к тому, что на выходе будут «сомнительные выводы на недостоверных данных».

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

• ценность активов в денежном выражении;
• полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
• частота реализации каждой угрозы;
• потенциальный ущерб от каждой угрозы;
• рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»