- И что же такое Воля? - поинтересовался я.
- Концепция, управляющая пространством, временем и событийной вероятностью.
Харуки Мураками. Охота на овец.
Управление рисками
Общая картина управления рисками может представлена следующей картинкой (в данном случае рассматриваются риски безопасности).
Так выглядит обработка рисков
А также
Источник рисунка: Обработка рисков информационной безопасности
Однако, как измерить эффективность мер снижения риска, а также определить, когда следует прибегнуть к иным опциям работы с рисками.
Для этого можно использовать следующую метрику (показатель).
Определим Коэффициент эффективности инвестиций в безопасность - ROSI - Return of Security Investment следующей формулой:
Здесь R - идентификатор риска, С - идентификатор мероприятий риск-менеджмента.
l и l' - вероятность риска до и после проведения мероприятий риск-менеджмента.
d и d' - ущебр (damage) реализации риска.
с - затраты мероприятия риск-менеджмента.
Если ROSI>1, то мероприятия риск-менеджмента эффективны.
Для независимых событий, представляющих рисковые события, можно суммировать показатели, с тем чтобы получить агрегированную оценку программы мероприятий риск менеджмента:
Перечень мероприятий, а также показатели риски могут быть представлены в табличной форме.
Введение данной системы показателей само по себе не гарантирует большей безопасности. В частности, отмечен такой эффект. После краха Enron (2001) в банках была введена должность СRО - директор по рискам. Исследование, проведенное среди 157 крупных банков показало, что после введения данной должности банки стали чаще проводить рискованные операции. В качестве причин была выдвинута гипотеза: "Введение должность CRO снимает с сотрудников ответственность, дает трейдерам ложное ощущение безопасности и побуждает их вести операции с меньшей осторожностью".
Порой вызывает сложность идентификация рисков. Во-первых, можно воспользоваться готовыми перечнями. Во-вторых, использовать следующий шаблон для описания рисков.
Данный шаблон ограничивает множество мыслей. А именно, попробуйте сначала составить реестр причин, в силу которых возникают рискованные события. Каждая из причин порождает, в силу обстоятельств, действующих лиц и сил, некоторый спектр событий. События, заметим, определяют угрозы или, возможно, и возможности. Если при этом постараться, и для каждой причины составить полную группу событий, то открывается возможность корректного применения теории вероятности.
Стоит также заметить, что приведенный шаблон систематизации рисков подразумевает независимость причин и независимость событий. Если же наблюдается зависимость, то следует применять сценарный анализ.
Очень грубо, сценарное "конструирование" можно описать так. Зависимые причины и/или зависимые события объединяются в цепочки до тех пор, пока цепочки (или графы для ветвящихся цепочек) не образуют независимые группы событий.
Такие группы и будут являться сценариями.
А уж для каждого сценария, последовательно или параллельно можно проводить расчеты выгод, ущербов и мероприятий.
Комментариев нет:
Отправить комментарий