Добавлен: 05.07.2023
Просмотров: 43
Скачиваний: 1
И все же можно, например, исходить из гипотезы, что имеет место закон распределения потерь. Однако и в этом случае предстоит решить непростую задачу построения кривой риска.
Измерение рисков.
Существует ряд подходов к измерению рисков. Рассмотрим наиболее распространенные:
Оценка по двум факторам;
Оценка по трем факторам.
В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК = Pпроисшествия * ЦЕНА ПОТЕРИ
Если переменные являются количественными величинами — риск это оценка математического ожидания потерь.
Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Вначале должны быть определены шкалы.
Определяется субъективная шкала вероятностей событий, пример такой шкалы:
A — Событие практически никогда не происходит.
B — Событие случается редко.
C — Вероятность события за рассматриваемый промежуток времени — около 0.5.
D — Скорее всего событие произойдет.
E — Событие почти обязательно произойдет.
Кроме того, определяется субъективная шкала серьезности происшествий, например:
N (Negligible) — Воздействием можно пренебречь.
Mi (Minor) — Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию -незначительно.
Mo (Moderate) — Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.
S (Serious) — Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.
C (Critical) — Происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков определяется шкала из трех значений:
- Низкий риск.
- Средний риск.
- Высокий риск.
Риск, связанный с определенным событием, зависит от двух факторов и может быть определен так — Таб. 1.
Таблица 1. Определение риска в зависимости от двух факторов.
|
Negligible |
Minor |
Moderate |
Serious |
Critical |
|
|
A |
Низкий риск |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
|
B |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
Высокий риск |
|
C |
Низкий риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
|
D |
Средний риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
|
E |
Средний риск |
Высокий риск |
Высокий риск |
Высокий риск |
Высокий риск |
Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций.
Подобный подход к оценке рисков достаточно распространен.
При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:
- Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.
- Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков. Для этого существуют специальные процедуры проверки.
Подобные методики широко применяются при проведении анализа рисков базового уровня.
В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угроза и уязвимость определяются следующим образом:
Угроза— совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость— слабость в системе защиты, которая делает возможным реализацию угрозы.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Рпроисшествия = Ругрозы * Руязвимости
Соответственно риск определяется следующим образом:
РИСК = Pугрозы * Руязвимости * ЦЕНА ПОТЕРИ
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.
Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:
- риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.
- риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.
- риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.
Заключение
Система рискменеджмента — жизненно необходимый элемент бизнеса, залог конкурентоспособности банка. Именно так ее воспринимают на западе уже давно. Постепенно понимание важности комплексного управления рисками приходит и к российским банкам. Что следует отдать на аутсорсинг, а какими рисками управлять самостоятельно — выбор остается за банком, у каждого варианта есть сильные и слабые стороны. Однако то, что без системного управления рисками банк не только не сможет успешно развиваться, но и вряд ли долго просуществует, становится все более очевидным.
С сожалением приходится констатировать, что в большинстве российских компаний системный подход в рискменеджменте отсутствует. Управление рисками зачастую сводится к выполнению нормативов надзора, написанию огромного количества внутренних документов (которые большей частью не выполняются) и созданию службы безопасности, пытающейся контролировать сотрудников и контрагентов. Все это достаточно далеко от полноценной системы рискменеджмента. К тому же между профильными отделами не налажен обмен информацией.
Оценка рисков носит вероятностный характер и должна опираться на статистические оценки собственного или обобщенного национального отраслевого опыта, которые пока не накоплены. Это опыт заменяется моделированием или механическим перенесением иностранных результатов, что, естественно, вызывает вполне разумный скепсис со стороны топменеджеров. Получается замкнутый круг: от рискменеджеров требуют объективных оценок и рекомендаций, для формирования которых в компаниях и банках не создана поддерживающая инфраструктура.