Качественный анализ риска

Качественный анализ рисков

Одним из направлений анализа рисков инвестиционного проекта является качественный анализ или идентификация рисков.

Следует отметить, что качественный анализ инвестиционных рисков предполагает количественный его результат, т. е. процесс проведения качественного анализа проектных рисков должен включать не только описание конкретных видов рисков данного проекта, выявление возможных причин их возникновения, анализа предполагаемых последствий их реализации и предложений по минимизации вы­явленных рисков, но и стоимостную оценку всех этих минимизирующих риски конкретного проекта мероприятий.

Качественный анализ проектных рисков проводится на стадии разработки бизнес-плана, а обязательная комплексная экспертиза инвестиционного проекта позволяет подготовить обширную информацию для анализа его рисков.

Первым шагом идентификации рисков является конкретизация классификации рисков применительно к разрабатываемому проекту.

Смысл классификации рисков состоит в том, что для анализа, оценки и, в конце концов, управления рисками первоначально необходимо идентифицировать возможные риски применительно к конкретному проекту, тогда как такая важная работа, как поиск причин их возникновения или описание возможных последствий их осуществления, разработка компенсирующих или минимизирующих риски мероприятий и получение полной стоимостной оценки всех показателей, может проводиться на последующих этапах.

В теории рисков различают понятия фактора (причины), вида рисков и вида потерь (ущерба) от наступления рисковых событий.

Под факторами (причинами) рисков понимают такие незапланированные события, которые могут потенциально осуществиться и оказать отклоняющее воздействие на намеченный ход реализации проекта, или некоторые условия, вызывающее неопределенность исхода ситуации. При этом некоторые из указанных событий можно было предвидеть, а другие не представлялось возможным предугадать.

Такими факторами могут являться непосредственно хозяйственная деятельность; деятельность самого предпринимателя; недостаток информации о состояния внешней среды, оказывающей влияние на результат проектной деятельности.

Основные факторы рисков для инвестиционных проектов включают:

1. ошибки в проектно-сметной документации;

2. недостаточную квалификацию специалистов;

3. форс-мажорные обстоятельства (природные, экономические, политические);

4. нарушение сроков поставок;

5. низкое качество исходных материалов, комплектации, технологических процессов, продукции и пр.;

6. нарушение условий контрактов, разрыв контракта.

Провести четкую границу между отдельными видами проектных рисков достаточно сложно. Ряд рисков находится во взаимосвязи (коррелирован между собой), изменения в одном из них вызывают изменения в другом, что влияет на результаты проектной деятельности.

Для анализа адекватности и достаточности принимаемых предупредительных _Мер и важности, существенности каждого фактора рисков сами риски должен вы­ражаться в сопоставимых показателях, например с помощью оценки возможности отклонения от запланированной проектной цели и связанных с этим количествен­ных результатов реализации проекта.

Вид рисков — классификация рисковых событий по однотипным причинам их возникновения.

Вид потерь, ущерба — классификация результатов реализации рисковых событий.

Можно уточнить взаимосвязь основных характеристик рисков, приведенных в разделе 22.1.1. и на рис. 22.1.1. (см. рис. 22.2.2.)

Работы по анализу рисков проекта и построению необходимых моделей весьма трудоемки и являются дорогостоящими, что иногда вынуждает исследователей-аналитиков ограничиваться качественным подходом. Поэтому в настоящее время центр тяжести усилий при исследовании проектных рисков приходится переносить с построения сложных моделей на поиск, систематизацию и подробное описание факторов рисков и методов управления ими.

В таблице 22.2.1. приведена классификация основных факторов рисков.

В таблице 22.2.2 приведена классификация рисков по совокупности признаков.

В таблице 22.2.3. приведена классификация основных рисков и потерь.

Таблица 22.2.1. Основные типы факторов рисков

Качественный анализ рисков

Понятие риска

В общем случае под риском понимают возможность наступления некоторого неблагоприятного события, влекущего за собой различного рода потери (например, получение физической травмы, потеря имущества, получение доходов ниже ожидаемого уровня и т.д.).

В предпринимательской деятельности под «риском» принято понимать вероятность (угрозу) потери предприятием части своих ресурсов, недополучения доходов или появления дополнительных расходов в результате осуществления определенной производственной и финансовой деятельности.

Или риск — это деятельность, связанная с преодолением неопределенности в ситуации неизбежного выбора, в процессе которой имеется возможность количественно и качественно оценить вероятность достижения предполагаемого результата, неудачи и отклонения от цели.

Анализ рисков — процедуры выявления факторов рисков и оценки их значимости, по сути, анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение целей проекта. Анализ рисков включает оценку рисков и методы снижения рисков или уменьшения связанных с ним неблагоприятных последствий.

Оценка рисков — это определение количественным или качественным способом величины (степени) рисков.

Американский эксперт Б. Берлимер предложил при анализе использовать некоторые допущения:

• Потери от риска независимы друг от друга.
• Потеря по одному направлению деятельности не обязательно увеличивает вероятность потери по другому (за исключением форс-мажорных обстоятельств).
• максимально возможный ущерб не должен превышать финансовых возможностей участника.

Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида: качественный и количественный. Качественный анализ имеет целью определить (идентифицировать) факторы, области и виды рисков. Количественный анализ рисков должен дать возможность численно определить размеры отдельных рисков и риска предприятия в целом.

Итоговые результаты качественного анализа риска, в свою очередь, служат исходной информацией для проведения количественного анализа.

Однако осуществление количественной оценки встречает и наибольшие трудности, связанные с тем, что для количественной оценки рисков нужна соответствующая исходная информация.

Первый и основной этап анализа рисков – это индентификация.

Идентификация рисков

Идентификация является первым и одним из основных этапов анализа риска. Рисками о существовании или о свойствах которых не известно, невозможно эффективно управлять. Поэтому задача обнаружения всех рисков является чрезвычайно важной.

По существу, идентификация сводится к выявлению возможных проблем. В данном случае под «проблемой» можно понимать что-либо (событие, объект, человека, идею и т.д.), что может встать между организацией и ее целями. И в начале надо определить, что может пойти «не так», чтобы затем решить, как это устранить или обойти.

Идентификация риска — процесс нахождения, составления перечня и описания элементов риска.

Подходы к идентификации рисков, как правило, зависят от размеров и степени формализации процессов в организации. Для небольших фирм идентификация сводится, как правило, к составлению «коллекции» отдельных возможных неблагоприятных событий. На крупных предприятиях уже выработаны определенные стандарты, соблюдение которых ведет к достижению поставленных целей. Отклонение от них рассматривается как основная причина неполучения желаемых результатов. Идентификация там может быть сведена к поиску возможных причин отклонения от этих стандартов.

В любом случае необходимо выявить максимальное количество рисков, которым подвержена организация. Для упорядочивания процесса их нахождения широко используются различные системы классификации, задающие направление поиска. Выявленные риски группируются и описываются в принятом на предприятии едином формате, чтобы упростить процесс их сравнения.

Организация процесса идентификации рисков требует решения целого ряда вопросов, к числу которых, в частности, относятся:

1. какую информацию следует собирать;

2. из каких источников ее можно получить;

3. каким образом эту информацию нужно систематизировать/структурировать и хранить;

4. как ее анализировать.

В американской литературе по риск-менеджменту процесс идентификации часто сводят к определению так называемых «рисковых экспозиций». Рисковая экспозиция (или экспозиция риска) (risk exposure) представляет собой «единицу» учета рисков, которая задается как минимум четырьмя параметрами:

1. ценность, которой может быть причинен вред (конкретное имущество, сотрудник, свобода от ответственности определенного вида и т.д.);

2. возможное событие, которое может причинить вред данной ценности;

3. субъект (лицо или организация), которая понесет потери из-за причинения вреда данной ценности в результате наступления указанного события;

4. потери субъекта, вызванные причинения вреда данной ценности в результате наступления указанного события.

Для полного описания экспозиции риска — необходимо определить все указанные параметры. Изменение хотя бы одного из них означает изменение экспозиции.

Качественный анализ рисков

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту, также определяются и описываются причины и факторы, влияющий на уровень данного вида риска. Кроме того, необходимо описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить мероприятия по минимизации и/или компенсации этих последствий, рассчитав стоимостную оценку этих мероприятий.

Качественный анализ рисков включает:

• Определение вероятности реализации рисков.
• Определение тяжести последствий реализации рисков.
• Определения ранга риска по матрице «вероятность — последствия».
• Определение близости наступления риска.
• Оценка качества использованной информации.

Первым шагом в проведении качественного анализа рисков является четкое определение (выявление, описание — «инвентаризация») всех возможных рисков инвестиционного проекта. Существенную практическую помощь в этом направлении может оказать предлагаемая классификация инвестиционных рисков.

Рассмотрение каждого вида инвестиционного риска можно производить с трех позиций:
1. с точки зрения истоков, причин возникновения данного типа риска;
2. обсуждения гипотетических негативных последствий, вызванных возможной реализацией данного риска;
3. обсуждения конкретных мероприятий, позволяющих минимизировать рассматриваемый риск.

Основными результатами качественного анализа рисков являются: выявление конкретных рисков инвестиционного проекта и порождающих их причин, анализ и стоимостной эквивалент гипотетических последствий возможной реализации отмеченных рисков, предложение мероприятий по минимизации ущерба и их стоимостная оценка. К дополнительным, но также весьма значимым результатам качественного анализа, следует отнести определение пограничных значений возможного изменения всех факторов (переменных) проекта, проверяемых на риск.

Этапы качественного анализа рисков:
1. идентификация (определение) возможных рисков;
2. описание возможных последствий (ущерба) реализации обнаруженных рисков и их стоимостная оценка;
3. описание возможных мероприятий, направленных на уменьшение негативного влияния выявленных рисков, с указанием их стоимости;
4. исследования на качественном уровне возможности управления рисками инвестиционного проекта:
— диверсификация риска;
— уклонение от рисков;
— компенсация рисков;
— локализация рисков.

Качественный анализ инвестиционных рисков проводится на стадии разработки бизнес-плана, а обязательная комплексная экспертиза инвестиционного проекта позволяет подготовить обширную информацию для начала работы по анализу рисков.

В процессе качественного анализа рисков мы исследуем причины возникновения рисков и факторы, способствующие их динамике, затем даем описание возможно ущерба от проявления рисков и их стоимостную оценку. Так как расчеты эффективности проекта базируются на построении его денежных потоков, величина которых может измениться в результате реализации каждого из отмеченных рисков, то для аналитика важна количественная оценка последствий осуществляемых на данном шаге, выраженная в стоимостных показателях. Кроме того, для аналитика также важна оценка предполагаемых на следующем шаге мероприятий, направленных на уменьшение негативного влияния выявленных рисков. Мы должны правильно выбрать способы, позволяющие снизить инвестиционные риски, так как правильное управление рисками позволит нам минимизировать потери, которые могут возникнуть при реализации проекта и снизить общую рискованность проекта.

Методы экспертных оценки включают комплекс логических и математико-статистических методов и процедур, связанных с деятельностью эксперта по переработке необходимой для анализа и принятия решений информации. Центральной «фигурой» экспертной процедуры является сам эксперт — это специалист, использующий свои способности (знания, умение, опыт, интуицию и т.п.) для нахождения наиболее эффективного решения.

Управление рисками. Часть 3. Качественный анализ рисков

Следующие два этапа процесса управления рисками — это качественный и количественный анализ рисков. Задача качественного и количественного анализа состоит в том, чтобы определить какие идентифицированные на предыдущей стадии риски потребуют специфических действий. Каждый ли риск в имеющемся списке потребует специфических мер или же есть риски с низкой вероятностью или риски с низкой степенью воздействия на проект, работу над которыми можно опустить?

Задачи этапа 4 — качественного анализа рисков — состоят в том, чтобы субъективно оценить вероятность воздействия каждого риска, создать более короткий список рисков, определить критические риски, которые уже будут пропущены через количественный анализ и для которых будут планироваться ответные действия. Кроме того, на стадии качественного анализа принимается решение о судьбе проекта: продолжать проект или закрывать.

В целом этап качественного анализа рисков разбивается на восемь шагов.

Шаг 1. Выбор владельца риска

Так называемые владельцы рисков (risk owners) — это сотрудники, которым руководитель проекта поручает наблюдать за триггерами некоторого определенного риска, а также управлять ответными процедурами в случае возникновения данного риска. Сотрудники становятся владельцами рисков в силу специфических экспертных знаний относительно той или иной проблемы или в связи с тем, что они обладают определенным контролем над специфическим риском. Прежде всего надо решить, будут ли владельцы рисков использованы с самого начала процесса качественного анализа рисков или позже, в процессе работы над рисками. Обычно чем раньше в процесс управления рисками вводится владелец риска, тем лучше.

Шаг 2. Анализ всех допущений и определение погрешности данных

Следующий шаг — анализ допущений (assumption testing), которые были сделаны в процессе идентификации рисков. Это надо сделать, прежде чем непосредственно переходить к качественному и количественному анализу рисков. Слишком много неизвестных делают данные еще более рискованными. Если допущения оказываются ложными, степень риска проекта существенно увеличивается. Поэтому PMBOK считает необходимым проанализировать стабильность каждого сделанного в проекте допущения, а также последствий, если допущение окажется ложным. Анализ допущений осуществляется, как правило, в формате, показанном в таблице 1.

Таблица 1. Анализ допущений при идентификации рисков

После анализа допущений необходимо провести определение погрешности данных. Данная процедура показывает, достаточно ли хорошо понятны определенные риски, достаточно ли данных, необходимых для определения последствия рисков, доступно, а также насколько эти данные надежны. Кто именно будет проводить процедуру, зависит от понимания проекта и профессионального опыта. Возможно, руководитель проекта посчитает нужным пройти этот шаг самостоятельно. Важно учесть: чем выше приоритет проекта, тем точнее должен быть проведен анализ погрешности данных. Результаты определения погрешности данных должны быть собраны в таблицу 2. Возможно, на этом шаге понадобится дополнительный раунд интервью, однако необходимо провести всю эту работу, прежде чем можно будет начать полноценный качественный анализ.

Таблица 2. Результаты определения погрешности данных

Шаг 3. Выбор шкал степени воздействия и оценка вероятности возникновения риска

После завершения работы с погрешностью данных необходимо определить степень воздействия на проект каждого риска. Для этого необходимо понять, какие шкалы степени воздействия рисков будут использованы и какие методы качественного анализа могут применяться. Шкалы представляют собой определенные наборы степеней воздействия рисков на проект в целом. На данном шаге шкала воздействия определяется субъективно. Если в организации шкалы степени воздействия тех или иных рисков не были стандартизированы, можно принять одну из предлагаемых в таблице 3. Можно построить и свои шкалы.

Таблица 3. Шкалы степени воздействия рисков

Многие компании ошибочно используют трехуровневые шкалы воздействия рисков типа «высокая-средняя-низкая». Проблема состоит в том, что такой подход сделает распределение рисков при их сортировке на стадии качественного анализа слишком плотным. Придется еще долго разбираться со всеми рисками, которые попадут в графу «высокая вероятность — сильное воздействие». Будет сложно понять, какие риски окажутся приоритетными.

Кроме степени влияния, необходимо определить вероятность возникновения риска. На этом шаге вероятность также определяется субъективно. Необходимо помнить тот факт, что риск не может быть вероятен на 100% или даже на 80%. Такая вероятность выводит проблему из разряда рисков и переводит в разряд фактов, а потому должна быть учтена в плане проекта.

Шаг 4. Сортировка рисков

Далее риски необходимо отсортировать. Разберем реальную технику сортировки большого количества рисков, которая зарекомендовала себя на примере не одной сотни компаний. Она активно используется и пропагандируется подразделением Risk Management Special Interest Group (RMSIG) из Project Management Institute.

Суть метода состоит в том, чтобы распределить риски по специальной карте (другое ее название — PI-матрица). Карта должны выглядеть так, как показано в таблице 4. Обычно все идентифицированные риски распределяются между сотрудниками группы по работе с рисками. За риск, как правило, отвечает тот, кто идентифицировал данный риск (источник указан на RMC-карте). Риски, определенные теми, кто не присутствует при данной процедуре, делятся поровну между всеми остальными участниками. Затем участники распределяют имеющиеся у них риски по определенным квадратам, то есть ранжируют вероятности и степени влияния данных рисков.

Таблица 4. Карта сортировки рисков

Некоторые специалисты из RMSIG рекомендуют проводить эту процедуру в реальности, то есть физически начертить карту размером 2х2 метра, раздать участникам RMC-карты созданные ранее и разложить их по квадратам. Бывает необходимо повысить качество индивидуальных решений о вероятности и степени влияния рисков — такие решения могут быть недостаточно аккуратны. Рекомендуется раздать членам команды фломастеры разных цветов и предложить, просмотрев все риски, промаркировать те, с которыми они не согласны и которые, по их мнению, необходимо обсудить отдельно. После этого маркированные риски обсуждаются, и делаются соответствующие изменения.

По окончании данного шага вероятность и степень воздействия каждого риска на проект считается установленной, и в RMC-карты вносятся вероятность данного риска и степень влияния.

Шаг 5. Ранжирование и выбор значимых рисков

Кроме процедуры сортировки рисков необходимо проранжировать риски — определить RR (risk ranking) для каждого риска. Формула для определения RR такова:

RR = Вероятность риска х Степень воздействия риска

Отчасти этот шаг повторяет сортировку рисков по карте, однако специалисты советуют проводить его, так как это понадобится в дальнейшем. Потом уже можно определить, какие риски будут запущены в процесс управления рисками. Список рисков согласно значению RR позволяет отсортировать их. Таким образом, риски, которые возникают с очень низкой вероятностью или будут оказывать очень незначительное воздействие на проект, могут быть удалены из дальнейшего анализа.

Самое важное на этом шаге — принять решение по поводу пороговых величин рисков, которые будут участвовать в дальнейшем рассмотрении. Это сложный вопрос, по которому трудно дать конкретные рекомендации. Огромную роль здесь играет опыт руководителя проекта, а также уровни рисков, которые приняты как пороговые в компании. Если в компании принят максимальный уровень риска проектов 77 (степени влияния по шкале 4 и вероятности от 1 до 10), то все риски, имеющие RR выше 45-50, должны быть признаны значимыми. Все риски, имеющие RR ниже 45-50, документируются, но в работу по управлению рисками не запускаются.

Еще один совет состоит в том, чтобы проанализировать риски на предмет их принадлежности к определенной задаче. Это делается сортировкой RMC-карт. Если среднее число рисков для различных задач проекта равно 3, а для некоторой задачи было идентифицировано 10 рисков, со значениями RR, колеблющимися от 10 до 50, то такие риски также стоит признать значимыми и вносить в план по управлению рисками.

Следует проанализировать и причины рисков. В формате идентификации рисков, который мы обсуждали в предыдущей статье — Cause-Risk-Effect (CRE), — есть дополнительное преимущество: можно отсортировать данный список по причинам. Здесь важно отметить, что при определении риска в CRE-форме очень важно грамотно описать причину риска, а не ограничиваться общими словами. В таблице 5 мы приводим примеры правильно и неправильно описанного риска. Именно это позволяет грамотно сортировать риски по причинам. Часто такая сортировка показывает, что какая-то причина, сотрудник или событие вызывает более чем один риск. Таким образом, претендентами на дальнейшее участие в процессе управления рисками являются риски с высоким рангом, задачи с количеством рисков, сильно отклоняющимся от среднего по задаче, и часто встречающиеся причины рисков.

Таблица 5. Неправильное и правильное определение риска

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

• ценность активов в денежном выражении;
• полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
• частота реализации каждой угрозы;
• потенциальный ущерб от каждой угрозы;
• рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

«Анализ и оценка рисков»

Лекция № 4. «Анализ и оценка рисков»

1. Понятие анализа и оценки рисков. Методы анализа рисков

2. Качественный и количественный анализ рисков

3. Оценка риска на основе целесообразности затрат

4. Вероятностный и экспертный анализ рисков

Вопрос 1. Понятие анализа и оценки рисков. Методы анализа рисков

Анализ рисков — процедуры выявления факторов рисков и оценки их значимости, по сути, анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение целей проекта. Анализ рисков включает оценку рисков и методы снижения рисков или уменьшения связанных с ним неблагоприятных последствий.

Оценка рисков — это определение количественным или качественным способом величины (степени) рисков.

При анализе рисков необходимо использовать некоторые допущения:

· Потери от риска независимы друг от друга.

· Потеря по одному направлению деятельности не обязательно увеличивает вероятность потери по другому (за исключением форс-мажорных обстоятельств).

· Максимально возможный ущерб не должен превышать финансовых возможностей участника.

Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида:

Качественный анализ имеет целью определить (идентифицировать) факторы, области и виды рисков. Количественный анализ рисков должен дать возможность численно определить размеры отдельных рисков и риска предприятия в целом.

В настоящее время наиболее эффективным является комплексный подход к анализу рисков. С одной стороны, такой подход позволяет получать более полное представление о возможных результатах реализации проекта, т. е. обо всех позитивных и негативных неожиданностях, ожидающих инвестора, а с другой стороны, делает возможным широкое применение математических методов (в особенности вероятностно-статистических) для анализа рисков.

Можно классифицировать существующие методы анализа риска и связанные с ними модели по следующим направлениям:

I. в зависимости от привлечения вероятностных распределений:

· методы без учета распределений вероятностей;

· методы с учетом распределений вероятностей.

II. в зависимости от учета вероятности реализации каждого отдельного значения переменной и проведения всего процесса анализа с учетом распределения вероятностей:

III. в зависимости от способов нахождения результирующих показателей по построению модели:

Вопрос 2. Качественный и количественный анализ рисков

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту, также определяются и описываются причины и факторы, влияющий на уровень данного вида риска. Кроме того, необходимо описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить мероприятия по минимизации или компенсации этих последствий, рассчитав стоимостную оценку этих мероприятий.

Рассмотрение каждого вида инвестиционного риска можно производить с трех позиций:

1.с точки зрения истоков, причин возникновения данного типа риска;

2.обсуждения гипотетических негативных последствий, вызванных возможной реализацией данного риска;

3.обсуждения конкретных мероприятий, позволяющих минимизировать рассматриваемый риск.

Основными результатами качественного анализа рисков являются:

-выявление конкретных рисков инвестиционного проекта и порождающих их причин,

-анализ и стоимостной эквивалент гипотетических последствий возможной реализации отмеченных рисков,

-предложение мероприятий по минимизации ущерба и их стоимостная оценка.

Этапы качественного анализа рисков:

1.идентификация (определение) возможных рисков;

2.описание возможных последствий (ущерба) реализации обнаруженных рисков и их стоимостная оценка;

3.описание возможных мероприятий, направленных на уменьшение негативного влияния выявленных рисков, с указанием их стоимости;

4.исследования на качественном уровне возможности управления рисками инвестиционного проекта:

— уклонение от рисков;

Качественный анализ инвестиционных рисков проводится на стадии разработки бизнес-плана, а обязательная комплексная экспертиза инвестиционного проекта позволяет подготовить обширную информацию для начала работы по анализу рисков.

Методы экспертных оценки включают комплекс логических и математико-статистических методов и процедур, связанных с деятельностью эксперта по переработке необходимой для анализа и принятия решений информации. Центральной «фигурой» экспертной процедуры является сам эксперт — это специалист, использующий свои способности (знания, умение, опыт, интуицию и т. п.) для нахождения наиболее эффективного решения.

Эксперты, привлекаемые для оценки рисков, должны:

· иметь доступ ко всей имеющейся в распоряжении разработчика информации о проекте;

· обладать достаточным уровнем креативности мышления и необходимыми знаниями в соответствующей предметной области;

· быть свободным от личных предпочтений в отношении проекта (не лоббировать его).

Можно выделить следующие основные методы экспертных оценок, применяемые для анализа рисков:

· Роза и спираль рисков

· Оценка риска стадии проекта

Количественный анализ рисков инвестиционного проекта предполагает численное определение величин отдельных рисков и риска проекта в целом. Количественный анализ базируется на теории вероятностей, математической статистике, теории исследований операций.

Для осуществления количественного анализа проектных рисков необходимы два условия:

-наличие проведенного базисного расчета проекта;

-проведение полноценного качественного анализа.

Наиболее часто на практике применяются следующие методы количественного анализа рисков инвестиционных проектов:

· метод корректировки нормы дисконта;

· анализ чувствительности показателей эффективности (чистый дисконтированный доход, внутренняя норма доходности, индекса рентабельности и др.)

· имитационное моделирование — метод Монте-Карло.

Вопрос 3. Оценка риска на основе целесообразности затрат

Областью риска называется зона общих потерь рынка, в границах которой потери не превышают предельного значения установленного уровня риска.

Выделяют пять основных областей риска деятельности любого предприятия в условиях рыночной экономики:

-область минимального риска;

-область повышенного риска;

-область критического риска;

-область недопустимого риска.

Область недопустимого риска

Область критического риска

Область повышенного риска

Область минимального риска

В границах область критического риска возможны потери, величина которых превышает размеры расчетной прибыли, но не превышает общей величины валовой прибыли. Коэффициент риска в этой области находится в пределах 50-75%. Такой риск нежелателен, поскольку фирма подвергается опасности потерять всю свою выручку от данной операции.

В границах области недопустимого риска возможны потери, близкие к размеру собственных средств, то есть наступление полного банкротства предприятия. Коэффициент риска в этой области находится в пределах 75-100%.

Вопрос 4. Вероятностный и экспертный анализ рисков

Вероятностные методы анализа рисков основываются на знании количественных характеристик рисков, сопровождающих реализацию аналогичных проектов, и учете специфики отрасли, политической и экономической ситуации.

Риск, связанный с проектом, характеризуется тремя факторами:

· событие, связанное с риском;

· сумма, подвергаемая риску.

Чтобы количественно оценить риски, необходимо знать все возможные последствия принимаемого решения и вероятность последствий этого решения. Выделяют два метода определения вероятности:

1. Объективный метод определения вероятности основан на вычислении частоты, с которой происходят некоторые события. Частота при этом рассчитывается па основе фактических данных.

Так, например, частота возникновения некоторого уровня потерь А в процессе реализации инвестиционного проекта может быть рассчитаны по формуле:

где f — частота возникновения некоторого уровня потерь;

n(A) — число случаев наступления этого уровня потерь;

n — общее число случаев в статистической выборке, включающее как успешно осуществленные, так и неудавшиеся инвестиционные проекты.

2. Субъективная вероятность является предположением относительно определенного результата, основывающемся на суждении или личном опыте оценивающего, а не на частоте, с которой подобный результат был получен в аналогичных условиях.

Важными понятиями, применяющимися в вероятностном анализе рисков являются понятия альтернативы, состояния среды, исхода.

Альтернатива — это последовательность действий, направленных на решение некоторой проблемы. Примеры альтернатив: приобретать или не приобретать новое оборудование, решение о том, какой из двух станков, различающихся по характеристикам, следует приобрести; следует ли внедрять в производство новое изделие и т. д.

Состояние среды — ситуация, на которую лицо, принимающее решение (в нашем случае — инвестор), не может оказывать влияние (например, благоприятный или неблагоприятный рынок, климатические условия и т. д.).

Исходы (возможные события) возникают в случае, когда альтернатива реализуется в определенном состоянии среды. Это некая количественная оценка, показывающая последствия определенной альтернативы при определенном состоянии среды (например, величина прибыли, величина урожая и т. д.).

Экспертный анализ рисков применяют на начальных этапах работы с проектом в случае, если объем исходной информации является недостаточным для количественной оценки эффективности (погрешность результатов превышает 30%) и рисков проекта.

Достоинствами экспертного анализа рисков являются: отсутствие необходимости в точных исходных данных и дорогостоящих программных средствах, возможность проводить оценку до расчета эффективности проекта, а также простота расчетов.

К основным недостаткам данного метода следует отнести: трудность в привлечении независимых экспертов и субъективность оценок.

Эксперты, привлекаемые для оценки рисков, должны:

· иметь доступ ко всей имеющейся в распоряжении разработчика информации о проекте;

· иметь достаточный уровень креативности мышления;

· обладать необходимым уровнем знаний в соответствующей предметной области;

· быть свободными от личных предпочтений в отношении проекта;

· иметь возможность оценивать любое число идентифицированных рисков.

Алгоритм экспертного анализа рисков имеет следующую последовательность:

· по каждому виду рисков определяется предельный уровень, приемлемый для организации, реализующей данный проект. Предельный уровень рисков определяется по сто балльной шкале;

· устанавливается, при необходимости, дифференцированная оценка уровня компетентности экспертов, являющаяся конфиденциальной. Оценка выставляется по десятибалльной шкале;

· риски оцениваются экспертами с точки зрения вероятности наступления рискового события (в долях единицы) и опасности данных рисков для успешного завершения проекта (по сто балльной шкале);

· оценки, проставленные экспертами по каждому виду рисков, сводятся разработчиком проекта в таблицы. В них определяется интегральный уровень по каждому виду рисков;

· сравниваются интегральный уровень рисков, полученный в результате экспертного опроса, и предельный уровень для данного вида риска и выносится решение о приемлемости данного вида риска для разработчика проекта;

· в случае, если принятый предельный уровень одного или нескольких видов рисков ниже полученных интегральных значений, разрабатывается комплекс мероприятий, направленных на снижение влияния выявленных рисков на успех реализации проекта, и осуществляется повторный анализ рисков.