Webbc.ru

Веб и кризис
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Количественная и качественная оценка риска

Методы количественной и качественной оценки рисков

При всесторонней оценке риска следует устанавливать для каждого абсолют­ного или относительного значения величины возможных потерь соответству­ющую вероятность возникновения такой величины.

При количественной оценке риска могут использоваться различные методы. В настоящее время наиболее распространенными являются: статистический (построение кривой риска); комбинированный; анализ целесообразности затрат; аналитический; метод ана­логий; метод имитационного моделирования и др.

При качественной оценке могут использоваться следующие методы: методы экспертных оценок (роза рисков, спираль рисков, метод Дельфи); метод «дерева решений»; метод сценариев и др.

Статистический методоценки риска заключается в том, что для расчета веро­ятностей возникновения потерь анализируются все статистические данные, каса­ющиеся результативности осуществления предприятием своей деятельности.

Чтобы количественно определить риск, необходимо знать все возможные по­следствия какого-нибудь отдельного действия и вероятность самих последствий. Значит, чтобы оценка риска была достоверной, отражающей реальное положение вещей, необходимо продуманно подойти как к оценке потерь, так и к оценке веро­ятностей их возникновения.

Как объективная, так и субъективная вероятности используются при опреде­лении двух важных критериев, которые помогают описывать и сравнивать выбор степени риска и являются главными инструментами статистического метода рас­чета риска:

• среднее (математическое) ожидаемое значение события (результата);

• изменчивость (колеблемость) возможного результата (дисперсия, стандарт­ное отклонение, коэффициент вариации).

Метод оценки риска с помощью построения кривой риска является самым при­емлемым способом статистической оценки риска для предприятий. Он не требует больших затрат, сложных математических вычислений и прост в ис­пользовании.

Для построения кривой риска и определения уровня потерь выделяют несколько зон (уровней, ступеней, областей) риска в зависимости от величины потерь:

-допустимого (минимального) риска;

-катастрофического (недопустимого) риска.

На рис.1 показаны основные зоны риска при расчете общего уровня риска предприятия.

Имущественное Расчетная Расчетная 0

состояние выручка прибыль

Рис. 1. Схема зон риска

Безрисковая зона — это область, в которой потери не ожидаются, ей соответ­ствуют нулевые или отрицательные потери.

Зона допустимого риска — это область, в которой потери меньше ожидаемой прибыли. Граница этой зоны соответствует уровню потерь, равному расчетной прибыли.

Зона критического риска — это область, в которой потери превышают величину ожидаемой прибыли, вплоть до величины полной расчетной выручки, представляющей сумму затрат и прибыли (валовой прибыли).

Зона катастрофического риска — это область потерь, кото­рые по своей величине превосходят критический уровень и в максимуме могут достигать величины, равной имущественному состоянию предприятия. Катаст­рофический риск способен привести к банкротству предприятия.

Каждому из приведенных уровней риска соответствует вероятность опреде­ленного уровня потерь (степени риска) и вероятность того, что потери (риск) ока­жутся выше определенного уровня.

Для оценки уровня риска необходимо построить кривую распределения веро­ятностей потерь. Кривая представляет собой графическое изображение зависи­мости вероятности от их уровня, показывающее, насколько вероятно возникно­вение тех или иных потерь. При этом предполагается, что прибыль как случайная величина подчинена нормальному закону распределения.

Исходя из кривой вероятностей получения прибыли (рис. 2), строят кривую распреде­ления вероятностей возможных потерь прибыли, которую и называют кривой рис­ка (рис. 3)

На кривой распределения вероятностей потерь (рис. 3)выделяют четыре характерные точки. Точка 1 (DП= О и Р = Рр) определяет вероятность нулевых потерь прибыли. В соответствии с принятыми допущениями вероятность нулевых потерь максималь­на, но меньше единицы. Точка 2 (DП = Пр и Р = Рд) характеризуется величиной воз­можных потерь, равной ожидаемой прибыли, т. е. полной потерей прибыли, вероят­ность которой равна Рд . Точки 1 и 2 определяют положение зоны допустимого риска. Точка 3 (DП = ВР и Р = Ркр ) соответствует величине потерь, равных расчетной вы­ручке ВР. Вероятность таких потерь равна Ркр .Точки 2 и 3 определяют границы зоны критического риска. Точка 4 (DР=ИС и Р=Ркт)характеризуется потерями, равными имущественному состоянию предприятия, вероятность которых равна Ркт. Точки 3 и 4 определяют зону катастрофического риска.

Потери, превышающие имуществен­ное состояние предприятия, не рассматриваются, так как их невозможно взыскать.

Вероятности определенных уровней потерь являются важными показателями, позволяющими высказывать суждение об ожидаемом риске и его приемлемости, поэтому построенную кривую можно назвать кривой риска.

Если при оценке риска деятельности предприятия удается построить не всю кривую вероятностей риска, а только установить эти четыре точки, то за­дачу такой оценки можно считать успешно решенной. Знания величин этих пока­зателей в принципе достаточно, чтобы идти на обоснованный риск.

Статистический способ расчета степени риска требует наличия значительно­го массива данных, которые далеко не всегда имеются у предприятия.

Рис.2 Кривая распределения вероятностей получения прибыли

Рис.3. Кривая распределения вероятностей возникновения определенного уровня потерь прибыли.

Сбор и обработка данных могут потребовать массу времени и затрат. Поэтому часто при недостатке или отсутствии статистической информации приходится при­бегать и к другим методам.

Метод экспертных оценокможет быть реализован путем опроса и обработки мнений опытных специалистов в данной области, экспертов. Свои выводы об оценке риска эксперты могут сопровождать количественными данными вероят­ности возникновения различных величин потерь. По этим оценкам затем можно найти средние значения экспертных оценок. Но можно ограничиться и получе­нием экспертных оценок вероятностей допустимого и критического риска (или минимального, среднего, максимального риска) либо просто оценить наиболее вероятные потери в данном виде деятельности.

Комбинированный метод —комбинация из статистического и экспертного способов оценки риска является наиболее приемлемым вариантом эффективной оценки уровня риска предприятия.

Анализ целесообразности затраториентирован на идентификацию потенциаль­ных зон риска.

Метод аналогий.При использовании аналогов применяются базы данных о риске аналогичных проектов, углубленные опросы менеджеров проектов.

Данный метод оценки риска следует использовать с осторожностью; в боль­шинстве случаев он мало пригоден. Прежде всего, из-за того, что очень трудно создать предпосылки для будущего анализа, подготовить исчерпывающий и ре­алистический набор возможных сценариев, создать соответствующий банк данных аналогий; для большинства отрицательных по­следствий характерны определенные особенности. Кроме того, очень трудно найти аналогичные по параметрам развития предприятия; для боль­шинства предприятий характерна своя собственная специфика.

Метод «дерева решений». Он предполагает графическое построение различных вариантов, которые могут быть приняты. По «ветвям дерева» соотносят субъек­тивные и объективные оценки данных событий (экспертные оценки, размеры по­терь и доходов и т. д.). Следуя вдоль построенных «ветвей дерева», используя спе­циальные методики расчета вероятностей, оценивают каждый вариант пути. Это позволяет достаточно обоснованно подойти к определению степени риска и вы­бору оптимального решения, учитывающего интересы предприятия.

Вероятность успеха проекта (решения), т. е. учет риска и оценка его степени опре­деляется в зависимости от ряда факторов. Каждый из них может быть определен по табл.1, помогаю­щей вычислить вероятность успеха проектов.

При расчетах каждому классу присваиваются определенные оценки вероятно­сти успеха. Так, если проект относится к первому классу, то вероятность успеха оценивается в 0,9 (90%), между первым и вторым — 0,7; ко второму классу — 0,5; между вторым и третьим — 0,3; к третьему классу — 0,1.

Факторы, влияющие на оценку вероятности успеха проектов

Количественная и качественная оценка рисков

Существуют различные способы оценки рисков, которые можно подразделить на два взаимно дополняющих друг друга вида — качественный и количественный.

Качественная оценка может быть сравнительно простой, ее главная задача — определить факторы риска, этапы работы, при выполнении которых риск возникает, т.е. установить потенциальные области риска, после чего идентифицировать все возможные риски.

Качественный анапиз включает в себя также методологический подход к количественной оценке приемлемого уровня риска.

Количественную оценку риска, т.е. численное определение размеров отдельных рисков и риска портфеля в целом обычно производят на основе методов математической статистики. Сложность их применения заключается в недостаточности и недоступности накопленной статистической информации

Качественная оценка рисков включает ряд последовательных этапов:

1) выявление факторов, увеличивающих и уменьшающих конкретный вид риска при осуществлении определенных финансовых операций. Эти факторы не несут в себе какого-либо конкpeтного расчетного предназначения, а служат исходнои базой для анализа рисков;

2) определение системы оценочных показателей риска, которая должна отвечать требованиям адекватности, комплексности, динамичности, объективности, а также допускать пополнение и развитие;

3) установление потенциальных областей риска, т.е. выявление мероприятий, операций, работ, при выполнении которых может возникнуть неопределенность в получении положительного результата;

4) идентификация всех возможных рисков, т.е. определение возможных рисков в результате данного действия либо бездействия.

Читать еще:  Проектный риск это

На описываемом предварительном этапе организации управления риском важнейшим моментом является его анализ. При этом определяются факторы риска, которые можно классифицировать по различным критериям и признакам, например, по степени влияния, по характеру воздействия на риск, по степени управляемости, по источнику возникновения. Количественная оценка рисков часто сопровождает качественную оценку и также

требует процесс идентификации рисков. Количественная и количественная оценка

рисков могут использоваться по отдельности или вместе, в зависимости от

располагаемого времени и бюджета, необходимости в количественной или

качественной оценке рисков.

Оптимизация рисков

Эффективность решений в данных областях зависит от соотношения величины возможных потерь к величине возможных выгод, связанных с реализацией данных решений.

Появление потерь связано с существованием объективных факторов (угроз, рисков), которые негативно отражаются на данных видах деятельности, например, пожары, кражи, задержки, аварии, сбои в работе систем, увольнения и т.п.

Определение возможных потерь относится к области оценки рисков.

Традиционно выделяется два подхода к оценке рисков: качественный анализ; количественный анализ.

Качественный анализ связан с качественной оценкой вероятности возникновения угроз и величины возможных потерь от реализации угроз.

Количественный анализ — это определение размера потерь и вероятности угроз в некоторых количественных единицах.

При количественном анализе, риск может определяться величиной возможных потерь в стоимостном (денежном) выражении. Наиболее часто используемый подход к количественной оценке рисков заключается в расчете математического ожидания потерь как произведения вероятности возникновения угрозы на величину ущерба, в случае если угроза произойдет. Эти математические принципы заложены в основу процесса оптимизации рисков в большинстве существующих продуктов. В то же время анализ существующих методов количественной и качественной оценки рисков показал наличие у них существенных недостатков.

К недостаткам существующих продуктов количественной оценки рисков относится отсутствие комплексного учета следующих факторов:

при учете остаточного риска, как правило, не учитывается остаточный ущерб – ущерб, который может возникнуть, даже если контрмера успешно срабатывает на угрозу. Например, в случае потери информации сервера баз данных и даже при наличии системы резервирования информации, требуется время на восстановление данной информации. Данное время недоступности информации может привести к ущербу, связанному с простоем. При этом срабатывание различных контрмер, в общем случае, приводит к различным уровням остаточного ущерба;

при расчете остаточного ущерба не учитывается, что ущерб в результате реализации угрозы – величина, в общем случае, нелинейная, изменяющаяся с течением времени;

не учитывается взаимосвязи между различными контрмерами, когда результаты функционирования одной контрмеры могут использоваться другими контрмерами;

в упомянутых продуктах учитываются только контрмеры, реализующие стратегию управления рисками «снижение уровня риска», что потенциально может не позволить выбрать оптимальный набор контрмер;

способы, модели, заложенные в основу данных продуктов, ограничены, и предназначены для оптимизации рисков информационным процессам обработки информации, не позволяя комплексно оценить и другие виды деятельности;

постоянное расчетное время риска в 1 год не позволяет корректно оценить эффективность комплекса контрмер – для многих контрмер существенной характеристикой являются ежегодные эксплуатационные расходы, т.е. при увеличении расчетного времени соотношение между стоимостью различных вариантов контрмер может существенно измениться.

К недостаткам методов с качественной оценкой рисков относится:

субъективность – качественные оценки зависят от мнения экспертов, консультантов, которое может быть ошибочным, учитывая сложность оценки всех возможных комбинаций взаимно влияющих угроз и контрмер;

не формальность критериев оценки, что потенциально может привести к двусмысленности, ошибочным оценкам риска;

непрозрачность выгод – качественные методы не позволяют дать конкретную оценку: насколько выгодно применения комплекса контрмер и выгодно ли вообще.

Методы снижения рисков

Сущвствует ряд методов по снижению экономического риска:

• диверсификация вариантов использования средств;

• объединение и группирование рисков;

• сбор информации о возможных вариантах выбора и его результатах.

Диверсификация вариантов использования средств означает действия, направленные на вложения в различные предприятия. Примером может служить вложение денежных средств в приобретение акций различных компаний. Эти акции могут иметь различную степень доходности и риска. Диверсификация может касаться и распределения полученных доходов. Следует заметить, что подобным образом нельзя полностью избавиться от риска, однако можно его существенно сократить.

Объединение и группирование РИСКОВ — это способ снижения риска, заключающийся в том, что случайные убытки заранее относятся в разряд известных постоянных издержек. Примером может служить страховая деятельность. Люди, не любящие рисковать, готовы лишиться известной части будущей прибыли, купив страховку.

Тогда за счет цены, уплачиваемой за страховку, предприниматель получит денежный доход независимо от того, произошли фактические потери или нет. Риск в таком случае ложится на страховую компанию. Если фактическая прибыль превысит выплаты по страхованию, то страховая фирма получит прибыль. Если фактическая прибыль окажется ниже выплат по страхованию, то страховая фирма понесет убытки.

Распределение риска предполагает распределение потерь между всеми участниками производственно-сбытовой деятельности. В результате возможные потери каждого из них оказываются относительно небольшими. За счет такого разделения риска крупные финансово-промышленные группы получают возможность финансирования различных проектов и проведения фундаментальных исследований.

Получение большей информации о возможных вариантах и результатах. Если информация доступна и полна, то потребители могут сделать более точный прогноз возможного развития событий и снизить риск.

Количественная и качественная оценка рисков;

Количественная оценка риска заключается в численном определении размеров отдельных рисков и общехозяйственного риска для предприятия в целом. При количественном анализе риска могут использоваться различные методы оценки.

В настоящее время наиболее распространенными являются:

— метод анализа целесообразности затрат;

— метод экспертных оценок;

— метод использования аналогов.

Суть статистического метода заключается в том, что для расчета вероятностей возникновения потерь анализируются все ста­тистические данные, касающиеся результативности осуществ­ления предприятием рассматриваемых операций.

В последнее время стал популярен метод статистических испытаний (метод «Монте-Карло»). Достоинством этого метода является возможность анализировать и оценивать различные «сценарии» реализации проекта и учитывать разные факторы рисков в рамках одного подхода. Разные типы проектов отличаются своей уязвимостью со стороны рисков, что выясняется при моделировании.

Недостатком метода статистических испытаний является то, что в нем для оценок и выводов используются вероятностные характеристики, что не очень удобно для непосредственного практического применения.

Анализ целесообразности затрат ориентирован на идентификацию потенциальных зон риска. Эффективно используется при планировании денежных потоков. Суть метода состоит в следующем: перерасход затрат может быть вызван одним из четырех основных факторов или их комбинацией:

— первоначальной недооценкой стоимости;

— изменением границ проектирования;

— различием в производительности;

— увеличением первоначальной стоимости.

Метод экспертных оценок основан на обобщении мнений специалистов-экспертов о вероятностях риска. Интуитивные характеристики, основанные на знаниях и опыте эксперта, дают в ряде случаев достаточно точные оценки. Экспертные методы позволяют быстро и без больших временных и трудовых затрат получить информацию, необходимую для выработки управленческого решения. Метод экспертных оценок применяется в случаях, когда:

1) длина исходных динамических рядов недостаточна для оценивания с использованием экономико-статистических методов;

2) связь между исследуемыми явлениями носит качественный характер и не может быть выражена с помощью тра­диционных количественных измерителей;

3) входная информация неполная и невозможно предсказать влияние всех факторов;

4) возникли экстремальные ситуации, когда требуется принятие быстрых решений.

Суть экспертных методов заключается в организованном сборе суждений и предположений экспертов с последующей обработкой полученных ответов и формированием результатов.

Среди наиболее распространенных методов получения экспертных оценок можно выделить:

2) метод «снежного кома»;

3) метод «дерева целей»;

4) метод «комиссий круглого стола»;

5) метод эвристического прогнозирования;

6) матричный метод.

В банковской практике при выдаче кредитов предпринимателям используется аналитический метод.

Метод анализа чувствительности модели — методика анализа риска, исследующая ситуации, в которых изменяются ключевые переменные (количество проданного товара, цена реализации, издержки), и в результате изменяются индикаторы успеха предприятия. Суть этого метода сводится к выполнению следующих этапов:

— выбор основного ключевого показателя или параметра, относительно которого производится оценка чувствительности. Такими показателями могут служить внутренняя норма доход­ности (IRR) или чистый приведенный доход (NPV);

— выбор факторов (уровень инфляции, степень состояния экономики и др.);

— расчет значений ключевого показателя на различных этапах осуществления проекта: изыскание, проектирование, строительство, монтаж и наладка оборудования, процесс отдачи вло­женных средств.

Читать еще:  Риски социального страхования

Такая последовательность затрат и поступлений дает возможность определить финансовые потоки для каждого момента или отрезка времени и рассчитать показатели эффективности.

Анализ чувствительности позволяет специалистам по проектному анализу учитывать риск и неопределенность. Так, например, если цена продукции оказалась критическим фактором, то можно усилить программу маркетинга или снизить стоимость, проекта. Если проект окажется чувствительным к изменению объема производства продукции проекта, то следует уделить больше внимания программе обучения персонала, менеджменту и другим мерам по повышению производительности.

Вместе с тем анализ чувствительности имеет два серьезных недостатка. Он не является всеобъемлющим, так как не рассчи­тан для учета всех возможных обстоятельств; кроме того, он не уточняет вероятность осуществления альтернативных проектов.

В экономическом анализе проблему измерения рисков обычно связывают с именем Г. Марковица. В портфельной теории Г. Марковица впервые рассматривается взаимосвязь между риском и доходностью. Этот метод относится к группе методов относи­тельной оценки рисков. Концепция Марковица имеет большое значение для многих сфер финансового управления. Так, по его теории, цена капитала фирмы определяется степенью риска ценных бумаг, находящихся в ее портфеле, поскольку структура инвестиционного портфеля влияет на степень риска собственных ценных бумаг фирмы и требуемая инвесторами доходность зависит от величины этого риска.

Любая фирма, акции которой находятся в портфеле, в свою очередь, может рассматриваться как некий портфель находящихся в ее эксплуатации активов (или проектов), и поэтому владение портфелем ценных бумаг представляет собой право собственности на множество различных проектов. В этом контексте уровень риска каждого проекта оказывает влияние на рискованность портфеля в целом.

Суть портфельной теории Марковица состоит в том, что совокупный уровень риска может быть снижен за счет объединения рисковых активов (это инвестиционные проекты и ценные бумаги) в портфели. Основная причина такого снижения риска заключается в отсутствии прямой функциональной связи между значениями доходности по большинству различных видов активов. Теория Марковица состоит из четырех логически взаимосвязанных разделов:

— оценка инвестиционных качеств отдельных видов финансовых инструментов инвестирования;

— формирование инвестиционных решений относительно включения в портфель индивидуальных финансовых инструментов инвестирования;

— оптимизация портфеля, направленная на снижение уровня его риска при заданном уровне прибыльности;

— совокупная оценка сформированного инвестиционного портфеля по соотношению уровня прибыльности и риска.

В результате проведенных исследований Марковицем делается следующий важный вывод: уровень риска по каждому отдельному виду активов следует измерять не изолированно от остальных активов, а с точки зрения его влияния на общий уровень риска диверсифицированного портфеля инвестиций.

Теория портфеля Марковица не конкретизирует взаимосвязь между уровнем риска и требуемой доходностью, как модель оценки доходности финансовых активов (Capital Asset Pricing Model, или САРМ).

Метод аналогий основан на следующем предположении: при анализе риска вновь создаваемого предприятия полезными могут оказаться данные о последствиях воздействия неблагоприятных факторов риска на другие предприятия.

При использовании аналогов применяются различные способы получения данных о рисках. Полученные данные обрабатываются для выявления зависимостей с целью расчета потенциального риска при реализации новых проектов. Метод эффективен на предприятиях, осуществляющих инновации.

При использовании метода аналогий следует иметь в виду, что даже в случаях неудачного завершения операций трудно создать предпосылки для будущего анализа, т.е. подготовить исчерпывающий и реалистический набор возможных сценариев срывов.

В настоящее время в мировой и российской практике осуществления предпринимательской деятельности задача корректной количественной оценки рыночного риска приобретает огромное значение. Из всех типов рисков только рыночные риски поддаются нормализованному вероятностно-статистическому описанию, а методы оценки рыночного риска получили широкое применение в мировой практике.

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, определить и описать причины и факторы, влияющие на уровень данного вида риска. Кроме того, необходимо описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить мероприятия по минимизации и/или компенсации этих последствий, рассчитав стоимостную оценку этих мероприятий.

Рассмотрение каждого вида риска можно производить с трех позиций:

1) с точки зрения истоков, причин возникновения данного типа риска;

2) обсуждения гипотетических негативных последствий, вызванных возможной реализацией данного риска;

3) обсуждения конкретных мероприятий, позволяющих минимизировать рассматриваемый риск.

Основными результатами качественного анализа рисков являются: выявление конкретных рисков и порождающих их причин, анализ и стоимостной эквивалент гипотетических последствий возможной реализации отмеченных рисков, предложение мероприятий по минимизации ущерба и их стоимостная оценка. К дополнительным, но также весьма значимым результатам качественного анализа следует отнести определение пограничных значений возможного изменения всех факторов (переменных) проекта, проверяемых на риск.

Качественная оценка рисков подразумевает: выявление рисков, присущих реализации предполагаемого решения; определение количественной структуры рисков; выявление наиболее рискоопасных областей в разработанном алгоритме принимаемого решения.

Для осуществления данной процедуры предлагается использовать таблицу качественного анализа. В данной таблице по вертикали составляется алгоритм действий при принятии решения, а по горизонтали — фиксированные ранее риски. Так, при решении на размещение новых базовых станций на одном из предприятий связи, количественная оценка рисков может выглядеть следующим образом (табл.1.)

После составления данной таблицы производится качественный анализ рисков, присущих реализации данного решения.

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.
Читать еще:  Определение степени риска

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Качественная и количественная оценка рисков андеррайтинга в страховых компаниях

Рубрика: Экономика и организация предприятия, управление предприятием

Дата публикации: 24.02.2016

Статья просмотрена: 4383 раза

Библиографическое описание:

Замбржицкая, Е. С. Качественная и количественная оценка рисков андеррайтинга в страховых компаниях / Е. С. Замбржицкая, А. Ю. Кошелева. — Текст : непосредственный, электронный // Вопросы экономики и управления. — 2016. — № 2 (4). — С. 42-52. — URL: https://moluch.ru/th/5/archive/28/728/ (дата обращения: 10.04.2020).

В условиях нарастающей конкуренции на российском рынке страховых услуг актуальными становятся проблемы повышения эффективности деятельности страховых компаний. Одним из инструментов повышения эффективности деятельности хозяйствующего субъекта является создание системы внутреннего контроля (СВК). Внедрение СВК позволяет избежать различных нарушений, потенциальных ошибок и возможных потерь, эффективно использовать ресурсы предприятия, обеспечить законность, надежность деятельности и достоверность информации. Поэтому внедрение системы внутреннего контроля является актуальной задачей для большинства российских страховых компаний [8]. Вопросы внедрения системы внутреннего контроля в организациях стали активно обсуждаться после введения в нормативные документы норм, касающихся обязательного их наличия (рисунок 1).

Рис. 1. Нормативные документы, регламентирующие вопросы СВК (для страховых компаний)

Согласно методическим рекомендациям по организации и осуществлению внутреннего контроля МР-4/2013-КпТ задачами функционирования СВК является обеспечение достижения организацией целей по следующим направлениям, основные из которых представлены на рисунке 2.

Рис. 2. Цели функционирования системы внутреннего контроля

Важно отметить, что выбранная (определенная в качестве наиболее значимой) цель функционирования системы внутреннего контроля будет определять подход к ее организации в рамках страховой компании. Для руководства большинства крупных компаний, в том числе и страховых, основной целью СВК является повышение эффективности и рациональности финансово-хозяйственной деятельности (включая сохранность активов) [9]. Именно с учетом ориентира на указанную цель далее рассмотрим механизм построения СВК в страховых компаниях.

Одними из важных элементов СВК, раскрываемых в Федеральном правиле (стандарте) аудиторской деятельности № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности», представленных на рисунке 3, являются: процесс оценки рисков и разработка соответствующих контрольных действий, направленных на их снижение.

Рис. 3. Элементы СВК

Каждая организация сталкивается с различными рисками, которые необходимо оценивать. Построение эффективной СВК невозможно без качественной оценки рисков существующих бизнес-процессов. Необходимым условием для оценки рисков является определение целей, поэтому оценка рисков подразумевает выявление и анализ соответствующих рисков, связанных с достижением установленных целей [9]. В рамках данной статьи под риском понимается возможность возникновения в будущем таких условий, которые приведут к негативным последствиям.

Оценка рисков являются основой для определения контрольных действий и мероприятий по управлению ими. Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях [6]. Предлагаемый алгоритм оценки рисков бизнес-процессов схематично представлен на рисунке 4.

Рис. 4. Предлагаемый процесс оценки рисков

Необходимо отметить, что контрольные действия должны определяться с учетом особенностей бизнес-процессов и присущих им рисков и пересматриваться с определенной периодичностью по мере снижения их эффективности. Именно поэтому предварительным этапом построения СВК является выделение основных бизнес-процесов.

Ключевое место в организационной структуре любой страховой компании занимает Департамент андеррайтинга (рисунок 5). Бизнес-процесс страхового андеррайтинга является наиболее специфичным в деятельности страховой компании.

Рис. 5. Пример организационной структуры страховой компании

Важность департамента андеррайтинга для страховой компании определятся тем, что он непрерывно связан с отсевом убыточных случаев. Целью его работы является установление максимально адекватного (математически обоснованного) тарифа по предлагаемому на страхование риску [5]. Оценка рисков будет подразумевать выявление и анализ соответствующих рисков, связанных с достижением данной цели департамента андеррайтинга. После того, как будет проведена оценка рисков, разрабатываются мероприятия по их снижению. Одним из таких мероприятий как раз и является выстраивание внутренних контролей.

Фрагмент типовой карты рисков, которые потенциально могут возникнуть на этапах андеррайтинга, и мероприятий на их снижение представлены в таблице 1.

Риски на этапах андеррайтинга имероприятия, направленные на их снижение

Ссылка на основную публикацию
Adblock
detector