Webbc.ru

Веб и кризис
4 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Способы оценки рисков

CATBACK.RU

СПРАВОЧНИК

ДЛЯ ЭКОНОМИСТОВ

Оценка рисков. Методы оценки рисков

Оценка риска — это совокупность аналитических мepoприятий, позволяющих спрогнозировать возможность получения дополнительного предпринимательского дохода или определенной величины ущерба от возникшей рисковой ситуации и несвоевременного принятия мер по предотвращению риска.

Степень риска — это вероятность наступления случая потерь, а также размер возможного ущерба от него. Риск может быть:

  • допустимым — имеется угроза полной потери прибыли от реализации планируемого проекта;
  • критическим — возможны непоступление не только прибыли, но и выручки и покрытие убытков за счет средств предпринимателя;
  • катастрофическим — возможны потеря капитала, имущества и банкротство предпринимателя.

Количественный анализ — это определение конкретного размера денежного ущерба отдельных подвидов финансового риска и финансового риска в совокупности.

Иногда качественный и количественный анализ производится на основе оценки влияния внутренних и внешних факторов: осуществляются поэлементная оценка удельного веса их влияния на работу данного предприятия и ее денежное выражение. Такой метод анализа является достаточно трудоемким с точки зрения количественного анализа, но приносит свои несомненные плоды при качественном анализе. В связи .с этим следует уделить большее внимание описанию методов количественного анализа финансового риска, поскольку их немало и для их грамотного применения необходим некоторый навык.

В абсолютном выражении риск может определяться величиной возможных потерь в материально-вещественном (физическом) или стоимостном (денежном) выражении.

В относительном выражении риск определяется как величина возможных потерь, отнесенная к некоторой базе, в виде которой наиболее удобно принимать либо имущественное состояние предприятия, либо общие затраты ресурсов на данный вид предпринимательской деятельности, либо ожидаемый доход (прибыль). Тогда потерями будем считать случайное отклонение прибыли, дохода, выручки в сторону снижения. в сравнении с ожидаемыми величинами. Предпринимательские потери — это в первую очередь случайное снижение предпринимательского дохода. Именно величина таких потерь и характеризует степень риска. Отсюда анализ риска прежде всего связан с изучением потерь.

В зависимости от величины вероятных потерь целесообразно разделить их на три группы:

  • потери, величина которых не превышает расчетной прибыли, можно назвать допустимыми;
  • потери, величина которых больше расчетной прибыли относятся к разряду критических — такие потери придется возмещать из кармана предпринимателя;
  • еще более опасен катастрофический риск, при котором предприниматель рискует понести потери, превышающие все его имущество.

Если удается тем или иным способом спрогнозировать, оценить возможные потери по данной операции, то значит получена количественная оценка риска, на который идет предприниматель. Разделив абсолютную величину возможных потерь на расчетный показатель затрат или прибыли, получим количественную оценку риска в относительном выражении, в процентах.

Говоря о том, что риск измеряется величиной возможных. вероятных потерь, следует учитывать случайный характер таких потерь. Вероятность наступления события может быть определена объективным методом и субъективным. Объективным методом пользуются для определения вероятности наступления события на основе исчисления частоты, с которой происходит данное событие.

Субъективный метод базируется на использовании субъективных критериев, которые основываются на различных предположениях. К таким предположениям могут относиться суждение оценивающего, его личный опыт, оценка эксперта по рейтингу, мнение аудитора-консультанта и т.п.

Таким образом, в основе оценки финансовых рисков лежит нахождение зависимости между определенными размерами потерь предприятия и вероятностью их возникновения. Эта зависимость находит выражение в строящейся кривой вероятностей возникновения определенного уровня потерь.

Построение кривой — чрезвычайно сложная задача, требующая от служащих, занимающихся вопросами финансового риска, достаточного опытами знаний. Для построения кривой вероятностей возникновения определенного уровня потерь (кривой риска) применяются различные способы: статистический; анализ целесообразности затрат; метод экспертных оценок; аналитический способ; метод аналогий. Среди них следует особо выделить три: статистический способ, метод экспертных оценок, аналитический способ.

Суть статистического способа заключается в том, что изучается статистика потерь и прибылей, имевших место на данном или аналогичном производстве, устанавливаются величина и частотность получения той или иной экономической отдачи, составляется наиболее вероятный прогноз на будущее.

Несомненно, риск — это вероятностная категория, ив этом смысле наиболее обоснованно с научных позиций характеризовать и измерять его как вероятность возникновения определенного уровня потерь. Вероятность означает возможность получения определенного результата.

Финансовый риск, как и любой другой, имеет математически выраженную вероятность наступления потери, которая опирается на статистические данные и может быть рассчитана с достаточно высокой точностью. Чтобы количественно определить величину финансового риска, необходимо знать все возможные последствия какого-либо отдельного действия и вероятность самих последствий.

Применительно к экономическим задачам методы теории вероятности сводятся к определению значений вероятности наступления событий и к выбору из возможных событий самого предпочтительного исходя из наибольшей величины математического ожидания, которое равно абсолютной величине этого события, умноженной на вероятность его наступления.

Главные инструменты статистического метода расчета финансового риска: вариация, дисперсия и стандартное (среднеквадратическое) отклонение.

Вариация — изменение количественных показателей при переходе от одного варианта результата к другому. Дисперсия — мера отклонения фактического знания от его среднего значения.

Степень риска измеряется двумя показателями: средним ожидаемым значением и колеблемостью (изменчивостью) возможного результата.

Среднее ожидаемое значение связано с неопределенностью ситуации, оно выражается в виде средневзвешенной величины всех возможных результатов Е(х), где вероятность каждого результата (А) используется в качестве частоты или веса соответствующего значения (х). В общем виде это можно записать так:

Среднее ожидаемое значение — это то значение величины события, которое связано с неопределенной ситуацией. Оно является средневзвешенной всех возможных результатов, где вероятность каждого результата используется в качестве частоты, или веса, соответствующего значения. Таким образом вычисляется тот результат, который предположительно ожидается.

Анализ целесообразности затрат ориентирован на идентификацию потенциальных зон риска с учетом показателей финансовой устойчивости фирмы. В данном случае можно просто обойтись стандартными приемами финансового анализа результатов деятельности основного предприятия и деятельности его контрагентов (банка, инвестиционного фонда, предприятия-клиента, предприятия-эмитента, инвестора, покупателя, продавца и т.п.).

Метод экспертных оценок обычно реализуется путем обработки мнений опытных предпринимателей и специалистов. Он отличается от статистического лишь методом сбора информации для построения кривой риска.

Данный способ предполагает сбор и изучение оценок, сделанных различными специалистами (данного предприятия или внешними экспертами) вероятностей возникновения различных уровней потерь. Эти оценки базируются на учете всех факторов финансового риска, а также статистических данных. Реализация способа экспертных оценок значительно осложняется, если количество показателей оценки невелико.

Аналитический способ построения кривой риска наиболее сложен, поскольку лежащие в основе его элементы теории игр доступны только очень узким специалистам. Чаще используется подвид аналитического метода — анализ чувствительности модели.

Анализ чувствительности модели состоит из следующих шагов: выбор ключевого показателя, относительно которого и производится оценка чувствительности (внутренняя норма доходности, чистый приведенный доход и т.п.); выбор факторов (уровень инфляции, степень состояния экономики и др.); расчет значений ключевого показателя на различных этапах осуществления проекта (закупка сырья, производство, реализация, транспортировка, капстроительство и т.п.).

Сформированные таким путем последовательности затрат и поступлений финансовых ресурсов дают возможность определить потоки фондов денежных средств для каждого момента (или отрезка времени), т.е. определить показатели эффективности. Строятся диаграммы, отражающие зависимость выбранных результирующих показателей от величины исходных параметров. Сопоставляя между собой полученные диаграммы, можно определить так называемые ключевые показатели, в наибольшей степени влияющие на оценку доходности проекта.

Анализ чувствительности имеет и серьезные недостатки: он не является всеобъемлющим и не уточняет вероятность осуществления альтернативных проектов.

Метод аналогий при анализе риска нового проекта весьма полезен, так как в данном случае исследуются данные о последствиях воздействия неблагоприятных факторов финансового риска на другие аналогичные проекты других конкурирующих предприятий.

Индексация представляет собой способ сохранения реальной величины денежных ресурсов (капитала) и доходности в условиях инфляции. В основе ее лежит использование различных индексов.

Например, при анализе и прогнозе финансовых ресурсов необходимо учитывать изменение цен, для чего используются индексы цен. Индекс цен — показатель, характеризующий изменение цен за определенный период времени.

Таким образом, существующие способы построения кривой вероятностей возникновения определенного уровня потерь не совcем равноценны, но так или иначе позволяют произвести приблизительную оценку общего объема финансового риска.

Источник — О.А. Фирсова — СПОСОБЫ ОЦЕНКИ СТЕПЕНИ РИСКА, ФГБОУ ВПО «Госуниверситет – УНПК», 2000.

Способы оценки рисков;

Многие финансовые операции (венчурное инвестирование, покупка акций, селинговые операции, кредитные операции и др.) связаны с довольно

существенным риском. Они требуют оценить степень риска и определить его величину.

Степень риска — это вероятность наступления случая потерь, а также размер возможного ущерба от него.

Риск может быть:

· допустимым — имеется угроза полной потери прибыли от реализации

· критическим — возможны непоступление не только прибыли, но и выручки и покрытие убытков за счет средств предпринимателя;

Читать еще:  Основные виды рыночного риска

· катастрофическим — возможны потеря капитала, имущества и банкротство предпринимателя.

^ Количественный анализ — это определение конкретного размера денежного ущерба отдельных подвидов финансового риска и финансового риска в совокупности.

Иногда качественный и количественный анализ производится на основе оценки влияния внутренних и внешних факторов: осуществляются поэлементная оценка удельного веса их влияния на работу данного предприятия и ее денежное выражение. Такой метод анализа является достаточно трудоемким с точки зрения количественного анализа, но приносит свои несомненные плоды при качественном анализе. В связи .с этим следует уделить большее внимание описанию методов количественного анализа финансового риска, поскольку их немало и для их грамотного применения необходим некоторый навык.

В абсолютном выражении риск может определяться величиной возможных потерь в материально-вещественном (физическом) или стоимостном (денежном) выражении.

В относительном выражении риск определяется как величина возможных потерь, отнесенная к некоторой базе, в виде которой наиболее удобно принимать либо имущественное состояние предприятия, либо общие затраты ресурсов на данный вид предпринимательской деятельности, либо ожидаемый доход (прибыль). Тогда потерями будем считать случайное отклонение прибыли, дохода, выручки в сторону снижения. в сравнении с ожидаемыми величинами. Предпринимательские потери — это в первую очередь случайное снижение предпринимательского дохода. Именно величина таких потерь и характеризует степень риска. Отсюда анализ риска прежде всего связан с изучением потерь.

В зависимости от величины вероятных потерь целесообразно разделить их на три группы:

· потери, величина которых не превышает расчетной прибыли, можно назвать допустимыми;

· потери, величина которых больше расчетной прибыли относятся к разряду критических — такие потери придется возмещать из кармана предпринимателя;

· еще более опасен катастрофический риск, при котором предприниматель рискует понести потери, превышающие все его имущество.

Если удается тем или иным способом спрогнозировать, оценить возможные потери по данной операции, то значит получена количественная оценка риска, на который идет предприниматель. Разделив абсолютную величину возможных потерь на расчетный показатель затрат или прибыли, получим количест­венную оценку риска в относительном выражении, в процентах.

Говоря о том, что риск измеряется величиной возможных. вероятных потерь, следует учитывать случайный характер таких потерь. Вероятность наступления события может быть определена объективным методом и субъективным.

Объективным методом пользуются для определения вероятности наступления события на основе исчисления частоты, с которой происходит данное событие.

Субъективный метод базируется на использовании субъективных критериев, которые основываются на различных предположениях. К таким предположениям могут относиться суждение оценивающего, его личный опыт, оценка эксперта по рейтингу, мнение аудитора-консультанта и т.п.

Таким образом, в основе оценки финансовых рисков лежит нахождение зависимости между определенными размерами потерь предприятия и вероятностью их возникновения. Эта зависимость находит выражение в строящейся кривой вероятностей возникновения определенного уровня потерь.

Построение кривой — чрезвычайно сложная задача, требующая от служащих, занимающихся вопросами финансового риска, достаточного опытами знаний. Для построения кривой вероятностей возникновения определенного уровня потерь (кривой риска) применяются различные способы: статистический; анализ целесообразности затрат; метод экспертных оценок; аналитический способ; метод аналогий. Среди них следует особо выделить три: статистический способ, метод экспертных оценок, аналитический способ.

· Суть статистического способа заключается в том, что изучается

статистика потерь и прибылей, имевших место на данном или аналогичном производстве, устанавливаются величина и частотность получения той или иной экономической отдачи, составляется наиболее вероятный прогноз на будущее.

Несомненно, риск — это вероятностная категория, ив этом смысле наиболее обоснованно с научных позиций характеризовать и измерять его как вероятность возникновения определенного уровня потерь. Вероятность означает возможность получения определенного результата.

Финансовый риск, как и любой другой, имеет математически выраженную вероятность наступления потери, которая опирается на статистические данные и может быть рассчитана с достаточно высокой точностью.

Чтобы количественно определить величину финансового риска, необходимо знать все возможные последствия какого-либо отдельного действия и вероятность самих последствий.

Применительно к экономическим задачам методы теории вероятности сводятся к определению значений вероятности наступления событий и к выбору из возможных событий самого предпочтительного исходя из наибольшей величины математического ожидания, которое равно абсолютной величине этого события, умноженной на вероятность его наступления.

Главные инструменты статистического метода расчета финансового риска:

вариация, дисперсия и стандартное (среднеквадратическое) отклонение.

Вариация — изменение количественных показателей при переходе от одного варианта результата к другому.

Дисперсия — мера отклонения фактического знания от его среднего значения.

Таким образом, величина риска, или степень риска, может быть измерена двумя критериями: среднее ожидаемое значение, колеблемость (изменчивость) возможного результата.

Среднее ожидаемое значение — это то значение величины события, которое связано с неопределенной ситуацией. Оно является средневзвешенной всех возможных результатов, где вероятность каждого результата используется в качестве частоты, или веса, соответствующего значения. Таким образом

вычисляется тот результат, который предположительно ожидается.

· ^ Анализ целесообразности затрат ориентирован на идентификацию

потенциальных зон риска с учетом показателей финансовой устойчивости фирмы. В данном случае можно просто обойтись стандартными приемами финансового анализа результатов деятельности основного предприятия и деятельности его контрагентов (банка, инвестиционного фонда, предприятия-клиента, предприятия-эмитента,

инвестора, покупателя, продавца и т.п.)

· ^ Метод экспертных оценок обычно реализуется путем обработки мнений опытных предпринимателей и специалистов. Он отличается от статистического лишь методом сбора информации для построения кривой риска.

Данный способ предполагает сбор и изучение оценок, сделанных различными специалистами (данного предприятия или внешними экспертами) вероятностей возникновения различных уровней потерь. Эти оценки базируются на учете всех факторов финансового риска, а также статистических данных. Реализация способа экспертных оценок значительно осложняется, если количество показателей оценки невелико.

· ^ Аналитический способ построения кривой риска наиболее сложен,

поскольку лежащие в основе его элементы теории игр доступны только очень узким специалистам. Чаще используется подвид аналитического метода – анализ чувствительности модели.

^ Анализ чувствительности модели состоит из следующих шагов: выбор ключевого показателя, относительно которого и производится оценка

чувствительности (внутренняя норма доходности, чистый приведенный доход и т.п.); выбор факторов (уровень инфляции, степень состояния экономики и др.);

расчет значений ключевого показателя на различных этапах осуществления проекта (закупка сырья, производство, реализация, транспортировка, капстроительство и т.п.). Сформированные таким путем последовательности затрат и поступлений финансовых ресурсов дают возможность определить потоки фондов денежных средств для каждого момента (или отрезка времени), т.е. определить показатели эффективности. Строятся диаграммы, отражающие зависимость выбранных результирующих показателей от величины исходных параметров. Сопоставляя между собой полученные диаграммы, можно определить так называемые ключевые показатели, в наибольшей степени влияющие на оценку доходности проекта.

Анализ чувствительности имеет и серьезные недостатки: он не является всеобъемлющим и не уточняет вероятность осуществления альтернативных проектов.

· ^ Метод аналогий при анализе риска нового проекта весьма полезен, так как в данном случае исследуются данные о последствиях воздействия

неблагоприятных факторов финансового риска на другие аналогичные проекты других конкурирующих предприятий.

Индексация представляет собой способ сохранения реальной величины денежных ресурсов (капитала) и доходности в условиях инфляции. В основе ее лежит использование различных индексов.

Методы оценки профессиональных рисков: выбираем подходящий

Методы оценки профессиональных рисков: выбираем подходящий

На момент написания этой статьи методы оценки профессиональных рисков не утверждены ни Федеральными законами, ни постановлениями Министерств. Вместе с тем, необходимость в проведении этого мероприятия не исчезает и уже подчеркивается предписаниями Государственной инспекции по труду. Сегодня широкой публике представлены десятки способов оценить профессиональные риски: начиная с тех, что закреплены в ГОСТах и заканчивая авторскими методами экспертных организаций. Сегодня мы разберёмся, какие методы оценки профессиональных рисков подходят для определённых ситуаций, расскажем про их плюсы и минусы применения. Начнём!

Методы оценки профрисков: где их искать?

Несмотря на то, что тема профессиональных рисков далеко не новая, в 2019 году интерес организаций был сильно подогрет к проведению данной процедуры. Во-первых, введение риск-ориентированного подхода. Во-вторых, повышение уровня ответственности работодателей. В-третьих, штрафы после проверок инспекции по труду. Отсутствие единой утверждённой методики оценки профессиональных рисков (и вместе же с этим необходимость проведения) заставило работодателей искать любые зацепки в нормативной документации, строить логические догадки и перечитывать государственные стандарты. В итоге сформировался список документов, которые содержат методы оценки профессиональных рисков:

  • OHSAS 18001:2007 (он же ГОСТ Р 54934-2012) «Система менеджмента безопасности охраны труда и охраны здоровья» (действующий)
  • OHSAS 18002:2008 «Система менеджмента безопасности и охраны здоровья. Руководство к применению» (действующий)
  • BS 18004:2008 «Руководство по достижению эффективности в области безопасности труда и охраны здоровья» (действующий)
  • ГОСТ Р 12.0.010-2009 «Система стандартов безопасности труда. Система управления охраной труда. Определение опасностей и оценка риска» (действующий)
  • ГОСТ 12.0.003-74 «Опасные и вредные производственные факторы. Классификация, а также нормативно-правовые акты, невыполнение которых может привести к возникновению опасных ситуаций» (действующий)
  • ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» (действующий)
  • ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска»ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» (действующий)
Читать еще:  Что такое нормальный хозяйственный риск

Чаще стали появляться и авторские методы оценки профессиональных рисков: мы с интересом отмечаем работы Т.В. Ригера (метод коэффициента безопасности труда), С.С. Тимофеевой (совершенствование современного законодательства в области охраны труда) и рады делиться собственными разработками — метод повышения объективности оценки профессионального риска (подготовлено и разработано специалистами ЦПР «Эксперт»).

Безусловно, это не окончательный список. В очень скором времени появится еще методы оценки профессиональных рисков, среди которых, как мы надеемся, будет единый, принятый на Федеральном уровне.

Запутались? Напишите нам, мы поможем. Бесплатно.

Матричные методы оценки профессиональных рисков

Пожалуй, самый простой и недорогостоящий метод оценки профессиональных рисков: работниками организации (или экспертами привлечённой организации) выполняется составление матрицы рисков, согласно которой риски оцениваются по схеме «вероятность — ущерб». Эксперт для каждой ситуации определяет, насколько вероятно её наступление и насколько велик потенциальный ущерб. В итоге составляется таблица, она же — матрица рисков: белые ячейки означают приемлемый риск, серый — высокий и черный — неприемлемый.

Матрица оценки профессиональных рисков

Вместе с простотой использования настоящего метода приходят и его минусы: такая экспертная оценка обладает очень низкой объективностью. Повысить этот показатель можно, привлекая экспертов сторонних организаций (ввиду их опыта), или же используя дисперсионный анализ объективности оценок (авторский метод ЦПР «Эксперт»).

Косвенные методы оценки профессиональных рисков

Суть этого способа оценить профессиональные риски сводится к тому, чтобы найти соотношение между количеством опасных ситуаций и общим числом возможных исходов события. Центральной фигурой этого метода является индекс Элмери, который показывает, сколько % от пунктов безопасности соблюдается на предприятии.

Впрочем, и здесь есть недостаток, не позволяющий применить данный метод для крупных и опасных производств. Все факторы, которые берутся в расчёт, имеют одинаковый вес, подразумевая, что каждая опасность равнозначна остальным.

А вот Вам пара советов, как НЕ нужно проводить оценку профессиональных рисков

Балльные методы оценки профессиональных рисков

Эти методы задействуют специальную балльную систему (от 1 до 6): чем выше балл, тем меньше соответствуют условия труда действующим нормам и правилам. В расчёте показателя уровня риска участвуют результаты проведения специальной оценки условий труда. Главный плюс данного метода в том, что имеется возможность соотнести профессиональные риски в конкретном подразделении, организации в целом, или сравнить несколько организаций.

Поставить на карту: классификация и оценка рисков

Риски присущи любой предпринимательской деятельности. Они могут быть различны по источнику, сроку и обстоятельствам появления и, соответственно, по методам анализа и оценки. В рамках данной статьи мы разберемся, какая существует классификация рисков, средства оценки рисков, и рассмотрим конкретные примеры.

Разделяй и оценивай

Классифицировать риски – значит систематизировать их, основываясь на каких-либо общих параметрах. Классификация делает более простым процесс анализа рисков. Основания для группирования рисков чаще всего выделяют такие:

  • период появления;
  • обстоятельства появления;
  • особенности учета;
  • особенности последствий;
  • область формирования.

1. Если за основу брать период появления, то риски делятся на:

  • ретроспективные,
  • текущие,
  • перспективные.

Причем исследование ретроспективных рисков, их особенностей и средств для минимизации рисков позволяет проецировать эту информацию на текущие и перспективные риски.

2. Обстоятельства появления предполагают такую классификацию рисков:

  • Политические риски. Таким рискам «тон» задает политическая ситуация, воздействующая на бизнес (к примеру, таможенные запреты, закрытие границ и так далее)
  • Экономические, или коммерческие риски. Таковыми считаются те, что зависят от неоптимальной экономической ситуации в рамках организации или государства. Чаще всего предприятия сталкиваются с дисбалансом в области конъюнктуры рынка, сложностями своевременного выполнения платежных обязательств, с переменами уровня управления.

3. Особенности учета рисков позволяют сделать такую комбинацию:

  • Внешние риски. Таковые напрямую не взаимодействуют с функционированием организации, либо его контактной аудиторией (это юридические/физические лица, различные социальные группы, так или иначе воздействующие с компанией). Здесь во внимание стоит принимать достаточно много обстоятельств – экономических, политических, социальных и многих других.
  • Внутренние риски. Появление таких рисков объясняется особенностями работы самой компании и ее контактной аудитории. Степень их проявления зависит от деловой активности руководящего звена организации, направления развития маркетинговой активности, а также производственный потенциал, техническое оснащение и многое другое.

4. Если мы станем учитывать последствия, то типология рисков будет выглядеть следующим образом:

  • Чистые и простые риски. С большей долей вероятности наносят урон бизнесу и возникают при катастрофах, военных действиях, катаклизмах и так далее.
  • Спекулятивные и динамические риски. Их особенность: угроза потери прибыли, однако они способны принести и доход по сравнению к предполагаемому результату. Их появление обусловлено нестабильностью конъюнктуры рынка, скачками курсов валюты, нововведениями в налоговом законодательстве и так далее.

5. Если в основе типологии лежит такой параметр, как область формирования, мы получим наиболее обширную группу среди основной классификации рисков.

  • Производственный риск. Грозит, если организация не реализует планы и нарушает договоры по запланированным объемам произведенной продукции, услуг и товаров по причине неоптимальной внешней среды и некорректного применения технологий, основных и оборотных средств, сырья и рабочего времени. Чаще всего причинами появления таких рисков становятся уменьшение плановых объемов производства, повышение затрат, расходы на высокие налоги, неотлаженная система работы с поставщиками, сбой в аппаратной части.
  • Коммерческий риск появляется при сбыте товаров и услуг, которые организация закупает или производит сама. Такой риск возможен вследствие уменьшения объема продаж из-за нестабильности конъюнктуры, роста закупочной стоимости, утери товара при использовании. Финансовый риск допускает сложности с реализацией компанией финансовых обязательств, что нередко связано с падением цены инвестиционно-финансового портфеля из-за нестабильности валютного курса, перебоев с платежными операциями.
  • Страховой риск возможен при возникновении обстоятельств, предполагаемых при заключении страхового договора, что в итоге влечет обязательства страховщика выплатить соответствующее возмещение. Последствия риска — это обычно ущерб, связанный с некачественной страховой работой, предшествующей заключению договора и в последующем, при перестраховании, разработке страховых и так далее. Причины появления этих рисков – некорректность при установлении страховых тарифов и подходе страхующего лица.

Прочие типологии

6. По такому параметру, как производственная деятельность, классификация рисков может быть такой:

  • Организационные риски. Они формируются из-за просчетов в системе менеджмента организации и сотрудников, невыстроенной системы внутреннего контроля — то есть связаны с нарушениями во внутренних бизнес-процессах предприятия.
  • Рыночные риски. Возможны при неустойчивой экономической конъюнктуре: угрозы денежных убытков по причине скачков стоимости товаров, риск падения спроса на продукт, потеря ликвидности.
  • Кредитные риски грозят, если партнер организации не сможет соблюсти условия кредитного договора. Подобные риски грозят и банкам (невозврат денег), и компаниям, у которых есть дебиторская задолженность или сфера услуг завязана на рынке ценных бумаг.
  • Юридические риски характерны при ситуации, когда во время сделки не была принята в расчет законодательная база, либо были введены поправки в законодательство. Здесь же упомянем риск расхождения пунктов законодательства в разных странах и неправильно сформированной документации.
  • Технико-производственные/экологические риски предполагают вероятность урона, который может быть нанесен окружающей среде, возможность аварий и пожаров, сбоев в процессе из-за нарушений при проектных и монтажных работах.

7. Наконец, по последствиям риски подразделяются на такие, как:

  • Допустимый риск – возникает при принятии решения, при нереализации которого предприятию грозят финансовые потери. В рамках данной области бизнес может терпеть убытки, однако они не перекрывают планируемого дохода.
  • Критический риск характеризует возможность появления убытков, то есть данную область отличает вероятность возникновения убытков, превышающих прибыль. Также здесь речь идет о потере средств компании, которые были вложены в проект.
  • Катастрофический риск характерен при ситуации, когда организации грозит банкротство, а убытки могут быть равны имущественному состоянию фирмы. Этот же риск предполагает любую ситуацию, представляющую опасность для человека.

Вышеперечисленные классификации рисков можно дополнять исходя из потребностей самой компании и специфики ее деятельности.

Оценка риска

Приведенная выше классификация позволяет провести грамотный анализ и оценку рисков. Но, прежде чем мы обратимся к вопросу оценки и анализа рисков, стоит определиться с понятием.

Оценкой рисков принято называть систематическую работу по отслеживанию факторов и разновидностей риска, а также их количественная оценка. То есть принцип оценки рисков предполагает взаимосвязь двух показателей – количественного и качественного.

Вспомогательные инструменты

Для анализа и оценки рисков специалист использует базовую информацию:

  • бухгалтерская отчетность компании,
  • структура и штатное расписание организации,
  • карты технологических потоков (для анализа производственных рисков),
  • договоры (для анализа правовых рисков),
  • себестоимость выработки продукта,
  • финансово-производственные планы компании.

Слово о качестве

Качественный анализ рисков позволяет оценщику определить, что стало стимулом к появлению риска, выявить, на каких стадиях производства есть угроза его возникновения. Таким образом, оценщик устанавливает возможные области риска, раскрывает риски, сопровождающие работу предприятия, и проводит работу по выявлению возможных прибылей и убытков возникновения рисков.

Основная функция оценщика на такой стадии – определение центральных типов рисков, оказывающих воздействие на деятельность организации, то есть, отнесение риска к тому или иному типу согласно классификационному делению. Применение такого метода оценки и анализа рисков помогает достаточно быстро отследить степень рискованности по количественному составу рисков и выбрать дальнейшую стратегию работы.

Слово о количестве

Итоги качественного анализа используются оценщиком в качестве базы для количественного анализа. Иными словами, идет оценка только тех рисков, что фигурируют в соответствующей операции алгоритма принятия решения. Кроме того, оценщик получает числовые значения величин каждого риска и риска объекта в целом, а также определяет потенциальный урон, дает стоимостную оценку, если урон уже нанесен, и предлагает ряд действий для нейтрализации рисков с финансовым расчетом.

Применяя количественный метод оценки рисков, оценщик имеет возможность его формализовать и обращается к набору инструментария. Самыми частотными методами в работе являются статистические, аналитические, метод экспертных оценок, метод аналогов. Для удобства сведем их в таблицу.

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Ссылка на основную публикацию
Adblock
detector