Главная картинка статьи №21

Виды анализа рисков

Технично, ничего не скажешь...

Доброго времени суток, Уважаемые коллеги!

Доброе утро/день/вечер/ночь!

Предыдущую статью мы посвятили активности идентификации рисков.

Сегодня мы хотим поговорить про виды анализов рисков и обосновать необходимость их применения при определенных условиях.

Рассматриваемая тема будет особо актуальна для тех коллег, кто уже столкнулся с практикой отечественных предприятий (а вернее её отсутствием), которая демонстрирует, что только относительно небольшая часть из них выполняют анализ и последующее обоснование того, как управлять риском в процессе внедрения новых проектов или сопровождения текущей деятельности.

Введение

На сегодняшней день множественная типизация рисков, вызванная неоднородностью самого этого понятия, и природы его возникновения, привела к появлению и существованию большого числа способов по их анализу и дальнейшим методам по работе с ними, на разных этапах жизненного цикла, начиная с момента появления возможности возникновения до конечного/промежуточноконечного состояния.

Различные по своим причинам/характеристикам/ и т.д. риски имеют строгоопределенные или рекомендованные тактики и стратегии по их обработке. Каждая их таких видов активностей должна содержать в себе один или несколько подходов, любой из которых основан на четком алгоритме. Такие подходы к исследованию явных, скрытых или потнециальных причин рисков принято называть видами анализа рисков.

Анализ рисков. Идентификации ИТ активов

Введем понятие анализа рисков:

Анализ рисков - процедуры выявления факторов рисков и оценки их значимости на конкретное событие, группу событий, систему.

По сути, анализ рисков – это анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение поставленных целей.

Анализ рисков, в сфере информационных технологий, состоит из оценки риска, по определенным метрикам, методы работы с рисками, такие, как снижение риска, его игнорирование, уменьшения связанных с ним неблагоприятных последствий и т.д.

Анализ рисков в области ИТ, связан, прежде всего, с созданием/развитием/ вводом в эксплуатацию/ выводом из эксплуатации/сопровождением и т.д. информационных систем (ИС), технологий и любых других ИТ активов, сопровождающих домен информационных технологий конкретного предприятия.

ИТ Активы – это все артефакты, имеющие определенную ценность для организации, использующей их в своей деятельности. Активы могут быть выражены как в конкретном стоимостном значении, так и не иметь четко определенной ценности, в актуальный момент времени.

Все ИТ активы, прямо или косвенно участвуют в формировании дохода предприятия или создании конечного продукта/сервиса, от реализации которого зависит успех организации (сотрудники, техника, уникальные процессы, сервера и т.д.).

От правильного учета и управления ИТ активами, зависит степень подверженности того или иного процесса, использующего данные активы, рисковому влиянию. Особо важные и критичные активы должны быть идентифицированы, оценены и задокументированы, в соответствии со спецификой бизнеса, в котором проводится анализ рисков (минимально достаточным документом является реестр активов по аналогии с уже рассмотренным реестром рисков).

При идентификации ИТ активов необходимо учитывать их комплексность и возможную взаимосвязанность с другими видами активов. Установление подобных связей позволит добиться прозрачности процессов и ресурсов, которые их используют. Это, в свою очередь, окажет влияние как на оптимизацию и повышение качества процедур классификации и идентификации рисков, рассмотренных нами ранее, так и на активности, связанные с последующими стадиями процесса анализа и управления рисками, такими, как качественный и количественный анализы рисков, создание комплексной системы по работе с рисками и т.д.

Каждый актив должен иметь владельца, в обязанности которого должно входить управление и контроль за подотчетный ему актив. Это позволит предварить и избежать появления возможных коллизий, связанных с нерегламентированным, неправомерным, низкоэффективным использованием актива, при условии осведомленности и квалифицированности его «хозяина».

Конечно, при идентификации активов необходимо помнить цели, преследуемые процессом анализа и управления рисками, чтобы не «впасть в крайности» и не отклониться от поставленных задач. В процессе идентификации, у неопытного специалиста, может появиться соблазн включить и описать, как можно больше активов. Необходимо помнить о том, что над каждым описанным активом надо провести довольно скрупулезную работу по его описанию и вести дальнейшее поддержание созданной документации в актуальном состоянии.

После того, как активы выявлены, наступает этап выявления и оценки рисков, влияющих на определенный актив.

Оценка информационных рисков

Оценка информационных рисков – процедура ранжирования приоритета конкретных условий и факторов, которые могут стать причиной нарушения целостности системы.

При оценивании рисков, влияющих на определенные активы, учитываются многие факторы: ценность актива, значимость угроз, эффективность имеющихся и планируемых ресурсов актива. Факторы зависят от конкретной ситуации, вида актива и риска.

В свете изучаемого материала стоит сразу привести альтернативное определение понятия оценки:

Оценка информационных рисков - это определение количественным и/или качественным способом величины (степени) рисков. Количественные и качественные виды анализов будут рассмотрены нами далее.

Стоит сделать небольшое лирическое отступление и провести экскурс в актуальное состояние дел, связанных с активностью анализа риска в целом, и его оценки, в частности, в РФ. То, что современные технологии анализа рисков, мягко говоря, в России используются сравнительно редко, было показано нами ранее. Одна из основных причин такого положения состоит в том, что в руководящих документах, на большинстве законодательных уровней, как в государственном масштабе, так и на уровне частного предпринимательства, не рассматриваются аспекты рисков, их допустимый уровень и то, что на наш взгляд самое главное, ответственность за принятие определенного уровня рисков.

Риск, при первичном выявлении, это во многом интуитивное понятие, которое каждый подсознательно или осознанно учитывает, принимая то или иное решение. То, что о рисках не говорят, это не значит, что их нет. Риски появляются, вместе с появлением активов и соответственно, появляется ответственность, которая должна быть четко и однозначно персонифицирована. Только при таком подходе можно говорить о том, что система по анализу и управлению рисками будет приносить результаты. Принимать и игнорировать правильно только те риски, которые идентифицированы, исследованы и оценены, как не критичные, для конкретного случая или системы.

Оценка риска должна обеспечить понимание возможного масштаба проблем, событий и принятие решений о том, каким образом надо обрабатывать тот или иной риск.

Оценка может быть выполнена с различной степени детализации, используя один или несколько методов. Форма оценки и её результат должны быть совместимы с критериями риска для определенной ситуации и применяемого метода, который должен удовлетворять таким условиям, как:

  • Тип организации;
  • Окружение потенциально «ущербной» ситуации;
  • Форма результатов должна повышать осведомленность о виде риска и его периодичности;
  • Верификация причин, процесса и результатов;

Так же, при выборе способа оценки риска необходимо учитывать такие характеристики окружения риска, свойственного определенному активу, как:

  • Цели организации;
  • Цели исследования риска;
  • Ответственность возможных вариантов решения;
  • Тип риска и его характеристики;
  • Последствия от риска, в случае его реализации;

При оценке риска следующие факторы влияют на полноту и качество получаемых результатах о риске:

  • Степень качества и полноты используемых экспертиз;
  • Доступность однозначной и непротиворечивой информации о риске, и его окружении;
  • Необходимость в периодичном обновлении данных о риске;
  • Временные и ресурсные ограничения на процедуру оценки рисков;

Необходимо помнить о том, что такая характеристика, как неопределенность, может быть неотъемлема от целей организации, для которой проводится оценка риска. Данные, на основе которых проводится оценка, не всегда могут обеспечить достоверность процедуры прогнозирования. В целях совершенствования качества активностей по работе с рисками, и однозначном понимании полученных результатов, стэйкхолдеры (лица принимающие решения) и исполнители процессов по анализу и управлению рисками должны поддерживать постоянный контакт и взаимное информирование друг друга данными, необходимыми для сопровождения «рисковой» составляющей.

Задача оценки конкретного риска может быть довольно сложной, в зависимости от параметров, сопровождающих актив, который подвержен риску. К примеру, в сложных информационных системах оценка риска, как инкапсулированной составляющей, будет некорректна. Каждая часть информационной системы не существует сама по себе, а связана с другими компонентами и частями. Это приводит к тому, что один компонент, подверженный риску, ставит «под угрозу» связанные с ним элементы и связи, по которым осуществляется взаимодействие между ними, а так же все компоненты, являющиеся потребителями результатов процессов, в деятельности которых задействован рисковый элемент.

Методы оценки рисков имеют множественную классификацию для обеспечения понимания их преимуществ и недостатков. Мы перечислим методы, приведенные в ГОСТ Р ИСО/МЭК 31010-2011. При желании наши уважаемые коллеги могут более подробно с ними познакомиться, изучив упомянутый стандарт:

  • Мозговой штурм;
  • Структурированные или частично структурированные интервью;
  • Метод Делфи;
  • Контрольные листы;
  • Предварительный анализ опасностей;
  • Исследование опасности и работоспособности;
  • Анализ опасности и критических контрольных точек;
  • Оценка токсикологического риска;
  • Структурированный анализ сценариев методом «что, если?» (SWIFT);
  • Анализ сценариев;
  • Анализ воздействия на бизнес;
  • Анализ первопричин;
  • Анализ видов и последствий отказов (FMEA);
  • Анализ дерева неисправностей;
  • Анализ дерева событий;
  • Анализ причин и последствий;
  • Причинно-следственный анализ;
  • Анализ уровней защиты;
  • Анализ дерева решений;
  • Анализ влияния человеческого фактора;
  • Анализ «галстук-бабочка»;
  • Техническое обслуживание, направленное на обеспечение надежности;
  • Анализ скрытых дефектов;
  • Марковский анализ;
  • Моделирование методом Монте-Карло;
  • Байесовский анализ и сети Байеса;
  • Кривые FN;
  • Индексы риска;
  • Матрица последствий и вероятностей;
  • Анализ эффективности затрат;
  • Мультикритериальный анализ решения;

Часть из этих методов является более универсальными, другая менее и применимы только для конкретных, узкоспециализированных отраслей (К примеру метод - «Оценка токсикологического риска»), но не перечислить мы их не могли Наиболее применимые для использования на практике в ИТ, мы рассмотрели в прошлой статье.

Подводя итоги процесса оценки риска, мы приведем примерное содержание работ по оценке рисков и их последовательность, которая наиболее полно и оптимально отражает процедуру выполняемых работ, по нашему мнению:

  1. Сбор данных и сведений;
  2. Формирование цели и задач;
  3. Идентификация ИТ активов;
  4. Составление реестра ИТ активов, значимых для данной ситуации;
  5. Документирование и синтез полученной информации;
  6. Обоснование и выбор метода по оценке рисков;
  7. Предварительная оценка рисков и масштаба возможных проблем;
  8. Выбор наиболее значимых рисков и дальнейший их анализ;
  9. Выводы по проведенной работе для руководства. Резюме;
  10. Планирование дальнейших работ;

Важнейшей частью работы является резюме рисков, которое необходимо представить руководству, принимающему «жизненноважные решения» по управлению и анализу рисками. На этом этапе работ, в доступной и наглядной форме должны быть описаны самые опасные для конкретной деятельности риски и ИТ активы, которые их «порождают». Дополнительное внимание руководства можно акцентировать на этом документе, приведя в нем возможную величину среднегодового ущерба, перечислив уязвимости, которые будут способствовать появлению заданных рисков.

На этом оценка рисков не заканчивается. Высокоуровневая оценка, расставившая приоритеты, выявившая и обосновавшая группы рисков, которые имеют наибольшее значение для организации, может быть достаточной для организаций, с относительно низкой степенью зависимости от информационных технологий, для остальных же потребуется более низкоуровненая оценка.

Обработка информационных рисков

Оценка информационных рисков дает ответы на вопросы, связанные с информационными активами, направлением защиты от рисков, которым подвержены данные активы и то, от чего именно следует защищаться. После этого успех поставленных целей будет зависеть от того, какая стратегия защиты будет выбрана. Для того, чтобы наиболее оптимально выбрать стратегию защиты риск должен быть «разложен» на качественную и количественную составляющие.

Целью обработки рисков является выявление метрик, с помощью которых становится возможным уменьшить до приемлемого для организации уровня или устранить возможный ущерб.

Итогом процесса обработки риска должно стать решение о том, до какой степени детализации и дальнейших действий над ним, необходимо будет подвергнуть тот или иной риск. Данное решение должно быть принято ответственными исполнителями, в зависимости от имеющейся у них информации, и в дальнейшим пройти согласование с лицами, принимающими решение.

Виды анализа информационных рисков. Обзор

Каждый риск, в зависимости от изученности и степени влияния на анализируемую активность, должен подвергнуться определенному типу исследования. Чем с более сложным, комплексным и малоизученным риском сталкивается организация, тем более подробно он должен быть изучен и исследован.

На текущий момент, наиболее популярным и экономически оправданным является следующая классификация анализов рисков по типам работы над ними:

  • качественный;
  • количественный.

Качественный и количественный анализы являются взаимно дополняющими видами анализа, представляя собой последовательные этапы единого и самодостаточного процесса работы над рисками.

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту или процессу. При качественном анализе рисков определяются, описываются причины и факторы, влияющий на уровень данного вида риска и его влияние на деятельность в целом. Кроме того, желательно описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить дальнейшие варианты по работе над выявленными рисками. Стоимостная оценка может быть представлена виде абсолютной шкалы, так как цель качественного анализа рисков заключается в верхнеуровневом выявлении рисков.

Данный тип анализа, как правило, проводится на стадии разработки бизнес-плана, а предварительное исследование рисков позволяет сформировать базисную информацию для начала работы над рисками. К дополнительным, но также весьма значимым, результатам качественного анализа следует отнести определение пограничных значений возможного изменения всех факторов (переменных) проекта, проверяемых на риск.

Количественный анализ рисков предполагает численное определение величин реализации отдельных рисков, выявленных в результате качественного анализа рисков. Методы количественного анализа рисков основаны на строгих математических алгоритмах (метод Монте-Карло), теории вероятности, математической статистике, теории исследований операций и т.д., которые реализуют и поддерживают определение числовых метрик, описывающих возможный потенциальный и явный ущерб от осуществления риска.

Для того, чтобы количественный анализ рисков был выполнен наиболее эффективно и смог достигнуть результатов своего выполнения необходимы два условия:

  • наличие проведенного базисного расчета проекта и его последовательностей;
  • проведение полноценного качественного анализа.

Таким образом, уместно будет отметить, что количественный анализ рисков выполняется только при условии выполненного качественного анализа рисков. Этот вид анализа является более дорогим и требовательным к исходным данным, по сравнению с качественным, что делает его менее доступным для широкой аудитории специалистов. Количественный анализ рисков целесообразен для выполнения только в крупных компаниях, заинтересованным в «зрелых» и качественных результатах деятельности по работе с рисками.

Выводы

Сегодняшняя статья стала введение в активность анализа рисков, послужив «мостом» между процессом оценки рисков и рассмотрением видов анализа рисков, проводить которые оправданно, в зависимости от целей процесса управления и анализа рисков, которые преследует организация, выполняющая данную активность.

Выбор конкретного метода анализа рисков, по нашему мнению, зависит от следующих факторов, влияющих на качество выполняемой деятельности:

  • Полнота и подробность информационной базы исследуемой области;
  • Требований к конечным результатам (показателям);
  • Уровень квалификации персонала;
  • Финансирование;
  • и т.д.

Для небольших проектов можно, а в некоторых случаях даже нужно, ограничиться простыми методами анализа рисков, которые оправданны окружением и видом процесса\проекта, для которого осуществляется анализ рисков. В случаях, для которых необходим более тщательный анализ рисков простыми методами будет не ограничиться, и следует привлечь более сложные методики.

Методы анализа рисков следует применять комплексно, используя наиболее простые из них на стадии предварительной оценки (качественный анализ), а сложные и требующие дополнительной информации - при окончательном обосновании выбранного пути проекта или процесса (количественный анализ).

В следующий раз мы посвятим большее количество времени и вашего внимания рассмотрению качественного анализа рисков, сосредоточив Ваше внимание на конкретных методиках и описанию активностей, способствующих данному анализу рисков.

Авторы статьи

Иван Никитин

Михаил Цулая

Полезные материалы

Советуем прочитать


  • Подходы к проектированию и документированию архитектур программных продуктов
  • Архитектурное документирование. Что и Как? Начало
  • Еще немного о требованиях и соответствующих им архитектурных рисках
  • Инструментарий, используемый для моделирования архитектуры и функциональности программных продуктов
  • Роль стандартов в процессах разработки архитектуры программных продуктов
  • Внешние события, атрибуты, формирующие архитектуру программных продуктов и процесс её документирования Ч.1
  • Основные объекты и связи, представленные в виде компонентов архитектур программных продуктов
  • Основные характеристики и требования к современным архитектурам информационных приложений
  • Архитектурное проектирование программного обеспечения.Практики проектирования
  • Архитектурное проектирование программного обеспечения
  • Уровни «процессной» зрелости компании в контексте риск-менеджмента
  • Актуальность развития риск-менеджмента. Роль риск-менеджера
  • Методы управления рисками
  • Комплексная программа управления рисками (Часть 1)
  • Системный подход к процессу управления рисками
  • Количественный анализ рисков
  • Качественный анализ рисков
  • Настольный справочник аналитика
  • Настольный справочник аналитика. Глава 2. Планирование и Мониторинг бизнес анализа
  • Часть 2. Таинство изобретения и его плоды. Раздел 2.4
  • Идентификация рисков
  • Деятельность по управлению рисками
  • Немного о процессах анализа и управления рисками
  • Глава 1. Часть 2 Введение в дисциплину бизнес – анализа (BABOK)
  • Глава 1. Часть 1 Введение в дисциплину бизнес – анализа (BABOK)
  • Раздел 2.3 Технологии изобретательства (продолжение, серия статей о ТРИЗ)
  • Часть 2. Таинство изобретения и его плоды (Серия статей о ТРИЗ)
  • О важности применения шаблонов в профессии аналитика
  • Системы Электронного Документооборота
  • Часть 1. О методе обучения и самообучения ТРИЗ
  • Алгоритмизация творчества
  • Настольный справочник аналитика
  • Пути развития ИС
  • «Коробочка» Пандоры
  • Cамомотивация и закрытие рабочих/проектных этапов
  • Внедрение ИС
  • Внедрение ИС
  • Cорсинг