Business-insider.ru

Про деньги в эпоху кризиса
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

При помощи методов анализа рисков

Discovered

О финансах и не только…

Методы анализа рисков

Основные методы анализа рисков

В практике риск-менеджмента наибольшую популярность получили следующие методы анализа рисков:

  • статистический;
  • оценки целесообразности затрат;
  • экспертных оценок;
  • аналитический;
  • метод использования аналогов;
  • оценки финансовой устойчивости и платёжеспособности;
  • анализ последствий накопления риска;
  • комбинированный метод.

Рассмотрим более детально основные методы анализа рисков и их особенности.

Статистический метод анализа рисков

Статистический метод анализа рисков применяется в случае, когда компания обладает достаточным количеством аналитической и статистической информации относительно объекта анализа. Сущность этого метода заключается в том, что для расчёта вероятности возникновения убытков анализируются все исторические данные относительно результативности проведения анализируемых операций компанией в прошлом.

Преимуществом статистического метод анализа рисков является то, что он позволяет осуществлять анализ и оценку различных вариантов развития событий и учитывать различные факторы риска в пределах одного подхода. Недостатком же данного метода является необходимость применения вероятностных характеристик.

На практике используется следующие статистические методы анализа рисков:

  • оценка вероятности исполнения;
  • анализ вероятного распределения потока платежей;
  • деревья решений;
  • имитационное моделирование рисков.

Метод оценки вероятности исполнения позволяет дать упрощённую статистическую оценку вероятности исполнения какого-либо решения путём расчёта доли выполненных и невыполненных решений в общей сумме принятых решений.

Метод анализа вероятностных распределений потоков платежей позволяет при известном распределении вероятностей для каждого элемента потока платежей оценить возможные отклонения стоимостей потоков платежей от ожидаемых. Поток с наименьшей вариацией считается менее рискованным.

Деревья решений обычно применяются для анализа рисков событий, имеющих обозримое или разумное число вариантов развития. Они особо полезны в ситуациях, когда решения, принимаемые в тот или иной момент времени, зависят от решений, принятых ранее.

Имитационное моделирование — один из мощнейших методов анализа экономической системы. Под ним понимается процесс проведения на ЭВМ экспериментов с математическими моделями сложных систем реального мира. Имитационное моделирование используется в тех случаях, когда проведение реальных экспериментов, например, с экономическими системами, неразумно, требует значительных затрат и/или не осуществимо на практике. Сбор необходимой информации для принятия решений зачастую требует значительных затрат. В подобных случаях отсутствующие фактические данные заменяются величинами, полученными в процессе имитационного эксперимента.

Метод анализа целесообразности затрат

Сущность метода анализа целесообразности затрат заключается в том, что в процессе деятельности компании затраты каждого направления, а также затраты отдельных элементов имеют разный уровень риска. Определение уровня риска путём анализа целесообразности затрат ориентировано на идентификацию потенциальных зон риска. Это, в свою очередь, предоставляет возможность выявить «узкие» места с точки зрения рисков, а потом разработать пути их ликвидации.

Метод целесообразности затрат позволяет определить критический объём производства или продаж, т.е. нижний предельный размер выпуска продукции, при котором прибыль равна нулю. Производство продукции в объёмах меньше критического приносит только убытки. Критический объём производства необходимо оценивать при освоении новой продукции и при сокращении выпуска продукции, вызванного падением спроса, сокращением поставок материалов и комплектующих изделий, ужесточением экологических требований и другими причинами.

Превышение затрат может быть обусловлено одним из четырёх основных факторов или их комбинацией:

  1. первоначальной недооценкой стоимости;
  2. изменением границ проектирования;
  3. разницей в продуктивности;
  4. увеличением первоначальной стоимости.

Эти основные факторы могут быть детализированы. На основе типового перечня можно составить детальный контрольный перечень для конкретного проекта или его элементов.

Некоторые исследователи выделяют три показателя финансовой устойчивости фирмы с целью определения уровня риска финансовых средств:

  1. избыток или недостаток собственных средств;
  2. избыток или недостаток собственных, средне- и долгосрочных заёмных источников формирования запасов и затрат;
  3. избыток или недостаток общей величины основных источников для формирования запасов и затрат.

Метод экспертных оценок

Метод определения уровня риска путём экспертных оценок имеет более субъективный характер (сравнительно с другими методами). Эта субъективность является следствием того, что группа экспертов, осуществляющая анализ риска, высказывает собственные субъективные суждения как о минувшей ситуации (свершившемся событии), так и о перспективах её развития.

Чаще всего метод экспертных оценок применяется при недостаточном объёме информации или при определении уровня риска по таким направлениям деятельности, которые не имеют аналогов.

В обобщённом виде сущность данного метода заключается в том, что компания выделяет определённую группу рисков и рассматривает, как они способны повлиять на её деятельность. Это рассмотрение сводится к выставлению бальных оценок относительно вероятности возникновения того или иного вида риска, а также степени его воздействия на деятельность компании.

Аналитический метод анализа рисков

Аналитический метод построения кривой риска наиболее сложен, поскольку лежащие в его основе элементы теории игр доступны только очень узким специалистам. Чаще всего используется подвид аналитического метода — анализ чувствительности модели.

Аналитический метод анализа рисков осуществляется в несколько этапов.

На первом этапе осуществляется подготовка к аналитической обработке информации, которая содержит:

  • определение ключевого параметра, относительно которого и производится оценка чувствительности (внутренняя норма доходности, чистый приведенный доход и т.п.);
  • выбор факторов, которые влияют на деятельность организации и, соответственно, на ключевой параметр (уровень инфляции, состояние экономики и др.);
  • расчёт значений ключевого параметра на разных этапах осуществления проекта (закупка сырья, производство, реализация, транспортировка, капитальное строительство и т.п.);
  • сформированные таким образом последовательности затрат и поступлений финансовых ресурсов дают возможность определить не только общую экономическую эффективность исследуемого направления деятельности, но и определить её значения на каждой стадии.

На втором этапе строятся диаграммы, отражающие зависимость выбранных результирующих показателей от величины исходных параметров. Сопоставляя между собой полученные диаграммы, можно определить так называемые ключевые показатели , которые оказывают наиболее влияние на оценку доходности проекта.

На третьем этапе определяются критические значения ключевых параметров. Наиболее простым способом при этом является расчёт критической точки или точки безубыточности, отражающей минимально допустимый объём производства продукции или предоставления услуг для покрытия затрат.

На четвёртом этапе, на основании полученных ранее критических значений ключевых параметров и факторов, осуществляется анализ того, оказывают ли на них влияние возможные пути повышения эффективности и стабильности работы организации, т.е. существуют ли пути снижения рисков.

Анализ чувствительности модели. Анализ чувствительности модели состоит из следующих этапов:

  • выбор основного ключевого показателя, то есть параметра, по которому и производится оценка чувствительности. Такими показателями могут служить: внутренняя норма доходности, или чистый приведенный доход;
  • выбор факторов (уровень инфляции, степень состояния экономики и т.д.);
  • расчет значений ключевого показателя на различных этапах осуществления проекта: поиск, проектирование, строительство, монтаж и наладка оборудования, процесс возврата вложенных средств.

Сформированная таким образом последовательность расходов и поступлений даёт возможность определить финансовые потоки для каждого момента времени, то есть определить показатели эффективности.

Сначала строятся диаграммы, отражающие зависимость избранных результирующих показателей от величины исходных параметров. Сопоставляя между собой полученные диаграммы, можно определить ключевые показатели, которые больше всего влияют на оценку проекта.

Затем определяются критические (для проекта) значения ключевых параметров. Проще всего может быть рассчитана «точка безубыточности», отражающая минимально допустимый объём услуг, при котором проект не приносит прибыли, но и не оказывается убыточным.

Если проект финансируется за счёт кредитов, то критическим значением будет и минимальная величина ставки, по которой по проекту не получится погасить задолженность. В дальнейшем может быть получен вариант допустимых значений, в пределах которого проект оказывается эффективным (по доходности) с финансовой и экономической точек зрения.

Анализ чувствительности позволяет специалистам из проектного анализа учитывать риск и неопределённость. Если проект окажется чувствительным к изменению объёма производства продукции проекта, то стоит уделить больше внимания программе обучения персонала и менеджмента, а также другим мерам для повышения производительности.

Вместе с тем анализ чувствительности имеет два серьёзных недостатка:

  1. он не является всеобъемлющим, потому что не рассчитан для учёта всех возможных обстоятельств;
  2. он не уточняет вероятность осуществления альтернативных проектов.

Метод использования аналогов

При анализе риска нового проекта очень полезными могут оказаться данные о последствиях влияния неблагоприятных факторов риска на другие проекты.

Суть метода использования аналогов заключается в том, что при анализе степени риска определённого направления деятельности субъекта целесообразно использовать данные о развитии таких же аналогичных направлений в прошлом.

Анализ прошлых факторов риска осуществляется на основании информации, полученной из различных источников. Полученные таким образом данные обрабатываются с целью выявления зависимостей между планируемыми результатами деятельности и учётом потенциальных рисков.

Целесообразность использования этого метода заключается в том, что если необходимо выявить степень риска с любого инновационного направления деятельности компании, когда отсутствует строгая база для сравнения, лучше знать прошлый опыт, даже если он не соответствует современным условиям.

При использовании метода аналогий следует соблюдать определённую осторожность. Даже в надлежащих случаях неудачного завершения проектов очень трудно создать предпосылки для будущего анализа, т.е. подготовить исчерпывающий и реалистичный набор возможных сценариев срывов проектов. Дело в том, что для большинства негативных последствий характерны определённые особенности.

Читать еще:  Систематические риски это

«Анализ и оценка рисков»

Лекция № 4. «Анализ и оценка рисков»

1. Понятие анализа и оценки рисков. Методы анализа рисков

2. Качественный и количественный анализ рисков

3. Оценка риска на основе целесообразности затрат

4. Вероятностный и экспертный анализ рисков

Вопрос 1. Понятие анализа и оценки рисков. Методы анализа рисков

Анализ рисков — процедуры выявления факторов рисков и оценки их значимости, по сути, анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение целей проекта. Анализ рисков включает оценку рисков и методы снижения рисков или уменьшения связанных с ним неблагоприятных последствий.

Оценка рисков — это определение количественным или качественным способом величины (степени) рисков.

При анализе рисков необходимо использовать некоторые допущения:

· Потери от риска независимы друг от друга.

· Потеря по одному направлению деятельности не обязательно увеличивает вероятность потери по другому (за исключением форс-мажорных обстоятельств).

· Максимально возможный ущерб не должен превышать финансовых возможностей участника.

Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида:

Качественный анализ имеет целью определить (идентифицировать) факторы, области и виды рисков. Количественный анализ рисков должен дать возможность численно определить размеры отдельных рисков и риска предприятия в целом.

В настоящее время наиболее эффективным является комплексный подход к анализу рисков. С одной стороны, такой подход позволяет получать более полное представление о возможных результатах реализации проекта, т. е. обо всех позитивных и негативных неожиданностях, ожидающих инвестора, а с другой стороны, делает возможным широкое применение математических методов (в особенности вероятностно-статистических) для анализа рисков.

Можно классифицировать существующие методы анализа риска и связанные с ними модели по следующим направлениям:

I. в зависимости от привлечения вероятностных распределений:

· методы без учета распределений вероятностей;

· методы с учетом распределений вероятностей.

II. в зависимости от учета вероятности реализации каждого отдельного значения переменной и проведения всего процесса анализа с учетом распределения вероятностей:

III. в зависимости от способов нахождения результирующих показателей по построению модели:

Вопрос 2. Качественный и количественный анализ рисков

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту, также определяются и описываются причины и факторы, влияющий на уровень данного вида риска. Кроме того, необходимо описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить мероприятия по минимизации или компенсации этих последствий, рассчитав стоимостную оценку этих мероприятий.

Рассмотрение каждого вида инвестиционного риска можно производить с трех позиций:

1.с точки зрения истоков, причин возникновения данного типа риска;

2.обсуждения гипотетических негативных последствий, вызванных возможной реализацией данного риска;

3.обсуждения конкретных мероприятий, позволяющих минимизировать рассматриваемый риск.

Основными результатами качественного анализа рисков являются:

-выявление конкретных рисков инвестиционного проекта и порождающих их причин,

-анализ и стоимостной эквивалент гипотетических последствий возможной реализации отмеченных рисков,

-предложение мероприятий по минимизации ущерба и их стоимостная оценка.

Этапы качественного анализа рисков:

1.идентификация (определение) возможных рисков;

2.описание возможных последствий (ущерба) реализации обнаруженных рисков и их стоимостная оценка;

3.описание возможных мероприятий, направленных на уменьшение негативного влияния выявленных рисков, с указанием их стоимости;

4.исследования на качественном уровне возможности управления рисками инвестиционного проекта:

— уклонение от рисков;

Качественный анализ инвестиционных рисков проводится на стадии разработки бизнес-плана, а обязательная комплексная экспертиза инвестиционного проекта позволяет подготовить обширную информацию для начала работы по анализу рисков.

Методы экспертных оценки включают комплекс логических и математико-статистических методов и процедур, связанных с деятельностью эксперта по переработке необходимой для анализа и принятия решений информации. Центральной «фигурой» экспертной процедуры является сам эксперт — это специалист, использующий свои способности (знания, умение, опыт, интуицию и т. п.) для нахождения наиболее эффективного решения.

Эксперты, привлекаемые для оценки рисков, должны:

· иметь доступ ко всей имеющейся в распоряжении разработчика информации о проекте;

· обладать достаточным уровнем креативности мышления и необходимыми знаниями в соответствующей предметной области;

· быть свободным от личных предпочтений в отношении проекта (не лоббировать его).

Можно выделить следующие основные методы экспертных оценок, применяемые для анализа рисков:

· Роза и спираль рисков

· Оценка риска стадии проекта

Количественный анализ рисков инвестиционного проекта предполагает численное определение величин отдельных рисков и риска проекта в целом. Количественный анализ базируется на теории вероятностей, математической статистике, теории исследований операций.

Для осуществления количественного анализа проектных рисков необходимы два условия:

-наличие проведенного базисного расчета проекта;

-проведение полноценного качественного анализа.

Наиболее часто на практике применяются следующие методы количественного анализа рисков инвестиционных проектов:

· метод корректировки нормы дисконта;

· анализ чувствительности показателей эффективности (чистый дисконтированный доход, внутренняя норма доходности, индекса рентабельности и др.)

· имитационное моделирование — метод Монте-Карло.

Вопрос 3. Оценка риска на основе целесообразности затрат

Областью риска называется зона общих потерь рынка, в границах которой потери не превышают предельного значения установленного уровня риска.

Выделяют пять основных областей риска деятельности любого предприятия в условиях рыночной экономики:

-область минимального риска;

-область повышенного риска;

-область критического риска;

-область недопустимого риска.

Область недопустимого риска

Область критического риска

Область повышенного риска

Область минимального риска

В границах область критического риска возможны потери, величина которых превышает размеры расчетной прибыли, но не превышает общей величины валовой прибыли. Коэффициент риска в этой области находится в пределах 50-75%. Такой риск нежелателен, поскольку фирма подвергается опасности потерять всю свою выручку от данной операции.

В границах области недопустимого риска возможны потери, близкие к размеру собственных средств, то есть наступление полного банкротства предприятия. Коэффициент риска в этой области находится в пределах 75-100%.

Вопрос 4. Вероятностный и экспертный анализ рисков

Вероятностные методы анализа рисков основываются на знании количественных характеристик рисков, сопровождающих реализацию аналогичных проектов, и учете специфики отрасли, политической и экономической ситуации.

Риск, связанный с проектом, характеризуется тремя факторами:

· событие, связанное с риском;

· сумма, подвергаемая риску.

Чтобы количественно оценить риски, необходимо знать все возможные последствия принимаемого решения и вероятность последствий этого решения. Выделяют два метода определения вероятности:

1. Объективный метод определения вероятности основан на вычислении частоты, с которой происходят некоторые события. Частота при этом рассчитывается па основе фактических данных.

Так, например, частота возникновения некоторого уровня потерь А в процессе реализации инвестиционного проекта может быть рассчитаны по формуле:

где f — частота возникновения некоторого уровня потерь;

n(A) — число случаев наступления этого уровня потерь;

n — общее число случаев в статистической выборке, включающее как успешно осуществленные, так и неудавшиеся инвестиционные проекты.

2. Субъективная вероятность является предположением относительно определенного результата, основывающемся на суждении или личном опыте оценивающего, а не на частоте, с которой подобный результат был получен в аналогичных условиях.

Важными понятиями, применяющимися в вероятностном анализе рисков являются понятия альтернативы, состояния среды, исхода.

Альтернатива — это последовательность действий, направленных на решение некоторой проблемы. Примеры альтернатив: приобретать или не приобретать новое оборудование, решение о том, какой из двух станков, различающихся по характеристикам, следует приобрести; следует ли внедрять в производство новое изделие и т. д.

Состояние среды — ситуация, на которую лицо, принимающее решение (в нашем случае — инвестор), не может оказывать влияние (например, благоприятный или неблагоприятный рынок, климатические условия и т. д.).

Исходы (возможные события) возникают в случае, когда альтернатива реализуется в определенном состоянии среды. Это некая количественная оценка, показывающая последствия определенной альтернативы при определенном состоянии среды (например, величина прибыли, величина урожая и т. д.).

Экспертный анализ рисков применяют на начальных этапах работы с проектом в случае, если объем исходной информации является недостаточным для количественной оценки эффективности (погрешность результатов превышает 30%) и рисков проекта.

Достоинствами экспертного анализа рисков являются: отсутствие необходимости в точных исходных данных и дорогостоящих программных средствах, возможность проводить оценку до расчета эффективности проекта, а также простота расчетов.

К основным недостаткам данного метода следует отнести: трудность в привлечении независимых экспертов и субъективность оценок.

Эксперты, привлекаемые для оценки рисков, должны:

· иметь доступ ко всей имеющейся в распоряжении разработчика информации о проекте;

· иметь достаточный уровень креативности мышления;

· обладать необходимым уровнем знаний в соответствующей предметной области;

· быть свободными от личных предпочтений в отношении проекта;

· иметь возможность оценивать любое число идентифицированных рисков.

Алгоритм экспертного анализа рисков имеет следующую последовательность:

· по каждому виду рисков определяется предельный уровень, приемлемый для организации, реализующей данный проект. Предельный уровень рисков определяется по сто балльной шкале;

· устанавливается, при необходимости, дифференцированная оценка уровня компетентности экспертов, являющаяся конфиденциальной. Оценка выставляется по десятибалльной шкале;

· риски оцениваются экспертами с точки зрения вероятности наступления рискового события (в долях единицы) и опасности данных рисков для успешного завершения проекта (по сто балльной шкале);

Читать еще:  Принципы системы управления рисками

· оценки, проставленные экспертами по каждому виду рисков, сводятся разработчиком проекта в таблицы. В них определяется интегральный уровень по каждому виду рисков;

· сравниваются интегральный уровень рисков, полученный в результате экспертного опроса, и предельный уровень для данного вида риска и выносится решение о приемлемости данного вида риска для разработчика проекта;

· в случае, если принятый предельный уровень одного или нескольких видов рисков ниже полученных интегральных значений, разрабатывается комплекс мероприятий, направленных на снижение влияния выявленных рисков на успех реализации проекта, и осуществляется повторный анализ рисков.

Качественные методы анализа риска

Обьектом анализа опасностей как источника техногенного риска является система «человек-машина-окружающая среда (ЧМС)», в которой в единый комплекс объединены технические объекты, люди и окружающая среда, взаимодействующие друг с другом.

Анализ опасностей и риска позволяет определить источники опасностей, потенциальные аварии и катастрофы, последовательности развития событий, вероятности аварий, величину риска, величину последствий, пути предотвращения аварий и смягчения последствий.

Методы определения потенциального риска можно разделить на:

— инженерные методы с использованием статистики, когда производится расчет частот,

проводится вероятностный анализ безопасности и построение деревьев опасности.

— модельные методы: основаны на построении моделей воздействия опасных и вредных

факторов на отдельного человека, на профессиональные и социальные группы населения.

— экспертные методы: включают определение вероятностей различных событий на основе опроса опытных специалистов–экспертов.

— социологические методы, которые основаны на опросе населения.

Для отражения различных аспектов опасности эти методы применяются в комплексе.

Анализ риска описывает опасности качественно и количественно и заканчивается планированием предупредительных мероприятий. Он базируется на знании алгебры логики и событий, теории вероятностей, статистическом анализе, требует инженерных знаний и системного подхода.

Качественные методы анализа риска позволяют определить источники опасностей, потенциальные аварии и несчастные случаи, последовательности развития событий, пути предотвращения аварий (несчастных случаев) и смягчения последствий.

Анализ риска начинают с предварительного исследования, позволяющего идентифицировать источники опасности. Затем проводят детальный качественный анализ.

Выбор качественного метода анализа риска зависит от цели анализа, назначения объекта и его сложности. Качественные методы анализа опасностей включают:

— предварительный анализ опасностей;

— анализ последствий отказов;

— анализ опасностей методом потенциальных отклонений;

— анализ ошибок персонала;

— анализ опасностей с помощью «дерева причин»;

— анализ опасностей с помощью «дерева последствий».

Предварительный анализ опасностей (ПАО), заключающийся в выявлении источника

опасностей, определении системы или событий, которые могут вызывать опасные состояния,

характеристике опасностей в соответствии с вызываемыми ими последствиями.

Предварительный анализ опасностей осуществляют в следующем порядке:

— изучают технические характеристики объекта, системы, процесса, используемые

энергетические источники, рабочие среды, материалы и устанавливают их повреждающие

— устанавливают нормативно-техническую документацию, действие которой распространяется на данный технический объект, систему, процесс;

— проверяют существующую техническую документацию на ее соответствие нормам и

— составляют перечень опасностей, в котором указывают идентифицированные источники опасностей, повреждающие факторы, потенциальные аварии, выявленные недостатки.

В целом ПАО представляет собой первую попытку выявить оборудование технической

системы (в ее начальном варианте) и отдельные события, которые могут привести к возникновению опасностей. Этот анализ выполняется на начальном этапе разработки системы. Детальный анализ возможных событий обычно проводится с помощью дерева отказов, после того как система полностью определена.

Анализ последствий отказов (АПО) – качественный метод идентификации опасностей, основанный на системном подходе и имеющий характер прогноза. АПО является анализом индуктивного типа, с помощью которого систематически, на основе последовательного рассмотрения одного элемента за другим, анализируются все возможные виды отказов или аварийные ситуации и выявляются их результирующие воздействия на систему.

Отдельные аварийные ситуации и виды отказов элементов позволяют, определить их

воздействие на другие близлежащие элементы и систему в целом. АПО осуществляют в следующем порядке:

— техническую систему (объект) подразделяют на компоненты;

— для каждого компонента выявляют возможные отказы;

— изучают потенциальные аварии, которые могут вызвать отказы на исследуемом объекте;

— отказы ранжируют по опасностям и разрабатывают предупредительные меры.

Результаты анализа последствий отказа представляются в виде таблиц с перечнем оборудования, видов и причин возможных отказов, с частотой, последствиями, критичностью, средствами обнаружения неисправности (сигнализаторы, приборы контроля и т.п.) и рекомендациями по уменьшению опасности.

В качестве примера в табл. 1 приведены показатели (индексы) уровня и критерии

критичности по вероятности и тяжести последствий отказа. Для анализа выделены четыре

группы, которым может быть нанесен ущерб от отказа: персонал, население, имущество

(оборудование, сооружения, здания, продукция и т.п.), окружающая среда.

Матрица «вероятность — тяжесть последствий»

ОтказЧастота воз-Тяжесть последствий отказа
никновения отказа в годкатастрофи­ческогокритичес­когонекритиче­скогос пренебрежимо малыми по-следст­виями
Частный>1АААС
Вероятный-10 -2ААВС
Возможный10 -2 -10 -4АВВС
Редкий10 -4 -10 -6АВСD
Практически невероятный-6ВССD

В табл. 1 применены следующие варианты критериев:

а) критерии отказов по тяжести последствий:

— катастрофический отказ — приводит к смерти людей, существенному ущербу имуществу, наносит невосполнимый ущерб окружающей среде;

— критический (некритический) отказ — угрожает (не угрожает) жизни людей, приводит (не приводит) к существенному ущербу имуществу, окружающей среде;

— отказ с пренебрежимо малыми последствиями — отказ, не относящийся по своим

последствиям ни к одной из первых трех категорий;

б) категории (критичность) отказов:

A — обязателен количественный анализ риска или требуются особые меры обеспечения

В — желателен количественный анализ риска или требуется принятие определенных

С — рекомендуется проведение качественного анализа опасностей или принятие некоторых мер безопасности;

D — анализ и принятие специальных (дополнительных) мер безопасности не требуются.

Этим методом можно оценить опасный потенциал любого технического объекта. По

результатам анализов отказов могут быть собраны данные о частоте отказов, необходимые

для количественной оценки уровня опасности рассматриваемого объекта.

Анализ опасностей методом потенциальных отклонений (АОМПО) включает процедуру искусственного создания отклонений с помощью ключевых слов. Для этого разбивают технологический процесс или техническую систему на составные части и, создавая с помощью ключевых слов отклонения, систематично изучают их потенциальные причины и те последствия, к которым они могут привести на практике.

В процессе анализа для каждой составляющей опасного производственного объекта или технологического блока определяются возможные отклонения, причины и указания по их недопущению. При характеристике отклонения используются ключевые слова «нет», «больше», «меньше», «так же, как», «другой», «иначе, чем», «обратный» и т.п. Применение ключевых слов помогает исполнителям выявить все возможные отклонения. Конкретное сочетание этих слов с технологическими параметрами определяется спецификой производства.

Примерное содержание ключевых слов следующее:

«нет» — отсутствие прямой подачи вещества, когда _ѕnm_она должна быть;

«больше (меньше)» — увеличение (уменьшение) значений режимных переменных по сравнению с заданными параметрами (температуры, давления, расхода);

«так же, как» — появление дополнительных компонентов (воздух, вода, примеси);

«другой» — состояние, отличающиеся от обычной работы (пуск, остановка, повышение производительности и т.д.);

«иначе, чем» — полное изменение процесса, непредвиденное событие, разрушение, разгерметизация оборудования;

«обратный» — логическая противоположность замыслу, появление обратного потока вещества.

Отклонения, имеющие повышенные значения критичности, далее рассматриваются более детально, в том числе при построении сценариев аварийных ситуаций и количественной оценки риска.

Степень опасности отклонений может быть определена количественно путем оценки вероятности и тяжести последствий рассматриваемой ситуации по критериям критичности аналогично методу АПО (см. табл. 1).

Анализ ошибок персонала (АОП) является одним из важнейших элементов методологии оценки опасностей с учетом человеческого фактора, позволяющий охарактеризовать как ошибки, инициирующие или усугубляющие аварийную ситуацию, так и способность персонала совершить корректирующие действия по управлению аварией.

АОП включает следующие этапы:

— выбор системы и вида работы;

— идентификацию вида потенциальной ошибки;

— идентификацию возможности исправления ошибки;

— идентификацию причины ошибки;

— выбор метода предотвращения ошибки;

— оценку вероятности ошибки;

— оценку вероятности исправления ошибки;

— выбор путей снижения риска.

Причинно-следственный анализ (ПСА) выявляет причины происшедшей аварии или катастрофы и является составной частью общего анализа опасностей. Он завершается прогнозом новых аварий и составлением плана мероприятий по их предупреждению. ПСА включает следующие этапы:

— сбор информации о точном и объективном описании аварии;

— составление перечня реальных событий, предшествовавших аварии;

— построение ориентированного графа – «дерева причин», начиная с последней стадии

развития событий, т.е. с самой аварии;

— выявляют логические связи «дерева причин»;

— формулирование предупредительных мер с целью исключения повторения аварии

данного типа или для избежания аналогичных аварий.

Читать еще:  Последствия рисков предприятия

Анализ опасностей с помощью «дерева причин» потенциальной аварии (АОДП) или идентичного ему «дерева отказов» позволяет выявить комбинации отказов (неполадок) оборудования, ошибок персонала и внешних (техногенных, природных) воздействий, приводящих к основному событию, т.е. аварийной ситуации.

Метод используется для анализа возникновения аварийной ситуации и расчета ее вероятности (на основе задания вероятностей исходных событий).

Анализ опасных ситуаций с помощью «дерева» выполняют в следующем порядке:

— выбирают потенциальную аварию или отказ, который может привести к аварии;

— выявляют все факторы, которые могут привести к заданной аварии, включая все потенциальные инциденты;

— по результатам этого анализа строят ориентированный граф-«дерево», вершина (корень) которого занумерована потенциальной аварией.

Проведение анализа возможно только после детального изучения рабочих функций всех компонентов рассматриваемой технической системы. На работу системы оказывает влияние человеческий фактор, например, возможность совершения оператором ошибки. Поэтому желательно все потенциальные инциденты — «отказы операторов» вводить в содержание «дерева отказов».

Качественный анализ дерева отказов заключается в определении аварийных сочетаний.

Аварийное сочетание — это определенный набор исходных событий. Если все эти исходные события случаются, существует гарантия, что конечное событие происходит. Большие системы имеют значительное число видов отказов. Чтобы упростить анализ, следует рассматривать только те виды отказов, которые являются основными. Поэтому вводится понятие минимального аварийного сочетания.

Минимальное аварийное сочетание — это такое сочетание, в котором при удалении любого исходного события оставшиеся события вместе больше не являются аварийным сочетанием. Аварийное сочетание, включающее другие сочетания, не является минимальным аварийным сочетанием.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Да какие ж вы математики, если запаролиться нормально не можете. 8841 — | 7652 — или читать все.

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×