Методы оценок риска разработанные западными компаниями

!! Полезно – Сборник статей по целевому управлению. Скачать >

Во вступительной части нашего обзора, в котором мы будем анализировать методы управления рисками, предлагаем начать с красноречивого примера. Когда Тони Хейворд стал генеральным директором “BP” (название до мая 2001 года — “British Petroleum”) в 2007 году, он поклялся сделать безопасность своим главным приоритетом. Среди новых правил, которые он установил, были требования, чтобы все сотрудники использовали крышки на кофейных чашках при ходьбе и воздерживались от текстовых сообщений во время вождения. Три года спустя, под наблюдением Тони Хейворда нефтяная вышка Deepwater Horizon взорвалась в Мексиканском заливе, вызвав одну из самых страшных техногенных катастроф в истории. Комиссия по расследованию (США) приписала это бедствие управленческим ошибкам, которые нанесли урон “способности вовлечённых лиц идентифицировать риски, с которыми они столкнулись, и правильно оценить, сообщить и устранить их”. Именно об идентификации, оценке, предупреждении и устранении рисков мы и будем говорить.

Какие риски существуют в жизни предприятия?

Согласно глобальному исследованию по управлению рисками “Aon”, основанного на проводимом два раза в год опросе с почти 2000 ответов, принадлежащими государственным и частным компаниям всех размеров и широкому кругу отраслей, основными десятью рисками, которые угрожают предприятию стали:

1. ущерб репутации/бренду;
2. экономическое замедление/медленное восстановление;
3. увеличение конкуренции;
4. нормативные/законодательные изменения;
5. киберпреступность/взлом/вирус/вредоносные коды;
6. отсутствие новшеств/неудовлетворение потребности клиентов;
7. неспособность привлечь или сохранить лучших специалистов;
8. прерывание бизнеса;
9. политический риск/неопределённость;
10. гражданская ответственность.

Итак, начало положено. Риски идентифицированы. Но, прежде чем продолжить, необходимо раскрыть суть самого риск-менеджмента. И начнём с истории, потому что “Народ, не знающий своего прошлого, не имеет будущего” (М. Ломоносов).

“Истинная разделительная линия между тем, что мы должны назвать древними временами и современностью, заключается в овладении риском”.

Какова история управления рисками? В одной очень интересной книге на эту тему “Против богов: замечательная история риска” утверждается, что истинная разделительная линия между тем, что мы должны назвать древними временами и современностью, заключается в овладении риском. В этой книге Питер Л. Бернстайн утверждает, что когда люди начали понимать, как предсказывать риски и управлять ими, они также начинали понимать, что будущее будет содержать не только случайные события, порождённые волей богов или капризами природы.

Некоторые историки считают, что самая ранняя концепция управления рисками возникла из-за игр. За тысячи лет до того как пользователи интернета могли играть в онлайн-покер, люди в разных древних цивилизациях играли в настольные игры и кости, которые превратились в шахматы и шашки более двух тысяч лет назад.

Исторические свидетельства того, что игры породили теорию вероятностей, важную для управления рисками, получены из работ Данте и Галилея. Знаменитые математики, Паскаль и Ферма, писали друг другу об азартных играх в 1600-х годах, и эта переписка, как полагают, дала начало современной теории вероятностей, используемой сегодня.

Если рассмотреть роль страхования в управлении рисками, то его истоки можно проследить до древних времён. Например, общества взаимопомощи и захоронения были задокументированы ещё в первые дни древнего Рима. Они считаются предшественниками современных страховых компаний.

Заканчивая краткий экскурс в историю, делаем вывод: в любой момент истории, когда люди управляли бизнесом, армиями или целыми странами, наверняка были люди, нанятые для управления рисками с помощью инструментов, которыми они обладали в то время.

Как и любая дисциплина, риск-менеджмент требует описания процессов и систематизации. Первым шагом в создании эффективной системы управления рисками является понимание качественных различий между типами рисков, с которыми сталкиваются организации. Исследования показывают, что риски попадают в одну из трёх категорий. События риска из любой категории могут быть фатальными для стратегии компании и даже для её выживания.

!! Полезно – Сборник статей по целевому управлению. Скачать >

Предотвратимые риски

Это внутренние риски, возникающие внутри организации, которые поддаются контролю и должны быть устранены или исключены. Примерами являются риски, связанные с несанкционированными, незаконными, неэтичными, неправильными или неуместными действиями сотрудников и менеджеров, а также риски сбоев в обычных рабочих процессах. Безусловно, у компаний должна быть зона терпимости к дефектам или ошибкам, которые не причинят серьёзного ущерба предприятию и для которых достижение полного избегания будет слишком дорогостоящим. Но в целом компании должны стремиться устранить эти риски, поскольку они не получают стратегических выгод от их принятия. Сотрудник, подкупающий местного чиновника, может принести компании некоторую краткосрочную прибыль, но со временем такие действия приведут к снижению стоимости компании.

Эта категория рисков лучше всего управляется посредством активной профилактики: мониторинга операционных процессов и направления поведения людей и решений в отношении желаемых норм. Поскольку уже существует достаточное количество литературы по подходу на основе правил, мы отсылаем заинтересованных читателей к боковой панели “Менеджмент управления персоналом” вместо развёрнутого обсуждения лучших практик в данном обзоре.

Стратегические риски

Компания добровольно принимает на себя некоторые риски, чтобы увеличить доход от своей стратегии. Банк принимает на себя кредитный риск, например, когда он одалживает деньги; многие компании берут на себя риски благодаря своим исследованиям и разработкам.

Стратегические риски сильно отличаются от предотвратимых рисков, потому что они не являются нежелательными по своей природе. Стратегия с высокими ожидаемыми доходами обычно требует от компании принятия на себя значительных рисков, и управление этими рисками является ключевым фактором для получения потенциальной выгоды. “BP” согласилась с высоким риском бурения на несколько миль ниже поверхности Мексиканского залива из-за высокой стоимости нефти и газа, которые она надеялась добывать.

Стратегическими рисками нельзя управлять с помощью модели управления на основе правил. Вместо этого вам нужна система управления рисками, предназначенная для уменьшения вероятности того, что предполагаемые риски действительно материализуются, и для улучшения способности компании управлять или сдерживать события рисков в случае их возникновения. Такая система не помешает компаниям предпринимать рискованные предприятия; напротив, это позволило бы компаниям брать на себя рискованные предприятия с более высокой прибылью, чем конкуренты с менее эффективным управлением рисками.

Внешние риски

Некоторые риски возникают в результате событий вне компании и находятся вне её влияния или контроля. Источники этих рисков включают стихийные и политические бедствия и крупные макроэкономические сдвиги. Внешние риски требуют ещё одного подхода. Поскольку компании не могут предотвратить такие события, их руководство должно сосредоточиться на идентификации (как правило, это очевидно в ретроспективе) и смягчении их воздействия.

Компании должны адаптировать свои процессы управления рисками к этим различным категориям. Хотя подход, основанный на соблюдении нормативных требований, эффективен для управления предотвратимыми рисками, он полностью недостаточен для стратегических рисков или внешних рисков, которые требуют принципиально другого подхода, основанного на открытых и явных обсуждениях рисков. Однако это легче сказать, чем сделать; обширные поведенческие и организационные исследования показали, что люди имеют сильные когнитивные искажения, которые не позволяют им думать о риске и обсуждать его, пока не станет слишком поздно.

Таблица 1.

Вид риска	Описание
Рыночный	Общий риск финансовых потерь, связанных с изменением цен на все продукты, составляющие портфель. Он включает риск изменения процентных ставок, валютный риск, фондовый риск и товарный риск. Процентный риск или процентная ставка является финансовый риском потому, что продукт теряет свою ценность в результате уменьшения или увеличения процентных ставок. Валютный риск — это финансовый риск потери стоимости инвестиций из-за изменения обменных курсов. Фондовый риск — это возможность понести потери капитала между моментом приобретения актива и моментом его перепродажи. Например, клиент покупает пакет акций. Всего 100€ первого января 2019 года и перепродаёт через неделю. Однако 8 января 2019 года цена акций упала до 90€. Между моментом покупки и продажи прошла неделя, и акция потеряла 10€. Клиент потерял 10€. Товарный риск напрямую влияет на компании, занимающиеся производством и переработкой сырья и энергии. Например, производители автомобилей зависят от стоимости сырья. Свинец и алюминий составляют около 25% производственных затрат. Из-за подорожания сырья, компании теряют прибыль, что также выражается в падении цен на акции.
Кредитный	Финансовый риск того, что качество погашения заёмщиком будет снижено, что может привести к падению стоимости долгового обеспечения.
Риск ликвидности	Финансовый риск невозможности перепродать ценные бумаги из-за недостаточного объёма транзакций. Мы говорим о ликвидном рынке, когда объём сделок достаточно высок, чтобы можно было без проблем продавать ценные бумаги. Пример. Человек, которому нужно переехать, хочет быстро продать свою квартиру, чтобы купить другую. Здесь риск ликвидности отражается в невозможности сделать «доступными» деньги, доступные человеку через владение его квартирой. Чтобы быстро реализовать актив, его, безусловно, придётся продавать по цене ниже его реальной стоимости.
Инвестиционный	«Риск» в инвестициях означает колебания доходности (размытие). Небольшие колебания доходности называются «низким риском», а большие колебания называются «высоким риском». Например, при сравнении акций венчурной компании с акциями «Toyota», цена венчурных акций может значительно колебаться (например, в 10 раз за несколько дней) по сравнению с акциями «Toyota». В этом случае венчурные акции более рискованные (по сравнению с акциями «Toyota»).
Операционный	Операционный риск соответствует потенциальным потерям, вызванными ошибками, совершенными человеческими или материальными ресурсами: сбоями программного обеспечения, мошенничеством, ошибками ввода и т. д. Дело, которое наделало много шума во Франции: дело Жерома Кервьеля. Этот трейдер заставил «Societe Generale» потерять 6,3 миллиарда евро в 2007 году. Этот случай рассматривается как мошенничество и является частью операционных рисков.
Юридический	Согласно определению, данному Банком Италии, юридический риск может быть определён как риск наложения судебных или административных санкций, значительных финансовых потерь или ущерба репутации в результате нарушения обязательных норм (закона или регулирования) или саморегулирования (уставы, кодексы поведения).
Налоговый	Внедрение системы управления налоговыми рисками должно не только способствовать управлению и решению, а также уменьшать налоговые риски.
Информационный	Информация, которая обрабатывается правильно, стала важным активом. Чем выше ценность информации, тем более уязвимой становится компания в случае потери данных (например, из-за утечки данных, кибератак или мошенничества).
Маркетинговый	Четыре маркетинговых риска, с которыми сталкиваются компании в современном деловом мире: восприятие и ценность бренда; принадлежность (негативные ассоциации при потере репутации партнёрами); провал рекламной кампании; неадекватная маркетинговая стратегия.

После подробной идентификации и систематизации рисков, перейдём к следующему этапу — оценке риска.

!! Полезно – Сборник статей по целевому управлению. Скачать >

Оценка риска

Оценка риска используется для анализа влияния выявленных рисков на компанию. Вероятность возникновения и возможный размер ущерба используются для оценки. Если количественная оценка не может быть проведена из-за недостатка данных, риски должны оцениваться на основе качественных критериев. Визуализация с помощью портфеля рисков может быть полезна для оценки риска. Анализ и оценка взаимодействия отдельных рисков также играет важную роль. В большинстве случаев незначительные индивидуальные риски в сочетании друг с другом часто представляют значительный экзистенциальный риск и требуют других мер в контексте управления рисками.

Предупреждение и устранение рисков

Контроль рисков помогает найти способы реагирования на выявленные и оценённые риски. Различные меры и стратегии должны помочь сбалансировать возможности и риски. Стратегия риска должна быть адаптирована к общей корпоративной стратегии. Для этого у компаний есть четыре варианта управления:

1. избегание рисков при одновременном отказе от бизнеса;
2. снижение рисков;
3. переход рисков (например, передача в страховую компанию);
4. принятие риска на себя.

Всё управление рисками должно подвергаться мониторингу, который обычно проводится внутренним аудитом. Таким образом можно контролировать и обеспечивать качество и функциональность управления рисками и всеми используемыми инструментами. В то же время должна также иметь место передача информации о рисках, с помощью которой все соответствующие данные могут быть своевременно переданы ответственному лицу. Это повышает осведомлённость о рисках компании.

Инструменты управления рисками:

1. резервирование — управление риском, который не может быть передан;
2. страхование — возможность возмещения материального ущерба от проявления риска;
3. хеджирование — перенос ценовых рисков с одной компании на другую;
4. распределение — распределение риска между участниками сделки;
5. диверсификация — уменьшение совокупной подверженности риску путём распределения вложений и/или обязательств;
6. минимизация — сохранение баланса активов и обязательств с целью свести к минимуму колебания чистой стоимости портфеля.

Посмотрите правде в глаза. Хотя вы уверены, что ваш проект будет успешным, всегда есть вероятность, что что-то пойдёт не так. Управление рисками — это постоянная деятельность, поэтому вы должны продолжать выявлять и регистрировать новые риски по мере их возникновения в течение деятельности компании.

Создание списка рисков — хорошая отправная точка, но этого недостаточно. Вам также нужен план действий для каждого риска, чтобы иметь возможность эффективно управлять ими.

Существует 5 основных способов управления риском: принятие, предотвращение, перенос, смягчение и эксплуатация. Вот подробный взгляд на каждый из них.

Принятие риска

Принятие риска означает, что, хотя вы определили его и зарегистрировали в программном обеспечении для управления рисками, вы не предпринимаете никаких действий. Вы просто принимаете, что это может произойти, и решаете разобраться с этим, если это произойдёт.

Это хорошая стратегия для использования при очень небольших рисках — рисках, которые не окажут большого влияния на ваш проект, если они произойдут, и с ними можно легко справиться, если или когда они возникнут. Создание альтернативной стратегии управления рисками или принятие мер по борьбе с риском может занять много времени, поэтому зачастую лучше использовать свои ресурсы.

Предотвращение риска

Вы также можете полностью изменить свои планы, чтобы избежать риска. Избегайте риска. Это хорошая стратегия для случаев, когда риск имеет потенциально большое влияние на ваш проект. Например, если в январе финансовая команда вашей компании занята ведением корпоративных счетов, провести их в январе через учебный курс для изучения нового процесса не будет хорошей идеей. Есть риск, что счета не будут сделаны, поскольку в январе все они будут слишком заняты, чтобы посещать тренинги или применять новые знания, даже если они действительно посещают семинары. Вместо этого было бы лучше избегать января для обучения полностью. Измените план проекта и запланируйте обучение на февраль, когда основная часть бухгалтерских работ закончится.

Перенос риска

Перенос риска — это стратегия управления рисками, которая используется не очень часто и обычно встречается в проектах, где участвуют несколько сторон. По сути, вы передаёте влияние и управление риском кому-либо ещё. Например, если у вас есть сторонний договор на написание кода вашего программного обеспечения, вы можете перенести на него риск того, что в коде возникнут ошибки. Затем они будут нести ответственность за управление этим риском, возможно, путём дополнительного обучения.

Обычно договорённости о передаче записываются в проектные контракты. Страхование является ещё одним хорошим примером. Если вы перевозите оборудование в рамках вашего проекта, а фургон попал в аварию, страховая компания будет нести ответственность за предоставление нового оборудования для замены того, которое было повреждено. Проектная команда признает, что несчастный случай может произойти, но они не будут нести ответственность, поскольку теперь это является обязанностью страховой компании.

Смягчение риска

Смягчение риска, вероятно, является наиболее распространённой методикой управления рисками, используемой для оценки риска. Это также самый простой для понимания и самый простой в реализации способ. Что означает смягчение, так это то, что вы ограничиваете влияние риска, чтобы в случае его возникновения проблема, которую он создаёт, была меньше и её способы её решения легче.

Например, если вы запускаете новую стиральную машину, а отдел продаж должен продемонстрировать её покупателям, существует риск, что отдел продаж не поймёт продукт и не сможет сделать хорошую презентацию. В результате они будут делать меньше продаж, и будет меньше доходов для компании.

Стратегия смягчения в этой ситуации будет состоять в том, чтобы обеспечить хорошее обучение для отдела продаж. Может всё же быть шанс, что некоторые члены команды или не понимают продукт, или они пропускают тренинг, или они просто не являются экспертами в стиральных машинах и никогда не будут, но влияние риска будет намного меньше, так как большая часть команды сможет эффективно продемонстрировать новый продукт.

Вы можете смягчить воздействие так, как в этом примере, и вы также можете смягчить вероятность его возникновения. Действия будут в целом одинаковыми; иногда вам нужно будет выполнить несколько задач, чтобы уменьшить вероятность возникновения риска, и несколько отдельных задач, чтобы уменьшить влияние риска в случае его возникновения.

Эксплуатация

Принятие, предотвращение, перенос и смягчение рисков прекрасно подходят для случаев, когда риск оказывает негативное влияние на проект. Но что, если риск оказывает положительное влияние?

Например, риск того, что новые стиральные машины будут настолько популярны, что у нас не будет достаточно персонала, чтобы провести демонстрации? Это положительный риск — то, что принесло бы пользу проекту и компании, если бы это произошло. В этих случаях мы хотим максимально увеличить вероятность того, что риск случится, а не остановить его или передать выгоду кому-то другому!

Эксплуатация — это стратегия управления рисками, используемая в таких ситуациях. Ищите способы, как заставить риск случиться, или способы усилить воздействие, если оно произойдёт. Можно обучить дополнительный персонал по продажам, чтобы они также демонстрировали стиральную машину и проводили больше дополнительного маркетинга, чтобы увеличить вероятность того, что у новой машины будет большой спрос, и есть люди, которые при необходимости смогут сделать презентации.

Это 5 стратегий управления рисками, которые вы можете использовать для управления рисками в вашем проекте. Вероятно, вы обнаружите, что используете комбинацию техник, выбираете стратегии, которые наилучшим образом соответствуют рискам вашего проекта и навыкам вашей команды. Однако когда вы приближаетесь к потенциальному риску, убедитесь, что вы записали план действий в свой журнал рисков и ведёте его в соответствии с последними достижениями в управлении рисками.

В управлении проектами нулевого риска не существует. Всегда существует вероятность того, что ваш проект пойдёт не по плану. Поэтому идея состоит в том, чтобы предвидеть и максимально ограничивать риски, которые могут возникнуть, в попытке уменьшить их влияние на бесперебойную работу проекта.

Начиная запуск проекта, вы должны настроить управление рисками: выявить слабые места вашего проекта, подумать о действиях по предотвращению рисков и обдумывать способы их решения/устранения. Подготовившись таким образом, вы избежите дестабилизации при возникновении непредвиденных событий.

Невозможно предвидеть все риски, однако тщательный анализ рисков — это хороший способ гарантировать успех вашего проекта.

!! Полезно – Сборник статей по целевому управлению. Скачать >

Общие методы управления рисками

Уклонение — лучшее средство контроля потерь. Это потому, что, как следует из названия, вы полностью избегаете риска. Если ваши усилия по предотвращению потерь были успешными, то вероятность того, что вы понесёте убыток (от этого конкретного фактора риска) составляет 0%. Вот почему уклонение, как правило, является первым из рассмотренных методов контроля риска. Это средство полного устранения угрозы. Например, инвестор хочет купить акции нефтяной компании, но цены на нефть значительно упали за последние несколько месяцев. Существует политический риск, связанный с добычей нефти, и кредитный риск, связанный с нефтяной компанией. Он оценивает риски, связанные с нефтяной отраслью, и решает избежать участия в компании. Это известно как уклонение от риска.

Предотвращение потерь — это метод, который ограничивает, а не устраняет потери. Вместо того чтобы полностью избегать риска, этот метод принимает риск, но пытается минимизировать потери в результате этого. Например, хранение инвентаря на складе означает, что он подвержен краже. Однако, поскольку на самом деле не существует способа избежать этого, разработана программа предотвращения потерь, чтобы минимизировать потенциальные риски. Эта программа может включать патрулирование территории, установку видеокамер и наличие охраняемых хранилищ.

Снижение потерь — это метод, который не только принимает риск, но и принимает тот факт, что потеря может возникнуть в результате риска. Этот метод стремиться минимизировать потери в случае какого-либо типа угрозы. Например, компании может потребоваться хранить легковоспламеняющиеся материалы на складе. Руководство компании понимает, что это необходимый риск, и решает установить на складе современные разбрызгиватели воды. В случае пожара сумма потерь будет сведена к минимуму.

Разделение — это метод контроля риска, который включает рассеивание ключевых активов. Это гарантирует, что если что-то катастрофическое произойдёт в одном месте, влияние на бизнес будет ограничено активами только в этом месте. С другой стороны, если бы все активы были в этом месте, то бизнес столкнулся бы с гораздо более серьёзной проблемой. Примером этого является случай, когда компания использует географически диверсифицированную рабочую силу.

Дублирование — это метод контроля риска, который по существу включает создание плана резервного копирования. Сбой сервера информационных систем не должен останавливать весь бизнес. Вместо этого резервный или аварийный сервер должен быть легкодоступен в случае сбоя основного сервера. Другой пример дублирования в качестве метода контроля риска — использование компанией службы аварийного восстановления.

Диверсификация — это метод контроля риска, который распределяет бизнес-ресурсы для создания нескольких направлений бизнеса, которые предлагают различные продукты и/или услуги в различных отраслях. При диверсификации существенная потеря дохода от одного направления бизнеса не нанесёт непоправимого ущерба конечному финансовому результату компании.

Заключение

Управление рисками сильно отличается от управления стратегией. Управление рисками фокусируется на негативе — угрозах и неудачах, а не на возможностях и успехах. Это идёт вразрез с культурой “можно сделать”, которую старается поддерживать большинство команд-лидеров при реализации стратегии. И многие лидеры склонны сбрасывать со счетов будущее; они неохотно тратят время и деньги сейчас, чтобы избежать неопределённой проблемы в будущем. Кроме того, снижение риска обычно включает в себя распределение ресурсов и диверсификацию инвестиций, что является противоположностью интенсивной направленности успешной стратегии.

По этим причинам большинству компаний нужен отдельный департамент для управления стратегическими и внешними рисками. Размер департамента риск-менеджмента будет варьироваться от компании к компании, но группа должна отчитываться непосредственно перед топ-командой.

Действительно, поддержание тесных отношений со старшим руководством, возможно, будет самой важной задачей; способность компании противостоять угрозам во многом зависит от того, насколько серьёзно руководители воспринимают свою функцию управления рисками, когда светит солнце, а на горизонте нет облаков.

Это то, что отделяло банки, потерпевшие крах в финансовом кризисе, от тех, которые выжили. Обанкротившиеся компании перевели управление рисками в режим соответствия; их риск-менеджеры имели ограниченный доступ к высшему руководству и своим советам директоров. Кроме того, руководители обычно игнорировали предупреждения риск-менеджеров о высокоэффективных методах управления рисками. В отличие от этого, “Goldman Sachs” и “JPMorgan Chase”, две компании, которые хорошо пережили финансовый кризис, обладали сильными внутренними функциями управления рисками и руководящими группами, которые понимали и управляли многочисленными рисками подверженности компаний. Барри Зуброу, директор по управлению рисками в “JPMorgan Chase”, сказал:

“Возможно, у меня есть звание, но Джейми Даймон [генеральный директор] — главный специалист по управлению рисками компании”. Формализация и стандартизация моделей управления может смягчить некоторые критические риски, но не все из них. Активное и экономически эффективное управление рисками требует, чтобы менеджеры систематически думали о множественных категориях рисков, с которыми они сталкиваются, для того чтобы они могли своевременно применить соответствующие методы управления рисками для каждой из категорий. Методы управления рисками позволяют нейтрализовать шаблонный взгляд: “Видеть мир, не таким, каким нам бы хотелось, чтобы он был, а таким, каков он есть”.

В свою очередь, мы надеемся, что наш обзор поможет вам идентифицировать, оценить, предупредить и устранить все категории рисков, с помощью верно сформулированной стратегии управления, что приведёт к процветанию и стабильности вашей компании.

!! Полезно – Сборник статей по целевому управлению. Скачать >

Источник: материалы сайта bbooster.online

Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на:

• методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
• количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
• методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).

Методика CRAMM

Это одна из первых методик анализа рисков в сфере ИБ — работа над ней была начата в середине 80-х гг. центральным агентством по компьютерам и телекоммуникациям (CCTA) Великобритании.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций — Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга«).

Исследование ИБ системы с помощью СRAMM проводится в три стадии [9,10,11].

На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Она начинается с решения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.

Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.

Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

• недоступность ресурса в течение определенного периода времени;
• разрушение ресурса — потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
• нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
• модификация — рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
• ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба CRAMM рекомендует использовать следующие параметры:

• ущерб репутации организации;
• нарушение действующего законодательства;
• ущерб для здоровья персонала;
• ущерб, связанный с разглашением персональных данных отдельных лиц;
• финансовые потери от разглашения информации;
• финансовые потери, связанные с восстановлением ресурсов;
• потери, связанные с невозможностью выполнения обязательств;
• дезорганизация деятельности.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

В описаниях CRAMM в качестве примера приводится в [9] такая шкала оценки по критерию «Финансовые потери, связанные с восстановлением ресурсов»:

• 2 балла — менее $1000;
• 6 баллов — от $1000 до $10 000;
• 8 баллов — от $10 000 до $100 000;
• 10 баллов — свыше $100 000.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.

Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

CRAMM объединяет угрозы и уязвимости в матрице риска. Рассмотрим, как получается эта матрица, и что каждый из уровней риска означает.

Основной подход, для решения этой проблемы состоит в рассмотрении [12]:

• уровня угрозы (шкала приведена в табл. 4.1);
• уровня уязвимости (шкала приведена в табл. 4.2);
• размера ожидаемых финансовых потерь (пример на
  рис.
  4.1).

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются «ожидаемые годовые потери». На
рис.
4.1 приведен пример матрицы оценки ожидаемый потерь [12]. В ней второй столбец слева содержит значения стоимости ресурса, верхняя строка заголовка таблицы — оценку частоты возникновения угрозы в течение года (уровня угрозы), нижняя строка заголовка — оценку вероятности успеха реализации угрозы (уровня уязвимости).

Значения ожидаемых годовых потерь (англ. Annual Loss of Expectancy) переводятся в CRAMM в баллы, показывающие уровень риска, согласно шкале, представленной на
рис.
4.2 (в этом примере размер потерь приводится в фунтах стерлингов).

В соответствии с приведенной ниже матрицей, выводится оценка риска (
рис.
4.3)

Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.

Таким образом, CRAMM — пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Методика FRAP

Методика «Facilitated Risk Analysis Process (FRAP)» предлагаемая компанией Peltier and Associates (сайт в Интернет http://www.peltierassociates.com/) разработана Томасом Пелтиером (Thomas R. Peltier) и опубликована в [13] (фрагменты данной книги доступны на сайте, приведенное ниже описание построено на их основе). В методике, обеспечение ИБ ИС предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере ИБ — процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.

Управление рисками должно начинаться с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы.

После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта (англ. cost/benefit analysis), который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.

Ниже приведены основные этапы оценки рисков. Данный список во многом повторяет аналогичный перечень из других методик, но во FRAP более подробно раскрываются пути получения данных о системе и ее уязвимостях.

1. Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
2. Идентификация угроз. При составлении списка угроз могут использоваться разные подходы:
   • заранее подготовленные экспертами перечни угроз (checklists), из которых выбираются актуальные для данной системы;
   • анализ статистики происшествий в данной ИС и в подобных ей — оценивается частота их возникновения; по ряду угроз, например, угрозе возникновения пожара, подобную статистику можно получить у соответствующих государственных организаций;
   • «мозговой штурм», проводимый сотрудниками компании.
3. Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы.

   При проведении анализа, как правило, принимают, что на начальном этапе в системе отсутствуют средства и механизмы защиты. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).

   Оценка производится для вероятности возникновения угрозы и ущерба от нее по следующим шкалам.

   Вероятность (Probability):

   • Высокая (High Probability) — очень вероятно, что угроза реализуется в течение следующего года;
   • Средняя (Medium Probability) — возможно угроза реализуется в течение следующего года;
   • Низкая (Low Probability) — маловероятно, что угроза реализуется в течение следующего года.

   Ущерб (Impact) — мера величины потерь или вреда, наносимого активу:

   • Высокий (High Impact): остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
   • Средний (Medium Impact): кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
   • Низкий (Low Impact): перерыв в работе, не вызывающий ощутимых финансовых потерь.

   Оценка определяется в соответствии с правилом, задаваемым матрицей рисков, изображенной на
   рис.
   4.4. Полученная оценка уровня риска может интерпретироваться следующим образом:

   • уровень A — связанные с риском действия (например, внедрение СЗИ) должны быть выполнены немедленно и в обязательном порядке;
   • уровень B — связанные с риском действия должны быть предприняты;
   • уровень C — требуется мониторинг ситуации (но непосредственных мер по противодействию угрозе принимать, возможно, не надо);
   • уровень D -никаких действий в данный момент предпринимать не требуется.

   

   Рис.
   4.4.
   Матрица рисков FRAP

4. После того как угрозы идентифицированы и дана оценка риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Чтобы определить ожидаемый эффект, можно провести оценку того же риска, но при условии внедрения предлагаемого СЗИ. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные — см. ниже). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе.

   Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:

   • стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;
   • снижение эффективности выполнения системой своих основных задач;
   • внедрение дополнительных политик и процедур для поддержания средства;
   • затраты на найм дополнительного персонала или переобучение имеющегося.
5. Документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате. Полученный отчет может быть использован при определении политик, процедур, бюджета безопасности и т.д.

Оценка рисков организации

Бизнес и предпринимательство всегда ассоциируется с повышенным риском, ведь кто не рискует, тот не получает большой прибыли и не становится лидером рынка. Расскажем, как оценить риски организации и как их минимизировать.

Обзоры, интервью, свежие новости и изменения в законодательстве — оперативно в нашем Telegram-канале. О самых важных событиях — в нашей группе ВКонтакте.

Методика EcoStandard group, включает в себя комбинацию методов анализа и оценки рисков, обработки и ранжирования получаемых результатов, и полностью соответствует схеме процедур риск-менеджмента.

В рамках процедур анализа риска для целей идентификации опасностей в методике используются методы:

• Предварительный анализ опасностей (анализ информации об объектах оценки риска, аудит, в том числе и выездной, фактического положения дел в области безопасности труда, включающий и проведение инструментальных измерений уровней и значений производственных факторов) – блоки 1, 2.1.1, 2.1.2, 2.2 схемы
• Метод чек-листов (опрос работников и руководителей по вопросам, связанным с безопасностью труда) – блоки 2.1.1, 2.1.2 схемы

Для оценивания (получения численных значений уровней) риска используется метод Файна-Кинни с некоторыми модификациями, введёнными EcoStandard group и направленными на снижение субъективной составляющей при составлении экспертной оценки. Метод Файна-Кинни в расчёте для каждой идентифицированной опасности так называемого «индекса профессионального риска», определяющегося по формуле:

Балльные значения вероятности, подверженности, последствий

Модификация метода Файна-Кинни, реализованная в методике, касается установления рамочных условий, при наступлении которых экспертами EcoStandard group устанавливаются красная, жёлтая и зелёная зоны в блоке «Вероятность».

Так, при первоначальном определении баллов по параметру «Вероятность» в «красную зону» (баллы «вероятности» 6 и 10) попадают задокументированные случаи наличия на рабочем месте (рабочих зонах) выявленных в ходе выездного аудита случаев травмирования работников (включая микротравмы), несчастных случаев на производстве, в том числе по вине третьих лиц, а также случаи установления общего класса условий труда 3.3, 3.4 или 4 по итогам СОУТ, обусловленные идентифицированными в ходе аудита опасностями, соответствующими производственными факторами, оцениваемыми в СОУТ, или выявленные случаи несоответствия условий труда санитарно-гигиеническим требованиям, выявленные по результатам производственного контроля.

Также определены и соответствующие условия установления при первоначальном расчёте ИПР «жёлтой» (баллы «вероятности» 1 и 3) и «зелёной» (баллы 0,1; 0,2 и 0,5) зон.

Введение «зон вероятности», как уже говорилось, сужает спектр возможных экспертных оценок по параметру «вероятность», ставя количество проставляемых экспертом баллов в зависимость от заранее установленных критериев (условий установления зон).

В классическом риск-анализе при применении метода Файна-Кинни необходимость и срочность мероприятий по контролю риска определяются в зависимости от балльного значения ИПР. По итогам ранжирования полученных значений ИПР определяются соответствующие им идентифицированные опасности, по которым в дальнейшем принимаются решения о целесообразности разработки корректирующих и (или) профилактических мероприятий. Идентифицированные опасности, ИПР по которым составляет менее 20 баллов, по решению работодателя могут в дальнейшем не рассматриваться. Значения ИПР менее 20 баллов (реже – до 70) определяют границу допустимого риска.

Необходимость и срочность мероприятий по оценке профессионального риска

Разработка конкретного содержания корректирующих и (или) профилактических мероприятий по снижению уровня риска производится в зависимости от реальной ситуации в организации (подразделении организации), с учётом иерархии способов контроля рисков по эффективности.

Способы контроля рисков согласно иерархии эффективности

Для каждой опасности, для которой разработка и реализация корректирующих и (или) профилактических мероприятий по итогам ранжирования по ИПР была признана необходимой, в соответствии с иерархией мер контроля рисков разрабатываются конкретные предложения, охватывающие весь спектр мер контроля – от ликвидации опасности до использования дополнительных СИЗ.

Далее универсальной методикой EcoStandard group предлагается, исходя из допущения о реализации разработанных корректирующих и (или) профилактических мероприятий либо их комбинаций («корректирующих стратегий»), выполнить повторную оценку ИПР для определения их сравнительной эффективности. Практический пример первоначального расчёта ИПР для ситуации конкретной идентифицированной опасности (короб вентиляции на высоте от пола 1,65 м в слабо освещённом проходе между часто используемыми для хранения товаров складскими стеллажами), а также повторные расчёты ИПР при условии выполнения предложенных корректирующих мероприятий приведены на схеме ниже.

Пример расчётов ИПР

ИПР до корректирующих мероприятий:

ИПР в случае выполнения организационных мероприятий (нанесение сигнальной маркировки, проведение инструктажей на рабочих местах):

ИПР в случае ликвидации опасности (реконструкция короба вентиляции, закрытие прохода):

По итогам пересчёта ИПР, с учётом его результатов и возможностей работодателя, принимается решение о реализации того или иного предложенного мероприятия (либо мероприятий), то есть определяется номенклатура соответствующих корректирующих и (или) профилактических мер.

Однако для того, чтобы эти меры были в полном объёме и своевременно реализованы, необходимо составить из них календарный план-график их выполнения, который и будет являться, скажем так, руководящим документом для работодателя, проведшего в своей организации процедуры оценки и управления рисками. Одновременно этот же план-график станет и начальным документом, на основе которого в дальнейшем будет реализовываться первый этап следующего цикла риск-менеджмента.

Для того, чтобы весь набор предложенных мероприятий можно было эффективно структурировать, расположив мероприятия в соответствии с критериями срочности и важности, универсальная методика EcoStandard group предлагает выполнение такого ранжирования либо по итогам обсуждения каждой опасности и соответствующих ей наборов мероприятий («корректирующих стратегий»), либо формализовав его с использованием каких-либо иных методов.

Итогом ранжирования по «Матрице дел Д. Эйзенхауэра» становится разделение всех принятых корректирующих стратегий на четыре группы: важные срочные, важные несрочные, неважные срочные и неважные несрочные. Для каждой из групп в рамках методики целесообразно ввести временные реперы – срок начала выполнения корректирующей стратегии и продолжительность выполнения (не более). Так, например, для группы «важные срочные» можно установить срок начала исполнения (все указанные сроки – условные) – не более 5 рабочих дней с момента утверждения Отчёта об оценке профессиональных рисков – и продолжительность выполнения мероприятий – не более 10 рабочих дней. В случае, когда выполнение мероприятий требует больших финансовых, материальных, временных затрат, либо, когда мероприятие является достаточно сложным и требует для реализации длительного времени, может устанавливаться только один временной репер – срок начала исполнения. В случае принятия к реализации корректирующей стратегии (комбинации мероприятий) временные реперы могут устанавливаться как для стратегии в целом, так и отдельно по мероприятиям, входящим в стратегию.

Пример «Матрицы дел Д. Эйзенхауэра», адаптированной для рассматриваемой методики, приведён на схеме. Критерии для отнесения дел к разным квадрантам – условные, приведены для информации. При практическом применении данные критерии могут изменяться.

Матрица дел Д. Эйзенхауэра

Итогом ранжирования корректирующих стратегий по критериям срочности и важности является таблица, содержащая указание на каждую идентифицированную опасность (с местом её локации), первоначально рассчитанный ИПР, описание корректирующей стратегии, срок начала и срок окончания исполнения, а также указание на ответственное лицо и отметку о контроле. Фактически, указанная таблица как раз и является календарным планом-графиком выполнения работ по профилактике профессиональных рисков.

После составления и утверждения календарного плана-графика он становится обязательным для исполнения всеми сотрудниками организации и ответственными лицами документом.

В данном разделе мы ограничились описанием универсальной методики по оценке и управлению рисками, разработанной EcoStandard group, не затрагивая вопросы, относящиеся к внутренним процедурам работодателя (регламентирование работы по риск-менеджменту, создание и регламентирование деятельности комиссии по оценке рисков, составление и формы отчёта об оценке рисков, ознакомление работников с результатами оценки и т.д.). Эти вопросы индивидуальны для каждой организации и могут быть решены работодателем в рамках исполнения указаний статьи 5 ТК РФ, в которой говорится, что на уровне организации трудовые и иные непосредственно связанные с ними отношения могут быть решены локальными нормативными актами. Однако, в случае необходимости, разрешение этих вопросов возможно и в рамках договоров, которые может заключить работодатель с экспертными организациями, проводящими оценку рисков.

Читать материал в источнике