PROBLEMS AND PRINCIPLES OF RISK IDENTIFICATION

Research article
DOI:
https://doi.org/10.18454/IRJ.2016.43.027
Issue: № 1 (43), 2016
Published:
2016/25/01
PDF

Иванов С.О.

Старший преподаватель, Чувашский государственный университет им. И.Н. Ульянова

ПРОБЛЕМЫ И ПРИНЦИПЫ ИДЕНТИФИКАЦИИ РИСКА

Аннотация

В статье рассматривается важный этап оценки риска – идентификация рисков, и его роль в риск-менеджменте. Описаны проблемы идентификации  рисков и подходы к их преодолению. Формулируются руководящие принципы идентификации риска.

Ключевые слова: риск-менеджмент, оценка риска, идентификация риска.

Ivanov S.O.

Senior lecturer, Chuvash State University

PROBLEMS AND PRINCIPLES OF RISK IDENTIFICATION

Abstract

The article considers the important stage of risk assessment – risk identification. The problems of risk identification and approaches to overcome them are described. The guidelines of risk identification are formulated.

Keywords: risk management, risk assessment, risk identification.

Идентификация (выявление) рисков критически важный этап в управлении рисками. Риск, который не был идентифицирован на этой стадии, не будет включен в дальнейший анализ [4]. Так же, риск, идентифицированный поверхностно, может быть приятным несущественным, неактуальным, что приведет к погрешностям оценивания рисков и ошибкам их обработки. Рассмотрим основные проблемы процесса идентификации риска, и выделим принципы, позволяющие преодолеть их.

Согласно международному стандарту ISO/IEC 31000 [4] деятельность по управлению риском состоит из следующих этапов: установка контекста, идентификации риска, анализ риска, и оценивание риска, обработка риска. Этапы идентификации, анализа и оценивании риска сильно взаимозависимы и взаимосвязаны, и составляют единый непрерывный процесс – оценки риска. Из чего следует, что один метод оценки риска не может обеспечить одинаковые условия и результативность на разных этапах. Для чего рекомендуется использовать различные вспомогательные методы [4]. Достоинства и недостатки различных методов на разных этапах описаны в международном стандарте ISO/IEC 31010 [5]. Важность идентификации риска заключается в том, что он определяет полноту и адекватность процесса оценки риска.

Первая и основная проблема, возникающая при идентификации риска, состоит в том, что отсутствует единое понятие риска [1, 2]. «Различия в определениях риска зависят от контекста потерь, их оценки и измерения» [2]. Наличие нескольких, противоречивых, определений понятия «риск» затрудняет описание и дальнейшую обработку выявленного риска.

ISO/IEC 31000 определяет риск как «влияние неопределенности на цели организации» [4]. Данное определение хорошо подходит для оценки значения риска, но не для его идентификации. Большими возможностями, с точки зрения идентификации и анализа рисков, обладает определение риска как цепочки воздействия угроз на активы [3] (рис.1). Пути распространения воздействий от угроз к активам являются рисками. Каждый элемент (фактор) этой цепочки добавляет новые грани в определении риска, позволяя более точно описать и оценить риск. Так же появляется возможность отследить и проанализировать цепные (косвенные) воздействия, и соответствующие риски.

28-12-2015 12-55-02

Рис. 1. Цепочка воздействия угроз на активы.

Следующая проблема заключается в том, что некоторые риски забываются или игнорируются (или отбрасываются) до их анализа [1, 7], следуя принципу ALARA: «факт существования риска признается, если его уровень превышает приемлемые для объекта значения» [7]. Это приводит к уменьшению адекватности и огрублению полученных оценок риска.

Результаты, полученные при оценке риска, часто неудовлетворительны из-за использования неполной, неточной информации [1, 4]. Степень неполноты тяжело поддается измерению и часто не принимается во внимание при расчетах.

Многие методы оценки риска основаны на определении риска как вероятностного ущерба [1, 5]. Однако, «Идентификация риска должна включать проверку цепной реакции некоторых определенных последствий, включая каскадный эффект и суммарные действия» [4]. Неправильная оценка или не учет побочных последствий снижает предсказательную (предупредительную) силу оценки риска.

Для преодоления этих проблем используются различные подходы [1, 5]. Обобщим их в виде следующих руководящих принципов:

  • для оценки риска следует использовать методы, учитывающие различные способы воздействия угроз на активы [5];
  • использовать каталоги рисков из соответствующей области [3];
  • дополнить список рисков самыми не благоприятными ситуациями[6, 8];
  • идентифицировать и учесть все виды ущерба, которые можно причинить активам;
  • детализировать цепочку факторов риска начиная с последствий [3];
  • последствиям, источники которых не идентифицированы, сопоставить фиктивную уязвимость и источник;
  • детализировать факторы, начиная с наиболее существенных;
  • для оценки важности влияния фактора, рассчитать величину ущерба от него, в самых неблагоприятных случаях;
  • учитывать не только прямые пути распространения последствий.

Использование данных принципов для дополнения существующих методов оценки риска, позволит повысить результативность и полноту этапа идентификации риска.

 

Литература

  1. Беххман Г., Горохов В.Г. Социально-философские и методологические проблемы обращения с технологическими рисками в современном обществе [Электронный ресурс] // Журнал "Вопросы философии". – 03.08.2012 – URL: http://vphil.ru/index2.php?option=com_content&task=view&id=570&pop=1&page=0&Itemid=52.
  2. Википедия. Риск [Электронный ресурс]. – URL: https://ru.wikipedia.org/wiki/Риск.
  3. Вихорев С.В. Классификация угроз информационной безопасности.[Электронный ресурс] // Журнал Cnews. – URL: http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml (дата обращения: 28.11.2015).
  4. ГОСТ Р ИСО/МЭК 31000-2010. – М.:Стандартинформ, 2012. – 27 с.
  5. ГОСТ Р ИСО/МЭК 31010-2011. – М.:Стандартинформ, 2012. – 74 с.
  6. Законы Мерфи [Электронный ресурс]. – URL: http://murphy-law.net.ru/.
  7. Откидач В. В. Методы идентификации рисков системы «Производство – среда – человек» / Откидач В. В., Джура С. Г., Чернушкина Е. В., Фисуренко О. В. // Проблемы эксплуатации оборудования шахтных стационарных установок. Сборник научных трудов. Выпуск 97. Проблемы экологии и безопасности жизнедеятельности в условиях высокой техногенной нагрузки в Донбассе. – Донецк: НИИГМ им. М.М.Федорова, 2003. – с.102-108.
  8. International Risk Governance Council (Geneva). Emerging risks. Sources, drivers and governance issues.

References

  1. Bekhkhman G., Gorokhov V.G. Sotsial'no-filosofskie i metodologicheskie problemy obrashcheniya s tekhnologicheskimi riskami v sovremennom obshchestve. [Electronic resource] // Zhurnal "Voprosy filosofii", 03.08.2012. URL:http://vphil.ru/index2.php?option=com_content&task=view&id=570&pop=1&page=0&Itemid=52.
  2. Risk [Electronic resource], URL: https://ru.wikipedia.org/wiki/Risk.
  3. Vikhorev S.V. Klassifikatsiya ugroz informatsionnoi bezopasnosti. [Electronic resource] // Zhurnal Cnews, URL: http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml (Accessed: 28.11.2015).
  4. GOST R ISO/MEK 31000-2010, M.:Standartinform, 2012, 27 p.
  5. GOST R ISO/MEK 31010-2011, M.:Standartinform, 2012, 74 p.
  6. Zakony Merfi [Electronic resource], URL: http://murphy-law.net.ru/.
  7. Otkidach V. V. Metody identifikatsii riskov sistemy «Proizvodstvo – sreda – chelovek» / Otkidach V. V., Dzhura S. G., Chernushkina E. V., Fisurenko O. V. // Problemy ekspluatatsii oborudovaniya shakhtnykh statsionarnykh ustanovok. Sbornik nauchnykh trudov. Vypusk 97. Problemy ekologii i bezopasnosti zhiznedeyatel'nosti v usloviyakh vysokoi tekhnogennoi nagruzki v Donbasse, Donetsk: NIIGM im. M.Fedorova, 2003, P.102-108.
  8. International Risk Governance Council (Geneva). Emerging risks. Sources, drivers and governance issues.