PROBLEMS AND PRINCIPLES OF RISK IDENTIFICATION
Иванов С.О.
Старший преподаватель, Чувашский государственный университет им. И.Н. Ульянова
ПРОБЛЕМЫ И ПРИНЦИПЫ ИДЕНТИФИКАЦИИ РИСКА
Аннотация
В статье рассматривается важный этап оценки риска – идентификация рисков, и его роль в риск-менеджменте. Описаны проблемы идентификации рисков и подходы к их преодолению. Формулируются руководящие принципы идентификации риска.
Ключевые слова: риск-менеджмент, оценка риска, идентификация риска.
Ivanov S.O.
Senior lecturer, Chuvash State University
PROBLEMS AND PRINCIPLES OF RISK IDENTIFICATION
Abstract
The article considers the important stage of risk assessment – risk identification. The problems of risk identification and approaches to overcome them are described. The guidelines of risk identification are formulated.
Keywords: risk management, risk assessment, risk identification.
Идентификация (выявление) рисков критически важный этап в управлении рисками. Риск, который не был идентифицирован на этой стадии, не будет включен в дальнейший анализ [4]. Так же, риск, идентифицированный поверхностно, может быть приятным несущественным, неактуальным, что приведет к погрешностям оценивания рисков и ошибкам их обработки. Рассмотрим основные проблемы процесса идентификации риска, и выделим принципы, позволяющие преодолеть их.
Согласно международному стандарту ISO/IEC 31000 [4] деятельность по управлению риском состоит из следующих этапов: установка контекста, идентификации риска, анализ риска, и оценивание риска, обработка риска. Этапы идентификации, анализа и оценивании риска сильно взаимозависимы и взаимосвязаны, и составляют единый непрерывный процесс – оценки риска. Из чего следует, что один метод оценки риска не может обеспечить одинаковые условия и результативность на разных этапах. Для чего рекомендуется использовать различные вспомогательные методы [4]. Достоинства и недостатки различных методов на разных этапах описаны в международном стандарте ISO/IEC 31010 [5]. Важность идентификации риска заключается в том, что он определяет полноту и адекватность процесса оценки риска.
Первая и основная проблема, возникающая при идентификации риска, состоит в том, что отсутствует единое понятие риска [1, 2]. «Различия в определениях риска зависят от контекста потерь, их оценки и измерения» [2]. Наличие нескольких, противоречивых, определений понятия «риск» затрудняет описание и дальнейшую обработку выявленного риска.
ISO/IEC 31000 определяет риск как «влияние неопределенности на цели организации» [4]. Данное определение хорошо подходит для оценки значения риска, но не для его идентификации. Большими возможностями, с точки зрения идентификации и анализа рисков, обладает определение риска как цепочки воздействия угроз на активы [3] (рис.1). Пути распространения воздействий от угроз к активам являются рисками. Каждый элемент (фактор) этой цепочки добавляет новые грани в определении риска, позволяя более точно описать и оценить риск. Так же появляется возможность отследить и проанализировать цепные (косвенные) воздействия, и соответствующие риски.
Рис. 1. Цепочка воздействия угроз на активы.
Следующая проблема заключается в том, что некоторые риски забываются или игнорируются (или отбрасываются) до их анализа [1, 7], следуя принципу ALARA: «факт существования риска признается, если его уровень превышает приемлемые для объекта значения» [7]. Это приводит к уменьшению адекватности и огрублению полученных оценок риска.
Результаты, полученные при оценке риска, часто неудовлетворительны из-за использования неполной, неточной информации [1, 4]. Степень неполноты тяжело поддается измерению и часто не принимается во внимание при расчетах.
Многие методы оценки риска основаны на определении риска как вероятностного ущерба [1, 5]. Однако, «Идентификация риска должна включать проверку цепной реакции некоторых определенных последствий, включая каскадный эффект и суммарные действия» [4]. Неправильная оценка или не учет побочных последствий снижает предсказательную (предупредительную) силу оценки риска.
Для преодоления этих проблем используются различные подходы [1, 5]. Обобщим их в виде следующих руководящих принципов:
- для оценки риска следует использовать методы, учитывающие различные способы воздействия угроз на активы [5];
- использовать каталоги рисков из соответствующей области [3];
- дополнить список рисков самыми не благоприятными ситуациями[6, 8];
- идентифицировать и учесть все виды ущерба, которые можно причинить активам;
- детализировать цепочку факторов риска начиная с последствий [3];
- последствиям, источники которых не идентифицированы, сопоставить фиктивную уязвимость и источник;
- детализировать факторы, начиная с наиболее существенных;
- для оценки важности влияния фактора, рассчитать величину ущерба от него, в самых неблагоприятных случаях;
- учитывать не только прямые пути распространения последствий.
Использование данных принципов для дополнения существующих методов оценки риска, позволит повысить результативность и полноту этапа идентификации риска.
Литература
- Беххман Г., Горохов В.Г. Социально-философские и методологические проблемы обращения с технологическими рисками в современном обществе [Электронный ресурс] // Журнал "Вопросы философии". – 03.08.2012 – URL: http://vphil.ru/index2.php?option=com_content&task=view&id=570&pop=1&page=0&Itemid=52.
- Википедия. Риск [Электронный ресурс]. – URL: https://ru.wikipedia.org/wiki/Риск.
- Вихорев С.В. Классификация угроз информационной безопасности.[Электронный ресурс] // Журнал Cnews. – URL: http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml (дата обращения: 28.11.2015).
- ГОСТ Р ИСО/МЭК 31000-2010. – М.:Стандартинформ, 2012. – 27 с.
- ГОСТ Р ИСО/МЭК 31010-2011. – М.:Стандартинформ, 2012. – 74 с.
- Законы Мерфи [Электронный ресурс]. – URL: http://murphy-law.net.ru/.
- Откидач В. В. Методы идентификации рисков системы «Производство – среда – человек» / Откидач В. В., Джура С. Г., Чернушкина Е. В., Фисуренко О. В. // Проблемы эксплуатации оборудования шахтных стационарных установок. Сборник научных трудов. Выпуск 97. Проблемы экологии и безопасности жизнедеятельности в условиях высокой техногенной нагрузки в Донбассе. – Донецк: НИИГМ им. М.М.Федорова, 2003. – с.102-108.
- International Risk Governance Council (Geneva). Emerging risks. Sources, drivers and governance issues.
References
- Bekhkhman G., Gorokhov V.G. Sotsial'no-filosofskie i metodologicheskie problemy obrashcheniya s tekhnologicheskimi riskami v sovremennom obshchestve. [Electronic resource] // Zhurnal "Voprosy filosofii", 03.08.2012. URL:http://vphil.ru/index2.php?option=com_content&task=view&id=570&pop=1&page=0&Itemid=52.
- Risk [Electronic resource], URL: https://ru.wikipedia.org/wiki/Risk.
- Vikhorev S.V. Klassifikatsiya ugroz informatsionnoi bezopasnosti. [Electronic resource] // Zhurnal Cnews, URL: http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml (Accessed: 28.11.2015).
- GOST R ISO/MEK 31000-2010, M.:Standartinform, 2012, 27 p.
- GOST R ISO/MEK 31010-2011, M.:Standartinform, 2012, 74 p.
- Zakony Merfi [Electronic resource], URL: http://murphy-law.net.ru/.
- Otkidach V. V. Metody identifikatsii riskov sistemy «Proizvodstvo – sreda – chelovek» / Otkidach V. V., Dzhura S. G., Chernushkina E. V., Fisurenko O. V. // Problemy ekspluatatsii oborudovaniya shakhtnykh statsionarnykh ustanovok. Sbornik nauchnykh trudov. Vypusk 97. Problemy ekologii i bezopasnosti zhiznedeyatel'nosti v usloviyakh vysokoi tekhnogennoi nagruzki v Donbasse, Donetsk: NIIGM im. M.Fedorova, 2003, P.102-108.
- International Risk Governance Council (Geneva). Emerging risks. Sources, drivers and governance issues.