3.2 Аналіз і вимір ризику
Аналіз ризику має на увазі облік причин і джерел ризиків, їх позитивні та негативні наслідки, а також ймовірність виникнення таких наслідків.
Як правило, включає оцінку ряду можливих наслідків, які можуть виникнути в результаті події, ситуації або обставини, і їх відповідну можливість, що дозволяє виміряти рівень ризику. Однак в окремих випадках (наприклад, якщо наслідки можуть бути незначними, або передбачається, що можливість буде вкрай низькою) оцінки одного параметра може бути досить для прийняття рішення.
У будь-якому випадку необхідно розробити деяку структуру для оцінки ризиків. При оцінці необхідно звернути увагу на неупереджені незалежні докази, слід розглянути питання про перспективи цілого ряду зацікавлених сторін, які постраждали від ризику, і попередити плутанину, пов'язану зі справедливою оцінкою ризику і судженням про прийнятність певних ризиків.
При оцінці ризику існують три важливих принципи:
1. Забезпечення наявності чітко структурованого процесу, за допомогою якого враховується, як вірогідність, так і вплив;
2. Реєстрація оцінки ризику способом, що сприяє моніторингу та ідентифікації пріоритетів ризику;
3. Проведення відмінності між «невід'ємним» і «залишковим» ризиком [1] . Рівень ризику залежатиме від достатності і ефективності існуючих заходів контролю.
Методи, які використовуються при аналізі ризиків:
- Якісний метод: такі методи визначають наслідок, можливість і рівень ризику по описовим шкалами, можуть поєднувати наслідок і можливість, і оцінювати результуючий ризик відповідно до якісними критеріями.
- Напівкількісний метод: в таких методах використовуються числові оціночні шкали наслідки і можливості, і вони можуть поєднуватися для формування рівня ризику, використовуючи формулу. Шкали можуть бути лінійними або логарифмічними, або мати деяке інше ставлення. Використовувана формула також може змінюватися.
- Кількісний метод: такий вид аналізу оцінює практичні значення наслідків і їх можливостей, а також виробляє цифрові показники впливу, ймовірності та рівня ризику, використовуючи дані з різних джерел. Повний кількісний аналіз може не завжди бути можливий або бажаний через мізерної інформації про аналізованому об'єкті, відсутності даних, впливу людських чинників і т.д.
Якісний і кількісний методи мають свої переваги і недоліки.
Якісний аналіз відносно швидкий і легкий, передбачає багато інформації про нефінансових наслідки, і легко розуміється великою кількістю співробітників.
З іншого боку, не проводить велику різницю між рівнями ризику, не може чисельно агрегувати або вивчити взаємодію або співвідношення ризику, і надає обмежені можливості для виконання аналізу витрат і вигод.
Кількісний аналіз дозволяє подолати безліч недоліків кількісного методу, незважаючи на те, що він може зайняти багато часу і коштів, перш за все, на етапі розробки методу.
Аналіз причинно-наслідкових зв'язків - це полукачественний, структурований метод, що дозволяє відстежити першопричини потенційного події. Систематизує можливі сприяють фактори в широкі категорії, таким чином, можуть враховуватися всі відповідні гіпотези. Однак сам по собі аналіз не вказує на фактичні причини, оскільки вони можуть визначатися тільки речовими доказами і емпіричної перевіркою гіпотез. Аналіз причинно-наслідкових зв'язків передбачає структуровану наочну картину (схему) переліку причин специфічного впливу (позитивне чи негативне, в залежності від контексту). Застосовується для формування консенсусу по всіх можливих сценаріїв, а також найбільш вірогідним причин, виявленим командою експертів. Такі причини потім можуть перевірятися на емпіричному рівні або шляхом оцінки доступних даних.
При необхідності може складатися схема причинно-наслідкових зв'язків:
- Виявити можливу корінну причину специфічного впливу, проблеми або умови;
- Вибрати і привести у відповідність деякі взаємодії між чинників, що впливають на певний процес;
- Провести аналіз існуючих проблем, таким чином, можуть бути вжиті заходи щодо вдосконалення.
Вхідні дані для аналізу причинно-наслідкових зв'язків можуть утворюватися в результаті навичок і досвіду учасників або на основі раніше розробленої моделі, яка використовувалася в минулому.
Аналіз причинно-наслідкових зв'язків повинен проводитися командою експертів, які знають про проблему, що вимагає дозволу.
Основні кроки виконання аналізу причинно-наслідкових зв'язків:
1. Створення аналізованого ефекту і приміщення в блоки;
2. Визначення основних категорій причин (обраних відповідно до конкретного підтекстом) і подання їх по блокам в діаграмі причинно-наслідкових зв'язків;
3. Інформування про можливі причини по кожній головній категорії з секторами і підсекторів для опису взаємини між ними;
4. Продовжувати питати «чому?» Або «яка причина?», Щоб пов'язати причини;
5. Огляд всіх секторів для перевірки узгодженості та повноти, а також для забезпечення того, що причини поширюються на основний вплив;
6. Виявлення найбільш ймовірних причин, виходячи з думки команди і наявних доказів.
Результати, як правило, відображаються на діаграмі причинно-наслідкових зв'язків (або графіку причинного залежності) або на деревовидної схемою. Діаграма причинно-наслідкових зв'язків структурується шляхом підрозділу причин на основні категорії (видається розміченими лініями діаграми причинно-наслідкових зв'язків), при цьому сектори і підсектори описують більш специфічні причини під вищезазначеними категоріями.
Малюнок 3: Приклад графіка причинного залежності або діаграми причинно-наслідкових зв'язків
Джерело: IEC / FDIS 31010: 2009 Методи управління ризиками - оцінки ризиків
Як говорилося вище, рівень ризику - це дія чинників, зокрема, таких, як ймовірність і вплив.
Вплив відноситься до ступеня впливу ризикової події на організацію. Критерії оцінки впливу можуть включати фінансові, репутаційні, нормативні наслідки, наслідки для здоров'я, збереження, безпеки, навколишнього середовища, співробітників, замовників і операційні наслідки. Організації, як правило, визначають вплив, використовуючи поєднання таких наслідків, враховуючи, що певні ризики можуть впливати на підприємство з фінансової точки зору, тоді як інші ризики можуть більше позначатися на репутації або здоров'я і безпеки.
Імовірність відображає слабку / сильну можливість фактичного настання певної події. Імовірність може виражатися з якісної, процентної або частотної точки зору. Іноді організації описують ймовірність з найбільш персональних і якісних перспектив, наприклад «подія, яка, за припущенням, виникне кілька разів (або не виникне) за професійну діяльність».
У Додатку представлені приклади показників ризику по впливу та ймовірності.
При використанні якісних або полукачественних методів (наприклад, показники ризику), спрямованих на оцінку рівня ризику, незалежно від події (статистичні, організаційні або специфічні), застосування одного і того ж числа параметрів впливу, а також ймовірності є вкрай важливою умовою. Щоб збалансувати суб'єктивність оцінки, потрібно кілька фахівців, які проводять оцінку по окремому ризику, при цьому оцінка повинна максимально доповнюватися об'єктивними даними.
Що стосується функцій і відповідальностей, оцінка факторів ризику знаходиться в межах відповідальності власників процесу. Вимірювання ризику - це завдання для робочих груп, яка підтримується відділом по управлінню ризиками і за участю персоналу, що працює над розглянутими процесами. Такий персонал представляє свої результати старшому керівництву на затвердження / перевірку. Експерти (наприклад, в області IT, захисту даних / статистичної конфіденційності і т.д.) відповідальні за вимір специфічних ризиків. Результати оцінки також завжди аналізуються і підтверджуються менеджером по ризиках.
4. Продовжувати питати «чому?» Або «яка причина?