Матрица рисков является матрицей , которая используется при оценке риски для определения уровня риска, учитывая категорию вероятности или вероятности в отношении категории тяжести последствий. Это простой механизм для повышения видимости рисков и помощи в принятии управленческих решений. [1]
Риск - это отсутствие уверенности в исходе того или иного выбора. Статистически уровень риска ухудшения ситуации может быть рассчитан как произведение вероятности причинения вреда (например, несчастного случая), умноженного на серьезность этого вреда (т. Е. Средний размер вреда или, что более консервативно, максимально вероятное количество причиненного вреда). вред). На практике матрица рисков является полезным подходом, когда вероятность или степень вреда не могут быть оценены с точностью и точностью.
Хотя стандартные матрицы рисков существуют в определенных контекстах (например, Министерство обороны США , НАСА , ISO ), [2] [3] [4] отдельные проекты и организации могут нуждаться в создании своей собственной или адаптации существующей матрицы рисков. Например, степень тяжести вреда можно разделить на следующие категории:
- Катастрофические: смерть или постоянная полная нетрудоспособность, значительное необратимое воздействие на окружающую среду, полная потеря оборудования
- Критично: травма на уровне аварии, повлекшая за собой госпитализацию, постоянную частичную инвалидность, значительное обратимое воздействие на окружающую среду, повреждение оборудования.
- Маргинальные: травмы с потерей рабочих дней, обратимое умеренное воздействие на окружающую среду, незначительный ущерб от аварии
- Незначительные: травмы, не приводящие к потере рабочих дней, минимальное воздействие на окружающую среду, ущерб менее незначительной аварии
Вероятность причинения вреда , произошедшим может быть отнесена к категории «определенным», «вероятно», «возможно», «маловероятно» и «редко». Однако следует учитывать, что очень низкие вероятности могут быть не очень надежными.
Итоговая матрица рисков может быть:
| Вероятность | Степень вреда | |||
|---|---|---|---|---|
| Незначительный | Маргинальный | Критический | Катастрофический | |
| Определенный | Высоко | Высоко | Очень высоко | Очень высоко |
| Скорее всего | Середина | Высоко | Высоко | Очень высоко |
| Возможный | Низкий | Середина | Высоко | Очень высоко |
| Вряд ли | Низкий | Середина | Середина | Высоко |
| Редкий | Низкий | Низкий | Середина | Середина |
| Устранено | Устранено | |||
Затем компания или организация должны рассчитать, какие уровни риска они могут принять в связи с различными событиями. Это может быть сделано путем сопоставления риска возникновения события с затратами на обеспечение безопасности и получаемой от этого выгоды.
Пример матрицы [ править ]
Ниже приведен пример матрицы возможных травм, при этом конкретные несчастные случаи распределены по соответствующим ячейкам в матрице:
| Незначительный | Маргинальный | Критический | Катастрофический | |
|---|---|---|---|---|
| Определенный | Укороченный палец | |||
| Скорее всего | Падать | |||
| Возможный | Крупная автомобильная авария | |||
| Вряд ли | Авиакатастрофа | |||
| Редкий | Сильное цунами |
Проблемы [ править ]
В своей статье «Что не так с матрицами рисков?» [5] Тони Кокс утверждает, что матрицы рисков имеют несколько проблемных математических особенностей, затрудняющих оценку рисков. Это:
- Плохое разрешение. Типичные матрицы рисков позволяют правильно и однозначно сравнивать только небольшую часть (например, менее 10%) случайно выбранных пар опасностей. Они могут присвоить одинаковые рейтинги очень разным в количественном отношении рискам («сжатие диапазона»).
- Ошибки. Матрицы рисков могут ошибочно присваивать более высокие качественные рейтинги количественно меньшим рискам. Для рисков с отрицательно коррелированными частотами и серьезностью они могут быть «хуже, чем бесполезны», что приводит к принятию решений хуже, чем случайные.
- Неоптимальное распределение ресурсов. Эффективное распределение ресурсов для контрмер по снижению риска не может быть основано на категориях, предусмотренных матрицами рисков.
- Неоднозначные входы и выходы. Категоризация серьезности не может быть объективно сделана для неопределенных последствий. Входные данные для матриц рисков (например, категоризация частоты и серьезности) и результирующие выходные данные (например, рейтинги рисков) требуют субъективной интерпретации, и разные пользователи могут получить противоположные оценки одних и тех же количественных рисков. Эти ограничения предполагают, что матрицы рисков следует использовать с осторожностью и только с подробным объяснением встроенных суждений.
Томас, Братвольд и Бикель [6] демонстрируют, что матрицы рисков производят произвольное ранжирование рисков. Ранжирование зависит от структуры самой матрицы рисков, например, от того, насколько велики ячейки и от того, используется ли шкала увеличения или уменьшения. Другими словами, изменение масштаба может изменить ответ.
Дуглас У. Хаббард и Ричард Зайерсен берут общие исследования Кокса, Томаса, Братволда и Бикеля и проводят конкретное обсуждение в области риска кибербезопасности . Они отмечают, что, поскольку 61% профессионалов в области кибербезопасности используют ту или иную форму матрицы рисков, это может стать серьезной проблемой. Хаббард и Зайерсен рассматривают эти проблемы в контексте других измеренных человеческих ошибок и делают вывод, что «ошибки экспертов просто еще больше усугубляются дополнительными ошибками, вносимыми самими шкалами и матрицами. Мы согласны с решением, предложенным Томасом и др. Нет необходимости в кибербезопасности (или других областях анализа рисков, которые также используют матрицы рисков), чтобы заново изобретать хорошо зарекомендовавшие себя количественные методы, используемые для решения многих не менее сложных проблем ».[7]
Дополнительной проблемой является неточность категорий вероятности. Например; «определенный», «вероятный», «возможный», «маловероятный» и «редкий» иерархически не связаны. Лучший выбор может быть получен за счет использования одного и того же базового термина, такого как «чрезвычайно часто», «очень часто», «довольно часто», «менее часто», «очень необычно», «чрезвычайно необычно» или аналогичной иерархии в базовый термин "частота".
Другой распространенной проблемой является присвоение индексов ранга осям матрицы и умножение индексов для получения «оценки риска». Хотя это кажется интуитивно понятным, это приводит к неравномерному распределению. Сравните следующие диаграммы:
Ссылки [ править ]
- ^ "Что правильно с матрицами риска?" . Джулиан Талбот о риске, успехе и лидерстве . Проверено 18 июня 2018 .
- ^ «Руководство по управлению рисками, проблемами и возможностями для программ оборонных закупок» (PDF) . Министерство обороны США . Январь 2017 . Проверено 18 июня 2018 .
- ^ "НАСА, Центр космических полетов Годдарда, Технический стандарт Годдарда GSFC-STD-0002, Отчетность по управлению рисками" (PDF) . 2009-05-08 . Проверено 17 июня 2018 .
- ^ Международная организация по стандартизации, управление рисками космических систем, ISO 17666,
- Перейти ↑ Cox, LA Jr., «Что не так с матрицами рисков?», Анализ рисков, Vol. 28, № 2, 2008, DOI : 10.1111 / j.1539-6924.2008.01030.x
- ^ Томас, Филип, Рейдар Братволд и Дж. Эрик Бикель, «Риск использования матриц рисков», SPE Economics & Management, Vol. 6, № 2, стр 56-66, 2014,. DOI : 10,2118 / 166269-ПА.
- ^ Хаббард, Дуглас В .; Сейерсен, Ричард (2016). Как измерить риск кибербезопасности . Вайли. С. Места расположения Kindle 2636–2639.
