количественно риск можно измерить методом
Количественный анализ риска инвестиционных проектов
В данной статье кратко изложены преимущества, недостатки и проблемы их практического применения, предложены усовершенствованные алгоритмы количественного анализа рисков инвестиционных проектов и рассмотрено их практическое применение.
Метод корректировки нормы дисконта. Достоинства этого метода — в простоте расчетов, которые могут быть выполнены с использованием даже обыкновенного калькулятора, а также в понятности и доступности. Вместе с тем метод имеет существенные недостатки.
Метод корректировки нормы дисконта осуществляет приведение будущих потоков платежей к настоящему моменту времени (т.е. обыкновенное дисконтирование по более высокой норме), но не дает никакой информации о степени риска (возможных отклонениях результатов). При этом полученные результаты существенно зависят только от величины надбавки за риск.
Он также предполагает увеличение риска во времени с постоянным коэффициентом, что вряд ли может считаться корректным, так как для многих проектов характерно наличие рисков в начальные периоды с постепенным снижением их к концу реализации. Таким образом, прибыльные проекты, не предполагающие со временем существенного увеличения риска, могут быть оценены неверно и отклонены.
Данный метод не несет никакой информации о вероятностных распределениях будущих потоков платежей и не позволяет получить их оценку.
Наконец, обратная сторона простоты метода состоит в существенных ограничениях возможностей моделирования различных вариантов, которое сводится к анализу зависимости критериев NPV(IRR,PI и др.) „от изменений только одного показателя — нормы дисконта.
Несмотря на отмеченные недостатки, метод корректировки нормы дисконта широко применяется на практике.
Анализ чувствительности. Данный метод является хорошей иллюстрацией влияния отдельных исходных факторов на конечный результат проекта.
Главным недостатком данного метода является предпосылка о том, что изменение одного фактора рассматривается изолированно, тогда как на практике все экономические факторы в той или иной степени коррелированны.
По этой причине применение данного метода на практике как самостоятельного инструмента анализа риска, по мнению авторов весьма ограничено, если вообще возможно.
Метод сценариев. В целом метод позволяет получать достаточно наглядную картину для различных вариантов реализации проектов, а также предоставляет информацию о чувствительности и возможных отклонениях, а применение программных средств типа Excel позволяет значительно повысить эффективность подобного анализа путем практически неограниченного увеличения числа сценариев и введения дополнительных переменных.
Анализ вероятностных распределений потоков платежей. В целом применение этого метода анализа рисков позволяет получить полезную информацию об ожидаемых значениях NPV и чистых поступлений, а также провести анализ их вероятностных распределений.
Вместе с тем использование этого метода предполагает, что вероятности для всех вариантов денежных поступлений известны либо могут быть точно определены. В действительности в некоторых случаях распределение вероятностей может быть задано с высокой степенью достоверности на основе анализа прошлого опыта при наличии больших объемов фактических данных. Однако чаще всего такие данные недоступны, поэтому распределения задаются исходя из предположений экспертов и несут в себе большую долю субъективизма.
Деревья решений. Ограничением практического использования данного метода является исходная предпосылка о том, что проект должен иметь обозримое или разумное число вариантов развития. Метод особенно полезен в ситуациях, когда решения, принимаемые в каждый момент времени, сильно зависят от решений, принятых ранее, и в свою очередь определяют сценарии дальнейшего развития событий.
Имитационное моделирование. Практическое применение данного метода продемонстрировало широкие возможности его использования инвестиционном проектировании, особенно в условиях неопределённости и риска. Данный метод особенно удобен для практического применения тем, что удачно сочетается с другими экономико-статистическими методами, а также с теорией игр и другими методами исследования операций. Практическое применение авторами данного метода показало, что зачастую он даёт более оптимистичные оценки, чем другие методы, например анализ сценариев, что, очевидно обусловлено перебором промежуточных вариантов.
Многообразие ситуаций неопределённости делает возможным применение любого из описанных методов в качестве инструмента анализа рисков, однако, по мнению авторов, наиболее перспективными для практического использования являются методы сценарного анализа и имитационного моделирования, которые могут быть дополнены или интегрированы в другие методики.
В частности, для количественной оценки риска инвестиционного проекта предлагается использовать следующие алгоритмы:
Алгоритм имитационного моделирования (инструмент “РИСК-АНАЛИЗ”):
1.Определяются ключевые факторы ИП. Для этого предлагается применять анализ чувствительности по всем факторам (цена реализации, рекламный бюджет, объём продаж, себестоимость продукции и т. д.), используя специализированные пакеты типа Project Expert и Альт-Инвест, что позволит существенно сократить время расчётов. В качестве ключевых выбираются те факторы, изменения которых приводят к наибольшим отклонениям чистой текущей стоимости (NPV).
Таблица 1.
Выбор ключевых факторов ИП на основе анализа чувствительности
Управление рисками проекта
Количественный анализ рисков
Количественный анализ рисков обычно выполняется для рисков, которые были квалифицированы в результате качественного анализа. При количественном анализе также оцениваются вероятности возникновения рисков и размеры ущерба /выгоды; здесь анализируются риски, имеющие высокие и умеренные ранги. Выбор методов анализа определяется для каждого проекта и зависит от наличия времени и от бюджета.
Количественный анализ рисков: входы
Исходной информацией для количественного анализа рисков служат:
Количественный анализ рисков: инструменты и методы
Наиболее распространенными методами количественного анализа являются:
Методы сбора и представления данных, к которым относятся опросы и экспертная оценка, были описаны в разделе идентификации рисков.
Анализ чувствительности помогает определить, какие риски обладают наибольшим потенциальным влиянием на проект. Идея метода состоит в отслеживании параметров, которые оказывают влияние на исследуемую ситуацию проекта. Фиксируя все параметры и изменяя только один из них, можно определить его воздействие на исследуемую ситуацию. Скажем, исследуя вопрос об ожидаемой прибыли Исполнителя проекта, выделяем влияющие на нее параметры, например такие: отсутствие квалифицированного персонала и необходимость в его привлечении, отсутствие помещения под проектный офис и необходимость аренды проектного офиса, отсутствие необходимых технических средств для оборудования рабочих мест и необходимость в закупке требуемых средств. Затем выполняем анализ чувствительности для выделенного параметра, обладающего наибольшим потенциальным риском.
Команда проекта разработала сетевые графики трех альтернативных вариантов расписания внедрения ИС при условии, что оборудование уже поставлено, и оценила возможные значения продолжительности проекта.
Рассчитаем возможную длительность проекта для каждого точки случайного события:
ожидаемая длительность для случайного узла А: (80дней* 0,6) + (70дней *0,4) = 76дней
ожидаемая длительность для случайного узла Б: (70дней * 0,6) + (75дней *0,4) = 72дней
ожидаемая длительность для случайного узла В: (75дней * 0,6) + (80дней *0,4) = 78дней
Результаты количественного анализа рисков
Реестр рисков (обновления)
ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска
Приложение A
(справочное)
Краткое описание методов оценки риска
Классификация методов связана с этапами процесса оценки риска:
— сравнительная оценка риска.
Для каждого этапа процесса оценки риска применимость метода оценки риска определяется по шкале: строго применим, применим и не применим (см. таблицу A.1).
Процесс оценки риска
Сравни-
тельная оценка риска
Структурированные или частично структурированные интервью
Предварительный анализ опасностей (PHA)
Исследование опасности и работоспособности (HAZOP)
Анализ опасности и критических контрольных точек (HACCP)
Оценка токсикологического риска
Структурированный анализ сценариев методом «что, если?» (SWIFT)
Анализ воздействия на бизнес (BIA)
Анализ первопричины (RCA)
Анализ видов и последствий отказов (FMEA)
Анализ дерева неисправностей (FTA)
Анализ дерева событий (ETA)
Анализ причин и последствий
Анализ уровней защиты (LOPA)
Анализ дерева решений
Анализ влияния человеческого фактора (HRA)
Техническое обслуживание, направленное на обеспечение надежности
Анализ скрытых дефектов (SA)
Моделирование методом Монте-Карло
Байесовский анализ и сети Байеса
Матрица последствий и вероятностей
Анализ эффективности затрат (CBA)
Мультикритериальный анализ решений (MCDA)
А.2 Факторы, влияющие на выбор метода оценки риска
Факторами, влияющими на выбор метода оценки риска, являются:
— сложность проблемы и методов, необходимых для анализа риска;
— характер и степень неопределенности оценки риска, основанной на доступной информации и соответствии целям;
— необходимые ресурсы: временные, информационные и др.;
— возможность получения количественных оценок выходных данных.
Примеры методов оценки риска приведены в таблице A.2, где для каждого метода указан уровень соответствия этим признакам по шкале: высокий, средний или низкий.
Наименование метода оценки риска
Значимость воздействующих факторов
Возмож- ность получения количест- венных выходных данных
Ресурсы и возможности
Простая форма идентификации риска. Метод позволяет представить пользователю перечень источников неопределенности, которые необходимо рассмотреть. Пользователи используют ранее разработанный перечень, кодексы (своды правил) и стандарты
Предварительный анализ опасностей
Простой индуктивный метод анализа, цель которого состоит в идентификации опасности, опасных ситуаций и событий, которые могут нанести вред деятельности, оборудованию или системам организации
Структурированное интервью и мозговой штурм
Способ получения набора идей и оценок, ранжируемых командой. Мозговой штурм можно стимулировать путем применения методов интервью «один на один» или «один с группой»
Метод получения экспертных оценок, которые могут помочь при идентификации источников и воздействий опасности, количественной оценке вероятности и последствий и общей оценке риска. Это метод обобщения мнений экспертов.
Метод позволяет провести независимый анализ и голосование экспертов
Структурированный анализ сценариев методом «что, если?» (SWIFT)
Система, помогающая группе специалистов идентифицировать риск. Обычно используют на небольших совещаниях. Применяют обычно вместе с методами анализа и оценки риска
Сложность зависит от особенностей задачи.
Анализ влияния человеческого фактора (HRA)
Метод исследования воздействия человеческого фактора (HRA) на систему и оценка ошибок человека, влияющих на работу системы.
Метод анализа произошедших потерь, используемый для установления их причин и поиска способов совершенствования системы или процесса предупреждения подобных потерь в будущем. В процессе анализа необходимо исследовать используемые на местах методы управления в момент появления потерь и возможности улучшения управления
Метод исследования и идентификации возможных сценариев развития событий путем представления или экстраполяции известных опасных событий и риска в предположении, что каждый из этих сценариев может произойти. Метод может быть использован формально или неформально, анализ может быть качественный или количественный
Оценка токсикологического риска
Метод идентификации и анализа опасностей и возможных путей их распространения. Метод позволяет получить информацию об уровне экспозиции и вреда для окружающей среды и полезен при оценке вероятности нанесения такого вреда
Анализ воздействия на бизнес
Метод позволяет провести анализ риска нарушения (разрушения) ключевых видов деятельности организации и идентифицировать возможности управления этими нарушениями (разрушениями)
Анализ дерева неисправностей
Метод, в соответствии с которым идентифицируют отказ системы (главное событие) и затем определяют пути его возникновения. Эти пути изображают графически в виде логической древовидной диаграммы. С помощью дерева неисправностей исследуют способы снижения или устранения потенциальных причин/источников неисправности
Анализ дерева событий
Метод, в соответствии с которым для оценки вероятности реализации событий и их перехода в другие события используют индуктивные выводы
Анализ причин и последствий
Метод, объединяющий методы дерева неисправностей и дерева событий, позволяющий учесть время запаздывания. В рамках метода могут быть исследованы причины и последствия возникшего события
Воздействие может иметь несколько влияющих факторов, которые могут быть сгруппированы в различные категории. Влияющие факторы часто идентифицируют во время проведения мозгового штурма и отображают в форме древовидной структуры или рыбьего скелета
Анализ видов и последствий отказов (FMEA) и анализ критичности видов и последствий отказов (FMECA)
FMEA (анализ видов и последствий отказов) является методом идентификации видов и процесса развития отказа и его последствий. Существует несколько типов FMEA: FMEA проекта (или продукции) и их компонентов, FMEA систем, FMEA процесса (для производственных и сборочных процессов), FMEA технического обслуживания и FMEA программного обеспечения.
FMEA может сопровождаться анализом критичности каждого вида отказа, оцениваемого по качественной, количественной или смешанной шкале (FMECA). Анализ критичности видов и последствий отказов может быть основан на оценке вероятности того, что исследуемый вид отказа приведет к отказу системы или уровню риска, соответствующего данному виду отказа, или преимущественного риска
Техническое обслуживание, направленное на обеспечение надежности
Метод идентификации и внедрения политики технического обслуживания, направленной на достижение результативности и эффективности требуемых безопасности, надежности и экономичности работы оборудования
Анализ скрытых дефектов (анализ паразитных цепей)
Метод идентификации скрытых ошибок проекта. Для выявления скрытых отказов используют специальное оборудование, программное обеспечение или интегрированные способы проверки, которые могут вызвать возникновение неблагоприятного события или приостановить благоприятное событие. Эти события не должны быть вызваны отказом компонентов. Эти отказы носят случайный характер, и их трудно обнаружить во время испытаний системы. Скрытые отказы могут привести к нарушениям функционирования системы, сбоям при выполнении программы и даже смерти или травмам персонала
Исследование опасности и работоспособности (HAZOP)
Общий процесс идентификации потенциальных опасностей, направленный на выявление возможных слабых мест или отклонений способов выполнения работ (предполагаемых или предназначенных). Метод основан на использовании системы управляющих слов. При этом также оценивают критичность выявленных отклонений
Анализ опасности и критических контрольных точек (HACCP)
Система предупреждающих действий, направленных на обеспечение качества продукции, надежности и безопасности процессов, на основе применения мониторинга и измерений специфических характеристик, которые должны находиться в установленных границах (критические контрольные точки)
Анализ уровней защиты (LOPA)
Метод позволяет оценить средства управления и их эффективность. (Метод называют анализом барьеров.)
Простой схематический способ описания и анализа путей реализации риска (от опасности до последствий и результатов), а также анализа методов управления. В данном методе объединены логика дерева неисправностей с помощью которого проводят анализ причин события и дерева событий, с помощью которого проводят анализ последствий
Марковский анализ иногда называют анализом состояний, его обычно используют при анализе сложных восстанавливаемых систем, которые могут находиться в различных состояниях, включая состояния с ухудшенными характеристиками работоспособности
Моделирование методом Монте-Карло
Моделирование методом Монте-Карло используют для установления изменений системы, возникающих в результате изменений входных данных системы с учетом распределения входных данных и их связи с выходными данными. Анализ может быть использован для модели, определяющей взаимосвязь входных и выходных данных. Входные данные могут быть описаны как случайные величины соответствующими распределениями и присущей им неопределенностью. Для оценки риска обычно используют треугольные распределения или бета-распределения
Статистическая процедура, использующая для оценки вероятности результатов априорное распределение данных. Точность результатов Байесовского анализа зависит от точности априорного распределения. Байесовская сеть моделирует причинно-следственные связи на основе анализа вероятностных соотношений входных данных и результатов
Методика оценки рисков информационной безопасности
Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.