Robo6log.ru

Финансовый обозреватель
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Риск определяется следующим образом

Определение риска в зависимости от двух факторов

Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций. Подобный подход к оценке рисков достаточно распространен.

При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:

– Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.

– Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

Оценка рисков по трем факторам.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами [22, 23]: угроза, уязвимость, цена потери.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от вероятностей угроз и уязвимостей:

Р происшествия = Р угрозы * Р уязвимости

Соответственно, риск определяется следующим образом:

РИСК = P угрозы * Р уязвимости * ЦЕНА ПОТЕРИ

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.

Например, показатель риска измеряется в шкале от до 8 со следующими определениями уровней риска:

1 – риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.

2 – риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.

8 – риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.

Вероятности уязвимостей и угроз представим шкалами:

По аналогии с ранее рассмотренным методом двухфакторного определения риска, таблица определения уровня риска по трем факторам может быть представлена следующим образом (см. Таблицу 2.).

Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах – ПО анализа рисков. В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.

Определение риска в зависимости от трех факторов

В качестве дополнительных критериев оценки источников угроз, можно можем рассмотреть следующие:

4) Время опасности источника угроз – обозначает временной промежуток, в течение которого данный источник угроз необходимо учитывать (считаться с ним).

По времени существования (актуальности) источники угроз можно разделить на: постоянные или длительно существующие (длительность существования которых сравнима с длительностью существования объекта защиты), кратковременно существующие (длительность существования которых значительно меньше длительности существования объекта защиты), и периодически появляющиеся (кратковременно, но неоднократно появляются в течение времени существования объекта защиты). Необходимо учесть, что «время опасности источника угроз» — величина достаточно субъективная, как и восприятие самого времени.

С точки зрения организации системы защиты информации, для успешного противодействия постоянным и периодически появляющимся источникам угроз, необходимо проводить долговременные мероприятия, а для блокирования возможных кратковременных угроз достаточно определенных разовых действий. Данный подход позволяет избежать излишних затрат, и усложнений процессов обработки защищаемой информации.

5) Скрытность действий – открыто или скрытно будет действовать источник угроз при реализации угрозы. Будет ли источник угрозы действовать в рабочее время, или в нерабочее время и выходные дни, либо в любое время (круглосуточно).

Данный критерий определяет открыто или скрытно будет действовать источник угроз при реализации угрозы. И соответственно, от сюда вытекает вывод в необходимости применения дополнительных организационных мер, а так же, средств и методов контроля и наблюдения за защищаемой информацией, местами ее хранения, и средой обработки.

Проведя анализ источников угроз на основе вышеперечисленных критериев, мы получаем множество источников угроз для нашего защищаемого объекта. Далее, с учетом построенной модели угроз, мы имеем возможность создать модель источников угроз.

Одним из вариантов визуального представления модели источников угроз является двумерная матрица, строки которой определяются угрозами для защищаемого объекта, а столбцы – источниками угроз для защищаемого объекта. Каждая ячейка матрицы содержит информацию о потенциале опасности источника угроз при реализации данной угрозы (см. Рис. 10), а так же другие необходимые характеристики источника. В случае, если вероятность реализации угрозы источником ниже порогового значения, либо равна нулю, или источник не в состоянии воздействовать на определенную уязвимость защищаемого объекта, то потенциал опасности источника в данной ячейке матрицы равен нулю.

CATBACK.RU

СПРАВОЧНИК

ДЛЯ ЭКОНОМИСТОВ

Оценка рисков. Методы оценки рисков

Оценка риска — это совокупность аналитических мepoприятий, позволяющих спрогнозировать возможность получения дополнительного предпринимательского дохода или определенной величины ущерба от возникшей рисковой ситуации и несвоевременного принятия мер по предотвращению риска.

Степень риска — это вероятность наступления случая потерь, а также размер возможного ущерба от него. Риск может быть:

  • допустимым — имеется угроза полной потери прибыли от реализации планируемого проекта;
  • критическим — возможны непоступление не только прибыли, но и выручки и покрытие убытков за счет средств предпринимателя;
  • катастрофическим — возможны потеря капитала, имущества и банкротство предпринимателя.

Количественный анализ — это определение конкретного размера денежного ущерба отдельных подвидов финансового риска и финансового риска в совокупности.

Иногда качественный и количественный анализ производится на основе оценки влияния внутренних и внешних факторов: осуществляются поэлементная оценка удельного веса их влияния на работу данного предприятия и ее денежное выражение. Такой метод анализа является достаточно трудоемким с точки зрения количественного анализа, но приносит свои несомненные плоды при качественном анализе. В связи .с этим следует уделить большее внимание описанию методов количественного анализа финансового риска, поскольку их немало и для их грамотного применения необходим некоторый навык.

В абсолютном выражении риск может определяться величиной возможных потерь в материально-вещественном (физическом) или стоимостном (денежном) выражении.

В относительном выражении риск определяется как величина возможных потерь, отнесенная к некоторой базе, в виде которой наиболее удобно принимать либо имущественное состояние предприятия, либо общие затраты ресурсов на данный вид предпринимательской деятельности, либо ожидаемый доход (прибыль). Тогда потерями будем считать случайное отклонение прибыли, дохода, выручки в сторону снижения. в сравнении с ожидаемыми величинами. Предпринимательские потери — это в первую очередь случайное снижение предпринимательского дохода. Именно величина таких потерь и характеризует степень риска. Отсюда анализ риска прежде всего связан с изучением потерь.

В зависимости от величины вероятных потерь целесообразно разделить их на три группы:

  • потери, величина которых не превышает расчетной прибыли, можно назвать допустимыми;
  • потери, величина которых больше расчетной прибыли относятся к разряду критических — такие потери придется возмещать из кармана предпринимателя;
  • еще более опасен катастрофический риск, при котором предприниматель рискует понести потери, превышающие все его имущество.

Если удается тем или иным способом спрогнозировать, оценить возможные потери по данной операции, то значит получена количественная оценка риска, на который идет предприниматель. Разделив абсолютную величину возможных потерь на расчетный показатель затрат или прибыли, получим количественную оценку риска в относительном выражении, в процентах.

Читать еще:  Рисковая деятельность это

Говоря о том, что риск измеряется величиной возможных. вероятных потерь, следует учитывать случайный характер таких потерь. Вероятность наступления события может быть определена объективным методом и субъективным. Объективным методом пользуются для определения вероятности наступления события на основе исчисления частоты, с которой происходит данное событие.

Субъективный метод базируется на использовании субъективных критериев, которые основываются на различных предположениях. К таким предположениям могут относиться суждение оценивающего, его личный опыт, оценка эксперта по рейтингу, мнение аудитора-консультанта и т.п.

Таким образом, в основе оценки финансовых рисков лежит нахождение зависимости между определенными размерами потерь предприятия и вероятностью их возникновения. Эта зависимость находит выражение в строящейся кривой вероятностей возникновения определенного уровня потерь.

Построение кривой — чрезвычайно сложная задача, требующая от служащих, занимающихся вопросами финансового риска, достаточного опытами знаний. Для построения кривой вероятностей возникновения определенного уровня потерь (кривой риска) применяются различные способы: статистический; анализ целесообразности затрат; метод экспертных оценок; аналитический способ; метод аналогий. Среди них следует особо выделить три: статистический способ, метод экспертных оценок, аналитический способ.

Суть статистического способа заключается в том, что изучается статистика потерь и прибылей, имевших место на данном или аналогичном производстве, устанавливаются величина и частотность получения той или иной экономической отдачи, составляется наиболее вероятный прогноз на будущее.

Несомненно, риск — это вероятностная категория, ив этом смысле наиболее обоснованно с научных позиций характеризовать и измерять его как вероятность возникновения определенного уровня потерь. Вероятность означает возможность получения определенного результата.

Финансовый риск, как и любой другой, имеет математически выраженную вероятность наступления потери, которая опирается на статистические данные и может быть рассчитана с достаточно высокой точностью. Чтобы количественно определить величину финансового риска, необходимо знать все возможные последствия какого-либо отдельного действия и вероятность самих последствий.

Применительно к экономическим задачам методы теории вероятности сводятся к определению значений вероятности наступления событий и к выбору из возможных событий самого предпочтительного исходя из наибольшей величины математического ожидания, которое равно абсолютной величине этого события, умноженной на вероятность его наступления.

Главные инструменты статистического метода расчета финансового риска: вариация, дисперсия и стандартное (среднеквадратическое) отклонение.

Вариация — изменение количественных показателей при переходе от одного варианта результата к другому. Дисперсия — мера отклонения фактического знания от его среднего значения.

Степень риска измеряется двумя показателями: средним ожидаемым значением и колеблемостью (изменчивостью) возможного результата.

Среднее ожидаемое значение связано с неопределенностью ситуации, оно выражается в виде средневзвешенной величины всех возможных результатов Е(х), где вероятность каждого результата (А) используется в качестве частоты или веса соответствующего значения (х). В общем виде это можно записать так:

Среднее ожидаемое значение — это то значение величины события, которое связано с неопределенной ситуацией. Оно является средневзвешенной всех возможных результатов, где вероятность каждого результата используется в качестве частоты, или веса, соответствующего значения. Таким образом вычисляется тот результат, который предположительно ожидается.

Анализ целесообразности затрат ориентирован на идентификацию потенциальных зон риска с учетом показателей финансовой устойчивости фирмы. В данном случае можно просто обойтись стандартными приемами финансового анализа результатов деятельности основного предприятия и деятельности его контрагентов (банка, инвестиционного фонда, предприятия-клиента, предприятия-эмитента, инвестора, покупателя, продавца и т.п.).

Метод экспертных оценок обычно реализуется путем обработки мнений опытных предпринимателей и специалистов. Он отличается от статистического лишь методом сбора информации для построения кривой риска.

Данный способ предполагает сбор и изучение оценок, сделанных различными специалистами (данного предприятия или внешними экспертами) вероятностей возникновения различных уровней потерь. Эти оценки базируются на учете всех факторов финансового риска, а также статистических данных. Реализация способа экспертных оценок значительно осложняется, если количество показателей оценки невелико.

Аналитический способ построения кривой риска наиболее сложен, поскольку лежащие в основе его элементы теории игр доступны только очень узким специалистам. Чаще используется подвид аналитического метода — анализ чувствительности модели.

Анализ чувствительности модели состоит из следующих шагов: выбор ключевого показателя, относительно которого и производится оценка чувствительности (внутренняя норма доходности, чистый приведенный доход и т.п.); выбор факторов (уровень инфляции, степень состояния экономики и др.); расчет значений ключевого показателя на различных этапах осуществления проекта (закупка сырья, производство, реализация, транспортировка, капстроительство и т.п.).

Сформированные таким путем последовательности затрат и поступлений финансовых ресурсов дают возможность определить потоки фондов денежных средств для каждого момента (или отрезка времени), т.е. определить показатели эффективности. Строятся диаграммы, отражающие зависимость выбранных результирующих показателей от величины исходных параметров. Сопоставляя между собой полученные диаграммы, можно определить так называемые ключевые показатели, в наибольшей степени влияющие на оценку доходности проекта.

Анализ чувствительности имеет и серьезные недостатки: он не является всеобъемлющим и не уточняет вероятность осуществления альтернативных проектов.

Метод аналогий при анализе риска нового проекта весьма полезен, так как в данном случае исследуются данные о последствиях воздействия неблагоприятных факторов финансового риска на другие аналогичные проекты других конкурирующих предприятий.

Индексация представляет собой способ сохранения реальной величины денежных ресурсов (капитала) и доходности в условиях инфляции. В основе ее лежит использование различных индексов.

Например, при анализе и прогнозе финансовых ресурсов необходимо учитывать изменение цен, для чего используются индексы цен. Индекс цен — показатель, характеризующий изменение цен за определенный период времени.

Таким образом, существующие способы построения кривой вероятностей возникновения определенного уровня потерь не совcем равноценны, но так или иначе позволяют произвести приблизительную оценку общего объема финансового риска.

Источник — О.А. Фирсова — СПОСОБЫ ОЦЕНКИ СТЕПЕНИ РИСКА, ФГБОУ ВПО «Госуниверситет – УНПК», 2000.

Охрана труда

Риск и его количественная оценка

Анализируя производственные опасности и вредности, следует отметить вероятностный характер опасности. Нежелательное событие не произошло, но может произойти, и это, в свою очередь, приведет к потерям (материальным — аварии или людским — катастрофа, гибель людей, травматизация). Такие неопределенные ситуации обычно называют рискованными, или ситуациями с риском.

Вероятностная величина потерь (ожидаемых потерь, нежелательных последствий) прямо пропорциональна риску (степени риска) R и может быть представлена выражением

где р — вероятность наступления события, при котором могут иметь место потери L.

В реальной жизни мы имеем дело не с объективной вероятностью, определяемой в соответствии с существующей математической теорией вероятности, а с ожиданиями индивидуума, оценивающего ситуацию и принимающего решение, обычно называемого лицом, принимающим решение (ЛПР). Такие ожидания принято считать субъективной, или персоналистской, вероятностью.

Поэтому можно выражение (2.9) записать в виде

где sP — субъективная вероятность, a EL — ожидаемые потери.

Субъективные вероятности представляют собой численные оценки достоверности ситуаций (от 0 до 1) и выражают мнение ЛПР о шансах появления этих ситуаций. Это мнение основывается на понимании ЛПР объективных причинно-следственных связей. Считают, что субъективные вероятности обладают теми же свойствами, что и математические вероятности, и, следовательно, с ними можно осуществлять известные операции.

Читать еще:  Показатель риска потерь

Связь между ожидаемой величиной потерь (проигрышем) и риском оценивалась психологами в эксперименте по денежной лотерее. Было установлено, что, оценивая риск в эксперименте, люди принимают в расчет две переменные: субъективную вероятность проигрыша (СВП) и величину проигрыша (ВП).

Зато величина выигрыша не оказывает никакого влияния на восприятие риска. Сравнение экспериментальных данных с ожидаемым убытком, равным произведению ВП на СВП, показывает, что имеются статистически существенные расхождения. Они даны в табл. 2.1.

Таблица 2.1. Оценка величины риска

Отсюда можно сделать вывод, что при оценке риска большой вес имеет СВП. Это позволило польскому психологу Р.Кетлинскому предложить эмпирическую функцию оценки величины риска, которая равна

или в исходных обозначениях

В том случае, когда величина потерь известна, но не может быть выражена количественно, например цена человеческой жизни, риск можно оценивать вероятностной составляющей, используя в ряде случаев статистические данные (табл. 2.2). В этом случае риск (степень риска) определяется статистической вероятностью нежелательного события.

Таблица 2.2. Усредненный риск смертельного исхода от различных причин

Индивидуальный риск, год -1

Удар от падающих

предметов и поражение

Падение с высоты

Удары молний, ураган

Основой расчета усредненного риска смертельного исхода является коллективный риск. Коллективный риск определяется следующим образом:

Проиллюстрируем выражение (2.12) на примере. В 1969 г. в США было 15 млн автомобильных катастроф, один случай из 300 заканчивался смертельным исходом. Можно подсчитать, что коллективный риск автомобильных аварий составил: 15*10 6 аварий/год х 1 смерть/300 аварий = 5*10 4 смертей/год. Приняв численность населения США на оцениваемый период равной 200 млн человек, получим: индивидуальный риск = 5*10 4 : 2*10 8 = 2,5*10 -4 смертей/(чел. * год).

В США в качестве наивысшего уровня приемлемого риска взят нормальный для этой страны уровень смертельных случаев по болезни — 10 -2 . Минимальный уровень — риск смерти от природных явлений (молний, землетрясений, укусов ядовитых змей и т. п.) — 10 -7 . Считают, что риск 10 -3 смертей/(чел. * год) — неприемлемо высокий; 10 -4 — высокий, но люди менее серьезно его воспринимают. Уровень риска 10 -6 не вызывает тревоги со стороны обычного человека: он знает о неблагоприятных последствиях, но предполагает, что с ним этого не произойдет. Данный уровень риска принят в стране в качестве нормативного.

В соответствии с ГОСТ 12.1.010-76 и ГОСТ 12.1.004-85 производственные процессы должны разрабатываться так, чтобы вероятность возникновения взрыва и пожара на любом участке (объекте) в течение года не превышала 10 -6 . В случае технической или экономической нецелесообразности (невозможности) обеспечения указанной вероятности возникновения взрыва и пожара производственные процессы должны протекать так, чтобы вероятность воздействия опасных и вредных факторов взрыва и пожара на людей в течение года не превышала 10 6 на человека.

Иногда риск подразделяют на добровольный и недобровольный. Известно, что люди склонны предпринимать 1000-кратно более рискованные действия при добровольном риске по сравнению с ситуациями, требующими недобровольных рисков.

Для анализа ситуаций с риском (опасных ситуаций) предложены разнообразные подходы. Большинство из них использует математический аппарат, например теорию надежности, технических систем, теорию случайных процессов и др.

Главной целью при изучении опасностей и, соответственно, риска, свойственных анализируемой системе, является определение причинных взаимосвязей между исходными аварийными событиями, относящимися к оборудованию, персоналу и окружающей среде, а также отыскание способов устранения вредных воздействий путем перепроектирования системы или ее усовершенствования.

Причинные взаимосвязи можно установить с помощью дерева отказов, которое затем подвергается качественному и количественному анализам.

Понятие отказа — фундаментальное положение теории надежности. Элемент может находиться в двух состояниях: рабочем — «успех», нерабочем — «отказ». По существу действует бинарная логика «да» — «нет». «Отказ» соответствует нежелательному событию — травме, аварии.

При построении деревьев отказов следует пользоваться классификацией исходных отказов.

Риск определяется следующим образом

Сергей Петренко, Сергей Симонов, журнал «IT Manager» #15(3)/2004

Анализ и управление информационными рисками позволяет обеспечивать экономически оправданную информационную безопасность в любой отечественной компании. Для этого необходимо сначала определить, какие информационные активы компании нужно защищать, воздействию каких угроз эти активы подвержены, а затем выработать рекомендации по защите данных. Давайте посмотрим, как на практике можно оценить и управлять информационными рисками компании исходя из поставленных целей и задач.

История вопроса

Опубликованные стандарты в области защиты информации (ISO 15408, ISO 17799, ISO 9001, NIST 800-30, BSI, BS 7799, COBIT, ITIL и пр.) рассматривают вопросы анализа и управления информационными рисками (таблица 1), однако не содержат ряда важных деталей, которые обязательно надо конкретизировать при разработке практических методик управления рисками. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее деятельности и некоторых других факторов. Таким образом, невозможно предложить некую единую, приемлемую для всех отечественных компаний и организаций, универсальную методику управления рисками, позволяющую обеспечить экономически оправданную информационную безопасность предприятия. В каждом конкретном случае необходимо адаптировать общую методику управления рисками под определенные нужды предприятия, с учетом специфики его функционирования и ведения бизнеса. Давайте рассмотрим типичные вопросы и проблемы, возникающие при разработке методик управления информационными рисками в отечественных компаниях.

Таблица 1. Вопросы управления рисками в некоторых международных стандартах

Идентификация рисков

В любой методике управления рисками необходимо идентифицировать риски, как вариант – их составляющие (угрозы и уязвимости). Естественное требование к списку — его полнота. Сложность задачи составления списка и доказательство его полноты зависит от того, какие требования предъявляются к детализации списка. На базовом уровне безопасности, как правило, не предъявляется специальных требований к детализации классов и достаточно использовать какой-либо подходящий в данном случае стандартный список классов рисков. Оценка величины рисков не рассматривается, что приемлемо для отдельных методик базового уровня. Списки классов рисков содержатся в некоторых руководствах, в специализированном ПО анализа рисков. Примером является германский стандарт BSI (www.bsi.de, — в нем имеется каталог угроз применительно к различным элементам информационной технологии.

Достоинством подобных списков является их полнота: классов, как правило, немного (десятки), они достаточно широкие и заведомо покрывают все существующее множество рисков. Недостаток — сложность оценки уровня риска и эффективности контрмер для широкого класса, поскольку подобные расчеты удобнее проводить по более узким (конкретным) классам рисков. К примеру, класс рисков «неисправность маршрутизатора» разбивается на множество подклассов, включающих возможные виды неисправности (уязвимости) ПО конкретного маршрутизатора и неисправности оборудования.

Оценивание рисков

При оценивании рисков рекомендуется рассматривать следующие аспекты:

  • Шкалы и критерии, по которым можно измерять риски.
  • Оценка вероятностей событий.
  • Технологии измерения рисков.

Шкалы и критерии, по которым измеряются риски. Для измерения какого-либо свойства необходимо выбрать шкалу. Шкалы могут быть прямыми (естественными) или косвенными (производными). В качестве примера прямых шкал назовем шкалы для измерения физических величин, скажем — литры для измерения объемов, метры для измерения длины. В ряде случаев прямых шкал не существует, приходится использовать либо прямые шкалы других свойств, связанных с интересующими нас, либо определять новые шкалы. Примером является шкала для измерения субъективного свойства «ценность информационного ресурса». Она может измеряться в производных шкалах, таких, как стоимость восстановления ресурса, время восстановления ресурса, и других. Еще один вариант – определить шкалу для получения экспертной оценки, например имеющую три значения:

  • Малоценный информационный ресурс: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег.
  • Ресурс средней ценности: от него зависит ряд важных задач, при утрате он может быть восстановлен за время, не превышающее критически допустимое, стоимость восстановления – высокая.
  • Ценный ресурс: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока.

Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования (предположим, ПК) за определенный промежуток времени. Примером субъективного критерия — оценка владельцем информационного ресурса риска выхода из строя ПК. Для этого обычно разрабатывается качественная шкала с несколькими градациями: низкий, средний, высокий уровень. В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных шкалах, поскольку:

  • оценка должна отражать субъективную точку зрения владельца информационных ресурсов;
  • должны быть учтены различные аспекты, не только технические, но и организационные, психологические и т. д.

Для получения субъективной оценки в рассматриваемом примере с оценкой риска выхода из строя ПК, можно использовать либо прямую экспертную оценку, либо определить функцию, отображающую объективный данные (вероятность) в субъективную шкалу рисков.

Субъективные шкалы могут быть количественными и качественными, но на практике обычно используются качественные шкалы с 3-7 градациями. С одной стороны, это просто и удобно, с другой – требует грамотного подхода к обработке данных.

Объективные и субъективные вероятности. Термин «вероятность» имеет несколько значений. Наиболее часто встречаются два толкования этого слова, которые обозначаются сочетанием «объективная вероятность» и «субъективная вероятность». Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему их количеству. Объективная вероятность используется при анализе результатов большого числа наблюдений, имевших место в прошлом, а также как следствия из моделей, описывающих некоторые процессы.

Под субъективной вероятностью понимается мера уверенности какого-либо человека или группы людей в том, что данное событие действительно произойдет. Как мера уверенности человека в возможности наступления события, субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Очень часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. В дальнейшем именно в этом смысле мы и будем понимать субъективную вероятность. В современных работах в области системного анализа субъективная вероятность не просто передает меру уверенности на множестве событий, а увязана с системой предпочтений лица, принимающего решения (ЛПР), и в конечном итоге с функцией полезности, отражающей его предпочтения на множестве альтернатив. Тесная связь между субъективной вероятностью и полезностью используется при построении некоторых методов получения субъективной вероятности.

Получение оценок субъективной вероятности. Процесс получения субъективной вероятности обычно разделяют три этапа: подготовительный этап, получение оценок, этап анализа полученных оценок.

Первый этап. Во время этого этапа формируется объект исследования — множество событий, ведется предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов (обзор основных методов рассматривается в приложении 6) получения субъективной вероятности. На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания поставленной задачи экспертами.

Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, отражающий субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательно полученным распределением, поскольку может быть противоречивым.

Третий этап состоит в исследовании результатов опроса. Если вероятности, полученные от экспертов, не согласуются с аксиомами вероятности, на это обращается внимание экспертов и производится уточнение ответов с целью приведения их в соответствие с выбранной системой аксиом. Для некоторых методов получения субъективной вероятности третий этап не проводится, поскольку сам метод состоит в выборе вероятного распределения, подчиняющегося аксиомам вероятности, которое в том или другом смысле наиболее близко к оценкам экспертов. Особую важность третий этап приобретает при агрегировании оценок, полученных от группы экспертов.

Измерение рисков

Сегодня существует ряд подходов к измерению рисков. Давайте рассмотрим наиболее распространенные подходы, а именно оценку рисков по двум и по трем факторам.

Оценка рисков по двум факторам. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

РИСК = P происшествия * ЦЕНА ПОТЕРИ

Если переменные являются количественными величинами, то риск — это оценка математического ожидания потерь.

Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация). Вначале должны быть определены шкалы.

Определяется субъективная шкала вероятностей событий, например:
A — Событие практически никогда не происходит
B — Событие случается редко
C — Вероятность события за рассматриваемый промежуток времени – около 0.5
D — Скорее всего, событие произойдет
E — Событие почти обязательно произойдет

Кроме того, определяется субъективная шкала серьезности происшествий, например:
N (Negligible) – Воздействием можно пренебречь
Mi (Minor) – Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию –незначительно.
Mo (Moderate) – Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи.
S (Serious) – Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.
C (Critical) – Происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков определяется шкала из трех значений:

  • Низкий риск
  • Средний риск
  • Высокий риск

Риск, связанный с определенным событием, зависит от двух факторов и может быть определен так:

Таблица 2. Определение риска в зависимости от двух факторов

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector
×
×