УПРАВЛЕНИЕ РИСКАМИЕрофеева Ирина

МЭСИ

Риски• Обычно говорят, что слово риск имеет французское

происхождение. Однако, рисковать - лавировать между скалами – исконный итальянский глагол. В словаре Даля обсуждается два оттенка этого слова. В первом случае, рисковать значит пускаться

наудачу, отважиться, отдать себя на волю случая, надеясь на счастье (отсюда - рискнем!). Во втором варианте,

рисковать – подвергаться известной

опасности, превратности, неудаче.

Определение рисков

• (это неуверенность или невозможность получения достоверного знания о благоприятном исходе при указанных ограничениях).

Риск в широком смысле - характеристика ситуации, имеющей неопределенность исхода, при обязательном наличии неблагоприятных последствий

Классификация рисков• Для качественного анализа рисков, который затем позволит провести идентификацию

и оценку рисков, а также разработать методы управления ими, необходимо провести распределение рисков по группам на основе классификационных критериев. Однако классификация рисков часто зависит от цели исследования.

классификация рисков

Различия в видах деятельности

финансовые

риски

производственные

риски

риски материально-технического снабжения

области проявления

рисков

политические

риски,

социальные риски,

природные риски

Решение• Решение - одна из главных составляющих любого управления. Классификация

решений по управлению рисками позволяет выделить характерные для них особенности, предусмотреть возможность снижения рисков при принятии решений.

По области принятия могут быть выделены:

• Эти виды решений тесно связаны друг с другом и так же виляют друг на друга.

геополитические,

внутриполитические,

внешнеполитические,

экономические,

финансовые,

технологические,

конструкторские,

эксплуатационные риск-решения

Снизить риск возможно на этапах:

•планирования операции или проектирования образцов - введением дополнительных элементов и мер;

•принятия решений - использованием соответствующих критериев оценки эффективности решения, например,

•критериев Седвиджа («рассчитывай на лучшее»)

•Вальда («рассчитывай на худшее»);

•выполнения операции и эксплуатации технических систем - посредством строгого соблюдения и контроля режимов эксплуатации.

• По отношению к риску могут проводиться следующие действия • снижение, • компенсация ущерба, • предупреждение, • поглощение.

Процесс управление

рисками

менеджмент

Риск-менеджмент- поддержание баланса между

ресурсами, людьми, целями в процессе

достижения определенных риск-

целей с использованием

найденных в процессе риск-

маркетинга конструктивных, технологических,

организационных , финансовых

инструментов.

Планирование

Мотивация

Организация

Контроль

маркетинг

целеполагание

Действия

Риск-менеджмент• Для предприятия в равной мере важно управлять финансовыми, политическими, кадровыми рисками, технологическими, обеспечивать противопожарную безопасность, управлять действиями в условиях чрезвычайных ситуаций, экологическую защиту и др.• Управление рисками должно входить в общеорганизационный процесс

управления, следует разработать свою стратегию и тактику эффективного управления рисками.

• Так же, важно не только реализовывать управление рисками, но и периодически пересматривать мероприятия и средства такого управления.

• Риск-менеджмент как и любой менеджмент, должен включать планирование, мотивацию, организацию и контроль.

Подходы к анализу рисков

• рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.

Полный вариант

Базовый вариант

• применяется в случае повышенных требований к ИБ. Оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.

Риск характеризует опасность, которой может подвергаться система и

использующая ее организация.

Степень риска зависит от ряда факторов:• ценности ресурсов;• вероятности реализации угроз;• простоты использования уязвимости

для реализации угроз;

• существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, • вероятность возникновения угроз и возможность негативных воздействий.

Риски в организации

Цели которые в первую очередь следует поставить :

• максимально уменьшить длительность обнаружения возможных рисков;

• увеличить скорость реагирования на риски,

• развитие мобильности

внешние риски - воздействие из внешней среды;

смешанные риски - частично вызваны теми и

другими причинами.

внутренние риски - определяются

действиями работников, а так же личностными

качествами предпринимателя;

Технология анализа рисков• В табличных методах можно наглядно отразить связь факторов

негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.

• Вот пример одного из таких методов.

На первом шаге оценивается негативное воздействие по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.

На втором - по той же шкале оценивается вероятность реализации каждой угрозы.

На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

• отображение информации в удобном для анализа виде;• анализ информации о рисках ситуации (источники, объекты риска; возможные

управляющие воздействия; прогноз их эффективности);• диагностика проблемы и ранжирование рисков ситуации;• определение целей управления риском в конкретной си туации с учетом

располагаемых ресурсов;• разработка критерия оценки эффективности управления рисками в конкретной

ситуации;• верификация и оценка вариантов риск-решений;• принятие, оформление, доведение до исполнителей, исполнение, контроль

выполнения решений.

При ситуационном риск-менеджменте алгоритм принятия решений может включать следующие стадии:• обнаружение (контроль) риск-проблемы;сбор информации о рисках, вредных факторах, уязвимости в конкретной ситуации;

Технология анализа рисков

При социально-этическом менеджменте алгоритм принятия решений будет заключаться в недопущении непоправимого воздействия на объекты и субъекты менеджмента. Одним из вариантов такого алгоритма будет:

• сбор информации относительно: источников риска, их физической природы, частоты, состояния и уязвимости объекта управления, располагаемых управляющих воздействий, пара метров недопустимых состояний объекта управления;

• анализ этой информации;• диагностика риск-проблемы;• определение целей управления при решении проблемы;• разработка критерия оценки катастрофического (недопустимого) состояния;

• разработка критерия оценки эффективности управления рисками;• генерация перечня возможных управляющих риском воздействий;• прогноз последствий каждого из управляющих риском воздействий;• оценка того, являются ли допустимыми последствия при каждом из располагаемых воздействий.

Технология анализа рисков

Виды рисков в информационных системах• Кроме критериев, учитывающих финансовые потери, коммерческие

организации могут применять критерии, отражающие:

Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.

ущерб репутации организации; неприятности, связанные с нарушением действующего законодательства; ущерб для здоровья персонала; ущерб, связанный с разглашением персональных данных отдельных лиц; финансовые потери от разглашения информации; финансовые потери, связанные с восстановлением ресурсов; потери, связанные с невозможностью выполнения обязательств; ущерб от дезорганизации деятельности.

СПАСИБО ЗА ВНИМАНИЕ