1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как оценить риск

CATBACK.RU

СПРАВОЧНИК

ДЛЯ ЭКОНОМИСТОВ

Оценка рисков. Методы оценки рисков

Оценка риска — это совокупность аналитических мepoприятий, позволяющих спрогнозировать возможность получения дополнительного предпринимательского дохода или определенной величины ущерба от возникшей рисковой ситуации и несвоевременного принятия мер по предотвращению риска.

Степень риска — это вероятность наступления случая потерь, а также размер возможного ущерба от него. Риск может быть:

  • допустимым — имеется угроза полной потери прибыли от реализации планируемого проекта;
  • критическим — возможны непоступление не только прибыли, но и выручки и покрытие убытков за счет средств предпринимателя;
  • катастрофическим — возможны потеря капитала, имущества и банкротство предпринимателя.

Количественный анализ — это определение конкретного размера денежного ущерба отдельных подвидов финансового риска и финансового риска в совокупности.

Иногда качественный и количественный анализ производится на основе оценки влияния внутренних и внешних факторов: осуществляются поэлементная оценка удельного веса их влияния на работу данного предприятия и ее денежное выражение. Такой метод анализа является достаточно трудоемким с точки зрения количественного анализа, но приносит свои несомненные плоды при качественном анализе. В связи .с этим следует уделить большее внимание описанию методов количественного анализа финансового риска, поскольку их немало и для их грамотного применения необходим некоторый навык.

В абсолютном выражении риск может определяться величиной возможных потерь в материально-вещественном (физическом) или стоимостном (денежном) выражении.

В относительном выражении риск определяется как величина возможных потерь, отнесенная к некоторой базе, в виде которой наиболее удобно принимать либо имущественное состояние предприятия, либо общие затраты ресурсов на данный вид предпринимательской деятельности, либо ожидаемый доход (прибыль). Тогда потерями будем считать случайное отклонение прибыли, дохода, выручки в сторону снижения. в сравнении с ожидаемыми величинами. Предпринимательские потери — это в первую очередь случайное снижение предпринимательского дохода. Именно величина таких потерь и характеризует степень риска. Отсюда анализ риска прежде всего связан с изучением потерь.

В зависимости от величины вероятных потерь целесообразно разделить их на три группы:

  • потери, величина которых не превышает расчетной прибыли, можно назвать допустимыми;
  • потери, величина которых больше расчетной прибыли относятся к разряду критических — такие потери придется возмещать из кармана предпринимателя;
  • еще более опасен катастрофический риск, при котором предприниматель рискует понести потери, превышающие все его имущество.

Если удается тем или иным способом спрогнозировать, оценить возможные потери по данной операции, то значит получена количественная оценка риска, на который идет предприниматель. Разделив абсолютную величину возможных потерь на расчетный показатель затрат или прибыли, получим количественную оценку риска в относительном выражении, в процентах.

Говоря о том, что риск измеряется величиной возможных. вероятных потерь, следует учитывать случайный характер таких потерь. Вероятность наступления события может быть определена объективным методом и субъективным. Объективным методом пользуются для определения вероятности наступления события на основе исчисления частоты, с которой происходит данное событие.

Субъективный метод базируется на использовании субъективных критериев, которые основываются на различных предположениях. К таким предположениям могут относиться суждение оценивающего, его личный опыт, оценка эксперта по рейтингу, мнение аудитора-консультанта и т.п.

Таким образом, в основе оценки финансовых рисков лежит нахождение зависимости между определенными размерами потерь предприятия и вероятностью их возникновения. Эта зависимость находит выражение в строящейся кривой вероятностей возникновения определенного уровня потерь.

Построение кривой — чрезвычайно сложная задача, требующая от служащих, занимающихся вопросами финансового риска, достаточного опытами знаний. Для построения кривой вероятностей возникновения определенного уровня потерь (кривой риска) применяются различные способы: статистический; анализ целесообразности затрат; метод экспертных оценок; аналитический способ; метод аналогий. Среди них следует особо выделить три: статистический способ, метод экспертных оценок, аналитический способ.

Суть статистического способа заключается в том, что изучается статистика потерь и прибылей, имевших место на данном или аналогичном производстве, устанавливаются величина и частотность получения той или иной экономической отдачи, составляется наиболее вероятный прогноз на будущее.

Несомненно, риск — это вероятностная категория, ив этом смысле наиболее обоснованно с научных позиций характеризовать и измерять его как вероятность возникновения определенного уровня потерь. Вероятность означает возможность получения определенного результата.

Финансовый риск, как и любой другой, имеет математически выраженную вероятность наступления потери, которая опирается на статистические данные и может быть рассчитана с достаточно высокой точностью. Чтобы количественно определить величину финансового риска, необходимо знать все возможные последствия какого-либо отдельного действия и вероятность самих последствий.

Применительно к экономическим задачам методы теории вероятности сводятся к определению значений вероятности наступления событий и к выбору из возможных событий самого предпочтительного исходя из наибольшей величины математического ожидания, которое равно абсолютной величине этого события, умноженной на вероятность его наступления.

Главные инструменты статистического метода расчета финансового риска: вариация, дисперсия и стандартное (среднеквадратическое) отклонение.

Вариация — изменение количественных показателей при переходе от одного варианта результата к другому. Дисперсия — мера отклонения фактического знания от его среднего значения.

Степень риска измеряется двумя показателями: средним ожидаемым значением и колеблемостью (изменчивостью) возможного результата.

Среднее ожидаемое значение связано с неопределенностью ситуации, оно выражается в виде средневзвешенной величины всех возможных результатов Е(х), где вероятность каждого результата (А) используется в качестве частоты или веса соответствующего значения (х). В общем виде это можно записать так:

Среднее ожидаемое значение — это то значение величины события, которое связано с неопределенной ситуацией. Оно является средневзвешенной всех возможных результатов, где вероятность каждого результата используется в качестве частоты, или веса, соответствующего значения. Таким образом вычисляется тот результат, который предположительно ожидается.

Анализ целесообразности затрат ориентирован на идентификацию потенциальных зон риска с учетом показателей финансовой устойчивости фирмы. В данном случае можно просто обойтись стандартными приемами финансового анализа результатов деятельности основного предприятия и деятельности его контрагентов (банка, инвестиционного фонда, предприятия-клиента, предприятия-эмитента, инвестора, покупателя, продавца и т.п.).

Метод экспертных оценок обычно реализуется путем обработки мнений опытных предпринимателей и специалистов. Он отличается от статистического лишь методом сбора информации для построения кривой риска.

Данный способ предполагает сбор и изучение оценок, сделанных различными специалистами (данного предприятия или внешними экспертами) вероятностей возникновения различных уровней потерь. Эти оценки базируются на учете всех факторов финансового риска, а также статистических данных. Реализация способа экспертных оценок значительно осложняется, если количество показателей оценки невелико.

Аналитический способ построения кривой риска наиболее сложен, поскольку лежащие в основе его элементы теории игр доступны только очень узким специалистам. Чаще используется подвид аналитического метода — анализ чувствительности модели.

Анализ чувствительности модели состоит из следующих шагов: выбор ключевого показателя, относительно которого и производится оценка чувствительности (внутренняя норма доходности, чистый приведенный доход и т.п.); выбор факторов (уровень инфляции, степень состояния экономики и др.); расчет значений ключевого показателя на различных этапах осуществления проекта (закупка сырья, производство, реализация, транспортировка, капстроительство и т.п.).

Сформированные таким путем последовательности затрат и поступлений финансовых ресурсов дают возможность определить потоки фондов денежных средств для каждого момента (или отрезка времени), т.е. определить показатели эффективности. Строятся диаграммы, отражающие зависимость выбранных результирующих показателей от величины исходных параметров. Сопоставляя между собой полученные диаграммы, можно определить так называемые ключевые показатели, в наибольшей степени влияющие на оценку доходности проекта.

Анализ чувствительности имеет и серьезные недостатки: он не является всеобъемлющим и не уточняет вероятность осуществления альтернативных проектов.

Метод аналогий при анализе риска нового проекта весьма полезен, так как в данном случае исследуются данные о последствиях воздействия неблагоприятных факторов финансового риска на другие аналогичные проекты других конкурирующих предприятий.

Индексация представляет собой способ сохранения реальной величины денежных ресурсов (капитала) и доходности в условиях инфляции. В основе ее лежит использование различных индексов.

Например, при анализе и прогнозе финансовых ресурсов необходимо учитывать изменение цен, для чего используются индексы цен. Индекс цен — показатель, характеризующий изменение цен за определенный период времени.

Таким образом, существующие способы построения кривой вероятностей возникновения определенного уровня потерь не совcем равноценны, но так или иначе позволяют произвести приблизительную оценку общего объема финансового риска.

Читать еще:  Что означают разноцветные полоски на сменных фильтрах

Источник — О.А. Фирсова — СПОСОБЫ ОЦЕНКИ СТЕПЕНИ РИСКА, ФГБОУ ВПО «Госуниверситет – УНПК», 2000.

ОЦЕНКА РИСКОВ ПРЕДПРИЯТИЯ

Политика управления рисками рассматривается как необходимый элемент достижения стратегических целей организации, сохранения непрерывности деятельности бизнеса в долгосрочной перспективе, а также сохранения имущества и достижения целевых показателей эффективности в краткосрочной и долгосрочной перспективах.

Политика управления рисками основана на лучших мировых практиках управления рисками и учитывает положения концептуальных основ управления рисками COSO ERM, стандарта ГОСТ Р 51897— 2011 /Руководство ИСО 73:2009 «Менеджмент риска. Термины и определения», стандарта ISO 31000:2009 «Менеджмент риска. Принципы и руководство», а также других общепризнанных в мире документов в области управления рисками.

В ГОСТ Р ИСО 9000—2015 риск определяется как влияние неопределенности, которое выражается в отклонении от ожидаемого результата — позитивном или негативном. Неопределенность является состоянием, связанным с недостатком, даже частично, информации, понимания или знания о событии, его последствиях или вероятности. Риск часто определяют по отношению к потенциальным событиям и их последствиям или к их комбинации. Риск часто выражается в терминах комбинации последствий события и связанных с ними вероятностей возникновения.

Система управления рисками базируется на следующих принципах:

  • • системный подход, разделение уровня принятия решений по уровням управления в зависимости от значимости рисков;
  • • ответственность за управления рисками на каждом уровне управления;
  • • коллегиальное принятие решений по рискам, влияющим на несколько бизнес-процессов одновременно;
  • • достаточная информированность о рисках для принятия решений на каждом уровне управления;
  • • нацеленность на выполнение стратегических и операционных целей;
  • • экономическая эффективность мероприятий по управлению рисками;
  • • регулярный мониторинг основных рисков.
  • • по вероятности наступления: низкий, средний, высокий;
  • • влиянию последствий на финансовые показатели: менее 5%, от 5 до 20%, более 20% от выручки;
  • • степени возможного влияния на снижение риска: внешние, внутренние;
  • • видам: рыночные (коммерческие), производственные, инвестиционные, управленческие, финансовые, правовые.

Идентификация рисков проводится на каждом уровне управления по каждому бизнес-процессу. Для оценки рисков реализации стратегических целей горизонт оценки выбирается 10 лет, для оценки рисков реализации бизнес-плана — один год.

Политика организации в области управления рисками направлена на выявление потенциальных рисков, анализ их возможного влияния на эффективность производственной деятельности и разработку мер по их предупреждению, снижению масштабов отрицательных последствий.

Политика управления рисками осуществляется путем реализации комплекса мероприятий:

  • 1) определение перечня рисков;
  • 2) проведение анализа рисков и определение степени их влияния на ключевые показатели деятельности предприятия;
  • 3) разработка и реализация мероприятий по предотвращению или снижению отрицательных последствий неблагоприятных событий;
  • 4) контроль и сбор результатов.

В целях анализа проводится качественная и количественная оценка рисков, рассматриваются основные факторы деятельности предприятия и присущие им риски, определяются возможные пути нейтрализации негативных последствий.

Качественная оценка рисков основывается на экспертном суждении об уровне влияния выбранных факторов риска на основные целевые индикаторы (КРГ) и бюджет стратегического развития.

Качественно уровень влияния рисков оценивается как низкий, средний и высокий.

Основными источниками риска в деятельности предприятия, влияющими на успешную реализацию стратегии развития, являются:

  • 1) объемы продаж (источники сбытовых, продуктовых, ценовых, конкурентных рисков);
  • 2) производство (источник производственных, технологических, экологических рисков и рисков качества);
  • 3) ресурсы (ресурсные риски, связанные с количеством и качеством основных средств, финансовых ресурсов, сырья, комплектующих изделий, квалифицированных кадров);
  • 4) внешнее окружение (источник мировых, государственных, региональных рисков);
  • 5) система корпоративного управления (источник управленческих и финансовых рисков);
  • 6) риск неплатежеспособности (невыполнения) обязательств контрагентом по заключенным контрактам (в случае государственного заказа сложнее преследовать свои интересы в суде).

Риски организации, связанные с качеством, относятся к группе производственных рисков.

К основным факторам производственных рисков относят:

  • 1) повышение себестоимости продукции за счет:
    • • повышения закупочных цен на комплектующие изделия, сырье и материалы,
    • • увеличения стоимости кредитов, нестабильного курса валют, удорожания энергоресурсов, ужесточения налогового и таможенного законодательства и т.д.,
    • • неэффективного управления ресурсами и затратами;
  • 2) технологические риски:
    • • использование устаревших энергоемких, экологически вредных технологий,
    • • отсутствие технологий, позволяющих достичь передовых эксплуатационных и функциональных характеристик,
    • • амортизация оборудования, моральное старение объектов основных средств;
  • 3) риск невыполнения производственной программы:
    • • по объему производства,
    • • срокам изготовления;
  • 4) риски, связанные с качеством продукции:
    • • производство продукции низкого или недостаточного качества,
    • • низкая квалификация персонала,
    • • низкое качество комплектующих изделий,
    • • низкий уровень системы менеджмента качества,
    • • производство продукции с недостаточными функциональными и потребительскими свойствами.

Меры по предупреждению и нейтрализации производственных рисков:

  • 1) себестоимость продукции, управление затратами:
    • • повышение себестоимости продукции из-за повышения цен на энергоресурсы связано с тарифами на электроэнергию и газ, которые регулируются государством. При этом предприятию необходимо вести постоянную работу по возможному снижению энергопотребления,
    • • увеличение расходов на оплату труда происходит в плановом порядке в рамках кадровой политики на регулярной основе и зависит от объема выполненных работ и инфляции,
    • • услуги сторонних организаций осуществляются на договорной основе; рост стоимости этих услуг по отдельным договорам, особенно с предприятиями-монополистами, может быть существенным, но в целом расходы по данной статье должны укладываться в рамки инфляции,
    • • рост стоимости комплектующих изделий может внести наибольший вклад в рост себестоимости продукции. Этот фактор наименее подвержен возможности регулирования со стороны предприятия и требует использования антимонопольных механизмов. Имеет смысл добиваться более долгосрочных контрактов либо прописывать потолок увеличения цен при пролонгации,
    • • внедрение механизма сверки денежных потоков — срок до погашения выданных кредитов должен соответствовать срокам получения средств (материалов) от контрагентов. Риск простоя оборудования, таким образом, уменьшается;
  • 2) эффективные технологии производства:
    • • предприятию необходимо вести постоянную модернизацию существующих производственных мощностей, включая создание центров превосходства. Уровень производства и технологий этих центров должен будет соответствовать или превосходить мировой уровень;
  • 3) выполнение производственной программы:
    • • производственная программа предприятия должна составляться с учетом возможностей имеющихся производственных мощностей. Должен осуществляться постоянный анализ и оперативный контроль исполнения программы. В случае необходимости должны приниматься решения о перегруппировке ресурсов, корректироваться планы работ отдельных подразделений;
  • 4) качество продукции:
    • • работа по совершенствованию системы менеджмента качества (СМК) предприятия должна планироваться и осуществляться в соответствии с требованиями отраслевых нормативных документов, а также опыта работы с иностранными партнерами. По результатам внутренних и внешних аудитов СМК должны разрабатываться и проводиться предупреждающие и корректирующие действия, направленные на обеспечение и повышение качества создаваемых изделий,
    • • технологическая модернизация производства позволяет улучшить качество продукции, повысить ее функциональность и потребительские свойства. Мероприятия по улучшению входного контроля комплектующих изделий, контроля качества с использованием передовых методов неразрушающего контроля (НМК) позволяют снизить риски выпуска некачественных изделий,
    • • система обучения персонала должна постоянно совершенствоваться для обеспечения подготовки современных высококвалифицированных специалистов. Повышение квалификации, переподготовка, улучшение системы мотивации персонала, системы оплаты труда, повышение общего уровня оплаты также повышают качество работы персонала.

Реализация запланированных мероприятий позволит снизить риски, связанные с качеством продукции.

Производственная деятельность предприятия потенциально сопряжена с возможностью нанесения ущерба окружающей среде и вытекающими из этого рисками гражданской ответственности в связи с затратами на проведение работ по устранению такого ущерба.

Для снижения экологических рисков предприятие должно осуществлять постоянный контроль всей производственной деятельности с целью соблюдения соответствующих природоохранных стандартов на всех этапах своей деятельности, реализовывать мероприятия по охране окружающей среды и снижению воздействия на окружающую среду.

Кроме того, предприятие должно осуществлять страхование рисков причинения ущерба третьим лицам и окружающей среде при эксплуатации опасных производственных объектов в соответствии с требованиями действующего законодательства.

Реализация запланированных мероприятий также позволит снизить риски, связанные с качеством продукции.

Количественная оценка рисков

Для количественной оценки влияния наиболее значимых факторов риска на бюджет программ стратегического развития проводится количественный анализ рисков.

Для оценки рисков используются различные методики, в том числе:

  • • анализ чувствительности (влияние отдельных факторов риска);
  • • сценарный анализ (анализ совместного влияния основных факторов риска).
Читать еще:  Сколько дней лечится стоматит у взрослых

Это стандартный метод количественного анализа, который заключается в изменении значений критических параметров и расчете показателей эффективности при каждом таком изменении.

Данный метод позволяет выявить перечень параметров, наиболее влияющих на эффективность проекта, но не позволяет определить достоверные абсолютные значения параметров эффективности. Это связано с тем, что в данном методе анализа выбранный параметр изменяется при неизменных остальных параметрах. На практике все параметры изменяются одновременно, изменение одного параметра влияет на изменение остальных.

В данном анализе в качестве критических параметров могут быть выбраны следующие факторы риска:

  • • объем продаж;
  • • расходы на материалы и покупные комплектующие изделия (ПКИ);
  • • расходы на заработную плату;
  • • стоимость заемных средств.

Для каждого выбранного критического параметра производят расчет его воздействия на чистую приведенную прибыль предприятия NPV.

Чистая приведенная прибыль характеризует абсолютный результат процесса инвестирования и может быть рассчитана как разность дисконтированных к одному моменту времени потоков доходов и расходов проекта

где CF,f денежный приток в период t;

CF0f — денежный отток в период t;

/ — ставка дисконтирования (15—20%); п — срок реализации проекта (например, 2011—2020 гг.).

Логика использования данного критерия для принятия решения следующая:

  • • если NPV > 0, то вариант прибыльный, положительное значение отражает величину дохода, который будет получен сверх требуемого уровня, задаваемого ставкой дисконтирования;
  • • если NPV

Поставить на карту: классификация и оценка рисков

Риски присущи любой предпринимательской деятельности. Они могут быть различны по источнику, сроку и обстоятельствам появления и, соответственно, по методам анализа и оценки. В рамках данной статьи мы разберемся, какая существует классификация рисков, средства оценки рисков, и рассмотрим конкретные примеры.

Разделяй и оценивай

Классифицировать риски – значит систематизировать их, основываясь на каких-либо общих параметрах. Классификация делает более простым процесс анализа рисков. Основания для группирования рисков чаще всего выделяют такие:

  • период появления;
  • обстоятельства появления;
  • особенности учета;
  • особенности последствий;
  • область формирования.

1. Если за основу брать период появления, то риски делятся на:

  • ретроспективные,
  • текущие,
  • перспективные.

Причем исследование ретроспективных рисков, их особенностей и средств для минимизации рисков позволяет проецировать эту информацию на текущие и перспективные риски.

2. Обстоятельства появления предполагают такую классификацию рисков:

  • Политические риски. Таким рискам «тон» задает политическая ситуация, воздействующая на бизнес (к примеру, таможенные запреты, закрытие границ и так далее)
  • Экономические, или коммерческие риски. Таковыми считаются те, что зависят от неоптимальной экономической ситуации в рамках организации или государства. Чаще всего предприятия сталкиваются с дисбалансом в области конъюнктуры рынка, сложностями своевременного выполнения платежных обязательств, с переменами уровня управления.

3. Особенности учета рисков позволяют сделать такую комбинацию:

  • Внешние риски. Таковые напрямую не взаимодействуют с функционированием организации, либо его контактной аудиторией (это юридические/физические лица, различные социальные группы, так или иначе воздействующие с компанией). Здесь во внимание стоит принимать достаточно много обстоятельств – экономических, политических, социальных и многих других.
  • Внутренние риски. Появление таких рисков объясняется особенностями работы самой компании и ее контактной аудитории. Степень их проявления зависит от деловой активности руководящего звена организации, направления развития маркетинговой активности, а также производственный потенциал, техническое оснащение и многое другое.

4. Если мы станем учитывать последствия, то типология рисков будет выглядеть следующим образом:

  • Чистые и простые риски. С большей долей вероятности наносят урон бизнесу и возникают при катастрофах, военных действиях, катаклизмах и так далее.
  • Спекулятивные и динамические риски. Их особенность: угроза потери прибыли, однако они способны принести и доход по сравнению к предполагаемому результату. Их появление обусловлено нестабильностью конъюнктуры рынка, скачками курсов валюты, нововведениями в налоговом законодательстве и так далее.

5. Если в основе типологии лежит такой параметр, как область формирования, мы получим наиболее обширную группу среди основной классификации рисков.

  • Производственный риск. Грозит, если организация не реализует планы и нарушает договоры по запланированным объемам произведенной продукции, услуг и товаров по причине неоптимальной внешней среды и некорректного применения технологий, основных и оборотных средств, сырья и рабочего времени. Чаще всего причинами появления таких рисков становятся уменьшение плановых объемов производства, повышение затрат, расходы на высокие налоги, неотлаженная система работы с поставщиками, сбой в аппаратной части.
  • Коммерческий риск появляется при сбыте товаров и услуг, которые организация закупает или производит сама. Такой риск возможен вследствие уменьшения объема продаж из-за нестабильности конъюнктуры, роста закупочной стоимости, утери товара при использовании. Финансовый риск допускает сложности с реализацией компанией финансовых обязательств, что нередко связано с падением цены инвестиционно-финансового портфеля из-за нестабильности валютного курса, перебоев с платежными операциями.
  • Страховой риск возможен при возникновении обстоятельств, предполагаемых при заключении страхового договора, что в итоге влечет обязательства страховщика выплатить соответствующее возмещение. Последствия риска — это обычно ущерб, связанный с некачественной страховой работой, предшествующей заключению договора и в последующем, при перестраховании, разработке страховых и так далее. Причины появления этих рисков – некорректность при установлении страховых тарифов и подходе страхующего лица.

Прочие типологии

6. По такому параметру, как производственная деятельность, классификация рисков может быть такой:

  • Организационные риски. Они формируются из-за просчетов в системе менеджмента организации и сотрудников, невыстроенной системы внутреннего контроля — то есть связаны с нарушениями во внутренних бизнес-процессах предприятия.
  • Рыночные риски. Возможны при неустойчивой экономической конъюнктуре: угрозы денежных убытков по причине скачков стоимости товаров, риск падения спроса на продукт, потеря ликвидности.
  • Кредитные риски грозят, если партнер организации не сможет соблюсти условия кредитного договора. Подобные риски грозят и банкам (невозврат денег), и компаниям, у которых есть дебиторская задолженность или сфера услуг завязана на рынке ценных бумаг.
  • Юридические риски характерны при ситуации, когда во время сделки не была принята в расчет законодательная база, либо были введены поправки в законодательство. Здесь же упомянем риск расхождения пунктов законодательства в разных странах и неправильно сформированной документации.
  • Технико-производственные/экологические риски предполагают вероятность урона, который может быть нанесен окружающей среде, возможность аварий и пожаров, сбоев в процессе из-за нарушений при проектных и монтажных работах.

7. Наконец, по последствиям риски подразделяются на такие, как:

  • Допустимый риск – возникает при принятии решения, при нереализации которого предприятию грозят финансовые потери. В рамках данной области бизнес может терпеть убытки, однако они не перекрывают планируемого дохода.
  • Критический риск характеризует возможность появления убытков, то есть данную область отличает вероятность возникновения убытков, превышающих прибыль. Также здесь речь идет о потере средств компании, которые были вложены в проект.
  • Катастрофический риск характерен при ситуации, когда организации грозит банкротство, а убытки могут быть равны имущественному состоянию фирмы. Этот же риск предполагает любую ситуацию, представляющую опасность для человека.

Вышеперечисленные классификации рисков можно дополнять исходя из потребностей самой компании и специфики ее деятельности.

Оценка риска

Приведенная выше классификация позволяет провести грамотный анализ и оценку рисков. Но, прежде чем мы обратимся к вопросу оценки и анализа рисков, стоит определиться с понятием.

Оценкой рисков принято называть систематическую работу по отслеживанию факторов и разновидностей риска, а также их количественная оценка. То есть принцип оценки рисков предполагает взаимосвязь двух показателей – количественного и качественного.

Вспомогательные инструменты

Для анализа и оценки рисков специалист использует базовую информацию:

  • бухгалтерская отчетность компании,
  • структура и штатное расписание организации,
  • карты технологических потоков (для анализа производственных рисков),
  • договоры (для анализа правовых рисков),
  • себестоимость выработки продукта,
  • финансово-производственные планы компании.

Слово о качестве

Качественный анализ рисков позволяет оценщику определить, что стало стимулом к появлению риска, выявить, на каких стадиях производства есть угроза его возникновения. Таким образом, оценщик устанавливает возможные области риска, раскрывает риски, сопровождающие работу предприятия, и проводит работу по выявлению возможных прибылей и убытков возникновения рисков.

Основная функция оценщика на такой стадии – определение центральных типов рисков, оказывающих воздействие на деятельность организации, то есть, отнесение риска к тому или иному типу согласно классификационному делению. Применение такого метода оценки и анализа рисков помогает достаточно быстро отследить степень рискованности по количественному составу рисков и выбрать дальнейшую стратегию работы.

Слово о количестве

Итоги качественного анализа используются оценщиком в качестве базы для количественного анализа. Иными словами, идет оценка только тех рисков, что фигурируют в соответствующей операции алгоритма принятия решения. Кроме того, оценщик получает числовые значения величин каждого риска и риска объекта в целом, а также определяет потенциальный урон, дает стоимостную оценку, если урон уже нанесен, и предлагает ряд действий для нейтрализации рисков с финансовым расчетом.

Применяя количественный метод оценки рисков, оценщик имеет возможность его формализовать и обращается к набору инструментария. Самыми частотными методами в работе являются статистические, аналитические, метод экспертных оценок, метод аналогов. Для удобства сведем их в таблицу.

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector
×
×