Gocapital.ru

Мировой кризис и Я
4 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Остаточный риск это

остаточный риск

2.18 остаточный риск (residual risk): Риск, остающийся после его обработки.

3.16 остаточный риск: Риск, остающийся после предпринятых защитных мер (ГОСТ Р 51898).

3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].

2.10 остаточный риск (residual risk): Риск, остающийся после снижения риска.

2.12 остаточный риск (residual risk): Риск, остающийся после предпринятых защитных мер ([2], пункт 3.9).

3.24 остаточный риск (residual risk): Риск, оставшийся после принятия мер безопасности.

3.9 остаточный риск: Риск, остающийся после применения защитных мер [1].

3.4.11 остаточный риск: Риск, остающийся после обработки риска.

Остаточный риск — риск, остающийся после предпринятых защитных мер.

3.12 остаточный риск (residual risk): Риск, остающийся после принятия защитных мер (см. рисунок 1).

Примечание — В настоящем стандарте различаются:

— риск, остающийся после защитных мер, предпринятых конструктором;

— риск, остающийся после всех предпринятых защитных мер.

3.90 остаточный риск: Риск, остающийся после принятия мер, направленных на обеспечение безопасности.

(См. 3.3 ЕН 1050 [18].)

остаточный риск — риск, оставшийся после принятия защитных мер;

3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].

3.9 остаточный риск: Риск, остающийся после предпринятых защитных мер.

2.27 остаточный риск (residual risk): Риск (2.1), сохраняющийся после воздействия на риск (2.25).

Примечание 1 — Остаточный риск может содержать в себе неидентифицированный риск.

Примечание 2 — Остаточный риск может быть также известен как «удержанный риск».

[Руководство ИСО 73:2009, определение 3.8.1.6]

3.30 остаточный риск (residual risk): Риск, оставшийся после обработки риска.

остаточный риск: Риск, остающийся после того, как приняты защитные меры.

Остальные определения — по ГОСТ Р 51333.

3.1.7 остаточный риск (residual risk): Риск, остающийся после принятия мер защиты.

3.23 остаточный риск (residual risk): Риск (3.1), остающийся после обработки риска (3.19).

Остаточный риск — риск, остающийся после предпринятых защитных мер.

3.8.1.6 остаточный риск: Риск, оставшийся после обработки риска (3.8.1).

3.4.12 остаточный риск (residual risk): Риск, остающийся после применения защитных мер безопасности.

Словарь-справочник терминов нормативно-технической документации . academic.ru . 2015 .

Смотреть что такое «остаточный риск» в других словарях:

остаточный риск — Риск, остающийся после принятия защитных мер (см. рисунок 1). Примечание В настоящем стандарте различаются: риск, остающийся после защитных мер, предпринятых конструктором; риск, остающийся после всех предпринятых защитных мер. [ГОСТ Р ИСО 12100… … Справочник технического переводчика

Остаточный риск — степень опасности подрыва кораблей на минах в районе, где было произведено траление. EdwART. Толковый Военно морской Словарь, 2010 … Морской словарь

Остаточный риск нарушения информационной безопасности — 3.53. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ. Источник: Стандарт Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие … Официальная терминология

Риск остаточный — остаточный риск риск, остающийся после предпринятых защитных мер;. Источник: Решение Комиссии Таможенного союза от 18.10.2011 N 827 (ред. от 18.09.2012) О принятии технического регламента Таможенного союза Безопасность автомобильных дорог… … Официальная терминология

РИСК ОСТАТОЧНЫЙ — Residual risk См. РИСК НЕСИСТЕМАТИЧЕСКИЙ Словарь бизнес терминов. Академик.ру. 2001 … Словарь бизнес-терминов

Риск, неопределенность и прибыль (книга) — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы … Википедия

Риск, неопределенность и прибыль — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы 4 Ссылки // … Википедия

ГОСТ Р ИСО 31000-2010: Менеджмент риска. Принципы и руководство — Терминология ГОСТ Р ИСО 31000 2010: Менеджмент риска. Принципы и руководство оригинал документа: 2.21 анализ риска (risk analysis): Процесс понимания природы риска (2.1) и определения уровня риска (2.23). Примечание 1 Анализ риска обеспечивает… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р ИСО 17666-2006: Менеджмент риска. Космические системы — Терминология ГОСТ Р ИСО 17666 2006: Менеджмент риска. Космические системы оригинал документа: 2.3 индекс риска (index risk): Оценка в баллах, характеризующая значимость риска, который является сочетанием вероятности возникновения и тяжести… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации

Что такое вторичный и остаточный риск в проекте?

Несмотря на данное обещание хотя бы иногда писать в блог во время отпуска после свадьбы, я этого, конечно, не делала. У меня, конечно, есть оправдание – я в Таиланде очень сильно отравилась, пару дней провалялась с температурой под 40, и никакие набранные с собой в товарном количество таблетки-порошки ситуацию не исправили. Самое обидное – я до этого была в десятке азиатских стран и ни разу не было никаких проблем. В любом случае вины с себя не снимаю, совесть мучает, буду исправляться. Поэтому сегодня давайте поговорим о наболевшем – о том, что такое вторичный и остаточный риск и как он может повлиять на ваш проект, на моем печальном отпускном примере.

Итак, что такое остаточный риск в проекте (на английском он называется residual risk)?

Вообще это понятие пришло в проектный менеджмент из БЖД или охраны труда. Поэтому в соответствии с классическим определением, остаточный риск – это риск, остающийся после того, как вы предприняли ряд мер для снижения первоначального риска, соотношение вероятности и влияния которого достаточно низко, чтобы вы этот риск для себя приняли и оставили «на авось». Важно понимать, что полностью исключить риск нельзя, можно только снизить, причем в какой-то момент придется остановиться, иначе стоимость снижения риска превысить выгоды, получаемые от проекта.

А вторичный риск (secondary risk) – это риск, которого не было раньше, но который появляется после того, как были предприняты меры для снижения первоначального риска.

Сразу к моему примеру – вы едете в свадебное путешествие в более-менее развитую, но все-таки экзотическую страну. И один из рисков, который вы учитываете в первую очередь – это, разумеется, риск отравиться какой-нибудь вкусной местной едой и проваляться половину отпуска в кровати (или просидеть на унитазе, как повезет). Если вы отравитесь – весь отпуск пойдет насмарку, поэтому влияние риска очень высоко (проект просто будет провален). Вероятность риска – тоже очень высокая, все-таки местные тараканы – это не сама привычная еда для вашего желудка.

Поэтому вы, как разумный человек, гуглите «как собрать аптечку в таиланд без смс и регистрации», тратите кучу денег в аптеке и (если вы очень разумный) консультируетесь со знакомым доктором. После того, как вы купили половину аптеки, на первый взгляд, риск отравления должен снизиться (понятно, что мы говорим не о самом отравлении, а о его последствиях, для краткости).

Читать еще:  Планирование капитального строительства на примере

Тут у нас появляется понятие вторичного риска. Казалось бы, лекарства есть, что еще нужно? Однако нужно как минимум вспомнить, что авиакомпании не так уже редко теряют чемоданы и у вас есть шанс остаться без своей любовно собранной аптечки, и лучше положить аптечку в ручную кладь. А после этого, снизив риск остаться без аптечки, лучше еще раз подумать и вспомнить, что в ручную кладь нельзя класть жидкости более 100мл, и ваш Энтерос-гель отберут на контроле. Поэтому Энтерос-гель вернуть в чемодан, а для страховки прикупить пачку активированного угля, который менее эффективен, но зато точно не вызовет ни у кого вопросов. Таким образом, мы максимально обезопасили себя от того, чтобы не остаться без аптечки. Можно было бы продолжать и дальше, например, задаться вопросом «А если у меня украдут сумку с ручной кладью в аэропорту?» и купить второй комплект лекарств в чемодан. Но какова вероятность, что это произойдет? Так как она совсем невелика, вы на этот риск «забиваете», считаете его остаточным и ничего по этому поводу не делаете.

Но это была половина дела, теперь возвращаемся к началу. Купив аптечку мы, предположим, наполовину снизили вероятность пролежать неделю в кровати вместо моря и кокосов. Однако даже оставшаяся половина – это слишком много, чтобы так рисковать отпуском, поэтому вы идете и гуглите «туристическая страховка в Таиланд».

Я, кстати, покупаю страховку обычно на турстраховка.ру, удобно, что можно сравнить цены разных страховых сразу, и без наценок. Не реклама, личный опыт.

Если времени много – то еще гуглите и отзывы о страховых компаниях, чтобы снизить вероятность того, что на месте страховая найдет отмазку и никакой помощи вам не окажет. Покупаете страховку, делаете 2 копии – одну будете таскать с собой, вторую отдаете своему спутнику (а то вдруг вы будете не в состоянии сказать где она), оригинал храните в сейфе отеля. Тем самым вы снизили вторичный риск того, что тогда, когда вам понадобится помощь, полис окажется потерянным или его не будет под рукой (или он пострадает от морской воды, если вы будете сознательно таскать с собой везде оригинал, особенно на пляже). Поздравляю, вы только что еще более значительно снизили риск остаться без отпуска, а при самом плохом раскладе – и без здоровья, вы молодец. Очередной остаточный риск – что страховая окажется шаражкой, которая не окажет никакой помощи, вы считаете достаточно несерьезным (вы же читали отзывы, они всем помогали!) и решаете не обращать на него внимание.

Чтобы уж совсем быть уверенным, что все будет отлично, вы закидываете на отдельную карточку тысячу долларов, храните ее в сейфе, Если вы маньяк или у вас основания полагать, что ваш банк за границей вас может подвести (так говорит гугл или были прецеденты) – вы снижаете этот вторичный риск, и таких карточек берете две, разных банков, одну носите с собой, другую храните в сейфе. И не забываете сказать спутнику пин-коды (тут, правда, возникает риск того, что он с вашими карточками сбежит, но, учитывая что вы едете в свадебное путешествие, это прямо совсем уж остаточный риск, куда он денется). Теперь если что – вам точно хватит на вызов коммерческой скорой помощи, и ваш отпуск будет спасен. Для полной уверенности можно заранее телефон этой скорой найти и записать себе и спутнику номер в свои смартфоны, и положить пару тысяч на этот телефон, чтобы был запас в роуминге.

Итого, что мы имеем? Запас таблеток, страховой полис, запас денег, с таким арсеналом вы закрывает риск настолько, насколько его вообще можно закрыть, и с чистой совестью собираетесь дальше. Все, с возможным отравлением разобрались, переходим к следующему риску проекта «Свадебное путешествие», их в списке всего 35 осталось…

Что касается меня – запас таблеток не помог (то есть этот барьер отвалился еще в тот момент, когда стало понятно, что никаким парацетамолом я температуру 40 сбить не могу, а Энтерос-гель не оказывает вообще никакого эффекта, т.е. отравление слишком сильное, чтобы справиться с ним своими силами. Переходим к п.2 (уж он-то должен помочь) – звоним в Альфастрахование и просим вызвать скорую, полчаса регистрируем страховой случай (тут-то нам и пригодились деньги на телефоне) и узнаем, что «скорую мы не вызываем, потому что она дорогая, добирайтесь полтора часа до госпиталя по темному серпантину своим ходом». Понимаем, что при температуре 41 наступает летальный исход и встретить его на горной дороге как-то грустно, даем себе честное слово засудить страховую при возвращении, и приступаем к казавшемуся таким невероятным п.3 – вызываем платную скорую за 40 000 российских рублей (понятно, что сделать деньги на туристах тут не пытается только ленивый), получаем свой укол, набор местных таблеток-порошков и план лечения от тайского врача и буквально через 2 дня приходим в себя и продолжаем есть опасную, но такую вкусную экзотическую еду.

Кстати, про отравление, это банально, но не забывайте следовать простым детским правилам типа “руки перед едой надо мыть” и “плохо пахнет – лучше не ешь”.

Объявление

Остаточный риск

Уважаемые коллеги, а никого не смущает этот самый остаточный риск из 3624-У и требование к отчетности кредитного риска в виде: «величина остаточного риска»? Всем предельно ясно как его считать, и я единственный кто не постиг дзен в этом? (:

На какие методы его расчета опираться? То, что мне встречалось (книги/статьи) — это ведение статистики по проблемам с реализацией обеспечения, но по мне — так это не совсем остаточный риск в моменте, а скорее некий бэк-тестинг. И данный подход не решает проблемы внесения в отчетность величины остаточного риска.

Из простейших идей — ввести в оценку залоговой стоимости обеспечения ставку какого-нибудь дисконта (процентов 5, например), объявить это буфером (консервативным подходом) на потери, связанные с возможной реализацией остаточного риска. Принимать в целях снижения резерва сумму обеспечения, уменьшенную на ставку дисконтирования, а в отчетность вносить сумму всех 5-процентников со стоимости обеспечения как величину остаточного риска.

  • Регистрация: 03.09.2016
  • Сообщений: 404

Ровно на те же, чем измеряете рыночный, опер (вкл. правовой) и т.д. риски.

Читать еще:  Кривая спроса на капитал

Почему? Мы почти все риски измеряем на основе выводов по истории в прошлом. Даже имитационное моделирование строится на каких-то оценках распределений по прошлой статистике.

Бэк — это когда Вы свои оценки на последующих результатах проверяете. Т.е. сегодня оценили, что за месяц остаточный риск = 3р из100, потому что в прошлом теряли не более 3р. А в следующем месяце он стал 4р. — вот эти 4р — это бэк тест месяц спустя.

Комментарий

  • Регистрация: 19.03.2012
  • Сообщений: 55

Почему? Мы почти все риски измеряем на основе выводов по истории в прошлом. Даже имитационное моделирование строится на каких-то оценках распределений по прошлой статистике.

Комментарий

  • Регистрация: 14.03.2006
  • Сообщений: 285
  • 1 нравится

Комментарий

  • Регистрация: 19.03.2012
  • Сообщений: 55

Комментарий

  • Регистрация: 14.03.2006
  • Сообщений: 285
  • 1 нравится

Комментарий

  • Регистрация: 19.03.2012
  • Сообщений: 55

Комментарий

  • Регистрация: 12.10.2016
  • Сообщений: 349

Остаточной риск в 3624-у звучит в следующем контексте
«Кредитная организация (головная кредитная организация банковской группы) разрабатывает процедуры применения методов снижения кредитного риска, которые могут быть использованы в целях снижения требований к капиталу (фондированное обеспечение . и нефондированное обеспечение. а также процедуры контроля за остаточным риском, возникающим в результате применения указанных методов.
Остаточный риск может выражаться в невозможности реализовать принятое обеспечение, отказе или отсрочке платежа по независимым гарантиям, а также в использовании документов, составленных ненадлежащим образом. Кредитная организация (головная кредитная организация банковской группы) определяет порядок оценки обоснованности применения полного признания стоимости обеспечения в целях снижения кредитного риска. «.

Т.е. остаточный риск возникает только в том случае, если Банк принимает обеспечение в целях снижения риска (уменьшает расчетный резерв).
В остальных случаях, получается, нет необходимости управлять остаточным риском (т.е. применительно к другому обеспечению)?

  • 1 нравится

Комментарий

  • Регистрация: 14.03.2006
  • Сообщений: 285

А какой смысл эту величину называть остаточным риском? Как им управлять или что с ним делать? Чтобы не было остаточного риска — не принимать обеспечение в целях снижения резервов?

В 254-П вполне подробно описаны требования к обеспечению, которое может быть учтено при расчете резерва. Эти требования и выполнять — оценивать ликвидность залога, выявлять наличие обременений, правовых рисков у принимаемого обечпечения и т.п. Это и есть управление остаточным риском. Можно не всю сумму принимать за остаточный риск, а выстроить какую-нибудь формулу (или коэффициенты), основывающуюся, например, на статистике случаев проблем реализации обеспечения в определенный срок, принимаемого ранее в расчет РВПС.

Комментарий

  • Регистрация: 03.09.2016
  • Сообщений: 404

Чтобы применить любую мат.модель необходимо, чтобы выполнялись предпосылки этой модели. Если статистики нет, то стат.метод Вы не примените, хоть тресните.
Кто хочет число? Половина рисков не имеет выражение в количественном выражении. И это нормально.
Если очень хотите число — то, например, по аналогии с 346-П, 15% доходов по обеспеченным кредитам — чем не число?

Комментарий

  • Регистрация: 19.03.2012
  • Сообщений: 55

Я это и пытался донести по моделированию.
Не я хочу число, а ЦБ. Выражение из пункта 2.5 Приложения к 3624-У «о величине остаточного риска» как-то не оставляет сомнений, что эта самая величина должна быть числом.
Вариаций чисел для галочки можно придумать, безусловно, огромное количество, но хотелось бы некий параметр иметь, который что-то да показывает.

Комментарий

  • Регистрация: 03.09.2016
  • Сообщений: 404

Кредитная организация (головная кредитная организация банковской группы) разрабатывает процедуры применения методов снижения кредитного риска, которые могут быть использованы в целях снижения требований к капиталу (фондированное обеспечение в значении, установленном пунктом 10.9 Положения Банка России от 6 августа 2015 года N 483-П «О порядке расчета величины кредитного риска на основе внутренних рейтингов», зарегистрированного Министерством юстиции Российской Федерации 25 сентября 2015 года N 38996 («Вестник Банка России» от 29 сентября 2015 года N 81) (далее — Положение Банка России N 483-П), и нефондированное обеспечение, определенное пунктом 10.2 Положения Банка России N 483-П, а также процедуры контроля за остаточным риском, возникающим в результате применения указанных методов. Остаточный риск может выражаться в невозможности реализовать принятое обеспечение, отказе или отсрочке платежа по независимым гарантиям, а также в использовании документов, составленных ненадлежащим образом. Кредитная организация (головная кредитная организация банковской группы) определяет порядок оценки обоснованности применения полного признания стоимости обеспечения в целях снижения кредитного риска, установленного Инструкцией Банка России N 139-И и Положением Банка России N 483-П.

(в ред. Указания Банка России от 03.12.2015 N 3878-У)

Остаточный риск это

Информационная безопасность (ИБ) должна достигаться экономически оправданными мерами. В данной статье представлена методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств и выбрать направления, на которых целесообразно сконцентрировать основные ресурсы.

Тема «Управление рисками» рассматривается на административном уровне ИБ, поскольку только руководство организации может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Вообще говоря, управление рисками, равно как и выработка собственной политики безопасности, нужны только для тех организаций, информационные системы (ИС) которых и/или обрабатываемые данные можно считать нестандартными.

Типовую организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно, с формальной точки зрения, в свете российского законодательства в области информационной безопасности). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество документов, во втором — достаточно определиться лишь с несколькими параметрами.

Адекватная безопасность — уровень безопасности, соразмерный с риском и величиной ущерба от потери, ненадлежащего использования, модификации или несанкционированного доступа к информации.

Базовый уровень безопасности — минимальный набор регуляторов безопасности, необходимый для защиты информационной системы, определяемый из потребностей ИС в обеспечении доступности, конфиденциальности и целостности.

Калиброванная (регулируемая, настраиваемая, повышаемая) безопасность — система безопасности, обеспечивающая несколько уровней защиты (низкий, умеренный, высокий) в зависимости от угроз, рисков, доступных технологий, поддерживающих сервисов, времени, кадровых и экономических ресурсов.

Компрометация — раскрытие информации неавторизованным лицам или нарушение политики безопасности организации, способное повлечь за собой умышленное или неумышленное несанкционированное раскрытие, модификацию, разрушение и/или потерю информации.

Нарушение информационной безопасности — нарушение или угроза неминуемого нарушения политики информационной безопасности, правил добропорядочного поведения или стандартных правил информационной безопасности.

Уровень (степень) критичности ИС — параметр, характеризующий последствия некорректного поведения информационной системы. Чем серьезнее прямое или косвенное воздействие некорректного поведения, тем выше уровень критичности ИС.

Система, критичная для выполнения миссии организации (критичная система) — телекоммуникационная или информационная система, передающая, обрабатывающая и/или хранящая информацию, потеря, ненадлежащее использование и/или несанкционированный доступ к которой могут негативно воздействовать на миссию организации.

Читать еще:  Управление капиталом компании

Окружение (среда) — совокупность внешних процедур, условий и объектов, воздействующих на разработку, эксплуатацию и сопровождение информационной системы.

Воздействие (влияние) — величина (размер) ущерба (вреда), ожидаемого в результате несанкционированного доступа к информации или нарушения доступности информационной системы.

Анализ воздействия на производственную деятельность — анализ потребностей информационной системы и ассоциированных с ней процессов и зависимостей, используемый для спецификации требований к непрерывности функционирования и приоритетов восстановления ИС после серьезных аварий.

Контрмеры — действия, устройства, процедуры, технологии или другие меры, уменьшающие уязвимость информационной системы. Синонимом служит термин «регуляторы безопасности».

Лечение — действие по исправлению уязвимости или устранению угрозы. Тремя возможными типами лечения являются:

  • установка корректирующих «заплат»;
  • регулировка конфигурационных параметров;
  • устранение уязвимых программных приложений.

План лечения — план осуществления лечения одной или нескольких угроз и/или уязвимостей, которым подвержена информационная система организации. В плане обычно рассматривается несколько возможных способов устранения угроз и уязвимостей и определяются приоритеты по осуществлению лечения.

Риск — уровень воздействия на производственную деятельность организации (включая миссию, функции, образ, репутацию), ее активы (ресурсы) и персонал, являющегося следствием эксплуатации информационной системы и зависящего от потенциального воздействия угрозы и вероятности ее осуществления (реализации).

Риски, связанные с информационными технологиями — общее воздействие на производственную деятельность с учетом:

  • вероятности того, что определенный источник угроз использует или активизирует определенную уязвимость информационной системы;
  • результирующего воздействия, если угроза будет реализована. Риски, связанные с информационными технологиями, являются следствием законодательной ответственности или производственных потерь вследствие:

  • несанкционированного (злоумышленного, незлоумышленного, случайного) доступа к информации;
  • незлоумышленных ошибок и/или упущений;
  • разрушения ИС в результате стихийных бедствий или техногенных катастроф;
  • неспособности проявлять должную аккуратность и старательность при реализации и/или эксплуатации ИС.

Остаточный риск — остающийся, потенциальный риск после применения всех контрмер. С каждой угрозой ассоциирован свой остаточный риск.

Совокупный (суммарный, полный) риск — возможность осуществления вредоносного события при отсутствии мер по нейтрализации рисков.

Анализ рисков — процесс идентификации рисков применительно к безопасности информационной системы, определения вероятности их осуществления и потенциального воздействия, а также дополнительных контрмер, ослабляющих (уменьшающих) это воздействие. Анализ рисков является частью управления рисками и синонимом термина «оценка рисков», он включает в себя анализ угроз и уязвимостей.

Управление рисками — процесс, включающий оценку рисков, анализ экономической эффективности, выбор, реализацию и оценку контрмер, а также формальное санкционирование ввода системы в эксплуатацию. В процессе управления рисками принимаются во внимание и анализируются эффективность действий и законодательные ограничения.

Нейтрализация (уменьшение, ослабление) рисков — определение приоритетов, оценка и реализация контрмер, должным образом уменьшающих риски.

Терпимость по отношению к риску — уровень риска, который считается допустимым для достижения желаемого результата.

Санкционирование безопасной эксплуатации — официальное решение, принимаемое руководством организации, санкционирующее ввод информационной системы в эксплуатацию и явным образом объявляющее допустимыми риски, оставшиеся после реализации согласованного набора регуляторов безопасности.

Категория безопасности — характеристика информации и/или информационной системы, основанная на оценке потенциального воздействия потери доступности, конфиденциальности и/или целостности этой информации и/или информационной системы на производственную деятельность организации, ее активы и/или персонал.

Уровень защищенности — иерархический показатель степени чувствительности по отношению к определенной угрозе.

Требования безопасности — требования к информационной системе, являющиеся следствием действующего законодательства, миссии и потребностей организации.

Про текущий и остаточный риск

Для каждого риска возможен значительный перечень мероприятий. Одна из самых важных задач при постановке системы управления рисками – суметь выбрать наиболее эффективные из них. Для этой цели необходимо научиться рассчитывать стоимость мероприятия и остаточный риск (то есть вероятность и последствия риска после реализации мероприятия).

Расчет стоимости мероприятия.

Расчет стоимости мероприятия может оказаться нетривиальной задачей. Минимальной по стоимости является разработка плана действий в кризисных ситуациях и регламентация других процессов и процедур. Очевидно, что стоимость бумаги не может быть очень большой даже с привлечением консультантов.

Сложнее определить стоимость проектов. Приятным исключением являются случаи, когда потенциальные инвестиционные проекты глубоко проработаны, имеются предложения от страховщиков по страхованию рисков гражданской ответственности, имеются проработки в изменении организационной структуры, есть предложения о покупке/продаже бизнеса и т.д. и т.п. В этом случае программу мероприятий можно сформировать быстро. Но в подавляющем большинстве случаев расчет стоимости и сроков реализации мероприятий может занять не один месяц. И здесь я рекомендую не торопиться: риски неверного принятия решений на основании упрощенных оценок велики.

Расчет остаточного риска.

Расчет остаточных значений рисков в идеале должен осуществляться на основании тех же алгоритмов, что и текущие значения рисков. Возможно, при этом придется строить достаточно большие деревья событий (что все-таки изменится).

Наиболее сложная задача – рассчитать остаточный риск, если текущий риск рассчитан на основании статистических данных. Здесь могут помочь «производственные» методы анализа риска. Пример: для случившихся событий выделить причины, затем посчитать, как новая программа мероприятий повлияет на эти причины.

Выбор мероприятий.

После выполненных процедур нужно сравнить разницу в расчете текущего и остаточного риска со стоимостью мероприятия. Мероприятие целесообразно реализовывать только в том случае, если снижение математического ожидания риска значительно превышает стоимость мероприятия. Если же стоимость мероприятия превышает изменение математического ожидания риска, то очевидно, что его реализовывать не нужно. Поясню на примере. Существует, скажем, риск с вероятностью 50% и ущербом в 100 млн. руб. Его математическое ожидание составит 50 млн. руб. Есть два мероприятия:

  • первое мероприятие снижает вероятность до 10% (остаточный риск 10 млн. руб.) и стоит 5 млн. руб.;
  • второе снижает ущерб до 10 млн. руб. (остаточный риск 5 млн. руб.) и стоит 40 млн. руб.

Разница между текущим и остаточным значением риска для первого мероприятия составит 40 млн. руб., а для второго – 45 млн. руб. Несмотря на то, что второе мероприятие риск снижает больше, его реализовывать, скорее всего, нецелесообразно, так как стоимость мероприятия (40 млн. руб.) и изменение риска (45 млн. руб.) сопоставимы. А первое мероприятие реализовывать, скорее всего, целесообразно, потому что, вкладывая 5 млн. руб., мы получаем снижение рисков на 40 млн. руб., что явно превышает стоимость мероприятия.

Финансирование риска.

Финансирование риска, скорее всего, потребует достаточно серьезных вложений. Однако здесь необходимо упомянуть о том, у владельца риска возникнет желание использовать бюджеты проектов по управлению рисками в текущей деятельности. Вероятность такого поведения велика, под сурдинку внедрения риск-менеджмента, скорее всего, действительно будет списано все от набора сотрудников до закупки оборудования. Однако этот риск нужно принять, при этом принятие риска не означает то, что контролировать исполнение бюджетов именно по управлению рисками не нужно. В инвестиционном регламенте это учтено.

Ссылка на основную публикацию
Adblock
detector
×
×