Формализация понятий приемлемого и толерантного риска

Размещено на http://www.allbest.ru/

Астраханский государственный технический университет

Формализация понятий приемлемого и толерантного риска

И.М. Ажмухамедов

О.Н. Выборнова

Актуальность проблемы оценки рисков и управления их уровнем основана, прежде всего, на том, что величина риска непосредственно влияет на оценку уровня безопасности: физической, экономической, информационной и т.п. Независимо от причин возникновения риска естественным желанием каждого субъекта является снижение объема возможных потерь [1].

Проблема риск-менеджмента (процесса управления рисками) является комплексной. Она включает в себя целый ряд различных направлений работы: выработку согласованного взгляда по вопросу уровня приемлемого риска; оценку актуального состояния системы в пространстве координат «вероятность возникновения негативных событий - ущерб от негативных событий»; поиск, принятие и реализацию оптимальных мер по приведению уровня риска к целевому значению. При этом имеют место, как неоднозначность самого понятия «риск», так и многообразие проявлений риска и возможностей преодоления его неблагоприятных последствий [2, 3].

Кроме того, большая часть параметров, участвующих в процессе выработки управляющих решений, не имеют четких (числовых) характеристик. Оценки большинства концептов формулируются экспертами в вербальной форме [4]. Поэтому, риск-менеджмент является сложным, слабо структурированным и плохо формализуемым видом деятельности [5].

Несмотря на то, что проблеме риск-менеджмента посвящено большое число научных работ [например, 6-8] и даже имеется ряд стандартов, касающихся управления рисками (ГОСТ Р ИСО 31000-2010; ГОСТ Р ИСО/МЭК 27005:2011; COSO ERM и др.), вопросы формального описания процесса управления и оценки их уровня остаются на сегодня недостаточно проработанными.

Исходя из этого, была сформулирована цель данной работы: предложить метод численной оценки уровней приемлемого и толерантного рисков, который можно было бы эффективно использовать для принятия обоснованных решений в сфере риск-менеджмента.

Решение задачи

«Центральным» понятием процесса управления рисками является понятие приемлемого (допустимого) риска. Под приемлемым риском в общем случае понимается такой риск, с которым в данной ситуации (при имеющихся обстоятельствах) можно смириться [9, 10]. Под толерантностью к риску понимается объем риска, который организация в действительности может перенести при реализации специфических рисков [11]. Другими словами, толерантным риском считается максимальный уровень риска, который может быть покрыт за счет собственной прибыли/капитала.

Решения о том, какое количество риска компания желает или не желает принять, является решением корпоративного уровня. При математической формализации величину риска обычно представляют как сочетание вероятности наступления некоторого события и последствий от него:

, (1)

где P - вероятность наступления неблагоприятного события; U - его последствия (потери; ущерб); ? - некоторым образом определенная композиция (часто интерпретируемая как умножение).

Существующие методики оценки уровня риска предлагают различные трактовки формулы (1): в одних на первый план выдвигается вероятностная составляющая, в других - значение ущерба.

Однако следует отметить, что приводимые при этом формулы определяют абстрактные, лишенные физического смысла величины, которые сложно интерпретировать. Данные величины не являются для лица, принимающего решение (ЛПР), достаточно информативными и не дают ему возможности сделать обоснованный выбор решений по управлению рисками.

Поэтому представляется целесообразным другой подход к оценке приемлемого риска. Он основывается на предположении о том, что чем больше ущерб, тем меньше должна быть вероятность его возникновения для того, чтобы ЛПР готово было его принять.

Причем из природы самого понятия «приемлемый риск» следует, что:

. (2)

Исходя из (2), в общем виде искомая зависимость может быть представлена следующим образом:

P^* = P^*(U), (3)

где P^*(U) - монотонно убывающая функция, отражающая приемлемую вероятность возникновения события, приводящего к ущербу U; U = U^*/U^кр - нормированное значение ущерба; ; U^нз - ущерб, не являющийся значимым для ЛПР (P^*(U^нз) может быть близка к 1); - нормированное значение незначимого ущерба; U^кр - критический (максимально приемлемый для ЛПР) ущерб, вероятность возникновения которого должна стремиться к нулю: P^*(U^кр) = 0.

Таким образом, предлагается определить приемлемый риск в виде функциональной зависимости вероятности возникновения некоторого неблагоприятного события от ущерба.

В качестве P^* может быть использована, например, функция вида:

, (4)

где a и b - некоторые константы: a - соответствует вероятности принятия незначимого ущерба ; b - характеризует скорость падения допустимой вероятности нанесения ущерба.

Предложенную функциональную зависимость можно представить графически в виде кривой приемлемого риска, построенной в координатной плоскости «ущерб - вероятность» (рис. 1). При этом прямоугольник с вершинами (; 0); (; 1); (1; 1); (1; 0) назовем полигоном возможных значений риска.

Рис. 1. График функции приемлемого риска

Кривая толерантного риска проходит выше кривой приемлемого риска. Уравнение данной кривой имеет вид:

P^T = в·P^*(U), (5)

где в - коэффициент, отражающий уровень толерантного риска, закрепленный внутренними политиками компании (обычно равен 1,2-1,4) [см., например, 12-13].

При этом область, ограниченная осями координат и кривой P^*(U), является зоной приемлемого риска. Вне этой области уровень риска является для ЛПР неприемлемым. На рисунке 1 точка А₁ (U₁; P₁) находится в приемлемой зоне; точка A₀ (U₀; P₀) - в неприемлемой.

Отношение площади зоны приемлемого риска к площади полигона возможных значений риска (прямоугольник со сторонами 1 и (1-)) численно характеризует уровень приемлемого риска. Данная величина может быть найдена по формуле:

. (6)

Подставив (4) в (6) и взяв интеграл, для определения уровня приемлемого риска получим:

. (7)

Соответственно, уровень толерантного риска может быть найден по формуле:

R^T=в·R^пр. (8)

На практике область приемлемого риска может быть построена по следующей схеме:

а) ЛПР определяет конечное множество значений ;

б) значения U_i нормируются по значению U^кр;

в) заданные в опорных точках U_i значения аппроксимируются непрерывной функцией вида (4).

В качестве примера на рисунке 2 в виде сплошной линии представлена аппроксимация данных этапа качественной оценки уровня риска по методике фирмы Microsoft «The Security Risk Management Guide» [14]. Значение величины достоверности аппроксимации R² = 0,95 показывает, что экспоненциальная кривая P = 1,19e^-2,29U хорошо описывает данную зависимость P^*(U).

Чтобы определить текущий уровень риска в организации, необходимо рассмотреть структуру ее активов, которым может быть причинён ущерб, и выявить перечень возможных угроз этим активам. Затем с привлечением экспертов оценить вероятности причинения суммарного ущерба по всему множеству имеющихся активов. Учитывая, что суждения экспертов при этом обычно носят вербальный характер, для перехода к числовым оценкам целесообразно воспользоваться шкалой Харрингтона [15]:

«Вероятность причинения ущерба Низкая (Н)» - 0;

«Вероятность причинения ущерба Ниже Средней (НС)» - 0,29;

«Вероятность причинения ущерба Средняя (С)» - 0,51;(9)

«Вероятность причинения ущерба Выше Средней (ВС)» - 0,72;

«Вероятность причинения ущерба Высокая (В)» - 1.

Таким образом, задается множество точек, аппроксимация которых функцией вида (4) дает возможность построить кривую текущего уровня риска (рис. 2).

Отношение интеграла от данной функции к площади полигона возможных значений риска позволяет численно определить уровень текущего риска:

. (10)

Разность между значениями приемлемого и текущего рисков численно характеризует абсолютное значение степени опасности ситуации:

Д^абс = R^тек - R^пр, (11)

где Д^абс - метрическая характеристика абсолютного значения степени опасности ситуации.

При Д^абс > 0 уровень риска является неприемлемым (опасная зона), в противном случае - риск приемлем (безопасная зона).

Отношение значений абсолютной степени опасности и приемлемого риска определяет относительную степень опасности ситуации:

Д^отн = Д^абс / R^пр. (12)

Расчетный пример:

В рамках расчетного примера в качестве функции приемлемого риска примем кривую, построенную на основе методики Microsoft [14]. Пусть множество опорных точек, описывающих текущее состояние уровня риска, имеет вид: .

Необходимо оценить степень опасности ситуации.

На рисунке 2 приведены графики, построенные на основе исходных данных.

Рис. 2. Кривые текущего (пунктирная линия) и приемлемого (сплошная линия) риска

Исходя из заданных условий, имеем:

функция приемлемого риска: P^* = 1,19e^-2,29U;

функция текущего уровня риска: P^тек = 1,25e^-1,78U (степень достоверности аппроксимации R² = 0,98);

нормированное значение незначимого ущерба: .

Согласно формулам (7) и (10) вычислим интегральные показатели приемлемого риска и текущего уровня риска:

Исходя из (11) и (12), получим абсолютную и относительную оценки степени опасности ситуации: Д^абс = 0,62 - 0,5 = 0,12; Д^отн = 0,12 / 0,5 = 0,24.

Предложенный в работе подход к оценке рисков и введенные на его основе метрики позволяют формализовать процесс поиска и принятия оптимальных управленческих решений для приведения уровня текущего риска к целевому значению.

Разработанная математическая модель дает возможность приступить к разработке соответствующего программного обеспечения с целью создания системы поддержки принятия решений в сфере риск-менеджмента.

Литература

риск управленческий толерантный

1. Чернова Г.В. Кудрявцев А.А. Управление рисками. М.: Проспект, 2005. 160 с.

2. Управление рисками. URL: center-yf.ru/data/menedzheru/upravlenie-riskami.php.

3. Выборнова О.Н. Онтологическая модель процесса оценки рисков // Вестник АГТУ. Управление, вычислительная техничка и информатика. 2015. № 2 (апрель). С. 97-102.

4. Дмитриев М.Н., Кошечкин С.А. Количественный анализ риска инвестиционных проектов. URL: cfin.ru/finanalysis/quant_risk.shtml.

5. Проталинский О.М., Ажмухамедов И.М. Системный анализ и моделирование слабо структурированных и плохо формализуемых процессов в социотехнических системах // Инженерный вестник Дона, 2012. № 3. URL: ivdon.ru/ru/magazine/archive/n3y2012/916.

6. Аникин И.В. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях: Монография. Казань: редакционно-издательский центр «Школа», 2015. 224 с.

7. Zwikael O. The effectiveness of risk management: an analysis of project risk planning across industries and countries // Risk Analysis, 2011. Т. 31. № 1. pp. 25-37.

8. Ковалева А.В. Экономико-математическая модель оценки стратегического риска при выборе стратегии развития промышленного предприятия // Инженерный вестник Дона, 2012. № 1. URL: ivdon.ru/ru/magazine/archive/n1y2012/685.

9. Приемлемый риск как уровень безопасности производства. URL: studme.org/12810419/bzhd/priemlemyy_risk_kak_uroven_bezopasnosti_proizvodstva.

10. Enterprise Risk Management - Integrated Framework: Executive summary. COSO, 2004. URL: coso.org/ERM-IntegratedFramework.htm.

11. Карл Берч. Риск Аппетит: «Не откусывайте больше, чем Вы можете проглотить». URL: cfin.ru/finanalysis/risk/Risk_Appetite.shtml.

12. Политика управления рисками в ОАО «МРСК Центра». М., 2010. URL: mrsk-1.ru/docs/regulitions7.doc.

13. Политика по управлению рисками АО «Казына Капитал Менеджмент». 2013. URL: kcm-kazyna.kz/images/userfiles/files/risk%20rus.pdf.

14. Microsoft Methodology «The Security Risk Management Guide». - Microsoft, 2006. URL: microsoft.com/en-us/download/details.aspx?id=6232.

15. Harrington E.C. The desirable function. Industrial Quality Control. 1965. V.21. no. 10. pp. 494-498.

Размещено на Allbest.ru