Дело был не так давно, когда автор сего озадачил себя разработкой достаточно понятной и идеалистически верной презентации по управлению рисками. Собственно, о рисках даже в этой ленте было уже сказано достаточно, да и вообще тема эта любима среди специалистов по безопасности, так что найти соответствующий материал в сети совсем не сложно. Но один взгляд показался достаточно интересным.
Речь пойдет о сценарно-ориентированном подходе (вольный перевод термина scenario-based risk-management). Один из наиболее полных и значимых методов, основанных на этом подходе, представлен в методологии компании ISACA (isaca.org) Risk IT Practioner's Guide.
Данный подход старается разрешить крайне распространенную среди аналитиков коллизию "риск-рисковое событие", которая заключается в том, что риск воспринимается как событие, хотя классическая трактовка риска - это состояние, характеризуемое наличием возможности нанесения ущерба (что включает в себя сразу несколько понятий: ущерб, вероятность реализации ущерба, угроза - так называемые факторы риска). Рисковое событие в таком случае должно рассматриваться как ситуация реализации риска. К сожалению, подобный подход многим представляется крайне сложным, поэтому многие методические документы по управлению рисками допускают подобную путаницу (например, ISO 31000 или COSO).
Risk IT Practioner's Guide предлагает использование в качестве характеристики риска, по сути своей, заменяющей рисковое событие (хотя, не отрицающей его), сценарий риска (или сценарий реализации риска). Под сценарием риска понимается совокупность событий, обстоятельств и действий, описывающих реализацию риска. То есть, строго говоря, сценарий риска - это набор рисковых событий, минимально достаточный для нанесения ущерба. На основе анализа сценариев, частоты их возникновения и значимости, формируется карта риска (risk map), которая наглядно определяет подверженность актива риску, потребности защиты (контроля) и иные эпические характеристики.
На этапе работы с подобной философией - иначе ее назвать язык не поворачивается - автор столкнулся с интересным материалом, который весьма доходчиво объясняет, что такое сценарий риска в современном, обывательском понимании (а ведь обывательское понимание технических сущностей является неотъемлемым условием правильного понимания руководством!!!).
Итак, гласит этот материал, представьте себе автомобильную покрышку. Она существует. Это сценарий риска? Возможно, хотя верится с трудом, но притянуть за уши риск, который может быть связан с данной ситуацией, можно.
Теперь представьте, что покрышка висит на веревке. Уже более рисковая ситуация, которая предполагает различные сценарии в данных обстоятельствах. Покрышка висит на веревке, привязанной к ветке дерева (народный американский метод формирования качелей во дворе - прим.). Покрышка висит на веревке, привязанной к ветке дерева, стоящего на краю обрыва. Покрышка висит на веревке, привязанной к ветке дерева, стоящего на краю обрыва, и веревка рвется. И так далее. Мысль ясна?
Данная трактовка напоминает старый неприличный анекдот про нюанс, однако, именно так наиболее верно воспринимается риск как состояние окружающей среды, достаточное для нанесения ущерба по тем или иным сценарием. Именно с учетом обстоятельств, которые эту среду формируют.
Следует заметить, что в данном методологическом материале также игнорируется вторая составляющая определения риска - понятие вероятности. Дело в том, что вероятность сама по себе является величиной прогнозной, то есть ориентированной на будущее. В то время, как опирается она на статистические данные о прошлом. Что в деле безопасности может сыграть злую шутку. В данном случае в качестве частотной характеристики выступает частота возникновения сценария риска (frequency), которая по крайней мере не предъявляет претензий к экстрасенсорным способностям эксперта, а позволяет сделать объективный вывод о риске пост-фактум.
В общем, рекомендуется ознакомиться с настоящим материалом, на мой взгляд, интересным с точки зрения классической теории управления рисками, и сделать свои выводы.
Речь пойдет о сценарно-ориентированном подходе (вольный перевод термина scenario-based risk-management). Один из наиболее полных и значимых методов, основанных на этом подходе, представлен в методологии компании ISACA (isaca.org) Risk IT Practioner's Guide.
Данный подход старается разрешить крайне распространенную среди аналитиков коллизию "риск-рисковое событие", которая заключается в том, что риск воспринимается как событие, хотя классическая трактовка риска - это состояние, характеризуемое наличием возможности нанесения ущерба (что включает в себя сразу несколько понятий: ущерб, вероятность реализации ущерба, угроза - так называемые факторы риска). Рисковое событие в таком случае должно рассматриваться как ситуация реализации риска. К сожалению, подобный подход многим представляется крайне сложным, поэтому многие методические документы по управлению рисками допускают подобную путаницу (например, ISO 31000 или COSO).
Risk IT Practioner's Guide предлагает использование в качестве характеристики риска, по сути своей, заменяющей рисковое событие (хотя, не отрицающей его), сценарий риска (или сценарий реализации риска). Под сценарием риска понимается совокупность событий, обстоятельств и действий, описывающих реализацию риска. То есть, строго говоря, сценарий риска - это набор рисковых событий, минимально достаточный для нанесения ущерба. На основе анализа сценариев, частоты их возникновения и значимости, формируется карта риска (risk map), которая наглядно определяет подверженность актива риску, потребности защиты (контроля) и иные эпические характеристики.
На этапе работы с подобной философией - иначе ее назвать язык не поворачивается - автор столкнулся с интересным материалом, который весьма доходчиво объясняет, что такое сценарий риска в современном, обывательском понимании (а ведь обывательское понимание технических сущностей является неотъемлемым условием правильного понимания руководством!!!).
Итак, гласит этот материал, представьте себе автомобильную покрышку. Она существует. Это сценарий риска? Возможно, хотя верится с трудом, но притянуть за уши риск, который может быть связан с данной ситуацией, можно.
Теперь представьте, что покрышка висит на веревке. Уже более рисковая ситуация, которая предполагает различные сценарии в данных обстоятельствах. Покрышка висит на веревке, привязанной к ветке дерева (народный американский метод формирования качелей во дворе - прим.). Покрышка висит на веревке, привязанной к ветке дерева, стоящего на краю обрыва. Покрышка висит на веревке, привязанной к ветке дерева, стоящего на краю обрыва, и веревка рвется. И так далее. Мысль ясна?
Данная трактовка напоминает старый неприличный анекдот про нюанс, однако, именно так наиболее верно воспринимается риск как состояние окружающей среды, достаточное для нанесения ущерба по тем или иным сценарием. Именно с учетом обстоятельств, которые эту среду формируют.
Следует заметить, что в данном методологическом материале также игнорируется вторая составляющая определения риска - понятие вероятности. Дело в том, что вероятность сама по себе является величиной прогнозной, то есть ориентированной на будущее. В то время, как опирается она на статистические данные о прошлом. Что в деле безопасности может сыграть злую шутку. В данном случае в качестве частотной характеристики выступает частота возникновения сценария риска (frequency), которая по крайней мере не предъявляет претензий к экстрасенсорным способностям эксперта, а позволяет сделать объективный вывод о риске пост-фактум.
В общем, рекомендуется ознакомиться с настоящим материалом, на мой взгляд, интересным с точки зрения классической теории управления рисками, и сделать свои выводы.
Комментариев нет:
Отправить комментарий