Оценка рисков и угроз

Оценка рисков и угроз

Каждый бизнес встречается с рисками, которые могут привести к серьезным потерям. Все предусмотреть нельзя, но большинство угроз реально спрогнозировать и подготовить способы решения.

Риски — это вероятное негативное событие, наступление которого способствует наступлению негативных последствий для предприятия.

Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.

Оценка рисков может быть проведена с различной глубиной, в зависимости от количества известных уязвимостей, а также с учетом ранее произошедших инцидентов.

Оценка рисков и угроз

В оценке рисков существует 4 основных параметра:

  1. Вероятность возникновения;
  2. Степень воздействия;
  3. Ответственный. Этот человек предотвращает риски или минимизирует последствия.
  4. Бюджет. Лучше продумать заранее, как компенсировать потери.

Виды рисков

Две основные группы:

Систематические. Представляют собой угрозу для всего рынка или отдельной отрасли, спрогнозировать и предсказать такой риск может только эксперт-профессионал;

Несистематические. Возникающие в конкретной компании, оценить и спрогнозировать их можно силами самой организации.

Систематические риски

Политические

К такому виду рисков относится изменение политической ситуации в стране и в мире. Данные риски влекут за собой изменения в условиях ведения бизнеса на той или иной территории, которое может повлечь за собой сокращение прибыли в компаниях.

Природные

К данным рискам относится возможность наступления природных, климатических и иных чрезвычайных ситуаций, экологические катастрофы.

Юридические

К таким рискам относится изменение законодательства, появление поправок к нормативно-правовым актам, ошибки в деятельности государственных органов.

Экономические

Предсказать некоторые экономические риски можно, например, изучая возможные поправки к налоговому и бюджетному кодексу, а вот спрогнозировать санкции и обвал валютного рынка крайне сложно.

Несистематические риски

Производственные

Обычно такие риски связаны как с самим производственным процессом, так и с управленческими решениями, которые принимаются относительно организации производственного процесса.

Финансовые

Связаны с финансовой составляющей предприятия.

Рыночные

Рыночные риски могут возникать из-за нестабильности рынка, появлению новых конкурентов или изменению цен в отрасли.

Нанесение вреда жизни и здоровью третьих лиц

Риск несчастного случая на производстве или причинения вреда здоровью третьих лиц вследствие эксплуатации оборудования или оказания услуги.

Методы оценки рисков

В процессе оценки используются следующие методы:

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, кадровых ресурсах. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

Как провести количественную оценку рисков?

  1. Оценить в количественном выражении потенциальный ущерб.
  2. Определить вероятность реализации каждой из угроз.
  3. Определить общий потенциальный ущерб от каждой угрозы.
  4. Провести анализ полученных данных по ущербу для каждой угрозы.

Качественный метод

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Оценка рисков информационной безопасности качественным методом проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

  1. Определить ценность активов.
  2. Определить вероятность реализации угрозы по отношению к активу.
  3. Определить уровень возможности успешной реализации угрозы.
  4. Сделать вывод об уровне риска, возможности реализации угрозы.
  5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
  6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе.

Выбор метода для оценки рисков и угроз

Целью обоих методов является понимание реальных рисков компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты.

Количественный метод дает наглядное представление в финансах по объектам оценки.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты не дают наглядного понимания ущерба.

Выбор метода следует делать исходя из специфики конкретной компании и поставленных задач.

Планирование реакции на риски и угрозы

После определения и оценки рисков и угроз, необходимо продумать реакцию, которая поможет минимизировать угрозы.

На практике выделяют 3 варианта реакций, которые помогают  ликвидировать или хотя бы минимизировать возможные проблемы:

  1. Уклонение. Корректируем план управления таким образом, чтобы исключить возможность наступления негативных событий или снизить последствия от их наступления.
  2. Передача. Перекладываем ответственность за негатив на третью сторону. Например, заключаем договор страхования.
  3. Снижение. Формируем предупредительные меры по снижению вероятности наступления негативных событий или последствий их наступления.