Научная статья на тему 'Формализация понятий приемлемого и толерантного риска'

Формализация понятий приемлемого и толерантного риска Текст научной статьи по специальности «Экономика и бизнес»

CC BY
531
52
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
РИСК-МЕНЕДЖМЕНТ / ПРИЕМЛЕМЫЙ РИСК / ТОЛЕРАНТНЫЙ РИСК / ТЕКУЩИЙ УРОВЕНЬ РИСКА / СТЕПЕНЬ ОПАСНОСТИ СИТУАЦИИ / RISK MANAGEMENT / ACCEPTABLE RISK / TOLERANT RISK / CURRENT RISK LEVEL / DEGREE OF DANGER OF A SITUATION

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Ажмухамедов И. М., Выборнова О. Н.

Процесс управления рисками представляет собой комплексную проблему, обладающую рядом специфических особенностей. Неоднозначность самого понятия «риск» и многообразие проявлений риска и возможностей преодоления его неблагоприятных последствий усугубляются тем, что большая часть параметров, участвующих в процессе выработки управляющих решений, не имеют четких (числовых) характеристик. Оценки большинства концептов формулируются экспертами в вербальной форме. Для преодоления указанных трудностей в работе предложен метод численной оценки уровней приемлемого и толерантного рисков. Введенные метрики позволяют приступить к формализации процесса поиска и принятия оптимальных управленческих решений для приведения значения текущего риска к целевому уровню. Предложенная математическая модель может быть положена в основу соответствующего программного обеспечения с целью создания системы поддержки принятия решений в сфере риск-менеджмента.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Ажмухамедов И. М., Выборнова О. Н.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Formalization of concepts of acceptable and tolerant risk

Risk management process represents the complex problem possessing a number of specific features. Ambiguity of the concept "risk" and variety of manifestations of risk and opportunities of overcoming of its adverse effects are aggravated with that the most part of the parameters participating in process of development of managing decisions have no accurate (numerical) characteristics. Estimates of the majority of concepts are formulated by experts in a verbal form. For overcoming of the specified difficulties in work the method of a numerical assessment of levels of the acceptable is offered and tolerant is risk. The entered metrics allow to start formalization of process of search and acceptance of optimum management decisions for reduction of value of the current risk to the target objective. The offered mathematical model can be the basis for the corresponding software for the purpose of creation of system of decision support in the sphere of a risk management.

Текст научной работы на тему «Формализация понятий приемлемого и толерантного риска»

Формализация понятий приемлемого и толерантного риска

И.М. Ажмухамедов, О.Н. Выборнова Астраханский государственный технический университет

Аннотация: Процесс управления рисками представляет собой комплексную проблему, обладающую рядом специфических особенностей. Неоднозначность самого понятия «риск» и многообразие проявлений риска и возможностей преодоления его неблагоприятных последствий усугубляются тем, что большая часть параметров, участвующих в процессе выработки управляющих решений, не имеют четких (числовых) характеристик. Оценки большинства концептов формулируются экспертами в вербальной форме. Для преодоления указанных трудностей в работе предложен метод численной оценки уровней приемлемого и толерантного рисков. Введенные метрики позволяют приступить к формализации процесса поиска и принятия оптимальных управленческих решений для приведения значения текущего риска к целевому уровню. Предложенная математическая модель может быть положена в основу соответствующего программного обеспечения с целью создания системы поддержки принятия решений в сфере риск-менеджмента.

Ключевые слова: риск-менеджмент, приемлемый риск, толерантный риск, текущий уровень риска, степень опасности ситуации.

Актуальность проблемы оценки рисков и управления их уровнем основана, прежде всего, на том, что величина риска непосредственно влияет на оценку уровня безопасности: физической, экономической, информационной и т.п. Независимо от причин возникновения риска естественным желанием каждого субъекта является снижение объема возможных потерь [1].

Проблема риск-менеджмента (процесса управления рисками) является комплексной. Она включает в себя целый ряд различных направлений работы: выработку согласованного взгляда по вопросу уровня приемлемого риска; оценку актуального состояния системы в пространстве координат «вероятность возникновения негативных событий - ущерб от негативных событий»; поиск, принятие и реализацию оптимальных мер по приведению уровня риска к целевому значению. При этом имеют место, как

Введение

неоднозначность самого понятия «риск», так и многообразие проявлений риска и возможностей преодоления его неблагоприятных последствий [2, 3].

Кроме того, большая часть параметров, участвующих в процессе выработки управляющих решений, не имеют четких (числовых) характеристик. Оценки большинства концептов формулируются экспертами в вербальной форме [4]. Поэтому, риск-менеджмент является сложным, слабо структурированным и плохо формализуемым видом деятельности [5].

Несмотря на то, что проблеме риск-менеджмента посвящено большое число научных работ [например, 6-8] и даже имеется ряд стандартов, касающихся управления рисками (ГОСТ Р ИСО 31000-2010; ГОСТ Р ИСО/МЭК 27005:2011; COSO ERM и др.), вопросы формального описания процесса управления и оценки их уровня остаются на сегодня недостаточно проработанными.

Исходя из этого, была сформулирована цель данной работы: предложить метод численной оценки уровней приемлемого и толерантного рисков, который можно было бы эффективно использовать для принятия обоснованных решений в сфере риск-менеджмента.

Решение задачи

«Центральным» понятием процесса управления рисками является понятие приемлемого (допустимого) риска. Под приемлемым риском в общем случае понимается такой риск, с которым в данной ситуации (при имеющихся обстоятельствах) можно смириться [9, 10]. Под толерантностью к риску понимается объем риска, который организация в действительности может перенести при реализации специфических рисков [11]. Другими словами, толерантным риском считается максимальный уровень риска, который может быть покрыт за счет собственной прибыли/капитала.

Решения о том, какое количество риска компания желает или не желает принять, является решением корпоративного уровня. При математической

формализации величину риска обычно представляют как сочетание вероятности наступления некоторого события и последствий от него:

я = Р ® и, (1)

где Р - вероятность наступления неблагоприятного события; и - его последствия (потери; ущерб); ® - некоторым образом определенная композиция (часто интерпретируемая как умножение).

Существующие методики оценки уровня риска предлагают различные трактовки формулы (1): в одних на первый план выдвигается вероятностная составляющая, в других - значение ущерба.

Однако следует отметить, что приводимые при этом формулы определяют абстрактные, лишенные физического смысла величины, которые сложно интерпретировать. Данные величины не являются для лица, принимающего решение (ЛПР), достаточно информативными и не дают ему возможности сделать обоснованный выбор решений по управлению рисками.

Поэтому представляется целесообразным другой подход к оценке приемлемого риска. Он основывается на предположении о том, что чем больше ущерб, тем меньше должна быть вероятность его возникновения для того, чтобы ЛПР готово было его принять.

Причем из природы самого понятия «приемлемый риск» следует, что:

*

для V и 3 ! Р : Р (и) = Р . (2)

Исходя из (2), в общем виде искомая зависимость может быть представлена следующим образом:

Р* = Р*(и), (3)

*

где Р (и) - монотонно убывающая функция, отражающая приемлемую вероятность возникновения события, приводящего к ущербу и; и = и и -нормированное значение ущерба; и * е [инз; икр ]; и"3 - ущерб, не являющийся значимым для ЛПР (Р (инз) может быть близка к 1); инз = инз / икр - нормированное значение незначимого ущерба; икр -

критический (максимально приемлемый для ЛПР) ущерб, вероятность возникновения которого должна стремиться к нулю: Р*(икр) = 0.

Таким образом, предлагается определить приемлемый риск в виде функциональной зависимости вероятности возникновения некоторого

неблагоприятного события от ущерба.

*

В качестве Р может быть использована, например, функция вида: Р = а. е -Ь <и-инз), (4)

где а и Ь - некоторые константы: а - соответствует вероятности принятия незначимого ущерба инз; Ь - характеризует скорость падения допустимой вероятности нанесения ущерба.

Предложенную функциональную зависимость можно представить графически в виде кривой приемлемого риска, построенной в координатной плоскости «ущерб - вероятность» (рис. 1). При этом прямоугольник с вершинами (инз; 0); (инз; 1); (1; 1); (1; 0) назовем полигоном возможных значений риска.

кр

Рис. 1. - График функции приемлемого риска Кривая толерантного риска проходит выше кривой приемлемого риска. Уравнение данной кривой имеет вид:

:

Рт = вР*(и), (5)

где в - коэффициент, отражающий уровень толерантного риска, закрепленный внутренними политиками компании (обычно равен 1,2 - 1,4) [см., например, 12-13].

При этом область, ограниченная осями координат и кривой Р (и), является зоной приемлемого риска. Вне этой области уровень риска является для ЛПР неприемлемым. На рисунке 1 точка А1 (и1; Р1) находится в приемлемой зоне; точка (и0; Р0) - в неприемлемой.

Отношение площади зоны приемлемого риска к площади полигона

возможных значений риска (прямоугольник со сторонами 1 и (1-инз)) численно характеризует уровень приемлемого риска. Данная величина может быть найдена по формуле:

Япр =—^— 1 р * (и)с1и .

1 _ инз —

нз

ин

(6)

Подставив (4) в (6) и взяв интеграл, для определения уровня приемлемого риска получим:

ЯПр =-^--[1 _ ^_ь.(1_цн)]. (7)

Ъ • (1 _ инз)

Соответственно, уровень толерантного риска может быть найден по формуле:

Ят=вЯпр. (8)

На практике область приемлемого риска может быть построена по следующей схеме:

а) ЛПР определяет конечное множество значений Я* = {(иi;Р*)};

б) значения и\ нормируются по значению Цр;

*

в) заданные в опорных точках и значения Р\ аппроксимируются непрерывной функцией вида (4).

:

В качестве примера на рисунке 2 в виде сплошной линии представлена аппроксимация данных этапа качественной оценки уровня риска по методике фирмы Microsoft «The Security Risk Management Guide» [14]. Значение величины достоверности аппроксимации R = 0,95 показывает, что

экспоненциальная кривая P = 1,19e"2,29U хорошо описывает данную

*

зависимость P (U).

Чтобы определить текущий уровень риска в организации, необходимо рассмотреть структуру ее активов, которым может быть причинён ущерб, и выявить перечень возможных угроз этим активам. Затем с привлечением экспертов оценить вероятности причинения суммарного ущерба по всему множеству имеющихся активов. Учитывая, что суждения экспертов при этом обычно носят вербальный характер, для перехода к числовым оценкам целесообразно воспользоваться шкалой Харрингтона [15]:

«Вероятность причинения ущерба Низкая (Н)» - 0;

«Вероятность причинения ущерба Ниже Средней (НС)» - 0,29;

«Вероятность причинения ущерба Средняя (С)» - 0,51; (9)

«Вероятность причинения ущерба Выше Средней (ВС)» - 0,72;

«Вероятность причинения ущерба Высокая (В)» - 1.

Таким образом, задается множество точек, аппроксимация которых функцией вида (4) дает возможность построить кривую текущего уровня риска (рис. 2).

Отношение интеграла от данной функции к площади полигона возможных значений риска позволяет численно определить уровень текущего риска:

1 г

R тек =-— ■ Г P тек (U)dU . (10)

1 - U инз

Разность между значениями приемлемого и текущего рисков численно характеризует абсолютное значение степени опасности ситуации:

Дабс = Rтек - R"P, (11)

J

где Дабс - метрическая характеристика абсолютного значения степени

опасности ситуации.

абс

При А > 0 уровень риска является неприемлемым (опасная зона), в противном случае - риск приемлем (безопасная зона).

Отношение значений абсолютной степени опасности и приемлемого

риска определяет относительную степень опасности ситуации:

дотн _ дабс / Rnp

(12)

Расчетный пример:

В рамках расчетного примера в качестве функции приемлемого риска примем кривую, построенную на основе методики Microsoft [14]. Пусть множество опорных точек, описывающих текущее состояние уровня риска, имеет вид: RmeK = {(0,1;1);(0,3;0,72);(0,6;0,51);(0,8;0,29);(1;0,2)}.

Необходимо оценить степень опасности ситуации.

На рисунке 2 приведены графики, построенные на основе исходных данных.

1

0.9 0.8 0,7 0;б 0.5 0.4 0,3 0.2 0Л 0

и

0,1 0.2 03 0.4 0.5 0:6 0.7 0;8 0:9 1 Рис. 2. - Кривые текущего (пунктирная линия) и приемлемого (сплошная

линия) риска

J

Исходя из заданных условий, имеем:

* 2 29U

- функция приемлемого риска: Р = 1,19е" ' ;

- функция текущего уровня риска: Ртек = 1,25е"1'78и (степень достоверности аппроксимации R = 0,98);

- нормированное значение незначимого ущерба: U нз = 0,1.

Согласно формулам (7) и (10) вычислим интегральные показатели

приемлемого риска и текущего уровня риска:

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Rпр =-119--[1 - е-2 29 (1-0д) ] = 0,58 • [1 - е-2 06 ] = 0,5

2,29 • (1 - 0,1)

Rтек =-125--[1 - е-178 (1-0Д) ] = 0,78 • [1 - е] = 0,62

1,78 • (1 - 0,1)

Исходя из (11) и (12), получим абсолютную и относительную оценки степени опасности ситуации: Дабс = 0,62 - 0,5 = 0,12; Дотн = 0,12 / 0,5 = 0,24.

Заключение

Предложенный в работе подход к оценке рисков и введенные на его основе метрики позволяют формализовать процесс поиска и принятия оптимальных управленческих решений для приведения уровня текущего риска к целевому значению.

Разработанная математическая модель дает возможность приступить к разработке соответствующего программного обеспечения с целью создания системы поддержки принятия решений в сфере риск-менеджмента.

Литература

1. Чернова Г. В. Кудрявцев А. А. Управление рисками. М.: Проспект, 2005. 160 с.

2. Управление рисками. URL: center-yf.ru/data/menedzheru/upravlenie-riskami.php.

3. Выборнова О. Н. Онтологическая модель процесса оценки рисков // Вестник АГТУ. Управление, вычислительная техничка и информатика. 2015. №2 (апрель). С. 97-102.

4. Дмитриев М. Н., Кошечкин С. А. Количественный анализ риска инвестиционных проектов. URL: cfin.ru/finanalysis/quant_risk.shtml.

5. Проталинский О.М., Ажмухамедов И.М. Системный анализ и моделирование слабо структурированных и плохо формализуемых процессов в социотехнических системах // Инженерный вестник Дона, 2012. №3. URL: ivdon.ru/ru/magazine/archive/n3y2012/916.

6. Аникин И.В. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях: Монография. Казань: редакционно-издательский центр «Школа», 2015. 224с.

7. Zwikael O. The effectiveness of risk management: an analysis of project risk planning across industries and countries // Risk Analysis, 2011. Т.31. №1. pp.25-37.

8. Ковалева А.В. Экономико-математическая модель оценки стратегического риска при выборе стратегии развития промышленного предприятия // Инженерный вестник Дона, 2012. №1. URL: ivdon.ru/ru/magazine/archive/n1y2012/685.

9. Приемлемый риск как уровень безопасности производства. URL: studme.org/12810419/bzhd/priemlemyy_risk_kak_uroven_bezopasnosti_proizvod stva.

10. Enterprise Risk Management - Integrated Framework: Executive summary. COSO, 2004. URL: coso.org/ERM-IntegratedFramework.htm.

11. Карл Берч. Риск Аппетит: «Не откусывайте больше, чем Вы можете проглотить». URL: cfin.ru/finanalysis/risk/Risk_Appetite.shtml.

12. Политика управления рисками в ОАО «МРСК Центра». М., 2010. URL: mrsk-1.ru/docs/regulitions7.doc.

13. Политика по управлению рисками АО «Казына Капитал Менеджмент». 2013. URL: kcm-kazyna.kz/images/userfiles/files/risk%20rus.pdf.

14. Microsoft Methodology «The Security Risk Management Guide». -Microsoft, 2006. URL: microsoft.com/en-us/download/details.aspx?id=6232.

15. Harrington E.C. The desirable function. Industrial Quality Control. 1965. V.21. no. 10. pp. 494-498.

References

1. Chernova G. V. Kudrjavcev A. A. Upravlenie riskami [Risk management]. M.: Prospekt, 2005. 160 p.

2. Upravlenie riskami [Risk management]. URL: center-yf.ru/data/menedzheru/upravlenie-riskami.php.

3. Vybornova O. N. Vestnik AGTU. Upravlenie, vychislitel'naja tehnichka i informatika. 2015. №2. P. 97-102.

4. Dmitriev M. N., Koshechkin S. A. Kolichestvennyj analiz riska investicionnyh proektov [Quantitative risk analysis of investment projects]. URL: cfin.ru/finanalysis/quant_risk.shtml.

5. Protalinskij O.M., Azhmuhamedov I.M. Inzenernyj vestnik Dona (Rus), 2012. №3. URL: ivdon.ru/ru/magazine/archive/n3y2012/916.

6. Anikin I.V. Metody ocenki i upravlenija riskami informacionnoj bezopasnosti v korporativnyh informacionnyh setjah [Evaluation methods and risk managements of information security in corporate information networks]: Monografija. Kazan': redakcionno-izdatel'skij centr «Shkola», 2015. 224p.

7. Zwikael O. The effectiveness of risk management: an analysis of project risk planning across industries and countries. Risk Analysis, 2011. Т.31. №1. pp.25-37.

8. Kovaleva A.V. Inzenernyj vestnik Dona (Rus), 2012. №1. URL: ivdon.ru/ru/magazine/archive/n1y2012/685.

9. Priemlemyj risk kak uroven' bezopasnosti proizvodstva [Acceptable risk as level of safety of production]. URL: studme.org/12810419/bzhd/ priemlemyy_risk_kak_uroven_bezopasnosti_proizvodstva.

10. Enterprise Risk Management - Integrated Framework: Executive summary. COSO, 2004. URL: coso.org/ERM-IntegratedFramework.htm.

11. Karl Berch. Risk Appetit: «Ne otkusyvajte bol'she, chem Vy mozhete proglotit'» [Risk Appetite: «Don't bite off more, than you can swallow»]. URL: cfin.ru/finanalysis/risk/Risk_Appetite.shtml.

12. Politika upravlenija riskami v OAO «MRSK Centra» [Risk management policy in JSC «IDGC of Centre»]. M., 2010. URL: mrsk-1.ru/docs/regulitions7.doc.

13. Politika po upravleniju riskami AO «Kazyna Kapital Menedzhment» [Policy on risk management of JSC «Kazyna Capital Management»], 2013. URL: kcm-kazyna.kz/images/userfiles/files/risk%20rus.pdf.

14. Microsoft Methodology «The Security Risk Management Guide». -Microsoft, 2006. URL: microsoft.com/en-us/download/ details.aspx?id=6232.

15. Harrington E.C. The desirable function. Industrial Quality Control. 1965. V.21. no. 10. pp. 494-498.

i Надоели баннеры? Вы всегда можете отключить рекламу.