CC BY
51
Формализация понятий приемлемого и толерантного риска
И.М. Ажмухамедов, О.Н. Выборнова Астраханский государственный технический университет
Аннотация: Процесс управления рисками представляет собой комплексную проблему, обладающую рядом специфических особенностей. Неоднозначность самого понятия «риск» и многообразие проявлений риска и возможностей преодоления его неблагоприятных последствий усугубляются тем, что большая часть параметров, участвующих в процессе выработки управляющих решений, не имеют четких (числовых) характеристик. Оценки большинства концептов формулируются экспертами в вербальной форме. Для преодоления указанных трудностей в работе предложен метод численной оценки уровней приемлемого и толерантного рисков. Введенные метрики позволяют приступить к формализации процесса поиска и принятия оптимальных управленческих решений для приведения значения текущего риска к целевому уровню. Предложенная математическая модель может быть положена в основу соответствующего программного обеспечения с целью создания системы поддержки принятия решений в сфере риск-менеджмента.
Ключевые слова: риск-менеджмент, приемлемый риск, толерантный риск, текущий уровень риска, степень опасности ситуации.
Актуальность проблемы оценки рисков и управления их уровнем основана, прежде всего, на том, что величина риска непосредственно влияет на оценку уровня безопасности: физической, экономической, информационной и т.п. Независимо от причин возникновения риска естественным желанием каждого субъекта является снижение объема возможных потерь [1].
Проблема риск-менеджмента (процесса управления рисками) является комплексной. Она включает в себя целый ряд различных направлений работы: выработку согласованного взгляда по вопросу уровня приемлемого риска; оценку актуального состояния системы в пространстве координат «вероятность возникновения негативных событий - ущерб от негативных событий»; поиск, принятие и реализацию оптимальных мер по приведению уровня риска к целевому значению. При этом имеют место, как
Введение
неоднозначность самого понятия «риск», так и многообразие проявлений риска и возможностей преодоления его неблагоприятных последствий [2, 3].
Кроме того, большая часть параметров, участвующих в процессе выработки управляющих решений, не имеют четких (числовых) характеристик. Оценки большинства концептов формулируются экспертами в вербальной форме [4]. Поэтому, риск-менеджмент является сложным, слабо структурированным и плохо формализуемым видом деятельности [5].
Несмотря на то, что проблеме риск-менеджмента посвящено большое число научных работ [например, 6-8] и даже имеется ряд стандартов, касающихся управления рисками (ГОСТ Р ИСО 31000-2010; ГОСТ Р ИСО/МЭК 27005:2011; COSO ERM и др.), вопросы формального описания процесса управления и оценки их уровня остаются на сегодня недостаточно проработанными.
Исходя из этого, была сформулирована цель данной работы: предложить метод численной оценки уровней приемлемого и толерантного рисков, который можно было бы эффективно использовать для принятия обоснованных решений в сфере риск-менеджмента.
Решение задачи
«Центральным» понятием процесса управления рисками является понятие приемлемого (допустимого) риска. Под приемлемым риском в общем случае понимается такой риск, с которым в данной ситуации (при имеющихся обстоятельствах) можно смириться [9, 10]. Под толерантностью к риску понимается объем риска, который организация в действительности может перенести при реализации специфических рисков [11]. Другими словами, толерантным риском считается максимальный уровень риска, который может быть покрыт за счет собственной прибыли/капитала.
Решения о том, какое количество риска компания желает или не желает принять, является решением корпоративного уровня. При математической
формализации величину риска обычно представляют как сочетание вероятности наступления некоторого события и последствий от него:
я = Р ® и, (1)
где Р - вероятность наступления неблагоприятного события; и - его последствия (потери; ущерб); ® - некоторым образом определенная композиция (часто интерпретируемая как умножение).
Существующие методики оценки уровня риска предлагают различные трактовки формулы (1): в одних на первый план выдвигается вероятностная составляющая, в других - значение ущерба.
Однако следует отметить, что приводимые при этом формулы определяют абстрактные, лишенные физического смысла величины, которые сложно интерпретировать. Данные величины не являются для лица, принимающего решение (ЛПР), достаточно информативными и не дают ему возможности сделать обоснованный выбор решений по управлению рисками.
Поэтому представляется целесообразным другой подход к оценке приемлемого риска. Он основывается на предположении о том, что чем больше ущерб, тем меньше должна быть вероятность его возникновения для того, чтобы ЛПР готово было его принять.
Причем из природы самого понятия «приемлемый риск» следует, что:
*
для V и 3 ! Р : Р (и) = Р . (2)
Исходя из (2), в общем виде искомая зависимость может быть представлена следующим образом:
Р* = Р*(и), (3)
*
где Р (и) - монотонно убывающая функция, отражающая приемлемую вероятность возникновения события, приводящего к ущербу и; и = и и -нормированное значение ущерба; и * е [инз; икр ]; и"3 - ущерб, не являющийся значимым для ЛПР (Р (инз) может быть близка к 1); инз = инз / икр - нормированное значение незначимого ущерба; икр -
критический (максимально приемлемый для ЛПР) ущерб, вероятность возникновения которого должна стремиться к нулю: Р*(икр) = 0.
Таким образом, предлагается определить приемлемый риск в виде функциональной зависимости вероятности возникновения некоторого
неблагоприятного события от ущерба.
*
В качестве Р может быть использована, например, функция вида: Р = а. е -Ь <и-инз), (4)
где а и Ь - некоторые константы: а - соответствует вероятности принятия незначимого ущерба инз; Ь - характеризует скорость падения допустимой вероятности нанесения ущерба.
Предложенную функциональную зависимость можно представить графически в виде кривой приемлемого риска, построенной в координатной плоскости «ущерб - вероятность» (рис. 1). При этом прямоугольник с вершинами (инз; 0); (инз; 1); (1; 1); (1; 0) назовем полигоном возможных значений риска.
кр
Рис. 1. - График функции приемлемого риска Кривая толерантного риска проходит выше кривой приемлемого риска. Уравнение данной кривой имеет вид:
:
Рт = вР*(и), (5)
где в - коэффициент, отражающий уровень толерантного риска, закрепленный внутренними политиками компании (обычно равен 1,2 - 1,4) [см., например, 12-13].
При этом область, ограниченная осями координат и кривой Р (и), является зоной приемлемого риска. Вне этой области уровень риска является для ЛПР неприемлемым. На рисунке 1 точка А1 (и1; Р1) находится в приемлемой зоне; точка (и0; Р0) - в неприемлемой.
Отношение площади зоны приемлемого риска к площади полигона
возможных значений риска (прямоугольник со сторонами 1 и (1-инз)) численно характеризует уровень приемлемого риска. Данная величина может быть найдена по формуле:
Япр =—^— 1 р * (и)с1и .
1 _ инз —
нз
ин
(6)
Подставив (4) в (6) и взяв интеграл, для определения уровня приемлемого риска получим:
ЯПр =-^--[1 _ ^_ь.(1_цн)]. (7)
Ъ • (1 _ инз)
Соответственно, уровень толерантного риска может быть найден по формуле:
Ят=вЯпр. (8)
На практике область приемлемого риска может быть построена по следующей схеме:
а) ЛПР определяет конечное множество значений Я* = {(иi;Р*)};
б) значения и\ нормируются по значению Цр;
*
в) заданные в опорных точках и значения Р\ аппроксимируются непрерывной функцией вида (4).
:
В качестве примера на рисунке 2 в виде сплошной линии представлена аппроксимация данных этапа качественной оценки уровня риска по методике фирмы Microsoft «The Security Risk Management Guide» [14]. Значение величины достоверности аппроксимации R = 0,95 показывает, что
экспоненциальная кривая P = 1,19e"2,29U хорошо описывает данную
*
зависимость P (U).
Чтобы определить текущий уровень риска в организации, необходимо рассмотреть структуру ее активов, которым может быть причинён ущерб, и выявить перечень возможных угроз этим активам. Затем с привлечением экспертов оценить вероятности причинения суммарного ущерба по всему множеству имеющихся активов. Учитывая, что суждения экспертов при этом обычно носят вербальный характер, для перехода к числовым оценкам целесообразно воспользоваться шкалой Харрингтона [15]:
«Вероятность причинения ущерба Низкая (Н)» - 0;
«Вероятность причинения ущерба Ниже Средней (НС)» - 0,29;
«Вероятность причинения ущерба Средняя (С)» - 0,51; (9)
«Вероятность причинения ущерба Выше Средней (ВС)» - 0,72;
«Вероятность причинения ущерба Высокая (В)» - 1.
Таким образом, задается множество точек, аппроксимация которых функцией вида (4) дает возможность построить кривую текущего уровня риска (рис. 2).
Отношение интеграла от данной функции к площади полигона возможных значений риска позволяет численно определить уровень текущего риска:
1 г
R тек =-— ■ Г P тек (U)dU . (10)
1 - U инз
Разность между значениями приемлемого и текущего рисков численно характеризует абсолютное значение степени опасности ситуации:
Дабс = Rтек - R"P, (11)
J
где Дабс - метрическая характеристика абсолютного значения степени
опасности ситуации.
абс
При А > 0 уровень риска является неприемлемым (опасная зона), в противном случае - риск приемлем (безопасная зона).
Отношение значений абсолютной степени опасности и приемлемого
риска определяет относительную степень опасности ситуации:
дотн _ дабс / Rnp
(12)
Расчетный пример:
В рамках расчетного примера в качестве функции приемлемого риска примем кривую, построенную на основе методики Microsoft [14]. Пусть множество опорных точек, описывающих текущее состояние уровня риска, имеет вид: RmeK = {(0,1;1);(0,3;0,72);(0,6;0,51);(0,8;0,29);(1;0,2)}.
Необходимо оценить степень опасности ситуации.
На рисунке 2 приведены графики, построенные на основе исходных данных.
1
0.9 0.8 0,7 0;б 0.5 0.4 0,3 0.2 0Л 0
и
0,1 0.2 03 0.4 0.5 0:6 0.7 0;8 0:9 1 Рис. 2. - Кривые текущего (пунктирная линия) и приемлемого (сплошная
линия) риска
J
Исходя из заданных условий, имеем:
* 2 29U
- функция приемлемого риска: Р = 1,19е" ' ;
- функция текущего уровня риска: Ртек = 1,25е"1'78и (степень достоверности аппроксимации R = 0,98);
- нормированное значение незначимого ущерба: U нз = 0,1.
Согласно формулам (7) и (10) вычислим интегральные показатели
приемлемого риска и текущего уровня риска:
Rпр =-119--[1 - е-2 29 (1-0д) ] = 0,58 • [1 - е-2 06 ] = 0,5
2,29 • (1 - 0,1)
Rтек =-125--[1 - е-178 (1-0Д) ] = 0,78 • [1 - е] = 0,62
1,78 • (1 - 0,1)
Исходя из (11) и (12), получим абсолютную и относительную оценки степени опасности ситуации: Дабс = 0,62 - 0,5 = 0,12; Дотн = 0,12 / 0,5 = 0,24.
Заключение
Предложенный в работе подход к оценке рисков и введенные на его основе метрики позволяют формализовать процесс поиска и принятия оптимальных управленческих решений для приведения уровня текущего риска к целевому значению.
Разработанная математическая модель дает возможность приступить к разработке соответствующего программного обеспечения с целью создания системы поддержки принятия решений в сфере риск-менеджмента.
Литература
1. Чернова Г. В. Кудрявцев А. А. Управление рисками. М.: Проспект, 2005. 160 с.
2. Управление рисками. URL: center-yf.ru/data/menedzheru/upravlenie-riskami.php.
3. Выборнова О. Н. Онтологическая модель процесса оценки рисков // Вестник АГТУ. Управление, вычислительная техничка и информатика. 2015. №2 (апрель). С. 97-102.
4. Дмитриев М. Н., Кошечкин С. А. Количественный анализ риска инвестиционных проектов. URL: cfin.ru/finanalysis/quant_risk.shtml.
5. Проталинский О.М., Ажмухамедов И.М. Системный анализ и моделирование слабо структурированных и плохо формализуемых процессов в социотехнических системах // Инженерный вестник Дона, 2012. №3. URL: ivdon.ru/ru/magazine/archive/n3y2012/916.
6. Аникин И.В. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях: Монография. Казань: редакционно-издательский центр «Школа», 2015. 224с.
7. Zwikael O. The effectiveness of risk management: an analysis of project risk planning across industries and countries // Risk Analysis, 2011. Т.31. №1. pp.25-37.
8. Ковалева А.В. Экономико-математическая модель оценки стратегического риска при выборе стратегии развития промышленного предприятия // Инженерный вестник Дона, 2012. №1. URL: ivdon.ru/ru/magazine/archive/n1y2012/685.
9. Приемлемый риск как уровень безопасности производства. URL: studme.org/12810419/bzhd/priemlemyy_risk_kak_uroven_bezopasnosti_proizvod stva.
10. Enterprise Risk Management - Integrated Framework: Executive summary. COSO, 2004. URL: coso.org/ERM-IntegratedFramework.htm.
11. Карл Берч. Риск Аппетит: «Не откусывайте больше, чем Вы можете проглотить». URL: cfin.ru/finanalysis/risk/Risk_Appetite.shtml.
12. Политика управления рисками в ОАО «МРСК Центра». М., 2010. URL: mrsk-1.ru/docs/regulitions7.doc.
13. Политика по управлению рисками АО «Казына Капитал Менеджмент». 2013. URL: kcm-kazyna.kz/images/userfiles/files/risk%20rus.pdf.
14. Microsoft Methodology «The Security Risk Management Guide». -Microsoft, 2006. URL: microsoft.com/en-us/download/details.aspx?id=6232.
15. Harrington E.C. The desirable function. Industrial Quality Control. 1965. V.21. no. 10. pp. 494-498.
References
1. Chernova G. V. Kudrjavcev A. A. Upravlenie riskami [Risk management]. M.: Prospekt, 2005. 160 p.
2. Upravlenie riskami [Risk management]. URL: center-yf.ru/data/menedzheru/upravlenie-riskami.php.
3. Vybornova O. N. Vestnik AGTU. Upravlenie, vychislitel'naja tehnichka i informatika. 2015. №2. P. 97-102.
4. Dmitriev M. N., Koshechkin S. A. Kolichestvennyj analiz riska investicionnyh proektov [Quantitative risk analysis of investment projects]. URL: cfin.ru/finanalysis/quant_risk.shtml.
5. Protalinskij O.M., Azhmuhamedov I.M. Inzenernyj vestnik Dona (Rus), 2012. №3. URL: ivdon.ru/ru/magazine/archive/n3y2012/916.
6. Anikin I.V. Metody ocenki i upravlenija riskami informacionnoj bezopasnosti v korporativnyh informacionnyh setjah [Evaluation methods and risk managements of information security in corporate information networks]: Monografija. Kazan': redakcionno-izdatel'skij centr «Shkola», 2015. 224p.
7. Zwikael O. The effectiveness of risk management: an analysis of project risk planning across industries and countries. Risk Analysis, 2011. Т.31. №1. pp.25-37.
8. Kovaleva A.V. Inzenernyj vestnik Dona (Rus), 2012. №1. URL: ivdon.ru/ru/magazine/archive/n1y2012/685.
9. Priemlemyj risk kak uroven' bezopasnosti proizvodstva [Acceptable risk as level of safety of production]. URL: studme.org/12810419/bzhd/ priemlemyy_risk_kak_uroven_bezopasnosti_proizvodstva.
10. Enterprise Risk Management - Integrated Framework: Executive summary. COSO, 2004. URL: coso.org/ERM-IntegratedFramework.htm.
11. Karl Berch. Risk Appetit: «Ne otkusyvajte bol'she, chem Vy mozhete proglotit'» [Risk Appetite: «Don't bite off more, than you can swallow»]. URL: cfin.ru/finanalysis/risk/Risk_Appetite.shtml.
12. Politika upravlenija riskami v OAO «MRSK Centra» [Risk management policy in JSC «IDGC of Centre»]. M., 2010. URL: mrsk-1.ru/docs/regulitions7.doc.
13. Politika po upravleniju riskami AO «Kazyna Kapital Menedzhment» [Policy on risk management of JSC «Kazyna Capital Management»], 2013. URL: kcm-kazyna.kz/images/userfiles/files/risk%20rus.pdf.
14. Microsoft Methodology «The Security Risk Management Guide». -Microsoft, 2006. URL: microsoft.com/en-us/download/ details.aspx?id=6232.
15. Harrington E.C. The desirable function. Industrial Quality Control. 1965. V.21. no. 10. pp. 494-498.
