Матрица рисков

Матрица риска — это матрица , которая используется во время оценки риска для определения уровня риска путем сопоставления категории вероятности (часто путаемой с одной из возможных количественных метрик, т. е. вероятностью ) с категорией серьезности последствий. Это простой механизм, позволяющий повысить видимость рисков и помочь в принятии управленческих решений. ^[1]

Определения

Риск – это отсутствие уверенности в результате принятия того или иного выбора. Статистически уровень риска убытков можно рассчитать как произведение вероятности причинения вреда (например, несчастного случая), умноженной на тяжесть этого вреда (т. е. средний размер вреда или, более консервативно, максимально вероятный размер ущерба). вред). На практике матрица рисков является полезным подходом, когда ни вероятность, ни тяжесть вреда не могут быть оценены с точностью и точностью.

Хотя в определенных контекстах существуют стандартные матрицы рисков (например, Министерство обороны США , НАСА , ISO ), ^[2]^[3]^[4] отдельным проектам и организациям может потребоваться создать собственную или адаптировать существующую матрицу рисков. Например, тяжесть вреда можно классифицировать следующим образом:

Катастрофические: смерть или постоянная полная инвалидность, значительное необратимое воздействие на окружающую среду, полная потеря оборудования.
Критическое: травма на уровне аварии, приводящая к госпитализации, постоянной частичной инвалидности, значительному обратимому воздействию на окружающую среду, повреждению оборудования.
Маргинальные: травма, приводящая к потере трудодней, обратимое умеренное воздействие на окружающую среду, уровень ущерба от незначительного несчастного случая.
Незначительная: травма, не приводящая к потере рабочих дней, минимальное воздействие на окружающую среду, ущерб ниже уровня незначительной аварии.

Вероятность причинения вреда можно разделить на «определенную», «вероятную», «возможную», «маловероятную» и «редкую». Однако следует учитывать, что очень низкая вероятность не может быть очень надежной.

Результирующая матрица рисков может иметь следующий вид:

Вероятность	Тяжесть вреда
Вероятность	Незначительный	Маргинальный	Критический	Катастрофический
Определенный	Высокий	Высокий	Очень высокий	Очень высокий
Вероятный	Середина	Высокий	Высокий	Очень высокий
Возможный	Низкий	Середина	Высокий	Очень высокий
Маловероятно	Низкий	Середина	Середина	Высокий
Редкий	Низкий	Низкий	Середина	Середина
Устранено	Устранено

Затем компания или организация рассчитает, какой уровень риска они могут принять при различных событиях. Это будет сделано путем сопоставления риска возникновения события с затратами на обеспечение безопасности и полученной от этого выгодой.

Ниже приведен пример матрицы возможных телесных повреждений, где конкретные несчастные случаи распределены по соответствующим ячейкам матрицы:

Влияние Вероятность	Незначительный	Маргинальный	Критический	Катастрофический
Определенный	Удар пальца ноги
Вероятный		Падать
Возможный			Крупная автомобильная авария
Маловероятно				Крушение самолета
Редкий				Сильное цунами

Матрица рисков является приблизительной и часто может быть оспорена. Например, вероятность гибели в авиакатастрофе составляет примерно 1:11 млн. ^[5] но смерть в результате ДТП составляет 1:5000, ^[5] но в авиакатастрофе обычно никто не выживает, так что это гораздо более катастрофично ^{[ нужна ссылка ]}.

Разработка

30 января 1978 г. ^[6] новая версия Инструкции Министерства обороны США вышла 6055.1 («Программа Министерства обороны по безопасности и гигиене труда»). Говорят, что это стало важным шагом на пути к разработке матрицы рисков. ^[7]

В августе 1978 года автор учебника по бизнесу Дэвид Э. Хасси определил инвестиционную «матрицу рисков», в которой риск находится на одной оси, а прибыльность — на другой. Значения на оси риска были определены путем предварительного определения значений воздействия риска и вероятности риска способом, идентичным заполнению версии современной матрицы рисков 7 x 7. ^[8]

Версия матрицы рисков 5 x 4 была определена Министерством обороны США 30 марта 1984 года в «Требованиях к программе безопасности системы MIL-STD-882B». ^[9]^[10]

Матрица рисков использовалась группой реинжиниринга закупок в ВВС США Центре электронных систем в 1995 году. ^[11]

Хуэйхуэй Ни, Ан Чен и Нин Чен предложили некоторые усовершенствования подхода в 2010 году. ^[12]

В 2019 году самыми популярными формами матрицы стали:

матрица рисков 3x3 ( OHSAS 18001 )
матрица рисков 5x5 (MIL-STD-882B)
матрица рисков 4x4 (AS/NZS 4360, 2004 г.) ^[13]

Используются и другие стандарты. ^[14]

Проблемы

В своей статье «Что не так с матрицами рисков?» ^[15] Тони Кокс утверждает, что матрицы рисков имеют ряд проблемных математических особенностей, которые затрудняют оценку рисков. Это:

Плохое разрешение. Типичные матрицы рисков позволяют правильно и однозначно сравнивать лишь небольшую часть (например, менее 10%) случайно выбранных пар опасностей. Они могут присваивать одинаковые рейтинги очень разным количественно рискам («сжатие диапазона»).
Ошибки. Матрицы рисков могут ошибочно присвоить более высокие качественные рейтинги количественно меньшим рискам. Риски с отрицательно коррелирующими частотой и серьезностью могут быть «хуже, чем бесполезны», что приводит к принятию решений, которые хуже случайных.
Неоптимальное распределение ресурсов. Эффективное распределение ресурсов на контрмеры по снижению риска не может основываться на категориях, предусмотренных матрицами рисков.
Неоднозначные входы и выходы. Классификация степени тяжести не может быть сделана объективно в случае неопределенных последствий. Входные данные для матриц рисков (например, категоризация частоты и серьезности) и результирующие выходные данные (т. е. рейтинги рисков) требуют субъективной интерпретации, и разные пользователи могут получить противоположные оценки одних и тех же количественных рисков. Эти ограничения предполагают, что матрицы рисков следует использовать с осторожностью и только с тщательным объяснением встроенных суждений.

Томас, Братволд и Бикель ^[16] продемонстрировать, что матрицы рисков дают произвольную ранжировку рисков. Ранжирование зависит от структуры самой матрицы рисков, например, от того, насколько велики ячейки и используется ли в ней возрастающая или уменьшающаяся шкала. Другими словами, изменение масштаба может изменить ответ.

Дополнительной проблемой является неточность, используемая в категориях вероятности. Например; «определенный», «вероятный», «возможный», «маловероятный» и «редкий» не связаны иерархически. Лучший выбор может быть получен за счет использования одного и того же базового термина, например «чрезвычайно часто», «очень часто», «довольно часто», «менее часто», «очень редко», «крайне редко» или аналогичной иерархии по базовый термин «частота». ^{[ нужна ссылка ]}

Другая распространенная проблема — присвоение индексов ранга осям матрицы и умножение индексов для получения «оценки риска». Хотя это кажется интуитивно понятным, это приводит к неравномерному распределению. ^{[ нужна ссылка ]}

Кибербезопасность

Дуглас В. Хаббард и Ричард Сейерсен взяли общие исследования Кокса, Томаса, Братволда и Бикеля и представили конкретное обсуждение в сфере рисков кибербезопасности . Они отмечают, что, поскольку 61% специалистов по кибербезопасности используют ту или иную форму матрицы рисков, это может стать серьезной проблемой. Хаббард и Зейерсен рассматривают эти проблемы в контексте других измеренных человеческих ошибок и приходят к выводу, что «ошибки экспертов просто усугубляются дополнительными ошибками, вносимыми самими шкалами и матрицами. Мы согласны с решением, предложенным Томасом и др. В сфере кибербезопасности (или других областей анализа рисков, которые также используют матрицы рисков) нет необходимости заново изобретать хорошо зарекомендовавшие себя количественные методы, используемые во многих одинаково сложных проблемах». ^[17]

Ссылки

^ «Что не так с матрицами рисков?» . Джулиан Талбот о риске, успехе и лидерстве . Архивировано из оригинала 14 июля 2018 г. Проверено 18 июня 2018 г.
^ «Руководство по управлению рисками, проблемами и возможностями для программ оборонных закупок» (PDF) . Министерство обороны США . Январь 2017 г. Архивировано из оригинала (PDF) 4 июля 2017 г. Проверено 18 июня 2018 г.
^ «НАСА, Центр космических полетов Годдарда, Технический стандарт Годдарда GSFC-STD-0002, Отчетность по управлению рисками» (PDF) . 08 мая 2009 г. Проверено 17 июня 2018 г.
^ Международная организация по стандартизации, Управление рисками космических систем, ISO 17666,
^ Jump up to: ^а ^б «NOVA | Самая смертоносная авиакатастрофа | Насколько рискованно летать? | PBS» . www.pbs.org . Проверено 27 июня 2022 г.
^ «HRD-80-20 Опасности для здоровья и безопасности на рабочем месте на объектах Министерства обороны» (PDF) .
^ Клеменс, Пэт (2005). «Матрица RAC: универсальный инструмент или набор инструментов?». Журнал системной безопасности . 41 (2): 14–19.
^ Хасси, Дэвид (1 августа 1978 г.). «Портфельный анализ: практический опыт работы с матрицей направленной политики» . Долгосрочное планирование . 11 (4): 2–8. дои : 10.1016/0024-6301(78)90001-8 . ISSN 0024-6301 .
^ «ТРЕБОВАНИЯ К ПРОГРАММЕ БЕЗОПАСНОСТИ СИСТЕМЫ MIL-STD-882B» . sunday.mit.edu .
^ Филли, Джек О. (1992). «Приемлемый риск — обзор» . Ход работы завода/операций . 11 (4): 218–223. дои : 10.1002/prsb.720110409 . ISSN 1549-4632 .
^ Гарви, Пол; Лэндсдаун, Закари (1998). «Матрица рисков: подход к выявлению, оценке и ранжированию программных рисков» . Журнал логистики ВВС . 22 (1). Издательство ДИАНА: 18–21. ISBN 9781428990890 .
^ Ни, Хуэйхуэй; Чен, Ан; Чен, Нин (1 декабря 2010 г.). «Некоторые расширения подхода к матрице рисков» . Наука безопасности . 48 (10): 1269–1278. дои : 10.1016/j.ssci.2010.04.005 . ISSN 0925-7535 .
^ Ковачевич, Ненад; Стоилькович, Александра; Ковач, Митар (11 декабря 2019 г.). «Применение матричного подхода в оценке рисков» . Операционные исследования в инженерных науках: теория и приложения . 2 (3): 55–64. дои : 10.31181/oresta1903055k . ISSN 2620-1747 .
^ Ристич, Деян (2013). «Инструмент для оценки рисков» (PDF) . Техника безопасности . 3 (3). дои : 10.7562/SE2013.3.03.03 .
^ Кокс, Лос-Анджелес младший, «Что не так с матрицами рисков?», Анализ рисков, Том. 28, № 2, 2008 г., дои : 10.1111/j.1539-6924.2008.01030.x
^ Томас, Филип, Рейдар Братволд и Дж. Эрик Бикель, «Риск использования матриц риска», SPE Economics & Management, Vol. 6, № 2, стр. 56-66, 2014 г., два : 10.2118/166269-PA
^ Хаббард, Дуглас В.; Зейерсен, Ричард (2016). Как измерить риск кибербезопасности . Уайли. стр. Kindle Locations 2636–2639.

[1] «Что не так с матрицами рисков?» . Джулиан Талбот о риске, успехе и лидерстве . Архивировано из оригинала 14 июля 2018 г. Проверено 18 июня 2018 г.

[2] «Руководство по управлению рисками, проблемами и возможностями для программ оборонных закупок» (PDF) . Министерство обороны США . Январь 2017 г. Архивировано из оригинала (PDF) 4 июля 2017 г. Проверено 18 июня 2018 г.

[3] «НАСА, Центр космических полетов Годдарда, Технический стандарт Годдарда GSFC-STD-0002, Отчетность по управлению рисками» (PDF) . 08 мая 2009 г. Проверено 17 июня 2018 г.

[ISO-4] Международная организация по стандартизации, Управление рисками космических систем, ISO 17666,

[:0-5] Jump up to: ^а ^б «NOVA | Самая смертоносная авиакатастрофа | Насколько рискованно летать? | PBS» . www.pbs.org . Проверено 27 июня 2022 г.

[6] «HRD-80-20 Опасности для здоровья и безопасности на рабочем месте на объектах Министерства обороны» (PDF) .

[7] Клеменс, Пэт (2005). «Матрица RAC: универсальный инструмент или набор инструментов?». Журнал системной безопасности . 41 (2): 14–19.

[8] Хасси, Дэвид (1 августа 1978 г.). «Портфельный анализ: практический опыт работы с матрицей направленной политики» . Долгосрочное планирование . 11 (4): 2–8. дои : 10.1016/0024-6301(78)90001-8 . ISSN 0024-6301 .

[9] «ТРЕБОВАНИЯ К ПРОГРАММЕ БЕЗОПАСНОСТИ СИСТЕМЫ MIL-STD-882B» . sunday.mit.edu .

[10] Филли, Джек О. (1992). «Приемлемый риск — обзор» . Ход работы завода/операций . 11 (4): 218–223. дои : 10.1002/prsb.720110409 . ISSN 1549-4632 .

[11] Гарви, Пол; Лэндсдаун, Закари (1998). «Матрица рисков: подход к выявлению, оценке и ранжированию программных рисков» . Журнал логистики ВВС . 22 (1). Издательство ДИАНА: 18–21. ISBN 9781428990890 .

[12] Ни, Хуэйхуэй; Чен, Ан; Чен, Нин (1 декабря 2010 г.). «Некоторые расширения подхода к матрице рисков» . Наука безопасности . 48 (10): 1269–1278. дои : 10.1016/j.ssci.2010.04.005 . ISSN 0925-7535 .

[13] Ковачевич, Ненад; Стоилькович, Александра; Ковач, Митар (11 декабря 2019 г.). «Применение матричного подхода в оценке рисков» . Операционные исследования в инженерных науках: теория и приложения . 2 (3): 55–64. дои : 10.31181/oresta1903055k . ISSN 2620-1747 .

[14] Ристич, Деян (2013). «Инструмент для оценки рисков» (PDF) . Техника безопасности . 3 (3). дои : 10.7562/SE2013.3.03.03 .

[cox-15] Кокс, Лос-Анджелес младший, «Что не так с матрицами рисков?», Анализ рисков, Том. 28, № 2, 2008 г., дои : 10.1111/j.1539-6924.2008.01030.x

[thomas-16] Томас, Филип, Рейдар Братволд и Дж. Эрик Бикель, «Риск использования матриц риска», SPE Economics & Management, Vol. 6, № 2, стр. 56-66, 2014 г., два : 10.2118/166269-PA

[17] Хаббард, Дуглас В.; Зейерсен, Ричард (2016). Как измерить риск кибербезопасности . Уайли. стр. Kindle Locations 2636–2639.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]