Rambler's Top100
 
Статьи ИКС № 3 2020
Антон ГРЕЦКИЙ  14 июля 2020

Карта рисков: что, зачем и как

Карта рисков – простой и наглядный инструмент, который позволяет классифицировать риски по степени критичности для бизнеса и оценить общее состояние риск-менеджмента в компании, однако принимать ключевые решения, опираясь только на нее, не следует.

Многим компаниям, ведущим бизнес с использованием информационных технологий, необходимо подтверждать, что сами эти технологии и данные надежно защищены. От этого зависят репутация бизнеса, доверие клиентов и стабильное положение на рынке. Современные стандарты информационной безопасности, такие как COSO, ISO 31000: 2009, ISO/IEC 27005: 2011, большое значение придают риск-менеджменту, поскольку он, помимо прочего, является важным аспектом контроля со стороны национальных регуляторов. Популярный инструмент определения и ранжирования рисков – карта рисков.

Оценка рисков как основа безопасности бизнеса

Оценка рисков – важный шаг для каждой компании, направленный на минимизацию потерь. Важно определить, какие риски внутри компании и во внешней среде для вас существенны, а какими можно пренебречь.

Карта рисков – инструмент, который позволяет классифицировать риски по степени критичности для бизнеса. Кроме того, она поможет понять, какие риски бизнес может принять, не обрабатывая.

Наличие актуальной карты рисков свидетельствует о том, что риски идентифицируются, анализируются и обрабатываются. Ее можно демонстрировать проверяющим регуляторам, рейтинговым агентствам, банкам, акционерам в качестве подтверждения действующей системы риск-менеджмента в вашей компании. 

Как создать карту рисков?

Исходные данные для составления карты рисков – реестр, включающий все риски, присущие вашему бизнесу, и форма карты (рис. 1) для ее наполнения выявленными рисками. В процедуре наполнения карты должны участвовать владельцы технических и бизнес-процессов, чьи риски будут оцениваться.
 

Вероятность, баллы

Ущерб, баллы

Очень низкий, 1

Низкий, 2

Средний, 3

Высокий, 4

Крайне высокий, 5

Очень низкая, 1

 

 

 

 

 

Низкая, 2

 

 

 

 

 

Средняя, 3

 

 

 

 

 

Высокая, 4

 

 

 

 

 

Крайне высокая, 5

 

 

 

 

 


Рис.1. Форма карты рисков

Оценку каждого риска в карте будем проводить по двум параметрам/шкалам – вероятность реализации и потенциальный ущерб. В качестве градаций обычно выбирают «низкий», «высокий» и «средний» уровень. Для более точного позиционирования рисков в карте можно разделить верхнюю и нижнюю границы, добавив значения «крайне низкий» и «крайне высокий» (критический). Уровню «крайне низкий» присваиваем значение 1, «низкий» – 2, «средний» – 3, «высокий» – 4 и «крайне высокий» – 5.

Оценка ущерба. Ущерб, в результате которого работа вашего бизнеса окажется под угрозой, принимаем как «высокий»/«крайне высокий», низкий ущерб не подразумевает каких-либо последствий для бизнеса.

Оценка вероятности. Высокая вероятность риска может означать, что подобные риски в прошлом уже неоднократно реализовывались или, судя по некоторым признакам, риск вот-вот реализуется. Вероятность можно считать низкой, когда риск не реализовывался уже несколько лет и предпосылок к этому не предвидится.

Относительное значение уровня риска – это произведение двух величин: вероятности реализации риска и ущерба от этого. Таким образом минимальное относительное значение уровня риска будет равняться 1 – вероятность крайне низка (1) и ущерб также крайне низок (1). Максимальное относительное значение риска – 25 – когда и уровень ущерба, и вероятность его реализации крайне высоки (рис. 2). Все риски компании будут ранжироваться в этом диапазоне, от 1 до 25.

Рис. 2. Карта с цветовой дифференциацией рисков

Сгруппируем риски для дальнейшей работы:
  • диапазон 1–2 относительного значения риска будем считать крайне низким, такие риски можно принять без компенсационных мер; 
  • диапазон 3–5 соответствует низким рискам, обрабатывать которые можно в последнюю очередь; 
  • 6–15 – средние риски; 
  • 16–20 – высокие риски;
  • 25 – крайне высокие риски, обработка которых является первоочередной задачей.
Как использовать карту рисков?

Карта рисков, безусловно, полезна, однако при принятии ключевых решений в сфере инвестирования, формирования стратегии, утверждения бюджетов, разработки планов развития и т.п. не следует опираться только на нее. Дело в том, что карта рисков по своей природе – инструмент неточный и оценочный. Она описывает одной точкой неопределенность, которая имеет огромное количество сценариев, не учитывая при этом вариации и распределения.

Многие эксперты в области риск-менеджмента указывают, что использование этого инструмента для принятия решений само является рискованным. Например, авторы исследования «Риск использования карты рисков» указывают, что карты рисков классифицируют значения ущерба и вероятностей, однако не существует устоявшихся правил, как выполнять классификацию. Ранжирование, производимое риск-менеджером, зависит от произвольного выбора, и этот произвольный выбор часто дает произвольный результат. 

Большинство компаний в мире (за исключением постсоветского пространства) перестали всерьез заниматься картами рисков, заменив их другими инструментами принятия решений. В качестве альтернатив можно выбрать имитационное моделирование, сценарный анализ, анализ чувствительности, деревья решений.

Карта рисков хорошо подходит для презентации процедур риск-менеджмента в компании. Она способна отразить «в крупную клетку» общее состояние управления рисками. Это действительно удобный и понятный графический способ подачи информации руководству компании, акционерам, регуляторам. Если преобладают желтая и зеленая зоны – ситуация под контролем, если красная и оранжевая – значит управление рисками нужно срочно совершенствовать. Однако не полагайтесь на карту рисков для принятий стратегически важных решений, потому что она для этого не предназначена. 

Антон Грецкий, специалист по безопасности, ActiveCloud
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!