Матрица риска

Оценка риска, сравнивающая вероятность риска с его серьезностью

Матрица риска — это матрица , которая используется во время оценки риска для определения уровня риска путем рассмотрения категории вероятности (часто путаемой с одной из ее возможных количественных метрик, т.е. вероятностью ) в сравнении с категорией серьезности последствий. Это простой механизм для повышения видимости рисков и содействия принятию управленческих решений. ^[1]

Определения

Риск — это отсутствие уверенности в результате принятия конкретного выбора. Статистически уровень риска убытков можно рассчитать как произведение вероятности причинения вреда (например, несчастного случая) на тяжесть этого вреда (т. е. средний размер вреда или, более консервативно, на максимально возможную величину вреда). На практике матрица риска является полезным подходом, когда вероятность или тяжесть вреда не могут быть оценены с точностью и достоверностью.

Хотя стандартные матрицы рисков существуют в определенных контекстах (например, US DoD , NASA , ISO ), ^{[2] [3] [4]} отдельным проектам и организациям может потребоваться создать свою собственную или адаптировать существующую матрицу рисков. Например, тяжесть вреда можно классифицировать следующим образом:

• Катастрофические: смерть или постоянная полная инвалидность, значительное необратимое воздействие на окружающую среду, полная потеря оборудования.
• Критический: травма на уровне несчастного случая, приводящая к госпитализации, постоянная частичная нетрудоспособность, значительное обратимое воздействие на окружающую среду, повреждение оборудования
• Незначительный: травма, приводящая к потере рабочих дней, обратимое умеренное воздействие на окружающую среду, незначительный уровень ущерба от несчастного случая
• Незначительная: травма, не повлекшая за собой потерю трудоспособности, минимальное воздействие на окружающую среду, ущерб меньше уровня незначительной аварии

Вероятность возникновения вреда можно классифицировать как «определенную», «вероятную», «возможную», «маловероятную» и «редкую». Однако следует учитывать, что очень низкая вероятность может быть не очень надежной.

Результирующая матрица рисков может быть следующей:

Компания или организация затем рассчитает, какие уровни риска они могут принять при различных событиях. Это будет сделано путем взвешивания риска возникновения события по отношению к затратам на реализацию безопасности и полученной от этого выгоде.

Ниже приведен пример матрицы возможных телесных повреждений, в которой конкретные несчастные случаи распределены по соответствующим ячейкам матрицы:

Матрица риска является приблизительной и часто может быть оспорена. Например, вероятность смерти в авиакатастрофе составляет около 1:11 миллиона ^[5], а смерть в автокатастрофе — 1:5000, ^[5] но обычно никто не выживает в авиакатастрофе, так что это гораздо более катастрофично ^{[ требуется цитата ]} .

Разработка

30 января 1978 года ^[6] была выпущена новая версия Инструкции Министерства обороны США 6055.1 («Программа Министерства обороны по охране труда и технике безопасности»). Говорят, что это был важный шаг на пути к разработке матрицы рисков. ^[7]

В августе 1978 года автор учебника по бизнесу Дэвид Э. Хасси определил инвестиционную «матрицу риска» с риском на одной оси и прибыльностью на другой. Значения на оси риска были определены путем предварительного определения значений воздействия риска и вероятности риска способом, идентичным заполнению версии 7 x 7 современной матрицы риска. ^[8]

Версия матрицы риска 5 x 4 была определена Министерством обороны США 30 марта 1984 года в «Требованиях программы безопасности систем MIL-STD-882B». ^{[9] [10]}

Матрица рисков использовалась группой по реинжинирингу закупок в Центре электронных систем ВВС США в 1995 году. ^[11]

Хуэйхуэй Ни, Ан Чэнь и Нин Чэнь предложили некоторые усовершенствования подхода в 2010 году. ^[12]

В 2019 году тремя наиболее популярными формами матрицы были:

• матрица риска 3x3 ( OHSAS 18001 )
• матрица риска 5x5 (MIL-STD-882B)
• матрица риска 4x4 (AS/NZS 4360 2004) ^[13]

Используются и другие стандарты. ^[14]

Проблемы

В своей статье «Что не так с матрицами риска?» ^[15] Тони Кокс утверждает, что матрицы риска имеют несколько проблемных математических особенностей, затрудняющих оценку рисков. Это:

• Плохое разрешение. Типичные матрицы риска могут правильно и однозначно сравнивать только небольшую часть (например, менее 10%) случайно выбранных пар опасностей. Они могут присваивать идентичные рейтинги количественно очень разным рискам («сжатие диапазона»).
• Ошибки. Матрицы рисков могут ошибочно присваивать более высокие качественные рейтинги количественно меньшим рискам. Для рисков с отрицательно коррелированными частотами и серьезностями они могут быть «хуже, чем бесполезны», что приводит к решениям хуже, чем случайные.
• Неоптимальное распределение ресурсов. Эффективное распределение ресурсов на меры по снижению риска не может основываться на категориях, предоставляемых матрицами риска.
• Неоднозначные входы и выходы. Категоризации серьезности не могут быть сделаны объективно для неопределенных последствий. Входы в матрицы риска (например, категоризации частоты и серьезности) и полученные выходные данные (например, рейтинги риска) требуют субъективной интерпретации, и разные пользователи могут получить противоположные рейтинги одних и тех же количественных рисков. Эти ограничения предполагают, что матрицы риска следует использовать с осторожностью и только с тщательными объяснениями встроенных суждений.

Томас, Братволд и Бикель ^[16] демонстрируют, что матрицы риска создают произвольные рейтинги риска. Рейтинги зависят от конструкции самой матрицы риска, например, от того, насколько велики ячейки и используется ли возрастающая или убывающая шкала. Другими словами, изменение шкалы может изменить ответ.

Дополнительная проблема — неточность, используемая в категориях вероятности. Например, «определенный», «вероятный», «возможный», «маловероятный» и «редкий» не связаны иерархически. Лучший выбор может быть получен путем использования того же базового термина, например, «чрезвычайно распространенный», «очень распространенный», «довольно распространенный», «менее распространенный», «очень нераспространенный», «крайне нераспространенный» или аналогичной иерархии на базовом термине «частота». ^{[ требуется цитата ]}

Другая распространенная проблема — назначение индексов ранга осям матрицы и умножение индексов для получения «оценки риска». Хотя это кажется интуитивно понятным, это приводит к неравномерному распределению. ^{[ необходима цитата ]}

Кибербезопасность

Дуглас В. Хаббард и Ричард Сайерсен берут общее исследование Кокса, Томаса, Братволда и Бикеля и приводят конкретное обсуждение в области риска кибербезопасности . Они указывают, что поскольку 61% специалистов по кибербезопасности используют ту или иную форму матрицы риска, это может быть серьезной проблемой. Хаббард и Сайерсен рассматривают эти проблемы в контексте других измеренных человеческих ошибок и приходят к выводу, что «Ошибки экспертов просто еще больше усугубляются дополнительными ошибками, вносимыми самими шкалами и матрицами. Мы согласны с решением, предложенным Томасом и др. Нет необходимости для кибербезопасности (или других областей анализа риска, которые также используют матрицы риска) заново изобретать хорошо зарекомендовавшие себя количественные методы, используемые во многих столь же сложных проблемах». ^[17]

Ссылки

1. "Что правильного в матрицах риска?". Джулиан Талбот о риске, успехе и лидерстве . Архивировано из оригинала 2018-07-14 . Получено 2018-06-18 .
2. "Руководство по управлению рисками, проблемами и возможностями для программ оборонных закупок" (PDF) . Министерство обороны США . Январь 2017 г. Архивировано из оригинала (PDF) 2017-07-04 . Получено 2018-06-18 .
3. "NASA, Центр космических полетов имени Годдарда, Технический стандарт Годдарда GSFC-STD-0002, Отчетность по управлению рисками" (PDF) . 2009-05-08 . Получено 2018-06-17 .
4. Международная организация по стандартизации, Управление рисками космических систем, ISO 17666,
5. "NOVA | Самая смертоносная авиакатастрофа | Насколько рискованно летать? | PBS". www.pbs.org . Получено 27.06.2022 .
6. "HRD-80-20 Опасности для здоровья и безопасности на рабочих местах на объектах Министерства обороны США" (PDF) .
7. Клеменс, Пэт (2005). «Матрица RAC: универсальный инструмент или набор инструментов?». Журнал системной безопасности . 41 (2): 14–19.
8. Хасси, Дэвид (1 августа 1978 г.). «Анализ портфеля: практический опыт работы с матрицей направленной политики». Long Range Planning . 11 (4): 2–8. doi :10.1016/0024-6301(78)90001-8. ISSN  0024-6301.
9. "ТРЕБОВАНИЯ ПРОГРАММЫ БЕЗОПАСНОСТИ СИСТЕМЫ MIL-STD-882B". sunnyday.mit.edu .
10. Филли, Джек О. (1992). «Приемлемый риск — обзор». Plant/Operations Progress . 11 (4): 218–223. doi :10.1002/prsb.720110409. ISSN  1549-4632.
11. Гарви, Пол; Ландсдаун, Закари (1998). «Матрица рисков: подход к выявлению, оценке и ранжированию рисков программы». Журнал логистики ВВС . 22 (1). Издательство DIANE: 18–21. ISBN 9781428990890.
12. Ни, Хуэйхуэй; Чен, Ан; Чен, Нин (1 декабря 2010 г.). «Некоторые расширения подхода матрицы рисков». Наука безопасности . 48 (10): 1269–1278. дои : 10.1016/j.ssci.2010.04.005 . ISSN  0925-7535.
13. Ковачевич, Ненад; Стоилькович, Александра; Ковач, Митар (11 декабря 2019 г.). «Применение матричного подхода в оценке рисков». Операционные исследования в инженерных науках: теория и приложения . 2 (3): 55–64. дои : 10.31181/oresta1903055k . ISSN  2620-1747.
14. Ристич, Деян (2013). "Инструмент для оценки риска" (PDF) . Техника безопасности . 3 (3). doi : 10.7562/SE2013.3.03.03 .
15. Кокс, Л. А. младший, «Что не так с матрицами риска?», Анализ риска, т. 28, № 2, 2008, doi :10.1111/j.1539-6924.2008.01030.x
16. Томас, Филип, Рейдар Братволд и Дж. Эрик Бикель, «Риск использования матриц риска», SPE Economics & Management, т. 6, № 2, стр. 56-66, 2014, doi :10.2118/166269-PA
17. Хаббард, Дуглас В.; Сайерсен, Ричард (2016). Как измерить что-либо в риске кибербезопасности . Wiley. стр. Kindle Locations 2636–2639.