Количественный анализ рисков
6.3. Параметры рисков
Текущее состояние процессов, в условиях динамически развивающегося мира высоких технологий и бизнеса определяет, что любой процесс имеет в своей основе неопределенность. Причем чем более инновационный и динамический бизнес/процессы (процент которых к общей доле процентов с каждым годом становится только выше), тем эта неопределенность выше. От величины и степени влияния неопределенности на составляющие рассматриваемого процесса зависит конкретный, ассоциированный с выбранной неопределенностью риск. Значимость риска определяется "силой" и актуальностью переменных, из которого он "складывается".
Таким образом, говоря о количественном анализе рисков, мы понимаем, что нам понадобится определенный инструментарий, основанный на общих принципах теории вероятности (устанавливающей связь между случайными параметрами и неопределенностью), для корректной и качественной оценки величины и влияния возможных ущербов на активность, в целом, и ее составных субпроцессов, в частности.
Так же надо учесть, что многие, как казалось на первый взгляд, не связанные между собой неопределенности имеют воспроизводимые корреляции/связи. Это может сказаться на масштабе и "лавинности" рисков. В связи с этим, главной задачей количественного анализа рисков является создание основы для принятия обоснованных управленческих решений, подкрепленных информацией о состоянии рисков и неопределенностей, ранжированных по количественному признаку.
Для решения этой задачи перед риск-менеджером возникнет вопрос понятного представления информации о рисках в виде практичной и "читабельной" формы. Такие шаблоны/формы должны быть понятны принимающим решение специалистам конкретных бизнес доменов и их руководителям.
Поставленная задача решается реализацией одночисленных параметров, понятных конкретным лицам, не имеющим специального образования в области анализа рисков, легкосравнимых друг с другом, доступных для понимания, разбирающимся в предметной области, для которой выполняется количественный анализ.
Допустим, что есть предпосылки к тому, что приоритетный процесс/проект и его результаты находятся под влиянием возможного риска, и его стоимость/ценность увеличивается, пропорционально увеличению риска.
Самой очевидной для применения количественной метрикой/характеристикой будет являться средняя величина потенциальных потерь (СВПП) рассматриваемого вида активности.
Сделаем небольшое отступление и констатируем, что данная мера является наиболее распространённой, а иногда и единственной для немногочисленных организаций выполняющих количественный анализ рисков.
Оценка по СВПП представляет рассматриваемую область только с одной стороны. Когда же речь идет о количественном анализе рисков, рассмотрение только одной характеристики не гарантирует качественных комплексных результатов и объективной оценки состояния "рисковых объектов" с точки зрения количественных составляющих.
СВПП отражает потенциальные или явные затраты, которые придется понести спонсорам деятельности/организациям, но при этом она не содержит информацию о величине этих потерь. Отсутствие конкретной информации о величине возможных ущербов противоречит задачам количественного анализа, которые должны предоставлять её с заданным уровнем достоверности. Эти недостатки, применения данной метрики, решаются использованием интегрального распределения вероятностей конкретной величины (распределение вероятности будет рассмотрено далее). Из этого представления можно сделать вывод, с учетом более информативных показателей, к примеру, о доверительной границе риска (ДГР).
Подобная величина, производная от ДГР, получила широкое распространение в современных методах и методиках, так же применяется в большинстве мировых стандартах, связанных с рисковым доменом и называется - VaR.
VaR – это концептуальная характеристика рисковой стоимости, которая играет все более важную роль, за счет своей доступности к пониманию и широкого распространения. Данная характеристика наиболее полно и достоверно отображает количественную составляющую рисков на сегодняшней степени развития ИТ.
Говоря о параметрах и зависимостях рисков, необходимо учитывать, что сам по себе конкретный риск не существует в изоляции от других рисков. Исключить вероятность связи различных рисков между собой без точечного и полного анализа конкретного процесса, выполнение которого необходимо проводить на регулярной основе, учитывая динамизм развития и "взаимовлияния" различных процессов, с другими причинами и факторами невозможно. Поэтому, допуская связь различнофакторных рисков между собой, появляется проблема "кумуляции" различных факторов и проблема оценки подобной лавинности и потенциального суммарного ущерба.
Такой метод, позволяющий обрабатывать подобный проблемы и моделировать рисковые ситуации, был рассмотрен нами ранее, с точки зрения его поверхностного применения для первичного анализа рисков ( "лекция №4" ). Это метод Монте-Карло.
При работе с ним, используя его в процессе количественного анализа рисков, становится возможным определить вероятность суммарного риска для отдельных, случайных факторов. Это становится возможным с условием уже имеющегося массива данных по рисковым факторам, учитывать и обрабатывать которые необходимо для данного конкретного процесса. Величина и качество используемого массива будет определять качество результатов полученных в ходе использовании метода Монте-Карло.
Таким образом, процессная составляющая сбора данных, которые должны быть учтены при количественном анализе рисков становится определяющим фактором достижения показателей деятельности риск-менеджмента, в целом и качества кривой распределения вероятности суммарного риска, в частности.
Первым неоспоримым преимуществом метода Монте-Карло является то, что для него, диаграмма распределения вероятностей строится не на основе прогнозных характеристик, а с учетом заданной систематической/псевдосистематической последовательности изменений повторяющихся факторов.
Вторым преимуществом этой техники является то, что довольно легко можно учесть возможные корреляции рисковых факторов и планировать на их основе активности по работе с рисками, предсказывая необходимые для этого ресурсы.
Главный же недостаток этой методологии состоит в том, что для работы с ней требуется большое число шагов обработки данных и достаточно достоверная информация, иначе точная оценка VaR не будет достигнута.
Таким образом, на примере метода Монте-Карло, мы рассмотрели основные параметры рисков, которые необходимы для выполнения количественного анализа. Безусловно, предложенные тактики и данные не являются догмой, но представляют собой классические атрибуты, учет которых составляет в своей основе вариативные процессы анализа рисков.
Подводя итоги части, посвященной параметрам рисков, надо упомянуть, что для параметров имеет место свойство эмерджентности, упоминаемое нами ранее, при рассмотрении процессов идентификации рисковых факторов.
Каждый риск, сам по себе, представляет потенциальный ущерб, который необходимо учитывать и при необходимости уметь обрабатывать, но, при условии взаимодействия нескольких рисков одновременно, существует опасность усиления суммарного ущерба за счет увеличения их влияния, под воздействием друг друга.
Эти эффекты так же необходимо не оставлять без внимания при планировании и выполнении активностей риск-менеджмента.
6.4. Распределение вероятностей рисков и их оценка
В 3 части лекции нами показано, что случайные переменные могут с определенной точностью характеризовать кривую распределения вероятностей, которая играет роль центрального элемента, при количественном анализе рисков.
Распределение вероятностей появления рисков содержит информацию о возможности появления каждого значения, которое может иметь переменная, отражающая потенциальное или явное появление риска/ов. Если переменные, составляющие распределение вероятности, имеют непрерывное значение, тогда становится возможным построение непрерывной функции, описывающей их развитие. Подобную функцию принято называть плотность вероятности.
Благодаря плотности вероятности становится возможным осуществлять активности контроля над суммарной вероятностью риска, манипулирую различными факторами, суммарная характеристика которых известна в каждый определенный момент времени. Использование плотности вероятности позволяет организовать процессы контроля над рисковыми объектами
Имея достоверные, полные и, что наиболее важно, количественнохарактеризованные данные по жизненному циклу/ам рисков, становится возможным прогнозирование ресурсных затрат и последующих выгод, связанных с проявлением рисков в процессах, подконтрольных риск-менеджменту за счет их достоверного описания путем составления диаграммы распределения вероятностей.
Количественное описание и анализ рисков способствует становлению высококачественных процедур оценки в процессах риск-менеджмента, на данной конкретной итерации и на более ранних итерациях (идентификация и т.д.), что способствует повышению организационной культуры рассматриваемой организации.
Но понимая реалии рынка компаний информационных технологий можно утверждать, что распределение вероятности найдет свое место только в достаточно крупных структурах, поэтому мы дополнительно рассмотрим ряд методов, более доступных для использования при большем дефиците бюджета, отводимого на домен по работе с рисками.
6.5. Матрица "Вероятность и Последствия"
Этот метод мы упоминали ранее, когда речь шла о качественном анализе рисков ( "лекция 5" ).
Строго говоря, этот метод более относится к группе количественных методов, так как ряд его характеристик, таких как ранг риска и т.д., представляют конкретный риск с точки зрения количественного описания и дают возможность возможности аргументировано выделить более приоритетные задачи. Но за счет того, что этот тип анализа рисков является относительно простым в исполнении и доступным к пониманию широкой аудитории специалистов, мы отнесли его к группе качественных анализов рисков. В дополнение, к уже приведенной нами ранее информации, в целях обоснованного приведения данного метода в данной лекции, стоит сказать, что МВП (матрица "Вероятность и последствия") может представлять собой более точный инструмент (в сравнении с прошлой итерацией его обсуждения). В качестве управляющих параметров при её построении будем использовать не трехоценочная шкалу, а более точные числовые атрибуты, обоснованность которых продиктована конкретными процедурами оценки и анализа рисков.
Таким образом, можно представить матрицу не только в качестве инструмента, отражающего "крайние" ситуации рискового развития, а более детальное их развитие и миграцию по этапам и стадиям процесса их жизненного цикла.
6.6. Другие методы
Метод сценариев.
Эта техника позволяет получать достаточно наглядную картину для различных вариантов от реализации рисков, а также предоставляет информацию о чувствительности рискового окружения и возможных отклонениях, в случае выполнения анализа рисков за счет манипуляции рисковыми переменными специалистом, выполняющим данный метод.
Преимущество метода состоит в том, что с помощью него можно получать "довольно" комплексную картину, содержащую максимально различные степени реализации рисков и предусмотреть возможные "граничные" отклонения. Но недостатком является то, что вряд ли можно будет выявить что-то "новое" (внезапновозникшее), так как метода не предусматривает выявление неизвестных, не заложенные в его сценарное моделирование параметров.
В случае применение программных электронных средств, позволяющих автоматизировать процессы расчета результатов (Excel и т.п.), становится возможным значительно повысить эффективность подобного анализа путем практически неограниченного увеличения числа сценариев и введения дополнительных оценочных переменных. Главная рекомендация, которую можно дать, относительно этой методики – она не самодостаточная и использовать её можно только как часть комплексной системы по работе с рисками, с учетом того, что риск-менеджер, должен неплохо ориентироваться методически в домене, для которого выполняется анализ ИТ рисков.
Имитационное моделирование.
Данной метод хорошо себя зарекомендовал в инвестиционной сфере и продемонстрировал широкие возможности своего использования в условиях рисковых составляющих. Неоспоримым преимуществом, в общем, так же как и недостатком, является то, что он эффективен в использовании только в рамках конкретной модели или же в сочетании с другими методами.
Имитационное моделирование позволяет максимально точно, достоверно и детально описать рисковый процесс. Использование имитационного моделирования, совместно с качественными методами анализа рисков, которые позволят целостно, концептуально и полно описать аналитическую модель/и, в которой возможно выявление новых рисков позволят говорить о создании системы по работе с рисками, необходимость которой мы изучим немного позднее.
Подводя итоги описания методов сценариев и имитационного моделирования нужно констатировать, что практическое применение этих методов свидетельствует о том, что с их помощью, удается достичь более точного результата, по сравнению с другими техниками, но за счет выполнения большого количества шагов по перебору возможных случайных рисковых параметров.
Центрально предельная теорема
Если же для целей нашей организации удовлетворительной оценки распределения вероятностей агрегированных рисков достаточно, то имеет смысл отказать от трудоемких методов рассмотренных ранее и воспользоваться количественно-аналитическими методами. Один из таких методов – метод, основанный на центрально предельной теореме. Суть теоремы состоит в том, что при достаточно большом числе отдельных случайных рисков, кривую, описывающее ее состояние можно аппроксимировать нормальным распределением.
Преимущество нормального распределения состоит в том, что оно полностью характеризуется и описывается своим средним значением и своей плотностью, которое можно вычислить и определить, зная конечные, пограничные значения возможности проявления/реализации рисковых величин. Но, рассматривая и применяя нормальное распределение необходимо помнить о том, что его стабильность и возможность применения зависит от определенного временного интервала, для которого известны его "пограничные" характеристики рисков.
Выводы
Что бы получить качественные результаты количественной оценки рисков необходимо, чтобы данные, на основе которых будет выполняться процессы анализа, соответствовали по своим характеристикам целям анализа рисков.
Сбор данных осуществляется на этапах идентификации угроз и качественной оценки. Приемлемым результатом выполнения этих активностей является достоверный и адекватный массив статистических данных который в дальнейшем может быть применим для количественного анализа.
В центре количественного анализа может находиться метод, более чувствительный к качеству данных (метод Монте-Карло) или менее чувствительный (метод Центрально предельной теоремы), но погрешность результатов которого, будет выше.
При решении использовать количественный анализ рисков, в процессах конкретной организации, необходимо взвешенно подходить к выбору методов, которые будут использоваться и чья эффективность будет обоснована, за счет параметров окружения, в котором предполагается его использование.
6.7. Краткие выводы по изученному модулю
Итогом сегодняшнего обсуждения является то, что мы пришли к выводам о необходимости использования количественного анализа рисков только при условии "готовности" конкретной организации к структурным и процессным изменениям моделей их активности. Величина и степень изменения будет зависеть от тех результатов, которые должны быть получены.
Для "тех", жребий которых брошен, существуют множество различных системных, математических, аналитических методологий и методов анализа риска, ранжированных по точности получаемых результатов и ресурсным затратам на их использование.
Одним из основных недостатков большинства методов является то, что они содержат в себе много предположений и ограничений. Эти "погрешности" необходимы для создания диаграммы распределения вероятности и/или построения модельного сценария, и т.д., элементов, которые представляют собой центральную и базисную часть выбранной техники.
Конкретный метод позволяет создать модель деятельности с определенным уровнем детализации и оценки проявления рисков, допускающий обобщенное описание процессов, часть составляющих которого, идеализирована или упрощенна, что так же необходимо учитывать при дальнейшим использовании результатов процессов анализа рисков.
Множество различных рисков ситуаций делает возможным применение любого из описанных методов, в зависимости от причин возникновения конкретного риска и достоверных данных, характеризующих и количественно описывающих его.
В заключении, отметим необходимо отметить, что все методы количественного анализа рисков являются достаточно сложным инструментом. Они требует привлечения квалифицированных специалистов со стороны предметной области, для которой используется анализ рисков и выстроенной системы по сбору информации для количественного анализа рисков.
Количественный анализ это активность, использование которой будет способствовать достижению точных, достоверных и эффективных бизнес процессов. Это станет возможным по причине полноценной оценки критериев функционирования рассматриваемой системы, в условиях оцененных рисков.
Достаточно большое внимание стоит уделять процессам верификации и валидации созданных рисковых моделей.
Любая модель создается для параметров конкретного временного интервала, которые могут сильно влиять/изменять друг друга с течением времени. Оперативность создания модели и её соответствие реалиям одни из ключевых факторов для получения точных рисковых параметров.
Немного отвлекшись, и вспомнив ранее обсуждаемый материал, стоит сказать о том, что большинство количественных методов анализа рисков являются специализированными и направлены на решение конкретных проблем. Их применение, для решения более универсальных задач, таких как выявление новых рисков, не описанных ранее, является не приемлемым.
В наших лекциях мы подводим слушателя к осознанию того, что тема создания и использования системы (именно системы) по работе с рисками будет определять тот уровень результирующей информации и размер возможной прибыли, который потенциально будет достигнут риск-менеджментом.
Если организация ожидает от данного процесса высоких результатов и предполагает, что данный домен со временем должен стать одним из основных активностей предприятия, на результатах которого представляется возможным планировать стратегию и тактику его финансового развития, то отдельными частями риск-менеджмента не обойтись и единственным возможным вариантом представляется создание системы процессов анализа рисков. Каждая по отдельности активность анализа рисков способна "закрыть" временные, "случайные" проблемы, но не предложить инструмент их системной минимизации и устранения.
Таким образом, в следующий раз мы рассмотрим комплексные вопрос системы анализа рисков, подытожим и систематизируем уже изложенную информацию и предложим новые и инновационные методы.
Всего доброго и до следующей встречи!