Matice rizik - Risk matrix
A matice rizik je matice který se používá během posouzení rizik definovat úroveň rizika zvážením kategorie pravděpodobnost nebo pravděpodobnost proti kategorii závažnosti následků. Jedná se o jednoduchý mechanismus pro zvýšení viditelnosti rizik a pro pomoc při rozhodování managementu.[1]
Riziko je nedostatek jistoty ohledně výsledku konkrétní volby. Statisticky úroveň Riziko poklesu lze vypočítat jako součin pravděpodobnosti, že dojde ke škodě (např. k nehodě), vynásobené závažností této újmy (tj. průměrná výše újmy nebo konzervativněji maximální věrohodná výše újmy). V praxi je matice rizik užitečným přístupem, kde nelze s přesností a přesností odhadnout pravděpodobnost ani závažnost poškození.
Ačkoli standardní matice rizik existují v určitých kontextech (např. USA DoD, NASA, ISO ),[2][3][4] jednotlivé projekty a organizace možná budou muset vytvořit vlastní nebo přizpůsobit stávající matici rizik. Závažnost poškození lze například kategorizovat jako:
- Catastrophic - více úmrtí
- Kritické - jedno úmrtí nebo několik těžkých zranění
- Okraj - jedno těžké zranění nebo několik menších zranění
- Zanedbatelné - jedno lehké zranění
The pravděpodobnost vyskytující se újmu lze kategorizovat jako „jisté“, „pravděpodobné“, „možné“, „nepravděpodobné“ a „vzácné“. Je však třeba vzít v úvahu, že velmi nízké pravděpodobnosti nemusí být příliš spolehlivé.
Výsledná matice rizik může být:
| Zanedbatelný | Okrajový | Kritický | Katastrofální | |
|---|---|---|---|---|
| Určitý | Vysoký | Vysoký | Extrémní | Extrémní |
| Pravděpodobně | Mírný | Vysoký | Vysoký | Extrémní |
| Možný | Nízký | Mírný | Vysoký | Extrémní |
| Nepravděpodobné | Nízký | Nízký | Mírný | Extrémní |
| Vzácný | Nízký | Nízký | Mírný | Vysoký |
Společnost nebo organizace pak vypočítá, jaké úrovně rizika mohou nést při různých událostech. Toho by se dosáhlo zvážením rizika výskytu události oproti nákladům na implementaci bezpečnosti a výhodám z toho plynoucím.
Příklad matice
Následuje ukázka matice možných zranění osob s konkrétními nehodami přiřazenými příslušným buňkám v matici:
| Zanedbatelný | Okrajový | Kritický | Katastrofální | |
|---|---|---|---|---|
| Určitý | Bodnutí špičky | |||
| Pravděpodobně | Podzim | |||
| Možný | Hlavní, důležitý autonehoda | |||
| Nepravděpodobné | Havárie letadla | |||
| Vzácný | Hlavní, důležitý tsunami |
Problémy
Ve svém článku „Co je špatného na maticích rizik?“,[5] Tony Cox tvrdí, že matice rizik mají několik problematických matematických znaků, které znesnadňují hodnocení rizik. Tyto jsou:
- Špatné rozlišení. Typické matice rizik mohou správně a jednoznačně porovnávat pouze malou část (např. Méně než 10%) náhodně vybraných párů rizik. Mohou přiřadit stejné hodnocení kvantitativně velmi odlišným rizikům („komprese rozsahu“).
- Chyby. Rizikové matice mohou omylem přiřadit vyšší kvalitativní hodnocení do kvantitativně menší rizika. U rizik s negativně korelovanými frekvencemi a závažností mohou být „horší než zbytečná“, což vede k horším než náhodným rozhodnutím.
- Neoptimální alokace zdrojů. Efektivní alokace zdrojů na protiopatření ke snížení rizika nemůže vycházet z kategorií poskytovaných maticemi rizik.
- Nejednoznačné vstupy a výstupy. Kvůli nejistým důsledkům nelze kategorizovat závažnost objektivně. Vstupy do matic rizik (např. Kategorizace četnosti a závažnosti) a výsledné výstupy (tj. Hodnocení rizik) vyžadují subjektivní interpretaci a různí uživatelé mohou získat opačné hodnocení stejných kvantitativních rizik. Tato omezení naznačují, že matice rizik by měly být používány s opatrností a pouze s pečlivým vysvětlením vložených úsudků.
Thomas, Bratvold a Bickel[6] prokázat, že matice rizik vytvářejí libovolné hodnocení rizik. Žebříčky závisí na konstrukci samotné rizikové matice, například na tom, jak velké jsou přihrádky a zda jeden používá rostoucí nebo klesající měřítko. Jinými slovy, změna měřítka může změnit odpověď.
Douglas W. Hubbard a Richard Seiersen převzali obecný výzkum od Coxe, Thomase, Bratvolda a Bickela a poskytli konkrétní diskusi v oblasti kybernetické bezpečnostní riziko. Poukazují na to, že od 61% kybernetická bezpečnost profesionálové používají nějakou formu matice rizik, může to být vážný problém. Hubbard a Seiersen uvažují o těchto problémech v kontextu dalších měřených lidských chyb a dochází k závěru, že „Chyby odborníků jsou prostě dále prohlubovány dalšími chybami zavedenými samotnými váhami a maticemi. Souhlasíme s řešením navrženým Thomasem et al. Není nutné, aby kybernetická bezpečnost (nebo jiné oblasti analýzy rizik, které rovněž využívají matice rizik), objevovaly zavedené kvantitativní metody používané v mnoha stejně složitých problémech. “[7]
Reference
- ^ „Co je správné s rizikovými maticemi?“. Julian Talbot o rizicích, úspěchu a vedení. Citováno 2018-06-18.
- ^ „Průvodce řízením rizik, problémů a příležitostí pro programy získávání obrany“ (PDF). Ministerstvo obrany Spojených států. Ledna 2017. Citováno 2018-06-18.
- ^ „NASA, Goddard Space Flight Center, Goddard Technical Standard GSFC-STD-0002, Risk Management Reporting“ (PDF). 2009-05-08. Citováno 2018-06-17.
- ^ Mezinárodní organizace pro normalizaci, řízení rizik vesmírných systémů, ISO 17666,
- ^ Cox, L.A. Jr., „Co je špatného na maticích rizik?“, Analýza rizik, sv. 28, č. 2, 2008, doi:10.1111 / j.1539-6924.2008.01030.x
- ^ Thomas, Philip, Reidar Bratvold a J. Eric Bickel, „Riziko používání rizikových matic,“ SPE Economics & Management, sv. 6, č. 2, s. 56-66, 2014, doi:10.2118 / 166269-PA.
- ^ Hubbard, Douglas W .; Seiersen, Richard (2016). Jak měřit cokoli v kybernetickém bezpečnostním riziku. Wiley. pp. Kindle Locations 2636–2639.