Rizikos vertinimas

Straipsnis iš Vikipedijos, laisvosios enciklopedijos.
Peršokti į: navigaciją, paiešką

Rizikos vertinimas - pirmasis rizikos valdymo proceso žingsnis. Rizikos vertinimas yra kiekinių ir kokybinių reikšmių rizikos nustatymas, susijusių su konkrečia situacija ir atpažinta grėsme[1]. Rizikos vertinimas apima rizikos įvertinimą ir rizikos analizę[2]. Rizikos vertinimas vienas iš svarbiausiu rizikos valdymo proceso žingsnių, kuris yra pats sudėtingiausias ir kuriame dažnai klystama. Kai rizika identifikuojama ir įvertinama, vėliau atliekami daug labiau programiški veiksmai.

Dalį rizikos vertinimo sudėtingumo galima pamatuoti dviem dydžiais netekties potencialu ir atsitikimo tikimybe, kuriais rizika vertinama. Vertinant riziką dažnai pasitaiko klaidų. Taip pat rizikos valdymas būtų daug paprastesnis, jei būtų naudojama viena metrika visiems informacijos matavimams. Tačiau kai matuojami du skirtingi dydžiai, tai yra neįmanoma. Rizika su dideliu netekties potencialu ir maža atsitikimo tikimybę, turi būti vertinama skirtingai nuo tos, kurios mažas netekties potencialia, tačiau didelė atsitikimo tikimybė. Teoriškai abu dydžiai yra panašaus prioriteto, kurį reikia spręsti pirmiau, tačiau praktiškai gali būti labai sunku valdyti, kai susiduriama su išteklių trūkumu, ypač laiko, nuo kuriuo priklauso rizikos valdymo procesas. Matematinė išraiška:

R_i=L_i p(L_i)\,\!

R_{total}=\sum_i L_i p(L_i)\,\!

Finansiniai sprendimai, kaip, pvz., draudimas, dažnai išreiškiami piniginiai netekties matais. Kai rizikos vertinimas naudojamas sveikatos apsaugai ar gamtosaugos sprendimams, egzistuoja skirtingos nuomonės ar netektis gali būti gyvenimo kokybe. Dažnai sveikatos ar gamtosauginiai sprendimų netektis terminas yra paprastai išreiškiama verbaliniu rezultato aprašymu, kaip, pvz., navikinių susirgimų atvejų ar apsigimimų padažnėjimas. Šiuo atveju rizika išreiškiama formule:

R_i= p(L_i)\,\!

Jei rizika apima ne tik informacija apie didesnį skaičių individų, kuriems gresia rizika, ji vadinama populiacijos rizika ir jos vienetai atvejų skaičius per laikotarpį. Jei rizika apima individualią riziką, jos vienetai dažnis per tam tikrą laikotarpį. Populiacijos rizika labiau naudojama kainos/naudos analizėje, o individualia rizika yra dažniau įvertinama ar individui rizika yra priimtina.

Rizikos vertinimas yra vienas iš platesnių rizikos valdymo veiklų dalių. Kiti elementai apima centrinio valdymo taško sukūrimą, atitinkamų politikų įdiegimą ir kontrolės efektyvumą[3]. Nors visi rizikos valdymo ciklo elementai yra svarbūs, rizikos vertimas sudaro patį pamatą kitiems elementams. Rizikos vertinimas teikia atitinkama pagrindą kurti politikas ir rinktis efektyvias išlaidų požiūriu technikas, įgyvendinti minėtas politikas. Kadangi rizikos ir grėsmės kinta su laiku, svarbu, kad organizacija periodiškai iš naujo įvertintų rizikas ir apmąstytų esančių politikų ir kontrolės priemonių efektyvumą.

Pagrindiniai rizikos vertinimo proceso elementai[taisyti | redaguoti kodą]

Rizikos vertinimas yra tam tikros priemonės, kurias naudoja sprendimų priėmėjai. Jos apima ir susijusią informaciją, kad būtų suprasti susiję faktoriai, kurie gali neigiamai paveikti organizacijos veiklas ir rezultatą bei teisingo apsisprendimo priėmimas, kokių veiksmų reikia imtis, kad būtų sumažinta rizika. Pvz., bankų pareigūnai naudoja rizikos vertinimą, kuris standartiškai susiję su paskolų teikimu, atominės elektrinės inžinieriai naudoja pan. vertinimus nustatyti įtaką visuomenės sveikatai ir saugumui. Nepriklausomai nuo srities visi rizikos vertinimai yra sudaryti iš šių elementų[3]:

  • Identifikuoti grėsmes, kurios gali žaloti ar kaip kitaip neigiamai paveikti kritines operacijas ir turtą. Grėsmės apima tokius dalykus kaip nusikaltėliai, suirzusius darbuotojus, teroristus ir gamtines katastrofas.
  • Įvertinti grėsmių tikimybę, kurios gali kilti atsižvelgiant į istorinę informaciją ir ekspertų žinias.
  • Identifikuoti ir reitinguoti atitinkamas reikšmes: operacijos jautrumą, kritiškumą ir turtą, kuris gali būti paveiktas grėsmei įvykus. Tai daroma tam, kad nustatytume, kurios operacijos ir turtas svarbiausias.
  • Nustatyti pačias kritiškiausias ir jautriausias operacijas ir turtą, potencialius nuostolius ar žalą, kuri gali kilti įvykus grėsmei, į tai įeina ir atkūrimo išlaidos.
  • Identifikuoti pačius efektyviausias ir veiksmus, kurie padėtų sušvelninti ir sumažinti riziką. Šie veiksmai gali apimti naujų organizacijos politikų ir procedūrų priėmimą bei techninę ar fizinę kontrolę.
  • Dokumentuoti rezultatus ir kuriamų veiksmų planą.

Literatūra

  1. Rizikos vertinimas. Angliška Vikipedijos versija. http://en.wikipedia.org/wiki/Risk_assessment
  2. 2. Rizikos valdymo standartas, AIRMIC, ALARM, IRM: 2002 http://www.theirm.org/publications/documents/Risk_Management_Standard_030820.pdf
  3. 3,0 3,1 Information Security Risk Assessment Practices of Leading Organizations. GAO. ccounting and Information Management Division. 1999. http://www.gao.gov/special.pubs/ai00033.pdf