22.03.2010

Оценка рисков: цель и засада

Имею наглость утверждать, что причин заниматься анализом и оценкой рисков четыре:
1. выполнить внешнее требование;
2. ничего не упустить;
3. понять и приоритезировать последующие действия;
4. больше нечем заняться.
Остальные являются вариацией или комбинацией этих. Имиджевые и пузомерные мотивы, например - это явная разновидность п.4.

"Таково внешнее требование" - нормальная и уважительная причина, ничего против не имею. Надо только определиться, какую силу имеет соответствующая бумага, и вперед. Тем более что в таких случаях обычно и методика прилагается.
"Ничего не упустить" – это недоразумение. Тут надо понимать, что целительный эффект достигается инвентаризацией объектов, уязвимостей и угроз, а оценка вероятности реализации и ущерба от реализации – уже лишнее. Решать задачу ничего не упущения через анализ рисков – не совсем как гвозди микроскопом, но в том ключе.
Про "больше нечем заняться" у меня банально нет слов - это мечта, я немею.

Так что если к анализу рисков не принудило одно только безделье или внешний нажим, правильная ситуация такова: финансовые, людские и/или временные ресурсы не позволяют защищать всё по самое не балуй, поэтому приходится выбирать более острые проблемы.
Отсюда и ответ на вопрос, зачем оценивать риски - чтобы потом сравнивать. Сравнивать с другим риском, сравнивать с порогом приемлемости, сравнивать с собой прошлым или собой будущим. Это единственная подлинная цель мероприятия.

Сравнивать можно сравнимое: числовые величины с числовыми, лингвистические с лингвистическими и попугаев с попугаями.
Поскольку управляющим является самое слабое звено (караван идет со скоростью самого медленного верблюда), выбирать методику оценки нужно исходя из сложных случаев. Если в каких-то рисках точность будет "плюс-минус три лаптя по карте", нет никакого практического смысла рассчитывать остальные до восьмого знака - сравнить не сможете.

Траблы могут ждать с ущербом и с вероятностью.
Предсказать вероятность появления события, по которому есть статистика (миллиарды транзакций, тысячи страховых случаев, десятки патчей в квартал) – вообще не вопрос. Корректно перенести цифирь с аналогичных наблюдений ("у меня нет данных по укусам гадюк в Антарктиде, но есть таковые по Астрахани") уже сложнее. Но попробуйте оценить вероятность события, которого никогда не было никогда: какова вероятность, что ваш главный клиент пошлет вас к чертям собачьим после всех этих лет? А насколько она уменьшится, если почетче прописать штрафные санкции?
Ушерб тоже не гарантирован (если статистики нет) и особенно там, где люди. Если госинспектор – человек, то результат может быть самый разный: от "отобрал лицензию" до "вынес предупреждение" и вообще "ничего в упор не нашел". А если и наступлению ущерба люди противостоят, так диапазон еще богаче: "нашлись общие друзья детства", "пока обедал, все подшаманили", "оказалось, что он от вискаря наоборот звереет".
A брать худший случай нельзя – это уже не риски, это угрозы опять получатся. Если 100% что придут и накажут именно на лицензию – это профанация самой идеи и дискредитация всего анализа.

Так и живем.

з.ы. Давно я анекдотов не цеплял. "Дикари изловили американца, немца и русского и говорят: - Кто назовет такое число, которое мы не знаем, того отпустим ...".

Комментариев нет:

Отправить комментарий