By Geoffrey H. Wold and Robert F. Shrive

Методы анализа рисков

Процесс анализа риска, как основа планирования

В статье используются различные термины и определения, связанных с анализом риска, оценки риска и анализа воздействия на бизнес. Хотя несколько определений возможно и дублируются, однако рассмотрим следующие из них :
• анализ рисков предполагает выявление наиболее вероятных угроз для организации и анализа уязвимости организации на эти угрозы.
• оценка риска предполагает оценку существующей физической и экологической безопасности и контроля, и оценить их адекватность по отношению к потенциальным угрозам этой организации.
• бизнес анализа является важнейшей хозяйственной функцией в рамках организации, и ее степень влияния характеризуется максимально допустимыми потерями. Виды критериев, которые могут быть использованы для оценки последствий включают : обслуживание клиентов, внутренних операций, правовых / уставных и финансовых.
Большинство предприятий в значительной степени зависят от техники и автоматизированных систем, и их нарушение, даже за несколько дней может привести к серьезным финансовым потерям и угрозе выживания. Продолжение операции зависит от организации управления в информации о потенциальных бедствий, способность разработать план минимизации нарушений важнейших функций, и возможности восстановления мира быстро и успешно. Процесс анализа риска служит основой для восстановления всей плановой работы.

Основной целью деятельности является планирование на защиту организации в случае, если все или часть ее деятельности и / или компьютерных услуг, пригодное для использования. Каждая функциональная область деятельности организации должна быть проанализирована для определения потенциального риска и последствий, связанных с различными катастрофами угроз

Процессе анализа рисков

Независимо от методов профилактики, возможные угрозы, которые могут возникнуть внутри или за пределами организации, необходимо оценивать. Хотя точный характер возможных катастроф и их последствиях трудно определить, это полезно для выполнения комплексной оценки риска от всех угроз, которые реально происходят в организации. Независимо от вида угрозы, цели бизнес планирование для обеспечения безопасности клиентов, работников и других сотрудников во время и после катастрофы.

Относительная вероятность катастрофы должны быть определены. Пункты для рассмотрения при определении конкретных вероятность катастрофы должны включать, но не ограничиваться : географического положения, рельефа местности, близости к основным источникам власти, водоемов и аэропортов, степень доступности объектов внутри организации, история местных коммунальных компаний в обеспечении бесперебойных услуг История района подверженность стихийным угрозам, близость основных транспортных магистралей, которые с опасными отходами и горючих продуктов.

Потенциальные воздействия могут быть отнесены к категории естественных, технических, людских или угроз. Примеры включают :
Уменьшение угрозы : внутренняя наводнения, затопления внешнего, внутренний огонь, внешний огонь, сейсмической активности, сильных ветров, метелей и буранов, извержения вулканов, торнадо, ураганы, эпидемии, цунами, тайфун.
Технические угрозы : питания / колебания, отопления, вентиляции или кондиционирования отказа, неисправности или провал ЦП, тем системным программным обеспечением, отсутствие прикладного программного обеспечения, телекоммуникаций провал, утечке газа, отказ, радиоактивных осадков. Угрозы населенным : разбой, угрозам взрыва, хищение, вымогательство, грабеж, вандализм, терроризм, гражданские беспорядки разлива химических веществ, диверсия, взрыв, война, биологическое загрязнение, радиационного загрязнения, опасные отходы, автомобильные аварии, близость аэропорта, стачки (внутренней / внешней), компьютерные преступления. Все пункты и объекты должны быть включены в анализ риска. Вместо того, чтобы пытаться точно определить вероятность каждого стихийного бедствия, общей реляционной системе высоких, средним и низким может быть применена для определения вероятности угрозы происходит.

При анализе риска следует также определить влияние каждого типа потенциальной угрозы на различные функции или отделы в организации. Анализ рисков Форма, найти может способствовать этому процессу. Функции или департаментов будет варьироваться в зависимости от типа организации.

Процесс планирования должен определить и оценить вероятность всех возможных рисков и последствий для организации, если что угрозы имели место. Для этого каждый департамент должны анализироваться отдельно. Хотя основная компьютерная система может быть единой большой риск, она не только вызывает серьезную озабоченность. Даже в самых aвтоматизированных организаций, некоторые департаменты не может быть компьютеризированной или автоматизированной на всех. В полностью автоматизированных ведомства, важным остаются вне системы, например, судебные дела, данных ПК, программы, хранящиеся на дискетах или подтверждающей документации для ввода данных. Воздействие можно охарактеризовать как : 0 = Нет влияния или перерыва в работе, 1 = Заметного воздействия, перерывов в операции на срок до 8 часов, 2 = Повреждение оборудования и / или объекты, перерыва в операциях по 8 - 48 часов, 3 = значительный ущерб для оборудования и / или объекты, перерывов в операции на срок более 48 часов. Все основные должности и / или компьютерного центра функции должны быть переселены. Некоторые предположения могут оказаться необходимыми для единообразного применения рейтинга для каждой потенциальной угрозы. Ниже приводятся типичные допущения, которые могут быть использованы в процессе оценки рисков :

• Хотя влияние рейтинга может колебаться от 1 и 3 для любого объекта с учетом конкретных обстоятельств, рейтинги должна отражать Предполагается, вероятного или ожидаемого эффекта на каждом участке.
• Каждую потенциальную угрозу следует считать быть "привязаны" к объекту, по рейтингу.
• Хотя потенциальная угроза может привести к еще одной потенциальной угрозы (например, ураган может породить t ornados), эффект домино "не следует считать.
• Если из-за угрозы не требуют движения альтернативного сайта (ов) воздействие должно быть оценен не выше "2". Оценка рисков должна осуществляться на объекте.

Чтобы оценить потенциальные риски, взвешенные точки систему можно использовать. Каждый уровень вероятности могут быть отнесены следующие вопросы :
Вероятность очки
Верхняя 10
Средняя 5
Нижняя 1

Для получения взвешенного рейтинга, вероятность моменты должны быть умножено на максимальную отдачу для каждого объекта. Например, если вероятность ураганов остается высокой (10 баллов) и влияние рейтинга на объекте "3" (с указанием того, перейти к альтернативным перевода потребуются), то взвешенный фактор риска - 30 (10 х 3). Основываясь на этом методе, угрозы, которые представляют наибольшую опасность (например, 15 баллов и выше), могут быть определены.

Критические ситуации

Поскольку цель бизнеса планирование заключается в том, чтобы обеспечить безопасность персонала и имущества во время и после катастрофы важный аспект процесса анализа рисков является выявление готовности и принятие превентивных мер, осуществляемых в любой момент времени. После потенциальных областей высокой подверженности организации определены дополнительные профилактические меры могут быть приняты к осуществлению. Предупреждение бедствий и обеспечение готовности к ним начинается в верхней части организации. Отношение руководства к безопасности и предупреждения должны пронизывать всю организацию. Поэтому управления о поддержке стихийных бедствий может сосредоточить внимание на надлежащей безопасности и методов их предотвращения и лучше подготовиться организации неприятным и нежелательным.

Методиики критических ситуаций включают две категории : процедуры и физическая профилактика
Процедурные предупреждение относится к деятельности, осуществляемой на ежедневной, месячной или годовой основе, связанных с безопасностью и подъемом. Процедурные предупреждение начинается с возложением ответственности за безопасность в организации индивидуальных достаточными компетенцией и полномочиями для решения задач. Цель процедуры профилактики является определение мероприятий, необходимых для предотвращения различного рода катастроф, а также обеспечить, чтобы эти деятельность осуществляется на регулярной основе. Физические и готовности к катастрофам начинается, когда сайт построен. Она включает в себя специальные требования к строительству, а также для противопожарной защиты различных компонентов оборудования. Особые соображения относятся : компьютер районе обнаружения пожара и пожаротушения, систем записей защиты, кондиционирования, отопления и вентиляции, электропитания и ИБП систем, чрезвычайные процедуры.

Безопасность иконтроль

Безопасности и контроля охватывает все меры, принятые в организации для защиты активов обеспечить точность и надежность записи, а также способствовать эффективности и соблюдения установленных процедур. Система внутреннего контроля включает также меры, принятые для защиты компьютера.

Характер внутреннего контроля такова, что определенные процедуры контроля, необходимые для надлежащего исполнения другими контрольными процедур. Эта взаимозависимость процедур контроля могут быть значительными, поскольку некоторые цели контроля, что, похоже, достигнуты, возможно, фактически не были достигнуты из-за недостатков в других процедур контроля, от которой они зависят.

Озабоченность по поводу этой взаимозависимости процедур контроля могут быть больше с компьютеризированной системой, чем с ручной, так и вычислительных операций часто имеют большую концентрацию функций и ручной контроль некоторых процедур может зависеть от автоматизации процедур контроля, хотя эта зависимость не столь очевидна. Безопасности вызывает все большую озабоченность, поскольку компьютерные системы становятся все более сложными. Особое безопасности в результате распространения персональных компьютеров, локальных вычислительных сетей, и интерактивным системам, которые позволяют получить более широкий доступ к ЭВМ и ведомственных компьютерах. Современная технология позволяет компьютеру воров с новым мощным safecracking электронных инструментов. Компьютерные внутреннего контроля имеют особенно важное значение, поскольку компьютерная обработка может обойти традиционные методы охраны и контроля. Там два типа компьютерных методов : (1) общие меры контроля, которые затрагивают всех компьютерных систем, и (2) применение контроля, которые являются уникальными для конкретного применения.

Важные проблем, связанных с компьютерной внутреннего контроля относятся : организация контроля, разработкой и эксплуатацией систем контроля, документации, контроль, контроль доступа, данных и процедурного контроля, физической безопасности пароль системы безопасности, безопасности, связи.

Страхование, как один из методов анализа риска

Достаточное страхование является одним из ключевых факторов при разработке бизнес плана и выполняют анализ рисков. После катастрофы плана и тестирование регулярно, как таковая, не может более низких ставок страхования при любых обстоятельствах.

Однако, хороший план может снизить риски и решить многие проблемы агента в дополнение к влияющих на стоимость или наличие договора страхования.

Большинство страховых агентств, специализирующихся на операциях охват могут предоставить организации, оценка предполагаемых издержек хозяйственной деятельности. Многие организации, которые пережили бедствия отмечают, что их затраты оказались значительно выше, чем ожидается в поддержании мира временно в ходе восстановления. Большинство хозяйственной деятельности включают покрытие выпадающих доходов в результате стихийного бедствия. Дополнительные расходы охватывает все дополнительные расходы до обычного мира могут быть возобновлены. Однако покрытия различаются в определении возобновления услуг. В рамках анализ риска, эти покрытия должны быть подробно обсуждены с страховщику на предмет их адекватности.

Чтобы представить надлежащие доказательства ущерба страховой компании организациям, возможно, потребуется заключить договор с государственным регулятором, который может взимать от трех до десяти процентов изъятых активов для корректировки платежа. Актив записи становятся крайне важны, поскольку процесс корректировки происходит. Виды страхования могут учитываться : компьютерные замены оборудования, дополнительные расходы охвата хозяйственной деятельности охвата ценные бумаги и записей охвата, ошибки и упущения охвата, верность охват, охват транспортных средств массовой информации.

В смету расходов на эти покрытия, управления могут принимать обоснованные решения относительно типа и объема страхования на сцену. Эти данные позволяют также управления, чтобы определить, до какой степени эта организация должна самостоятельно - застраховаться от определенных потерь.

Заключение

Процесс анализа риска является важным аспектом бизнес планирование. Вероятность катастрофы в организации является весьма неопределенным. Организациям следует также разработать письменные, комплексный планы, которые учитывали бы все важнейшие операции и функции предприятия.
Этот план должен включать документально обоснованы и проверены процедур, которые, если им следовать, обеспечит постоянное наличие жизненно важных ресурсов и непрерывности операций.
Бизнес план Однако, аналогично страхование ответственности. Он обеспечивает определенный уровень комфорта, зная, что в случае крупных катастроф, оно не приведет к финансовому краху организации.
Страхование, само по себе не позволяют обеспечить непрерывность деятельности организации, и не может компенсировать невосполнимая утрата бизнеса за прерывание или бизнеса, который не вернется.

Об авторах: