Kafe-sviaz.ru

Финансовый журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Оценка остаточного риска

остаточный риск

2.18 остаточный риск (residual risk): Риск, остающийся после его обработки.

3.16 остаточный риск: Риск, остающийся после предпринятых защитных мер (ГОСТ Р 51898).

3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].

2.10 остаточный риск (residual risk): Риск, остающийся после снижения риска.

2.12 остаточный риск (residual risk): Риск, остающийся после предпринятых защитных мер ([2], пункт 3.9).

3.24 остаточный риск (residual risk): Риск, оставшийся после принятия мер безопасности.

3.9 остаточный риск: Риск, остающийся после применения защитных мер [1].

3.4.11 остаточный риск: Риск, остающийся после обработки риска.

Остаточный риск — риск, остающийся после предпринятых защитных мер.

3.12 остаточный риск (residual risk): Риск, остающийся после принятия защитных мер (см. рисунок 1).

Примечание — В настоящем стандарте различаются:

— риск, остающийся после защитных мер, предпринятых конструктором;

— риск, остающийся после всех предпринятых защитных мер.

3.90 остаточный риск: Риск, остающийся после принятия мер, направленных на обеспечение безопасности.

(См. 3.3 ЕН 1050 [18].)

остаточный риск — риск, оставшийся после принятия защитных мер;

3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].

3.9 остаточный риск: Риск, остающийся после предпринятых защитных мер.

2.27 остаточный риск (residual risk): Риск (2.1), сохраняющийся после воздействия на риск (2.25).

Примечание 1 — Остаточный риск может содержать в себе неидентифицированный риск.

Примечание 2 — Остаточный риск может быть также известен как «удержанный риск».

[Руководство ИСО 73:2009, определение 3.8.1.6]

3.30 остаточный риск (residual risk): Риск, оставшийся после обработки риска.

остаточный риск: Риск, остающийся после того, как приняты защитные меры.

Остальные определения — по ГОСТ Р 51333.

3.1.7 остаточный риск (residual risk): Риск, остающийся после принятия мер защиты.

3.23 остаточный риск (residual risk): Риск (3.1), остающийся после обработки риска (3.19).

Остаточный риск — риск, остающийся после предпринятых защитных мер.

3.8.1.6 остаточный риск: Риск, оставшийся после обработки риска (3.8.1).

3.4.12 остаточный риск (residual risk): Риск, остающийся после применения защитных мер безопасности.

Словарь-справочник терминов нормативно-технической документации . academic.ru . 2015 .

Смотреть что такое «остаточный риск» в других словарях:

остаточный риск — Риск, остающийся после принятия защитных мер (см. рисунок 1). Примечание В настоящем стандарте различаются: риск, остающийся после защитных мер, предпринятых конструктором; риск, остающийся после всех предпринятых защитных мер. [ГОСТ Р ИСО 12100… … Справочник технического переводчика

Остаточный риск — степень опасности подрыва кораблей на минах в районе, где было произведено траление. EdwART. Толковый Военно морской Словарь, 2010 … Морской словарь

Остаточный риск нарушения информационной безопасности — 3.53. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ. Источник: Стандарт Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие … Официальная терминология

Риск остаточный — остаточный риск риск, остающийся после предпринятых защитных мер;. Источник: Решение Комиссии Таможенного союза от 18.10.2011 N 827 (ред. от 18.09.2012) О принятии технического регламента Таможенного союза Безопасность автомобильных дорог… … Официальная терминология

РИСК ОСТАТОЧНЫЙ — Residual risk См. РИСК НЕСИСТЕМАТИЧЕСКИЙ Словарь бизнес терминов. Академик.ру. 2001 … Словарь бизнес-терминов

Риск, неопределенность и прибыль (книга) — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы … Википедия

Риск, неопределенность и прибыль — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы 4 Ссылки // … Википедия

ГОСТ Р ИСО 31000-2010: Менеджмент риска. Принципы и руководство — Терминология ГОСТ Р ИСО 31000 2010: Менеджмент риска. Принципы и руководство оригинал документа: 2.21 анализ риска (risk analysis): Процесс понимания природы риска (2.1) и определения уровня риска (2.23). Примечание 1 Анализ риска обеспечивает… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р ИСО 17666-2006: Менеджмент риска. Космические системы — Терминология ГОСТ Р ИСО 17666 2006: Менеджмент риска. Космические системы оригинал документа: 2.3 индекс риска (index risk): Оценка в баллах, характеризующая значимость риска, который является сочетанием вероятности возникновения и тяжести… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации

Про текущий и остаточный риск

Для каждого риска возможен значительный перечень мероприятий. Одна из самых важных задач при постановке системы управления рисками – суметь выбрать наиболее эффективные из них. Для этой цели необходимо научиться рассчитывать стоимость мероприятия и остаточный риск (то есть вероятность и последствия риска после реализации мероприятия).

Читать еще:  Самый быстроокупаемый бизнес без риска

Расчет стоимости мероприятия.

Расчет стоимости мероприятия может оказаться нетривиальной задачей. Минимальной по стоимости является разработка плана действий в кризисных ситуациях и регламентация других процессов и процедур. Очевидно, что стоимость бумаги не может быть очень большой даже с привлечением консультантов.

Сложнее определить стоимость проектов. Приятным исключением являются случаи, когда потенциальные инвестиционные проекты глубоко проработаны, имеются предложения от страховщиков по страхованию рисков гражданской ответственности, имеются проработки в изменении организационной структуры, есть предложения о покупке/продаже бизнеса и т.д. и т.п. В этом случае программу мероприятий можно сформировать быстро. Но в подавляющем большинстве случаев расчет стоимости и сроков реализации мероприятий может занять не один месяц. И здесь я рекомендую не торопиться: риски неверного принятия решений на основании упрощенных оценок велики.

Расчет остаточного риска.

Расчет остаточных значений рисков в идеале должен осуществляться на основании тех же алгоритмов, что и текущие значения рисков. Возможно, при этом придется строить достаточно большие деревья событий (что все-таки изменится).

Наиболее сложная задача – рассчитать остаточный риск, если текущий риск рассчитан на основании статистических данных. Здесь могут помочь «производственные» методы анализа риска. Пример: для случившихся событий выделить причины, затем посчитать, как новая программа мероприятий повлияет на эти причины.

Выбор мероприятий.

После выполненных процедур нужно сравнить разницу в расчете текущего и остаточного риска со стоимостью мероприятия. Мероприятие целесообразно реализовывать только в том случае, если снижение математического ожидания риска значительно превышает стоимость мероприятия. Если же стоимость мероприятия превышает изменение математического ожидания риска, то очевидно, что его реализовывать не нужно. Поясню на примере. Существует, скажем, риск с вероятностью 50% и ущербом в 100 млн. руб. Его математическое ожидание составит 50 млн. руб. Есть два мероприятия:

  • первое мероприятие снижает вероятность до 10% (остаточный риск 10 млн. руб.) и стоит 5 млн. руб.;
  • второе снижает ущерб до 10 млн. руб. (остаточный риск 5 млн. руб.) и стоит 40 млн. руб.

Разница между текущим и остаточным значением риска для первого мероприятия составит 40 млн. руб., а для второго – 45 млн. руб. Несмотря на то, что второе мероприятие риск снижает больше, его реализовывать, скорее всего, нецелесообразно, так как стоимость мероприятия (40 млн. руб.) и изменение риска (45 млн. руб.) сопоставимы. А первое мероприятие реализовывать, скорее всего, целесообразно, потому что, вкладывая 5 млн. руб., мы получаем снижение рисков на 40 млн. руб., что явно превышает стоимость мероприятия.

Финансирование риска.

Финансирование риска, скорее всего, потребует достаточно серьезных вложений. Однако здесь необходимо упомянуть о том, у владельца риска возникнет желание использовать бюджеты проектов по управлению рисками в текущей деятельности. Вероятность такого поведения велика, под сурдинку внедрения риск-менеджмента, скорее всего, действительно будет списано все от набора сотрудников до закупки оборудования. Однако этот риск нужно принять, при этом принятие риска не означает то, что контролировать исполнение бюджетов именно по управлению рисками не нужно. В инвестиционном регламенте это учтено.

Объявление

Остаточный риск

Уважаемые коллеги, а никого не смущает этот самый остаточный риск из 3624-У и требование к отчетности кредитного риска в виде: «величина остаточного риска»? Всем предельно ясно как его считать, и я единственный кто не постиг дзен в этом? (:

На какие методы его расчета опираться? То, что мне встречалось (книги/статьи) — это ведение статистики по проблемам с реализацией обеспечения, но по мне — так это не совсем остаточный риск в моменте, а скорее некий бэк-тестинг. И данный подход не решает проблемы внесения в отчетность величины остаточного риска.

Из простейших идей — ввести в оценку залоговой стоимости обеспечения ставку какого-нибудь дисконта (процентов 5, например), объявить это буфером (консервативным подходом) на потери, связанные с возможной реализацией остаточного риска. Принимать в целях снижения резерва сумму обеспечения, уменьшенную на ставку дисконтирования, а в отчетность вносить сумму всех 5-процентников со стоимости обеспечения как величину остаточного риска.

  • Регистрация: 03.09.2016
  • Сообщений: 404

Ровно на те же, чем измеряете рыночный, опер (вкл. правовой) и т.д. риски.

Почему? Мы почти все риски измеряем на основе выводов по истории в прошлом. Даже имитационное моделирование строится на каких-то оценках распределений по прошлой статистике.

Бэк — это когда Вы свои оценки на последующих результатах проверяете. Т.е. сегодня оценили, что за месяц остаточный риск = 3р из100, потому что в прошлом теряли не более 3р. А в следующем месяце он стал 4р. — вот эти 4р — это бэк тест месяц спустя.

Комментарий

  • Регистрация: 19.03.2012
  • Сообщений: 55

Почему? Мы почти все риски измеряем на основе выводов по истории в прошлом. Даже имитационное моделирование строится на каких-то оценках распределений по прошлой статистике.

Читать еще:  Оценка риска портфеля

Комментарий

  • Регистрация: 14.03.2006
  • Сообщений: 285
  • 1 нравится

Комментарий

  • Регистрация: 19.03.2012
  • Сообщений: 55

Комментарий

  • Регистрация: 14.03.2006
  • Сообщений: 285
  • 1 нравится

Комментарий

  • Регистрация: 19.03.2012
  • Сообщений: 55

Комментарий

  • Регистрация: 12.10.2016
  • Сообщений: 349

Остаточной риск в 3624-у звучит в следующем контексте
«Кредитная организация (головная кредитная организация банковской группы) разрабатывает процедуры применения методов снижения кредитного риска, которые могут быть использованы в целях снижения требований к капиталу (фондированное обеспечение . и нефондированное обеспечение. а также процедуры контроля за остаточным риском, возникающим в результате применения указанных методов.
Остаточный риск может выражаться в невозможности реализовать принятое обеспечение, отказе или отсрочке платежа по независимым гарантиям, а также в использовании документов, составленных ненадлежащим образом. Кредитная организация (головная кредитная организация банковской группы) определяет порядок оценки обоснованности применения полного признания стоимости обеспечения в целях снижения кредитного риска. «.

Т.е. остаточный риск возникает только в том случае, если Банк принимает обеспечение в целях снижения риска (уменьшает расчетный резерв).
В остальных случаях, получается, нет необходимости управлять остаточным риском (т.е. применительно к другому обеспечению)?

  • 1 нравится

Комментарий

  • Регистрация: 14.03.2006
  • Сообщений: 285

А какой смысл эту величину называть остаточным риском? Как им управлять или что с ним делать? Чтобы не было остаточного риска — не принимать обеспечение в целях снижения резервов?

В 254-П вполне подробно описаны требования к обеспечению, которое может быть учтено при расчете резерва. Эти требования и выполнять — оценивать ликвидность залога, выявлять наличие обременений, правовых рисков у принимаемого обечпечения и т.п. Это и есть управление остаточным риском. Можно не всю сумму принимать за остаточный риск, а выстроить какую-нибудь формулу (или коэффициенты), основывающуюся, например, на статистике случаев проблем реализации обеспечения в определенный срок, принимаемого ранее в расчет РВПС.

Комментарий

  • Регистрация: 03.09.2016
  • Сообщений: 404

Чтобы применить любую мат.модель необходимо, чтобы выполнялись предпосылки этой модели. Если статистики нет, то стат.метод Вы не примените, хоть тресните.
Кто хочет число? Половина рисков не имеет выражение в количественном выражении. И это нормально.
Если очень хотите число — то, например, по аналогии с 346-П, 15% доходов по обеспеченным кредитам — чем не число?

Комментарий

  • Регистрация: 19.03.2012
  • Сообщений: 55

Я это и пытался донести по моделированию.
Не я хочу число, а ЦБ. Выражение из пункта 2.5 Приложения к 3624-У «о величине остаточного риска» как-то не оставляет сомнений, что эта самая величина должна быть числом.
Вариаций чисел для галочки можно придумать, безусловно, огромное количество, но хотелось бы некий параметр иметь, который что-то да показывает.

Комментарий

  • Регистрация: 03.09.2016
  • Сообщений: 404

Кредитная организация (головная кредитная организация банковской группы) разрабатывает процедуры применения методов снижения кредитного риска, которые могут быть использованы в целях снижения требований к капиталу (фондированное обеспечение в значении, установленном пунктом 10.9 Положения Банка России от 6 августа 2015 года N 483-П «О порядке расчета величины кредитного риска на основе внутренних рейтингов», зарегистрированного Министерством юстиции Российской Федерации 25 сентября 2015 года N 38996 («Вестник Банка России» от 29 сентября 2015 года N 81) (далее — Положение Банка России N 483-П), и нефондированное обеспечение, определенное пунктом 10.2 Положения Банка России N 483-П, а также процедуры контроля за остаточным риском, возникающим в результате применения указанных методов. Остаточный риск может выражаться в невозможности реализовать принятое обеспечение, отказе или отсрочке платежа по независимым гарантиям, а также в использовании документов, составленных ненадлежащим образом. Кредитная организация (головная кредитная организация банковской группы) определяет порядок оценки обоснованности применения полного признания стоимости обеспечения в целях снижения кредитного риска, установленного Инструкцией Банка России N 139-И и Положением Банка России N 483-П.

(в ред. Указания Банка России от 03.12.2015 N 3878-У)

О выборе методики оценки рисков информационной безопасности

О выборе методики оценки рисков информационной безопасности

О выборе методики оценки рисков информационной безопасности

Александр Велигура, председатель комитета по информационной безопасности Ассоциации российских банков, заместитель генерального директора ООО «Андэк технолоджиз», кандидат физико-математических наук, CIS A

ДЛЯ кредитно-финансовой сферы понятия «оценка и управление рисками» сложились достаточно давно, и под рисками, прежде всего, понимались финансовые риски (кредитный риск, риск потери ликвидности и т.п.). В этой области проведена большая работа и накоплен значительный опыт. При рассмотрении рисков информационной безопасности (ИБ) возникает естественное желание воспользоваться указанным опытом.

Обычно исходят из того, что уровень риска зависит от вероятности реализации определенной угрозы в отношении определенного объекта, а также от величины возможного ущерба. Таким образом, суть управления рисками состоит в оценке их размера, выработке эффективных и экономичных мер их снижения, а также в установлении приемлемых рамок для них. Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

  • (пере)оценка (измерение) рисков;
  • выбор эффективных и экономичных защитных средств (нейтрализация рисков).
Читать еще:  Риск ликвидности примеры

Этапы процесса управления рисками

Процесс управления рисками можно разделить на следующие этапы:

  • выбор анализируемых объектов и уровня детализации их рассмотрения;
  • выбор методологии оценки рисков;
  • идентификация активов;
  • анализ угроз и их последствий, выявление уязвимых мест в защите;
  • оценка рисков;
  • выбор ответных мер;
  • реализация и проверка выбранных мер;
  • оценка остаточного риска.

От последнего этапа в случае неприемлемости остаточного риска происходит возврат к началу.

Методики оценки рисков

Ключевым является выбор методики оценки рисков. Многие документы содержат рекомендации по выбору методики (например, ГОСТ Р ИСО/МЭК 13335-3-2007) или просто вариант методики (например, готовятся к выходу «Рекомендации в области стандартизации Банка России» РС БР ИББС-2.2, «Методика оценки рисков нарушения ИБ»).

В этих и других методиках, хорошо известных специалистам, предлагаются различные способы сопоставления возможных последствий реализации угрозы с вероятностью ее реализации и получения соответствующих выводов.

В зависимости от «математизации» этой процедуры сопоставления и выводов методики иногда делят на качественные, полуколичественные и количественные.

При этом можно встретить точку зрения, что количественные методы в принципе лучше качественных, и лишь недостаток точных данных (например, статистики инцидентов) не дает пока возможности полностью перейти на их использование, а если бы удалось еще сделать оценку последствий в денежных единицах, то проблема оценки рисков вообще перестала бы быть проблемой.

Что и зачем мы оцениваем

В связи с этим хотелось бы обратить внимание на два обстоятельства.

Первое вытекает из того, что классические вероятностно-статистические методы предназначены для описания повторяющихся экспериментов, проводимых в стабильных условиях. В большинстве методов «точной количественной» оценки риска явно или неявно используется среднее значение (математическое ожидание) ущерба, что, по-видимому, было бы оправдано при оценке результатов одинаковых атак на большое число объектов, например, для определения параметров страхования. В практике работы страховых компаний подобные подходы достаточно давно и успешно используются, и создается впечатление, что этот опыт был некритически перенесен в разработку методов оценки рисков ИБ.

Адекватность применения этих методов по отношению к объектам информационной инфраструктуры требует как минимум дополнительного обоснования. Так, в ситуации, когда имеется единичный объект и в отношении его рассматривается угроза, реализация которой приведет к недопустимо большому ущербу, и в то же время вероятность мала настолько, что «средний ущерб» (произведение ущерба на вероятность) невелик, размер этого среднего ущерба, как представляется, не может служить ориентиром для принятия решений. В случае, когда ущерб не имеет непосредственной численной оценки, также возникают понятные сложности. В то же время все это не означает, что данный подход вообще неприменим, это означает только, что необходимо определить границы его применимости.

Второе обстоятельство связано с тем, что оценка рисков — не самоцель, а шаг на пути к выдвижению требований информационной безопасности. Конечной стадией оценки является принятие решения о достаточности используемых мер и средств защиты (принятие остаточного риска) или об их недостаточности. В последнем случае, как было показано выше, предлагаются дополнительные меры (средства), и оценка повторяется.

Подведем итог

Нужно ли для принятия решения о достаточности защиты знать «средний ущерб»? И если да, то с какой точностью? Предположим, что мы знаем откуда-то точные значения ущербов и вероятностей. Если вероятность немного изменить, повлияет ли это на окончательный вывод о достаточности/недостаточности защиты? Ясно, что при малом изменении вероятности вывод будет прежним. Насколько она должна измениться, чтобы изменился и вывод? Ответ на последний вопрос показывает, с какой точностью на самом деле нужно знать вероятность. Аналогичные вопросы можно задать и по поводу ущерба.

Это показывает, что в конечном счете от процедуры оценки рисков требуется дать ответ, является ли приемлемым (да/нет) остаточный риск, а не числовой параметр со сколькими-то значащими цифрами.

Поэтому, выбирая методику и подход к оценке рисков, необходимо сформулировать требования к этой методике, цель которых — обеспечить уверенность в выводе о приемлемости остаточного риска. Приемлемость целесообразно формулировать в терминах поддержания определенного уровня бизнес-процессов основной деятельности организации и соответственно уровня ИТ-сервисов, поддерживающих эти бизнес-процессы. Какие формулы и таблицы будут или не будут использоваться в методике — это уже следующий вопрос.

Кроме указанных выше, существующие методики оценки рисков не учитывают еще ряд факторов, рассмотрение которых выходит за рамки настоящей статьи.

Современные методы оценки рисков имеют ряд ограничений. Вместе с тем сам рискориентированнный подход к управлению ИБ представляется перспективным, в связи с чем необходимо, во-первых, использовать имеющиеся методики в качестве источника информации для принятия решений; во-вторых, совершенствовать методы оценки рисков в направлении преодоления тех ограничений и недостатков, которыми они обладают в настоящее время.

Ссылка на основную публикацию
Adblock
detector