Чем хороши матрицы рисков? (авторский перевод)

Автор: • 19.04.2014 • Инструменты анализа, Инструменты ТОиР, Определения, Определения, Рекомендуемые статьи, Рекомендуемые статьиКомментарии (0)16599

 

What’s right with risk matrices?

Talbot, Julian

 

Чем хороши матрицы рисков(авторский перевод)?

Юлиан Талбот

Вполне справедливо, что матрицы рисков широко рекламировались в стандартах управления рисками, а также в справочной литературе, и, не смотря на большую критику, они были приняты на вооружение большим количеством организаций. В “хороших руках” они показывают себя, как практичный и простой в применении инструмент, способный помочь большинству организаций в большинстве обстоятельств:

  • инициировать бурное обсуждение (часто обсуждение является более полезным, чем фактическая оценка)
  • обеспечить определенную последовательность действия при определении приоритетности рисков [1]
  • помочь (оказать поддержку) в процессе оценки рисков ответственному персоналу при их оперативной деятельности;
  • сфокусировать внимание руководящих работников на рисках с самым высоким приоритетом;
  • представлять комплексные данные по рискам в лаконичной визуальной форме (например, в виде кружковых диаграмм)

Как правило, в руках ведущих профессионалов, матрицы рисков могут быть очень эффективными с точки зрения получения своевременных результатов предоставления данных при планировании и оперативной работе.

 

Ограничения

Однако они не безупречны и, несомненно, не являются панацей от всех болезней. В неопытных руках или задачах, основанных на субъективных или не корректных вводных они, конечно же, создадут дезориентирующие оценки.

В своей статье “Недостатки матриц рисков” Тони Кокс предполагает, что они имеют следующие ограничения:

  1. Они способны правильно и однозначно сравнить только небольшую часть или произвольно выбранные пары угроз, а также давать объективные оценки лишь для тех рисков, которые отличающихся друг от друга количественно.
  2. Они могут ошибочно устанавливать более высокие качественные оценки для количественно невысоких рисков в точке, где имеются риски с негативно соотнесенной частотностью и тяжестью, и привести, как минимум, к непродуманным решениям, а то и хуже.
  3. Они могут привести к квазиоптимальному распределению ресурсов, поскольку эффективное распределение ресурсов при обработках риска не может основываться на категориях, предусмотренных матрицами рисков.
  4. Невозможно объективно выполнить категоризацию по степени тяжести при неясных последствиях. Оценка вероятности и последствий, а также результирующие оценки риска, требуют субъективного определения вероятности, и различные пользователи могут получить положительные оценки для количественно одинаковых рисков.

К этому списку я также мог бы добавить, что матрицы рисков:

  • не включают в себя какой либо оценки временных рамок (например: риск террористического акта в течение 2 следующих недель может сильно отличаться от риска террористического акта в течение 2 следующих лет);
  • они способны чрезмерно упрощать сложность или неустойчивость риска, поскольку некоторые риски являются относительно статичными с течением времени, в то время, как другие могут меняться в лучшую или худшую сторону почти внезапно (см. теория хаоса* — комментарий автора сайта).

Ограничения ограничений

Все перечисленные выше моменты – правда. Однако, в них не учтены следующие фундаментальные моменты:

  1. матрицы рисков все еще являются одним из наилучших имеющихся практических инструментов;
  2. “применение матриц рисков слишком широко распространено (и удобно), чтобы прекратить использование настолько привлекательного инструмента” [ii];
  3. приоритезация распределения ресурсов не является функцией матрицы риска – эта функция выполняется при выборе методов обработки риска [2];
  4. любой инструмент оценки риска может давать идентичные оценки для рисков, отличающихся друг от друга количественно;
  5. ни один инструмент не способен последовательно, правильно и однозначно сравнить более чем маленькую часть или произвольно выбранные пары угроз;
  6. матрицы рисков разработаны с целью предоставления порядковой информации, выраженной в качественной или полуколичественной форме (относительного приоритета), а не математически точных данных;
  7. если конкретный риск относится к категории “Высокий” или “Первая 10”, на него необходимо обратить внимание, но если он занимает в списке третью или четвертую позицию, то маловероятно, что он буде существенным.
  8. ограничения, свойственные процессу принятия решений в условиях неопределенности, природа принятия политических решений и фундаментальные процессы восприятия риска человеком означают, что принятие субъективных решений будет всегда частью процесса оценки риска независимо от того, какой инструмент при этом используется;
  9. матрицы рисков – это инструмент, который поддерживает решения, принятые с учетом известных рисков, а не инструмент принятия решений;
  10. и последний, но не менее важный момент, большинство перечисленных выше недостатков имеют место быть, только если матрицы рисков используются изолированно, что происходит не часто.

 

Как преодолеть ограничения

Текущий раздел является наиболее важным из всех перечисленных выше. Если вы используете матрицу рисков в сочетании со следующими инструментами, они могут быть высокоэффективными с точки зрения поддержки процесса принятия качественных решений:

  1. четко определенное предупреждение о риске;
  2. обоснованная вероятность и определение последствий;
  3. иерархия средств управления с целью определения приоритетности методов обработки риска;
  4. ожидаемая денежная стоимость (ОДС) или эквивалентное соотношение затрат/прибыли от методов обработки риска.

Кроме того, важно, чтобы процесс представлял собой коллективное рассмотрение всех рисков и методов обработки рисков. Каждая обработка риска, вероятно, смягчает несколько рисков, хоть и в различной степени, поэтому оптимальное распределение ресурсов, вероятнее всего, будет являться комплексным процессом принятия решения. Последние два инструмента приведенного выше списка в действительности не являются характерными для матриц рисков, поскольку они касаются определения приоритетности методов обработки риска. Иерархия средств управления (также известная как ESIEAP[3]) делает возможным оптимизированный подход к выбору средств управления по относительной эффективности, но не учитывает соотношение затрат/прибыли, которое является отдельным параметром, хотя и сопряженным процессом. [iii]

 

Однако наиболее критичными для успешного использования матриц рисков для оценки рисков являются первые два пункта этого списка. Если подходить со всей строгостью к определению предупреждения о риске, а также к определениям вероятности/последствия, тогда значимые оценки рисков можно было бы быстро и согласованно получать с помощью матрицы риска. Если бы этим 2 пунктам были бы даны адекватные определения, тогда вы, вероятно, получили бы сходные, если не идентичные, оценки риска на основании независимых оценок, проведенных хорошо осведомленными людьми.

Многие матрицы риска содержат неадекватные определения вероятности и последствия и, более того, в большинстве случаев пользователи пытаются использовать их с целью оценки плохо определенных рисков. При отсутствии этих двух элементов матрица риска будет предоставлять бессмысленную информацию или вообще полное её отсутствие.

 

Определение рисков

CASE– это один из инструментов четкого определения предупреждения о риске и, на сколько я знаю, лучший из всех, потому что если вы хотите четко сформулировать риск, вам следует принять во внимание следующие характеристик:

  • Последствие (Consequence) – каково влияние этого риска?
  • Оценка (Assasement) – какая(ие) оценка(и) имеют риск?
  • Источник (Source) – какие угрозы или злоумышленники стоят за конкретным риском?
  • Событие (Event) – какой конкретно тип инцидента рассматривается?

Для чего нужны эти четыре характеристики при определении предупреждения о риске? Давайте рассмотрим, с вашего позволения, такие риски, как “терроризм”, “изменение климата” или “покушение на информацию с ограниченным доступом”. Каждый из них в действительности представляет собой риск со сложной структурой. Очень сложно, а может и невозможно, проанализировать и дать оценку этим рискам при наличии только информации о событии и активе. Или, конкретнее, невозможно достичь консенсуса по учитываемым рискам, каждый будет иметь свой собственный контекст и понимание значений слов “терроризм” или “изменение климата”. Например, последствия и вероятность сильно отличаются, если информация ваших организаций была рассекречена (подвержена риску) в результате:

  • производственного шпионажа со стороны конкурентов;
  • кражи злоумышленниками с целью продажи её вам же;
  • шпионажа со стороны иностранной разведки;
  • атаки хакеров;
  • ошибок системы защиты доступа пользователя компьютера;
  • кражи портфеля из машины мелкими преступниками;
  • непреднамеренного размещения информации персоналом на корпоративном Интернет-сайте;
  • преждевременного распространения какого-либо заявления в средствах массовой информации;
  • случайной отправки по электронной почте не той стороне документа, содержащего информацию с ограниченным доступом.

Значительно меняться будут не только последствия и вероятность, но и, как следствие, риск, но возможно и меры противодействия будут также сильно отличаться, что более важно.

Тем не менее, давайте рассмотрим риски, которые были описаны с учетом инструмента CASE:

  • Разглашение секретной информации(Актив) вследствие действий неподготовленного персонала (Источник), непреднамеренно публикующего некорректные файлы на корпоративном Интернет-сайте (Событие), что приводит в результате к невыгодному положению относительно конкурентов, финансовым потерям или наносит урон репутации (Последствие).
  • Финансовые потери (Последствие) вследствие шпионажа (Событие) со стороны конкурентов (Источник), стремящихся завладеть секретной информацией (Актив).
  • Неспособность защитить информацию (Актив) от кражи (Событие) оппортунистическими злоумышленниками (Источник) во время её транзита, что приводит к потенциальному разглашению (Последствие) секретной информации.

Это наиболее простые (и очень разные) риски для оценки с помощью простой матрицы риска и наиболее простые с точки зрения определения специальных мер противодействия.

 

Определения вероятностии последствий

Людям сложно давать точные оценочные суждения в условиях неопределенности.[iv] Соответственно наша способность выбрать из диапазона вероятностей и оценок последствий посредственна, как в худшем, так и в лучшем случае, и строго сдерживается нашей предвзятостью и эвристикой. Тем не мене, в реальном мире мы не имеем большого количества вариантов, так что искусство и авантюра принятия хороших решений является неизменно сложной задачей.

Часто мы вынуждены принимать трудные решения в условиях крайней неопределенности. Достоверных статистических данных обычно не хватает и даже, когда мы владеем количественными данными, их применение ограничено. Страховые компании, например, могут предоставить вам данные статистики о том, сколько домов, вероятно, сгорает в вашем городе каждый год, но они не смогут сказать вам какова вероятность того, что ваш дом будет в их числе.

В равной степени, простое изменение, как, например, обязательное требование об установке датчиков дыма может мгновенно сделать 10-летнюю статистикувсущностибессмысленной. Аналогично, такие инструменты, как моделирование по методу Монте-Карло (MonteCarlomodeling) могут помочь нам понять ширину и глубину нашей подверженности риску, при наличии данных достаточного качества, но они все еще требуют субъективной интерпретации, до того, как мы сможем применить эти аналитические материалы.

Так чем же мы можем помочь себе, чтобы сделать лучше решения, принятые в условиях неопределенности? В первую очередь нам необходимо найти согласованный подход с тем, чтобы мы могли сравнить яблоки с яблоками. В этом отношении матрицы рисков могут быть бесценными и практичными инструментами поддержки решения, если мы разработаем для их применения такую концепцию картин мира, при которой отдельные лица, работающие изолированно, с их помощью будут генерировать согласованные, в широком смысле, оценки рисков.

Оценки последствий

При описании риска важно сделать нечто вроде определения касательно типа последствий, которые вы хотели бы учесть, и вероятной степени этих последствий, если риск приводит к определенному результату. Нужно рассматривать не наихудшие последствия, а наихудший достоверный сценарий. Например, возможно, что “скольжение, спотыкание и падение” могут привести к летальному исходу, если кто-то упадет на острую палку или ударится головой о бетонное покрытие, но этот результат практически не является вероятным. Наиболее вероятным будет результат, при котором человек получит синяки, возможно, царапину или даже растяжение связок. Летальный исход возможен, но крайне редко. Если это целесообразно с точки зрения обстоятельств, организация могла бы пожелать рассмотреть два риска или более. Например:

  • Незначительные телесные повреждения, которые получил сотрудник, поскользнувшийся на мокром полу (воде) в кухне, по причине протечки трубы.
  • Значительные телесные повреждения, которые получил сотрудник, поскользнувшийся на мокром полу (воде) в кухне, по причине протечки трубы.
  • Смерть сотрудника, поскользнувшегося на мокром полу (воде) в кухне, по причине протечки трубы

Оценки вероятности и, как следствие, оценки самого риска для приведенных выше случаев настолько различны, что делают эти риски существенно отличающимися друг от друга. Однако, это не единственные последствия поскальзывания и другие могут включать потерю времени, негативное влияние на производительность, финансовые затраты и подрыв репутации. Важно отметить, что существует множество нисходящих воздействий от конкретного риска, которые на первый взгляд могли бы показаться доминирующими.

Например, при оценке “Незначительных телесных повреждений, которые получил сотрудник, поскользнувшийся на мокром полу (воде) в кухне, по причине протечки трубы” последствия этих повреждений Таблице 1, вероятно, оценили бы, как НЕЗНАЧИТЕЛЬНЫЕ, с точки зрения Человеческих, Экономических и Производственных последствий. И совсем бы не оценили, с точки зрения последствий для собственности или информации. В то же самое время, в зависимости от контекста, их могли бы оценить как НИЧТОЖНЫЕ с точки зрения Репутации. Таким образом, общая оценка риска основывается на более высокой степени этих двух “НИЧТОЖНЫХ” последствий.

таблица 1

 

Оценки вероятности

Вероятность можно выразить в количественной, полуколичественной или качественной формах. В тех случаях, когда мы не имеем достаточно данных количественного анализа и хотели бы получить более гранулированный результат, нежели просто “вероятно” или “маловероятно”, идеально подходят матрицы рисков для полуколичественного анализа. Существует множество способов представления вероятности, однако в приведенном ниже примере я выбрал для использования следующие термины:

  • Шанс: качественная оценка вероятности.
  • Вероятность: статистическая или страховая оценка вероятности.
  • Частота: частота, с которой какие-либо события возникают или повторяются в заданной модели.

Как только вы четко определили тот риск, который необходимо рассмотреть.

таблица 2

 

Собственно говоря, частота — это еще один способ выражения данных вероятности, однако Герд Гигеренцер в своей книге “Рассчитанные риски” (“CalculatedRisks”) приводит немало примеров высокообразованных профессионалов, которые неспособны правильно интерпретировать данные вероятности. Он старается показать, что для людей наиболее эффективным способом понимания вероятности является представление ее в форме частоты.[v] В 1998 исследование советников и профессионалов в области медицины показало, что подавляющее большинство не было способно дать корректный ответ на следующий вопрос:

Около 0,01% людей с невыявленным рискованным стилем поведения инфицированы ВИЧ. Если такой человек является носителем вируса, есть шанс, что в 99,99% результаты анализов будут положительными. Если такой человек не является носителем вируса, есть шанс, что в 99,99% результаты анализов будут отрицательными. Каков шанс, что человек с невыявленным рискованным стилем поведения, чьи результаты анализа положительны в действительности является носителем вируса?

Большинство профессионалов и большинство людей считают, что шанс составляет 99,99% или выше. Теперь давайте рассмотрим тот же вопрос, используя естественные частоты:

Представьте 10 000 человек, которые не относятся к категории людей с невыявленным рискованным стилем поведения. Один из них инфицирован и практически достоверно получит положительный результат анализа. Из 9999 неинфицированных человек один получит положительный результат анализа. Таким образом, мы можем предположить, что 2 человека получат положительный результат анализа.

Представляя данные в виде естественных частот, вы можете легко увидеть, что шансы приблизительно составляют 50%, т.е. каждый второй из категории низкой степени риска с положительным результатом анализов фактически является ВИЧ-инфицированным.

Подобным образом Таблица 2 предоставляет варианты для подбора оптимального выражения вариантов вероятности, но естественные частоты (третья колонка) будут, как правило, предоставлять отдельным лицам и группам лиц вариант, который будет наиболее содержательным для них и, как следствие, вероятно, обеспечит оптимальные результаты.

 Применение матрицы риска

Важно помнить о назначении матрицы риска. Обычно мы не пытаемся получить точную оценку риска или определить подробно его потенциальное негативное влияние на цели, и любые такие попытки редко бывают полезными. Когда мы используем матрицу риска мы обычно пытаемся оценить и сформировать список рисков по их приоритетности. В тех случаях, когда рисков слишком много, чтобы мы смогли отнести их к одному уровню внимания, их необходимо объединить в несколько групп или выделить из них наиболее значительные риски с тем, чтобы мы могли в первую очередь сфокусироваться на тех рисках, которые требуют немедленного управления, а затем заниматься остальными важными рисками и просто осуществлять мониторинг оставшихся. Применение красно-желто-зеленых типов категоризации отражает эту широкую классификацию рисков по высокой – средней — низкой степени приоритета.

В некоторых случаях может быть достаточно просто расположить риски вряд между собой, чтобы определить их относительную степень приоритета. Все “красные” риски следует рассматривать, как риски с высокой степенью приоритета, и нам можно уже будет не волноваться о том, имеются ли еще “более красные” риски, чем другие.

В качестве наглядного примера на Рисунке 1 я использовал матрицу риска 5×5 с 5 уровнями риска (очень низкий, низкий, средний, высокий, очень высокий). Однако отсутствие отдельного уровня детализации лучше любого другого. Поскольку матрица обеспечивает достаточную детализацию для той цели, с которой применяется, она имеет правильное число квадратов. Матрица 2×2 могла бы подойти для сравнения 3 рисков или вы могли бы выбрать матрицу 4×8 для сравнения 25 рисков своей организации. Числа в квадратах матрицы риска (от 2 до 10), конечно же, произвольные и предназначены исключительно для обеспечения некоторого уровня детализации в рамках оценок конкретного риска. В этом примере вероятность и последствие просто были суммированы, их умножение, в сущности, дало бы те же функциональные результаты при определении приоритетности рисков.

 

Рисунок 1 также наглядно демонстрирует сложности оценки относительно незначительных рисков, а также потенциальные риски неадекватных данных. На Рисунке 1 рассматривается риск получения “Незначительных телесных повреждений, которые получил сотрудник, поскользнувшийся на мокром полу (воде) в кухне, по причине протечки трубы” и наглядно демонстрируется, насколько важно учитывать исторические данные и нисходящие воздействия.

Даже при правильно определенном риске, вероятность и последствие могут отличаться от того, что какими они выглядят в матрице. В приведенном гипотетическом, но реалистичном примере оценщики рисков:

  • первоначально недооценили вероятность, поставив “Маловероятно” (т.е. “Может возникнуть к какой-то момент” или “<35%”), потому, что люди обычно оценивают вероятность события по легкости, с которой примеры или происшествия можно себе представить [VI]. Однако при рассмотрении колонки Частота и исторических отчетов об инциденте они обнаружили, что это событие возникало более 7 раз за прошедшие 10 лет и поэтому оценку вероятности изменили на “Возможно”[4].
  • рассматривая сначала только последствие “незначительных телесных повреждений”, дали ему оценку “Несущественное”, однако после рассмотрения нисходящих воздействий (“расследования внутренней комиссии”) оценку изменили на “Ничтожное”.

Не смотря на чисто наглядный пример, первоначально низкие оценки являются правдоподобным результатом при условии, что люди недооценивают риски, которые являются для них заурядными, распространенными и знакомыми, или хорошо понятными и преувеличенными, которые производят глубокое впечатление, персонифицируются или широко рекламируются.[VII], [VIII], [IX]

 Рисунок 1: Пример матрицы риска(скачать файлом «матрица рисков_Rus.xls» вы можете по ссылке ДАЛЕЕ, в разделе Документы) 

матрица рисков

 

Как показано на Рисунке 1, в результате более подробного рассмотрения рисков, подсказанных описаниями вероятности и последствий, оценка риска была пересмотрена и изменена с “Очень низкий” на “Низкий”. Это само по себе несущественно и не меняет риск фундаментально, однако, это может существенно изменить отношение к нему со стороны руководства организации при расстановке приоритетов среди других рисков. Это также хороший пример непредусмотрительности, когда полагаются исключительно на матрицы риска при принятии решений о распределении ресурсов. Не смотря на то, что этот риск относительно низкий, затраты на содержание водопроводчика для ремонта протечки трубы, вероятно, будут незначительными.

Чтобы прояснить это положение дел, важны три момента:

  • чтобы получить реалистичную оценку риска, более практично использовать последовательно наивысшую (или наихудшую) степень вероятности и последствия, чтобы оценить риск;
  • здесь приведен только пример и другие риски будут иметь свои собственные характеристики – индивидуальные оценки могут обеспечить идентичные или широко варьирующие оценки вероятности и последствия;
  • матрица риска, в которой учитывается только одна категория последствий и/или только один расчет вероятности, вероятнее всего, будет иметь предельное значение и предоставит противоречивые результаты.

 

Использование матриц риска для представления данных

Даже если организация решает применять другие методики оценки риска, простые матрицы риска являются одним из наиболее эффективных инструментов быстрой передачи информации о риске публике.

Большинство людей будут ознакомлены с использованием кружковых диаграмм. На Рисунке 2 приведен простой пример такой диаграммы.

кружковая диаграмма

Рисунок 2: Кружковая диаграмма риска (Размер кружков указывает на эффективность управления)

Рисунок 3: Пример матрицы риска, используемой для представления комплексных данных

профиль риска

На Рисунке 3, с помощью кружковой диаграммы матрицы риска передается, по меньшей мере, 15 элементов информации, касающейся рисков организации, включая следующие:

  1. Текущую оценку риска (точка “C” на матрице);
  2. Оценку внутреннего риска в случае отсутствия средств управления на месте (точка “А” на матрице);
  3. Прошлые оценки риска (точка “B” на матрице);
  4. Изменения оценок риска с течением времени (дельта между точками “B” и “C”);
  5. Ожидаемый остаточный риск после внедрения методов обработки риска (точка “D” на матрице);
  6. Вероятность (информация, расположенная на матрице по вертикали);
  7. Последствия (информация, расположенная на матрице по горизонтали);
  8. Временные рамки оценки (Заголовок);
  9. Примерный порядок величины текущих затрат, вложенных в методы обработки риска (количество символов “$” на стрелках между точками “A” и “B” и “B” и “C”);
  10. Сравнительная выгода и затраты от предлагаемых методов обработки риска (дельта – выраженная через длину стрелок – и количество символов “$” между точками риска);
  11. Неустойчивость, т.е. является ли риск относительно стабильным на протяжении длительного времени или может резко измениться в короткий срок (форма символа);
  12. Степень уверенности в качестве оценки риска (размер символа);
  13. Возникал ли этот риск или нет в этой организации в прошлом (число рисков обычным шрифтом или шрифтом BoldItalic);
  14. Сравнительный приоритет одного риска по отношению к другим (точка на матрице);
  15. Степень вмешательства руководства и ответственность, требуемые для реагирования на риск (цвет квадратов сетки в которых расположен риск);

Это всего лишь образец той методики, посредством которой может быть представлена информация о риске с использованием матрицы риска. Единственным ограничением, касающимся объема информации, которая может быть сообщена, является лишь представление человека о риске (его воображение).

 

Выводы

Матрицы риска являются бесценным инструментом для организаций, ищущих быстрых, эффективных и практичных способов оценки риска, однако, они не могут быть использованы изолированно. Любые допущения или заложенные в них мнения и суждения должны быть четко сформулированы и в частности: (a) описание риска должно быть четко определено и (b) идентификаторы (описания) вероятности и последствия должны быть четко сформулированы с использованием множества параметров.

Матрицы риска не подходят для любого обстоятельства, и они не имеют ограничений, но они имеют свое четкое место на инструментальной панели каждого менеджера по риску, который хочет:

  • обеспечить последовательность и определенную степень детализации при определении приоритетности рисков;
  • поспособствовать и устранить трудности в бурной дискуссии;
  • обеспечить наличие центра внимания при проведении оценок рисков;
  • выразительно и лаконично представить сложные данные.

  

Сноски

[1] Это преимущество может быть чревато опасностью, если вы позволите оценке доминировать над здравым смыслом, но в руках квалифицированного методиста матрицы рисков являются одним из самых быстрых и последовательных способов определения приоритетности рисков.

[2] Методы обработки риска будут обрабатывать несколько рисков из общего “пакета рисков” (реестра рисков), поэтому выбор методов обработки риска не может основываться просто, как на определении приоритетности рисков, так и на эффективности их действия против одного риска.

[3] ESIEAP означает такие средства управления,

как Исключение (Elimination),

Замена (Substitution),

Изоляция (Isolation),

Технические меры (Engineering),

Административные меры (Administrative) и Защитные (Protective) меры.

Это инструмент принятия решений, позволяющий определить, какой из наборов методов обработки риска будет наиболее эффективным. Например, наилучшим способом смягчения риска заболеть малярией в отпуске является исключения этого риска путем отказа от путешествий. Вторым наилучшим способом, если вы все еще желаете отправится в путешествие, является изменение места вашего пребывания, отправляйтесь туда, где нет малярии. Третьим наилучшим способом, если же вам необходимо посетить район, где велик риск заболеть малярией, является изоляция самого себя в тех районах страны, где она распространена. И так далее: к техническим средствам управления относятся москитные сетки и сетки над кроватью, которые уже менее эффективны, а административными средствами управления является выход на улицу на рассвете или в сумерки, эффективность которых в свою очередь еще ниже. И наименее эффективными мерами являются защитные, такие как ношение одежды с длинными рукавами и использование средств от насекомых.

[4] Отсутствие исторических данных и аналогичного опыта у таких же организаций, вероятно, привели бы к аналогичному результату, тем не менее, даже без этого единый процесс все еще потребовал бы провести ценное обсуждение и, по меньшей мере, дать оценку риску, которая бы определила (хоть и неточно) степень его приоритетности и могла бы быть сравнима с другими инцидентами или данными в будущем.

Авторский перевод: автор ресурса www.plantmaintenance.ru Федор Белов

Bibliography

[I] Cox, L.A. (2008), ‘What’s Wrong with Risk Matrices?’, Risk Analysis, Vol. 28, No. 2, DOI: 10.1111/j.1539-6924.2008.01030.x

[II] Cox, L.A. (2008), ‘What’s Wrong with Risk Matrices?’, Risk Analysis, Vol. 28, No. 2, DOI: 10.1111/j.1539-6924.2008.01030.x

[III] Talbot, J. & Jakeman, M. (2009), Security Risk Management Body of Knowledge, Wiley Interscience, NY, USA.

[Iv] Plous, S. (1993), The Psychology of Judgment and Decision Making, McGraw-Hill, NY, USA.

[v] Gigerenzer, G. (2002), Calculated Risks, Simon & Schuster, NY, USA.

[vI] Tversky, A. and Kahneman, D. (1974), ‘Judgment under Uncertainty: Heuristics and Biases’, Science, 1974, 185:1124–1130

[vII] Glassner, B. (1999), The Culture of Fear: Why Americans are Afraid of the Wrong Things, Basic Books, NY, USA.

[vIII] Slovic, P. (2000), The Perception of Risk, Earthscan Publications Ltd, London, UK.

[IX] Kluger, J. (2006), “How Americans Are Living Dangerously,” Time, 26 Nov 2006, NY, USA

Pin It

Читайте также

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *