Форум
Института внутренних Аудиторов

RSS
Дополнительные измерения в RM
 
Классический вариант предусматривает оценку воздействия и вероятности. Некоторые компании идут дальше и вводят дополнительные измерения  - velocity (или emergency) - для учета горизонта реализации риска (краткосрочные-долгосрочный), vulnerability (или обратная веричина - level of control) - для учета насколько компания подвержена риску или контролирует его  и др (например, учет развития риска по мере реализации мероприятий от inherent к residual). У нас сейчас учитывается level of control. На предыдущем моем месте работы учитывалось развитие риска со временем. А как обстоят дела в вашей компании?Что еще кроме воздействия и вероятности вы оцениваете?
 
Velocity - это вообще-то скорость. Интересно, а хотя бы одна научная, математическая модель под это risk velocity есть? Есть понятие "математического ожидания" (expected/mean value) (но это не измерение, а скорее величина). Однако причем здесь "скорость"?
 
Да. Есть. Например, статья 2013 года "A new dimension to Risk Assessment" за авторством Marta Ruiz Chaparro, Лундский университет, Швеция.<br>Автор использует статистический подход, вводит понятие  распределения приближения потерь, анализирует стандартный подход на основе вероятности-воздействия, рассматривает TTC & TTL (время до причины риска, время до потерь ввиду риска). В итоге, куча красивых формул и отображение рисков в 3D.
 
Для сбора статистики по использованию дополнительных измерений в риск менеджменте сделал голосовалку на surveymonkey. <br>https://www.surveymonkey.com/r/GLBM3SN
 
Изучил про velocity. Это обычное переименование "частоты" (frequency). Попытка описать другими терминами уже имеющееся теоретическое представление. Определяется очень похоже, в терминах "периода времени" (time frame). Для оценки риска это не измерение (dimension), а скорее, показатель, производный от той же вероятности (которая считается базовым измерением). Однако можно признать, что введение понятия "velocity" может повысить практичность оценки рисков, поскольку разбирается именно причинно-следственная составляющая риска.
 
Василий, понятно, что в реальности все хотят знать - когда что-то случится и каковы последствия. Вопрос как это измерять удобно и понятно. Вероятность в этом плане штука очень непрактичная - как известно, монета и 5 раз подряд может упасть орлом, хоть вероятность и 50% что выпадет решка. Да и вообще, зачастую частоты событий никто не знает - вероятность определить даже на глаз сложно. Не согласен, что velocity заменяет вероятность, в этом смысле скорее имело бы смысл говорить о матожидании - величине обратной к вероятности, дающей понятный человеку ответ - когда следует ожидать. В примере с монетой и 50%, матожидание риска выпадения решки - 2 броска. Если монету подбрасываем раз в месяц - значит стоит ожидать, что за два месяца риск реализуется с очень большой вероятностью <br>Например, деление рисков на долгосрочные и краткосрочные уже является примером использования velocity. Если срок реализации риска не учитывать, то получится, что два риска с одинаковым воздействием и одинаковой вероятностью будут трактоваться одинаково. Но у одного период реализации, скажем 1 месяц, а у второго - год. Пример, компания реализует проект, есть два неприемлемых  равнозначных риска - 1. невыполнение ковенант инвестиционного соглашения в плане даты завершения строительства в течение месяца и 2 - невыход через год после запуска на определенные показатели. Последствия одинаковые - придется досрочно погасить задолженность банку. Вероятнось менеджмент оценил одинаково - 80% (. Причины у рисков абсолютно разные - у первого проблемы стройки, у второго - макроэкономические. Но с velocity получается разделить эти два риска и сосредоточиться в начале на риске 1. Ваша ремарка про timeframe в этом смысле правильная.
 
</div>
Цитата
как известно, монета и 5 раз подряд может упасть орлом, хоть вероятность и 50% что выпадет решка.
<div class='postcolor'><br><br>Вероятность выпадения монеты орлом пять раз подряд не 50%, а намного ниже. Как раз в примере с монетами очень хорошо понятно, что velocity суть frequency, а значит то же представление вероятности.<br><br>Вероятность не "непрактичное" измерение, а для общей массы людей непонятное. Поэтому и придумают что-то новое. <br><br></div>
Цитата
Не согласен, что velocity заменяет вероятность, в этом смысле скорее имело бы смысл говорить о матожидании
<div class='postcolor'> Тоже сначала подумал, что velocity ближе к матожиданию, но потом поменял свое мнение. В любом случае матожидание - показатель, а не измерение (dimension) в модели, где вероятность принять за базовый аргумент (dimension).<br><br>Пример: Представим, что наш бизнес - это подбрасывание монеты. За "год" мы можем подбросить ее сто раз (это и есть определение "года" - период для прогноза риска). Риском будем считать выпадение решки пять раз подряд. Imact от этих "пяти раз подряд" - какой-то "крупный убыток", оцениваемый как крупная проблема.<br><br>Вопрос 1: Каковая вероятность, что риск случится (хотя бы раз) в течение года? Найденный ответ - это и есть "вероятность" риска. Она не 100%, но близкий к 100.<br><br>Вопрос 2: Какое число раз за год риск случится (решка выпадет пять раз подряд) с вероятностью (допустим, 95%/97%/99%, мы вынуждены задать какой-то порог, потому что даже за "год" (100 подбросов) с определенной очень малой вероятностью риск может не случится). Полученное число - и это число и есть velocity (ибо время у нас измеряется в количество подбросов, а частота - величина обратная времени). Velocity - это период времени = год (константа) / frequency. Частота - величина, обратная времени. Частота и вероятность - аргумент, динамичный компонент, измерение. Velocity в этом примере - именно величина (мера, показатель).<br><br>То есть velocity лишь другое представление "вероятности" и "частоты" в данном примере. Это в случае если "время" принимается константой (в данном случае условный "год", равный ста подбросам). Можно ли вывести velocity в измерение (аргумент)? Да можно (на самом деле, можно всё, что угодно вывести, чем понятнее и практичнее будет аргумент (измерение) тем лучше).<br><br>При оценке рисков третьим базовым компонентом и даже измерением могло бы быть именно "время" - необходимо определиться, о каком времени мы говорим, когда прогнозируем риск (год, два, месяц). Однако в обычной практике это не измерение/аргумент, а константа. А так да, velocity по сути и есть время (time frame) - его так и определяют.<br><br>В указанной статье делает разбор на предмет того, что у риска есть причина и последствия и есть velocity к причине и velocity к последствию. Это все правильно и хорошо написано, потому что действительно многие в теории контроля и рисков забывают рассматривать риски в рамках причинно-следственной модели. Но сам факт того, что velocity не 3-е измерение, а лишь другое представление "вероятности" - это не отменяет. <br><br>Я бы лучше рассматривал ту же двухмерную модель, но в двух измерениях - impact и velocity (раз уж появился такой термин). А velocity раскладывал на TTC и TTI для целей анализ причинно-следственной связи. А для вероятности использовал пороги (константы) - 95% и другие. Такой подход как раз на практике (в компаниях, в которых управления рисками - главный основной процесс) чаще используют. <br><br>Кроме того, надо не забывать, что риски раскладываются на "присущие" и "остаточные". И даже есть "модели", где management response тоже рассматривается как "измерение". Но это все же не dimension - это скорее просто мера (показатель), мера контроля. <br><br>Вывод такой: <br>(1) введение этой velocity - в нем нет вообще ничего нового, притом как минимум с 19 века; обычный маркетинговый ход (и вполне успешный на фоне зацикливания на "вероятности" и "значимости"); и это, действительно, неплохой методологический ход и повышающий практичность риск-менеджмента;<br>(2) лучше не использовать 3-хмерную модель (где "вероятность" совмещается со временем/velocity, ибо это лишние действия; <br>(3) ВОЗМОЖНО, лучше использовать именно 2-хмерную модель, где измерениями являются impact и "время" (когда ждать этого impact) (то есть мы карту рисков не на год составляем, а в динамике), а вероятность задавать константой (порогом). Притом это пригодно как для количественной оценки, так и для экспертной.<br><br>PS. Да, кстати, это все повторяется в рамках материалов подготовки к CIA, а в институте на первом курсе в теории вероятностей.
 
Коллеги, третьего измерения точно не хватает. <br><br>Предлагаю ось времени добавить.<br><br>Т.е. будет: сумма  (Y), верятность (X) и время (Z).<br><br>При наличии оси Z (время), риски уже можно будет классифицировать на:<br>- долгосрочные и краткосрочные по  моменту (дате) начала ущерба, т.е. понятие "ожидаемости" риска;<br>- длительные и кратковременные, по длительности периода между датой начала и  датой конца ущерба; появится такой критерий менеджерской оценки риска как: начало и конец ущерба (когда начнется ущерб, когда закончится, как долго будет длиться?), т.е. понятие "длительность" риска по времени;<br>- уйдет такое непонятное понятие как <span style='color:red'>"скорость"</span> риска, т.к. время, оно с одной скоростью для всех рисков движется (одна секунда в одну секунду  );<br>- введтся такое понятие как "ущербность" риска (размер ущерба в единицу времени);<br>- введется такое понятие как "частота" повторения риска (количество фактов  возникновения ущерба за определенный период времени - месяц, год);<br>- карта рисков превратится из 2-х мерной, в 3-х мерную модель (по типу Coso). <br><br><br>С ув. Андрей<br><br>P.S. А "скорость" реализации ущерба (риска) - это скорее совокупность таких предложенных выше критериев как:  сумма  и время (см. выше "ущербность").  Пример: может за час склад сгореть (ущерб большой , время маленькое), может  месяц капатать на товар в складе, с крыши вода, замачивать товар (ущерб маленький, время большое). <br>Либо это совокупность вероятности и времени (см. выше "частотность"). <br><br>Вывод: cкорость  - это скорее производная предложенных выше критериев измерения, чем собственный и самодостаточный критерий оценки риска.
Карфаген должен быть разрушен!
 
Андрей, согласен в отношении времени и скорости.<br>Что с остальными параметрами?
 
На мой взгляд, чтобы понять другие (качественные) параметры такой категирии как риск, надо пошире посмотреть на это понятие. А именно воспринимать его  не только как угрозу, но и возможность. В этом случае мне кажется значительно расширятся горизонты восприятия риска и возможно появятся  даже новые критерии оценки, дополнительно к изложенным.<br><br>Относительно уровня контроля встречал такие классфикации как управляемые и неуправляемые риски. Хотя смысл классифицировать, если неуправляемые риски просто принимаются.<br>Развитие риска, скорее описывается  обсужденными ранее парметрами: суммы, вероятности и времени.<br>Уязвимость тоже где то из этой серии и больше к сумме и эффектиу воздействия на цель и контролям применяемым.<br>Но все эти классификации уже больше относятся  к мероприятиям по управлению риском. т.е. контрольным процедурам, чем непосредственно риску.<br><br>Не, все таки чтобы понять проблему, надо ответить на вопрос существенности, вероятности и временного периода, пока ничего кроме этого толкового не лезет в голову (ну и частности где, с кем, почему, зачем, что делать и т.п.  ) больше связанные с управлением риском.<br><br>С ув. Андрей
Карфаген должен быть разрушен!