Что такое остаточный риск
Информационная безопасность
Практика информационной безопасности
Страницы
четверг, 4 июня 2009 г.
ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 8
Если общий или остаточный риск слишком высок для компании, она может купить страховку, чтобы перенести риск на страховую компанию.
Если компания решает прекратить деятельность, которая вызывает риск, это называется избежанием риска. Например, компания может запретить использование сотрудниками программ передачи мгновенных сообщений (IM – Instant Messenger), вместо того, чтобы бороться с множеством рисков, связанных с этой технологией.
Другим подходом является снижение риска до уровня, считающегося приемлемым для компании. Примером может быть внедрение межсетевого экрана, проведение обучения сотрудников и т.д.
И последний подход заключается в осознанном принятии риска компанией, которая осознает его уровень, размеры потенциального ущерба, и, тем не менее, решает жить с этим риском и не внедрять контрмеры. Для компании целесообразно принять риск, когда анализ затрат / выгоды показывает, что расходы на контрмеры превышают размеры потенциальных потерь.
Ключевым вопросом при принятии риска является понимание того, почему это является наилучшим выходом из конкретной ситуации. К сожалению, в наше время многие ответственные лица в компаниях принимают риски, не понимая в полной мере, что они принимают. Обычно это связано с относительной новизной процессов управления рисками в области безопасности, недостаточным уровнем образования и опытом работы этих людей. Когда руководителям бизнес-подразделений вменяются обязанности по борьбе с рисками в их подразделениях, чаще всего они принимают любые риски, т.к. их реальные цели связаны с производством компанией готовой продукции и выводом ее на рынок, а вовсе не с рисками. Они не хотят увязать в этой глупой, непонятной и раздражающей безопасности.
Принятие риска должно быть основано на нескольких факторах. В частности, нужно ответить на следующие вопросы. Потенциальные потери меньше стоимости контрмер? Сможет ли компания жить с той «болью», которую причинит ей принятие этого риска? Второй вопрос имеет отношения в том числе и к бесплатным решениям. Например, если компания примет этот риск, она должна будет добавить еще три шага в свой производственный процесс. Имеет ли это смысл для нее? В другом случае, принятие риска может привести к возрастанию количества инцидентов безопасности – готовы ли компания справиться с этим?
Человек или группа, принимающая риск, должны понимать потенциальные последствия этого решения. Предположим, было установлено, что компания не нуждается в защите имен клиентов, но она должна защищать другие сведения, такие как номера социального страхования, номера счетов и т.д. При этом ее деятельность останется в рамках действующего законодательства. Но что будет, если ее клиенты узнают что компания не защищает должным образом их имена? Ведь они из-за отсутствия знаний по этому вопросу могут подумать, что это может стать причиной «кражи личности», что приведет к серьезному удару по репутации компании, с которым она может и не справиться. Восприятие клиентов часто не обосновано, и всегда существует вероятность, что они перенесут свой бизнес в другую компанию, и вам нужно считаться с этой потенциальной возможностью.
Рисунок 1-8 показывает, как может быть создана программа управления рисками, которая объединяет все понятия, описанные в настоящем разделе.
остаточный риск
2.18 остаточный риск (residual risk): Риск, остающийся после его обработки.
3.16 остаточный риск: Риск, остающийся после предпринятых защитных мер (ГОСТ Р 51898).
3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].
2.10 остаточный риск (residual risk): Риск, остающийся после снижения риска.
2.12 остаточный риск (residual risk): Риск, остающийся после предпринятых защитных мер ([2], пункт 3.9).
3.24 остаточный риск (residual risk): Риск, оставшийся после принятия мер безопасности.
3.9 остаточный риск: Риск, остающийся после применения защитных мер [1].
3.4.11 остаточный риск: Риск, остающийся после обработки риска.
3.12 остаточный риск (residual risk): Риск, остающийся после принятия защитных мер (см. рисунок 1).
— риск, остающийся после защитных мер, предпринятых конструктором;
— риск, остающийся после всех предпринятых защитных мер.
3.90 остаточный риск: Риск, остающийся после принятия мер, направленных на обеспечение безопасности.
3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].
3.9 остаточный риск: Риск, остающийся после предпринятых защитных мер.
2.27 остаточный риск (residual risk): Риск (2.1), сохраняющийся после воздействия на риск (2.25).
[Руководство ИСО 73:2009, определение 3.8.1.6]
3.30 остаточный риск (residual risk): Риск, оставшийся после обработки риска.
остаточный риск: Риск, остающийся после того, как приняты защитные меры.
3.1.7 остаточный риск (residual risk): Риск, остающийся после принятия мер защиты.
3.23 остаточный риск (residual risk): Риск (3.1), остающийся после обработки риска (3.19).
3.8.1.6 остаточный риск: Риск, оставшийся после обработки риска (3.8.1).
3.4.12 остаточный риск (residual risk): Риск, остающийся после применения защитных мер безопасности.
Полезное
Смотреть что такое «остаточный риск» в других словарях:
остаточный риск — Риск, остающийся после принятия защитных мер (см. рисунок 1). Примечание В настоящем стандарте различаются: риск, остающийся после защитных мер, предпринятых конструктором; риск, остающийся после всех предпринятых защитных мер. [ГОСТ Р ИСО 12100… … Справочник технического переводчика
Остаточный риск — степень опасности подрыва кораблей на минах в районе, где было произведено траление. EdwART. Толковый Военно морской Словарь, 2010 … Морской словарь
Остаточный риск нарушения информационной безопасности — 3.53. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ. Источник: Стандарт Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие … Официальная терминология
Риск остаточный — остаточный риск риск, остающийся после предпринятых защитных мер;. Источник: Решение Комиссии Таможенного союза от 18.10.2011 N 827 (ред. от 18.09.2012) О принятии технического регламента Таможенного союза Безопасность автомобильных дорог… … Официальная терминология
РИСК ОСТАТОЧНЫЙ — Residual risk См. РИСК НЕСИСТЕМАТИЧЕСКИЙ Словарь бизнес терминов. Академик.ру. 2001 … Словарь бизнес-терминов
Риск, неопределенность и прибыль (книга) — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы … Википедия
Риск, неопределенность и прибыль — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы 4 Ссылки // … Википедия
ГОСТ Р ИСО 31000-2010: Менеджмент риска. Принципы и руководство — Терминология ГОСТ Р ИСО 31000 2010: Менеджмент риска. Принципы и руководство оригинал документа: 2.21 анализ риска (risk analysis): Процесс понимания природы риска (2.1) и определения уровня риска (2.23). Примечание 1 Анализ риска обеспечивает… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО 17666-2006: Менеджмент риска. Космические системы — Терминология ГОСТ Р ИСО 17666 2006: Менеджмент риска. Космические системы оригинал документа: 2.3 индекс риска (index risk): Оценка в баллах, характеризующая значимость риска, который является сочетанием вероятности возникновения и тяжести… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации
Что такое вторичный и остаточный риск в проекте?
Несмотря на данное обещание хотя бы иногда писать в блог во время отпуска после свадьбы, я этого, конечно, не делала. У меня, конечно, есть оправдание – я в Таиланде очень сильно отравилась, пару дней провалялась с температурой под 40, и никакие набранные с собой в товарном количество таблетки-порошки ситуацию не исправили. Самое обидное – я до этого была в десятке азиатских стран и ни разу не было никаких проблем. В любом случае вины с себя не снимаю, совесть мучает, буду исправляться. Поэтому сегодня давайте поговорим о наболевшем – о том, что такое вторичный и остаточный риск и как он может повлиять на ваш проект, на моем печальном отпускном примере.
Итак, что такое остаточный риск в проекте (на английском он называется residual risk)?
Вообще это понятие пришло в проектный менеджмент из БЖД или охраны труда. Поэтому в соответствии с классическим определением, остаточный риск – это риск, остающийся после того, как вы предприняли ряд мер для снижения первоначального риска, соотношение вероятности и влияния которого достаточно низко, чтобы вы этот риск для себя приняли и оставили «на авось». Важно понимать, что полностью исключить риск нельзя, можно только снизить, причем в какой-то момент придется остановиться, иначе стоимость снижения риска превысить выгоды, получаемые от проекта.
А вторичный риск (secondary risk) – это риск, которого не было раньше, но который появляется после того, как были предприняты меры для снижения первоначального риска.
Сразу к моему примеру – вы едете в свадебное путешествие в более-менее развитую, но все-таки экзотическую страну. И один из рисков, который вы учитываете в первую очередь – это, разумеется, риск отравиться какой-нибудь вкусной местной едой и проваляться половину отпуска в кровати (или просидеть на унитазе, как повезет). Если вы отравитесь – весь отпуск пойдет насмарку, поэтому влияние риска очень высоко (проект просто будет провален). Вероятность риска – тоже очень высокая, все-таки местные тараканы – это не сама привычная еда для вашего желудка.
Поэтому вы, как разумный человек, гуглите «как собрать аптечку в таиланд без смс и регистрации», тратите кучу денег в аптеке и (если вы очень разумный) консультируетесь со знакомым доктором. После того, как вы купили половину аптеки, на первый взгляд, риск отравления должен снизиться (понятно, что мы говорим не о самом отравлении, а о его последствиях, для краткости).
Тут у нас появляется понятие вторичного риска. Казалось бы, лекарства есть, что еще нужно? Однако нужно как минимум вспомнить, что авиакомпании не так уже редко теряют чемоданы и у вас есть шанс остаться без своей любовно собранной аптечки, и лучше положить аптечку в ручную кладь. А после этого, снизив риск остаться без аптечки, лучше еще раз подумать и вспомнить, что в ручную кладь нельзя класть жидкости более 100мл, и ваш Энтерос-гель отберут на контроле. Поэтому Энтерос-гель вернуть в чемодан, а для страховки прикупить пачку активированного угля, который менее эффективен, но зато точно не вызовет ни у кого вопросов. Таким образом, мы максимально обезопасили себя от того, чтобы не остаться без аптечки. Можно было бы продолжать и дальше, например, задаться вопросом «А если у меня украдут сумку с ручной кладью в аэропорту?» и купить второй комплект лекарств в чемодан. Но какова вероятность, что это произойдет? Так как она совсем невелика, вы на этот риск «забиваете», считаете его остаточным и ничего по этому поводу не делаете.
Но это была половина дела, теперь возвращаемся к началу. Купив аптечку мы, предположим, наполовину снизили вероятность пролежать неделю в кровати вместо моря и кокосов. Однако даже оставшаяся половина – это слишком много, чтобы так рисковать отпуском, поэтому вы идете и гуглите «туристическая страховка в Таиланд».
Я, кстати, покупаю страховку обычно на турстраховка.ру, удобно, что можно сравнить цены разных страховых сразу, и без наценок. Не реклама, личный опыт.
Если времени много – то еще гуглите и отзывы о страховых компаниях, чтобы снизить вероятность того, что на месте страховая найдет отмазку и никакой помощи вам не окажет. Покупаете страховку, делаете 2 копии – одну будете таскать с собой, вторую отдаете своему спутнику (а то вдруг вы будете не в состоянии сказать где она), оригинал храните в сейфе отеля. Тем самым вы снизили вторичный риск того, что тогда, когда вам понадобится помощь, полис окажется потерянным или его не будет под рукой (или он пострадает от морской воды, если вы будете сознательно таскать с собой везде оригинал, особенно на пляже). Поздравляю, вы только что еще более значительно снизили риск остаться без отпуска, а при самом плохом раскладе – и без здоровья, вы молодец. Очередной остаточный риск – что страховая окажется шаражкой, которая не окажет никакой помощи, вы считаете достаточно несерьезным (вы же читали отзывы, они всем помогали!) и решаете не обращать на него внимание.
Чтобы уж совсем быть уверенным, что все будет отлично, вы закидываете на отдельную карточку тысячу долларов, храните ее в сейфе, Если вы маньяк или у вас основания полагать, что ваш банк за границей вас может подвести (так говорит гугл или были прецеденты) – вы снижаете этот вторичный риск, и таких карточек берете две, разных банков, одну носите с собой, другую храните в сейфе. И не забываете сказать спутнику пин-коды (тут, правда, возникает риск того, что он с вашими карточками сбежит, но, учитывая что вы едете в свадебное путешествие, это прямо совсем уж остаточный риск, куда он денется). Теперь если что – вам точно хватит на вызов коммерческой скорой помощи, и ваш отпуск будет спасен. Для полной уверенности можно заранее телефон этой скорой найти и записать себе и спутнику номер в свои смартфоны, и положить пару тысяч на этот телефон, чтобы был запас в роуминге.
Итого, что мы имеем? Запас таблеток, страховой полис, запас денег, с таким арсеналом вы закрывает риск настолько, насколько его вообще можно закрыть, и с чистой совестью собираетесь дальше. Все, с возможным отравлением разобрались, переходим к следующему риску проекта «Свадебное путешествие», их в списке всего 35 осталось…
Что касается меня – запас таблеток не помог (то есть этот барьер отвалился еще в тот момент, когда стало понятно, что никаким парацетамолом я температуру 40 сбить не могу, а Энтерос-гель не оказывает вообще никакого эффекта, т.е. отравление слишком сильное, чтобы справиться с ним своими силами. Переходим к п.2 (уж он-то должен помочь) – звоним в Альфастрахование и просим вызвать скорую, полчаса регистрируем страховой случай (тут-то нам и пригодились деньги на телефоне) и узнаем, что «скорую мы не вызываем, потому что она дорогая, добирайтесь полтора часа до госпиталя по темному серпантину своим ходом». Понимаем, что при температуре 41 наступает летальный исход и встретить его на горной дороге как-то грустно, даем себе честное слово засудить страховую при возвращении, и приступаем к казавшемуся таким невероятным п.3 – вызываем платную скорую за 40 000 российских рублей (понятно, что сделать деньги на туристах тут не пытается только ленивый), получаем свой укол, набор местных таблеток-порошков и план лечения от тайского врача и буквально через 2 дня приходим в себя и продолжаем есть опасную, но такую вкусную экзотическую еду.
Кстати, про отравление, это банально, но не забывайте следовать простым детским правилам типа “руки перед едой надо мыть” и “плохо пахнет – лучше не ешь”.
Если вы хотите узнать больше о рисках и о том, как с ними работать – вы можете приобрести наш большой курс по управлению рисками. Шаблон реестра рисков проекта и чек-лист для идентификации рисков в подарок!
Что такое остаточный риск
Информационная безопасность (ИБ) должна достигаться экономически оправданными мерами. В данной статье представлена методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств и выбрать направления, на которых целесообразно сконцентрировать основные ресурсы.
Тема «Управление рисками» рассматривается на административном уровне ИБ, поскольку только руководство организации может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.
Вообще говоря, управление рисками, равно как и выработка собственной политики безопасности, нужны только для тех организаций, информационные системы (ИС) которых и/или обрабатываемые данные можно считать нестандартными.
Типовую организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно, с формальной точки зрения, в свете российского законодательства в области информационной безопасности). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество документов, во втором — достаточно определиться лишь с несколькими параметрами.
Адекватная безопасность — уровень безопасности, соразмерный с риском и величиной ущерба от потери, ненадлежащего использования, модификации или несанкционированного доступа к информации.
Базовый уровень безопасности — минимальный набор регуляторов безопасности, необходимый для защиты информационной системы, определяемый из потребностей ИС в обеспечении доступности, конфиденциальности и целостности.
Калиброванная (регулируемая, настраиваемая, повышаемая) безопасность — система безопасности, обеспечивающая несколько уровней защиты (низкий, умеренный, высокий) в зависимости от угроз, рисков, доступных технологий, поддерживающих сервисов, времени, кадровых и экономических ресурсов.
Компрометация — раскрытие информации неавторизованным лицам или нарушение политики безопасности организации, способное повлечь за собой умышленное или неумышленное несанкционированное раскрытие, модификацию, разрушение и/или потерю информации.
Нарушение информационной безопасности — нарушение или угроза неминуемого нарушения политики информационной безопасности, правил добропорядочного поведения или стандартных правил информационной безопасности.
Уровень (степень) критичности ИС — параметр, характеризующий последствия некорректного поведения информационной системы. Чем серьезнее прямое или косвенное воздействие некорректного поведения, тем выше уровень критичности ИС.
Система, критичная для выполнения миссии организации (критичная система) — телекоммуникационная или информационная система, передающая, обрабатывающая и/или хранящая информацию, потеря, ненадлежащее использование и/или несанкционированный доступ к которой могут негативно воздействовать на миссию организации.
Окружение (среда) — совокупность внешних процедур, условий и объектов, воздействующих на разработку, эксплуатацию и сопровождение информационной системы.
Воздействие (влияние) — величина (размер) ущерба (вреда), ожидаемого в результате несанкционированного доступа к информации или нарушения доступности информационной системы.
Анализ воздействия на производственную деятельность — анализ потребностей информационной системы и ассоциированных с ней процессов и зависимостей, используемый для спецификации требований к непрерывности функционирования и приоритетов восстановления ИС после серьезных аварий.
Контрмеры — действия, устройства, процедуры, технологии или другие меры, уменьшающие уязвимость информационной системы. Синонимом служит термин «регуляторы безопасности».
Лечение — действие по исправлению уязвимости или устранению угрозы. Тремя возможными типами лечения являются:
План лечения — план осуществления лечения одной или нескольких угроз и/или уязвимостей, которым подвержена информационная система организации. В плане обычно рассматривается несколько возможных способов устранения угроз и уязвимостей и определяются приоритеты по осуществлению лечения.
Риск — уровень воздействия на производственную деятельность организации (включая миссию, функции, образ, репутацию), ее активы (ресурсы) и персонал, являющегося следствием эксплуатации информационной системы и зависящего от потенциального воздействия угрозы и вероятности ее осуществления (реализации).
Риски, связанные с информационными технологиями — общее воздействие на производственную деятельность с учетом:
Остаточный риск — остающийся, потенциальный риск после применения всех контрмер. С каждой угрозой ассоциирован свой остаточный риск.
Совокупный (суммарный, полный) риск — возможность осуществления вредоносного события при отсутствии мер по нейтрализации рисков.
Анализ рисков — процесс идентификации рисков применительно к безопасности информационной системы, определения вероятности их осуществления и потенциального воздействия, а также дополнительных контрмер, ослабляющих (уменьшающих) это воздействие. Анализ рисков является частью управления рисками и синонимом термина «оценка рисков», он включает в себя анализ угроз и уязвимостей.
Управление рисками — процесс, включающий оценку рисков, анализ экономической эффективности, выбор, реализацию и оценку контрмер, а также формальное санкционирование ввода системы в эксплуатацию. В процессе управления рисками принимаются во внимание и анализируются эффективность действий и законодательные ограничения.
Нейтрализация (уменьшение, ослабление) рисков — определение приоритетов, оценка и реализация контрмер, должным образом уменьшающих риски.
Терпимость по отношению к риску — уровень риска, который считается допустимым для достижения желаемого результата.
Санкционирование безопасной эксплуатации — официальное решение, принимаемое руководством организации, санкционирующее ввод информационной системы в эксплуатацию и явным образом объявляющее допустимыми риски, оставшиеся после реализации согласованного набора регуляторов безопасности.
Категория безопасности — характеристика информации и/или информационной системы, основанная на оценке потенциального воздействия потери доступности, конфиденциальности и/или целостности этой информации и/или информационной системы на производственную деятельность организации, ее активы и/или персонал.
Уровень защищенности — иерархический показатель степени чувствительности по отношению к определенной угрозе.
Системный подход к процессу управления рисками
7.4. Концепция приемлемого риска
В прошлом абзаце мы обозначили, что в деятельности предприятия возможны случаи, когда риск может быть принят для определенных случаев, когда это обосновано ситуацией и оценено как необходимость. Подобные риски принято обозначать как приемлемые риски.
Концепция приемлемого риска была разработана и основана под вилянием парадокса, который лежит в большинстве современных бизнес активностей. Парадокс заключается в том, что с одной стороны любой основополагающий для современного предприятия процесс должен быть подкреплен информационной, документарной и правовой базой, но с другой стороны, без принятия возможности потенциального ущерба в современном «динамическиразвиваемом» технологическом мире, начать развитие любых процессов представляется маловероятным. Поэтому, для процессов риск-менеджмента используются указания типа: избегать риск, сводить его результаты к минимуму и т.д.
Для решения этого противоречия и была выработана концепция приемлемого риска, целью которой является выработка оптимального компромисса между упомянутыми, диаметрально противоположными условиями возникновения рисков.
Основа концепции заключается в том, что всегда существует опасность того, что в случае реализации определенного управляющего решения возникнет определенный риск или группа рисков. Масштаб и количество рисков, в начале их жизненного цикла в бизнес процессах, могут проявиться не в полном объеме и не с «максимальной» силой. Величина ущерба может варьироваться в зависимости от стадии, на которой проявился тот или иной риск, внешних условий процесса и многих других причин.
Концепция приемлемого риска построена на методологии дифференциации риска (его величины) в зависимости от стадий его проявления. Выделить можно следующие уровни:
Таким образом, можно/нужно констатировать, что приведенная концепция приемлемого риска состоит в том, что риск не обязательно полностью или частично устранять. С учетом информации, необходимой для принятия управленческого решения по риску, возможным результатом процесса принятия решения по работе с риском могут/должны быть:
На текущем «витке» развития процессов анализа рисков в области информационных технологий, концепция приемлемого риска находится в основе большинства существующих систем (как организационных, так и программных) по анализу и управлению рисками.
7.5. Обзор методов управления рисками
Чуть выше, говоря о концепции приемлемого риска, мы подняли тему методов по работе над рисками. На сегодня нет сложившихся универсальных систем, использование которых можно было бы рекомендовать в любой «рисковой» ситуации, для любого окружения проблемного процесса. Возможно, подобная ситуация связана с многообразием внешних и внутренних факторов риска, действие которых проявляется не только локально, на определенном процессе, а «глобально», на деятельности организации в целом.
Эта задача решается при помощи использования различных методов управления рисками, объединенных в систему по работе с рисками. Каждый из методов продуктивно решает только специализированные проблемы, определенных направлений в области информационных технологий.
Условно, методы по управления рисками можно разделить на 4 категории:
Следуя принятому стилю изложения материала, мы оговоримся и констатируем тот факт, что перечисленные методики не противоречат друг другу, а взаимодополняют, по факторам, уровням и локациям своего проявления. Приведенная классификация видов методов позволяет на их основе выстроить систему методов управления рисками, которая должна быть своими результатами синхронизированная с общей системой риск-менеджмента предприятия, но более комплексно и подробно о видах методов мы поговорим чуть позже, когда будем рассматривать комплексную программу управления рисками.
Перед принятием решения о использовании определенного метода или группы методов, можно порекомендовать лицу, ответственному за это решение, учитывать следующие принципы:
7.6. Выводы по изученной лекции
Сегодня мы подвели итоги в изучении трех лекций, составляющих базисный модуль нашего курса.
Модуль «Виды анализа рисков», подытоженный сегодняшней лекцией «Системный подход к управлению рисками» представляет собой самодостаточную часть нашего курса, в которой мы изложили фундаментальные аспекты деятельности по анализу и управлению рисками. Причина, по которой мы уделили довольно большое внимание именно видам анализа рисков, состоит в том, что с помощью теоретического и практического материала по качественному и количественному видам анализа рисков формируется базис дисциплины управления рисков.
Понимая и умея применять изложенную в лекциях информацию каждый «зрелый» специалист будет способен организовать процессы риск-менеджмента и суметь добиться успешных результатов в конкретной организации, учитывая специфику её работы.
Так же мы довольно подробно рассмотрели суть активности управления рисками и концепцию приемлемого риска, которая должна использоваться на каждом предприятии. Концепция приемлемого риска определяет уровень рисков, который допустим для организации и таким образом, устанавливает тренд «рисковости», который допустим для процессов конкретной компании.
Мы упомянули о методах управления рисков и далее расширим эту тему, изложив её в виде инструментария, рекомендуемого для применения в нашей следующей лекции.