Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков.
Факторы риска – это те основные параметры, которыми мы оперируем при оценке рисков:
• актив (Asset);
• ущерб (Loss);
• угроза (Threat);
• уязвимость (Vulnerability);
• механизм контроля (Сontrol);
• размер среднегодовых потерь (ALE);
• возврат инвестиций (ROI).
Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась.
Процесс оценки рисков (assessment) включает в себя две фазы.
На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо ответить на следующие вопросы:
• Что является активом компании?
• Какова реальная ценность данного актива?
• Какие существуют угрозы в отношении данного актива?
• Каковы последствия этих угроз и ущерб для бизнеса?
• Насколько вероятны эти угрозы?
• Насколько уязвим бизнес в отношении этих угроз?
• Каков ожидаемый размер среднегодовых потерь?
На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), когда величина риска уже определена, необходимо ответить на вопрос: какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и какие риски превышают этот уровень.
Таким образом, по результатам оценки рисков, включающей в себя процессы анализа и оценивания рисков, мы получаем описание рисков, превышающих допустимый уровень, и оценку величины этих рисков, которая определяется размером среднегодовых потерь. На выходе данного процесса формируется реестр информационных рисков, подробно рассматриваемый ниже.
Далее необходимо принять решение по обработке рисков, т.е. ответить на следующие вопросы:
• Какой вариант обработки риска выбираем?
• Если принимается решение об уменьшении риска, то какие механизмы контроля необходимо использовать?
• Насколько эффективны эти механизмы контроля и какой возврат инвестиций они обеспечат?
На выходе данного процесса появляется план обработки рисков, определяющий способы обработки рисков, стоимость контрмер, а также сроки и ответственных за их реализацию.
Парень задает вопрос девушке (ей 19 лет),с которой на днях познакомился, и секса с ней у него еще не было: Скажи, а у тебя до меня был с кем-нибудь секс? Девушка ему ответила: Да, был. Первый раз – в семнадцать. Второй в восемнадцать. А третий -… После того, как девушка рассказала ему про третий раз, парень разозлился, назвал ее проституткой и ушел вне себя от гнева. Вопрос: Что ему сказала девушка насчет третьего раза? Когда он был?
Статью подготовила доцент кафедры социально-гуманитарных дисциплин Волгушева Алла Александровна. 
