Treceți la conținutul principal

ANALIZA CANTITATIVĂ A RISCURILOR-QRA

QRA oferă estimări numerice pentru a le permite beneficiarilor să înțeleagă expunerea la risc a personalului propriu, a proceselor , mediului sau altor zone de interes. Studiile QRA se referă în principal la scăpări (scurgeri) accidentale de materiale sau substanțe toxice, consecințele acestora(incendii, explozii, toxicitate) precum și frecvența estimată de apariție. Pentru ca QRA să aibă un termen de referință trebuiesc identificate date referioare la morbiditate off-site, cum ar fi riscul individual de deces, probabilitatea producerii unor leziuni serioase, trenduri și indici de risc, etc.
Acest tip de analiză identifică și tipul specific de ”înveliș” în care pierderile și măsurile de prevenire a pierderilor coexistă.Ea este bazată în mod substanțial pe metrici obiective și necesită un efort suplimentar pentru calculul valorii pierderilor posibile
Lipsa unei analize bine documentate costuri-beneficii a contribuit la următoarele aspecte:
-pentru consultanții în probleme de securitate și sănătate: este greu să justifici o nouă afacere unui client în perspectivă dacă nu ai o analiză de risc făcută pentru a arăta rezultatele urmărite să fie obținute;
-pentru o companie: este greu să faci îmbunătățiri în securitatea și sănătatea în muncă deoarece nici un fel de noi îmbunătățiri nu pot fi justificate fără o analiză financiară corespunzătoare; managementul are totdeauna o preocupare deosebită pentru costuri
Analiza cantitativă oferă următoarele avantaje distincte:
-mai multă obiectivitate în evaluare;
-mai multă influență asupra managementului;
-oferă o proiecție directă a raportului costuri/beneficii a propunerii;
-poate fi ajustată astfel încât să îndeplinească cerințele unor situații foarte diferite;
-poate fi modificată să îndeplinească necesitățile unor industrii diferite;
-poate provoca mai puține opinii contrarii în ședințele managementului (pentru că se bazează pe cifre concrete provenite din fapte)
-analiza derivă din fapte incontestabile
Analiza cantitativă a riscurilor are o importanță diferită pentru persoane cu roluri diferite din organizație și din afara sa:
-pentru consultantul de securitate:
            -își formează noi aptitudini manageriale referitoare la proiectele de securitate    propuse;
            -poate atrage noi clienți pe baza datelor concrete rezultate dintr-o bună   analiză cantitativă;
            -poate obține un  rezultat mai bun raportat la fondurile investite (ROI-Return of             Investment)
            -își lărgește serviciile de consultanță prin adăugarea de strategii și planuri de    acțiune efective din punct de vedere a costurilor și ROI-ului;
-pentru managementul de vârf al companiei:
            -un mod mai standardizat de finanțare a proiectelor;
            - mai puțină susceptibilitate la chestiuni legate de politica companiei;
            -timp mai redus pentru evaluarea propunerilor din cadrul companiei;

            -permite ca rezultatele finale să fie legate de obiectivele financiare ale    companiei mai rapid;

METODOLOGIE QRA

Metodologia QRA implică:
1.Definirea scopurilor analizei, care:
-specifică exact ce trebuie evaluat;
-enunță ce tip de analiză a riscurilor va fi realizat;
-determină ce rezultate sunt așteptate;
2.Evaluarea valorii posibile a avariilor și pierderilor datorită riscului-atunci când este posibil, sistemul pentru care se realizează QRA trebuie ”spart” în subansamble cât mai mici pentru ca această evaluare să fie cât mai exactă.
Procedura de analiză cantitativă a riscurilor este prezentată în pași în continuare:
-se desfășoară un studiu de vulnerabilitate și o evaluare de risc pentru a determina factorii de risc;
-pe baza celor 5 factori de risc (de vârf) determinați –se determină valorile aflate sub incidența acestor riscuri.
-se determină atitudinea companiei evaluate față de modalitatea de raportare a incidentelor soldate cu pierderi;
-se estimează ARO(Annualized rate of occurence- rata anuală de apariție) pentru fiecare factor de risc;
-se determină contramăsurile necesare pentru eliminarea consecințelor fiecărui factor de risc;
-se estimează ALE (Annualized Loss Expectancy-rata anuală așteptată a pierderilor) pentru fiecare factor de risc.
-se face analiza costuri/beneficii a măsurilor de securitate prin calculul ALE înainte de implementarea acestor măsuri și diferența cu ALE calculat după implementarea măsurilor;
-pe baza analizei de mai sus se determină câștigul din investiție (ROI) luând ca bază IRR (Internal Rate of Return-rata internă a profitului)

Figura 1- Etape QRA

FORMULE IMPLICATE ÎN CALCUL 


În continuare vor fi prezentate variabilele și ecuațiile cheie pentru desfășurarea unei QRA.
a)Factor de expunere- procent de pierdere a valorii provocată de un pericol identificat; poate avea valori între 0 și 100%
b)Expectanță pentru pierdere unică- 

SLE=Valoarea proprietății (care poate fi distrusă de incident/accident) * Factorul de expunere. 

De exemplu 1.000.000 Ron* 20% Factor de expunere


c)Rata anuală de apariție ARO=Frecvența estimată a unui pericol care poate apărea în interval de 1 an. Este re-definită anual. UN risc care se declanșeayă o dată la 10 ani are ARO=0.1; un risc care poate avea loc de 10 ori pe an are ARO=10


d)Rata anuală (așteptată) a pierderilor 

ALE=Expectanța (frecvența) unei singure pierderi * Rata anuală de apariție. 

ALE poate fi uneori extrapolată din alte date.


e)Analiza costuri/beneficii a măsurilor de securitate=ALE(înainte de implementarea măsurilor de securitate)-ALE (după implementarea măsurilor de securitate)-(costul anual al securității)


Asignarea de valori către bunurile (proprietățile) tangibile
Unitatea economică are un număr de bunuri tangibile, incluzând facilități,echipament, hardware și software.
-Managerul economic trebuie întrebat referitor la valoarea de inventar a acestor bunuri;
-Se poate căuta pe Internet valoarea unor echipamente similare.
-Pot fi căutate proiecte anterioare similare care conțin informația originală despre costuri.
În toate aceste cazuri trebuie calculată deprecierea valorii bunurilor.
Atunci când se determină costul total de înlocuire datorită avariei totale trebuiesc incluse următoarele costuri:
-costul instalării;
-costul mentenanței;
-10% contingentări;
-pierderea serviciilor către consumatorii externi;
-pierderea serviciilor de către angajații interni;
Asignarea de valori către proprietățile intangibile
Există la fiecare unitate economică un număr de proprietăți intangibile, cum ar fi:
-date financiare;
-date de cercetare-dezvoltare;
-informații referitoare la vânzări;
-cercetări de marketing;
-specificații inginerești și drafturi de proiecte;
-know-how;
-software proprietar;
Există 2 abordări tipice pentru determinarea valorii proprietăților (bunurilor) intangibile -abordarea bazată pe costuri-încercarea de a măsura valoarea unui astfel de bun pe piață considerând o anumită valoare de depreciere. Această abordare este cunoscută și ca costul de înlocuire. Deprecierea datorită funcționării fizice, obsolenței funcționale și economice trebuiesc luate în considerare.O abordare bazată pe costuri este folosită în mod tipic pentru aprecierea valorii know-how.
-abordarea bazată pe venit- se focalizează pe venitul care poatefi aduse de utilizarea proprietății intelectuale. Valoarea este măsurată prin valoarea prezentă a beneficiului economic net pe durata de viață a proiectului. Atunci când condițiile economice sunt nefavorabile această abordare conduce la o valoare relativ scăzută a bunurilor.
În general este bine să se folosească ambele metode-una din metode ca metodă primară și cealaltă ca metodă

Comentarii

Postări populare de pe acest blog

IDENTIFICAREA ȘI ANALIZA CAUZELOR RĂDĂCINĂ -1

Analiza cauzelor rădăcină este o metodă extrem de folosită de către managementul de performanță  din firmele dezvoltate. Metoda este considerată ca o metodă primară- care trebuie utilizată în primele faze ale analizei specifice procesului managerial. Ne propunem să prezentăm o metodă de analiză a cauzelor rădăcină care să poată fi aplicată atât pentru managementul calității cât și pentru managementul securității – ținând seama de faptul că în cea mai mare parte, cauzele rădăcină ale problemelor de calitate și problemelor de securitate și sănătate sunt comune. Figura 1 prezintă modul  global de analiză pentru cauzele rădăcină Din figură se poate observa că avem 2 procese distincte: ·         -un proces de identificare- care va fi realizat pe baza metodei cunoscute și ca 5 W ( 5 Why); ·         -un proces de analiză; procesul de analiză urmărește: o   stabilirea cauzelor specifice managementului calității și managementului de SSM; o   ierarhizarea cauzelor identificate;

Figura 1  Structurare…

DEVELOPING SAFETY ASSESSMENT SYSTEMS USING EXPERT SYSTEM SHELLS-1

Acknowledgements: The author wants to thank XpertRule Software LTD and mr. Tim Sell for being able to try Decision Author- the main software in which this prototype shall be built.
GENERAL ASPECTS Safety domain of research is by excellence a domain based on expertise. Textbooks and theoretical knowledge are good but the safety expert which inspects three times a day a certain part of an enterprise is the ultimate safety dealer here. A lot of expertise is transformed into lessons learned- that are used for training and improvement of existing safety attitudes. On the other part, this expertise could be also valued in order to build optimal and effective safety assessment systems. An expert system is software that emulates the decision-making ability of a human expert. In our case- the expert part should interrogate the specific employees regarding safety aspects of an enterprise. The next figure illustrates how a safety expert, with the necessary knowledge into the problem could impr…

VULNERABILITY METRICS AND KPI

KPI definitionA key performance indicator(KPI) is a measure of performance, commonly used to help an organization defineand evaluate how successful it is, typically in terms of making progress towards its long-term organizational goals.
–KPIs provide business-level context to security-generated data –KPIs answer the “so what?” question –Each additional KPI indicates a step forward in program maturity –None of these KPIs draw strictly from security data
COBITControl Objectives for Information and Related Technology (COBIT) is a framework created by ISACA for information technology (IT) management and IT governance. It is a supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. COBIT was first released in 1996; the current version, COBIT 5, was published in 2012. Its mission is “to research, develop, publish and promote an authoritative, up-to-date, international set of generally accepted information technology control obj…