Macierz ryzyka - Risk matrix
Matryca ryzyka jest macierz , który jest używany podczas oceny ryzyka w celu określenia poziomu ryzyka poprzez rozważenie kategorię prawdopodobieństwa lub prawdopodobieństwa przeciw kategorii dotkliwości skutkami. Jest to prosty mechanizm zwiększający widoczność ryzyka i wspomagający podejmowanie decyzji zarządczych.
Definicje
Ryzyko to brak pewności co do wyniku dokonania konkretnego wyboru. Statystycznie, poziom ryzyka pogorszenia sytuacji można obliczyć jako iloczyn prawdopodobieństwa wystąpienia szkody (np. wypadku) pomnożonego przez dotkliwość tej szkody (tj. średnią kwotę szkody lub bardziej zachowawczo maksymalną wiarygodną kwotę szkoda). W praktyce macierz ryzyka jest użytecznym podejściem, w którym prawdopodobieństwo lub dotkliwość szkody nie mogą być oszacowane z dokładnością i precyzją.
Chociaż standardowe macierze ryzyka istnieją w pewnych kontekstach (np. US DoD , NASA , ISO ), poszczególne projekty i organizacje mogą potrzebować stworzyć własne lub dostosować istniejącą macierz ryzyka. Na przykład dotkliwość szkody można podzielić na:
- Katastrofalne: śmierć lub trwałe całkowite kalectwo, znaczący nieodwracalny wpływ na środowisko, całkowita utrata sprzętu
- Krytyczne: obrażenia na poziomie wypadku skutkujące hospitalizacją, trwałe częściowe kalectwo, znaczący odwracalny wpływ na środowisko, uszkodzenie sprzętu
- Marginalne: obrażenia powodujące utratę dni pracy, odwracalny umiarkowany wpływ na środowisko, poziom drobnych szkód w wyniku wypadków
- Drobne: obrażenia nie powodujące utraconych dni pracy, minimalny wpływ na środowisko, szkody mniejsze niż poziom drobnych wypadków
Prawdopodobieństwo szkodliwego występującego może być zakwalifikowane jako „pewien”, „prawdopodobne”, „możliwe”, „prawdopodobne” i „rzadkie”. Należy jednak wziąć pod uwagę, że bardzo niskie prawdopodobieństwa mogą nie być zbyt wiarygodne.
Wynikowa macierz ryzyka może być:
| Prawdopodobieństwo | Dotkliwość szkód | |||
|---|---|---|---|---|
| Nieistotny | Marginalny | Krytyczny | Katastrofalny | |
| Pewny | Wysoka | Wysoka | Bardzo wysoko | Bardzo wysoko |
| Prawdopodobne | Średni | Wysoka | Wysoka | Bardzo wysoko |
| Możliwy | Niski | Średni | Wysoka | Bardzo wysoko |
| Mało prawdopodobny | Niski | Średni | Średni | Wysoka |
| Rzadki | Niski | Niski | Średni | Średni |
| Wyłączony | Wyłączony | |||
Firma lub organizacja następnie obliczy, jakie poziomy ryzyka mogą podjąć w przypadku różnych wydarzeń. Byłoby to zrobione poprzez porównanie ryzyka wystąpienia zdarzenia z kosztami wdrożenia bezpieczeństwa i korzyściami z tego płynącymi.
Przykładowa macierz
Poniżej znajduje się przykładowa macierz możliwych obrażeń ciała, z konkretnymi wypadkami przypisanymi do odpowiednich komórek w macierzy:
| Nieistotny | Marginalny | Krytyczny | Katastrofalny | |
|---|---|---|---|---|
| Pewny | Kłusący palec u nogi | |||
| Prawdopodobne | Jesień | |||
| Możliwy | Poważny wypadek samochodowy | |||
| Mało prawdopodobny | Awaria samolotu | |||
| Rzadki | Wielkie tsunami |
Rozwój
30 stycznia 1978 roku została wydana nowa wersja Instrukcji Departamentu Obrony USA 6055.1 („Program Departamentu Bezpieczeństwa i Higieny Pracy Departamentu Obrony”). Mówi się, że był to ważny krok w kierunku opracowania macierzy ryzyka.
W sierpniu 1978 r. autor podręczników biznesowych, David E Hussey, zdefiniował „macierz ryzyka” inwestycji z ryzykiem na jednej osi i rentownością na drugiej. Wartości na osi ryzyka zostały określone poprzez określenie najpierw wartości wpływu ryzyka i prawdopodobieństwa ryzyka w sposób identyczny z wypełnieniem wersji 7x7 nowoczesnej macierzy ryzyka.
Wersja 5 x 4 macierzy ryzyka została zdefiniowana przez Departament Obrony Stanów Zjednoczonych 30 marca 1984 r. w „Wymaganiach programu bezpieczeństwa systemu MIL-STD-882B”.
Macierz ryzyka była używana przez zespół ds. przejęcia w Centrum Systemów Elektronicznych Sił Powietrznych Stanów Zjednoczonych w 1995 roku.
Huihui Ni, An Chen i Ning Chen zaproponowali pewne udoskonalenia tego podejścia w 2010 roku.
W 2019 roku trzema najpopularniejszymi formami matrycy były:
- macierz ryzyka 3x3 ( OHSAS 18001 )
- macierz ryzyka 5x5 (MIL-STD-882B)
- macierz ryzyka 4x4 (AS/NZS 4360 2004)
Stosowane są również inne standardy.
Problemy
W swoim artykule „Co jest nie tak z macierzami ryzyka?” Tony Cox twierdzi, że macierze ryzyka mają kilka problematycznych cech matematycznych, które utrudniają ocenę ryzyka. To są:
- Słaba rozdzielczość. Typowe macierze ryzyka mogą poprawnie i jednoznacznie porównywać tylko niewielką część (np. mniej niż 10%) losowo wybranych par hazardów. Mogą przypisać identyczne oceny do ilościowo bardzo różnych rodzajów ryzyka („kompresja zakresu”).
- Błędy. Macierze ryzyka mogą omyłkowo przypisać wyższe oceny jakościowe do ilościowo mniejszych ryzyk. W przypadku zagrożeń o ujemnie skorelowanych częstotliwościach i dotkliwościach mogą być „gorsze niż bezużyteczne”, prowadząc do decyzji gorszych niż losowe.
- Nieoptymalna alokacja zasobów. Efektywna alokacja zasobów na środki zaradcze zmniejszające ryzyko nie może opierać się na kategoriach dostarczonych przez macierze ryzyka.
- Niejednoznaczne wejścia i wyjścia. Kategoryzacji dotkliwości nie można dokonać obiektywnie dla niepewnych konsekwencji. Dane wejściowe do macierzy ryzyka (np. kategoryzacja częstotliwości i dotkliwości) i wynikające z nich dane wyjściowe (tj. oceny ryzyka) wymagają subiektywnej interpretacji, a różni użytkownicy mogą otrzymać przeciwne oceny tego samego ryzyka ilościowego. Te ograniczenia sugerują, że macierze ryzyka powinny być używane z ostrożnością i tylko z dokładnym wyjaśnieniem osadzonych osądów.
Thomas, Bratvold i Bickel pokazują, że macierze ryzyka tworzą arbitralne rankingi ryzyka. Rankingi zależą od konstrukcji samej macierzy ryzyka, na przykład od tego, jak duże są pojemniki i czy stosuje się skalę rosnącą, czy malejącą. Innymi słowy, zmiana skali może zmienić odpowiedź.
Dodatkowym problemem jest nieprecyzyjność zastosowana w kategoriach prawdopodobieństwa. Na przykład; „pewne”, „prawdopodobne”, „możliwe”, „mało prawdopodobne” i „rzadkie” nie są powiązane hierarchicznie. Lepszy wybór można uzyskać, używając tego samego podstawowego terminu, takiego jak „bardzo często”, „bardzo często”, „dość często”, „rzadziej”, „bardzo rzadko”, „niezwykle rzadko” lub podobnej hierarchii podstawowy termin „częstotliwość”.
Innym powszechnym problemem jest przypisanie indeksów rang do osi macierzy i pomnożenie indeksów, aby uzyskać „wynik ryzyka”. Choć wydaje się to intuicyjne, skutkuje nierównomiernym rozkładem.
Bezpieczeństwo cybernetyczne
Douglas W. Hubbard i Richard Seiersen biorą ogólne badania Coxa, Thomasa, Bratvolda i Bickela i prowadzą konkretną dyskusję na temat ryzyka cyberbezpieczeństwa . Wskazują, że skoro 61% specjalistów ds. cyberbezpieczeństwa korzysta z jakiejś formy macierzy ryzyka, może to być poważny problem. Hubbard i Seiersen rozważają te problemy w kontekście innych mierzonych błędów ludzkich i dochodzą do wniosku, że „Błędy ekspertów są po prostu dodatkowo potęgowane przez dodatkowe błędy wprowadzone przez same skale i macierze. Zgadzamy się z rozwiązaniem zaproponowanym przez Thomasa i in. Nie ma potrzeby, aby cyberbezpieczeństwo (lub inne obszary analizy ryzyka, które również wykorzystują macierze ryzyka), aby ponownie wymyślać dobrze ugruntowane metody ilościowe stosowane w wielu równie złożonych problemach”.