风险、风险分析、风险评价、风险评估及风险管理

admin 2022年5月28日22:36:29评论53 views字数 4171阅读13分54秒阅读模式

安全管理管什么?管的当然是风险!以下的概念需要搞清楚!

风险、风险分析、风险评价、风险评估、风险管理傻傻分不清楚,看完这篇文章就会了~

1

风险定义

就像1000个读者就有1000个哈姆莱特。问10个人关于风险的理解,就可能得到10种不同的答案。只要我们随便一翻有关风险评估的教科书、期刊、论文、标准和指南,就会发现风险评估专家对于最基本的风险概念实际上也是各执一词。

根据Timmerman在1986年的描述,风险(risk)一词是在17世纪60年代从意大利语中的riscare一词演化成英语的。它的意大利语本意是在充满危险的礁石之间航行。只有在描述未来某些事件是否发生的时候才使用风险这个词,而过去发生的危险并不称作风险。另外,虽然经济学理论中风险同时涵盖损失和利益,但是在安全领域,这个词汇涉及的都是负面后果。

风险并不存在统一的定义。1996年,著名风险研究专家Stan Kaplan就曾说过:“风险分析这个词曾经是、现在是、未来还会是一个问题。风险分析协会成立之初就企图定义风险这个概念,但整整四年之后还是决定放弃。最好的方法也许就是不对风险下定义。让每一个作者按照自己的方式去定义,只要他们能解释清自己定义的方式”。

风险的各种定义

1、某一危险事件发生的频率或者概率与事件后果的组合。在这个定义中,风险与某一特定的危险事件有关。比如某种气体泄漏或者与塔吊坠物有关的风险。但在多种危险事件并存的情况下并不适用

2、人类活动或者事件造成的后果对现有价值造成伤害的概率。

3、造成资产(包括人员本身)处于危险的情况或者事件,而结果是不确定的。

4、与资产相关行为的不确定性以及后果(结果)的严重程度。

5、在特定的时间段内,或者由于某种困难情况导致某一负面事件发生的概率。

6、风险是指未来事件和结果的不确定性。它描述了该事件对于完成组织目标产生影响的可能性。

等等

Kaplan及Garrick1991年将风险定义为:关于下列三个问题的综合答案:(1)什么会发生问题?(2)发生问题的可能性有多大?(3)后果是什么?

要回答上面三个问题,必须进行分解:

问题1:会发生什么问题?

为了回答这个问题,就必须识别出可能会对我们希望保护的资产造成伤害的潜在“危险事件”。保护的资产可能是人、动物、环境、建筑、技术装备、基础设施、文化遗产等 ,也可能是我们的声誉、信息、数据等。

问题2:产生问题的可能性有多大?

这个问题的答案可能是定性的描述,也可能是概率或频率。需要逐个考虑问题1中的危险事件的可能性,这就要进行因果分析,识别出可能导致危险事件的根本原因(也就是危险源)。

问题3:后果是什么?

对于每一个危险事件,必须识别出潜在的伤害及对问题1所提的资产的负面影响。绝大多数系统都会设置安全栈以防止或缓解伤害。资产是否受损取决于这些安全栈在危险事件发生时是否起到应有的作用。

2

风险概念模型

在回答了第1个问题之后,就能识别出所有危险事件,而回答问题2跟问题3则需进一步分析。下图是一种可以很好理解风险的概念模型。图中不同的危险源可能导致危险事件的产生,这些危险事件又可能导致不同的后果。在危险源跟危险事件之间可以部署各种安全栈,也可在危险事件与后果之间部署安全栈。该图因形似男士西装的领结形状而被称作领结图。

风险、风险分析、风险评价、风险评估及风险管理

▲领结图

领结图已被证明是培训操作人员识别风险、采取合理行动避免事故的有效工具。领结图通过一系列事件线将危险和后果连接起来,并指出事故的“路径”。图中可以列出系统中已经安装或者计划安装的安全栈,并跟与之相关的事件序列相连。还可以像上图一样分析工程、维护和运营活动对不同危险和防护安全栈的影响。

注意,必须要为每一个危险事件建立单独的领结图。

2

风险分析

风险分析最常见的定义为:系统地使用既有信息,识别出危险,并预测其对于人员、财产和环境的风险。

从某种意义上说,风险分析是一种主动的方法,目的是避免可能发生的事故。事故调查则与之相反,是一种被动的方法,目的是寻找已经发生的事故原因和情况。

风险分析主要按照三个步骤执行,三个步骤分别对应前面那三个问题的答案:

1、危险源辨识。识别潜在的危险事件,以及与系统相关的危险源。同时,也需要识别出可能受损的资产。

2、可能性分析。在这一步中需要进行演绎分析,识别每一危险事件的成因。同时根据危险数据和专家判断预测危险事件的频率。

3、后果分析。这个环节需要进行归纳分析,识别所有由危险事件引起的潜在后果。归纳分析的目的通常是找出所有可能的最终结果,以及它们发生的概率。

风险分析的方法包括定性分析及定量分析,具体采用哪种方法需要取决于分析的目标。

定性风险分析:以完全定性的方法确定概率和后果。

定量风险分析:对概率及后果进行数学估算,有时还需考虑相关的不确定因素。

定量分析适合对那些概率较低、影响较大的事件的风险进行量化,也可进行专门的概率评估和大规模分析。

而半定量风险分析一词,有时候指在一定范围内对概率和后果进行近似量化的风险分析。

风险分析的类型可以按照不同的方法进行划分。下表列出了其中一种划分方法。它以3x3的矩阵展现了3种类别的危险和3种类别的资产。

▼风险分析的不同类型

风险、风险分析、风险评价、风险评估及风险管理

3

风险评价

风险评价是在风险分析的基础上,考虑社会、经济、环境等方面的因素,对风险的容忍度作出判断的过程。

|风险矩阵

风险矩阵译自Risk Matrix, 是一种有效的风险评级工具。可应用于分析项目的潜在风险,也可以分析采取某种方法的潜在风险。它是一种标准化的被用于对照参考的矩阵。

风险矩阵的基本思想是将风险(Risk)分解为严重程度(Severity)和可能性(Likelihood)两个可度量的量。其中严重程度(S)与经济损失、人员伤害、环境污染、法律法规触犯、声誉损失等因素相关。由于不同的主体对风险的承受能力不同,不同类型的后果或事件的特征也有很大不同,例如同样100万元等级的经济损失,小型私企可能将其严重性归于不可接受,而大型国企可能将其归于可以容忍,所以不同的主体应该定义自己的风险矩阵。其中严重程度的分级,可能性的分级,及风险的分级标准都可以使用自己的标准。

关于风险矩阵尺寸、行列标签这些参数的标准并无定论。大多数风险矩阵中可能性及严重性都分为3-6级。下图是一个典型的5x5的风险矩阵,其中严重性和可能性都被分为5级。

风险、风险分析、风险评价、风险评估及风险管理

风险由严重性和可能性共同决定,例如:发生概率是百年一遇,每次发生损失100万元的事件,与每年发生一次,每次损失1万元的事件,其风险可能相近。而一般情况下,危害事件的严重程度是固定不可控制的,例如火灾风险,无论有什么防护措施,一旦防护失效火灾发生,则最终的损失和危害基本是固定的。而危害事件的可能性是可以控制的,例如增加保护措施、增加人员维护等,一般可以降低危害发生的可能性,从而降低最终的风险。

| 风险接受准则

风险评价的工作,有时候会根据某些风险接受准则对风险分析的结果进行比较。

风险接受准则是用来表示某一风险水平对于所研究系统或者活动是否可以容忍的准则。研究人员已经开发出很多不同的方法来确定与某个系统或者行为相关的风险是否可以接受。最常用的当属ALARP原则

ALARP是英语“在合理可行的范围内尽量低(as low as reasonably practicable)”的缩写。

在使用ALARP原则时,风险被划分为三个等级:

1、不可接受区域,这里除特殊情况之外,风险都是无法容忍的,必须采取降低风险的措施。

2、中间区域,也就是ALARP区域,在这里最好采取进一步降低风险的措施,但是如果成本和收益比例失衡的话,可以不采取行动。

3、广泛可接受区域,在这里不需要采取进一步降低风险的措施,当风险处于这个水平的时候,进一步降低风险从经济上考虑是不划算的,与其在这里花费大量资金,不如考虑降低别处的风险。

风险、风险分析、风险评价、风险评估及风险管理

ALARP原则

4

风险评估

如果把风险分析和风险评价连接起来,这个整体就叫做风险评估。

风险、风险分析、风险评价、风险评估及风险管理

▲风险评估过程

英国健康与安全执行委员会曾发布过一份风险评估的简要介绍《风险评估的五个步骤》,这五个步骤分别是:

  • 1、识别危险

  • 2、确定谁会受到伤害以及如何受到伤害

  • 3、风险评价并确定预防措施

  • 4、记录结果并实施

  • 5、检查评估情况,并在必要时进行更新。

注意一些书籍及指南没有区分风险分析和风险评估,有些不包含风险评价的工作也试图使用风险评估这个词。还有些将风险评估定义为风险评价的补充,如美国联邦航空管理局将风险评估定义为“使用风险评价的结果进行决策的过程”。

5

风险管理

在识别风险然后采取降低风险的措施之后,调查风险如何随时间变化,就是在进行风险管理

风险管理的目标

风险管理的目标是识别、分析、评价系统当中或者与某项行为相关的潜在危险的持续管理过程,寻找并引入风险控制手段,消除或者至少减轻这些危险对人员、环境或者其他资产的损害。

风险、风险分析、风险评价、风险评估及风险管理

▲风险管理要素

连续风险管理

风险管理是一个连续的管理过程,通常包含下图的六大要素。

风险、风险分析、风险评价、风险评估及风险管理

▲连续性风险管理流程

|识别

在管理风险之前,必须识别出危险和潜在的危险事件。所谓识别过程就是在问题出现之前发现它们,并从是什么、何时、何地、如何发生、为什么发生等多方面进行描述。

|分析

在这里,分析意味着将数据转化为与风险相关的决策支持信息。这些数据可能是危险事件的概率,或者事件发生造成的后果的严重程度。这些分析是企业为关键风险元素进行排序的基础。

|计划

在此步骤中,风险信息被转化为决策和行动。计划包括确定处理每一个危险的方案,为风险降低工作排序,以及制定完整的风险管理计划。风险行动计划的关键是要考虑现在的决策对未来的影响。

|跟踪

跟踪包括监控风险级别和降低风险的行动。需要找出合适的风险降低方法并进行监控,保证可以对风险状态进行评价。

|控制

在这一步当中,需要执行先前提出来的风险降低措施,并进行控制。该步骤可以集成到日常的管理活动过程中,根据管理流程控制风险行动计划,修正计划与实践之间的偏差,对做出反馈并改进风险管理过程。

|沟通与建档

上述几项工作都需要建档,并在各个部门之间沟通和交流。将沟通放在上图中心的位置就是为了凸显其重要性及无处不在性。如果没有有效的沟通,任何风险管理方法都是没用的。必须建立档案管理系统,并对风险决策进行沟通。








风险、风险分析、风险评价、风险评估及风险管理风险、风险分析、风险评价、风险评估及风险管理

↑↑↑长按图片识别二维码关註↑↑↑




原文始发于微信公众号(全栈网络空间安全):风险、风险分析、风险评价、风险评估及风险管理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月28日22:36:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   风险、风险分析、风险评价、风险评估及风险管理https://cn-sec.com/archives/1061735.html

发表评论

匿名网友 填写信息