6. ƯỚC TÍNH CÁC RỦI RO ĐƯỢC NHẬN DẠNG
6.1. Ước tính rủi ro để quản lý chuyên biệt
Mục tiêu là nhận được cho mỗi rủi ro được nhận dạng một sự đánh giá mức độ rủi ro ở đó thực thể bị lộ bản chất. Có một sự liên ứng chung trên việc mức độ rủi ro này phụ thuộc vào hai nhân tố: Tác động (mức độ hệ quả của rủi ro) và tiềm năng (xác suất rủi ro). Để đánh giá các nhân tố này, trong bối cảnh mà các biện pháp đảm bảo an toàn đã được tính đến, cần phải tính thêm đến chất lượng của các biện pháp nói trên. Như đã nói, cũng cần phải xác định trước một mô hình rủi ro. Tuy nhiên, dù dùng mô hình của phương thức nào thì một số các phần tử cần thiết cấu thành mô hình đó, đều có thể được loại bớt, như:
• Phân tích hơn thiệt hoặc hệ quả của các rủi ro
• Phân tích xác suất vượt qua được kịch bản rủi ro
• Hiệu quả của các biện pháp đảm bảo an toàn
6.1.1. Đánh giá hơn thiệt hoặc hậu quả của các rủi ro
Định nghĩa và đặc tả rủi ro được hiểu như rủi ro của tài sản liên quan và kiểu thiệt hại nó phải chịu. Câu hỏi đặt ra là làm thế nào để đánh giá sự trầm trọng của thiệt hại này? Phần tiếp theo của tài liệu sẽ giới thiệt các nguyên tắc chung cần phải tuân thủ của các phương pháp đánh giá rủi ro.
a) Đánh giá hậu quả tối đa của thiệt hại tài sản phải chịu
Nguyên tắc đầu tiên cần tuân thủ là tìm kiếm các hậu quả tối đa của thiệt hại tài sản phải chịu. Việc này sẽ được làm theo một cách tiếp cận phân lớp, bao gồm các bước sau:
1. Thiết lập thang đo độ trầm trọng: Thang đo độ trầm trọng là một trong những điều đầu tiên cần làm. Thang này phải diễn tả các mức độ trầm trọng về hậu quả (như là các thực thể không hoạt động được nữa hoặc bị tổn thương, di chứng lâu dài, mất tính cạnh tranh nhất thời, v.v.) như khi đề cập đến các rủi ro tai nạn đối với con người (rủi ro chết người, rủi ro dẫn đến thương tật vĩnh viễn, cần sự trợ giúp chăm sóc suốt đời, v.v).
2. Đánh giá mức độ trầm trọng của các hậu quả của rủi ro để lại bằng cách phân biệt chúng với hậu quả của những phiền phức khác (ví dụ như hậu quả những qui định do các cấp có thẩm quyền đưa ra): Cần tìm kiếm cách đánh giá mức độ trầm trọng của các hậu quả do rủi ro để lại trên thực thể. Đánh giá này được thực hiện ở mức độ các tiến trình của thực thể, các hậu quả của rủi ro cũng được phân tích ở đây. Quan trọng là trong quá trình phân tích không được phóng đại các phiền phức do người lãnh đạo gây ra, nhưng phải định trị chính xác các phiền phức này đối với khách hàng.
nguyên tắc này không được tôn trọng, nhìn chung hậu quả sẽ không thể lường hết được. Những sự kiện cần quan tâm như là hậu quả rủi ro để lại ở mức thấp hoặc mức trung bình thường dung thứ được, thậm chí ngay cả hậu quả rủi ro ở mức cao. Tổng quát hơn, việc quản lý rủi ro thường được lãnh đạo của các cơ quan, doanh nghiệp, tổ chức chú trọng đến, và chính họ sẽ phải đưa ra quyết định dựa trên mức độ trầm trọng của rủi ro.
b) Đánh giá các hậu quả đặc biệt của rủi ro đã phân tích
Việc đánh giá hậu quả của rủi ro được miêu tả ở trên đôi khi được qui về việc phân lớp các tài sản, là mức độ rủi ro cao nhất mà thực thể phải gánh chịu cho một kiểu thiệt hại về tài sản bị liên quan. Tuy nhiên, trong những tình tiết đặc biệt của rủi ro hoặc kiểu nguy cơ, các hậu quả có thể được giảm bớt. Phương thức hỗ trợ quản lý trực tiếp các rủi ro do đó phải đề xuất một giai đoạn hay một phương tiện cho phép chữa hay đánh giá các tác động nhằm tính đến việc giảm nhẹ các hậu quả này.
6.1.2. Đánh giá xác suất thoát hiểm
Ước tính rủi ro chính là đánh giá tiên nghiệm xác suất thoát hiểm. Điều này cho phép phán đoán sơ đẳng xác suất này mà không cần sử dụng bất cứ một phương tiện đảm bảo an toàn nào. Ý tưởng cho một cơ sở thống kê đủ để qui định các xác suất tiên nghiệm này bằng các số liệu không phụ thuộc vào các yếu tố chủ quan hay khách quan. Trong thực tế, việc đánh giá tiên nghiệm xác suất thoát hiểm là có thể thực hiện được vì những lý do sau đây:
1. Các cơ quan thu thập các số liệu liên quan đến các rủi ro kiểu như các tai nạn có thể được bồi thường có thái độ ngập ngừng khi phải tiết lộ các số liệu này, đặc biệt là các tổ chức bảo hiểm.
2. Các số liệu này có những người đưa tin quanh co vì không phải tất cả các tai nạn kiểu này đều được khai báo, đặc biệt là những số liệu làm ảnh hưởng đến hình ảnh của nạn nhân.
3. Nạn nhân không hề hay biết đến những hậu quả của một số tai nạn, đặc biệt là các vụ mất cắp dữ liệu.
Có thể giảm thiểu các hậu quả của các tai nạn kiểu này bằng cách phán đoán trước một cách tương đối chủ quan xác suất thoát hiểm, lưu ý rằng:
1. Sự nhất trí của một nhóm người làm việc sẽ hạn chế tính chủ quan.
2. Các phương thức có mặt trên thị trường đưa ra các số liệu thuộc về một cơ sở thống kê khởi điểm đáng kể.
Phương thức xác định trước các xác suất này phải dự phần vào một mô hình rủi ro riêng của một kiểu quản lý và phải bao gồm các phần tử sau đây:
1. Thiết lập thang xác suất: Thang xác suất là một trong những điều đầu tiên cần làm. Thang này cần biểu đạt các mức xác suất dễ hiểu cho tất cả các thành viên của quá trình phân tích rủi ro. Số lượng các mức xác suất phải không quá nhiều để dễ dàng đạt được sự nhất trí chung của các thành viên về mức xác suất của mỗi nguy cơ.
2. Đánh giá xác suất tiên nghiệm của kịch bản rủi ro: Việc đánh giá xác suất tối đa tiên nghiệm, không tính đến các biện pháp đảm bảo an toàn, thường liên quan đến một hệ thống phân loại các kịch bản rủi ro. Đây chính là trường hợp mà phương thức sử dụng
đưa ra cơ sở tri thức có cấu trúc. Ngầm hiểu là nên nhóm các kịch bản theo các kiểu có xác suất gần bằng nhau, tức là phân biệt các kiểu nguy cơ chung cho nhiều kiểu kịch bản rủi ro. Trong thực tế xác suất tối đa tiên nghiệm nói đến ở đây thường tương ứng với xác suất nguy cơ và độc lập với bối cảnh riêng của thực thể.
3. Đánh giá sự lộ bản chất của thực thể trong kịch bản đã phân tích: Khái niệm lộ (đôi khi còn được gọi là lộ bản chất) là khái niệm cơ bản. Cho dù xác suất xảy ra nguy cơ là cao hay thấp, thì điều quan trọng là phải biết thực thể có lộ bản chất trước kiểu rủi ro này nhiều hơn các kiểu rủi ro khác hay không. Lộ bản chất liên quan đến những yếu tố như:
o Hành động của một thực thể đem lại lợi ích gì cho thực thể đó
o Đặc tính gần như duy nhất của thực thể khi bị đe dọa (bị nguy cơ nhắm trúng).
o Hoàn cảnh xã hội
o Hoàn cảnh kinh tế
Một điều quan trọng khác cần chú ý là việc lộ bản chất này cũng thay đổi theo thời gian. Phương thức quản lý rủi ro cũng phải cho phép đánh giá sự lộ bản chất theo hoàn cảnh riêng của từng thực thể nhằm định nghĩa thật tỉ mỉ tiềm năng nội tại của rủi ro mà không cần dùng dến các biện pháp đảm bảo an toàn.
6.1.3. Đánh giá hiệu quả của các biện pháp đảm bảo an toàn
Trong lĩnh vực này có rất nhiều mô hình rủi ro riêng cho kiểu quản lý này có thể mang lại nhiều sự trợ giúp đáng kể và rất khác biệt. Trong khi đó, rõ ràng là có một số phần tử không thay đổi phải được miêu tả và vạch rõ trong tất cả các mô hình phân tích rủi ro dùng cho việc quản lý trực tiếp các rủi ro. Các phần tử đó là:
• Sự khác biệt của các kiểu hiệu ứng của các biện pháp đảm bảo an toàn
• Việc tính đến một mức chất lượng của các biện pháp này
• Các biện pháp đảm bảo tính hiệu quả của một biện pháp đảm bảo an toàn
• Việc tính đến khái niệm bảo hiểm an toàn: ngoài chất lượng kỹ thuật của một biện pháp đảm bảo an toàn, làm thế nào để đảm bảo rằng biện pháp này sẽ hiệu quả trong thực tế.
• Cách tính đến phối hợp đồng thời nhiều biện pháp đảm bảo an toàn
a) Sự khác biệt giữa các kiểu hiệu ứng của các biện pháp đảm bảo an toàn
Các kiểu hiệu ứng của các biện pháp đảm bảo an toàn rất khác biệt và phải tuyệt đối được phân biệt trong mô hình rủi ro được ưa chuộng. Trong thực tế, việc phân biệt các hiệu ứng sẽ làm giảm xác suất rủi ro và làm giảm bớt các hậu quả. Ngoài ra, có thể phân biệt các sắc thái khác như:
• Hiệu ứng răn đe
• Hiệu ứng ngăn chặn (làm việc gì đó hoặc cản trở việc thực hiện một hành động)
• Hiệu ứng khôi phục
• Hiệu ứng nhất thời của các biện pháp dự phòng
• v.v.
Danh sách trên không xét hết toàn bộ các hiệu ứng của các phương pháp đảm bảo an toàn. Mô hình rủi ro phải đưa ra một bảng liệt kê các hình thái của các hiệu ứng này, bằng cách nhóm chúng lại để miêu tả hoạt động của các biện pháp đảm bảo an toàn và cho phép đánh giá từng rủi ro một.
b) Tính đến mức độ chất lượng của các biện pháp đảm bảo an toàn
Thấy rõ là một hay nhiều hiệu ứng của một biện pháp đảm bảo an toàn phụ thuộc vào chất lượng của biện pháp đó. Tất cả các kỹ thuật đều không tương đương nhau, tất cả các quá trình không hiệu quả như nhau và phải biết phán đoán, cân nhắc về mức độ chất lượng của từng kỹ thuật hay quá trình. Mô hình rủi ro phải bao gồm một phương thức đánh giá. Phương thức này có thể ít nhiều chuyên nghiệp, nhưng tốt nhất là dựa trên một cơ sở tri thức.
c) Đánh giá hiệu quả của một phương pháp đảm bảo an toàn
Chất lượng nội tại của một phương pháp đảm bảo an toàn không chỉ ra là phương pháp này sẽ hiệu quả để giảm bớt rủi ro đến một mức độ đặc biệt nào đó, ngay cả khi hiển nhiên là phương pháp này có thể đóng vai trò tích cực trong việc giảm bớt rủi ro. Ngoài ra, hiệu quả của một biện pháp đảm bảo an toàn có thể phụ thuộc vào kiểu hiệu ứng, vậy nên cùng một biện pháp có thể có nhiều kiểu hiệu ứng khác nhau. Có một quan hệ cần thiết lập bằng mô hình rủi ro, giữa chất lượng của một biện pháp đảm bảo an toàn và hiệu quả của nó cho một hiệu ứng nhất định trên một kiểu kịch bản rủi ro nhất định.
d) Khái niệm bảo hiểm an toàn
Khái niệm này được chứng minh bởi các kỹ thuật đảm bảo an toàn các hệ thống thông tin và các chuẩn chung, nhằm phân biệt các mức hiệu quả của một biện pháp đảm bảo an toàn và đảm bảo rằng chúng ta có thể có được hiệu quả như vậy khi sử dụng biện pháp đó. Chỉ cần đánh giá riêng rẽ sức mạnh của một biện pháp kỹ thuật và bảo đảm việc thực hiện và duy trì chúng. Việc tính đến hay không khái niệm này trong mô hình rủi ro là một tham số cần xem xét.
e) Các hiệu ứng phối hợp của nhiều biện pháp đảm bảo an toàn
Cuối cùng, cách phối hợp các hiệu ứng đồng thời của nhiều biện pháp đảm bảo an toàn phải được vạch rõ bằng một mô hình rủi ro để có thể đánh giá chính xác mức độ rủi ro còn lại.
6.1.4. Ước tính các mức độ rủi ro
Ước tính các mức độ rủi ro phải tổng hợp các ước tính từng phần và tối thiểu phải tìm được lối ra cho các việc sau:
• Đánh giá tiềm năng vượt qua rủi ro (xác suất rủi ro)
• Đánh giá tác động của nó (sự trầm trọng của các hậu quả của rủi ro) Mô hình rủi ro phải miêu tả cách thức thu được các giá trị tổng hợp này.
6.1.5. Ảnh hưởng của cách định nghĩa rủi ro
Tất cả các yếu tố vừa được nhắc đến ở trên phù hợp hoàn toàn với định nghĩa rủi ro bằng các kịch bản. Nếu các rủi ro được định nghĩa như các kiểu rủi ro được xếp loại dựa trên các khái niệm nguy cơ và điểm yếu, thì cần phải tìm kiếm tất cả các kịch bản có thể xảy ra cho mỗi rủi ro được xác định (kịch bản tai nạn như định nghĩa trong chuẩn ISO/IEC 27005). Cũng cần phải ước tính mức độ rủi ro cho mỗi kịch bản. Do đó, cần phát triển các yếu tố nói trên ở mức độ cụ thể hơn. Ngoài ra, một phương thức lập ra bảng tổng hợp cho mỗi rủi ro cũng rất cần thiết.