Embed Size (px)
Citation preview
Методы и инструментарии прогнозирования рисков и
обоснование эффективных управленческих решений
Костогрызов А.И. (495) 795-85-24, (499) 764-26-58(495) 795-85-24, (499) 764-26-58
www.mathmodels.netwww.mathmodels.net
17 июня 2014г.
ОбщееОбщееСегодня действуют Федеральные законы, правила
безопасности, системообразующие стандарты – это ISO 9001 (требования к системе менеджмента качества),
ISO/IEC 15288 (первый стандарт по системной инженерии, регламентирует процессы жизненного цикла систем),
стандарты ISO серий 14000 (менеджмент экологической безопасности),
18000 (менеджмент охраны труда), 20000 (сервис-менеджмент),
27000 (менеджмент информационной безопасности), 31000 (менеджмент риска) и др.
Всех их роднит требование системного управления рисками!
Риск - мера опасности с ее последствиями (по ФЗ «О техническом регулировании», ГОСТ Р ИСО/МЭК 15026-02, ГОСТ Р ИСО/МЭК 16085-07, ГОСТ РВ 51987-02) Риск – эффект неопределенности в целях (задачах) (по ISO 31000 - 2009)
Эффект – отклонение от ожидаемого – негативного или позитивного
ВЫВОДЫ по результатам анализа
1. Для приложений, в которых уже были многочисленные факты трагедий с гибелью людей - в сфере промышленной, пожарной, радиационной, ядерной, авиационной безопасности - требования к допустимым рискам выражены количественно на вероятностном уровне и на уровне необходимых требований к исходным материалам, используемым ресурсам, технологиям, начальным состояниям, условиям эксплуатации
2. Для иных приложений - в сфере химической, биологической, транспортной, экологической безопасности, безопасности зданий и сооружений, информационной безопасности, в т.ч. в условиях террористических угроз – требования к допустимым рискам задаются преимущественно на качественном уровне в форме требований к выполнению конкретных условий.
Это означает невозможность корректного решения обратных задач управления безопасностью исходя из задаваемого уровня допустимого риска
3. Во всех случаях эффективноеуправление рисками для любогорода систем при штатныхначальных состояниях возможнои целесообразно на основе: а) использования исходныхресурсов и защитных технологийс более лучшимихарактеристиками сточки зрения безопасности, в т.ч.для восстановления целостности; б) рационального примененияадекватной системыситуационного анализапотенциально опасныхсобытий, эффективныхспособов контроля имониторинга состояний иоперативного восстановленияцелостности; в) рационального применениямер противодействия рискам
4. Существующие модели для анализа рисков в приложении к rприродным и техногенным ситуациямнеидентичны (поэтому понятие допустимых рисков логически не сравнимо), они не позволяютрешать обратные задачи обоснования требований к системам сбора и анализа информации,параметрам контроля и мониторинга и мер противодействия при ограничениях на выделяемые средства и допустимые риски. А это не позволяет утверждать об эффективности упреждающего решения проблем безопасности!
ВЫВОДЫ по результатам анализа (продолжение)
В какой ситуации предприятия?Природные и техногенны
еугрозынеизбежны
Требования безопасности
объективны
Остаточные риски неминуемы,
несмотря на контроль
Но при реализации рисков ответственность Но при реализации рисков ответственность
– лишь на предприятиях!– лишь на предприятиях!
Используемые методы специфичны, результаты несравнимы. В общем случае для различного рода
угроз задачи количественного обоснования требований к средствам и системным процессам
при ограничениях на ресурсы и допустимые риски – не решаются!
Методы анализа рисков не направлены на эффективное упреждение! (за некоторыми исключениями)
В итоге разрешение проблем обоснования сводится к получению «галочки»В итоге разрешение проблем обоснования сводится к получению «галочки»
ISO 9001
ISO/IEC 15288
В основе предлагаемых В основе предлагаемых инноваций – инноваций –
десяткидесяткисозданныхсозданных
вероятностных вероятностных моделеймоделей
для прогнозированиядля прогнозированиярисковрисков
«Процессный подход»
Имеет место логическая общность в процессах реализации различного рода угроз, мер контроля, мониторинга и восстановления целостности
для сложной системы
для совокупности объектов
Общие исходные данныеОбщие исходные данные по составным элементампо составным элементам::
- - частота возникновения угрозчастота возникновения угроз
- - среднее время развития кризисной среднее время развития кризисной ситуации с момента возникновения угрозыситуации с момента возникновения угрозы - - период между моментами контроляпериод между моментами контроля - - средняя длительность контролясредняя длительность контроля
- - средняя наработка на ошибку средств средняя наработка на ошибку средств мониторинга (если таковой имеет место)мониторинга (если таковой имеет место)
- - среднее время восстановления среднее время восстановления нарушенной целостностинарушенной целостности
Единые расчетные показателиЕдиные расчетные показатели: : - риск нарушения безопасности - риск нарушения безопасности функционирования элемента в течение функционирования элемента в течение периода прогноза периода прогноза
- риск нарушения комплексной - риск нарушения комплексной безопасности в течение периода прогноза безопасности в течение периода прогноза
Применение для построения системы противоаварийной устойчивостиПрименение для построения системы противоаварийной устойчивости
Анализ угроз в обеспечение информационной безопасности
ГОСТ Р ИСО/МЭК 15288 «Системная инженерия. Процессы жизненного цикла систем»
Анализ процессов в терминах
прогнозируемых рисков
поддержан вероятностными
моделями
Процессы управления информацией
Цель - в своевременном предоставлении заинтересованным сторонам необходимой
полной, достоверной и, если требуется, конфиденциальной информации в течение и,
иногда, по завершении жизненного цикла системы
Процессы планирования проекта
Цель - в составлении эффективного и выполнимого плана
В результате: - определяются рамки управления проектом и технических мероприятий; - определяются результаты процесса, проектные задачи и отчетность; - устанавливаются графики контроля выполнения задач проекта, включая критерии достижимости, показатели эффективности проекта и ресурсы, необходимые для выполнения задач
Процессы оценки проекта
Цель - в определении статуса проекта. В ходе процесса периодически производится оценка развития проекта и достижений относительно
требований, планов и конечных целей
В результате : - становятся доступными результаты оценок эффективности выполнения проекта ; - оценивается адекватность ролей, обязанностей и полномочий; - оценивается достаточность ресурсов и служб, необходимых для реализации проекта; - анализируются отклонения показателей эффективности выполнения проекта
Процессы управления рисками
Цель – предотвратить реализацию угроз в условиях неопределенности или снизить
негативные последствия
В результате: - производится установление, оценка, реакция на риски и мониторинг рисков, возникающих в течение полного жизненного цикла; - вырабатываются ответные меры на возникновение риска путем реализации соответствующих мер противодействия или принятия и удержания риска в допустимых пределах
Процессы определения требований
Цель - в определении требований к системе, выполнение которых может обеспечить
функциональные возможности в заданной эксплуатационной среде
с учетом потенциальных угроз
В результате: - задаются требуемые характеристики и условия; - определяются ограничения для системных решений; - устанавливается взаимное соответствие между требованиями заказчика и потребностями заинтересованных лиц; - описывается основа для определения требований; - определяется основа для валидации системы
Оценка функционированияЦель - в использовании системы с целью
выполнения своих функций. Для поддержания функциональных возможностей определяются
и анализируются проблемы функционирования, связанные с
соглашениями, требованиями заказчика и организационными ограничениями
В результате: - определяется стратегия функционирования; - обеспечиваются функциональные возможности, соответствующие требованиям заказчика; - выполняются утвержденные корректирующие мероприятия; - достигается удовлетворенность потребителя
R(Тзад.) =
ПОЯСНЕНИЕ СУТИ МОДЕЛИРУЕМЫХ ПРОЦЕССОВ РЕАЛИЗАЦИИ УГРОЗ И ПРОТИВОДЕЙСТВИЯ УГРОЗАМ
1. Проявление угроз без каких-либо мер контроля
Пример события «отсутствие нарушения целостности» в течение периода прогноза Тзад.
τвозникновения τразвития угрозы
х х
Тзад.
Риск нарушения целостности R (Тзад.)= Ωвозд.*Ωакт. (Тзад.)
х
R = P (τвозни. + τразвития угрозы ≤
ФР
(т.е. первая же угроза, если реализуется до истечения периода прогноза Тзад., приведет к нарушению)
ФР
Пример события «нарушение целостности» в течение периода прогноза Тзад.
Вероятность отсутствия нарушения Р (Тзад.) = 1– R (Тзад.)
Тзад.
Тзад.)2. Используется периодический контроль
ФР ФР
(т.е. угроза приводит к нарушению, если реализуется в период прогноза до очередного контроля)
х
Тзад.
ФР ФР
х
Тзад.
ФР ФР
х
3. Внутри между моментами контроля используется мониторинг с оперативным восстановлением
не влияет, т.к. событие за периодом прогноза!
периодическийконтроль
(без мониторинга)
мониторингмежду контролями
х
Наработка τ на ошибку с ФР А(Т)=Р(τ ≤Т)
τ
Тзад.
не влияет, т.к. за счет мониторинга угроза оперативно
выявляется и устраняется
хх
не влияет
(т.е. угроза приводит к нарушению, если реализуется в период прогноза после отказа средств мониторинга)
τ
Возможности мониторинга исчерпаны после 1-й же ошибки
Только в этой зоне угрозы приведут к нарушению
Ввод исходных данных Построение сложных архитектурПоследовательное
объединение -«И» 1-я «И» 2-я
подсистемы
Параллельноеобъединение - «ИЛИ»
Пример логического объединения различных угроз
Численный алгоритмический расчетрисков в точках прогноза
от 0 до ∞
АНАЛИЗ РИСКОВ
Расчет рисков, оценка ущербаРасчет рисков, оценка ущерба
Обоснование приемлемых (допустимых) рисковОбоснование приемлемых (допустимых) рисков
КОНТРОЛЬ РИСКОВ
Анализ возникающих угрозАнализ возникающих угроз
Контроль и изучение опасных случаев, приведших или способствовавших их
возникновению недопустимого ущерба
Контроль и изучение опасных случаев, приведших или способствовавших их
возникновению недопустимого ущерба
Установление уровня целостности системыУстановление уровня целостности системы
Установление формализованных требований к целостности системы
Установление формализованных требований к целостности системы
ОПРЕДЕЛЕНИЕ РИСКОВ
Анализ целей, условий и среды функционирования, возможностей системы и потенциального ущерба
Анализ целей, условий и среды функционирования, возможностей системы и потенциального ущерба
Определение угроз и частоты их возникновения Определение угроз и частоты их возникновения
Характеристика рисковХарактеристика рисков
Анализ возможных сценариев функционированияАнализ возможных сценариев функционирования
Не осуществляется накопления и
целенаправленной обработки
информации для системного
обоснования рациональных мер контроля, монито-ринга и восстано-
вления нарушаемой целостности
элементов
Используемые методы расчета
рисков специфичны, результаты
несравнимы
Для различного рода угроз задачи
количественного обоснования требований к средствам и системным
процессам при ограничениях на
ресурсы и допустимые риски –
не решаются
Недостатки (в общем случае
примененияКонцепции)
Существующая Концепция управления рисками
Создание и совершенствование
математических моделей для
исследований путей решения проблем
Комбинация и автоматическая генерация новых
моделей
Опытные образцы базы знаний и
информационных технологий
Варианты решения типовых
производственных задач в жизненном
цикле систем
Основные задачи замысла для повышения
качества и снижения рисков в решении
типовых производственных задач
Риски
Угрозы, риски
иниции-рующие события
Новые угрозы
Системная инженерия
Описаниесистемы
Размерырисков
Возможности устранения и уменьшения
рисков
Допустимые пределы рисков
Проект систе-мы, эксплуати-
руемая система
Возможности устранения и уменьшения
рисков
Формализованные требования к целостности
системы
Сравнение, совершенствование и развитиеСравнение, совершенствование и развитие
ПримерыПримеры прикладных прикладных
инструментариевинструментариев
Оптимизационные задачи для управления рисками в «процессном» подходе Вариант реализации процесса Q(A,M) характеризуется параметрами: сценарием критичных изменений среды реализации процесса и/или ресурсов и/или достигаемой безопасности на
заданном множестве потенциальных угроз (А - множество параметров сценария); осуществляемыми мерами упреждения и реакции с учетом их стоимости для обеспечения целостности процесса
(М - множество параметров, характеризующих эти меры)
Управляемые параметры процесса Q(A,M) признаются наиболее рациональными для заданного периода эксплуатации Tзад., если на них достигается
минимум затрат на создание системы Zсозд. при ограничениях на приемлемый уровень риска Rдоп и допустимый уровень затрат при эксплуатации Сдоп.:
Zсозд. (Qрац.) = min Zсозд. (Q) управляемые
параметры A,M
при ограничениях R ≤ Rдоп. и Сэкспл. ≤ Сдоп. и, возможно, ограничениях на допустимые значения других показателей, отнесенных к критичным
Концепция,
разработка ТЗ
Разработка
(эскизно- техническое проектирование, рабочая
документация)
Производство
Эксплуатация
Сопровождение
Формирование технического
облика. Обоснование системных количественных
требований к качеству и безопасности
Оценка потенциальных
угроз качеству и безопасности функционирования системы. Рациональная настройка параметров функционирования. Сертификация. Обоснование направлений
совершенствования и развития системы
Анализ выполнимости
требований, оценка потенциальных угроз, технических решений и возможных рисков.
Испытания и оценка качества и безопасности функционирования системы
Управляемые параметры процесса Q(A,M) признаются наиболее рациональными для заданного
периода эксплуатации Tзад., если на них достигается минимум риска нарушения безопасности
функционирования системы R
R (Q рац.) = min R (Q) управляемые
параметры A,M
при ограничениях Сэкспл. ≤ Сдоп. и, возможно, ограничениях на допустимые значения других
показателей, отнесенных к критичным
Контроль и оптимизацияКонтроль и оптимизация
Направления функционального
приложения системы
Характеристика эффективности системыЗадача №1 - предотвращение
реализации дестабилизирующих воздействий
Задача №2 - защита от получения недопустимых ущербов в условиях
реализации дестабилизирующих воздействий
Предупреждение негативного воздействия дестабилизирующих факторов
Степень защищенности от возникновения негативного воздействия
-
Предотвращение появления аварийных ситуаций
Степень защищенности от возникновения аварийных ситуаций
Степень защищенности от получения недопустимых ущербов в условиях реализации дестабилизирующих воздействий
Локализация развития аварийных ситуаций в начальный период их возникновения
-
Способность локализовать развитие аварийных ситуаций за период времени, за который возможный ущерб от развития аварийной ситуации не превысит допустимые пределы
Ликвидация последствия аварий и катастроф в короткие сроки
-
Способность ликвидировать последствия аварий и катастроф за период времени, за который экономические потери не превысят допустимых пределов
Восстановления нарушенного производства в короткие сроки
-
Способность восстановления нарушенного производства за период времени, за который возможные экономические потери не превысят допустимых пределов
Пример – для решения задач в обеспечение эффективности системы противоаварийной устойчивости предприятий
Более 100 математических моделей, десятки программных инструментариев для прогноза
20052005
Более 70 практических примеров управления качеством и рисками для информационных, промышленных, транспортных, нефтегазовых систем, анализ «человеческого фактора» и др.
20082008
Прикладные исследования и разработки для нефтегазовой отрасли
20102010
Глава 7 - 70 страниц в монографии изд-ва InTech«Прикладные методы для анализа и оптимизации системных процессов»
20122012
2013г. – раздел «ЭФФЕКТИВНОЕ УПРАВЛЕНИЕ РИСКАМИ НА ОСНОВЕ
ПРОГНОЗНОГО МОДЕЛИРОВАНИЯ СИСТЕМНЫХ ПРОЦЕССОВ»
(в приложении к критически и стратегически важным объектам)
20132013
2014г. – более 30 примеров по оценке и обеспечению противоаварийной
устойчивости предприятий на основе прогнозирования рисков
СОДЕРЖАНИЕВВЕДЕНИЕ1 АНАЛИЗ ПРОБЛЕМ ДЛЯ ОБЕСПЕЧЕНИЯ ПРОТИВОАВАРИЙНОЙ УСТОЙЧИВОСТИ ПРЕДПРИЯТИЙ (ПАУП)1.1 Анализ фактов 1.2 Актуальные проблемы управления рисками2 ПОСТРОЕНИЕ СИСТЕМЫ ПРОТИВОАВАРИЙНОЙ УСТОЙЧИВОСТИ ПРЕДПРИЯТИЙ2.1 Цели и принципы построения 2.2 Определение дестабилизирующих факторов, мер нейтрализации угроз, критичных объектов и процессов 2.3 Жизненный цикл системы 2.4 Функции основных участников 2.5 Требования к выполнению работ2.6 Планирование, оценка и контроль проекта. 2.7 Принятие решений2.8 Управление рисками при построении системы 2.9 Управление информацией2.10 Учет человеческого фактора 2.11 Разработка технического задания2.12 Выполнение работ 2.13 Оформление документации 2.14 Управление конфигурацией3 ОЦЕНКА ЭФФЕКТИВНОСТИ СИСТЕМЫ ПАУП3.1 Цели, задачи и принципы оценки эффективности 3.2 Программа обеспечения эффективности3.3 Проведение работ по оценке эффективности 3.4 Методический подход к анализу рисков3.5 Обоснование превентивных мер для снижения рисков или их удержания на допустимом уровне4 ОБЕСПЕЧЕНИЕ ЭФФЕКТИВНОСТИ СИСТЕМЫ ПАУП 4.1 Принципы обеспечения эффективности 4.2 Состав работ по обеспечению эффективности4.3 Обоснование требований для обеспечения эффективности 4.4 Управление рисками при эксплуатации 4.5 Включение в План локализации и ликвидации аварийных ситуаций положений по обеспечению эффективности 4.6 Контроль эффективности системы 4.7 Валидация (аттестация) 4.8 Сопровождение (техническое обслуживание) 4.9 Сертификация 4.10 Снятие с эксплуатации 5 ПРИМЕРЫ 5.1 Укрупненный статистический анализ5.2 Оценка «человеческого фактора»5.3 Прогноз надежности функционирования элементов системы энергоснабжения5.4 Эффективность мер противопожарной защиты5.5 Анализ информационных процессов5.6 Решение некоторых задач противоаварийной устойчивости для обогатительной фабрики5.7 Управление рисками в упреждающем режиме 5.8 Выработка рекомендаций по обеспечению защищенности объектов в условиях террористических угроз5.9 Пример перечня работ для построения и эксплуатации системы противоаварийной устойчивости предприятия6 ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ…6.1 К чему стремиться? 6.2 Какую стратегию выбрать? 6.3 С чего начать и по каким показателям оценивать? 6.4 Какие методы использовать для прогнозирования рисков? 6.5 Как интерпретировать и эффективно использовать результаты прогноза? 6.6 Как ранжировать предприятия Компании по уровню противоаварийной устойчивости? 6.7 Как повлияет система противоаварийной устойчивости предприятий на эффективность Компании ? ПРИЛОЖЕНИЯ: А. Термины и определения Б. Нормативные документы, рекомендуемые к использовании при создании и эксплуатации системы ПАУП В. Пример плана работ по построению и эксплуатации системы противоаварийной устойчивости предприятий Компании Г. Пример типовых математических моделей для оценки информационных процессов
20142014
О признании публикации о прогнозировании и управлении
рисками в «Американском журнале по исследованию
операций» (2013г. )одной из лучших по секции
«Физика и Математика»
Сертификат Международного издательства по научным исследованиям
30.04.201430.04.2014
► поставка, наладка, адаптация, разработка на заказ и сопровождение программных инструментариев и информационных технологий, выполнение НИОКР
► разработка на заказ баз знаний, методов и программных инструментариев для ситуационных центров, систем поддержки принятия решений ► количественное обоснование технического облика сложных комплексов и системных требований к характеристикам составных компонентов, планируемым технологиям и квалификации работников, разработка проектов технических заданий
► независимая оценка выполнимости системных требований, количественная экспертиза эффективности технических решений по проектированию систем, выявление «узких мест» на всех этапах жизненного цикла ► математическое моделирование процессов в различных сценариях потенциальных угроз, сравнение вариантов защиты по критериям «эффективность - стоимость»
► разработка методик, поддерживающих программных инструментариев, анализ рисков (технологических, информационных, организационно-производственных, связанных с человеческим фактором, политических, финансово-экономических, террористических и др.), оценка качества и безопасности, в т.ч. в процессе испытаний и эксплуатации ► обоснование эксплуатационных условий эффективного использования систем и рациональных значений настраиваемых параметров
► обучение системным основам управления качеством, рисками, конкурентоспособностью
ПРЕДЛАГАЕТСЯ:
