You are on page 1of 17

MODELE DE

EVALUARE A RISCURILOR
ÎN MEDIUL ELECTRONIC DE
AFACERI

Valentin P. Măzăreanu
www.managementul-riscurilor.ro
Cuprins
Introducere
Justificare
1. De ce managementul riscurilor?
2. De ce modele de evaluare a riscurilor?
3. De ce mediul electronic de afaceri?
Managementul Riscurilor
1. Consolidarea domeniului
2. Concept. Metodologie
Evaluarea riscurilor – de la teorie la un nou mod de a gândi o afacere
1. Concept. Procese. Metodologie
2. Evaluarea riscurilor prin prisma ciclului de viaţă al sistemului (model)
3. Standarde şi politici ale celor mai bune practici
4. Calitativ vs. Cantitativ
5. Instrumente de analiza riscului
Concluzii şi direcţii viitoare de cercetare
Anexa 1 MODEL DE EVALUAREA RISCURILOR
Modele de evaluare ?

 Scăzut – Mediu – Ridicat


 Mare – Mediu - Mic
 Vital – Critic – Important
 Calitativ  Stabilirea unui prag de referinţă şi evaluarea
comparativă
 etc.

 RE = P x L
 RE = expunere la risc
 Cantitativ  P = probabilitate de apariţie a riscului
 L = pierdere
“Inside Risk Assessment …”

 1. Miza de joc vs. Vulnerabilitate vs. Riscuri


a. producător de automobile  confidenţialitatea planurilor
 politici şi soluţii de control al accesului;

b. sistemul de calcularea pensiilor  integritatea datelor


despre angajaţi  politicile de control al accesului,
 Miza scopul fiind însă păstrarea încrederii în datele colectate
pentru o perioadă de timp îndelungată.

c. sistem de furnizare a biletelor de avion 


disponibilitatea soluţiei  soluţii de asigurare a
continuităţii afacerii;
“Inside Risk Assessment …” (2)
- Absenţa sau slăbiciunea unei măsuri de siguranţă
- Identificarea punctelor slabe ale proiectului
- Erori neintenţionate vs. intenţionate
- Fenomenul “GIGO”
- aroganţa
- Deja ştiu care sunt riscurile!
- De ce să mă mai deranjez cu evaluarea?
 Vulnerabilităţi - ignoranţa
- “One little bug! One big crush”
- frica
- frica de a răspunde pentru o evaluare
efectuată necorespunzător
“Inside Risk Assessment …” (3)
-Eveniment  fericit = şansă, oportunitate
 nefericit = evenimentul viitor posibil a
cărui apariţie va afecta obiectivele
proiectului din punct de vedere al costului,
programului calendaristic sau tehnic

- Pasul următor:
 Riscurile - IDEAL: existenţa unor scenarii aplicabile
relaţiei miza de joc – vulnerabilitate – măsură de
reducere a riscului
- REALITATE:
- nu există scenarii tip;
- nu există statistici disponibile;
- riscurile sunt complexe (ignoranţa,
reavoinţă etc.)
 EVALUARE A RISCURILOR
“Inside Risk Assessment …” (4)

 2. Factori Interni vs. Factori Externi


 Probabilitatea de apariţie a unui eveniment
depinde de aceşti factorii
 IDEAL: cunoaşterea şi controlul unui număr cât
mai mare  Best Practice: Implementarea unui
sistem Business Intelligence încă din momentul
demarării proiectului / afacerii / etc.
 F. Intern: buget, planificare calendaristică, sistem
informatic, sistem informaţional, factor uman etc.
 F. Extern: STEEP, factor natural, factor uman etc.
“Inside Risk Assessment …” (5)

Matricea riscului - factori de risc vs. ciclul de viaţă al sistemului (model)


“Inside Risk Assessment …” (6)

 3. Momentul derulării ?
 Acţiune corectivă vs. Acţiune preventivă
 Evaluarea Riscurilor  Acţiune preventivă (ante)
 Planul de recuperare în caz de dezastru  Acţiune
corectivă (post)

“Nu se câştigă prin prezicerea ploii. Se câştigă construind o arcă”


(Warren Buffet)

Mai are rost ... mai merită ... mai am posibilitatea ...să construiesc
arca după ce a început potopul ?
Devide et Impera!

 Evaluarea Riscului = Identificare + Analiză + Ierarhizare (Boehm Barry)


Metoda “Centrelor de risc”
Human; Technical;
Information; Markets;
Financial.
Diagrama “os de peşte”
2 2
Formula P I
Proces; Persoană; Calitativ vs. Cantitativ
Infrastructură; Implementare.
Standarde / Best Practice (ISO, BS,
TickIT, COSO, SOX, ITIL,
COBIT, Octave, Mehari etc.)

Descompunere pe elemente
Devide et Impera! (2)

 1. Valoarea bunului
 Bun palpabile  facilităţi IT, componente
hardware, medii de stocare, documentaţie etc.
 Bun nepalpabil, greu de administrat  informaţie
 2. Frecvenţa ameninţării
 evenimentul cu impact nedorit
 studiul miza de joc vs. vulnerabilitate
 3. Factor de expunere la ameninţare
 măsura pierderii / impactul asupra valorii unui bun
 exprimat ca procent din pierderea valorii unui bun
Devide et Impera! (3)

 4. Eficienţa măsurii de protecţie


 gradul în care o măsură de siguranţă reuşeşte să
atenueze o vulnerabilitate şi să reducă riscurile
 5. Costul măsurii de protecţie
 Atenţie!!! Analiza cost vs. beneficiu
 6. Incertitudine
 gradul de încredere în valoarea oricărui element
de evaluare a riscului
Devide et Impera! (4)

 7. Momentul demarării procesului vis-a-vis de


faza din ciclul de viaţă al sistemului
 8. Aspecte ce ţin de factorul uman
 profesionalismul echipei de evaluare
 dependenţa de specialişti
 subiectivitatea evaluatorului (efectul de Halo,
ignoranţă, aroganţă, frica etc.)
 factori de ordin psihologic (temperament,
personalitate, caracter, aptitudini etc.)
 Model de Evaluare a Riscurilor - ANEXA
Modelul Barry Boehm adaptat

 “Neaşteptatul se produce întotdeauna!” (Murphy)


Prezumţia de nevinovăţie (C.P.P.)

“Omul = factor “Nici o politică de


“A greşi principal de “Omul (a)sfinţeşte securitate nu
este omeneşte” incertitudine” locul” va combate niciodată
(proverb) (John von Neumann & (Dumitru Oprea) stupiditatea umană”
Oskar Morgenstern) (Paul Williams)

Prezumţia de vinovăţie
Modelul Barry Boehm adaptat (2)

Prezumţia de vinovăţie

Predispoziţie la risc

Managementul Riscurilor (model Barry Boehm)


Model de evaluare a riscurilor
Chestionar de predicţie comportamentală
 Fazele aplicării modelului

1. Stabilirea criteriilor de performanţă


 Rezultate aşteptate de la ocupantul postului
 Comportamente
 Ex. Project Management Institute ; Microsoft ; particularităţi ale proiectului

2. Alegerea unui eşantion de subiecţi;


 Persoane (membrii echipelor de proiect) implicate în alte proiecte (de
preferat a nu ne opri doar la un singur proiect) a căror rezultate au fost
de succes

3. Aplicarea testului predictor acestor subiecţi;


 Testul tiparului temperamental Gaston Berger
 Testul factorilor de personalitate Cattell 16 PF

4. Colectarea datelor de la criteriu (măsura-criteriu);


 Ex. număr de erori pe unitate de timp
Model de evaluare a riscurilor
Chestionar de predicţie comportamentală (2)
5. Calcularea corelaţiei dintre scorurile obţinute la predictor şi la criteriu;
 Ex. calcularea coeficientului de corelaţie între X (scor obţinut la test
de cultură generală) şi Y (scor obţinut la scala de atitudine)

6. Aplicarea testului predictiv persoanelor ce se doresc a fi implicate în


proiectul de faţă şi interpretarea rezultatelor
 Obs. Există posibilitatea de a prezice un scor criteriu pentru un
subiect pe baza scorurilor obţinute la testul predictiv; se pune deci
problema estimării unui rezultat viitor (y) pe baza informaţiei actuale
(x) despre o persoană.
 Ex. predicţia erorilor plecând de la coeficientul de validitate
 Ex. predicţia posibilităţii ca subiectul să fie perceput ca un leader
plecând de la scorul ridicat obţinut la un test ce măsoară dominanţă