В методиках, рассчитанных на более высокие требования, чем базовые, используется модель оценки риска с тремя факторами: угроза, уязвимость и цена потери. Угроза совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации. Уязвимость слабость в системе защиты, которая делает возможным реализацию угрозы. Цена потери — это качественная или количественная оценка серьезности происшествия. Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей: Р (происшествия) = Р (угрозы) х Р (уязвимости). Соответственно, риск определяется следующим образом: * R = Р (угрозы) х Р (уязвимости) х С (цена потери). Как качественный, так и количественный подходы к оценке возможен для всех видов банковских рисков, даже для таких неоднозначных понятий как риск репутации и стратегический риск. В этих случаях оценки допускают широкие доверительные интервалы, поскольку выработка заключений осуществляется с применением статистических методов и понятий «затраты прибыль/убыток». В то же время, ясно, что уровни рисков, поддающихся количественному оцениванию, всегда могут быть интерпретированы в форму качественных оценок с позиций их значимости для конкретного банка. Для оценки возможных последствий проявления нефинансовых рисков и использования этих оценок в процессах принятия стратегических решений применяется следующий порядок: 1) формирование профессиональных суждений ответственными лицами, 81 |
67 В методиках, рассчитанных на более высокие требования, чем базовые, используется модель оценки риска с тремя факторами: угроза, уязвимость и цена потери. Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации. Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы. Цена потери — это качественная или количественная оценка серьезности происшествия. Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей: Р (происшествия) = Р (угрозы) х Р (уязвимости). Соответственно, риск определяется следующим образом: R = P (угрозы) х Р (уязвимости) х С (цена потери). Как качественный, так и количественный подходы к оценке возможен для всех видов банковских рисков, даже для таких неоднозначных понятий как риск репутации и стратегический риск. В этих случаях оценки допускают широкие доверительные интервалы, поскольку выработка заключений осуществляется с применением статистических методов и понятий «затраты — прибыль/убыток». В то же время, ясно, что уровни рисков, поддающихся количественному оцениванию, всегда могут быть интерпретированы в форму качественных оценок с позиций их значимости для конкретного банка. Для оценки возможных последствий проявления нефинансовых рисков и использования этих оценок в процессах принятия стратегических решений применяется следующий порядок: 1) формирование профессиональных суждений ответственными лицами; |