Design, gjennomføring og viderebruk av risikoanalyser. Per Myrseth 7. november 2013

Transkript

1 Design, gjennomføring og viderebruk av risikoanalyser Per Myrseth

2 Agenda Intro Design og gjennomføring Viderebruk av risikoanalyser Mulighetsrommet ved bruk av verktøystøtte og semantiske teknologier Oppsummering 2

3 Intro 3

4 Oppgaven fra Ketil: dvs bestillingen hva er egentlig en god strategi eller metodikk for å kombinerer, komponere eller aggregere risikoanalyser? hvordan slår man sammen risker og hvilket granularitetsnivå skal man velge, og i hvilken grad kan dette gjøres automatisk? Min bakgrunn: - Deltaker, verifikatør eller ansvarlig for ca 10 større risikoanalyser siste par årene i kraftbransjen og offentlig sektor. - Ang risikoanalyser: Har stor tro på nytteverdien av god datakvalitet, semantiske teknologier, ad hoc spørringer og gode informasjonsmodeller. 4

5 Risk management framework Policy (objective, purpose) Process (identify, assess, mitigate) Informasjonsmodell Infrastructure, tools Risk culture, skills, competencies Risk reporting and communication Structure (roles, responsibilities) 5

6 Design og gjennomføring 6

7 Aktiviteter Planlegging/ etablering av kontekst Kritikalitetsanalyse Risikoanalyse Identifisering Analyse Tiltaksplan Måldefinisjon Skalaer for sannsynlighet, kritikalitet og konsekvens Detaljert plan Designe Oversikt over IT-systemer / tjenester Bedømming av systemenes kritikalitet Fylle med innhold Liste over identifiserte risikoer Gruppering av risikoer ihht risikokategori og IT-system Bruke Risikoer vurdert mht sannsynlighet og konsekvens mot mål Prioritering av risikoer ihht risikonivå Forslag til tiltak for prioriterte risikoer Bedømming av risikoreduserende effekt Informasjonsmodell 7

8 Del av informasjonsmodell: Eksempel på risiko-vektor Risk vektor Risk x Risk attributt Typiske attributter i vektoren ID Sannsynlighet Navn Konsekvens Beskrivelse Tiltak 1-n Risikomål 1-n Sannsynlighet e. tiltak Prosjekt Konsekvens e. tiltak Prosjektfase Tidspunkt 1-n Ansvarlig/roller Periode 1-n Utstyr/asset Leveransemål Sted Effektmål Relasjon til andre risiki 1-n Kategori Teknisk Economic Commercial Operational Political Hvem/org.nivå får trøbbel med nattesøvn 8

9 Aggregering for ett risikomål med egnet skala => beslutningsstøtte => beslutningsstøtte A B C D E F G H I A B C D E F G H I A B C D E F G H I Avgrensning, metodevalg, tolkning av virkeligheten Datakvalitet Risiko identifikasjon Virkeligheten Virkeligheten Virkeligheten 9

10 Risk er ofte overlappende R2 R3 R4 R5 R1 R6 R7 R8 R9 R11 R10 Virkeligheten 10

11 Viderebruk av risikoanalyser 11

12 Aggregering mellom ulike risikomål og ulike skalaer Risikomål: Omdømme, compliance og finans Risikomål Operasjonell risiko Prosjekt/ FOU IKT drift A B C D E F G H I A B C D E F G H I A B C D E F G H I Asset Bøtte med risiko 12

13 Aggregering mellom ulike risikomål og ulike skalaer Risikomål: Omdømme, compliance og finans Risikomål Risk x Risk x Risk x A B C D E F G H I A B C D E F G H I A B C D E F G H I Risk x Bøtte med risiko 13

14 Screendump av EasyRisk Manager 14

15 Matematisk kalkulasjon av risk for en bucket 1, 2 3 Bucket 4 5 Takk: Rolf Lervik 15

16 Mulighetsrommet ved bruk av verktøystøtte og semantiske teknologier 16

17 Aggregeringsnivåer: Hierarkiske modeller i form av ontologier Avdeling, divisjon, virksomhet, konsern Utstyr/asset, sub-komponent, samling assets Geografi, lokasjon, område, land Tidsperiode, sekund, uke, mnd, år. Asset Geografi Organisasjon Tid Risk x

18 Ad hoc spørring Spørremotor Visualisering og rapportering Logikk og mønster for automatikk Bucket kalkulasjoner Org. Asset Geo Tid Risk x Risk x Risk x A B C D E F G H I A B C D E F G H I A B C D E F G H I Risk x

19 Oppsummering Spørsmålene: - hva er egentlig en god strategi eller metodikk for å kombinerer, komponere eller aggregere risikoanalyser? - hvordan slår man sammen risker og hvilket granularitetsnivå skal man velge, og i hvilken grad kan dette gjøres automatisk? Svar: 1. Sett risikoanalyser sammen til en informasjonskube 2. Sørge for at den enkelte risiko har stor rikdom av attributter og dimensjon knyttet til seg. 3. Samle risikoer i grupper/buckets og definer egenskaper på gruppene 4. Lag veldefinerte ontologier for organisasjon, geografi, asset-nedbrytninger osv som kobles til den enkelte risiko 5. Anskaff en semantisk søkemotor og visualseringsengine. 6. Vær kritisk til de svar systemet gir deg. Vær kritisk til: nivå av datakvalitet valg av spørring bruk av logikk og automatikk. Kombiner: God IT støtte kloke hoder sunn fornuft god tolkning Resultat: Litt trøbbel med nattesøvnen Gode beslutninger. 19

20