Design, gjennomføring og viderebruk av risikoanalyser Per Myrseth
Agenda Intro Design og gjennomføring Viderebruk av risikoanalyser Mulighetsrommet ved bruk av verktøystøtte og semantiske teknologier Oppsummering 2
Intro 3
Oppgaven fra Ketil: dvs bestillingen hva er egentlig en god strategi eller metodikk for å kombinerer, komponere eller aggregere risikoanalyser? hvordan slår man sammen risker og hvilket granularitetsnivå skal man velge, og i hvilken grad kan dette gjøres automatisk? Min bakgrunn: - Deltaker, verifikatør eller ansvarlig for ca 10 større risikoanalyser siste par årene i kraftbransjen og offentlig sektor. - Ang risikoanalyser: Har stor tro på nytteverdien av god datakvalitet, semantiske teknologier, ad hoc spørringer og gode informasjonsmodeller. 4
Risk management framework Policy (objective, purpose) Process (identify, assess, mitigate) Informasjonsmodell Infrastructure, tools Risk culture, skills, competencies Risk reporting and communication Structure (roles, responsibilities) 5
Design og gjennomføring 6
Aktiviteter Planlegging/ etablering av kontekst Kritikalitetsanalyse Risikoanalyse Identifisering Analyse Tiltaksplan Måldefinisjon Skalaer for sannsynlighet, kritikalitet og konsekvens Detaljert plan Designe Oversikt over IT-systemer / tjenester Bedømming av systemenes kritikalitet Fylle med innhold Liste over identifiserte risikoer Gruppering av risikoer ihht risikokategori og IT-system Bruke Risikoer vurdert mht sannsynlighet og konsekvens mot mål Prioritering av risikoer ihht risikonivå Forslag til tiltak for prioriterte risikoer Bedømming av risikoreduserende effekt Informasjonsmodell 7
Del av informasjonsmodell: Eksempel på risiko-vektor Risk vektor Risk x Risk attributt Typiske attributter i vektoren ID Sannsynlighet Navn Konsekvens Beskrivelse Tiltak 1-n Risikomål 1-n Sannsynlighet e. tiltak Prosjekt Konsekvens e. tiltak Prosjektfase Tidspunkt 1-n Ansvarlig/roller Periode 1-n Utstyr/asset Leveransemål Sted Effektmål Relasjon til andre risiki 1-n Kategori Teknisk Economic Commercial Operational Political Hvem/org.nivå får trøbbel med nattesøvn 8
Aggregering for ett risikomål med egnet skala => beslutningsstøtte => beslutningsstøtte A B C D E F G H I A B C D E F G H I A B C D E F G H I Avgrensning, metodevalg, tolkning av virkeligheten Datakvalitet Risiko identifikasjon Virkeligheten Virkeligheten Virkeligheten 9
Risk er ofte overlappende R2 R3 R4 R5 R1 R6 R7 R8 R9 R11 R10 Virkeligheten 10
Viderebruk av risikoanalyser 11
Aggregering mellom ulike risikomål og ulike skalaer Risikomål: Omdømme, compliance og finans Risikomål Operasjonell risiko Prosjekt/ FOU IKT drift A B C D E F G H I A B C D E F G H I A B C D E F G H I Asset Bøtte med risiko 12
Aggregering mellom ulike risikomål og ulike skalaer Risikomål: Omdømme, compliance og finans Risikomål Risk x Risk x Risk x A B C D E F G H I A B C D E F G H I A B C D E F G H I Risk x Bøtte med risiko 13
Screendump av EasyRisk Manager 14
Matematisk kalkulasjon av risk for en bucket 1, 2 3 Bucket 4 5 Takk: Rolf Lervik 15
Mulighetsrommet ved bruk av verktøystøtte og semantiske teknologier 16
Aggregeringsnivåer: Hierarkiske modeller i form av ontologier Avdeling, divisjon, virksomhet, konsern Utstyr/asset, sub-komponent, samling assets Geografi, lokasjon, område, land Tidsperiode, sekund, uke, mnd, år. Asset Geografi Organisasjon Tid Risk x
Ad hoc spørring Spørremotor Visualisering og rapportering Logikk og mønster for automatikk Bucket kalkulasjoner Org. Asset Geo Tid Risk x Risk x Risk x A B C D E F G H I A B C D E F G H I A B C D E F G H I Risk x
Oppsummering Spørsmålene: - hva er egentlig en god strategi eller metodikk for å kombinerer, komponere eller aggregere risikoanalyser? - hvordan slår man sammen risker og hvilket granularitetsnivå skal man velge, og i hvilken grad kan dette gjøres automatisk? Svar: 1. Sett risikoanalyser sammen til en informasjonskube 2. Sørge for at den enkelte risiko har stor rikdom av attributter og dimensjon knyttet til seg. 3. Samle risikoer i grupper/buckets og definer egenskaper på gruppene 4. Lag veldefinerte ontologier for organisasjon, geografi, asset-nedbrytninger osv som kobles til den enkelte risiko 5. Anskaff en semantisk søkemotor og visualseringsengine. 6. Vær kritisk til de svar systemet gir deg. Vær kritisk til: nivå av datakvalitet valg av spørring bruk av logikk og automatikk. Kombiner: God IT støtte kloke hoder sunn fornuft god tolkning Resultat: Litt trøbbel med nattesøvnen Gode beslutninger. 19
www.dnvkema.com