微案例#4:所有风险都是相关的——你在不经意间容忍了什么?
Background
在最近的一次 Micro-Case 我们展示了如何使用蒙特卡罗模拟更有效地理解决策过程中的风险和暴露. 从那时起, 我们已经将这一概念应用到风险矩阵框架中,这已被证明是具有启发性的(因为它简化了复杂的风险结构,同时说明了潜在风险的真实水平).
风险矩阵模型
风险管理方法和框架是常见的 (e.g. CIS RAM, COSO)依赖于分类措施(e.g. 高、中、低) 对不利事件的风险和/或影响进行分类 事件. 的 吸引力在于简单的语言和数学可以帮助组织定义合适的 风险/影响级别,但是这种输入简单性的权衡是 输出是复杂的,真实的风险轮廓在噪声中丢失.
术语和微妙之处可能会改变,但本质上,a 风险概况通常由 x 风险项目,分类 在 y 类别和可能性 z 影响 水平. 然而,独特组合的数量很快变得广泛起来 因此不可能清楚地评估. 对于x = 5 y = 3 z = 3 仅仅5个风险项目就有1287个可能的结果集吗.
因此,在寻找一种有效和直观的方法来评价 概要中,关注高风险/高影响并不罕见 组合而不是尝试用1,287或解析出一个风险参数空间 更多的点. 然而,评估“更大”的风险并没有充分考虑 较低(但非常真实)的风险水平.
在这个微案例中,我们展示了如何更好地理解 所有 固有风险可以通过一些方法和可视化来获得,我们目前正在部署这些方法和可视化来更好地阐明风险.
超越传统风险框架
在这篇文章中, 我们假设一个包含100个风险项的框架, 3个风险级别和3个影响级别(因此3520亿个可能的结果集). 我们想要演示一个“中等风险”的结果, 所以我们随机生成一个数据集大约有50%的几率 低
数据的均值是1.风险54分,1分.61代表影响——热图(用抖动略微分开相同的风险/影响点)如下所示,代表了一个相当普遍的情况, 中等健康状况,有22个项目(风险*影响)得分为4分或以上, 8项大于4项. 假设我们考虑 低 风险低于5%的几率 事件 在接下来的12个月里 媒介 是5 - 25%, 高 是否超过25%. 我们现在可以将概率分配给上面的风险类别,并用我们定义的风险/影响参数模拟一个可能的年份. 当然,这是假设的,但考虑到风险/影响,这也是非常合理的. 在未来的12个月里,我们可能会看到一系列 事件 按照下面的. 我们模拟的年份,使用我们定义的风险/影响参数经历了10年 事件在美国,第47天左右会发生3级地震. 方框显示了分配给该特定风险项目的概率,基于其风险级别. 尽管大多数风险被认为是“低”(53/100), 我们确实在第161天看到了2级影响事件,但只有0级.7%发生的几率. 因此,我们的模拟显示,根据我们的风险分析, 可能 看起来像. 显然,组织暴露在比可能接受的更有影响力的事件中,而且几乎肯定比我们在创建数据集时所具有的“中等”预期的要多. 这是一个比100行风险矩阵更容易解释的风险表示. 然而,这只是一个随机抽样的年份,和上面的
数的10 事件 本身就是主题
随机变化. 为了解决这个问题,我们进行了1万次为期一年的模拟
得出有根据的结论. 下面我们通过计算模拟的数目来创建一个概率分布 事件 (包括零),在每个影响级别(横轴显示). 然后我们计算所有的比例 事件 每个事件计数所表示的,并且产生的概率显示在y轴上. 正如我们所看到的,根据风险对风险的分类
Matrix,我们应该期待一些 事件 每一年最常见的影响
级别: 1级: 3, 2级: 2, 水平
3: 1. 更有启发性的是出现右尾年的可能性
每个风险级别的事件数可以为: 1级: 11, 水平
2: 9, 3级: 5. 因此,我们可以做出一些明智的决定,什么是可接受的或不. 我们所认为的“中等”企业风险水平看起来被大大低估了. 这可能是一种震惊,我们认为 媒介 风险水平实际上比预想的更有风险. 这是因为有大量的风险项目, 即使概率很小, 会导致一个非零的水平 事件. 评估风险矩阵中固有的数十亿种组合的传统方法往往忽略小(甚至中等)概率风险,而专注于大概率风险,因为它们很容易识别和理解. 正是在这种情况下,企业承受的风险往往比它们认为的要大. 通过生成事件的概率分布, 真正的风险可以更好地沟通和理解. 可以理解,风险模型的消费者发现,当面对风险矩阵和饼状/柱状图时,很难理解真正的风险敞口. 通过对每个分类风险等级应用概率分布, 然后根据风险概况模拟结果, 我们澄清真实的风险敞口. 虽然模拟只能是真实潜在风险的近似值, 它照亮了一个组织的真实曝光. 关于这个话题的问题? 联系pnewton@cviewllc的商业分析总监保罗·牛顿.com. 
事件概率分布
结论