Ang. Consequence/probability matrix
| Metoda i źródło | Opis | Narzędzie wspierające | Zastosowanie | Zalety | Wady |
|---|---|---|---|---|---|
| Consequence/ probability matrix [1] | Używana do ustalenia priorytetów, rankingu, priorytetyzacji zagrożeń, przyczyn, działań ograniczających ryzyko, na podstawie wyznaczonego poziomu ryzyka. | CRZ, Enterprise Risk Register by NOWECO | Jest szeroko stosowana w wielu sektorach i branżach, w celu określenia, czy dane ryzyko jest akceptowalne, czy też nie. Powszechnie stosowane do Jest powszechnie stosowana, gdy zidentyfikowano wiele zagrożeń, do szybkiej oceny i kontroli, na przykład w celu określenia, które zagrożenia wymagają dalszej lub bardziej szczegółowej analizy. | Jest stosunkowo łatwa w użyciu; zapewnia szybki ranking ryzyka według definiowanej skali, poziomów ważności. | Trudno jednoznacznie określić skalę; trudno jest połączyć lub porównać poziom ryzyka dla różnych kategorii strat, konsekwencji. Wyniki zależą od poziomu szczegółowości analizy. |
Według ISO/IEC 31010:2009 [1] matryca jest metodą łączącą jakościową i ilościową ocenę konsekwencji (strat) i prawdopodobieństwa, w celu określenia poziomu ryzyka, jego oceny i klasyfikacji.
Metoda wspomaga organizację w określeniu prawdopodobieństwa wystąpienia niepożądanego zdarzenia oraz ocenie jego konsekwencji (skutków). Po zidentyfikowaniu zdarzenia/zagrożenia, należy określić spodziewane szanse jego wystąpienia oraz powagę ewentualnych skutków, strat, jakie mogą powstać w wyniku jego wystąpienia.
Metoda stosowana na wszystkich etapach procesu oceny ryzyka: identyfikacja, analiza i ocena. Stosowana do uszeregowania zagrożeń, źródeł, sposobów postępowania z ryzykiem, na podstawie wyliczonych poziomów ryzyka.
Jest powszechnie stosowany jako narzędzie do wstępnego wyboru, określenia, które zagrożenia wymagają najszybszej reakcji lub które wymagają działania na wyższym poziomie zarządzania w organizacji.
Matryca może być stosowana pomocniczo w innych metodach, np. do analizy krytyczności w ramach FMECA. Może być stosowana w sytuacji, gdy brak dostatecznej ilości danych do analizy szczegółowej lub brakuje czasu i środków na analizę ilościową.
Wejściem do procesu analizy jest kombinacja dwóch skonfigurowanych skali skutków i prawdopodobieństwa. Skala skutków powinna obejmować różne rodzaju konsekwencje (np. Finansowe, bezpieczeństwa, środowiskowe i inne, w zależności i potrzeb i profile działania organizacji) oraz powinna obejmować różne poziomy skutków, od najbardziej do najmniej możliwych. Skala prawdopodobieństwa może zawierać wartości numeryczne i opisowe. Opis może zawierać ogólne szacowane wartości i zakresy. Pozwala to objąć oceną również te sytuacje, dla który zachodzi wysoka niepewność (ang. „uncertainty”) odnośnie ich wystąpienia. Matryca (mapa) ryzyka zawiera na jednej osi wartości skutków, a na drugiej wartości konsekwencji (przykład poniżej).
Przykład matrycy (źródło: ISO/IEC 31010 [1])
Poziomy ryzyka wpisywane w komórkach na przecięciach wierszy i kolumn zależą od definicji przyjętej skali prawdopodobieństwa i konsekwencji. Dane wyjściowe to ocena dla każdego ryzyka lub lista rankingowa ryzyka ze zdefiniowanymi poziomami ważności. Do poziomów ryzyka mogą być dodatkowo przypisane odpowiednie reguły decyzyjne odnośnie postępowania w przypadku wystąpienia tego poziomu, czy też przedziały czasowe definiujące wymagany czas reakcji na dany poziom ryzyka. W trakcie oceny, prowadzący wyszukuje poziom konsekwencji, którego poziom najlepiej opisuje zakładaną sytuację, a następnie określa prawdopodobieństwo wystąpienia danego zdarzenia. Poziom ryzyka jest odczytywany z matrycy, na przecięciu tych dwóch wybranych wartości.
Metoda opisywana w wielu dokumentach dotyczących oceny ryzyka dla różnych dziedzin, takich jak zdrowie, administracja publiczna i wiele innych. Przykłady zastosowań dostępne w wielu źródłach na cały świecie (Defence Acquisition University (DAU)/Defence Systems Management College (DSMC), Software Engineering Institute (SEI), NASA Policy Guidance Document 7120.5B). Metoda jest również promowana przez wiele standardów dotyczących, poradników, wytycznych dotyczących oceny ryzyka (np. wytyczne dla sektora finansów publicznych w Polsce [14]).
| Prawdopodobieństwo wystąpienia | Bardzo wysokie | 5 | 10 | 15 | 20 | 25 |
| Wysokie | 4 | 8 | 12 | 16 | 20 | |
| Średnie | 3 | 6 | 9 | 12 | 15 | |
| Niskie | 2 | 4 | 6 | 8 | 10 | |
| Bardzo niskie | 1 | 2 | 3 | 4 | 5 | |
| Bardzo małe | Małe | Średnie | Duże | Krytyczne | ||
| Skutki oddziaływania |
Powyżej przykład mapy ryzyka, dla której opis skali oceny skutków i prawdopodobieństwa przedstawiają kolejne tabele.
Skutki oddziaływania
| Skutek oddziaływania | Opis | Wartość punktowa |
|---|---|---|
| Bardzo małe | znikomy wpływ na realizację celów i zadań; brak skutków prawnych; nieznaczny skutek finansowy;brak wpływu na bezpieczeństwo pracowników; brak wpływu na wizerunek organizacji; | 1 |
| Małe | mały wpływ na realizację celów i zadań, bez skutków prawnych; mały skutek finansowy;brak wpływu na bezpieczeństwo pracowników; niewielki wpływ na wizerunek organizacji; | 2 |
| Średnie | średni wpływ na realizację celów i zadań; umiarkowane konsekwencje prawne; średni skutek finansowy; brak wpływu na bezpieczeństwo pracowników; średni wpływ na wizerunek organizacji; | 3 |
| Duże | poważny wpływ na realizacje celów i zadań w tym jego zagrożenie terminu jego realizacji i osiągnięcia celów i poważne konsekwencje prawne; zagrożenia bezpieczeństwa pracowników; poważne straty finansowe;poważny wpływ na wizerunek organizacji; | 4 |
| Krytyczne | brak realizacji zadania i brak realizacji celu;bardzo poważne i rozległe konsekwencje prawne; naruszenie bezpieczeństwa pracowników (ujemne konsekwencje dla ich życia i zdrowia); wysokie straty finansowe;utrata dobrego wizerunku organizacji w środowisku oraz w opinii publicznej; | 5 |
Prawdopodobieństwo wystąpienia ryzyka
| Prawdopodobieństwo wystąpienia ryzyka | Opis szczegółowy | Wartość punktowa |
|---|---|---|
| Bardzo niskie | zdarzenie może zaistnieć jedynie w wyjątkowych okolicznościach (od 1 do 15% że wystąpi), a najprawdopodobniej w ogóle nie zaistnieje; nie wystąpiło dotychczas; | 1 |
| Niskie | istnieje małe prawdopodobieństwo (od 16 do 35% ze wystąpi) zaistnienia tego zdarzenia; | 2 |
| Średnie | zaistnienie zdarzenia jest średnio możliwe, ale w niektórych przypadkach zdarzenie takie może mieć miejsce (od 36 do 55%); | 3 |
| Wysokie | zaistnienie zdarzenia jest bardzo prawdopodobne (od 56 do 75%, że wystąpi); | 4 |
| Bardzo wysokie | oczekuje się że zdarzenie takie wystąpi (od 76 do 100%); | 5 |
Ocena ryzyka na potrzeby zarządzania kryzysowego przedstawiona w dokumencie „Ocena ryzyka na potrzeby zarządzania kryzysowego. Raport o zagrożeniach bezpieczeństwa narodowego”, również wykorzystuje mapę ryzyka do graficznej prezentacji ryzyka poszczególnych zagrożeń.
Dla metody powstają proste i łatwe w użyciu informatyczne narzędzia wspierające jej realizację. Wymaga jednak rozległej wiedzy i doświadczenia, znajomości wcześniejszych zdarzeń w ocenianym środowisku, aby dobrze oszacować potencjalne konsekwencje i możliwą częstość występowania. W przypadku niedoświadczonych lub stronniczych oceniających, metoda może prowadzić do mylących wniosków, błędnego rankingu ryzyka.
Mocne strony metod [1]:
• Stosunkowo prosta w użyciu;
• Dostarcza szybkiej klasyfikacji ryzyka według poziomów ważności.
Ograniczenia, słabości metody [1]:
• Matryca powinna być odpowiednia do różnych przypadków, zróżnicowanych sytuacji, zagrożeń, więc trudne może być przygotowanie wspólnego systemu oceny, dla skrajnie różnych ocenianych obszarów ryzyka;
• Trudno jednoznacznie zdefiniować skale ocen;
• Ocena jest bardzo subiektywna i mogą występować znaczące różnice pomiędzy ocenami prowadzonymi przez różne osoby;
• Nie można agregować ryzyka, zagrożeń (nie można określić dla wyznaczonych poziomów ryzyka, że określona liczba zdarzeń o niskim ryzyku występująca określoną liczbę razy jest równoważna np. średniemu ryzyku);
• Trudno jest porównywać poziom ryzyka dla różnych kategorii konsekwencji, strat.
