위험행렬

Risk matrix

위험 행렬은 위험 평가 중에 결과 심각도 범주에 대한 확률 또는 가능성 범주를 고려하여 위험 수준을 정의하는 데 사용되는 행렬이다. 이는 리스크의 가시성을 높이고 경영진의 의사결정을 지원하기 위한 간단한 메커니즘이다.[1]

정의들

위험은 특정한 선택을 하는 결과에 대한 확실성의 결여다. 통계적으로, 하방 위험의 수준은 위해가 발생할 확률의 산물(예: 사고가 발생할 확률)에 해당 위해의 심각도를 곱한 것으로 계산할 수 있다(즉, 위해의 평균 양 또는 더 보수적으로 신뢰할 수 있는 최대 위해의 양). 실제로 위험 행렬은 확률이나 위해성 심각도를 정확하고 정밀하게 추정할 수 없는 유용한 접근법이다.

표준 위험 매트릭스가 특정 맥락(예: 미국 국방성, NASA, ISO)에 존재하지만, 개별 프로젝트 및 조직은 자체 위험 매트릭스를 작성하거나 기존 위험 매트릭스를 맞춤화할 필요가 있을 수 있다.[2][3][4] 예를 들어, 위해의 심각도는 다음과 같이 분류할 수 있다.

  • 치명적: 사망 또는 영구적인 전체 장애, 되돌릴 수 없는 상당한 환경 영향, 전체 장비 손실
  • 중요: 입원, 영구적인 부분 장애, 중대한 되돌릴 수 있는 환경 영향, 장비 손상 등을 초래하는 사고 수준 상해
  • 한계: 근무일 손실을 초래하는 부상, 가역 가능한 중간 환경 영향, 경미한 사고 손상 수준
  • 경미한 경우: 근무일 손실을 초래하지 않는 부상, 환경 영향 최소화, 경미한 사고 수준 이하의 손상

위해가 발생할 확률은 '확실성', '확실성', '가능성', '비슷함', '잔상성'으로 분류될 수 있다. 그러나 매우 낮은 확률은 매우 신뢰할 수 없을 수 있다는 점을 고려해야 한다.

결과적 위험 매트릭스는 다음과 같을 수 있다.

확률 위해성 심각도
무시할 수 있는 한계 비판적 파국적
확실하다 높은 높은 매우 높음 매우 높음
있음 중간 높은 높은 매우 높음
가능 낮음 중간 높은 매우 높음
있음직하지 않음 낮음 중간 중간 높은
희귀한 낮음 낮음 중간 중간
제거됨 제거됨

회사나 조직은 다른 사건에서 어떤 수준의 위험을 감수할 수 있는지 계산한다. 이는 안전 구현 비용과 안전 구현을 통해 얻는 편익에 대해 사건이 발생할 위험을 측정함으로써 이루어질 것이다.

다음은 특정 사고가 매트릭스 내의 적절한 셀에 할당되는 가능한 개인 상해 매트릭스의 예다.

임팩트

우도
무시할 수 있는 한계 비판적 파국적
확실하다 스터빙 토
있음 가을
가능 대형 교통사고
있음직하지 않음 항공기 추락
희귀한 대형 쓰나미

개발

1978년 1월 30일,[5] 미국 국방부 지침 6055.1("국방부 산업안전보건 프로그램")의 새로운 버전이 발표되었다. 리스크 매트릭스 개발을 위한 중요한 단계였다고 한다.[6]

1978년 8월, 비즈니스 교과서 저자인 데이비드 E 허시는 한 축에는 리스크가, 다른 축에는 수익성이 있는 투자 「리스크 매트릭스」를 정의했다. 위험 축의 값은 먼저 7 x 7 버전의 최신 위험 행렬을 완료하는 것과 동일한 방식으로 위험 영향 및 위험 확률 값을 결정함으로써 결정되었다.[7]

5 x 4 버전의 위험 행렬은 1984년 3월 30일 미국 국방부가 "MIL-STD-882B 시스템 안전 프로그램 요건"[8][9]에 정의했다.

리스크 매트릭스는 1995년 미국 공군 전자시스템센터의 인수재설계팀에 의해 사용되고 있었다.[10]

후희니, 안첸, 닝첸은 2010년에 이 접근법의 일부 개선을 제안했다.[11]

2019년에 가장 인기 있는 세 가지 형태의 매트릭스는 다음과 같다.

  • 3x3 위험 매트릭스(OHSAS 18001)
  • 5x5 위험 행렬(MIL-STD-882B)
  • 4x4 위험 매트릭스(AS/NZS 4360 2004)[12]

다른 표준들도 사용되고 있다.[13]

문제

토니 콕스는 '위험 매트릭스의 문제점은 무엇인가?'[14]라는 기사에서 위험 매트릭스가 위험 평가를 어렵게 만드는 몇 가지 문제적인 수학적 특징을 경험한다고 주장한다. 다음은 다음과 같다.

  • 해상도가 떨어진다. 일반적인 위험 행렬은 무작위로 선택된 위험 쌍의 작은 부분(예: 10% 미만)만 정확하고 명확하게 비교할 수 있다. 그들은 정량적으로 매우 다른 위험("범위 압축")에 동일한 등급을 할당할 수 있다.
  • 오류. 위험 매트릭스는 양적으로 작은 위험에 더 높은 질적 등급을 잘못 할당할 수 있다. 부정적으로 상관된 빈도와 심각도가 있는 위험의 경우, 그것들은 "쓸데없는 것보다 더 나쁜 것"이 될 수 있고, 무작위적인 결정보다 더 나쁜 결정으로 이어질 수 있다.
  • 하위 최적화 리소스 할당. 리스크 감소 대책에 대한 자원의 효과적인 배분은 리스크 매트릭스가 제공하는 범주에 근거할 수 없다.
  • 모호한 입력 및 출력. 불확실한 결과에 대해서는 심각도의 분류가 객관적으로 이루어질 수 없다. 위험 행렬에 대한 입력(예: 주파수 및 심각도 분류)과 결과 출력(즉, 위험 등급)은 주관적인 해석이 필요하며, 다른 사용자가 동일한 정량적 위험에 대한 정반대의 등급을 얻을 수 있다. 이러한 제한은 위험 매트릭스를 주의 깊게 사용해야 하며, 내재된 판단에 대한 신중한 설명만 사용해야 함을 시사한다.

토마스, 브래트볼드, 비켈은[15] 리스크 매트릭스가 임의의 리스크 순위를 산출한다는 것을 증명한다. 순위는 빈의 크기, 증가 또는 감소하는 척도를 사용하는지 여부 등 위험 행렬 자체의 설계에 따라 달라진다. 척도를 바꾸면 답이 바뀔 수 있다는 얘기다.

추가적인 문제는 가능성 범주에 사용된 부정확성이다. 예를 들어, '확실하다', '좋다', '가능하다', '비슷하다', '레'는 계층적으로 관련이 없다. 더 나은 선택은 '극히 일반', '매우 일반', '보통', '낮은 일반', '매우 일반', '극히 일반적이지 않음', '극히 일반적이지 않음' 또는 기본 "주파수" 용어의 유사한 계층 구조와 같은 기본 용어를 사용하여 얻을 수 있다.[citation needed]

또 다른 일반적인 문제는 매트릭스 축에 순위 지수를 할당하고 지수를 곱하여 "위험 점수"를 얻는 것이다. 이것은 직관적으로 보이지만 불균일한 분포를 초래한다.[citation needed]

사이버보안

더글러스 W. 허바드와 리처드 세이언은 콕스, 토마스, 브래트볼드, 비켈의 일반 연구를 맡아 사이버 보안 위험의 영역에서 구체적인 논의를 제공한다. 사이버보안 전문가의 61%가 어떤 형태의 위험 매트릭스를 사용하기 때문에 이는 심각한 문제가 될 수 있다는 지적이다. 허바드와 시어언은 이러한 문제들을 다른 측정된 인간 오류의 맥락에서 고려하며 "전문가들의 오류는 척도와 행렬 자체에 의해 추가적으로 발생한 오류로 인해 단순히 더 악화된다. 우리는 토마스 외 연구진이 제안한 해결책에 동의한다. 사이버 보안(또는 위험 매트릭스를 사용하는 다른 영역)이 많은 동등하게 복잡한 문제에서 사용되는 잘 확립된 정량적 방법을 재창조할 필요는 없다."[16]

참조

  1. ^ "What's right with risk matrices?". Julian Talbot on Risk, Success and Leadership. Retrieved 2018-06-18.
  2. ^ "Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs" (PDF). United States Department of Defense. January 2017. Retrieved 2018-06-18.
  3. ^ "NASA, Goddard Space Flight Center, Goddard Technical Standard GSFC-STD-0002, Risk Management Reporting" (PDF). 2009-05-08. Retrieved 2018-06-17.
  4. ^ 국제 표준화 기구, 공간 시스템 위험 관리, ISO 17666,
  5. ^ "HRD-80-20 Workplace Health and Safety Hazards at DOD Installations" (PDF).
  6. ^ Clemens, Pat (2005). "The RAC Matrix: A Universal Tool or a Toolkit?". Journal of System Safety. 41 (2): 14–19.
  7. ^ Hussey, David (1 August 1978). "Portfolio analysis: Practical experience with the Directional Policy Matrix". Long Range Planning. 11 (4): 2–8. doi:10.1016/0024-6301(78)90001-8. ISSN 0024-6301.
  8. ^ "MIL-STD-882B SYSTEM SAFETY PROGRAM REQUIREMENTS". sunnyday.mit.edu.
  9. ^ Philley, Jack O. (1992). "Acceptable risk—an overview". Plant/Operations Progress. 11 (4): 218–223. doi:10.1002/prsb.720110409. ISSN 1549-4632.
  10. ^ Garvey, Paul; Landsdown, Zachary (1998). "Risk Matrix: An Approach for Identifying, Assessing and Ranking Program Risks". Air Force Journal of Logistics. DIANE Publishing. 22 (1): 18–21. ISBN 9781428990890.
  11. ^ Ni, Huihui; Chen, An; Chen, Ning (1 December 2010). "Some extensions on risk matrix approach". Safety Science. 48 (10): 1269–1278. doi:10.1016/j.ssci.2010.04.005. ISSN 0925-7535.
  12. ^ Kovačević, Nenad; Stojiljković, Aleksandra; Kovač, Mitar (11 December 2019). "Application of the matrix approach in risk assessment". Operational Research in Engineering Sciences: Theory and Applications. 2 (3): 55–64. doi:10.31181/oresta1903055k. ISSN 2620-1747.
  13. ^ Ristić, Dejan (2013). "A tool for risk assessment" (PDF). Safety Engineering. 3 (3). doi:10.7562/SE2013.3.03.03.
  14. ^ Cox, L.A. Jr., '위험 매트릭스에 무슨 문제가 있는가?' 위험 분석, Vol. 28, 2008, 2번, 2008, doi:10.111/j.1539-6924-2008.01030.x
  15. ^ 토마스, 필립, 레이다르 브라트볼드, J. 에릭 비켈, '위험 매트릭스 사용의 위험', SPE 이코노믹스 & 매니지먼트, 제6권, 제2권 56-66호, 2014년, doi:10.2118/166269-PA.
  16. ^ Hubbard, Douglas W.; Seiersen, Richard (2016). How to Measure Anything in Cybersecurity Risk. Wiley. pp. Kindle Locations 2636–2639.