Quantitative Risk Assessment – Niceliksel / Sayısal Risk Değerlendirme
Sayısal Risk Değerlendirme işleminde değerlendirilen tüm elementlere / varlıklara rakamlar ve finansal değerler atanarak yapılır.
Qualitative Risk Assessment – Niteliksel Risk Değerlendirme
Niteliksel Risk Değerlendirme işleminde değerlendirilen tüm elementlere Düşük, Orta veya Yüksek gibi / betimleyici terimler atanır ve genellikle senaryo bazlı olarak değerlendirme yapılır.
Her iki değerlendirmeki anahtar faktörler “olabilme ihtimali / olasılık” (Likelihood) ve “etki” (Impact) dir.
Sayısal Risk Değerlendirme Bileşenleri (Quantitative Risk Assessment)
AV – ($) – Asset Value : Varlık Değeri
maddi olarak hesaplanır, eğer birden fazla varlık riski hesaplanıyor ise varlıkların toplam adedi alınır. Varlığım maliyeti, varlığın değiştirilme maliyeti, varlığın o iş için değeri vb. çıkarımlar ile değerlendirilen risk’e göre değişkenlik gösterebilir.
EF – (%) Exposure Factor : Etkiye maruz kalma oranı
Riskten etkilenme oranını yüzdelik olarak tanımlamak için kullanılır. Örneğin bir yangın sırasında bir binanın yarısı zarar gördü ise, burada EF değeri %50 olarak hesaplanmalıdır.
SLE – ($) Single Loss Expectancy : Tekil Kayıp veya Zarar Beklentisi
Risk’i gerçekleştiren tehdit ortaya çıktığında oluşan tek seferlik kayıp / zarar miktardır, maddi olarak hesaplanır.
ARO – (#) Annualized Rate of Occurance : Yıllık Tekrarlama Sayısı
Tehdit sebeiyle karşılaşılan riskin yıllık olarak kaç kere olabilme ihtimalidir veya geçmiş yıllarda olmuş olayların sayısına göre trend analiziden gelen tahminleme rakamları kullanılabilir. Rakamsal değerler ile ifade edilir. Yılda 3 kere oluyor ise ARO değeri 3 olarak kullanılır, 2 yıldır olmadı ise ½ (0,5) değeri hesaplamalara katılabilir.
ALE – ($) Annualized Loss Expectancy : Yıllık Kayıp veya Zarar Beklentisi
SLE, Tekil Kayıp Beklentisi ile bunun (ARO) yılda kaç kere olabilme ihtimalinin çarpılmasıyla ortaya çıkan yıllık zarar beklentisinin maddi olarak hesaplanmasıdır.
CBA – ($) Cost Benefit Analysis : Maliyet Fayda Analizi
Yıllık olarak ortaya çıkacak zarar beklentisi (ALE-1) eğer riskli görülür ve önlem alınması kararlaştırılır ise bu riske karşı bazı güvenlik kontrolleri eklenecektir. Bu kontroller ile riskin seviyesi azaltılacaktır ve tekrar hesaplama ile yeni seviye belirlenecektir (ALE-2). Burada eklenen kontrollerin de bir maliyeti vardır, bu maliyet de hesaplamaya dahil edilecektir. Risk yönetiminin en önemli çıktılarından bir tanesi karar destek sistemi olmasıdır. Genel olarak alınacak tedbirler için eklenen kontroller sonucunda ortaya çıkan maliyet, mevcut riskin gerçekleştiği zaman ortaya çıkartacağı maddi zarardan daha fazla olmamalıdır.
Risk Hesaplama Formülleri
SLE ($) = AV ($) x EF (%)
Single Loss Expectancy = Asset Vale x Exposure Factor
ALE ($) = SLE ($) x ARO (#)
Annualized Loss Expectancy = Single Loss Expectancy x Annualized Rate of Occurance
CBA ($) = (ALE1 ($) – ALE2 ($)) – Annualized Cost of Mitigation
Cost Benefit Analysis = Annualized Loss of Expectancy 1 – Annualized Loss of Expectancy 2 – Annualized Cost of Mitigation
