为什么我不喜欢安全风险评估中的PIGs
概率影响图(PIGs),有时也称为风险矩阵,在安全风险评估和管理中无处不在。它们几十年前被采用并嵌入标准与实践中。尽管自引入以来,学术研究已经表明它们会使决策变得更糟,但它们仍然存在并在整个学科中被广泛使用。
问题是它们很简单,易于阅读且易于在非专业软件中制作,这使得它们难以被取代,而且由于它们的简便性,从业者会热情地为它们辩护,而忽略了它们造成的危害。
下面的图1显示了一个虚构但具有代表性的PIG。如果你想批判下面提出的观点,请将此PIG与你使用的PIG进行比较,我怀疑它在形式和风格上都非常接近,不是吗?
图1 一个概率影响图(PIG)示例
它由一系列序数级别组成,3×3、4×4,如下所示通常是5×5,因为这些在矩阵上很容易表示。这些序数值可能代表可能性空间的均等分割(大小相等),或者通常对于影响尺度代表某种对数式的递增危害区间,以确保小风险和非常大风险可以更容易地操作和比较。
通常,这些代表风险估计数据的序数会经过进一步的数学处理,例如将序数分数相加或相乘,以获得风险的进一步简化的单一分数,从而允许在列表中进行优先级排序。
同样,通常通过使用分类颜色方案(如红/黄/绿或黑/红/黄/绿)来设定风险偏好或风险容忍度,以便非专业人士识别可接受和不可接受的风险。简化的风险分数将被分配到这些类别中以帮助理解。
在安全领域,你经常会看到“固有风险”和“剩余风险”分数绘制在同一PIG上,以显示变化或投资对整体风险状况的影响。
依赖PIGs中风险数据的简化来辅助决策的主要问题之一是,它实际上可能变得更难区分风险和确定优先级。
下面的图2使用图1中的示例PIG显示了五种可能的风险。这些风险经过精心选择以突出一些问题,但其数值并非不合理。
图2 使用示例PIG的示例风险分数和类别
前三个风险都是黄色风险,然而,使用朴素的定量概率乘以定量影响得出的风险预期值范围很广,从大约25,000英镑到150,000英镑。我发现,当你展示现实世界中像黄色这样简单标识符背后的范围示例时,利益相关者会感到不安。最后两个风险使这种情况更加明显,并显示了类似对数尺度对影响的影响,红色风险的预期值范围从大约150,000英镑到750,000英镑,这是一个显著更高的范围。实际上,风险3和风险5都有大致相同的预期结果,但一个是红色,一个是黄色。
通过将序数数值概率和数值影响相乘生成的风险分数也带来了类似的挑战。风险2和风险3的风险分数都是12,在列表中呈现时优先级排序相同,但它们的预期值相差125,000英镑,而风险1的分数较低为9,其预期值几乎是风险2的四倍。在已知它们的预期值的情况下,基于风险分数将风险1的优先级排在风险2之下会导致不合理的结果。
这些都代表了将丰富的风险估计数据简化为简单序数值所带来的危险,尽管这使得数学处理和呈现更容易。
如果我们将此分析扩展到PIG每个方格中所有最佳和最坏情况,并考虑每个方格的分类颜色,我们可以看到红色、黄色和绿色之间的定量预期值可能存在严重的重叠。这不是利益相关者所期望的。
下面的图3显示了计算PIG每个方格最佳和最坏情况并识别每个方格最小和最大可能值的结果。
图3 按分类颜色划分的最佳和最坏情况可能范围
“绿色最小值”是具有绿色最低值的方格,最佳和最坏情况代表该方格可能的最低和最高预期值。
除了与风险预期值相比可能产生不合理建议这一事实之外,对序数值使用乘法运算还存在一个系统性问题。将数值相乘的结构实际上通过减少决策者可用的选择而使优先级排序变得更加困难。
即使我们假设每个可能的概率和影响序数分数组合只有一个风险,简单的乘法实际上将风险范围缩小到更小的风险分数集合。这更容易理解,但现在更难区分。
如图4所示,对于25个风险结果,有21个可能的分数可用,但当我们去除相同分数的重复项时,实际上只有14个唯一分数可用。乘法风险分数实际上将我们区分25个风险结果的能力降低到了14个分数!
图4 分类PIG中的范围
这导致了不同风险的相似风险分数聚类,这对决策者不如对从业者那样有帮助。
PIGs和乘法风险分数最危险的方面之一是,那些概率极低但影响极高的风险在绿色或类似的一般类别中被掩盖了。业务终结风险就这样被认定为“没问题”。
这类风险的危险在于,它们通常被如此分类是由于知识强度低,而不是对其现实可能性的良好估计,“我们没见过,所以我们会假设它很罕见”。这就是那些被大肆宣扬的“黑天鹅”风险在灾难性事件发生后被发现的地方。它们就在那里,为人所知,但由于知识强度低以及被分类乘法掩盖在低关注度桶中而被低估。这里潜藏着危险。
这是一篇很长的文章,我还没有涉及Tony Cox、Douglas Hubbard等人关于风险矩阵或PIGs固有问题的广泛学术工作。我可能会在未来的文章中重新讨论这一点,但就目前而言,这里提出的问题足以让我拒绝使用PIGs和乘法风险分数来支持更好的决策和优先级排序。