Znaczenie analizy ryzyka w obliczu wciąż rosnącej liczby zagrożeń.
W wielu instytucjach i firmach coraz częściej zaczyna się zauważać, nie tylko potrzebę udokumentowania, w celu dalszej analizy, zagrożeń mogących narazić firmę na szwank, a wręcz konieczność analitycznego podejścia do wszystkich zagrożeń mogących się zmaterializować.
Strategia postępowania z ryzykiem staje się w tej sytuacji elementem koniecznym do bezpiecznego, a co za tym idzie prawidłowego funkcjonowania firmy na rynku.
Jak skutecznie określić jakie ryzyko lub ryzyka mogą grozić naszej firmie?
W zasadzie mamy dwa źródła wiedzy:
a. Audyt – bez względu na to czy mówimy o audytorze wewnętrznym czy zewnętrznym – chodzi o chłodny osąd sytuacji. Procedura audytu, wykonywana w z góry zaplanowanych odcinkach czasu, powinna polegać na kompleksowym przeglądzie wszystkich możliwych aspektów ryzyka. Audytor (zespół audytorów) przygotowuje odpowiednie rekomendacje dotyczące dalszego działania firmy. Istotną wadą tego rozwiązania jest fakt, że zagrożenia mogą wystąpić pomiędzy audytami. Drugą wadą jest to, że audytor szczególnie zewnętrzny, nie znający mechanizmów funkcjonujących w firmie, może nie być w stanie zdiagnozować wszystkich ryzyk, które w niej występują.
b. Zaplanowany, ciągły proces diagnozowania i monitorowania zagrożeń. Rozwiązanie to wymaga powołania pewnej grupy osób, która działa wewnątrz przedsiębiorstwa, a której celem jest stałe monitorowanie zagrożeń, stosowanych procedur i instrukcji.
Warto w tym momencie wspomnieć w jakich obszarach mogą pojawić się ryzyka. Mogą one mieć charakter wewnętrzny i dotyczyć organizacji firmy, aktywów – czyli wszystkiego tego co ma dla firmy wartość – ludzie, maszyny, technologia, dane czy wreszcie strategia. Charakter zewnętrzny ryzyk może wiązać się z takimi zagadnieniami jak rynek, ekologia, polityka i ekonomia.
Powyższy podział, powinien każdemu managerowi uzmysłowić jak szerokim zakresem wiedzy powinien dysponować zespół audytorów, lub pracowników zajmujących się szacowaniem ryzyka w przedsiębiorstwie.
Nie ma co ukrywać: do przeprowadzenia analizy konieczny jest zespół ludzi znających specyfikę firmy oraz… odpowiednie narzędzie. Jeśli chodzi o zespół, zawsze można się wesprzeć pomocą wyspecjalizowanych firm lub instytucji, które mają doświadczenie na rynku.
Narzędzie zaś, które posłuży do zebrania i odpowiedniego zagregowania danych – powinno być dobrane do wielkości i wartości firmy. Firmy małe, kilkuosobowe, być może zadowolą się prostymi rozwiązaniami. Jednak w obecnej dobie Dobre, Adekwatne, Profesjonalne Rozwiązanie powoli zaoszczędzić sporo czasu, stresu i pieniędzy. Warto zatem przetestować rozwiązania dostępne na rynku, które pozwolą na zautomatyzowanie powtarzalnych czynności, ale co bardzo istotne, pokażą rezultaty w formie przyjaznej i zrozumiałej dla Zarządu, który na co dzień ma mnóstwo innych, ważnych zadań.
Po co zajmować się incydentami lub naruszeniami?
Gromadzenie informacji o zdarzeniach niebezpiecznych, które już wystąpiły, czyli incydentach w zakresie działania firmy, bezpieczeństwa informacji lub naruszeń ochrony danych, które zgodnie z przepisami powinny być zgłaszane do Urzędu Ochrony Danych Osobowych, służy do, mówiąc krótko – uczenia się na błędach. Nie należy pomijać tego aspektu podczas oceny chociażby prawdopodobieństwa wystąpienia jakiegoś zdarzenia niebezpiecznego. Jak mówi ponoć japońskie przysłowie „Jeśli coś zdarzyło się raz może się zdarzyć i drugi”. Dlatego kierownictwo firmy powinno położyć duży nacisk na to aby zebrać możliwie najwięcej informacji o każdym takim zdarzeniu, aby w dalszej kolejności podjąć kroki zmierzające do zdiagnozowania przyczyn oraz wyeliminowania, lub możliwie największego ograniczenia prawdopodobieństwa wystąpienia podobnych zdarzeń w przyszłości.
Jeśli podczas szacowania ryzyka okaże się, że mamy do czynienia z ryzykiem nieakceptowalnym?
W przypadku przetwarzania danych osobowych, w zasadzie nie wolno nam przetwarzać danych jeśli mamy do czynienia z ryzykiem nieakceptowalnym. Co prawda przepisy dają odpowiednie narzędzia, które pozwolą na przeprowadzenie dodatkowych analiz, które w efekcie powinny skutkować obniżeniem takiego ryzyka, lub tez dają możliwość konsultowania się z Prezesem UODO. Pomijając jednak dane osobowe, trudno jest wiedząc, że prowadzenie pewnych operacji niosących ze sobą duże ryzyko finansowe, personalne czy jakiekolwiek inne, trwać w stanie ciągłego „jechania po bandzie” z nadzieją, że nic złego się nie wydarzy.
Planowanie działań
Przyjmijmy, że jesteśmy na etapie po wykonaniu analizy ryzyka. Otrzymaliśmy pewien zasób informacji na temat niebezpieczeństw grożących naszej firmie – to co dalej?
Wiemy już, które zagrożenia przynajmniej na etapie szacowania, są mało prawdopodobne lub mało brzemienne w skutki. Wiemy, które z zagrożeń z dużym prawdopodobieństwem się wydarzą, a ich skutki mogą mieć sporą wagę dla działalności firmy. Pierwsze z nich możemy zaakceptować lub jeśli zajdzie taka konieczność, zająć się nimi później. Drugą grupę musimy przeanalizować w pierwszej kolejności, ponieważ poradzenie sobie z tymi zagrożeniami stanowi o „być albo nie być” naszego przedsiębiorstwa.
Pozostaje do zagospodarowania cała grupa ryzyk o wartości pośredniej. Niebezpieczeństwo związane z tymi ryzykami jest takie, że mówiąc kolokwialnie, nie traktuje się ich poważnie. Tymczasem mogą zdarzyć się niespodzianki i ryzyko ocenione jako średnie – może się ziścić i przynieść bolesne skutki. Może także wystąpić wespół z innym zagrożeniem gdyż nieszczęścia mają tendencje do chodzenia parami, a niektórzy twierdzą, że nawet trójkami. Na przykład: działalność firmy zależna jest od poprawnego przetwarzania danych na jednym komputerze. Pracownicy są przeszkoleni, backup wykonywany prawidłowo. Komputer ulega uszkodzeniu i okazuje się, że w firmie nie ma ani jednego komputera na którym można odtworzyć bazę i oprogramowanie, a umowa serwisowa wygasła i jest sobota po południu. Przestój, straty finansowe, utrata klientów. Powyższy przykład choć banalny, nie jest taki znowu niemożliwy.
Bardzo zatem istotne jest posiadanie narzędzia, które pozwoli na pełny ogląd ryzyk w przedsiębiorstwie. Powinno ono wspomagać osoby zajmujące się tą kwestią w zakresie:
Przyjęcia decyzji – co robimy z danym ryzykiem – a możemy je:
a. akceptować,
b. zredukować,
c. podzielić się nim z innym podmiotem,
d. unikać.
W przypadku redukcji ryzyka, musimy zacząć od przyjęcia planu co, po kolei, będziemy z danym ryzykiem robić. Do planu należy dodać poniższe informacje:
– Określenie jakie zasoby, będą nam konieczne do tego zadania;
– Określenie kto będzie koordynował prace związane z planem postępowania z ryzykiem;
– Przyjęcie ostatecznej daty realizacji planu;
– Jaki będzie przewidywany wpływ opracowanego planu na poziom ryzyka;
– Jak zostanie zweryfikowana skuteczność podjętych działań;
Wreszcie – plan powinien pozwalać na udokumentowanie analizy i porównania skuteczności poszczególnych działań pomiędzy różnymi scenariuszami ryzyka.
W pracy osób, zajmujących się postępowaniem z ryzykiem istotna jest możliwość monitorowania stanu tych działań i ich wpływu na działalność firmy, ochronę danych itp. Nieocenione może się okazać narzędzie pozwalające na szybki wgląd w stan wdrożenia działań czy kontakt z osobami odpowiedzialnymi, a jednocześnie ocenę jak wprowadzenie konkretnego działania wpłynie na inne ryzyka w firmie
Korzyści dla firmy
Dobrze przeprowadzona analiza ryzyka powinna wykazać powiązania pomiędzy różnymi procesami w firmie i pokazywać gdzie mogą wystąpić zdarzenia niepożądane oraz jakie mogą przynieść skutki. Taka szeroka analiza powinna wskazać wszystkie ryzyka – każdego rodzaju.
Rozpoznanie, analiza i ocena różnych ryzyk dotyczących działalności firmy pozwoli na zaplanowanie i wypracowanie pewnych działań profilaktycznych – wyprzedzających, które mogą ograniczyć prawdopodobieństwo wystąpienia zagrożeń, lub znając możliwe skutki zaplanować, uwzględniając inne koszty, na przykład zakupy zapasowego sprzętu, zastępstwa wśród pracowników czy nawet profilaktykę zdrowotną. Korzyści, które płyną z wykonywania szacowania ryzyka można podzielić na następujące grupy:
a. Zmniejszenie kosztów prowadzenia firmy dzięki znalezieniu obszarów, które w negatywny sposób wpływają na organizację powodując na przykład przestoje, konieczność napraw czy zastępstw, a których eliminacja prowadzi do oszczędności w skali całego przedsiębiorstwa;
b. Zwiększenie sprawności działania – analiza procesów i związanych z nimi ryzyk może pozwolić na uproszczenie, zmianę lub eliminację podprocesów, generujących ryzyka;
c. Dzięki znajomości prawdopodobnych zagrożeń możliwe staje się odpowiednio wcześniejsze planowanie budżetu, uwzględniające możliwe do przewidzenia koszty, wynikające z na przykład z konieczności wdrożenia dodatkowych zabezpieczeń;
d. Odpowiednio wczesne przygotowanie postepowania w przypadku wystąpienia zagrożenia – na przykład ubezpieczenie, przygotowanie odpowiedniego naboru w zakresie specjalistów, planowanie wymiany sprzętu itp.
Wszystkie te cztery wnioski prowadzą do zwiększenia konkurencyjności firmy na rynku – działania podjęte publicznie w celu ograniczenia ryzyk zwiększają zaufanie klientów. Stabilizują również firmę na rynku oraz wewnętrznie – występuje mniej „falowania” organizacji, wynikającego ze zwalczania występujących „wpadek”.
Nie wolno jednak zapominać o tym, że aby osiągnąć wspomniane korzyści konieczne jest zaangażowanie kierownictwa, które musi otrzymać racjonalne i przemyślane plany postępowania z ryzykami, a tego nie da się osiągnąć bez wykształconej w tym kierunku kadry i zapewnienia odpowiednich narzędzi, koniecznych do przeprowadzenia rzetelnych analiz.
Jeśli zainteresował Cię ten artykuł i chcesz dowiedzieć się więcej na temat skutecznej analizy ryzyka, zapraszamy Cię do obejrzenia webinarium. Zajrzyj też na stronę, na której opisujemy działanie narzędzia do zarządzania ryzykiem RED INTO GREEN.