Plany naprawcze po analizie ryzyka

Piotr Sojka

10.06.2022

Analiza ryzyka, audyt RODO, bezpieczeństwo danych, DAPR, narzędziaRODO, RODO

Znaczenie analizy ryzyka w obliczu wciąż rosnącej liczby zagrożeń.

W wielu instytucjach i firmach coraz częściej zaczyna się zauważać, nie  tylko  potrzebę udokumentowania, w celu dalszej analizy zagrożeń mogących narazić firmę na szwank, a  wręcz konieczność analitycznego podejścia do wszystkich zagrożeń mogących się zmaterializować w naszej firmie. 

Strategia postępowania z ryzykiem staje w tej sytuacji elementem koniecznym do bezpiecznego, a co za tym idzie prawidłowego funkcjonowania firmy na rynku.

Jak skutecznie określić jakie ryzyko lub ryzyka mogą grozić naszej firmie?

W zasadzie mamy dwa źródła wiedzy:

a.      Audyt – bez względu na to czy mówimy o audytorze wewnętrznym czy zewnętrznym – chodzi o chłodny osąd sytuacji. Procedura audytu, wykonywana w z góry zaplanowanych odcinkach czasu, powinna polegać na kompleksowym przeglądzie wszystkich możliwych aspektów ryzyka. Audytor (zespół audytorów) przygotowuje odpowiednie rekomendacje dotyczące dalszego działania firmy. Istotną wadą tego rozwiązania jest fakt, że zagrożenia mogą wystąpić pomiędzy audytami. Drugą wadą jest to, że audytor szczególnie zewnętrzny nie znający mechanizmów funkcjonujących w firmie, może nie być w stanie zdiagnozować wszystkich ryzyk, które w niej występują

b.      Zaplanowany, ciągły proces diagnozowania i monitorowania zagrożeń. Rozwiązanie to wymaga powołania pewnej grupy osób, która działa wewnątrz przedsiębiorstwa, a której celem jest stałe monitorowanie zagrożeń, stosowanych procedur i instrukcji.

Warto w tym momencie wspomnieć w jakich obszarach mogą pojawić się ryzyka. Mogą one mieć charakter wewnętrzny i dotyczyć organizacji firmy, aktywów – czyli wszystkiego tego co ma dla firmy wartość – ludzie, maszyny, technologia, dane czy wreszcie strategia. Charakter zewnętrzny ryzyk może wiązać się z takimi zagadnieniami jak rynek, ekologia, polityka i ekonomia.

Powyższy podział, powinien każdemu managerowi uzmysłowić jak szerokim zakresem wiedzy powinien dysponować zespół audytorów, lub pracowników zajmujących się szacowaniem ryzyka w przedsiębiorstwie. 

Nie ma co ukrywać: do przeprowadzenia analizy konieczny jest zespół ludzi znających specyfikę firmy oraz …. odpowiednie narzędzie. Jeśli chodzi o zespół, zawsze można się wesprzeć pomocą wyspecjalizowanych firm lub instytucji, które mają doświadczenie na rynku.. 

Narzędzie zaś, które posłuży do zebrania i odpowiedniego zagregowania danych – powinno być dobrane do wielkości i wartości firmy. Firmy małe, kilkuosobowe być może zadowolą się prostymi rozwiązaniami. Jednak w obecnej dobie Dobre, Adekwatne, Profesjonalne Rozwiązanie powoli zaoszczędzić sporo czasu, stresu i pieniędzy. Warto zatem przetestować rozwiązania dostępne na rynku, które pozwolą na zautomatyzowanie powtarzalnych czynności ale co bardzo istotne, pokażą najważniejsze informacje w formie przyjaznej i zrozumiałej dla Zarządu, który na co dzień ma ważniejsze zadania.

Po co zajmować się incydentami lub naruszeniami?

 

Gromadzenie informacji o zdarzeniach niebezpiecznych, które już wystąpiły, czyli incydentach w zakresie działania firmy, bezpieczeństwa informacji lub jak w przypadku bezpieczeństwa danych osobowych czyli naruszeń ochrony danych, które zgodnie z przepisami powinny być zgłaszane do Urzędu Ochrony Danych Osobowych, służy do, mówiąc krótko uczenia się na błędach. Nie należy pomijać tego elementu podczas oceny chociażby prawdopodobieństwa wystąpienia jakiegoś zdarzenia niebezpiecznego. Jak mówi ponoć japońskie przysłowie „Jeśli coś zdarzyło się raz może się zdarzyć i drugi”. Dlatego kierownictwo firmy powinno położyć duży nacisk na to aby zebrać możliwie najwięcej informacji o każdym takim zdarzeniu i aby w dalszej kolejności podjąć kroki zmierzające do zdiagnozowania przyczyn oraz wyeliminowania, lub możliwie największego ograniczenia prawdopodobieństwa wystąpienia zdarzeń w przyszłości.

Jeśli podczas szacowania ryzyka okaże się, że mamy do czynienia z ryzykiem nieakceptowalnym?

W przypadku przetwarzania danych osobowych, w zasadzie nie wolno nam przetwarzać danych jeśli mamy do czynienia z ryzykiem nieakceptowalnym. Co prawda przepisy dają odpowiednie narzędzia, które pozwolą na przeprowadzenie dodatkowych analiz, które w efekcie powinny skutkować obniżeniem takiego ryzyka, lub tez dają możliwość konsultowania się z Prezesem UODO. Pomijając jednak dane osobowe, trudno jest wiedząc, że prowadzenie pewnych operacji niosących ze sobą duże ryzyko finansowe, personalne czy jakiekolwiek inne, trwać w stanie ciągłego „jechania  po bandzie” z nadzieją że nic się złego nie wydarzy.

Planowanie działań

Przyjmijmy, że jesteśmy na etapie po wykonaniu analizy ryzyka. Otrzymaliśmy pewien zasób informacji na temat niebezpieczeństw grożących naszej firmie – to co dalej?

Wiemy już, które zagrożenia przynajmniej na etapie szacowania, są mało prawdopodobne lub mało brzemienne w skutki. Wiemy, które z zagrożeń z dużym prawdopodobieństwem się wydarzą, a ich skutki mogą mieć sporą wagę dla działalności firmy. Pierwsze z nich możemy zaakceptować lub jeśli zajdzie taka konieczność, zająć się nimi później. Drugą grupę musimy przeanalizować w pierwszej kolejności, ponieważ poradzenie sobie z tymi zagrożeniami stanowi o „być albo nie być” naszego przedsiębiorstwa.

Pozostaje do zagospodarowania cała grupa ryzyk o wartości pośredniej. Niebezpieczeństwo związane z tymi ryzykami jest takie, że mówiąc kolokwialnie, nie traktuje się ich poważnie. Tymczasem mogą zdarzyć się niespodzianki, i zagrożenie ocenione jako średnie – może wystąpić i przynieść bolesne skutki. Może także wystąpić wespół z innym zagrożeniem gdyż nieszczęścia mają tendencje do chodzenia parami, a niektórzy twierdzą, że nawet trójkami. Na przykład: działalność firmy zależna jest od poprawnego przetwarzania danych na jednym komputerze. Pracownicy są przeszkoleni, backup wykonywany prawidłowo. Komputer ulega uszkodzeniu i okazuje się, że w firmie nie ma ani jednego komputera na którym można odtworzyć bazę i oprogramowanie, a umowa serwisowa wygasła i jest sobota po południu. Przestój, straty finansowe, utrata klientów. Powyższy przykład choć banalny, nie jest taki znowu niemożliwy. 

Bardzo zatem istotne jest posiadanie narzędzia, które pozwoli na pełny ogląd ryzyk w przedsiębiorstwie. Powinno ono wspomagać osoby zajmujące się tą kwestią w zakresie:

a.      Przyjęcia decyzji – co robimy z danym ryzykiem – a możemy je:

a.      akceptować,

b.      zredukować,

c.      podzielić się nim z innym podmiotem,

d.      unikać.

b.      Przyjęcia planu co, po kolei, będziemy z danym ryzykiem robić;

c.      Określenia jakie zasoby, będą nam konieczne do tego zadania;

d.      Określenia kto będzie koordynował prace związane z planem postępowania z ryzykiem;

e.      Przyjęcia ostatecznej daty realizacji planu;

f.       Jak podjęte działania zostaną zweryfikowane;

g.      Jaki będzie przewidywany wpływ opracowanego planu na poziom ryzyka;

h.      Wreszcie – pozwalać na udokumentowanie, analizy i porównania  skuteczności działań.

W pracy osób, zajmujących się postępowaniem z ryzykiem istotna jest możliwość monitorowania stanu tych działań i ich wpływu na działalność firmy, ochronę danych itp. Nieocenione może się okazać narzędzie pozwalające na szybki wgląd w stan wdrożenia działań czy kontakt z osobami odpowiedzialnymi, a jednocześnie ocena jak wprowadzenie konkretnego działania wpłynie na ogólne ryzyko w firmie.

Korzyści dla firmy

Dobrze przeprowadzona analiza ryzyka powinna wykazać powiązania pomiędzy różnymi procesami w firmie i pokazywać gdzie mogą wystąpić zdarzenia niepożądane oraz jakie mogą przynieść skutki. Taka szeroka analiza powinna wskazać wszystkie ryzyka – każdego rodzaju. 

Rozpoznanie, analiza i ocena różnych ryzyk dotyczących działalności firmy pozwoli na zaplanowanie i wypracowanie pewnych działań profilaktycznych – wyprzedzających, które mogą ograniczyć prawdopodobieństwo wystąpienia zagrożeń, lub znając możliwe skutki zaplanować, uwzględniając inne koszty, na przykład zakupy zapasowego sprzętu, zastępstwa wśród pracowników czy nawet profilaktykę zdrowotną. Korzyści, które płyną z wykonywania szacowania ryzyka można podzielić na następujące grupy:

a.      Zmniejszenie kosztów prowadzenia firmy dzięki znalezieniu obszarów, które w negatywny sposób wpływają na organizację powodując na przykład przestoje, konieczność napraw czy zastępstw, a których eliminacja prowadzi do oszczędności w skali całego przedsiębiorstwa;

b.      Zwiększenie sprawności działania – analiza procesów i związanych z nimi ryzyk może pozwolić na uproszczenie, zmianę lub eliminację podprocesów, generujących ryzyka;

c.      Dzięki znajomości możliwych zagrożeń możliwe staje się odpowiednio wcześniejsze planowanie budżetu uwzględniające możliwe do przewidzenia koszty wynikające z na przykład z konieczności przyjęcia zabezpieczeń;

d.      Odpowiednio wczesne przygotowanie postepowania w przypadku wystąpienia zagrożenia – na przykład ubezpieczenie, przygotowanie odpowiedniego naboru w zakresie specjalistów, planowanie wymiany sprzętu itp.

Wszystkie te cztery wnioski powodują zwiększenie konkurencyjności firmy na rynku, – zwiększają zaufanie klientów. Stabilizują firmę na rynku oraz wewnętrznie – mniej „falowania” organizacji wynikającego ze zwalczania występujących „wpadek”.

Nie wolno jednak zapominać o tym, że aby osiągnąć wspomniane korzyści konieczne jest zaangażowanie kierownictwa, które musi otrzymać racjonalny i przemyślany plan postępowania z ryzykami, a tego nie da się osiągnąć bez wykształconej w tym kierunku kadry i zabezpieczenia niezbędnych narzędzi koniecznych do rzetelnych analiz.

Jeśli zainteresował Cię ten artykuł i chcesz dowiedzieć się więcej na temat skutecznej analizy ryzyka, zapraszam Cię do obejrzenia webinarium. Zajrzyj też na stronę na której opisujemy działanie narzędzia do zarządzania analizą ryzyka RED INTO GREEN

Usługi prawne oraz IT

AML

Analiza ryzyka, outsourcing, monitorowanie transakcji, wdrożenia, audyty, KYC, ocena instytucji obowiązanej, szkolenia.

Szczegóły

RODO

Wsparcie Insektora Ochrony Danych, wdrożenia, audyty roczne oraz doraźne, analiza ryzyka.

Szczegóły

Sygnaliści

Audyty funkcjonującego systemu dokonywania zgłoszeń, opracowanie dokumentacji, wzorów procedur, umów i innych dokumentów. Wdrożenia, ustalanie kanałów zgłoszeń, opracowanie regulaminów, szkolenia.

Szczegóły

Wsparcie IT

Audyty IT, administracja, analizy i wdrożenia, obsługa, inne

Szczegóły