Zarządzanie ryzykiem wg ISO 27005:2008


Zarządzanie i kontrola ryzyka jest dzisiaj najdonioślejszym tematem w świecie biznesu”.
Robin Kendall
„Zarządzanie Ryzykiem dla Menadżerów”.

Ideą zarządzania ryzykiem jest próba oceny zdarzeń z przyszłości na podstawie:

  • danych historycznych
  • prób przewidywania przyszłości

oraz podjęcie działań mających na celu przygotowanie się do tych zdarzeń. Wyniki szacowania ryzyka stanowią uzasadnienie dla podjęcia lub zaniechania działań wpływających na ryzyko. Dobrze przygotowane są mocnym argumentem w negocjacjach z Kierownictwem w celu zapewnienia niezbędnych środków finansowych na wdrożenie zabezpieczeń przed ryzykiem.

Po co zarządzamy ryzykiem?

Zarządzanie ryzykiem jest procesem, który pozwala kierownictwu na zrównoważenie operacyjnych i ekonomicznych kosztów ponoszonych na zabezpieczenia, z wynikami biznesowymi. Zastosowane środki ochrony przed ryzykiem uzależnione są od obszaru, w którym identyfikujemy ryzyko i mogą być, w przypadku:

  • ryzyka zawodowego – np. ubrania ochronne,
  • ciągłości działania – ośrodki zapasowe,
  • bezpieczeństwa informacji – uprawnienia w systemach informatycznych,
  • wyboru dostawców – korzystanie z kilku alternatywnych dostawców.

W zależności od branży, w której działają organizacje analizują ryzyka w następujących obszarach:

  • ryzyko wyboru dostawcy surowca, towaru czy usługi
  • ryzyko kredytowe i walutowe
  • ryzyko inwestycyjne
  • ryzyko operacyjne
  • ryzyko zawodowe (obowiązkowe)
  • ryzyko ubezpieczeniowe
  • ryzyko dot. bezpieczeństwa informacji
  • ryzyko dot. ciągłości działania
  • ryzyko dot. ciągłości świadczenia usługi

Analiza ryzyka, szacowanie ryzyka a zarządzanie ryzykiem – czy to jest samo?

Ryzykiem, tak jak wszystkim należy zarządzać. Czytając publikacje poświęcone ryzyku możemy napotkać pojęcia:

  • analiza ryzyka,
  • szacowanie ryzyka
  • zarządzanie ryzykiem.

Jakie są podstawowe różnice pomiędzy nimi? Norma ISO 27005:2008 Zarządzanie ryzykiem zawiera uniwersalne zasady i wytyczne do procesu zarządzania ryzykiem. Zaczynamy od ustalenia kontekstu, czyli określenia obszaru, dla którego chcemy zarządzać ryzykiem oraz opracowania metodyki identyfikacji i oceny ryzyka.

W kolejnym kroku identyfikujemy ryzyko. Na identyfikację ryzyka składają się:

  • identyfikacja tego co jest ważne dla organizacji (aktywa),
  • wskazanie zagrożeń i podatności,
  • ustalenie prawdopodobieństwa wystąpienia zidentyfikowanych zagrożeń
  • określenie potencjalnych skutków ich wystąpienia. Sposoby oceny poszczególnych elementów powinny zostać ustalone i opisane w metodyce analizy ryzyka.

Efektem analizy ryzyka są wartości ryzyka dla poszczególnych aktywów. Mając informację o ryzyku, na podstawie kryteriów akceptacji ryzyka, podejmujemy decyzję, które ryzyka uznamy za akceptowalne, a których nie możemy zaakceptować. Dla ryzyk nieakceptowalnych organizacja powinna opracować plany postępowania z ryzykiem, których celem jest obniżenie ryzyka w przyszłości do poziomu akceptowalnego.
Czy zarządzanie ryzykiem jest proste? Z pozoru tak, ale jak zawsze, diabeł tkwi w szczegółach. Jak zorganizować zbieranie danych do ryzyk? Jaką zastosować metodykę? Kto powinien brać udział w ocenie ryzyka? W jaki sposób zapewnić obiektywizm oceny? Co zrobić, żeby zapobiec manipulowaniu ryzykami w celu osiągnięcia własnych celów przez uczestników procesu? Z takimi zagadnieniami muszą zmierzyć się osoby odpowiedzialne za przeprowadzanie okresowych analiz ryzyka w organizacjach? Na co należy zwrócić uwagę? Jakie są najczęściej popełniane błędy?