Ko govorimo o upravljanju tveganj, govorimo o tistih poslovnih procesih, ki vas podprejo pri odločanju in vam pomagajo zaščititi premoženje podjetja na razumen in preudaren način. Pri tem se pravzaprav ukvarjate z negotovostjo oz. vrednotite učinkovitost vaših strategij ob upoštevanju različnih dejavnikov, ki lahko delujejo zaviralno.
V sodobni družbi, kjer tako gospodarske kot negospodarske dejavnosti v veliki meri slonijo na pretoku in obdelavi informacij, posledično eno ključnih področij upravljanja tveganj postaja zagotavljanje informacijske varnosti. Njegove pomembnosti se organizacije šele dodobra zavedajo, saj je izredno široko in zahteva, da pri upravljanju upoštevamo tako vpliv tehnologije same, kot tudi družbeni vidik.
Ko pomislite, da imamo v sodobnih organizacijah stik s tehnologijo praktično vseskozi skorajda vsi zaposleni, lahko vidite, da je možnosti, da pride do različnih posegov nepooblaščenih oseb, vdorov, kraje podatkov ali izgube intelektualne lastnine, praktično nešteto. Vse izmed njih pa lahko vodijo v veliko poslovno škodo in/ali izgubo ugleda.
Kot smo v naših blogih že večkrat poudarili, se tveganjem v poslu, torej tudi informacijskim, zato nikoli ne moremo v celoti izogniti. Zagotovo pa je v vse bolj neusmiljeni konkurenci za vsako podjetje ključno, da znotraj lastne organizacije tveganja prepozna, jih ovrednoti in oblikuje učinkovite procese, ki jih pomagajo obvladovati.
Kako se lotiti identifikacije in upravljanja informacijskih tveganj?
Najprej si je seveda potrebno odgovoriti na vprašanje, kaj je tveganje. Sam pri tem izpostavljam dva kriterija:
– Potencialni negativen učinek: Tveganje obstaja, če negotov dogodek povzroči škodo ali rezultat, slabši od pričakovanega.
Na splošno obstaja več načinov za identifikacijo tveganj, o katerih smo podrobneje že pisali. Najbolj enostaven izmed njih je, da se vprašamo, katera so tveganja, ki bi se lahko pojavila v našem poslovnem področju in s tehniko viharjenja možganov poskušamo sestaviti seznam tistih, ki so za nas najbolj pomembna.
Eden izmed načinov je tudi, da pod drobnogled postavimo poslovne procese, ugotovimo potrebne vire za delovanje procesov in ob upoštevanju verjetnosti udejanjanja nekih groženj ugotavljamo vplive na pričakovano dodano vrednost, nato pa informacije smiselno kombiniramo, da pridemo do seznama tveganj.
Predvsem pri identifikaciji tveganj na področju upravljanja informacijske varnosti si lahko pomagamo tudi z uveljavljenimi mednarodnimi standardi, kot sta mednarodni standard ISO/IEC 27001 za upravljavski sistem varovanja informacij ali ISO/IEC 27005, ki ponuja usmeritve v zvezi z upravljanjem tveganj v kontekstu sistema upravljanja varovanja informacij.
Procesni pristop: veliko lubenico pojemo po majhnih koščkih
Upravljanje tveganj je zares učinkovito, ko postane del vsakdanjih nalog, torej tedaj, ko ga vgradite v poslovne procese. Pri tem zahtevnost procesa samega običajno raste z velikostjo organizacije. Zato je smiselno začeti z manjšimi, obvladljivimi koraki, ki jim z nenehnim izboljševanjem v Demingovem krogu1 s časom širimo obseg, gremo vedno bolj v podrobnosti in izboljšujemo že pridobljene informacije.
Za identifikacijo informacijskih tveganj je procesni pristop izredno primeren, saj pomaga, da skozi določitev virov za obdelavo informacij, pomembnosti virov v procesih in aktivnostih ter nabora ustreznih groženj določimo morebitna tveganja, ki procese ogrožajo. Pri procesnem pristopu pa je pomembno tudi, da so v identifikacijo tveganj vključeni lastniki procesov, saj slednji običajno razpolagajo z najbolj kakovostnimi informacijami.
INFORMACIJE
Zbiranje informacij za določitev tveganj začnemo v poslovnih procesih. Pri tem naj vam kot osnovno vodilo služi vprašanje, kako tveganja vplivajo na dodano vrednost, ki jo proces pričakovano ustvarja. Dodano vrednost večini primerih lahko merimo s finančnim učinkom, ni pa nujno vedno tako. Prav tako se formalni obstoj in dokumentiranost procesov pri vsaki organizaciji razlikuje. Tako lahko pri identifikaciji tveganj uporabimo tudi manj formalen in manj podroben seznam procesov, sploh če smo v začetnih korakih upravljanja tveganj. Za lažje obvladovanje lahko procese razbijemo tudi na manjše enote oz. na posamezne aktivnosti.
VIRI
Procesi oz. njihove aktivnosti za delovanje v večji ali manjši meri potrebujejo vire. Iz tega izhaja, da vsako odstopanje od pričakovanega delovanja virov potencialno zmanjšuje učinkovitost delovanja procesa. Zaradi tega se pri določitvi tveganj osredotočamo na vire in njihov vpliv na delovanje procesov.
Postopek identifikacije virov v posameznem procesu si lahko olajšamo tako, da se sprašujemo za obstoj virov v sklopu znanih kategorij ali skupin, denimo: ali imamo vire, ki predstavljajo strojno opremo, programsko opremo, podatke, ljudi, infrastrukturo in podobno. Pomembno je vedeti tudi to, da se viri lahko pojavi v več procesih hkrati, njegov vpliv na delovanje posameznega procesa pa se lahko zelo razlikuje.
GROŽNJE
V procesu identifikacije tveganj se osredotočamo na vire, ali natančneje na odstopanja od pričakovanega delovanja virov. Dejavnikom, ki so vzrok za ta odstopanja, pa lahko rečemo grožnje. Grožnje so torej neki dejavniki ali lastnosti okolja in lahko imajo škodljiv vpliv na vire in s tem na delovanje procesa.
Na nek vir lahko vpliva ena ali več groženj. Verjetnost udejanjanja posamezne grožnje je odvisna tudi od tega, kako ranljiv je vir za dotično grožnjo. Ranljivost pa je skupek lastnosti vira in zaščite, ki za vir že obstaja.
Identifikacija tveganj
Identifikacija tveganj po do sedaj opisanem pristopu lahko sledi naslednjim korakom:
1. Določimo procese, za katere želimo ugotoviti tveganja
2. Procese glede razdelimo na manjše enote – aktivnosti
3. Aktivnostim določimo vse potrebne vire za delovanje
4. Za vsak vir v posamezni aktivnosti identificiramo grožnje, ki so smiselne glede na okolje, področje in vpliv na delovanje aktivnosti
Iz pridobljenih podatkov sestavimo seznam tveganj, ki jih bomo v naslednjih fazah procesa upravljanja tveganja ovrednotili in razvrstili, izmed njih izbrali nesprejemljiva in slednja tudi obravnavali. Cilj je, da nesprejemljiva tveganja na nek način spravimo na sprejemljivo raven.
Ključne ugotovitve
Povzamemo lahko naslednje:
1. Identifikacije tveganj se lahko lotimo na več načinov, eden izmed teh je, da si postavimo vprašanje: katera tveganja lahko identificiramo glede na naše izkušnje in znanje
2. Identifikacije tveganj se lahko lotimo tudi tako, da sistematično analiziramo naše poslovne procese in na podlagi znanih groženj ugotovimo tveganja na osnovnih gradnikih poslovanja
3. Proces identifikacije tveganj in celotno upravljanje tveganj izvajamo v obsegu, ki ga obvladamo in s ponavljanjem obseg širimo ter izboljšujemo rezultate
4. V pomoč naj nam služijo dobre prakse in obstoječa znanja, kar v veliki meri velja za področje upravljanja informacijskih tveganj; splača se nasloniti tudi na uveljavljene mednarodne standarde
________
1Demingov krog je iterativna metoda štirih korakov nenehnega izboljševanja: 1. Načrtuj 2. Izvedi 3. Preveri 4. Ukrepaj; vsako ponovitvijo izboljšujemo rezultate in smo bližje zadanemu cilju.
***
Stopite v kontakt z našo ekipo, če želite ustrezno identificirati vaša informacijska tveganja.
Za več informacij o upravljanju tveganj spremljajte naš LinkedIn & Twitter račun. Lahko pa se vključite tudi v debato v Linkedin skupini ERM – KORPORATIVNO UPRAVLJANJE TVEGANJ.