Obecné schéma řízení rizik, stanovení rozsahu a cíle analýzy rizik, metody sběru a interpretace vstupních dat

Transkript

1 Obecné schéma řízení rizik, stanovení rozsahu a cíle analýzy rizik, metody sběru a interpretace vstupních dat doc. Ing. Alena Oulehlová, Ph.D. Univerzita obrany Fakulta vojenského leadershipu Katedra krizového řízení Kounicova 65, Brno alena.oulehlova@unob.cz Tel:

2 Výstupy z učení Znalosti vysvětlí obecný postup řízení rizik, jednotlivé jeho fáze včetně jejich časové návaznosti, definují metody sběru a interpretace vstupních dat pro analýzu rizik.

3 Úvod Minimalizace negativního dopadu na poslání organizace a potřeba adekvátních podkladů pro efektivní rozhodovací procesy jsou základními důvody, proč je nutno zavádět proces managementu rizik. Zajištění bezpečnosti v organizaci a regionu se skládá ze složky manažerské, ekonomické a technické. Pro minimalizaci rizika provozovaných aktivit na majetek, zdraví obyvatel a kvalitu ŽP je třeba, aby management rizika byl soustavným, systematickým a integrovaným procesem, řízeným vrcholovým vedením organizace při plnění jejich základního poslání.

4 Soustavné, systematické a integrované provádění managementu rizika představuje pro ekonomický subjekt, organizaci, region či armádu, dodatečné náklady. Náklady vztažené k managementu rizika x dodatečné náklady kdyby nebyl management rizika realizován. Integrovaný management rizika je chápán nejen jako snížení celkového možného ohrožení, nýbrž paralelně jako možné využití příležitostí.

5 Nedostatky při zavádění managementu rizik a) faktory, které jsou příčinou rizik, se nevyhledávají, resp. ignorují a management rizika fakticky neexistuje; b) managementu rizika je zaveden, avšak jeho jednotlivé složky nejsou vzájemně integrovány, např. se separovaně ošetřují pojistná a finanční rizika bez jednotné rizikové politiky; c) způsoby integrace rizika do klíčových strategických rozhodnutí firmy jsou neadekvátní; d) management rizika se soustřeďuje výhradně na rizika a opomíjí se stejným způsobem zabývat rovněž příležitostmi; e) management rizika není zcela, resp. odpovídajícím způsobem integrován do systému projektování životního cyklu produktů, zařízení, systémů, objektů aj., což limituje jeho efektivitu.

6 Obecné schéma managementu rizika Vzhledem k existenci značného spektra rizik nelze definovat jednoznačně obecný postup managementu rizika. Nelze stanovit jednotný algoritmus v rámci jednotlivých etap, např. pro identifikaci a hodnocení úrovně nebezpečí a aktiv včetně zpracování scénářů odhadu rizika, neboť se zde objevují značná specifika plynoucí nejen z charakteru rizika, kvality a kvantity vstupních dat, nýbrž též často i z nejasného záměru topmanagementu zadavatele, tudíž i účelu a potřebné hloubky posouzení. Společné elementární kroky (fáze, etapy), jež jsou do parciálně nezávislé na druhu zkoumaného rizika, analogicky jakož i posloupnost jejich provádění.

7 Fáze se mohou vzájemně prolínat a probíhat paralelně, např. identifikace nebezpečí a ohrožených aktiv spolu se současným zpracováním scénářů a analýzou úrovně nebezpečí a zranitelností. Celý proces je pravidelně se opakujícím cyklem s cílem permanentního zlepšování a monitoringu rizik.

8

9 ČSN ISO Management rizik Principy a směrnice

10 Vztahy ve sféře managementu rizika

11

12 Mechanismus uplatnění rizika Hrozba využije zranitelnost aktiva překoná protiopatření a svým účinkem způsobí škodu. Aktivum svou hodnotou motivuje útočníka k iniciaci hrozby. Vůči působení hrozby se aktivum vyznačuje určitou zranitelností, již lze redukovat nebo zcela eliminovat implementací vhodných protiopatření. Protiopatření chrání aktiva, detekují hrozby, případně zmírňují dopad hrozby a napomáhají obnovení (činnosti) aktiva. Protiopatření zároveň odrazují útočníka od aktivace hrozeb. Hrozba působí jednak přímo na aktivum nebo na protiopatření s cílem získat přístup k aktivu. Aby mohla hrozba působit, musí být aktivována. Pro svou aktivaci vyžaduje hrozba zdroje, které vytváří podmínky pro její působení.

13

14 Popis rozsahu a cílů analýzy rizika Rozsah a hloubka analýzy rizika výrazně ovlivňuje časovou kapacitu zpracovatelů a finanční zdroje zadavatele. Rozsah analýzy je dán počtem nebezpečí ohrožených aktiv a scénářů, jež budou do analýzy zahrnuty. Obsah a průběh analýzy musí vycházet ze záměrů topmanagementu zadavatele a výstupy naplnit jeho představy.

15 Předpokladem úspěšného managementu rizik je exaktní vymezení: předmětu, (aktiva, nebezpečí a hranice oblasti, jež bude posuzována); stanovení cíle; specifikace organizačních a strategických omezení (právní, smluvní, technická, finanční, tržní aj.); vypracování scénářů; definice kritérií přijatelnosti rizik ve vazbě na právní a normativní požadavky včetně uplatnění smluvních a ekonomických (finančních) aspektů.

16 Sběr dat a informací Může být součástí etapy stanovení rozsahu a cíle analýzy rizik, nebo může být vymezena samostatně, anebo probíhat i při identifikaci nebezpečí a zranitelnosti. Obsah je silně závislý na rozsahu a hloubce analýzy. Hrubá charakterizace systému - nezbytná pro stanovení jeho hranic, korekci rozsahu a cílů analýzy. Může pokračovat i v dalších etapách analýzy, zvlášť v průběhu identifikace nebezpečí a ohrožených aktiv. Na základě získaných dat mohou být rozsah i cíl analýzy zpětně modifikovány.

17 Pro systém nacházející se ve fázi návrhu (projekce) mohou být informace derivovány z návrhových dokladů nebo souboru dokladů požadavků. Pro systém ve fázi vývoje se musí definovat klíčová pravidla bezpečnosti a plánované atributy. Návrhové dokumenty a plán bezpečnosti má obsahovat užitečné informace o bezpečnosti systému, jenž je ve vývoji. Pro provozovaný systém jsou shromažďovaná data získávána v pracovním prostředí, včetně dokumentovaných i nedokumentovaných postupů a zkušeností. Popis systému může být založen na bezpečnosti poskytnuté výchozí infrastrukturou nebo budoucími bezpečnostními plány.

18 Metody sběru dat a informací Ke sběru informací o systému jsou užívány různé techniky: a) přímá měření (organoleptické, fyzikální, chemické a mikrobiologické parametry); b) revize dokumentů (vládní a systémové dokumenty, dokumentace o bezpečnosti, nákupu a odbytu aj.); c) výpočty a statistická data; d) automatizované vyhledávací nástroje; e) modelování; f) dotazníky a pohovory na místě; g) expertní posudky; h) kvalifikované odhady.

19 Vágnost a nejistota při sběru informací - dvě formy neurčitosti: nejistota se vyjadřuje pomocí teorie pravděpodobnosti v intervalu 0; 1, teorií možností, míry věrohodnosti apod.; vágnost je pojmem v teorii fuzzy množin, která ji umožňuje modelovat. Vymezuje jev, nikoli charakterizaci, zda jev nastane či nikoliv (to je předmětem teorie pravděpodobnosti). Fuzzy množina objektů a stupeň příslušnosti objektu do ní. Stupně příslušnosti, stejně jako pravděpodobnosti, mohou být čísla z intervalu 0; 1.

20

21 Fuzzy logika, umožňující zahrnout nepřesnost, užívá vágně charakterizované expertní znalosti. Pravý opak toho, co se vždy požadovalo, tj. větší přesnost. Vzniká tak reálný rozpor, jehož řešení neexistuje.jde o vztah mezi relevancí a přesností informace. Princip inkompatibility - při popisu reality je potřebné se rozhodnout mezi relevancí informace, jež bude méně přesná, nebo přesností informace, nižší relevance. Zvyšováním přesnosti se tak lze dostat k bodu, kdy přesnost a relevance se stávají vzájemně se vylučujícími charakteristikami. Aplikace fuzzy logiky na měření teploty umožňuje používat pojmy jako studená voda, teplá voda, horká voda, které nemají striktní hranice

22 Závěr Byl vymezen obecný postup managementu rizika. Jeho první fází je získání souhlasu top-managementu. Následuje etapa stanovení rozsahu a cíle analýzy, která výrazně rozhoduje o úspěšnosti celého procesu managementu rizika. Platí zásada, že by měly být nejprve zvoleny metody kvalitativní nebo semikvantitativní analýzy, které jsou rychlé a časově a finančně nenáročné ve srovnání s kvantitativní analýzou. Teprve posléze, ukáže-li se to nezbytným, je možné pro kritická rizika aplikovat kvantitativní analýzu.

23 Etapa sběru dat může být vymezena samostatně, obvykle však začíná ve fázi stanovení a rozsahu cíle analýzy a pokračuje v etapě identifikace a stanovení úrovně pravděpodobnosti aktivace zdroje nebezpečí a etapě identifikace ohrožených aktiv a stanovení jejich zranitelnosti. Aplikace konkrétních metod závisí na charakteru systému, hloubce analýzy a požadovaných výstupech analýzy rizik. Je třeba si uvědomit, že o preciznosti výsledků analýzy rizika rozhoduje kvalita a přesnost vstupních dat, které jsou realizačnímu týmu k dispozici.

24 Příprava na cvičení Znát: obecný postup managementu rizik popis rozsahu a cílů analýzy rizika Umět Vysvětlit vztahy ve sféře managementu rizika s důrazem na uplatnění rizika

25 DĚKUJI ZA POZORNOST DOTAZY