Metodika Open Factor Analysis of Information Risk, zkr. Open FAIR poskytuje návod, jak provést analýzu informačních rizik, nic víc od ní ale nečekejte.

Na řízení rizik v celém jejich životním cyklu jsou tady jiné, vhodnější metodiky, např. M_o_R, takže jestliže proces řízení rizik ve vaší organizaci zavedený ještě nemáte, začněte nejdříve s ním, než vám začne management řídit rizika kreativně.

Akceptace rizika je formální proces, při kterém management vyjadřuje svůj záměr dané riziko vědomě podstoupit.

Management zpravidla ochotně akceptuje nízká rizika, tj. rizika s nízkým dopadem a nízkou pravděpodobností hrozby. Ovšem nemusí tomu tak být vždy.

V minulém příspěvku jsem zmínil top-down a bottom-up přístup, a na ten se nyní zaměříme.

Top-down přístup začíná tím, že si expertní tým klade otázku, co by organizaci mohlo zabránit v dosahování mise a vize. Bottom-up přístup zase vychází z identifikace aktiv, hrozeb, zranitelností a opatření, kdy si expertní tým klade otázku, jaká hrozba by mohla zneužít určité zranitelnosti a narušit důvěrnost, integritu anebo dostupnost aktiv.

Žádný standard exaktně nedefinuje, jak by se mělo k identifikaci rizik přistoupit a jaké metody použít.

Jistě, nejprve je nutné stanovit kontext a definovat hranice analýzy, a potom přistoupit k identifikaci samotných rizik, ale jak?

Pokud jde o popis rizika, tak se zpravidla nikde nedočtete, jak by mělo být takové riziko vlastně popsáno.

Když nahlédneme do registrů rizik, které mnohé organizace vytváří, tak v nich najdeme rizika zapsaná mnoha různými způsoby a to často i v rámci jedné organizace.

V tomto dílu se podíváme na to, zda máme vůbec nějaké možnosti, jak s kreativním řízení rizik bojovat.

Nebude to vůbec jednoduché. V prvé řadě musíte získat jasnou podporu ze strany vrcholového managementu a ten musí usilovat o to, aby se řízení rizik stalo nedílnou součástí všech podnikových procesů a všechna rizika se objevila v registru rizik.

V minulém dílu jsem psal o tom, jaké techniky jsou používány v rámci kreativního řízení rizik.

Pokud jste si kladli otázku, jak jsou tyto techniky v reálné praxi používány, tak tomu se budu věnovat právě v tom příspěvku.

V minulém dílu jste měli možnost se seznámit s fenoménem kreativní řízení rizik.

Nyní se zaměříme na nejčastěji používané techniky kreativního řízení rizik a to ve všech jeho fázích. Když se podíváme na to, jak řízení rizik v organizacích probíhá a z jakých fází se celý proces řízení rizik skládá, poměrně snadno identifikujeme oblasti, kde lze vyvíjet ve větší či menší míře nějakou kreativitu, která se může projevit a zpravidla se projeví:

Analýza rizik by měla poskytnout pokud možno co nejobjektivnější pohled na rizika, kterým je organizace vystavena.

Ovšem stejně jako v oblasti účetnictví, jehož cílem je poskytnout věrný a pravdivý obraz „true and fair view“ o stavu hospodaření, se můžeme setkat s tzv. kreativním účetnictvím (creative accounting), tak i v oblasti řízení rizik se můžeme setkat s něčím, co by se dalo s jistou nadsázkou nazvat kreativním řízením rizik (creative risk management).

Na trhu je spousta nástrojů, které slouží k analýze rizik, a mnohé z nich jsou k dispozici i zdarma.

Neznám však bohužel takový nástroj, který by byl ihned po instalaci nebo spuštění okamžitě použitelný a umožňoval vše, co bych si představoval.