Jak by měl vypadat popis rizika

Pokud jde o popis rizika, tak se zpravidla nikde nedočtete, jak by mělo být takové riziko vlastně popsáno.

Když nahlédneme do registrů rizik, které mnohé organizace vytváří, tak v nich najdeme rizika zapsaná mnoha různými způsoby a to často i v rámci jedné organizace.

Pokud jde o riziko, tak se vždy musí jednat o nějakou nejistou událost (threat, zkr. T) zneužívající zranitelnosti (vulnerability, zkr. V) spočívající nejčastěji v absenci nebo nedostatečnosti nějakého bezpečnostního opatření, ovlivňující určité aktivum (assets, zkr. A), a mající zpravidla nějaký dopad (impact, zkr. I).

Některé organizace se však omezují na popis rizika, který je v zásadě jedna k jedné shodný s popisem hrozby, takovýto popis je však z pohledu toho, jak je riziko definováno, imperfektní. Aby byl popis rizik perfektní, stačí jej zapsat v podmíněném tvaru, jestliže T, potom I.

Popis rizika by měl v sobě obsahovat minimálně hrozbu a následek. Takový popis rizika bychom mohli označit jako dichotomický, neboť vychází z popisu hrozby a dopadu. Pak by se dalo napsat, jestliže dojde k T, tak potom následuje I.

Případně je možné tento popis rizika rozšířit o aktivum, kterého se hrozba týká. Takovýto popis pak můžeme označit jako trichotomický. A dalo by se pak napsat, jestliže dojde k T, která způsobí narušení A, tak to povede k I.

A konečně je možné tento popis rozšířit o zranitelnost, která je zneužívána hrozbou. Takovýto popis pak můžeme označit jako tetrachotomický. A dalo by se napsat, jestliže dojde k T, v důsledku zneužití V, což způsobí narušení A, tak to povede k I.

Případně se dá popis rizika otočit do tvaru A-T-V-I. Tedy A může být ohroženo T v důsledku V, což povede k I. Tento zápis pak odpovídá posloupnosti jednotlivých kroků v analýze rizik, kdy jsou zpravidla nejprve identifkována nejcennější aktiva a hrozby, kterým jsou vystavena, a dále opatření, která je chrání a škoda, která může vzniknout.

Rovněž je otázka, zda by mělo být riziko popsáno jako hypotéza a sankce, a mít podobu podmínkové věty, tedy jestliže nastane T, potom následuje I. Dále zda nevypustit slovo jestliže, protože k materializaci rizika sice nemusí dojít, ale předpokládáme, že kdyby k němu došlo, tak by škoda vznikla, a pak bychom mohli rovnou napsat, že T způsobí I, tedy nepodmíněně.

Ať už používáte ve své organizaci jakýkoliv způsob zápisu rizika, měli byste usilovat o to, aby byla rizika v registru rizik popsána naprosto jasným, srozumitelným a konzistentním způsobem, a aby byl tento způsob zápisu dodržován všemi organizačními jednotkami, protože jinak nebudete moci s riziky efektivně pracovat.

Rovněž doporučují se dohodnout na určitém slovníku, který budete v rámci popisu rizik používat, a ten kodifikovat, protože v okamžiku, kdy bude do registru rizik přispívat více expertních týmů a organizačních jednotek, tak každá z nich může používat trochu jiný žargon, což ve výsledku může vytvořit podhoubí pro kreativní řízení rizik, a to určitě nechcete.

Popis rizika doporučuji ve tvaru:

Zobrazit výsledky

Nahrávání ... Nahrávání ...
Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Jak by měl vypadat popis rizika” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: