Řízení rizik: Jemný úvod do řízení rizik
Cílem tohoto příspěvku je stručně charakterizovat jednotlivé fáze procesu řízení rizik, které jsou detailně popsány v knize „Řízení informačních rizik v praxi“.
Řízení rizik (risk management) je komplexní proces skládající se z několika fází, které na sebe navazují a vytvářejí jakousi smyčku viz obrázek. Cílem řízení rizik je identifikace a kvantifikace rizik, kterým musí společnost čelit a především rozhodnutí o vhodném způsobu zvládání těchto rizik. Všimněte si, že píši o zvládání rizik, nikoliv o jejich snížení na přijatelnou úroveň, jak se dost často uvádí. Je tomu tak proto, že snížení rizika je jen jednou z několika nejčastěji používaných metod.
Stanovení kontextu (establishing the context)
Cílem této fáze je vymezení oblasti, ve které budou rizika řízena, popsání samotného procesu řízení rizik, vydefinování rolí a určení osob odpovědných za jednotlivé činnosti v rámci tohoto procesu, výběr metodiky, která bude použita pro analýzu rizik, stanovení referenční úrovně, kritérií a způsobu hodnocení a zvládání rizik.
Analýza rizik (risk analysis)
V této fázi by měla být odpovědnými pracovníky určenými v předchozí fázi provedena analýza rizik, která obvykle zahrnuje identifikaci a kvantifikaci aktiv, hrozeb a zranitelností a stanovení výše rizika nebo škody v souladu se schválenou metodikou.
Vyhodnocení rizik (risk evaluation)
V okamžiku, kdy máme k dispozici výsledky analýzy rizik, měli bychom se pokusit o prioritizaci rizik, neboť je zřejmé, že ne všem rizikům může být věnována stejná pozornost. Dále bychom měli vybrat vhodná opatření vedoucí ke snížení rizika a provést tzv. cost/benefit analýzu.
Zvládání rizik (risk treatment)
V poslední fázi, když už známe výši rizika nebo škody a též náklady na jednotlivá opatření a odpovědné osoby byly s riziky prokazatelně seznámeny, mělo by dojít k rozhodnutí o vhodném způsobu zvládání rizik, kterými jsou retence, redukce, transfer, pojištění, sdílení a vyhnutí se riziku.
Poznámka: Výše uvedené rozdělení a náplň jednotlivých fází procesu řízení rizik není jediné možné. Např. v AS/NZS 4360 je posloupnost jednotlivých fází následující: stanovení kontextu, identifikace rizik, analýza rizik, vyhodnocení rizik a zvládání rizik. Fáze identifikace, analýzy a vyhodnocení rizik se zde nazývá hodnocení rizik (risk assessment).
Štítky: řízení informačních rizik
K článku “Řízení rizik: Jemný úvod do řízení rizik” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.