Řízení rizik: registr rizik
Registr rizik by měl obsahovat všechna rizika, která byla doposud ve vaší organizaci identifikována, analyzována a kvantifikována.
Samotný registr rizik může mít podobu jednoduchého spreadsheetu, ale stejně tak se může jednat o databázi, která se aktualizuje prostřednictvím webové aplikace. Dále uvádím, co by měl registr rizik obsahovat.
- ID rizika (risk identifier) je jednoznačný identifikátor rizika umožňující se na riziko odkazovat. Má zpravidla podobu rostoucího čísla.
- Kategorie rizika (risk category) umožňuje rizika seskupovat a zobrazovat pak rizikové oblasti, ovšem pozor na to, jak si jednotlivé kategorie pojmenujete (COSO kategorie, ISO 31000).
- Název rizika (risk title) stručný název rizika, ale je otázka, zda ho tam mít, a nespokojit se jen s popisem rizika.
- Popis rizika (risk description) by měl být uveden v dichotomickém tvaru jestliže…, potom… (blíže se mu budu věnovat v samostatném příspěvku).
- Autor rizika (risk author) anebo kdo riziko identifikoval, aby bylo možné danou osobu nebo tým kontaktovat, pokud by popis rizika nebyl zcela jasný.
- Datum identifikace (date registered), tedy kdy bylo riziko identifikováno, aby bylo zřejmé, od kdy existuje povědomí o daném riziku a jak dlouho se dané riziko zvládá.
- Hrozby (threat), stručný popis hrozby, která by moha nastat, mělo by z něj vyplývat následné hodnocení.
- Příčina (reason), proč daná událost může nastat, v rámci analýzy rizik informačního systému se hovoří o zranitelnosti (vulnerability).
- Následek (effect), stručný popis toho, co by se mohlo stát, tedy možný finanční i nefinanční dopad dané události a od něj by se pak mělo odvíjet následné hodnocení.
- Velikost hrozby (likelihood), zpravidla chápáno jako pravděpodobnost výskytu výše uvedené události.
- Míra zranitelnosti (vulnerability), celková míra zranitelnosti vůči dané hrozbě (eviduje se zpravidla jen u informačních rizik).
- Velikost dopadu (impact), jaký dopad by mohl nastat, pokud by se daná hrozba uplatnila.
- Výše inherentního rizika (inherent risk), což je výše rizika bez zohlednění stávajících bezpečnostních opatření.
- Stávající opatření (current controls), tedy pokud nějaká opatření vůbec jsou zavedena.
- Výše reziduálního rizika (residual risk) je výše rizika poté, co se zohlední stávající bezpečnostní opatření.
- Výše cíleného reziduálního rizika (target residual risk) je výše rizika, které chceme dosáhnout v souvislosti s risk apetitem, zpravidla zavedením dalších bezpečnostních opatření.
- Akční plán (response plan) obsahující seznam opatření, která by měla být zavedena, aby došlo ke snížení rizika na požadovanou úroveň. Netřeba snad dodávat, že by se mělo jednat o tzv. SMART cíle.
- Náklady na realizaci opatření, zde by měly být uvedeny celkové náklady na realizaci daných opatření.
- Způsob zvládání rizika (risk response), zde by měla být uvedena konkrétní metoda zvládání rizika, tj. retence, redukce, vyhnutí se, transfer, sdílení.
- Priorita rizika (risk priority) protože i když budete rizika zvládat dle jejich závažnosti, tak se vám zcela jistě sejde větší počet rizik ve stejné kategorii.
- Termín splnění akčního plánu, aby bylo zřejmé, do kdy mají být opatření zavedena.
- Kontrolní termín (last review), aby se postup zavedení jednotlivých bezpečnostních opatření průběžně kontroloval.
- Výsledek kontroly, tedy zda se postupuje v souladu s akčním plánem či nikoliv.
- Kontrolor (reviewer), kdo provedl kontrolu realizace schváleného akčního plánu.
- Aktuální výše rizika (actual risk), riziko po přepočtení by se mělo blížit k cílenému reziduálnímu riziku.
- Vlastník rizika (risk owner) je osoba odpovědná zvládání rizika, která nese jednoznačnou odpovědnost za zvládání rizika, je tzv. accountable, vizte RAM matice.
- Řešitel rizika (risk actionee) je osoba, která skutečně riziko řeší, doporučují kromě jména evidovat i útvar. V RAM matici se jedná o osobu, která je responsible.
- Status rizika (risk status), zda je riziko zvládnuto nebo ne (zpravidla evidujeme dva stavy open/close).
Výše uvedený seznam položek, které by měl registr rizik obsahovat, není úplný, ale většině organizací by měl přesto stačit jako taková výchozí šablona, která by měla být upravena podle povahy rizik, neboť trochu jiný přístup se používá u informačních rizik, projektových rizik, rizik na pracovišti apod.
Poznámka: Do závorky jsem uvedl termín používaný zpravidla v zahraniční literatuře, ale nejspíš nikde v takto ucelené podobě registr rizik popsaný nenajdete.
K článku “Řízení rizik: registr rizik” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.