RSS
| Podpora standardů a legislativy při řízení rizik |
|
Autor: Petr Štěpánek, ředitel sekce vývoje aplikací, společnosti ANECT Standardizace, integrita, dostupnost, důvěryhodnost, zlepšování, rychlá reakce a k tomu práce s lidmi. Těžká doba. Nelehká úloha pro manažera řízení rizik. Společnosti jsou pod tlakem trhu a legislativy. Musí a také se snaží prokazovat svou kvalitu, důvěryhodnost a konkurenceschopnost implementací řady standardů např. ISO/IEC 20000, ISO/IEC 27001, BS 25999 respektive BS 25777 a dalších. Je tak nutné řešit návrh implementace, zajistit průběžné řízení, umět prokázat shodu se standardy a pravidelně provádět audity. V neposlední řadě je třeba nalézt cestu jak důsledky implementace těchto standardů sdělovat a prosazovat u pracovníků. Jedná se o náročnou práci, kde část úkolů lze řešit nákupem externích konzultací a část je přínosné podpořit vhodným nástrojem. Řada firem a organizací implementuje standardy a řídí rizika a jejich snahou je situaci maximálně zjednodušit. Firma umí navrhnout systém řízení bezpečnosti, identifikovat i ohodnotit aktiva, přiřadit vlastníky a provést další nutné kroky. Otázkou však je, jak odlehčit průběžnou práci manažera řízení rizik, jak zjednodušit certifikace a pravidelné audity, jak centralizovat široké spektrum informací z různých zdrojů a orientovat se v nich či jak k pracovníkům nové postupy dostat. Na tyto otázky je třeba najít odpověď.
Při hledání vhodného produktu na trhu se společnost ANECT rozhodla vytvořit vlastní nástroj pro práci s riziky tzv. registr rizik nazvaný RMT (Risk Management Tool). Důvodem této volby byl požadavek na možnost kombinovat řízení podle více norem v jednom prostředí, využití „best practice“ konzultantů společnosti a klíčová byla maximální jednoduchost použití. RMT se primárně zaměřuje především na zaznamenání identifikovaných rizik a jejich řízení, tedy jak bez prodlev reagovat na veškeré změny, které praxe přináší a upřednostnit řízení rizik před jejich „dokonalou“ analýzou. Registr rizik dokumentuje plán zvládání rizik a poskytuje nástroj či prostředí pro komunikace. RMT dovoluje sledovat celý životní cyklus řízení rizik od definování a ohodnocení rizik, přes návrh způsobu zvládání včetně určení odpovědných osob, až po kontrolu skutečného prosazení vhodných opatření. To vše v pravidelných a opakujících se cyklech. V RMT je připravena řadu pohledů a výstupních sestav vhodných pro analytiky rizik a manažery organizace. Při vytváření pohledů se tvůrci zaměřili jak na podporu běžné práce, tak i na podporu podstoupení auditu. Hlavní pohledy obsahují:
Uvedené služby RMT pomáhají prosadit systematickou práci s výsledky hodnocení rizik, která pomáhá upřesňovat odpovídající kroky vedení společnosti a stanovovat priority pro řízení rizik i pro realizaci opatření určených k zvládnutí rizik. RMT také významně usnadňuje a zjednodušuje pravidelné opakování procesu hodnocení rizik tak, aby informace a podklady odpovídaly aktuální situaci a provedeným změnám. Dík kontinuální a lépe dokumentované práci v rámci RMT se zároveň snížily nároky na podstoupení pravidelných auditů. RMT je koncipováno tak, že oblast jeho užití není nijak omezena a v současné době se používá především v oblasti řízení rizik v informační bezpečnosti. Obsahuje opatření dle ISO/IEC 20000 (Management služeb v informačních technologiích) a řady ISO/IEC 27000 (Informační bezpečnost). Další vhodnou oblastí pro nasazení může být řízení rizik v Business Continuity Managementu (BS 25999/BS27999), řízení rizik IT governance (CobiT 4.1) či podpora v rámci Environmental Management System (ČSN EN ISO 14001:2005). Lze kombinovat řízení rizik podle několika norem nebo metodik zároveň. Podpora celé řady standardů nevynucuje potřebu implementace různých nástrojů, učící se křivka je strmá a vynaložené náklady přiměřené.
Prostřednictvím implementace RMT lze nalézt odpovědi na klíčové otázky, jako jsou: • Umíme identifikovat všechny složky rizika? Manažeři řízení rizik ocení zejména přehledné řízení portfolia rizik s možností přejít ihned k detailním informacím o rizicích, zkrácení nezbytných příprav na audity a jednoznačný podklad pro plánování investic do bezpečnostních opatření. Analytici společnosti pak využijí především rychlejší analýzu rizik díky předpřipraveným katalogům dat a snadnou spolupráci více analytiků při hodnocení rizik, firemní top management má pak rychlý a celistvý přehled o významnosti rizik a aplikovaných opatřeních. Ve finále má firma efektivně a dlouhodobě zvládnutou problematiku řízení rizik. Zavedení podpory ve formě automatizovaného nástroje registru rizik (RMT) není věc technicky ani časově náročná. Trvá typicky v řádu dnů a přináší do systému zajímavé nové vlastnosti jako je například podpora více uživatelů, role pro řízení práv, transakce, lehký klient a další. Získané výhody a pozitivní zpětná vazba od pracovníků je pro společnost jednoznačným impulsem k podpoře prosazování nových a inovovaných postupů v systému řízení rizik. Ze své vlastní zkušeností mohu zavedení systému řízení rizik a zároveň implementaci jeho podpory ve formě lehkého a snadno dostupného nástroje, za přínosnou a vřele doporučit. |
Pokud firma zváží situaci, může se rozhodnout, že řízení rizik podpoří nástrojem, který zformalizuje, zautomatizuje a podchytí všechny důležité aspekty související se systematickým shromažďováním a vyhodnocováním informací o aktivech, rizicích a jejich eliminaci. Tento nástroj, registr rizik, jednoduše a přitom bezpečně zpřístupní informace pracovníkům společnosti. Dojde tak k centralizaci evidence a řízení rizik. Od komplikovaného vysvětlování a přesvědčování pracovníků se tak lze dostat rovnou ke způsobu použití nově implementovaných postupů pro řízení bezpečnosti. Cílem je dosáhnout stavu, kdy je úsilí účinně vynakládáno při prosazování bezpečnostních či provozních opatření, tj. vysoké efektivity.
