Risk management – Manažment rizika v IT

Manažment rizika alebo aj riadenie rizík je analytický proces kombinovaný s heuristickým procesom, ktorý pomáha pracovníkom a manažmentu spoločnosti rozhodnúť sa, ktoré riziká má zmysel riešiť a znižovať ich dopad alebo ktoré riziká sa budú akceptovať. Nie je to konečný zdroj odpovedí na otázky. V prvej ukončenej fáze nemôžeme čakať, že bude proces riadenia rizika ukončený. Je to skôr kontinuálny proces (keď na konci je ďalší začiatok), ktorý sa každou iteráciou postupne približuje k ideálnemu stavu (to znamená  stavu, ktorý chceme dosiahnuť / pokryť).

Vždy sa máme možnosť rozhodnúť, ako budeme na potencionálne riziko reagovať. K jednotlivým rizikám môžeme pristupovať jednou zo štyroch možností:

• znížiť / minimalizovať v hodnými opatreniami
• preniesť / zdieľať s inými subjektami
• vyhnúť sa
• akceptovať / monitorovať

Existuje množstvo modelov (risk management napríklad podľa NIST, ISO 31000, COSO ERM), podľa ktorých sa dá pristupovať k manažmentu rizika, avšak vo všeobecnosti sa dá tvrdiť, že každá organizácia je jedinečná a mala by mať svoj vlastný model, ktorý používa postupy z viacerých modelov. Neexistuje jediná správna cesta pri ohodnocovaní rizík, je nutné nájsť model, ktorý čo najviac odpovedá realite v spoločnosti. Jednotlivé fázy (podľa ISO 31000) sú popísané na obrázku / v bodoch:

1. plánovanie a určenie rámca
2. identifikácia rizík - rozhovory, dotazníky, štúdium dokumentácie
3. analýza rizík - stanovenie priorít a možných reakcií
4. hodnotenie rizík
5. znižovanie rizík

V dnešnom informačnom veku a hyperkonkurenčnej spoločnosti zanedbanie manažmentu rizík môže mať fatálne následky pre budúcnosť celej organizácie. Môže nastať viacero scenárov, z ktorých vyberáme: 

• priama finančná strata
• strata obchodnej príležitosti / konkurencieschopnosti
• strata kredibility / povesti
• zánik spoločnosti

Samozrejme, vybrali sme možno hraničné možnosti, ale prečo riskovať, keď správnym podchytením problematiky môžeme byť pripravení na možné eventuality aj s postupmi na minimalizovanie následkov.

Výstupom celého procesu manažmentu rizika je správa / report s podrobnými analýzami, kde sa nachádzajú jednotlivé heat mapy, matice rizika, grafy pravdepodobností, list rizikových oblastí a analýza zostatkových rizík. Celý dokument je spracovaný v zrozumiteľnej forme, aby mu porozumeli nielen technickí pracovníci, ale aj manažment spoločnosti. Jednotlivé riziká sú hodnotené v kvantitatívnom alebo kvalitatívnom modeli, dokument obsahuje aj navrhované postupy alebo smerovania, ktoré je vhodné vykonať v dohodnutom časovom horizonte.

Po vypracovaní dokumentácie nie je vhodné skončiť s celým procesom, ale treba kontinuálne pokračovať vo vyhodnocovaní, prepracovávaní a zlepšovaní celého manažmentu rizika (nakoľko sa každý rok vynára množstvo nových aspektov a zraniteľností). Samozrejme je to možné buď rovnakou formou ako pôvodný dokument, teda s našou pomocou, alebo pomocou nami vypracovaného frameworku vlastnými internými zamestnancami.