Jak provést zhodnocení a analýzu rizik

Datum poslední aktualizace: 13. 08. 2021

Jak postupovat při hodnocení rizik s pomocí aktiv

Analýza a zhodnocení rizik (Risk Assessment) je klíčovou páteří při řízení rizik v organizaci. Provedeme vás postupem, který je založený na zhodnocení aktiv a skládá se ze sedmi základních kroků. 

Vytvoření katalogu rizik ve firmě je zcela jistě výzva. Je proto důležité vědět, kde začít a jak s vytvořením pokračovat. V tomto článku se budeme zabývat jedním z nejobvyklejších způsobů vzniku katalogu rizik a to na základě registru firemních aktiv. Tento způsob je celkem široce používán a je běžný zejména v oblasti bezpečnosti informací.

Dali jsme pro vás dohromady 7 základních kroků, které vás provedou zhodnocením rizik tak, abyste se v nich neutopili. Jistě existují i další postupy, toto je pouze jeden z možných přístupů. 

Krok 1: Identifikujte a pojmenujte vaše firemní aktiva

Jako výchozí bod je třeba mít přehled firemních aktiv, od kterých se bude vaše analýza a hodnocení rizik odvíjet. Vytvořte si přehled aktiv, o kterých víte, že mají pro firmu zásadní hodnotu nebo jejichž ohrožení může ohrozit firmu. Tím dostanete jasnou představu o prioritách a budete se soustředit na podstatná firemní aktiva - tedy taková, která jsou pro firmu hodnotná. Využijte k tomu registr aktiv, ve kterém máte nastavené základní typy aktiv jako jsou:

  • Intrastruktura
  • Lidé
  • Informace
  • Procesy
  • Hardware
  • Software

Pro každý typ aktiva zadejte a pojmenujte vaše konkrétní firemní aktiva. Buďte konkrétní. 

Krok 2: Identifikujte a přiřaďte vlastníky aktiv

Každé z pojmenovaných aktiv by mělo mít svého business vlastníka uvnitř firmy, který je za ně odpovědný. Měl by to být někdo z nejvyššího vedení společnosti, který má odpovědnost, ale také pravomoc nad daným aktivem.   

Krok 3: Identifikujte k aktivům hrozby a zranitelnosti

Každé aktivum může podlehnout nějakým hrozbám a má své zranitelnosti. Pečlivě analyzujte každé aktivum a identifikujte a přiřaďte k němu potenciální hrozby a zranitelnosti.

Krok 4: Pojmenujte rizika a přiřaďte k nim jejich vlastníky 

Na základě prvních třech kroků identifikujte rizika a jejich vlastníky. Vlastníci rizik mají odpovědnost za mitigaci rizika a mají dostatečnou pravomoc riziko řídit. Pro popis jednotlivých rizik využijte registr rizik.

Krok 5: Zhodnoťte každé jednotlivé riziko 

Zhodnoťte rizika a přiřaďte jim pravděpodobnost výskytu a dopady. 

Krok 6: Prioritizujte rizika

V seznamu rizik musíte vytvořit priority. Nelze řešit vše najednou. K tomu vám pomůže matice rizik, která vám vizualizuje rizika podle jejich pravděpodobnosti a dopadu. Největší prioritu mají pochopitelně rizika s vysokou mírou pravděpodobnosti a dopadu. Ta vás mohou ohrozit nejvíce, těm má cenu se přednostně věnovat. 

Krok 7: Vytvořte opatření, nápravné nebo preventivní akce k prioritním rizikům

Na základě priorit se pustíte do posledního kroku, kterým je vytvoření sady opatření, které rizika mitigují (zmírní, odstraní nebo sníží jejich dopady nebo pravděpodobnost výskytu). Rizika nelze nikdy zcela odstranit, pouze snížit jejich pravděpodobnost nebo dopad. Základní opatření lze rozdělit na:

  • Přenesení rizika
  • Akceptace rizika
  • Prevence a předcházení riziku 

K jednotlivým opatřením přiřadíte vlastníky a pomocí úkolů budete řídit jejich realizaci v čase. Rovněž doporučujeme vedení pravidelných schůzek s hodnocením stavu. Schůzky a jejich výsledky zapisujte a sdílejte pomocí zápisů.