Identifikace rizik je prvním krokem v procesu řízení rizik.
Existuje mnoho způsobů, jak identifikovat rizika. Způsob, který zvolíte se bude odvíjet od typu rizik, které se snažíte najít, na vašich zkušenostech a na celkové výchozí situaci.
Je třeba také zdůraznit, že neexistuje jediná správná cesta a v praxi se používá kombinace různých metod a technik. Neexistuje jediný správný způsob. Jediné, na čem záleží, je identifikace správného seznamu skutečných, zásadních rizik v podmínkách vaší organizace.
Zůstaňte pragmatičtí
Řízení rizik se nesmí zvrhnout v řízení rizik pro řízení rizik. Je to především nástroj k tomu, jak předcházet možným problémům a případnému ochromení běhu vaší firmy. Je to o tom umět pojmenovat největší problémy, které vás mohou potkat a nějakým způsobem je ošetřit.
Začněte od míst, kde rizika vznikají
Důležité je vždy správně určit zdroje nebezpečí a rizik. Při jejich určování vám pomohou níže uvedené způsoby k jejich určení. Riziko vždy z něčeho vychází, někde vzniká. Nikdy nevisí ve vzduchoprázdnu. Nejvíce rizika vyplývá z nějakého procesu nebo z nějakého aktiva, které máte ve firmě.
- Rizika vznikají v procesech - jde o rizika v důsledku špatného procesu nebo chybě v pracovním postupu, například špatně zaúčtovaná faktura
- Rizika vznikají v aktivech - jde o rizika v důsledku selhání nějakého aktiva, například jde o porucha stroje
- Zranitelnosti aktiv nebo procesů jsou rovněž zdrojem rizik
- Hrozby nebo nebezpečí jsou také zdroje rizik
Každý proces nebo aktivum obsahuje nějaké nebezpečí nebo riziko, které pojmenujete a provedete jeho analýzu a prioritizaci ve vztahu k tomu jak hodně ohrožuje vaši organizaci.
Nejpoužívanější způsoby a techniky identifikace a analýzy rizik
Pozorování
- Základní technika, kterou lze začít, pokud nic jiného nemáte. Seznam rizik na základě praxe a pozorování bude určitě dobrým výchozím bodem
Brainstorming
- Brainstorming je obvykle druhá technika, kterou je třeba mít na mysli, pokud jde o identifikaci rizik. Jedna z nejlepších technik. Otázky na brainstorming si naplánujte předem.
Analýza incidentů
- Pokud máte k dispozici evidenci incidentů, je to skvělá výchozí pozice. Z nich určitě dobře identifikujete rizika díky kterým incidentům nastávají. Velmi dobrá způsob například pro BOZP (analýza úrazů) nebo pro IT bezpečnost (analýza bezpečnostních incidentů) nebo analýza pojistných událostí
Procesní analýza, poznejte své procesy
- Špatné procesy jsou jedním z klíčových zdrojů rizik a proto je analýza procesů užitečným zdrojem pro jejich identifikaci
Analýza aktiv, poznejte svá aktiva
- Stejně jako procesy, i aktiva jsou klíčovými zdroji rizik. Je to metoda obvyklá v informační bezpečnosti. V oblasti bezpečnosti práce lze tuto metodu využít pro identifikaci nebezpečných faktorů na pracovišti. V oblasti řízení bezpečnosti se posuzují informační aktiva.
Rozhovory
- Vyberte klíčové zainteresované strany. Naplánujte si rozhovory. Definujte konkrétní otázky. Zdokumentujte výsledky rozhovoru.
Kontrolní seznamy
- Pokud má vaše společnost seznam nejčastějších rizik. Doporučené je použít seznamy rizik, která jsou obvyklá ve vašem oboru (industry standard)
Analýza hrozeb a zranitelností
- Technika analýzy rizik obvyklá v řízení rizik bezpečnosti IT. Vychází se analýzy informačních aktiv, hrozeb a zranitelností
- Riziko = Hrozba * Zranitelnost
Afinity diagramy
- Tato technika je kreativní a prospěšné cvičení. Podobně jako u běžného brainstormingu. Účastníci jsou požádáni, aby prodiskutovali rizika. Žádám účastníky, aby každé riziko napsali na lepicí papír. Poté účastníci roztřídí rizika do skupin nebo kategorií. Nakonec je každé skupině přidělen název.
Diagramy příčin a následků
- Diagramy příčin a následků jsou mocným zdrojem pro identifikaci rizik. Tuto jednoduchou metodu můžete použít k identifikaci příčin-faktů, které vedou k rizikům. A pokud budeme řešit příčiny, můžeme snížit nebo odstranit rizika.
Po analýze následuje hodnocení a prioritizace
Jakmile máte rizika identifikována, je třeba je zhodnotit a zprioritizovat.