Documente Academic
Documente Profesional
Documente Cultură
Acest ghid oferă indicaţii pentru realizarea unei metodologii în vederea gestionării riscurilor de securitate a
informaţiei. Metodologia aleasă se bazează pe determinarea incertitudinii de realizare a obiectivelor, a
ameninţărilor ce pot exploata vulnerabilităţile organizaţiei în raport cu aceste obiective.
DESCRIERE
Metodologia descrisă se bazează pe identificarea efectului incertitudinii asupra atingerii obiectivelor.
Astfel, metoda aleasă pentru calculul nivelului de risc este: Risc = Probabilitate x 10 x Impact.
Probabilitatea va avea valori între 0 şi 100%, iar impactul între 0 şi 5, conform tabelului de mai jos:
Probabilitate de apariţie
Tip impact Numărapariţii/an Punctaj
Foarteridicat [....] (80%-100%] = prezenţă extrem de probabilă
Ridicat (60%-80%] = prezenţă foarte probabilă
Impact
Tip impact Valoare impact / lei Punctaj
Foarte ridicat [........] 5 = impact major
Ridicat 4 =impact considerabil
Întrucât produsul maxim poate avea valoarea 50, pentru nivelul de risc se defineşte valoarea 20 ca fiind
valoarea pragului de risc acceptat. Orice risc sub această valoare este asumat de organizaţie.
Riscurile identificate cu valori între (20,50] nu sunt acceptate şi trebuie tratate pentru a fi reduse sub
valoarea pragului de risc acceptat, prin aplicarea sistematică a măsurilor de securitate. CSI informează
conducerea dacă, totuşi, nivelul de risc rămâne peste valoarea de prag stabilită, chiar şi după aplicarea
măsurilor de securitate.Riscurile care depăşesc valoarea de 20 se pot asuma de către conducere sau se
încearcă transferarea lor prin încheierea unei poliţe de asigurare sau prin luarea unor măsuri de evitare a
lor.
Pentru noile riscuri ce vor fi identificate şi introduse ulterior în analiza de risc se va folosi, întotdeauna,
aceeaşi formulă de calcul pentru a se asigura obţinerea de rezultate comparabile şi care pot fi reproduse.
Pentru aceasta, se va ţine seama de încadrarea cea mai bună a probabilităţii de apariţie şi a impactului, în
funcţie de nivelurile definite mai sus.
Se va ţine seama de riscurile specifice zone igeografice în care se afla organizaţia, dar şi de datele
statistice furnizate de diverse instituţii specializate.
Riscurile trebuie identificate la orice nivel unde se sesizează că există consecinţe asupra atingerii
obiectivelor şi pot fi luate măsuri specifice de soluţionare a problemelor ridicate de respectivele riscuri.
Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a căror realizare este afectată
de materializarea lor. Din această cauză, existenţa unui sistem de obiective clar definite în organizaţie
constituie premisa esenţială pentru identificarea şi definirea riscurilor.
Riscul este o incertitudine şi nu ceva sigur. Prin urmare, atunci când este identificat, ,,riscul” trebuie
analizat dacă nu este vorba despre o situaţie existentă, care are un impact asupra obiectivului. De
cele mai multe ori, situaţia existentă reprezintă un risc materializat, adică unul care s-a produs. În
niciunul din cazurile de mai sus nu mai este vorba despre un risc, ci despre o problemă dificilă, care
trebuie gestionată sau despre o oportunitate care trebuie exploatată. Nu constituie riscuri probleme
(situaţii, evenimente) care nu pot apărea. Riscurile sunt probleme care pot apărea şi nu probleme
(situaţii, evenimente) a căror apariţie este imposibilă.
Nu constituie risc o problemă care va apărea cu siguranţă. Acestea nu sunt riscuri, ci certitudini.
Riscurile nu trebuie definite prin impactul lor asupra obiectivelor. Impactul nu este risc, ci consecinţa
materializării riscurilor asupra realizării obiectivelor. Impactul este un efect ce îşi are orginea în risc şi
nu riscul însuşi. Riscurile sunt situaţii, evenimente probabile, care, dacă s-ar materializa, ar avea
consecinţe asupra obiectivelor.
Nu se identifică riscuri care nu afectează obiectivele. Nu există riscuri în mod absolut, ci numai riscuri
corelate cu obiectivele.
Identificarea riscurilor nu este un scop în sine.
Scopul identificării riscurilor este tocmai inventarierea acelor probleme care ar putea conduce la
nerealizarea obiectivelor, dacă s-ar materializa (ar deveni situaţii de fapt).
NOTĂ: Trebuie precizat faptul că, încă din etapa de Planificare a SMSI, se stabilesc şi măsurile de
securitate ce vor fi luate pentru reducerea riscurilor (aplicarea efectivă a măsurilor se va face în etapa de
Implementare a SMSI). Tot în faza de planificare se vor estima şi riscurile reziduale ce rămân în urma
aplicării măsurilor selectate.
Toate riscurile reziduale se vor conştientiza şi accepta de către conducere. Dovada acceptării o poate
constitui semnătura managementului de vârf pe planul de analiză şi de tratare a riscurilor.
ÎNREGISTRĂRI APLICABILE
Formular – Analiza riscului şi plan de tratare a riscului, cod:………
Analiza riscului şi planul de tratare a riscului (partea I)
Obiectiv Tipul de Ameninţarea Vulnerabilitatea Probabilitatea Impactul Riscul calculat
risc (Input) (Input)
În ediţiile viitoare ale revistei vom prezenta alte elemente privind managementul riscurilor în cadrul unui
sistem de management.
Gestionarea riscurilor într-un sistem de management
27.06.2011 | MANAGEMENT & CALITATE | Mihai Gheorghe
În acest articol ne propunem să prezentăm un cadru general unitar de identificare, analiză bşi gestionare a
riscurilor la nivelul tuturor compartimentelor unei organizaţii. Metodologia prezentată permite
managementului şi personalului organizaţiei să identifice elementele de nesiguranţă privind atingerea
obiectivelor stabilite (atât a celor generale cât şi a celor specifice) şi riscul asociat acestora (deciderea
acţiunilor care să îl limiteze sau să îl înlăture).
1. Definiţii aplicabile
Risc - O problemă (situaţie, eveniment etc.) care nu a apărut încă, dar care poate apărea în viitor, caz în
care obţinerea rezultatelor prealabil fixate este ameninţată sau potenţată. În prima situaţie, riscul
reprezintă o ameninţare, iar în cea de-a doua, riscul reprezintă o oportunitate. Riscul reprezintă
incertitudinea în obţinerea rezultatelor dorite şi trebuie privit ca o combinaţie între probabilitate şi impact.
Probabilitatea de materializare a riscului - Posibilitatea sau eventualitatea ca un risc să se
materializeze.
Impactul - Reprezintă consecinţa (efectul) asupra rezultatelor (obiectivelor), dacă riscul s-ar materializa.
Dacă riscul este o ameninţare, consecinţa asupra rezultatelor este negativă, iar dacă riscul este o
oportunitate, consecinţa este pozitivă.
Expunere la risc - Consecinţele, ca o combinaţie de probabilitate şi impact, pe care le poate resimţi o
organizaţie în raport cu obiectivele prestabilite, în cazul în care riscul se materializează. Se defineşte ca
produsul dintre probabilitate şi impact.
Materializarea riscului - Translatarea riscului din domeniul incertitudinii (posibilului) în cel al certitudinii (al
faptului împlinit). Riscul materializat se transformă dintr-o problemă posibilă într-o problem dificilă, dacă
riscul reprezintă o ameninţare, sau într-o situaţie favorabilă, dacă riscul reprezintă o oportunitate.
Atenuarea riscului - Măsurile întreprinse pentru diminuarea probabilităţii (posibilităţii) de apariţie a riscului
sau/şi de diminuare a consecinţelor (impactului) asupra rezultatelor (obiectivelor) dacă riscul s-ar
materializa. Mai concis, atenuarea riscului reprezintă diminuarea expunerii la risc, dacă acesta este o
ameninţare.
Evaluarea riscului - Evaluarea consecinţelor materializării riscului, în combinaţie cu evaluarea
probabilităţii de materializare a riscului. Mai concis, evaluarea riscului reprezintă evaluarea expunerii la
risc.
Strategia de risc - Abordarea generală pe care o are organizaţia în privinţa riscurilor. Ea trebuie să fie
documentată şi uşor accesibilă în organizaţie. În cadrul strategiei de risc se defineşte toleranţa la risc.
Toleranţa la risc - ,,Cantitatea” de risc pe care o organizaţie este pregătită să o tolereze sau la care este
dispusă să se expună la un moment dat.
Risc inerent - Expunerea la un anumit risc, înainte să fie luată vreo măsură de atenuare a lui.
Risc rezidual - Expunerea cauzată de un anumit risc după ce au fost luate măsuri de atenuare a lui.
Măsurile de atenuare a riscurilor aparţin controlului intern. Din această cauză riscul rezidual este o măsură
a eficacităţii controlului intern, fapt pentru care unele ţări au înlocuit termenul de risc rezidual cu cel de risc
de control.
Gestionarea riscurilor sau managementul riscurilor – Toate procesele privind identificarea, evaluarea
şi aprecierea riscurilor, stabilirea responsabilităţilor, luarea de măsuri de atenuare sau anticipare a
acestora, revizuirea periodică şi monitorizarea progresului.
Managementul riscului - metodologie care vizează asigurarea unui control global al riscului, ce permite
menţinerea unui nivel acceptabil al expunerii la risc pentru entitate, cu costuri minime.
Proces - ansamblul de activităţi corelate sau interactive care transformă elementele de intrare în elemente
de ieşire;
Registrul de riscuri - reprezintă instrumental de lucru, care cuprinde, sub forma unui tabel, elementele
necesare gestionării eficiente a riscurilor;
Responsabil de risc - persoana (conducătorul unei structuri) din cadrul organizaţiei, desemnată să
gestioneze riscurile existente, corespunzător nivelului ierarhic al acesteia, în scopul atingerii obiectivelor
cărora le sunt asociate respectivele riscuri.
2. Prescurtări
CGR: Comisia de gestionare a riscurilor;
Elemente generale cu privire la identificarea riscurilor
Riscurile trebuie identificate la orice nivel unde se sesizează că există consecinţe asupra atingerii
obiectivelor şi pot fi luate măsuri specifice de soluţionare a problemelor, ridicate de respectivele riscuri.
Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a căror realizare este afectată de
materializarea lor. Din această cauză existenţa unui sistem de obiective clar definite în organizaţie
constituie premisa esenţială pentru identificarea şi definirea riscurilor.
Riscul este o incertitudine, şi nu ceva sigur. Prin urmare, atunci când se identifică un ,,risc” trebuie
analizat dacă nu este vorba despre o situaţie existentă, care are un impact asupra obiectivului. De cele
mai multe ori, situaţia existentă reprezintă un risc materializat, adica unul care s-a produs. În niciunul din
cazurile de mai sus nu mai este vorba despre un risc, ci despre o problemă dificilă, care trebuie
gestionată sau despre o oportunitate care trebuie exploatată.
Nu constituie riscuri, probleme (situaţii, evenimente) care nu pot apărea.
Riscurile sunt probleme care pot apărea şi nu problem (situaţii, evenimente) a căror apariţie este
imposibilă.
Riscurile nu trebuie definite prin impactul lor asupra obiectivelor.Impactul nu este risc, ci consecinţa
materializării riscurilor asupra realizării obiectivelor. Impactul este un efect ce îşi are sorgintea în risc şi nu
riscul însăşi. Riscurile sunt situaţii, evenimente probabile, care dacă s-ar materializa ar avea consecinţe
asupra obiectivelor.
Nu se identifica riscuri care nu afectează obiectivele. Nu există riscuri în mod absolut, ci numai riscuri
corelate cu obiectivele. Identificarea riscurilor nu este un scop în sine. Scopul identificării riscurilor este
tocmai inventarierea acelor probleme care ar putea conduce la nerealizarea obiectivelor, dacă s-ar
materializa (ar deveni situaţii de fapt).
E = expunerea la risc
X = probabilitatea
Y = impactul
Din raţiuni de a pune mai bine în evidenţă ierarhia, scalele calitative sunt transformate în scale numerice.
Riscul inerent şi riscul rezidual sunt două ipostaze ale aceluiaşi risc: înainte de introducerea unui
instrument de control intern şi, respectiv, după introducerea unui instrument de control intern.
Erisc inerent > Erisc rezidual (continuare numărul viitor)
Gestionarea riscurilor într-un sistem de management (II)
25.08.2011 | MANAGEMENT & CALITATE | Mihai Gheorghe
(11)
Dificultăți -
întâmpinate - (7)
-
(1)
Cauza
(2)
Impact
/Consecinte
(3)
Evaluarea riscului (Expunerea)
Probabilitatea
riscului
1 2 3 4 5
F. scazuta Scazuta Medie Mare F. mare
0% -… 10% - ….. 35% - … 65% - … 85% - …
(4)
Impactul riscului (5)
1 2 3 4 5
F. scazut Scazut Mediu Ridicat F. ridicat
Expunerea (P x I) = (6)
Tratarea riscului
(13) (14)
Investigații suplimentare
Înregistrare
5.
4. ,,Baza de calcul pentru evaluarea riscurilor”, Cod: .........
BAZA DE CALCUL
pentru evaluarea riscurilor inerente identificate în cadrul..........................
(denumirea serviciului / biroului / secției)
Denumirea Impactul Probabilitatea Nivelul de Expunerea
riscurilor aferent aferentă risc inerent raportata la
Nr. inerente riscului riscului inerent (Expunerea) limita de
crt. inerent (col. 2 x col. toleranta
3)
0 1 2 3 4 5
5.
4. ,,Planul de acțiuni pentru minimizarea riscurilor inerente”, Cod: .....
PLANUL DE ACŢIUNI
pentru minimizarea riscurilor inerente identificate în cadrul…………………
(denumirea Serviciului /Biroului /Secției)
Nr. Denumirea Denumirea Persoana/persoanele Data limita Observatii
crt. riscurilor acţiunii de responsabile cu de
inerente minimizare implementarea implementare
a riscului acţiunii de a acţiunii de
inerent minimizare a riscului minimizare a
inerent riscului
inerent
0 1 2 3 4 5