Analiza ryzyka

Analiza ryzyka – określone działania skierowane na obniżenie negatywnego wpływu ryzyka na funkcjonowanie danego podmiotu i podejmowanie odpowiednich działań służących przeciwdziałaniu i ograniczaniu ryzyka (zdefiniowanego w ISO 31000 jako efekt niepewności celów). Pozwala na identyfikację, ocenę i monitorowanie poziomu ryzyka w sposób jakościowy i ilościowy, najczęściej przy wykorzystywaniu odchylenia standardowego i współczynnika zmienności^[1].

Analiza ryzyka jest jednym z podstawowych elementów procesu zarządzania ryzykiem.

Wyróżnia się kilka rodzajów podejścia do analizy^[2]:

1. podejście podstawowego poziomu – zastosowanie standardowych zabezpieczeń,
2. podejście nieformalne – oparte na wiedzy i doświadczeniu ekspertów,
3. szczegółowa analiza ryzyka – z wykorzystaniem technik analizy ryzyka,
4. podejście mieszane.

Analiza ryzyka jest narzędziem wykorzystywanym m.in. do:

• przygotowania polityki bezpieczeństwa i systemów zarządzania bezpieczeństwem,
• zarządzania projektem,
• zarządzania przedsiębiorstwem,
• różnego rodzaju analiz biznesowych,
• podejmowania decyzji inwestycyjnych,
• podejmowania decyzji kredytowych.

Sposoby realizacji analizy ryzyka

1. Krok pierwszy: Inwentaryzacja zasobów. W tym kroku należy sprawdzić, jakie posiadamy zasoby zarówno wewnętrzne, jak i zewnętrzne, określić ich krytyczność oraz aktualną ochronę.
2. Krok drugi: Określenie zagrożeń potencjalnych naruszeń bezpieczeństwa. Tutaj należy zastanowić się, co może negatywnie wpłynąć na zasób. Rozważa się czynnik ludzki, naturalny, zmiany technologiczne oraz prawno-organizacyjne.
3. Krok trzeci: Określenie podatności realnych luk / słabości. Jako że już mamy przyporządkowany szereg potencjalnych zagrożeń, musimy sprawdzić, czy one realnie mogą zagrozić bezpieczeństwu. Tutaj należy wykonać testy penetracyjne.
4. Krok czwarty: Określenie ryzyka. Sprawdzamy wpływ wykorzystania konkretnych, zdefiniowanych wcześniej podatności na organizację.
5. Krok piąty: podjęcie decyzji o ryzyku. Z ryzykiem, które wystąpi, możemy zareagować na 4 sposoby: zredukować, zaakceptować, przekazać albo uniknąć^[3].

Wady technik analizy ryzyka

Większość stosowanych metod analizy ryzyka odznacza się takimi słabościami jak:

• niepełność kategorii ryzyka,
• brak wystarczających danych,
• nieuwzględnianie ryzyka wtórnego,
• nieuwzględnianie zagrożenia spowodowanego umyślnie,
• trudność jednoznacznej interpretacji wyników^[1].

Narzędzia do analizy ryzyka[4]

Analiza lub inaczej kwantyfikacja ryzyka to proces oceniania ryzyka pod kątem zagrożenia, jakie ono stwarza dla realizacji celów projektu. Ryzyko w miarę możliwości w tym etapie sprowadza się do wartości mierzalnych, tzw. prawdopodobieństwa wystąpienia i wysokości możłiwej straty. Techniki kwantyfikacji ryzyka wykorzystują analizę EMV, motodę PERT, metody symulacyjne, drzewa decyzyjne, metodę delficką.