Hogyan zajlik az éves kockázatelemzés?

A kockázatok felismerése, elemzése és kezelése egyre hangsúlyosabbá válik minden intézmény életében. Miért? Erre a kérdésre a választ a Bkr 2. § m) bekezdése alapján feltárt fogalom nagyon jól megadja. E szerint „a kockázat a szervezeti célok elérését veszélyeztető tényező”.

Egyetlen vezető sem akarná, hogy bármilyen válsághelyzet veszélybe sodorja az intézményét.

Egy korábbi cikkemben, amelynek címe: „Hogyan lehet azonosítani a kockázatokat? [ide majd linkeld be a cikket], már tisztáztam néhány kérdést a kockázatokkal kapcsolatban.

Ezek a következők:

• Mit jelent a kockázat?
• Hogyan kapcsolódik a szervezet céljaihoz?
• Miként hiúsítja meg azokat?
• Mi a kockázati univerzum?
• Hogyan lehet azonosítani a kockázatokat?
• Hogyan kell helyesen megfogalmazni őket?

Ebben a cikkben pedig azt fogom bemutatni, hogyan értékeljük a kockázatokat, és hogyan zajlik egy éves kockázatelemzési folyamat.

Hogyan zajlik az éves kockázatelemzés?

Először tisztázzuk az általános adatokat, mint a felmérés időpontja, helyszíne, székhelye, a felmérésben résztvevő szereplők, illetve vezetők. Az éves felülvizsgálat során az adott intézmény tevékenységeit és folyamatot nézem át. Megállapítom, hogy a kockázatkezelési rendszer hatékonyan működik vagy sem.

Fontos, hogy a vezetők a felmérés során tájékoztassanak az év folyamán újonnan jelentkező kockázatokról.

Átnézem továbbá azt is, hogy a felmérésben résztvevő folyamatgazdák a jóváhagyott kockázatkezelési szabályzatban foglaltaknak megfelelően azonosították és értékelték-e a kockázatokat.

Ezt követően a vezetők által megküldött kockázatokat kockázati érték szerint csökkenő sorrendbe rendezem. Ez az úgynevezett kockázati térkép.

A jelölések a következőképp néznek ki:

• 20-25 kockázati érték: Magas (piros),
• 10-19 kockázati érték: Közepes (sárga),
• 1-9 kockázati érték: Alacsony (zöld).

A kockázatkezelés folyamatának lépései

Az első lépés a kockázatok meghatározása, amelynek során azt is megnézzük, mit veszélyeztet az adott kockázat. Célokat, gazdasági vagy jogszabályi környezetet, folyamatokat stb. Ezt követően azonosítjuk őket úgy, hogy számba vesszük a lehetséges veszélyeket is.

Az elemzés során csoportosítjuk a kockázatokat, megítéljük a várható hatásokat, és azok bekövetkezésének valószínűségét. Ezt követi az értékelés szakasza, ahol a kockázati szintekről esik szó, illetve meghatározzuk a védettséget és a kockázat kezeléséhez szükséges erőforrásokat.

El is érkeztünk a válaszlépésekig. Itt eldöntjük, hogyan kezeljük a kockázatot. Végül pedig jöhet a monitoring, vagyis megnézzük, hogy jól csináltuk-e a kockázatkezelést. Megfigyeljük, milyen hatások keletkeztek, nyomon követjük az intézkedések hatékonyságát, és erről tájékoztatjuk a vezetést is.

A kockázatok összesítése folyamatonként

A kockázatelemzés eredményeit és kiértékelését a Kockázatelemzés összesítése, éves felülvizsgálat, kockázatok kezelése dokumentáció tartalmazza. Ebben az elemzésben feltüntetem többek között, hogy egyes folyamatok esetében hány kockázatot sikerült azonosítani.

Az összesítés a kategóriák szerint (alacsony és közepes kockázati kategória) történik.

Íme egy példa:

A dokumentáció tartalmaz továbbá egy sávdiagrammot is, amely az egyes folyamatok kockázati érintettségét szemlélteti vizuálisan.

A sávokban szereplő számok a folyamatban azonosított kockázatok számát jelzik kategóriánként:

Ebből a diagrammból pontosan látható, hogy egy ellenőrzés során az adott intézménynél mely folyamatokban azonosítottuk a legtöbb kockázatot. Az egyik a közterület felügyelet, ahol szám szerint 13 kockázat van jelen, amelyből 7 alacsony, 6 pedig közepes.

Ezt követi a Főügyelet (12), a Követeléskezelés (11), az Ügyfélszolgálat (11) és a Parkolás (10). Ezen 5 folyamat esetében közel azonos a kockázatok száma.

Átlagos kockázati érték

A dokumentáció következő fontos táblázata a folyamatok átlagos kockázati érték szerinti kategorizálását hivatott összefoglalni.

Íme:

Természetesen ehhez is tartozik egy sávdiagramm, amely szintén átláthatóbbá és érthetőbbé teszi az adatokat.

A kockázatok összesítési kockázati típusonként

A dokumentáció alábbi táblázata azt mutatja be, hogy az egyes kockázati típusokból hány került azonosításra, és ezek milyen súlyosságúak (kockázati kategória).

A legjellemzőbb kockázati típus az informatikai kockázat.

A kockázatok elemzése után megállapítjuk, milyen lépéseket tehetünk a kockázatok kezelése érdekében, illetve ehhez milyen erőforrásaink vannak ehhez. Ezután pedig nyomon követjük az eredményeket, így megállapíthatjuk, mennyire volt hatékony a kockázatkezelési eljárás.

Láthatja, hogy egy kockázatelemzés összetett folyamat, ugyanakkor az intézmény érdekeit szolgálja. Ezért fontos évente elvégezni. Ezzel akár több válsághelyzettől is megkímélheti magát és intézményét.