Mapa rizík v praxi: ako z nej spraviť podklad pre rozhodovanie

Mapa rizík je moment, keď sa z „máme veľa problémov“ stane jasná diskusia o prioritách. V jednom výstupe ukáže, ktoré riziká sú pre firmu kritické, ktoré sú zvládnuteľné a ktoré si viete vedome nechať ako nižšiu prioritu. Je jednoduchá, a práve preto funguje aj mimo IT. Vedenie, prevádzka aj bezpečnosť sa pozerajú na rovnaký prehľad.

Ak už máte spracovaný register rizík, mapa rizík je jeden z najlepších spôsobov, ako z neho spraviť výstup, ktorý sa dá odprezentovať za pár minút. A ak register ešte nemáte, mapa vám aspoň pomôže nastaviť poradie a dohodnúť sa na tom, čo znamená „kritické“ vo vašej realite.

Mapa rizík: čo má ukázať vedeniu

Dobrá mapa rizík neodpovedá na sto otázok. Odpovedá na tri najdôležitejšie:

• kde sú najväčšie dopady na biznis, ak sa niečo pokazí,

• ktoré riziká sú už za hranicou toho, čo je pre firmu prijateľné,

• čo sa v čase mení, teda či riziká znižujete alebo sa len presúvajú.

Pre vedenie je podstatná zrozumiteľnosť. Preto sa oplatí mať pri každom kritickom bode krátky popis scenára a jasného vlastníka. V praxi to znamená, že pri riziku nie je len názov, ale aj stručné vysvetlenie, čo presne sa stane a čo to urobí s kľúčovým procesom, napríklad s fakturáciou, objednávkami, výrobou alebo zákazníckou podporou.

Ako čítať mapu rizík

Najčastejšia chyba je pozerať sa na mapu len ako na zoznam červených bodov. Jej skutočný význam je vo vzoroch.

Ak vidíte zhluk v pravom hornom rohu, zvyčajne to znamená systémový problém. Môže ísť o priveľa závislostí, slabé riadenie prístupov alebo nevyriešené základné hygienické témy. Vtedy nepomáha riešiť každý bod samostatne, ale vybrať dve až tri oblasti, ktoré znížia viac rizík naraz.

Dlhý rad stredných rizík často ukazuje, že chýbajú hranice akceptácie. Ak je všetko „stredné“, mapa rizík nepodporuje rozhodovanie, len odkladanie.

Osamelý bod s vysokým dopadom a nízkou pravdepodobnosťou býva typické riziko, ktoré sa neoplatí ignorovať. Potrebuje jasné rozhodnutie: znížiť, preniesť alebo vedome akceptovať.

Mapa rizík je najužitočnejšia vtedy, keď sa pri každom významnom riziku viete dohodnúť na ďalšom kroku, aj keby to malo byť len ponechanie ako zvyškového rizika s pravidelným prehodnocovaním.

Mapa rizík v praxi: tri typické situácie

Ak je väčšina bodov v najvyššej zóne, problém býva skôr v metodike než v realite. Najčastejšie chýbajú definície stupňov dopadu a pravdepodobnosti alebo sa hodnotí príliš všeobecne. Pomáha spresniť scenáre a rozdeliť veľké riziká na menšie, aby sa dali porovnávať.

Ak je veľa bodov v strede, ide o častý stav vo firmách, ktoré už riziká riešia, ale nemajú

jasnú hranicu, čo je ešte prijateľné. Vtedy má zmysel zaviesť pravidlo, pri akej úrovni rizika musí existovať rozhodnutie a kto ho schvaľuje. Bez toho sa mapa časom nemení, len sa prefarbuje podľa nálady na porade.

Ak máte pár kritických bodov a zvyšok nízky, obraz vyzerá ideálne, ale treba si dávať pozor na slepé miesta. Ak je mapa príliš čistá, často v nej chýbajú riziká z dodávateľského reťazca, z prístupov alebo z prevádzky. Pomáha prejsť si aktíva a procesy: čo zastaví firmu, čo spôsobí právne povinnosti a kde ste závislí od tretích strán.

Mapa rizík a audit

Pri audite sa nerozhoduje podľa toho, či máte peknú grafiku. Rozhoduje sa podľa toho, či je mapa obhájiteľná.

Dôležité je vedieť ukázať:

• pravidlá hodnotenia, aby výsledok nebol len pocit,

• dôvod, prečo je riziko v danej zóne,

• vlastníka každého významného rizika,

• stav a vývoj riadených rizík v čase, teda či sú neriešené, znížené, zvyškové alebo akceptované,

• výstupy použiteľné pre audit a dohľad.

Ak mapa rizík žije, pri kontrole sa dá jednoducho ukázať, čo sa zmenilo od poslednej revízie a na základe čoho ste prijali rozhodnutia.

Aby mapa rizík nezostarla

Mapa má zmysel len vtedy, keď sa k nej vraciate. Nie každý týždeň a nie ako ďalšiu povinnosť, ale v rytme, ktorý sedí vašej firme.

V praxi funguje jednoduchý režim:

• krátka revízia raz mesačne, či sa niečo výrazne nezmenilo,

• hlbšia revízia kvartálne, aby bolo jasné, ktoré riziká sa znížili, ktoré ostali zvyškové a ktoré boli vedome akceptované,

• mimoriadna revízia po veľkej zmene, napríklad po migrácii, zmene infraštruktúry alebo reorganizácii procesov.

Dôležité je, aby výsledkom revízie nebola len nová farba v mape. Malo by tam byť dohľadateľné rozhodnutie: čo sa mení, prečo a kto je vlastník.

Ako pomáha RiskMinder

Najväčší problém pri mape rizík nie je nakresliť maticu. Najťažšie je udržať konzistentnosť: rovnaké pomenovania, rovnaké pravidlá hodnotenia a rovnaký typ výstupu aj o tri mesiace.

RiskMinder podporuje najmä procesnú časť riadenia rizík:

• vedenie registra aktív, hrozieb, zraniteľností a rizík v jednom prostredí,

• jednotné hodnotenie rizík podľa definovaných pravidiel,

• priradenie vlastníkov rizík,

• sledovanie stavu a vývoja riadených rizík, teda či sú neriešené, znížené, zvyškové alebo akceptované,

• rozširovanie katalógov podľa potrieb zákazníka, napríklad pre hrozby, zraniteľnosti, následky a opatrenia

• generovanie výstupov použiteľných pre audit a dohľad.

Keď je mapa rizík prepojená na register, vlastníkov a pravidelnú revíziu, prestane byť len obrázkom do prezentácie. Začne fungovať ako praktický podklad pre rozhodovanie aj mimo IT.

FAQ