Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

I Konferencja zarządzania ciągłością działania Szczytno dr inż. Janusz Zawiła-Niedźwiecki 1 11.09.2012 Od identyfikacji.

Podobne prezentacje


Prezentacja na temat: "I Konferencja zarządzania ciągłością działania Szczytno dr inż. Janusz Zawiła-Niedźwiecki 1 11.09.2012 Od identyfikacji."— Zapis prezentacji:

1 I Konferencja zarządzania ciągłością działania Szczytno dr inż. Janusz Zawiła-Niedźwiecki Od identyfikacji ryzyka do rozwiązań bezpieczeństwa i ciągłości działania

2 JZ-N dyrektor IT Giełdy Papierów Wartościowych ( ), nagroda Lider Informatyki 1998 członek zarządu i dyr. zarządzający PZU ( ) kierownik projektu PLICBD (część systemu tel.112) w UKE ( ), nagroda UE dla najlepiej zarządzanego projektu w administracji publicznej Casus Unicus sp. z o.o., edu-Libri s.c. pracownik naukowy Wydz. Zarządzania Politechniki W. wykładowca Collegium Civitas i Uniw.Ek. we Wrocławiu członek Polskiej Komisji Akredytacyjnej przewodniczący Rady Fundacji im. Prof. K. Bartla Janusz Zawiła-Niedźwiecki

3 I Konferencja zarządzania ciągłością działania Nauka jest najciekawsza tam, gdzie się kończy Leibnitz Ryzyko – bezpieczeństwo – ciągłość działania Janusz Zawiła-Niedźwiecki

4 Agenda triada : ryzyko – bezpieczeństwo – ciągłość działania niepewność a ryzyko typologia ryzyka zarządzanie ryzykiem bezpieczeństwo i niebezpieczeństwo zapewnianie ciągłości działania jakość – ryzyko – bezpieczeństwo – ciągłość działania Janusz Zawiła-Niedźwiecki

5 Triada: R – B – C Copyright © 2012 Janusz Zawiła-Niedźwiecki / /

6 Janusz Zawiła-Niedźwiecki Środowisko społeczne Zarządzanie kryzysowe Środowisko biznesowe Środowisko techniczne Teoria niezawodności technicznej Zapewnianie ciągłości działania Teoria organizacji i zarządzania

7 Ryzyko to szansa (gdzie byłby świat, gdyby Kolumb się bał ?) Ryzyko to zagrożenie Janusz Zawiła-Niedźwiecki

8 Tradycja teorii ryzyka niezawodność techniczna ubezpieczenia bankowość wojskowość ekonomia (cykle koniunktury) loty kosmiczne informatyka ekologia niepokoje społeczne Janusz Zawiła-Niedźwiecki

9 Niepewność jest cechą rzeczywistości, wynikającą z wielkiej złożoności oraz zmienności obiektów i zjawisk w naturze oraz zależności zachodzących między nimi. Zasada niepewności stwierdza, że zjawiska w rzeczywistości otaczającej człowieka są zawsze niepewne, a skoro są niepewne, to należy je traktować jako przypadkowe. Jeśli można odnaleźć w przyrodzie pewne prawidłowości odnośnie danego zjawiska, to tylko oparte na prawdopodobieństwie i statystycznym prawie wielkich liczb. Janusz Zawiła-Niedźwiecki9

10 Ryzyko zachodzi gdy podjęte przez nas działanie lub decyzja może być traktowane jako próba w eksperymencie podzielnym, tj. gdy wynik może być określony za pomocą jednego z trzech rodzajów prawdopodobieństwa: matematycznego, statystycznego lub szacunkowego, z których każde opiera się na obiektywnej wiedzy. Wiedza ta musi usprawiedliwić przekonanie, że to co zaszło w przeszłości powtórzy się w przyszłości. Istotą ryzyka jest prawdopodobieństwo, które zakłada wiedzę, a ta wyklucza niepewność. Janusz Zawiła-Niedźwiecki10

11 Ryzyko to iloczyn wagi zagrożenia i prawdopodobieństwa jego wystąpienia R = Wz x Pw Baza analizy: statystyka metoda ekspercka Janusz Zawiła-Niedźwiecki

12 Typologia ryzyka Model przyczynowo-skutkowy klasyfikacji ryzyka Janusz Zawiła-Niedźwiecki Ujęcie przyczynowe (klasyfikacja wg zagrożeń) Ujęcie skutkowe (klasyfikacja wg zakłóceń) Ujęcie spełniania się ryzyka (klasyfikacja wg podatności)

13 Typologia ryzyka Janusz Zawiła-Niedźwiecki ryzyko. operacyjne podmiotu ryzyko biznesowe podmiotu ryzyko branżowe ryzyko uniwersalne finansowe ryzyko uniwersalne społeczne Podmiot gospodarczy danej branży ryzyko wewnętrzne ryzyko zewnętrzne

14 Ryzyko biznesowe a ryzyko operacyjne Zagrożenie a zakłócenie Janusz Zawiła-Niedźwiecki

15 Ryzyko biznesowe to ryzyko strat w wyniku niewłaściwych decyzji co do doboru klientów, kształtu produktów i usług lub zobowiązań wobec partnerów biznesowych albo w wyniku niesprawności lub niespójności systemu gospodarczego państwa. Copyright © 2011 Janusz Zawiła-Niedźwiecki

16 16 Ryzyko operacyjne to ryzyko strat w wyniku niewłaściwego (nieadekwatnego) lub błędnego działania procesu, ludzi i systemów lub wpływu wydarzeń zewnętrznych Janusz Zawiła-Niedźwiecki

17 Ryzyko operac. wg Basel II Ryzyko oszustwa ze strony pracowników, np. intencjonalne zafałszowanie dokumentów lub danych, kradzież, bezprawne udostępnianie informacji poufnych Ryzyko oszustwa pochodzące z zewnątrz, np. włamanie, fałszerstwo dokumentu, włamanie do systemu komputerowego Ryzyko w zakresie zasad zatrudniania i bhp, np. odpowiedzialność za szkody wobec pracownika, naruszenie zasad bhp przez pracodawcę, aktywność związków zawodowych, akty dyskryminacji pracowników Janusz Zawiła-Niedźwiecki

18 Ryzyko operac. wg Basel II Ryzyko w zakresie zasad pracy z klientami, produktami i w biznesie, np. naruszenia poufności danych klienta, nieuprawnione operacje na rachunkach, pranie pieniędzy, sprzedaż nielegalnych produktów Ryzyko szkód zasobów materialnych, np. terroryzm, wandalizm, trzęsienie ziemi, pożar, powódź Ryzyko zakłócenia prowadzenia biznesu i niesprawności systemu, np. zakłócenia w funkcjonowaniu sprzętu i oprogramowania informatycznego, zakłócenia telekomunikacji Ryzyko zarządzania wykonywaniem zadań, dostawami i procesami, np. błędy we wprowadzaniu danych, błędne weryfikacje, niekompletna dokumentacja, niezweryfikowany dostęp do danych, spory z dostawcami Janusz Zawiła-Niedźwiecki

19 19 Problem Czy ktokolwiek potrafi powiedzieć wg jakich kryteriów dokonano klasyfikacji ryzyka operacyjnego wg Basel II ? Sięgnijmy po kryteria teorii organizacji, z których np. korzysta także ISO Janusz Zawiła-Niedźwiecki

20 20 Analiza wpływu ryzyka na działalność procesy podatności zagrożenia Janusz Zawiła-Niedźwiecki

21 PODATNOŚCI Sprawność operacyjna ZAGR OŻENI A Otoczenie Procesy podstawowe Procesy pomocnicze Obszary materiali zowania się ryzyka (jako wyraz bezpie- czeństwa zasobów i zorganiz owania) Postulaty organizacji idealnej (jako wyraz celu zarządzania) Skuteczny Efektywny (optymalny organizacyjnie) Racjonalny (optymalny kosztowo) BezpiecznyPowtarzalny Zasoby osobowe Zasoby materialne Zasoby finansowe Zasoby informacyjne Procesy zarządzania Zorganizowanie

22 PODATNOŚCI Sprawność operacyjna ZAG ROŻ ENI A Otoczenie Ryzyko katastrof naturalnych Ryzyko terroryzmu Ryzyko zewnętrznego zakłócenia funkcjonalnego środowiska pracy (np. brak dostępu do siedziby) Procesy podstawowe Ryzyko zakłócenia fizycznego środowiska pracy (np. za wysoka temperatura) Ryzyko wewnętrznego zakłócenia funkcjonalnego środowiska pracy (np. strajk, wypadek) Ryzyko zakłócenia technicznego (pozainformatycznego) środowiska pracy (np. awaria klimatyzacji) Ryzyko zakłócenia informatycznego środowiska pracy (np. awaria komputera) Procesy pomocnicze Obszary materiali zowania się ryzyka (jako wyraz bezpie- czeństwa zasobów i zorgani- zowania) Postulaty organizacji idealnej (jako wyraz celu zarządzania) Skuteczny Efektywny (optymalny organizacyjnie) Racjonalny (optymalny kosztowo) BezpiecznyPowtarzalny Zasoby osobowe Ryzyko braku kompetencji Ryzyko braku rezerw osobowych Ryzyko fluktuacji kadr Ryzyko relatywizmu interpretacji Ryzyko rutyny (skostnienia) Ryzyko złej woli Zasoby materialne Ryzyko braku funkcjonalności Ryzyko braku rezerw materialnych Ryzyko ubocznych skutków Ryzyko zużywania się Zasoby finansowe Ryzyko nietrafności wydatków Ryzyko nadmiernych wydatkówRyzyko wyczerpania środków Zasoby informacyj ne Ryzyko braku pełnej treści Ryzyko nienadążania za rozwojem Ryzyko niedostępności Ryzyko zniekształcenia Procesy zarządzania Zorganizo wanie Ryzyko incydentu (awarii) Ryzyko braku potencjału organizacyjnego Ryzyko prymatu bezpieczeństwa nad skutecznością Ryzyko braków

23 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (1) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko katastrof naturalnych: P - naturalne, przyrodnicze. M - opisany przez nauki przyrodnicze. S - od przyrodniczych (zmiany w środowisku naturalnym), przez społeczne, po dotyczące pojedynczych osób, podmiotów czy lokalizacji. E - trzęsienie ziemi, powódź, huragan, rozległy pożar, nawalne opady deszczu, gradu, śniegu. Copyright © 2011 Janusz Zawiła-Niedźwiecki

24 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (2) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko terroryzmu: P - społeczne i psychologiczne. M - opisany przez nauki społeczne. S - od społecznych po dotyczące pojedynczych osób, podmiotów czy lokalizacji. E - napad, porwanie, szantaż. Copyright © 2011 Janusz Zawiła-Niedźwiecki

25 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (3) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko zewn. zakłócenia funkcjonalnego środowiska pracy: P - zewnętrzne wobec funkcjonowania organizacji, często nieznane organizacji. M - bez bezpośredniego związku z normalną działalnością organizacji, odcinający ją jednak od powiązań zewnętrznych. S - niedestrukcyjne ograniczenie możliwości normalnego działania. E - brak dostępu do siedziby spowodowany demonstracją uliczną. Copyright © 2011 Janusz Zawiła-Niedźwiecki

26 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (4) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko wewn. zakłócenia funkcjonalnego środowiska pracy: P - zaniedbania w zakresie stosunków i warunków pracy. M - zerwanie relacji wewnętrznych (między komórkami lub stanowiskami) warunkujących przebieg procesów w organizacji. S - niedestrukcyjne ograniczenie możliwości pełnej normalnej realizacji funkcji organizacji. E - strajk, wypadek pracownika. Copyright © 2011 Janusz Zawiła-Niedźwiecki

27 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (5) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko zakłócenia fizycznego środowiska pracy: P - niedostatek zabezpieczeń przed czynnikami oddziaływania na środowisko pracy. M - przekroczenie granic tolerancji. S - ograniczenie możliwości normalnej pracy w odniesieniu do pracowników lub urządzeń o specjalnych wymaganiach. E - za wysoka temperatura z powodów pogodowych lub awarii technicznej. Copyright © 2011 Janusz Zawiła-Niedźwiecki

28 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (6) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko zakłócenia technicznego środowiska pracy: P - zużycie lub wada ukryta. M - postępujące pogarszanie parametrów jakościowych lub nagłe ich przekroczenie. S - ograniczenie możliwości normalnej pracy. E - awaria urządzenia. Copyright © 2011 Janusz Zawiła-Niedźwiecki

29 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (7) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko zakłócenia informatycznego środowiska pracy: P + M + S – analogicznie do ryzyka zakłócenia technicznego środowiska pracy, specyficzne przypadki ryzyka technicznego związane z systemami informatycznymi. E - awaria komputera. Copyright © 2011 Janusz Zawiła-Niedźwiecki

30 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (8) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko braku kompetencji: P - niewłaściwy dobór pracownika do zadań lub nienadążanie pracownika za dynamiką wyzwań zawodowych. M - nieprofesjonalna ocena przesłanek działania lub podejmowania decyzji. S - błędne działania lub decyzje o skutkach prawnych, materialnych, finansowych, reputacyjnych. E - nieświadomie błędne lub pochopne działanie pracownika. Copyright © 2011 Janusz Zawiła-Niedźwiecki

31 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (9) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko braku rezerw osobowych: P - niewłaściwe planowanie zadań i zasobów. M - stopniowe lub nagłe wyczerpanie potrzebnej obsady osobowej. S - niemożność pełnego wykonywania zadań. E - nieoczekiwana absencja, niemożność wykonania wszystkich zadań. Copyright © 2011 Janusz Zawiła-Niedźwiecki

32 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (10) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko fluktuacji kadr: P - niewłaściwe warunki pracy, niewłaściwa ocena sytuacji na rynku pracy. M - poszukiwanie przez pracowników innego miejsca zatrudnienia. S - niemożność zapewnienia odpowiedniej jakości lub rozmiaru lub wydajności wykonywanej pracy. E - nieoczekiwana dymisja, zmiany obsady częstsze niż okres potrzebny na opanowanie zadań na stanowisku pracy. Copyright © 2011 Janusz Zawiła-Niedźwiecki

33 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (11) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko relatywizmu interpretacji: P - brak jednoznacznej komunikacji lub niedostatek informacji. M - działania rozpoczynane z pozycji obiektywnie właściwych, ale prowadzone w kierunku lub w sposób nieodpowiedni. S - działania nieadekwatne do obiektywnych okoliczności. E - nieświadomie błędne lub pochopne wykonanie polecenia. Copyright © 2011 Janusz Zawiła-Niedźwiecki

34 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (12) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko złej woli pracownika: P - niewłaściwy pod względem etycznym dobór pracowników do odpowiedzialnych zadań. M - wykorzystanie uprawnień stanowiska pracy lub niedostatecznej ochrony/kontroli do działań sprzecznych z interesem pracodawcy. S - straty materialne lub reputacyjne w działalności pracodawcy. E - rozmyślnie niepoprawne działanie pracownika, sprzeniewierzenie powierzonych środków. Copyright © 2011 Janusz Zawiła-Niedźwiecki

35 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (13) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko rutyny (skostnienia): P - długotrwałe wykonywanie tych samych zadań lub czynności. M - stopniowe wykształcanie działania odruchowego. S - działanie odruchowe w sytuacji, która wymaga postępowania szczególnego. E - kierowca jadący na pamięć mimo zmiany zasad ruchu. Copyright © 2011 Janusz Zawiła-Niedźwiecki

36 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (14) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko braku funkcjonalności: P - granice funkcjonalności organizacji. M - ujawnienie rzeczywistego charakteru nowego zadania, pozornie podobnego do poprzednich. S - niemożność wywiązania się z zadania. E - przyjęcie zamówienia, które na pewnym etapie realizacji nie może być kontynuowane. Copyright © 2011 Janusz Zawiła-Niedźwiecki

37 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (15) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko braku rezerw materialnych: P - niewłaściwe planowanie zadań i zasobów. M - brak zasobów stwierdzony już w trakcie wykonywania zadania. S - niemożność wywiązania się z zadania. E - nieoczekiwany brak komponentów w produkcji. Copyright © 2011 Janusz Zawiła-Niedźwiecki

38 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (16) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko ubocznych skutków: P - niedostateczna znajomość kontekstu zadania. M - działanie powoduje dodatkowe i niekoniecznie od razu jawne efekty o niekorzystnym charakterze. S - straty materialne lub reputacyjne i odpowiedzialność za straty stron trzecich. E - nieoczekiwany szkodliwy efekt planowej działalności. Copyright © 2011 Janusz Zawiła-Niedźwiecki

39 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (17) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko zużywania się: P - ograniczona trwałość poszczególnych zasobów. M - zużywanie się zasobów prowadzące do przekroczenia granic tolerancji. S - niemożność wywiązania się z zadania. E - utrata parametrów urządzenia wytwórczego. Copyright © 2011 Janusz Zawiła-Niedźwiecki

40 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (18) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko nietrafności wydatków: P - brak kompetencji lub błędna ocena przesłanek decyzji. M - nieprofesjonalna ocena przesłanek decyzyjnych. S - straty jako wynik błędnych decyzji. E - chybiona inwestycja. Copyright © 2011 Janusz Zawiła-Niedźwiecki

41 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (19) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko nadmiernych wydatków: P - brak kompetencji lub błędna ocena przesłanek decyzji. M - nieprofesjonalna ocena przesłanek decyzyjnych. S - zawyżony poziom wydatków. E - błąd w negocjacjach handlowych. Copyright © 2011 Janusz Zawiła-Niedźwiecki

42 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (20) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko wyczerpania środków: P - niewłaściwe planowanie zadań i zasobów finansowych. M - w toku działania zasoby finansowe są wyczerpywane bez możliwości odpowiednio szybkiego ich uzupełnienia. S - utrata płynności. E - niemożność dokonania zakupu. Copyright © 2011 Janusz Zawiła-Niedźwiecki

43 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (21) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko braku pełnej treści informacji: P - brak kompetencji lub brak dostępu do właściwych źródeł informacji. M - brak informacji w toku podjętego działania wymagającego takiej informacji. S - niemożność wywiązania się z zadania. E - niepełna dokumentacja projektowa. Copyright © 2011 Janusz Zawiła-Niedźwiecki

44 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (22) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko nienadążania informacji za rozwojem: P - brak kompetencji lub niedostatki w aktualizacji informacji. M - brak aktualnej informacji w toku podjętego działania wymagającego takiej informacji. S - niemożność wywiązania się z zadania lub wykonanie go w warunkach niepełnej informacji. E - projekt inwestycji na terenie, który właśnie został przeznaczony na inne cele. Copyright © 2011 Janusz Zawiła-Niedźwiecki

45 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (23) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko niedostępności informacji: P - brak dostępu do właściwych źródeł informacji. M - brak informacji w toku podjętego działania wymagającego takiej informacji. S - niemożność wywiązania się z zadania lub wykonanie go w warunkach niepełnej informacji. E - niedostępność informacji od konkurentów rynkowych. Copyright © 2011 Janusz Zawiła-Niedźwiecki

46 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (24) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko zniekształcenia informacji: P - brak dostatecznych kompetencji. M - błędne interpretowanie informacji. S - zła lub ograniczona jakość działania. E - błędne prognozy ekonomiczne. Copyright © 2011 Janusz Zawiła-Niedźwiecki

47 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (25) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko incydentu (awarii): P - podatności w zorganizowaniu działania lub w zasobach organizacji. M - interakcja zagrożeń dla prawidłowego działania z podatnościami. S - niemożność utrzymania dotychczasowej organizacji działania. E - awaria linii produkcyjnej. Copyright © 2011 Janusz Zawiła-Niedźwiecki

48 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (26) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko braku potencjału organizacyjnego: P - brak dostatecznych kompetencji w zakresie organizacji i zarządzania. M - niewłaściwe planowanie zadań i zasobów. S - niemożność lub ograniczona zdolność do wywiązania się z zadania. E - zakłócenia w złożonym projekcie. Copyright © 2011 Janusz Zawiła-Niedźwiecki

49 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (27) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko prymatu bezpieczeństwa nad skutecznością: P - formalizm w interpretacji przepisów i standardów dobrych praktyk. M - coraz staranniejsze przestrzeganie reguł formalnych ograniczających działanie doprowadza do ograniczania, a nawet sparaliżowania tego działania. S - nieefektywne działanie. E - strajk włoski. Copyright © 2011 Janusz Zawiła-Niedźwiecki

50 Rodzaje ryzyka operacyjnego Rodzaje ryzyka operacyjnego (28) Wskazane w tabeli rodzaje ryzyka mają następujący charakter (opis podano w układzie P – przyczyna, M – mechanizm realizowania, S – skutki, E – przykłady). Ryzyko braków: P - niewłaściwa organizacja działania (obejmująca także nieodpowiednie zasoby). M - działalność jest nieustabilizowana, nieprecyzyjnie zorganizowana, korzysta z niepewnych zasobów. S - wyniki działania nie uzyskują oczekiwanych parametrów jakościowych. E - wadliwy wyrób. Copyright © 2011 Janusz Zawiła-Niedźwiecki

51 Copyright © 2011 Janusz Zawiła- Niedźwiecki

52 Dokumentowanie w ramach zarządzania ryzykiem Sprzężenie zwrotne Analiza ryzyka Identyfikacja ryzyka Ocena ryzyka PlanowanieManipulowanie ryzykiem Monitorowanie ryzyka Janusz Zawiła-Niedźwiecki Zarządzanie ryzykiem

53 Pomiar ryzyka Monitoring czynników ryzyka Podejście społeczne Podejście gospodarcze podejścia metody techniki Metody kwalifikatywne (jakościowe) Metody kwantytatywne (ilościowe) opisowa ocena ryzyka katalog czynników ryzyka analiza profilowa systemy wczesnego ostrzegania metoda wyrównywania ryzyka metoda szacowania ryzyka FMEA Metody strategiczne Metody operacyjne Metody planów alternatywnych techniki optymalizacyjne gry kierownicze Metody finansowe badanie progu rentowności techniki wskaźnikowe i punktowe techniki inwestycyjne Metody badań operacyjnych drzewa decyzyjne techniki sieciowe algorytm simpleks teoria kolejek teoria gier Metody statystyczne analizy wrażliwości analizy korelacji analizy prawdopodobieństwa analizy przyrostów analiza odchylenia standardowego analizy histogramów Metody symulacyjne technika Monte Carlo programowanie ewolucyjne Janusz Zawiła-Niedźwiecki

54 54 Przerwa Copyright © 2011 Janusz Zawiła-Niedźwiecki

55 55 Abraham Harold Maslow - teoria hierarchii potrzeb ludzkich (tzw. piramida Maslowa), 1943 Dopiero po zaspokojeniu potrzeby sytości, bezpieczeństwa, ciepła, przychodzi czas na potrzebę władzy, szukania prawdy Janusz Zawiła-Niedźwiecki Bezpieczeństwo jako wartość

56 Co to jest niebezpieczeństwo ? niebezpieczna jest nieświadomość niebezpieczna jest lekkomyślność niebezpieczna jest niewiedza reszta jest tylko naturalnym RYZYKIEM Copyright © 2011 Janusz Zawiła-Niedźwiecki

57 Klasyfikacja zagrożeń Copyright © 2011 Janusz Zawiła-Niedźwiecki

58 Wzorcowa lista zagrożeń Wzorcowa lista zagrożeń (1) Katastrofy naturalne trzęsienie ziemi skażenie środowiska naturalnego powódź huragan wyładowania atmosferyczne burza śnieżna inne Copyright © 2011 Janusz Zawiła-Niedźwiecki

59 Wzorcowa lista zagrożeń Wzorcowa lista zagrożeń (2) Terroryzm szantaż zamach inne Copyright © 2011 Janusz Zawiła-Niedźwiecki

60 Wzorcowa lista zagrożeń Wzorcowa lista zagrożeń (3) Zakłócenia fizyczne brak dostępu do siedziby uszkodzenie budynku za niska / wysoka temperatura powietrza za duża wilgotność powietrza pożar zalanie inne Copyright © 2011 Janusz Zawiła-Niedźwiecki

61 Wzorcowa lista zagrożeń Wzorcowa lista zagrożeń (4) Zakłócenia funkcjonalne strajk sabotaż niedostępność pracowników wypadek inne Copyright © 2011 Janusz Zawiła-Niedźwiecki

62 Wzorcowa lista zagrożeń Wzorcowa lista zagrożeń (5) Zakłócenia techniczne wyczerpanie zapasów materiałowych brak zasilania awaria klimatyzacji inne Copyright © 2011 Janusz Zawiła-Niedźwiecki

63 Wzorcowa lista zagrożeń Wzorcowa lista zagrożeń (6) Zakłócenia informatyczne (infrastruktura techniczna) awaria serwerów awaria stacji roboczych awaria urządzeń pomocniczych awaria urządzeń sieciowych awaria okablowania brak połączenia z sieciami zewnętrznymi inne Copyright © 2011 Janusz Zawiła-Niedźwiecki

64 Wzorcowa lista zagrożeń Wzorcowa lista zagrożeń (7) Zakłócenia informatyczne (oprogramowanie) wygaśnięcie licencji nieautoryzowane usunięcie wadliwe działanie inne Zakłócenia informatyczne (wirusy) Copyright © 2011 Janusz Zawiła-Niedźwiecki

65 Wzorcowa lista zagrożeń Wzorcowa lista zagrożeń (8) Zakłócenia informatyczne (dane) utrata lub zniszczenie danych nieautoryzowany dostęp do danych nieautoryzowane powielanie danych nieautoryzowana modyfikacja danych inne Copyright © 2011 Janusz Zawiła-Niedźwiecki

66 Wzorcowa lista zagrożeń Wzorcowa lista zagrożeń (9) Inne zakłócenia brak zasobów osobowych brak zasobów finansowych brak zasobów materiałowych brak usług zewnętrznych inne Copyright © 2011 Janusz Zawiła-Niedźwiecki

67 Racjonalność zabezpieczeń prawdopodobieństwo 100% 0% koszt Potencjalne straty Koszty zabezpieczeń ryzyko szczątkowe

68 Zasady bezpieczeństwa zasada uprawnionego dostępu każdy pracownik przeszedł szkolenie z zasad ochrony fizycznej/informacji, spełnia kryteria dopuszczenia do strefy/informacji i podpisał stosowne oświadczenie o zachowaniu poufności zasada przywilejów koniecznych każdy pracownik posiada prawa dostępu do strefy/informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań zasada wiedzy koniecznej każdy pracownik posiada wiedzę o strefie/systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań zasada usług koniecznych organizacja świadczy tylko takie usługi jakich wymaga klient zasada asekuracji każdy mechanizm zabezpieczający musi być zabezpieczony innym (podobnym), a w przypadkach szczególnych może być stosowane dodatkowe (trzecie) niezależne zabezpieczenie Copyright © 2011 Janusz Zawiła-Niedźwiecki

69 Zasady bezpieczeństwa zasada świadomości zbiorowej wszyscy pracownicy są świadomi konieczności ochrony stref/zasobów informacyjnych organizacji i aktywnie uczestniczą w tym procesie zasada indywidualnej odpowiedzialności za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby zasada obecności koniecznej prawo przebywania w określonych miejscach mają tylko osoby upoważnione zasada stałej gotowości strefa/system jest przygotowany na wszelkie zagrożenia, niedopuszczalne jest tymczasowe wyłączanie mechanizmów zabezpieczających zasada najsłabszego ogniwa poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element zasada kompletności skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje się podejście kompleksowe, uwzględniające wszystkie stopnie i ogniwa ogólnie pojętego procesu przetwarzania informacji lub otoczenia strefy chronionej Copyright © 2011 Janusz Zawiła-Niedźwiecki

70 Zasady bezpieczeństwa zasada ewolucji każdy system musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych zasada odpowiedniości używane mechanizmy muszą być adekwatne do sytuacji zasada akceptowanej równowagi podejmowane środki zaradcze nie mogą przekraczać poziomu akceptacji (szczególnie zaleca się tu miary kosztowe co do nakładów, efektów i potencjalnych strat) Copyright © 2011 Janusz Zawiła-Niedźwiecki

71 71 Podejścia reagowania na zagrożenia (zakłócenia) Janusz Zawiła-Niedźwiecki DW DPMP MW PZ M (T)

72 Podsumowanie ryzyko coraz bardziej postrzegane jest nie tylko przez pryzmat zagrożeń, ale również przez pryzmat szans dzieje się tak po części dlatego, że wzrasta świadomość, iż ryzykiem można zarządzać w tym szczególnym zarządzaniu najważniejsza jest świadomość ryzyka ryzyko można mierzyć, co najmniej zaś szacować znajomość natury ryzyka wyznacza oczywistą drogę do rozwiązań wpływania na jego poziom (myślenie inżynierskie, teoria organizacji) radzenia sobie z ryzykiem można się uczyć, nabywać tzw. inteligencji ryzyka zarządzanie ryzykiem jest procesem i można go doskonalić Janusz Zawiła-Niedźwiecki

73 ZARZĄDZANIE RYZYKIEM i ORGANIZACJĄ Zarządzanie organizacją Zintegrowane zarządzanie jakością TQM Zintegrowane zarządzanie bezpieczeństwem TSM Zarządzanie bezpieczeństwem osobowym Zarządzanie ochroną fizyczną Zintegrowane zarządzanie bezpieczeństwem informacji Zarządzanie bezpieczeństwem IT Zarządzanie ciągłością działania Analiza ryzyka operacyjnego Analiza ryzyka biznesowego

74 Publikacje Staniec I., Zawiła-Niedźwiecki J. (red.) Zarządzanie ryzykiem operacyjnym, C.H.Beck, 2008 Soczko M., Zawiła-Niedźwiecki J., Ryzyko operacyjne i jego szacowanie [w:] Knosala R. (red.) Komputerowo zintegrowane zarządzanie, Wydawnictwo Politechniki Opolskiej, 2008 Charters I. A Practical Approach to BIA, British Standards Institution, 2011 Copyright © 2011 Janusz Zawiła-Niedźwiecki

75 Publikacje Białas A. Bezpieczeństwo informacji i usług, WNT, 2007 Liderman K. Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, 2009 Byczkowski M., Zawiła-Niedźwiecki J. Zapewnianie bezpieczeństwa informacji jako sposób ograniczania ryzyka operacyjnego, [w:] Krupa T. (red.) Zarządzanie informacją, Oficyna Wydawnicza PW, 2009 Pazio N. Polityka bezpieczeństwa informacji [w:] Monkiewicz J., Gąsiorkiewicz L. (red.) Zarządzanie ryzykiem działalności organizacji, C.H.Beck, 2010 Wołowski F., Zawiła-Niedźwiecki J. Bezpieczeństwo systemów informacyjnych, edu-Libri, 2012 Copyright © 2011 Janusz Zawiła-Niedźwiecki

76 Copyright © 2011 Janusz Zawiła-Niedźwiecki Publikacje Gołąb P., Zawiła-Niedźwiecki J. Zapewnianie ciągłości działania jako ograniczanie ryzyka operacyjnego [w:] J.Monkiewicz, L.Gąsiorkiewicz (red.) Zarządzanie ryzykiem działalności organizacji, C.H.Beck, 2010 Davidson R. Zarządzanie ciągłością działania [w:] pr. zb. Informatyka gospodarcza, C.H.Beck, 2010 Kaszubski R., Romańczuk D. (red.) Księga dobrych praktyk zarządzania ciągłością działania, Wydawnictwo Związku Banków Polskich, 2011 Zawiła-Niedźwiecki J. Zarządzanie ryzykiem operacyjnym w aspekcie zapewniania ciągłości działania, edu-Libri, 2012 (złożona do druku)

77 bo Wypadek to dziwna rzecz. Nigdy go nie ma, dopóki się nie wydarzy Kłapouchy w Chatce Puchatka A.A.Milne Dziękuję za uwagę


Pobierz ppt "I Konferencja zarządzania ciągłością działania Szczytno dr inż. Janusz Zawiła-Niedźwiecki 1 11.09.2012 Od identyfikacji."

Podobne prezentacje


Reklamy Google