Kockázatok kezelése
Risk management a biztonságvédelem területén
- Közérdekű
- /
- 2006-11-29
A külsõ és belsõ környezetbõl érkezõ fenyegetettségekkel történõ küzdelem ma már a vállalkozások napi rutinjához tartozik. A komplex, dinamikusan változó és sokszor turbulens üzleti környezetben a cégek folyamatos mûködésének alapfeltétele a fellépõ kockázatok kezelése.
Mivel felgyorsultak a változások – gondoljunk csak a globalizációra és az e-kultúra megjelenésére –, szinte minden nap újabb kihívásokkal kell megküzdeniük a cégeknek. Ezért is reménytelen elméleti oldalról megközelítve felsorolni azokat a lehetséges veszélyforrásokat, amelyeket rendszeresen figyelemmel kell kísérni, javasolt tehát a gyakorlatban fajsúlyosabb rizikófaktorokat számba venni. Ez természetesen minden cég esetében más és más, ezért a modern vállalatok vezetése tudatosan készül a megelőzésre. Mivel a kockázati tényezőket az adott cég menedzsmentje ismeri a legjobban, nem azok felismerése a nehéz, hanem a megfelelő megoldás kidolgozása és kivitelezése lehet olyan feladat, amelyet a cégek külsős szakértőkre bízhatnak.
Mi éri meg?
A rizikófaktorok megkülönböztethető nagyobb csoportjait a modern vezetési elveket valló vállalatok bekövetkezési valószínűségük és a potenciális károkozási képességük szerint is számba veszik. Rangsorolással, pontozással, osztályozással vagy tényező öszszehasonlítási módszerrel megállapítható, hogy melyek azok a kockázati tényezők, amelyekkel foglalkozni kell. Ezt követően már „csak” a vezetői döntéstől függ, hogy az ilyen irányú tevékenységre mekkora költségkeretet tud felhasználni a szervezet. A sikeres, hatékony és eredményes működés egyik axiómája a befektetés megtérülése. Vagyis csak azokkal a rizikófaktorokkal kell foglalkozni, amelyek érdemben befolyásolhatják a vállalkozás működését. A vállalatvezetők természetesen azokat a veszélyforrásokat tartják számon, amelyek valóban lényegesek a cég működése szempontjából, és ennek megfelelően az ilyen irányú problémák megoldását várják a biztonsági vezetőktől. Például mindenkinek fel kell készülnie egy esetleges, az IT-rendszer elleni támadásra, de mivel sok profi, előre összeállított és készen megvásárolható megoldás létezik a védekezésre, döntés kérdése, hogy a működési környezetből vagy a konkurenciától várt behatolás ellen érdemes-e beruházni drága, külön a cég számára fejlesztett szoftverekbe.
Fontos a hozzáértés
A vagyonvédelem, a tűzvédelem, az IT-rendszerek biztosítása és a többi veszélyeztetett terület is egyedi technológiát, szemléletében és megoldási módjaiban is eltérő védekezési stratégiát igényel. Ismert a régi mondás, hogy „aki mindenhez ért, az semmihez sem ért”, nem lehet az összes feladatot egyszerűen és könnyen megoldani, vagyis azok a generalisták, akiknek mindenre van megoldásuk, nem lehetnek versenytársaik azoknak a specialistáknak, akik egy bizonyos részterületen hosszú évek alatt, jelentős számú megbízás alapján alakították ki a megoldási módszer know-how-ját jelentő tudásbázist. Ha például valós az informatikai rendszer fenyegetettsége, akkor azok közül a szolgáltató cégek közül kell választani, akiknek az IT-védelem kialakítása a fő profiljuk. Amikor „bizalmas jellegű”, biztonságvédelmi kockázatokkal összefüggő feladatokat kell megoldani, akkor viszont a több év alatt felépített kapcsolatokon keresztül érdemes az aktuális biztonsági szolgáltató céghez fordulni.
A kockázatok kezelése összességében tehát elsősorban a megelőzésre koncentráló szemlélet, olyan tervszerű és tudatos megelőző tevékenység, amelyben felértékelődik azoknak a szolgáltatóknak a szerepe, akik a vállalkozások működésének egy-egy részterületén teljes körűen és megalapozottan tudják végrehajtani a védekezéshez szükséges teendőket.
Risk audit a gyakorlatban
A biztonsági felmérést követően kell kialakítani a vállalkozás vagyonvédelmi koncepcióját. Célja a szervezetben a megfelelő biztonságtudatosság elérése, amely lehetővé teszi a rizikófaktorok felismerését és kezelését, vagyis a védelem szervezésének dinamikus irányítását. Ez pedig nem más, mint a védelem súlypontjának a veszélyekhez illeszkedő elhelyezése. A risk audit elkészítése területbejárást, helyszíni konzultációt, szakvélemény elkészítését és a szaktanácsadást foglalja magába. A következő rövid összefoglalás a risk audit lehetséges céljait, a biztonsági felmérés végrehajtásának módszereit, illetve a risk audit során vizsgált faktorokat mutatja be.
A vizsgálat a következő célok elérésére irányulhat:
A működést negatívan befolyásoló rizikófaktorok feltárása és elhárítása.
Magas szintű vagyonvédelmi koncepció kialakítása.
Az objektum védelmi szintjének megfelelő szintre történő emelése.
A veszteség-megelőzéssel kapcsolatos folyamatok hatékonyságának javítása.
A védekezésre fordított befektetések megtérülésével a veszteségek csökkentése.
A szervezetben dolgozók biztonságtudatosságának növelése.
A risk audit során a következő lépéseket javasolt végrehajtani:
Az objektum biztonságvédelmével kapcsolatos dokumentumok és szabályozók áttekintése.
Helyszíni bejárás alkalmával a működési folyamatok biztonságvédelmi elemzése, kiemelten megvizsgálva a vagyonvédelem szempontjából kritikus területek és létesítmények, épületek és helyiségek működését.
Az alapanyagok és késztermékek tárolásának, szállításának és nyilvántartái rendjének elemzése.
A veszélyeztetettség személyi és cselekményi oldalának elemzése.
A mechanikus és elektronikus biztonságtechnika, valamint az élőerős őrzés-védelem működésének elemzése, a törvényi kötelezettségek betartásának ellenőrzése.
Konzultáció menedzsment biztonsági ügyekben kompetens menedzserével.
Szakvélemény készítése.
Javaslattétel a védekezés hatékonyságának javítására, konkrét megoldási javaslatokkal.
Az elvi kockázati tényezők közül az alábbiakat célszerű részletesen megvizsgálni:
Az objektum elhelyezkedése, tágabb és szűkebb környezete, megközelíthetősége, fizikai tagoltsága, mechanikus védelme (pl: kerítések, kapuk, sorompók).
Az ellenőrzés nélküli be- és kijutási lehetőségek.
A belső működési folyamatok jellege és sajátosságai.
A védendő vagyontárgyak jellege, összetétele és értéke.
A dolgozók létszáma és összetétele, munkarend és jellemző munkavégzési periódusok.
A biztonságvédelem szabályozottsága.
A szabályok betartása és ellenőrzöttsége.
A technikai védelem eszközei és színvonala.
Az élőerős védelem létszáma és tevékenységének színvonala.
Az információtechnológiai és az üzleti hírszerzés elleni védelem.
Mivel felgyorsultak a változások – gondoljunk csak a globalizációra és az e-kultúra megjelenésére –, szinte minden nap újabb kihívásokkal kell megküzdeniük a cégeknek. Ezért is reménytelen elméleti oldalról megközelítve felsorolni azokat a lehetséges veszélyforrásokat, amelyeket rendszeresen figyelemmel kell kísérni, javasolt tehát a gyakorlatban fajsúlyosabb rizikófaktorokat számba venni. Ez természetesen minden cég esetében más és más, ezért a modern vállalatok vezetése tudatosan készül a megelőzésre. Mivel a kockázati tényezőket az adott cég menedzsmentje ismeri a legjobban, nem azok felismerése a nehéz, hanem a megfelelő megoldás kidolgozása és kivitelezése lehet olyan feladat, amelyet a cégek külsős szakértőkre bízhatnak.
Mi éri meg?
A rizikófaktorok megkülönböztethető nagyobb csoportjait a modern vezetési elveket valló vállalatok bekövetkezési valószínűségük és a potenciális károkozási képességük szerint is számba veszik. Rangsorolással, pontozással, osztályozással vagy tényező öszszehasonlítási módszerrel megállapítható, hogy melyek azok a kockázati tényezők, amelyekkel foglalkozni kell. Ezt követően már „csak” a vezetői döntéstől függ, hogy az ilyen irányú tevékenységre mekkora költségkeretet tud felhasználni a szervezet. A sikeres, hatékony és eredményes működés egyik axiómája a befektetés megtérülése. Vagyis csak azokkal a rizikófaktorokkal kell foglalkozni, amelyek érdemben befolyásolhatják a vállalkozás működését. A vállalatvezetők természetesen azokat a veszélyforrásokat tartják számon, amelyek valóban lényegesek a cég működése szempontjából, és ennek megfelelően az ilyen irányú problémák megoldását várják a biztonsági vezetőktől. Például mindenkinek fel kell készülnie egy esetleges, az IT-rendszer elleni támadásra, de mivel sok profi, előre összeállított és készen megvásárolható megoldás létezik a védekezésre, döntés kérdése, hogy a működési környezetből vagy a konkurenciától várt behatolás ellen érdemes-e beruházni drága, külön a cég számára fejlesztett szoftverekbe.
Fontos a hozzáértés
A vagyonvédelem, a tűzvédelem, az IT-rendszerek biztosítása és a többi veszélyeztetett terület is egyedi technológiát, szemléletében és megoldási módjaiban is eltérő védekezési stratégiát igényel. Ismert a régi mondás, hogy „aki mindenhez ért, az semmihez sem ért”, nem lehet az összes feladatot egyszerűen és könnyen megoldani, vagyis azok a generalisták, akiknek mindenre van megoldásuk, nem lehetnek versenytársaik azoknak a specialistáknak, akik egy bizonyos részterületen hosszú évek alatt, jelentős számú megbízás alapján alakították ki a megoldási módszer know-how-ját jelentő tudásbázist. Ha például valós az informatikai rendszer fenyegetettsége, akkor azok közül a szolgáltató cégek közül kell választani, akiknek az IT-védelem kialakítása a fő profiljuk. Amikor „bizalmas jellegű”, biztonságvédelmi kockázatokkal összefüggő feladatokat kell megoldani, akkor viszont a több év alatt felépített kapcsolatokon keresztül érdemes az aktuális biztonsági szolgáltató céghez fordulni.
A kockázatok kezelése összességében tehát elsősorban a megelőzésre koncentráló szemlélet, olyan tervszerű és tudatos megelőző tevékenység, amelyben felértékelődik azoknak a szolgáltatóknak a szerepe, akik a vállalkozások működésének egy-egy részterületén teljes körűen és megalapozottan tudják végrehajtani a védekezéshez szükséges teendőket.
Risk audit a gyakorlatban
A biztonsági felmérést követően kell kialakítani a vállalkozás vagyonvédelmi koncepcióját. Célja a szervezetben a megfelelő biztonságtudatosság elérése, amely lehetővé teszi a rizikófaktorok felismerését és kezelését, vagyis a védelem szervezésének dinamikus irányítását. Ez pedig nem más, mint a védelem súlypontjának a veszélyekhez illeszkedő elhelyezése. A risk audit elkészítése területbejárást, helyszíni konzultációt, szakvélemény elkészítését és a szaktanácsadást foglalja magába. A következő rövid összefoglalás a risk audit lehetséges céljait, a biztonsági felmérés végrehajtásának módszereit, illetve a risk audit során vizsgált faktorokat mutatja be.
A vizsgálat a következő célok elérésére irányulhat:
A risk audit során a következő lépéseket javasolt végrehajtani:
Az elvi kockázati tényezők közül az alábbiakat célszerű részletesen megvizsgálni: