Identifikacija rizika

Potrebno je identifikovati sve rizike. Prilikom identifikacije rizika, potrebno je koristiti

tehnike koje olakšavaju i sistematizuju posao, kao što su (kontrolne liste (checklists),
brainstorming sesije, logovi / dnevnici događaja, modeli ponašanja, tehnike izrade dijagrama,
algoritmi / dijagram aktivnosti projekata i procesni modeli, redovni radni sastanci – ovo potraziti
u literaturnim izvorima ili putem poređenja budućeg preduzeća sa nekim već postojećim), kao i
sve dostupne literaturne izvore. Svaki identifikovani rizik mora biti precizno opisan, kako bi
kasnije bilo olakšano pronalaženje najboljeg načina za suprotstavljanje riziku.
Prilikom identifikacije rizika, potrebno je imati precizno definisane ciljeve, i proceniti da
li postoji negativan uticaj svake situacije – identifikovanog rizika na svaki cilj.
Takođe, formirati dokumentaciju koja će precizno opisivati koje su aktivnosti ili pojave
analizirani i odakle su identifikovane opasnosti (ovo može biti dragoceni izvor podataka pri
kasnijem preispitivanju kompletnosti ranije sprovedene analize opasnosti). Isto tako,
konsultovati sve zainteresovane strane i dokumentovati rezultate ovih konsultacija (često
posmatranje nekog problema iz drugog "ugla" ukaže ne opasnosti koje nisu mogle biti
identifikovane na drugi način).

Analiza i vrednovanje identifikovanih rizika

Svaki rizik koji je identifikovan u prethodnom poglavlju mora biti opisan, kako bi se
precizno razjasnio uticaj posmatranog rizika na pojedini cilj preduzeća, a time i napravila osnova
za njegovo vrednovanje.
Kako jedan rizik može da ima različit intenzitet uticaja na pojedini cilj preduzeća,
potrebno je za svaki cilj definisati tabelu za vrednovanje tog uticaja. Tako da, ako je posmatrani
cilj preduzeća profit, tada bi tabela za vrednovanje rizika trebala da definiše uticaj rizika u
novčanim jedinicama. Ukoliko posmatrani cilj obuhvata vreme (projekat gde je kritično
kašnjenje), tada tabela za vrednovanje rizika mora biti definisana u vremenskim jedinicama.
Najbolje bi bilo ukoliko bi se za svaku opasnost odredila precizna verovatnoća nastupanja
te opasnosti. Na žalost, ovo često nije moguće, i u tom slučaju, pribegava se kvalitativnoj proceni
odgovarajuće verovatnoće. Najčešće se koriste samo tri kategorije (niska, umerena i visoka
verovatnoća pojavljivanja), koje se nakon toga, uz pomoć odgovarajuće tabele, prevode u
određene numeričke vrednosti. Primer za ovo je dat u narednoj tabeli.
Tabela 1: Jedan način prevođenja kvalitativne ocene verovatnoće u numeričku vrednost

Verovatnoća Ocena

niska 1–3

umerena 4–7

visoka 8 - 10
 Ovakve tabele se često koriste, pošto pružaju mogućnost za relativno lako i brzo
dobijanje nekakvih rezultata, ali problemi nastaju kada se pokuša sprovesti preispitivanje
dobijenih rezultata (najčešće se ovo radi jednom godišnje i tada je praktično nemoguće setiti se
razloga zašto je nekoj opasnosti "dodeljena" verovantoća pojavljivanja npr. 6). Stoga je bolje
opredeliti se za mnogo precizniju tabelu za vrednovanje verovatnoća nastupanja nekog događaja,
koja je data u narednoj tabeli.
Tabela 2: Način prevođenja kvantitativne verovatnoće u numeričku vrednost

Verovatnoća pojave pretnje Ocena

ređe od jednom u deset godina 1
jednom u deset godina 2
jednom u tri godine 3
jednom godišnje 4
jednom u šest meseci 5
jednom u dva meseca 6
jednom mesečno 7
jednom nedeljno 8
jednom dnevno 9
više puta dnevno 10

Ovde je potrebno napomenuti da ne postoji ovakva tabela koja će zadovoljiti sve pojave.
Ukoliko se radi o procesu zaštite računara koji imaju pristup Internetu (ili je bolje reći kojima je
moguće pristupiti preko Interneta), napadi hakera ili virusa se dešavaju po više puta u sekundi!!!
Očigledno je da je ovde potrebno definisati potpuno drugačiju tabelu za vrednovanje
verovatnoća, ali bilo kako da je ta tabela definisana, potrebno je koristiti istu tabelu pri svakom
sledećem preispitivanju rizika.
Svaka ocena svakog identifikovanog rizika mora biti precizno predstavljena, kako bi se
postupak mogao proveriti ili ponoviti. Na kraju rada će biti potrebno proveriti rezidualni
(preostali) rizik, odnosno, rizik koji preostaje nakon implementacije definisanih mera za
ublažavanje rizika, i tada će biti potrebno oceniti rizik na osnovu istih kriterijuma, koji su
korišćeni i u ovoj fazi rada. Takođe, moguće je svaku situaciju proveriti i nakon određenog
vremenskog perioda (npr. jednom godišnje je preporučljivo proveravati rizik rada / poslovanja i u
toj situaciji je potrebno biti u mogućnosti ponoviti vrednovanje rizika po istim kriterijumima kao
i "prethodne" godine.
Ocenjivanje rizika
Kada je proces identifikovanja opasnosti završen, potrebno je ustanoviti kakav uticaj
svaka od identifikovanih opasnosti ima na ranije definisane ciljeve sprovođenja postupka
upravljanja rizikom. Potrebno je proveriti svaku kombinaciju "identifikovana opasnost –
definisan cilj". Kako i sve prethodne aktivnosti, i ova aktivnost zahteva dokumentovanje svih
rezultata, zbog potrebe naknadnog preispitivanja sistema upravljanja rizikom.I ovde je potrebno
definisati tabelu koja će identifikovani uticaj prevesti u odgovarajuću numeričku vrednost iz
raspona 1 – 10. Ovo najčešće nije problem uraditi ako se posledice "mere" u novčanim
vrednostima, s tim što je potrebno napomenuti da svaka organizacija mora definisati svoju
tabelu. Razlog je očigledan: istu novčanu vrednost (gubitak) mala organizacija doživljava sasvim
drugačije od velike multinacionalne korporacije.
Problem ovde nastaje kada je potrebno posledicu, koju je nemoguće iskazati u novčanoj
vrednosti, prevesti u numeričku vrednost. Ovakve tabele se moraju formirati u zavisnosti od
konkretnog cilja i načina percepcije uticaja pojave na posmatrani cilj. Preporuka je da se ovom
poslu posveti onoliko vremena koliko je potrebno da bi se precizno definisalo kako će uticaj biti
"meren". Što se kvalitetnije uradi ovaj posao, to će biti manje problema prilikom naknadnog
preispitivanja identifikovanih i novonastalih rizika.
Kada su identifikovane tabele koje služe za kvantifikovanje opasnosti i uticaja, potrebno
je definisati granice prihvatljivosti rizika. Na primer:
Tabela 3: Definisanje granica rizika

Ocena rizika
Rizik
(proizvod verovatnoće i posledice)
do 10 mali
10 – 25 umeren
preko 25 neprihvatljiv
Ili je ovo moguće uraditi pomoću sledeće tabele:
Tabela 4: Precizniji način definisanja granice rizika

10
9
8
7
6
5
4
3
2
1
Ver.
1 2 3 4 5 6 7 8 9 10
Posl.
 Napomena: sve što je obojeno crnom bojom, je neprihvatljiv rizik, dok polja
predstavljena belom bojom jeste zanemarljiv rizik. Polja obojena sivom bojom predstavljaju rizik
koji je potrebno pratiti, kako ne bi došlo do neprijatnih iznenađenja.

Tretiranje rizika
Svaki rizik, koji prevazilazi granice prihvatljivosti za bilo koji cilj preduzeća, mora biti
podvrgnut detaljnoj analizi, kako bi bilo moguće definisati neku meru kojom će taj rizik biti
sveden na prihvatljiv nivo.
Definisanje mera za svođenje rizika na prihvatljiv nivo obuhvata mere koje imaju za cilj
umanjenje verovatnoće pojavljivanja rizičnog događaja, mere koje imaju za cilj ublažavanje
posledica rizičnog događaja, mere koje omogućavaju izbegavanje rizičnog događaja ili, pak,
mere koje ustvari prenose rizik na neku drugu organizaciju (ako je cilj finansijska dobit, a rizik
preti da nanese veliku materijalnu štetu, moguće je razmisliti o prenošenju rizika na neku
osiguravajuću kuću, ali pri tom treba imati na umu da, sa aspekta korisnika, nije bitno ko je
odgovoran što on nije dobio željeni proizvod / uslugu, već je bitna sama činjenica da nije dobio
taj proizvod, odnosno, uslugu i korisnik, po pravilu, tu uvek okrivljuje preduzeće koje je trebalo
da mu preda proizvod, odnosno, izvrši uslugu).
Nakon definisanja mera za ublažavanje / eliminisanje rizika, potrebno je sprovesti
ponovnu analizu i vrednovanje posmatranog rizika, kako bi bilo sigurno da je rizik prešao u
kategoriju prihvatljivih rizika.
Potrebno je, pri definisanju mera, voditi računa o neophodnim resursima za implementaciju
izabrane mere:
 finansije / trošak za sprovođenje
 kadrovi (finansijska sredstva potrebna za obuku, kao i vreme potrebno za obuku),
 oprema (postupak izbora, definisanje karakteristika koje oprame mora posedovati.
mogući dobavljači, brzina zastarevanja opreme, mogućnost servisiranja, mogućnost
prodaje polovne opreme..),
 finansije za nabavku opreme i
 potrebno vreme za implementaciju.

Na osnovu ovih veličina proceniti proceniti ukupnu korist koja bi se ostvarila

implementacijom izabrane mere.
Način praćenja i provere rizika
Pošto je svaki rizik sveden na prihvatljivu meru, potrebno je uspostaviti takav sistem, koji
će, u slučaju promene okolnosti, odnosno, eskalacije nekog "prihvatljivog" rizika, signalizirati da
je došlo do promena i koji će omogućiti da se ta promena identifikuje, locira, analizira i da se
definišu nove mere, odnosno, modifikuju postojeće mere, kako bi se rizik vratio u granice
prihvatljivosti.
Stoga je potrebno definisati
 dokumente / obrasce / informacioni sistem koji će omogućavati navedene postupke,
 kadrove, njihova zaduženja i odgovornosti i
 postupke koji će sve ovo učiniti mogućim i izvesnim.