Professional Documents
Culture Documents
Verovatnoća Ocena
niska 1–3
umerena 4–7
visoka 8 - 10
Ovakve tabele se često koriste, pošto pružaju mogućnost za relativno lako i brzo
dobijanje nekakvih rezultata, ali problemi nastaju kada se pokuša sprovesti preispitivanje
dobijenih rezultata (najčešće se ovo radi jednom godišnje i tada je praktično nemoguće setiti se
razloga zašto je nekoj opasnosti "dodeljena" verovantoća pojavljivanja npr. 6). Stoga je bolje
opredeliti se za mnogo precizniju tabelu za vrednovanje verovatnoća nastupanja nekog događaja,
koja je data u narednoj tabeli.
Tabela 2: Način prevođenja kvantitativne verovatnoće u numeričku vrednost
Ovde je potrebno napomenuti da ne postoji ovakva tabela koja će zadovoljiti sve pojave.
Ukoliko se radi o procesu zaštite računara koji imaju pristup Internetu (ili je bolje reći kojima je
moguće pristupiti preko Interneta), napadi hakera ili virusa se dešavaju po više puta u sekundi!!!
Očigledno je da je ovde potrebno definisati potpuno drugačiju tabelu za vrednovanje
verovatnoća, ali bilo kako da je ta tabela definisana, potrebno je koristiti istu tabelu pri svakom
sledećem preispitivanju rizika.
Svaka ocena svakog identifikovanog rizika mora biti precizno predstavljena, kako bi se
postupak mogao proveriti ili ponoviti. Na kraju rada će biti potrebno proveriti rezidualni
(preostali) rizik, odnosno, rizik koji preostaje nakon implementacije definisanih mera za
ublažavanje rizika, i tada će biti potrebno oceniti rizik na osnovu istih kriterijuma, koji su
korišćeni i u ovoj fazi rada. Takođe, moguće je svaku situaciju proveriti i nakon određenog
vremenskog perioda (npr. jednom godišnje je preporučljivo proveravati rizik rada / poslovanja i u
toj situaciji je potrebno biti u mogućnosti ponoviti vrednovanje rizika po istim kriterijumima kao
i "prethodne" godine.
Ocenjivanje rizika
Kada je proces identifikovanja opasnosti završen, potrebno je ustanoviti kakav uticaj
svaka od identifikovanih opasnosti ima na ranije definisane ciljeve sprovođenja postupka
upravljanja rizikom. Potrebno je proveriti svaku kombinaciju "identifikovana opasnost –
definisan cilj". Kako i sve prethodne aktivnosti, i ova aktivnost zahteva dokumentovanje svih
rezultata, zbog potrebe naknadnog preispitivanja sistema upravljanja rizikom.I ovde je potrebno
definisati tabelu koja će identifikovani uticaj prevesti u odgovarajuću numeričku vrednost iz
raspona 1 – 10. Ovo najčešće nije problem uraditi ako se posledice "mere" u novčanim
vrednostima, s tim što je potrebno napomenuti da svaka organizacija mora definisati svoju
tabelu. Razlog je očigledan: istu novčanu vrednost (gubitak) mala organizacija doživljava sasvim
drugačije od velike multinacionalne korporacije.
Problem ovde nastaje kada je potrebno posledicu, koju je nemoguće iskazati u novčanoj
vrednosti, prevesti u numeričku vrednost. Ovakve tabele se moraju formirati u zavisnosti od
konkretnog cilja i načina percepcije uticaja pojave na posmatrani cilj. Preporuka je da se ovom
poslu posveti onoliko vremena koliko je potrebno da bi se precizno definisalo kako će uticaj biti
"meren". Što se kvalitetnije uradi ovaj posao, to će biti manje problema prilikom naknadnog
preispitivanja identifikovanih i novonastalih rizika.
Kada su identifikovane tabele koje služe za kvantifikovanje opasnosti i uticaja, potrebno
je definisati granice prihvatljivosti rizika. Na primer:
Tabela 3: Definisanje granica rizika
Ocena rizika
Rizik
(proizvod verovatnoće i posledice)
do 10 mali
10 – 25 umeren
preko 25 neprihvatljiv
Ili je ovo moguće uraditi pomoću sledeće tabele:
Tabela 4: Precizniji način definisanja granice rizika
10
9
8
7
6
5
4
3
2
1
Ver.
1 2 3 4 5 6 7 8 9 10
Posl.
Napomena: sve što je obojeno crnom bojom, je neprihvatljiv rizik, dok polja
predstavljena belom bojom jeste zanemarljiv rizik. Polja obojena sivom bojom predstavljaju rizik
koji je potrebno pratiti, kako ne bi došlo do neprijatnih iznenađenja.
Tretiranje rizika
Svaki rizik, koji prevazilazi granice prihvatljivosti za bilo koji cilj preduzeća, mora biti
podvrgnut detaljnoj analizi, kako bi bilo moguće definisati neku meru kojom će taj rizik biti
sveden na prihvatljiv nivo.
Definisanje mera za svođenje rizika na prihvatljiv nivo obuhvata mere koje imaju za cilj
umanjenje verovatnoće pojavljivanja rizičnog događaja, mere koje imaju za cilj ublažavanje
posledica rizičnog događaja, mere koje omogućavaju izbegavanje rizičnog događaja ili, pak,
mere koje ustvari prenose rizik na neku drugu organizaciju (ako je cilj finansijska dobit, a rizik
preti da nanese veliku materijalnu štetu, moguće je razmisliti o prenošenju rizika na neku
osiguravajuću kuću, ali pri tom treba imati na umu da, sa aspekta korisnika, nije bitno ko je
odgovoran što on nije dobio željeni proizvod / uslugu, već je bitna sama činjenica da nije dobio
taj proizvod, odnosno, uslugu i korisnik, po pravilu, tu uvek okrivljuje preduzeće koje je trebalo
da mu preda proizvod, odnosno, izvrši uslugu).
Nakon definisanja mera za ublažavanje / eliminisanje rizika, potrebno je sprovesti
ponovnu analizu i vrednovanje posmatranog rizika, kako bi bilo sigurno da je rizik prešao u
kategoriju prihvatljivih rizika.
Potrebno je, pri definisanju mera, voditi računa o neophodnim resursima za implementaciju
izabrane mere:
finansije / trošak za sprovođenje
kadrovi (finansijska sredstva potrebna za obuku, kao i vreme potrebno za obuku),
oprema (postupak izbora, definisanje karakteristika koje oprame mora posedovati.
mogući dobavljači, brzina zastarevanja opreme, mogućnost servisiranja, mogućnost
prodaje polovne opreme..),
finansije za nabavku opreme i
potrebno vreme za implementaciju.