Połączenie informacji o ryzykach, incydentach i planach BCM
Im więcej informacji tym wiarygodniejsze szacunki i adekwatniejsza reakcja na zdarzenia
BCMLogic ONE posiada wszystko co potrzebne do Zarządzania Ryzykiem:
-
listę zasobów, osób i procesów,
-
możliwość opisania przyczyn ryzyka,
-
wybór strategii,
-
przypisanie planów postępowania
-
raportowanie i monitorowanie.
Oferuje jednak znacznie więcej. Integracja z informacjami o incydentach, analizie BIA i planach BCP pozwala na jeszcze lepsze urealnienie oceny ryzyka. Poziom prawdopodobieństwa może być ustawiany na podstawie liczby incydentów, które dotyczyły danego procesu czy zasobu.
Szeroki zakres zastosowań
Zarządzanie ryzykami ERM
Ryzyka dotyczące procesów i usług biznesowych, zazwyczaj obsługiwane na poziomie departamentów/pionów.
Zarządzanie ryzykami BCM
Ryzyka pod kątem ciągłości działania, zazwyczaj obejmujące kategorie: osoby, infrastruktura IT, lokalizacje, dostawcy. Badane zarówno na poziomie procesów jaki i zasobów.
Zarządzanie ryzykami IT
Ryzyka dotyczące systemów i aplikacji oraz kluczowej infrastruktury. Z jednej strony określenie zagrożeń za pomocą checklist (w formie ankiety powiązanej z bazą podatności), z drugiej strony współpraca z dedykowanymi rozwiązaniami, takimi jak skanery podatności. Możliwość określenia priorytetu usuwania dużej liczby podatności dzięki wiedzy o tym ile i jak bardzo krytycznych procesów biznesowych oraz ile i jakie zbiory danych korzystają z danego urządzenia.
Zarządzanie ryzykami niezgodności
Moduł oferuje bibliotekę ryzyk, która może być zarządzana z poziomu aplikacji lub importowana z zewnętrznego źródła.
Zarządzanie odstępstwami
Jeśli prowadzony projekt lub inna sytuacja wymaga odstępstwa od reguł bezpieczeństwa, wykorzystywany jest formularz odstępstw. Pozwala na określeni reguły od której wnioskujący chce odejść, wyrażenie opinii działów merytorycznych (np. prawny, bezpieczeństwo, IT itp.), określenie poziomu ryzyka związanego z odstępstwem. W przypadku akceptacji określa się termin ważności.
Rejestr zdarzeń operacyjnych
Rejestr zdarzeń, które faktycznie wystąpiły z możliwością określenia przewidywanych strat finansowych oraz niefinansowych (w dowolnej liczbie kategorii).
Kategoryzacja i monitorowanie podatności
Priorytetyzacja na podstawie wiedzy o powiązaniach pomiędzy procesami (i ich krytycznością) a zasobami. Mechanizmy do przydzielania oraz monitorowania realizacji zadań.
Kontrola nad planami postępowania
Przydzielanie, akceptacja i monitorowanie
Plany postępowania to praktycznie dodatkowy podmoduł. Z jednej strony zintegrowany z listą ryzyk, a z drugiej posiadający własny workflow, powiadomienia i przypomnienia, gwarantujący automatyzację pełnego cyklu życia od planu do gotowego zabezpieczenia, pozwalający na monitorowanie wykonania.
Funkcje i elementy modułu
Baza ryzyk
Podstawowe repozytorium, które dzięki elastyczności umożliwiaj równoległą obsługę wielu typów ryzyk. Podstawowym podziałem jest kategoria ryzyka (definiowalny słownik), na podstawie, którego określa się jakie formularz aplikacji (tzw. zakładki) mają być dostępne dla danej kategorii. Dla każdego ryzyka można określić:
-
Istniejące zabezpieczenia, obniżające poziom ryzyka
-
Poziom ryzyka – określany na podstawie macierzy wypełnianej przez osobę analizującą (prawdopodobieństwo i dowolna liczba typów wpływu) lub na bazie numerycznych wartości przypisanych do podatności
-
Strategię postępowania
-
Plany postępowania z ryzykiem, jeśli wymaga tego przyjęta strategia postępowania
-
Procesy biznesowe, których ryzyko dotyczy
-
Zasoby (np. systemy informatyczne, infrastruktura, ale również dostawcy)
Baza ryzyk działa w oparciu o workflow – opis w dalszej części. Uprawnienia do ryzyk nadawane są dynamicznie na podstawie takich elementów jak: kategoria ryzyka, przypisanie ryzyka do jednostki organizacyjne, zasobu, procesu oraz wszelkich innych atrybutów, które dostępne są w rozbudowanej bazie danych. Umożliwia to bardzo precyzyjną kontrolę dostępu. Dwóch użytkowników wchodzących na tą samą listę, może widzieć zupełnie inny zestaw ryzyk, zależnie od pełnionej roli.
Formularz ryzyka - identyfikacja i ocena
Każde ryzyko opisane jest kartą ryzyka, w ramach której istnieje możliwość m.in. zdefiniowania celów/wymagań, jakie należy osiągnąć/spełnić, aby uzyskać oczekiwany poziom ryzyka, możliwość wskazania skutków zmaterializowania się ryzyka pod kątem wpływu na określony obszar w organizacji, a także funkcja określenia opcji i planu postępowania z ryzykiem.
Karta ryzyka podzielona jest na zakładki gromadzące poszczególne funkcje. Zakładki mogą być wyłączane, udostępnione do podglądu lub edycji w sposób dynamiczny, na podstawie kategorii, aktualnego statusu oraz roli w jakiej występuje użytkownik. Obecnie w aplikacji dostępnych jest kilkanaście zakładek.
W przypadku specyficznych potrzeb, w pierwszej kolejności wprowadzamy modyfikacje w istniejących zakładkach, a jeśli liczba zmian jest duża, tworzymy dedykowaną zakładkę. Z poziomu ekranu możliwa jest zmiana statusu ryzyka (przyciski kontekstowe workflow w górnej lewej części) oraz generacja raportu – z wykorzystaniem szablony Word, który jest wypełniany dynamicznie danymi aktualnego ryzyka.
Powiązanie ryzyka z zasobami i procesami
Dla każdego ryzyka możliwe jest zdefiniowanie wpływu na zasoby i procesy w ramach wspólnych dla całej platformy rejestrów. Jednocześnie możliwe jest przeprowadzanie dedykowanej analizy ryzyka dla konkretnego zasobu.
Analityka ryzyka
Identyfikacja i analiza ryzyka to początek procesu. Naszym zdaniem najważniejsze w procesie zarządzania ryzykiem jest odpowiednie wnioskowanie i wsparcie w podejmowaniu bieżących decyzji.
Temu służą narzędzia analityczne:
-
Biblioteka KRI z możliwością połączenia wskaźników z danymi zbieranymi w ramach platformy (incydenty, awarie etc.) oraz z innych systemów
-
Wartości wskaźników KRI mogą być również wyliczane na podstawie informacji zbieranych od użytkowników
-
Raporty analityczne, wizualizacja danych i eksport do MS Excel
-
Pulpity ryzyka dedykowany dla roli/grupy (Zarząd, RN, dyrektorzy obszarów)
Baza zabezpieczeń i planów postępowania z ryzykiem
Kolejny obiekt używany w module, ściśle powiązany z ryzykiem. Podstawowy podział zabezpieczeń to zabezpieczenia istniejące i planowane/realizowane.
Zabezpieczenia istniejące to po prostu katalog dostępnych środków ogólnych (np. antywirus na stacji roboczej) lub dedykowanych dla konkretnego zasobu (np. system gaśniczy w serwerowni, czy program motywacyjny dla pracowników, mający zmniejszyć ryzyko odejścia kluczowego personelu).
Zabezpieczenia planowane/realizowane to po prostu plany postępowania z ryzykiem, uruchamiane w sytuacji, gdy dane ryzyko ma nieakceptowalny poziom (np. zakup szybszego systemu backup jeśli obecny nie pozwalaj na spełnienie czasów odtworzenia określonych podczas analizy BIA). Wykonany plan postępowania staje się aktywnym zabezpieczeniem.
Każde z zabezpieczeń może mieć przypisaną wartość cyfrową, pozwalającą w sposób numeryczny ustalić aktualną wartość ryzyka po ich zastosowaniu/wyłączeniu.
Plany postępowania z ryzykiem
Jeśli podjęta strategia postępowania z ryzykiem zakłada wykonanie określonych działań, wówczas w aplikacji przypisujemy do ryzyka wymaganą liczbę Planów Postępowania z Ryzykiem.
Plan postępowania z ryzykiem przedstawia, jakie zabezpieczenia będą zastosowane w celu ograniczenia zidentyfikowanego ryzyka oraz kto, w jakim zakresie oraz terminie jest odpowiedzialny za ich wdrożenie.
Mechanizmy kontrolne (zabezpieczenie) są to elementy systemu zarządzania ryzykiem mające ograniczyć prawdopodobieństwo wystąpienia ryzyka lub zniwelować skutki zaistniałego ryzyka.
Rejestr zdarzeń operacyjnych
Głównym sposobem logowania do Platformy BCMLogic jest tzw. SSO, czyli dostęp do aplikacji w oparciu o wcześniejsze uprawnienia uzyskane podczas logowania komputera użytkownika do domeny organizacji. Dla użytkownika oznacza to brak potrzeby pamiętania loginu i hasła. Jest to bardzo wygodne szczególnie wtedy, kiedy użytkownik korzysta z systemu okazjonalnie – np. gdy dostanie powiadomienie o działaniu do wykonania w ramach realizacji zaleceń poaudytowych. Klika wówczas w link dostarczony w powiadomieniu, aplikacja w tle weryfikuje uprawnienia i w przypadku pozytywnym, wyświetla odpowiedni ekran.
Spójne zarządzanie ryzykiem w organizacji
Od oceny zasobu po globalne ryzyka w całej organizacji
BCMLogic to analiza ryzyka na różnych poziomach: od systemu IT, czy lokalizacji, poprzez różne systemy zarządzania (BCM, Zgodność, Bezpieczeństwo informacji itd.), po ryzyka operacyjne na poziomie jednostek, całej firmy lub międzynarodowej korporacji.
System zapewnia izolację poszczególnych poziomów i kategorii, ale nie wyklucza spójnego przepływu na wyższe poziomy. Jeśli administrator kluczowej lokalizacji zdiagnozuje poważne ryzyko mające wpływ na procesy biznesowe, wówczas informacja ta może być propagowana dalej. W zależności od rodzaju i poziomu ryzyka użytkownicy korzystają z najbardziej odpowiednich formularzy i ekranów aplikacji.
Rejestry
Słowniki i rejestry
Moduł ryzyka korzysta z wbudowanych słowników i rejestrów. Rejestry służą do budowania wewnętrznych bibliotek danych z poziomu aplikacji lub mogą być importowane z innych źródeł.
Rejestr zagrożeń
Rozbudowywalna biblioteka zagrożeń oraz przypisanych do nich podatności. Dla zagrożenia można określić jego numeryczną wartość.
Rejestr podatności
Umożliwia ustalenie grup ryzyk na potrzeby biblioteki ryzyka. Dla każdej grupy określana jest kategoria ryzyka (słownikowana, możliwość dodania nowych) oraz typ ryzyka (również słownikowany).
Rejestry grup i kategorii ryzyk
Każda podatność ma określony status oraz wartość numeryczną, która może być wykorzystywana do obliczania poziomu ryzyka w bardziej zaawansowany sposób.
Biblioteka zabezpieczeń
Umożliwia określenie standardowych Planów Postępowania z Ryzykiem, które mogą być automatycznie przypisane (np. do systemu, aplikacji) po wykryciu podatności. Możliwe jest określenie domyślnej osoby, do której przypisany będzie PPR, strategia postępowania z ryzykiem, czy zastosowanie (zabezpieczenie, kontrola). Zastosowanie biblioteki pokazano w kolejnym rejestrze.
Mapowanie pytań na potrzeby samooceny ryzyk
Do każdego ryzyka może zostać dodana ankieta, na którą odpowiada właściciel procesu, administrator lokalizacji, administrator systemu, szef HR itd., w zależności od kategorii i typu ryzyka. Każde z pytań może mieć zamknięte odpowiedzi, mające przydzieloną wartość numeryczną i kod.
Jeżeli dla danego pytania zostanie wskazana dana odpowiedź to może to oznaczać potrzebę utworzenia/edycji ryzyka dla badanego zasobu/procesu i dodania do niego tej podatności. Opcjonalnie można wskazać, że po utworzeniu podatności należy od razu przypisać do ryzyka PPR dotyczący tejże podatności (0-N PPRów). Parametry te wykorzystywane są przez aplikację podczas fazy automatycznej analizy ryzyka.
Kategoryzacja i monitorowanie podatności
Priorytetyzacja na podstawie wiedzy o powiązaniach pomiędzy procesami (i ich krytycznością) a zasobami. Mechanizmy do przydzielania oraz monitorowania realizacji zadań.