Treceți la conținutul principal

METODE COMPLEMENTARE DE EVALUARE -1

Pe lângă metodele directe de evaluare pentru riscuri și securitate merită amintite și unele metode complementare de evaluare- care permit managementului unității economice să-și formuleze o imagine mai clară asupra problemelor pe care trebuie să le rezolve unitatea. 


În acest sens prezentăm 2 astfel de metode complementare- analiza scenariilor și analiza impactului (riscului/securității) asupra afacerii.

ANALIZA SCENARIILOR

 PREZENTARE GENERALĂ

Analiza scenariilor este un nume dat dezvoltării de modele descriptive despre modul în care sistemele s-ar putea manifesta în viitor. Poate fi folosită pentru identificarea riscurilor prin considerarea posibilelor dezvoltări viitoare și explorarea implicațiilor acestora. Seturi de scenarii reflectând ”cazul ideal” ”cazul cel mai nefavorabil” și ”cazul așteptat” pot fi utilizate pentru analiza consecințelor potențiale și a probabilităților pentru fiecare scenariu ca formă de analiză de senzitivitate când se analizează riscurile.
Puterea analizei scenariilor este ilustrată considerând schimbările majore în ultimii 30 de ani în tehnologii , preferințele consumatorului, atitudinile sociale, etc. Analiza de scenarii nu poate prezice probabilitatea unor asemenea schimbări dar poate considera consecințele și ajuta organizațiile să dezvolte capacitățile necesare pentru adaptarea la schimbările prezumate.

UTILIZARE

Analiza scenariilor poate fi utilizată în asistarea adoptării de decizii de politică și planificarea strategiilor viitoare ca și în considerarea activităților existente. Se poate ca analiza de scenarii să facă parte din fiecare din componentele evaluării de risc.
Pentru identificarea și analiza riscurilor seturi de scenarii cum ar fi ”cazul cel mai nefavorabil”-”cazul ideal” pot fi folosite pentru a identifica ce se poate întâmpla în circumstanțe particulare și analiza consecințele potențiale și probabilitățile acestora pentru fiecare scenariu.
Analiza de scenarii poate fi utilizată pentru a anticipa cum se pot dezvolta amenințările și oportunitățile și poate fi folosită pentru toate tipurile de riscuri  pe perioadă medie și lungă. Pentru scenarii pe termen scurt și cu date corespunzătoare pot fi făcute extrapolări realiste din prezent. Pentru perioade mai lungi de timp și date mai slabe calitativ analiza de scenarii devine mai imaginativă și poate fi considerată și ca analiza alternativelor de viitor. Anjaliza de scenarii poate fi utilă și acolo unde sunt diferențe distributive puternice între rezultatele pozitive și rezultatele negative în spațiu, timp și grupuri comunitare și societale.

INTRĂRI

Cerința majoră pentru analiza de scenarii o reprezintă existența unei echipe care să posede o înțelegere a naturii schimbărilor relevante (de exemplu avans tehnologic posibil)  precum și imaginație în ceea ce privește viitorul fără a extrapola din trecut neapărat. Accesul la literatură și date despre schimbări în curs de desfășurare este de asemenea util.  

PAȘI

1. Odată stabilită echipa cât și canalele relevante de comunicare și definit contextul problemei și aspectele care trebuie considerate următorul pas este identificarea schimbărilor care pot apărea. Acest aspect poate necesita cercetări în trendurile majore cât și periodizarea probabilă a modificărilor din trenduri ca și  o  gândire imaginativă despre viitor.
2. Schimbările care trebuie considerate pot include:
-schimbări externe (cum ar fi schimbări tehnologice);
- decizii care trebuiesc adoptate în viitorul apropiat dar care pot avea o varietate de rezultate;
-necesitățile stakeholderilor și modul în care acestea se pot modifica;
- modificări în mediul macro (legi, demografie, etc.) .Unele din aceste schimbări vor fi inevitabile și unele vor fi incerte.
3. Uneori, o schimbare poate rezulta din consecințele unui alt risc. De exemplu, riscul modificării climei conduce la schimbări în obiceiurile consumatorilor vizând instalarea de instalații de aer condiționat. Factorii sau tendințele macro și locale pot fi listate și ierarhizate ținând seama de :
            a)importanță;
b)incertitudine; O atenție specială trebuie acordată factorilor considerați cei mai importanți și cei mai nesiguri (incerți).Factorii cheie sau tendințele sunt comparați (comparate) pentru a arăta zonele în care pot fi dezvoltate scenariile.
4. Se propune o serie de scenarii – fiecare din scenarii fiind focalizat pe o modificare (schimbare) posibilă definită în parametrii.
5. Pe baza scenariilor se scrie câte o ”poveste” care arată modalitățile de ajungere din poziția actuală către rezultatul scenariului. Povestea poate include detalii plauzibile care dau valoare scenariilor.
6. Scenariile pot fi folosite pentru a testa sau evalua întrebarea inițială. Testele iau în considerare toți factorii semnificativi și predictibili și explorează cât de mult succes va avea activitatea analizată în noul scenariu  și va pre-testa condițiile folosind tehnica What-If.
7. Când întrebarea a fost evaluată prin raportare la fiecare scenariu poate deveni clară necesitatea modificării pentru a le face mai robuste sau mai puțin riscante. Trebuie identificați de asemenea anumiți indicatori de progres care să arate când se petrece schimbarea. Monitorizarea și răspunsul la acești indicatori pot oferi oportunități de schimbare în strategiile planificate.
8. Pentru că scenariile sunt doar ”felii” din viitorul posibil este extrem de important de ținut seama de probabilitatea unui rezultat particular care poate avea loc- pentru a adopta o structură cadru de risc.

IEȘIRI

O imagine mai bună despre adaptarea la schimbările posibile este ieșirea principală a acestei metode.


ANALIZA IMPACTULUI ASUPRA AFACERII (BIA)

 PREZENTARE GENERALĂ

Analiza impactului asupra afacerii este cunoscută și ca evaluarea impactului asupra afacerii .Metoda urmărește modul în care riscuri cheie pot afecta operațiile unei organizații , identifică și quantifică capacitățile necesare pentru managementul acestor riscuri.
În mod specific BIA oferă înțelegerea a:
-identificării și criticității proceselor cheie ale afacerii , funcțiilor și resurselor asociate precum și interdependențele cheie care există pentru o organizație;
-modul în care evenimentele disruptive vor afecta capacitatea și capabilitatea de a atinge obiective cheie în afacere;
-capacitatea și capabilitatea necesară pentru a manageria impactul unei disruperi și a recupera organizația la nivelul stabilit de operare.

UTILIZARE

BIA este folosită pentru a determina criticitatea și timpul de recuperare al proceselor și resurselor ascociate (persoane, echipamente, tehnologii iinformaționale) pentru a asigura dezvoltarea continuă a obiectivelor.
În mod adițional, BIA este folosită pentru determinarea inerdependențelor și inter-relaționărilor  între procese, părți externe și interne și legăturile pe lanțul de aprovizionare.

INTRĂRI

Intrările includ:
-       o echipă care să realizeze analiza și să dezvolte un plan;
-       informații privind obiectivele, mediul, operațiile și interdependențele organizației;
-       detalii despre activitățile și operarea organizației incluzând:
o   procese;
o   resurse de sprijin;
o   relații cu alte organizații;
o   aranjamente referitoare la outsourcing;
o   stakeholderi;
-       consecințe financiare și operaționale a pierderii proceselor critice;
-       un chestionar pregătit;
-       lista intervievaților din diferitele zone ale organizației  și/sau a stakeholderilor care trebuiesc contactați;

PAȘI

BIA poate fi desfășurată folosind chestionare, interviuri, workshopuri structurate sau combinații de toate trei pentru a obține înțelegerea proceselor critice , efectele pierderii acestor procese și resursele de timp și alte resurse necesare recuperării.
Pașii sunt următorii:
1. Pe baza evaluărilor de risc și vulnerabilitate se confirmă procesele și ieșirile cheie ale organizației pentru a determina criticitatea proceselor;
2. Determinarea consecințelor unei disruperi pentru procesele identificate ca fiind critice în termeni financiari/operaționali pe perioade definite;
3. Identificarea interdependențelor cu stakeholderii cheie- interni și externi .Acest pas poate include maparea naturii interdependențelor în lanțul de alimentare;
4. Determinarea resurselor disponibile curente precum și a nivelului esențial de resurse necesar pentru a continua operarea la un nivel minim acceptabil în urma producerii unei disruperi;
5. Identificarea proceselor alternative în folosință sau planificate a fi folosite. Aceste procese trebuie dezvoltate acolo unde resursele sau capabilitățile sunt inacesibile sau insuficiente în timpul disruperii;
6. Determinarea timpului maxim de tolerare a pierderii unei capabilități (MAO- Maximum Acceptable Outage Time) pentru fiecare proces bazat pe consecințele identificate precum și pe factorii critici de succes pentru funcție.
7. Determinarea timpului de recuperare al obiectivelor (RTO- Recovery Time Objectives) pentru orice echipament specializat sau tehnologie informațională. RTO este timpul în care organizația urmărește să-și recupereze echipamentul specializat sau capabilitățile de tehnologie informațională.
8. Confirmarea nivelului curent de pregătire în ceea ce privește procesele critice în vederea managementului unei disrupții. Acest aspect poate include evaluarea nivelului de redundanță în cadrul procesului sau existența furnizorilor alternativi.

IEȘIRI

Ieșirile principale sunt:
-o listă de priorități a proceselor critice și interdependențelor asociate;
- impacturi documentate (financiar și operațional) plecând de la pierderea unui proces critic;
-resurse de sprijin necesare pentru identificarea proceselor critice;
-timp admis pentru recuperarea disrupțiilor din procesele critice


Comentarii

Postări populare de pe acest blog

IDENTIFICAREA ȘI ANALIZA CAUZELOR RĂDĂCINĂ -1

Analiza cauzelor rădăcină este o metodă extrem de folosită de către managementul de performanță  din firmele dezvoltate. Metoda este considerată ca o metodă primară- care trebuie utilizată în primele faze ale analizei specifice procesului managerial. Ne propunem să prezentăm o metodă de analiză a cauzelor rădăcină care să poată fi aplicată atât pentru managementul calității cât și pentru managementul securității – ținând seama de faptul că în cea mai mare parte, cauzele rădăcină ale problemelor de calitate și problemelor de securitate și sănătate sunt comune. Figura 1 prezintă modul  global de analiză pentru cauzele rădăcină Din figură se poate observa că avem 2 procese distincte: ·         -un proces de identificare- care va fi realizat pe baza metodei cunoscute și ca 5 W ( 5 Why); ·         -un proces de analiză; procesul de analiză urmărește: o   stabilirea cauzelor specifice managementului calității și managementului de SSM; o   ierarhizarea cauzelor identificate;

Figura 1  Structurare…

VULNERABILITY METRICS AND KPI

KPI definitionA key performance indicator(KPI) is a measure of performance, commonly used to help an organization defineand evaluate how successful it is, typically in terms of making progress towards its long-term organizational goals.
–KPIs provide business-level context to security-generated data –KPIs answer the “so what?” question –Each additional KPI indicates a step forward in program maturity –None of these KPIs draw strictly from security data
COBITControl Objectives for Information and Related Technology (COBIT) is a framework created by ISACA for information technology (IT) management and IT governance. It is a supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. COBIT was first released in 1996; the current version, COBIT 5, was published in 2012. Its mission is “to research, develop, publish and promote an authoritative, up-to-date, international set of generally accepted information technology control obj…

APLICAȚII ALE GRAFULUI DE RISC-1

Așa după cum s-a văzut dintr-o postare trecută, graful de risc poate fi un instrument util- și nu numai în cazul bolilor profesionale. Vom adapta în continuare  teoria existentă la teoria și practica din România și vom detalia câteva aspecte considerate de interes.
Este interesant de adaptat  graful de risc pornind de la clasicul sistem Om-Mașină folosit în practica de specialitate din domeniul SSM din România. În acest sens, folosind experiența existentă și datele statistice putem dezvolta în mod corespunzător- așa cum se prezintă în continuare în acest material.
Tabelul 1- Atribute folosite în graf Atribut Descriere I (Inițiatori) Operator(O): a. operator pregătit necorespunzător[1] b.operator malevolent [2] c.operator surprins de un eveniment neprevăzut datorat sarcinii[3] d. operator surprins de un eveniment neprevăzut datorat mașinii;[4] e. operator surprins de un eveniment neprevăzut datorat mediului/factorilor naturali. [5] Sarcină(S): a. sarcină incorect formulată- care dete…