Jerzy Podlewski

Jerzy Podlewski ryzykonomia.pl

Temat: Ryzyko inherentne i rezydualne - kto to robi ?

To zdaje się, podobnie jak apetyt na ryzyko (dyskusja wciąż jest otwarta !)
kolejny słabo poruszany w jednostkach temat.
Czy jednostki które znacie robią taką analizę?
Czy analizują tylko "jeden" wymiar ryzyka, siłą rzeczy ryzyko rezydualne ?
Jak powinno być ?
Piotr Welenc

Piotr Welenc CISA, CICA, CGEIT,
CRISC, CRMA, ISO
22301 LA, QA
Validato...

Temat: Ryzyko inherentne i rezydualne - kto to robi ?

Ja zawsze ...i w każdej jednostce. Po prostu nie da się inaczej zbudować rozumienia mechanizmów kontrolnych u kierownictwa, jeżeli nie określę jaka jest różnica między ryzykiem niezabezpieczonym a zabezpieczonym:) proste skale, proste wytłumaczenie. Do pierwszej iteracji powinno wystarczyć. Dalej zaczynają się bardziej skomplikowane historie, ale to juz inny temat:)

konto usunięte

Temat: Ryzyko inherentne i rezydualne - kto to robi ?

A czy kierownictwo chce rozumieć istotę mechanizmów kontrolnych, czy wiedzieć ile one kosztują? (w innym wątku na forum jest ta kwestia poruszana). Wygodniej jest nie wiedzieć, bo nie ma wtedy problemów, że za dużo mechanizmów jest albo za dużo ludzi robi coś co nie daje efektywności i oszczędności. Po za tym, administracja nakłada tak wiele tych mechanizmów, że trudno jej dojść do niezabezpieczonego ryzyka. W idealnym świecie powinna być taka analiza robiona bo tak jak Piotr wspominał widać różnicę przed i po oraz zasadność stosowania mechanizmów da się wykazać. Tylko jeszcze trzeba pamiętać o częstej subiektywności oceny ryzyka i określanie jego poziomu. W mapach procesów widać bardzo ładnie przy pewnym poziomie szczegółowości ile jest zbędnych mechanizmów, ale mimo, że wiedza jest to trzeba potem działania podjąć a to już może nie być tak interesujące dla kierowników.Ten post został edytowany przez Autora dnia 24.07.13 o godzinie 09:18
Jerzy Podlewski

Jerzy Podlewski ryzykonomia.pl

Temat: Ryzyko inherentne i rezydualne - kto to robi ?

Jestem dość świeżo po szkoleniu Granta Purdego jednego z twórców AS/NZS i ISO 31000 i tenże podkreślał i coraz bardziej się przychylam do tego dzisiaj, że szacowanie inherentnego to fikcja i czysta gimnastyka umysłowa. Ryzyko inherentne IT: system bez żadnych zabezpieczeń. Ryzyko pożaru. Wszystko 100 % palne, zero gaśnic i szkolenia Ppoż. Gdzie tu sens ? . Nienaturalne.
W życiu też wyceniamy ryzyko finalne, rezydualne.
Stąd myślę, chyba jednak uzasadniona niechęć organizcji do tej koncepcji.

konto usunięte

Temat: Ryzyko inherentne i rezydualne - kto to robi ?

Na razie to jest niechęć do koncepcji ZR różnej niż wypełnianie rejestrów ryzyka dwa razy w roku. Otwarta pozostaje również sprawa wyceny ryzyka. Na razie chyba raczej głównie na podstawie subiektywnej oceny wg skal np. 3x3 czy 5x5, a pewnie rzadziej na podstawie danych, które nawet jeśli się zbiera to nie zawsze analizuje i wyciąga wnioski.
Marcin D.

Marcin D. Audyt - Szkolenia -
Doradztwo Marcin
Dublaszewski

Temat: Ryzyko inherentne i rezydualne - kto to robi ?

Ja się waham, początkowo miałem podobne myśli jak cytowany Purdy (którego nie znam), jednakże jeżeli chcemy wprowadzić kategorię skuteczności mechanizmów kontrolnych to wtedy ma to sens. Podobnie z porównaniem kosztu mechanizmu ze zmianą ekspozycji na dane ryzyko.
Jerzy Podlewski

Jerzy Podlewski ryzykonomia.pl

Temat: Ryzyko inherentne i rezydualne - kto to robi ?

Efektywność ZR, to ważny temat, tylko zastanawiam się już czy metod odpowiednia bo konsekwentnie jest to mierzenie efektywności controlsów od "zera" ( poziom ryzyko inherentnego) do "n" (rezydualnego). Ale jakieś controlsy są przecież zawsze więc nie powinniśmy chyba mierzyć od "zera" (teoretycznego "konstruktu") to daje błedny wynik, sądzę.
I dalej " Czy nie moża mierzyć efektowności "po prostu" ? Nie wiem , zastanawiam się. Ktoś ma jakieś pomysły ?
Marcin D.

Marcin D. Audyt - Szkolenia -
Doradztwo Marcin
Dublaszewski

Temat: Ryzyko inherentne i rezydualne - kto to robi ?

Zawsze można porównać stan zastany (gdzie kontrole są zbyt słabe) do postulowanego. Porównując koszty kontroli (to może być proste) do wartości ryzyk "zmniejszonych" - czyli różnicy wartość x prawdopodobieństwo dla obu przypadków. Nie jestem jednakże zwolennikiem mierzenia ryzyka w PLN (przynajmniej w jsfp) bo zamknięcie urzędu dla petentów powinno być ocenione pozytywnie (prąd, telefony, papier) a nie ilością zagniewanych ludzi przed drzwiami. Zawsze postulowałem odniesienie do celów i zgodności z prawem, reszta to już tylko pochodne.



Wyślij zaproszenie do