A vállalati kockázat elemzésének módjai

Az elmúlt évtizedekben a különböző irányítási rendszerek (minőség-, környezet-, munkabiztonság) fejlődése rendre megkövetelte a vállalatoktól a különböző kockázatok elemzését. Ezen kockázatelemzések középpontjában természetszerűleg mindig más állt: a gyártás (szolgáltatás) során minőségi hibák kiküszöbölése, a káros környezeti hatások elkerülése, csökkentése vagy éppen a munkatársak egészségének védelme.

A kockázatok elemzésének különböző módszerei terjedtek el a világon: ezek közül talán az egyik legismertebb az FMEA (hibalehetőség és hatáselemzés). A módszer kockázati tényezőként figyelembe veszi a lehetséges hibák valószínűségét, a lehetséges hibák által okozott anyagi, illetve presztízs jellegű kárt, valamint a lehetséges hibák felfedésének valószínűségét.

Ha az információs vagyon védelmével foglalkozunk, az némileg más megvilágításba helyezi a fenti szempontokat. Meg kell próbálni választ találni arra, hogy miket tartunk vállalatunk legfontosabb értékeinek, milyen veszélyeknek vagyunk kitéve, illetve milyen módon tudunk ellenük védekezni.

Egy vállalat értékeinek meghatározásakor két lényeges csoportot lehet megkülönböztetni: az első a tárgyi vagyon - épületek, gépek, berendezések, hálózatok és kommunikációs médiumok -, illetve a szellemi vagyon. Ez utóbbihoz tartoznak az engedélyek, szabadalmak, érzékeny és személyes adatok, a kalkulációk, fejlesztések, vevői, beszállítói és üzleti adatok, illetve a munkatársak tudása is. Eközben figyelembe kell venni a vevők elvárásait és a velük kötött megállapodásokat, a törvényi kötelezettségeket, a gazdasági követelményeket és a hoszszabb távú vállalati stratégiát.

Egy vállalati kockázatelemzésnek a következő lépéseken kell végigmennie: vállalati értékek megállapítása, lehetséges fenyegetések, illetve azok bekövetkezési valószínűségének elemzése, az információvesztés észlelésének ideje, illetve lehetséges kárhatások megbecsülése.

Egy vállalatra leselkedő veszélyek és fenyegetések lehetnek fizikai veszélyek - és vis maior -, hardvert fenyegető, humán erőforrásra leselkedő veszélyek, és ide tartozik a szándékos károkozás, illetve az ipari kémkedés is. (Ezek egyébként lehetnek egyaránt műszak, de nagyon gyakran szervezeti jellegűek is.)

Egyértelműen megállapítható, hogy a kockázatelemzés fontosságánál kevésbé a vállalat mérete döntő, mint inkább annak biztonsági követelményei. Így a csupán egy munkatársat foglalkoztató ügyvédnek vagy orvosnak magasabb követelményei lehetnek, mint egy az építőiparban dolgozó, tíz főt foglalkoztató vállalkozónak. Tanácsos egy kockázatelemzés kidolgozása mindazon vállalatok számára, akik sok bizalmas információt cserélnek modern kommunikációs eszközökön keresztül.