ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
GENERAL ISSUES IN SCOPE OF RISK MANAGEMENT
2. METODY WYKORZYSTYWANE W OCENIE RYZYKA 89
2.13. Analiza scenariuszowa (scenario analysis)
W metodzie tej scenariusze są przewidywane/prognozowane, bierze się pod uwagę różne rodzaje ryzyka mogące wystąpić w każdym z nich. Możemy rozwa-żyć „najlepszą opcję”, „najgorszą opcję”, „spodziewaną opcję”. Analiza scena-riuszy może być pomocna w planowaniu przyszłej polityki i strategii, a także rozważaniu bieżących aktywności. Pokazuje, jak na rozwój sytuacji wpływają szanse i zagrożenia. Analiza scenariuszowa może być przydatna podczas wyko-nywania planów zarządzania kryzysowego np. dla obszaru gminy (poniżej przy-kład takiej analizy), jednak może mieć bardzo różne formy.
Opis sytuacji: trwające 10 dni intensywne opady deszczu spowodowały pod-niesienie poziomu wody w regionie oraz w górnej części rzeki. Gmina posiada zabezpieczenie przeciwpowodziowe w postaci wałów przeciwpowodziowych, jednak są one w nie najlepszym stanie i od kilku lat nie były modernizowane.
Konieczne jest podjęcie decyzji, jakie kroki należy podjąć, by zminimalizować ewentualne straty, ale trzeba liczyć się z faktem, że fundusze są ograniczone.
Dlatego opracowano trzy scenariusze.
Scenariusz I (najlepsza opcja)
W wyniku silnych opadów deszczu dochodzi do podniesienia się stanu wody nieznacznie powyżej stanu alarmowego, zalane zostają tylko nisko położone łąki, ale nie dochodzi do strat materialnych. Profilaktycznie sytuacja jest nadzo-rowana przez strażaków ochotniczej straży pożarnej, ale pozostaje stabilna i zagrożenie dla gminy szybko mija.
2. znać numer telefonu, pod którym możemy zastrzec kartę, a przynajm-niej numer infolinii swojego banku,
3. nie udostępniać nikomu numeru PIN i zasłaniać klawiaturę w bankoma-cie,
4. ubezpieczyć kartę (to oczywiście kosztuje, ale bank w razie kradzieży najczęściej zwraca całą kwotę).
Analiza „what if?” może być wykonana jako analiza jakościowa, ale również ilościowa – ze wskazaniem konkretnych wartości liczbowych oraz wartości prawdopodobieństwa. Analiza ilościowa jest trudniejsza, ponieważ wymaga od nas dokładnej specyfiki obszaru i doświadczenia w rozwiązywaniu problemów w tej dziedzinie.
2.13. Analiza scenariuszowa (scenario analysis)
W metodzie tej scenariusze są przewidywane/prognozowane, bierze się pod uwagę różne rodzaje ryzyka mogące wystąpić w każdym z nich. Możemy rozwa-żyć „najlepszą opcję”, „najgorszą opcję”, „spodziewaną opcję”. Analiza scena-riuszy może być pomocna w planowaniu przyszłej polityki i strategii, a także rozważaniu bieżących aktywności. Pokazuje, jak na rozwój sytuacji wpływają szanse i zagrożenia. Analiza scenariuszowa może być przydatna podczas wyko-nywania planów zarządzania kryzysowego np. dla obszaru gminy (poniżej przy-kład takiej analizy), jednak może mieć bardzo różne formy.
Opis sytuacji: trwające 10 dni intensywne opady deszczu spowodowały pod-niesienie poziomu wody w regionie oraz w górnej części rzeki. Gmina posiada zabezpieczenie przeciwpowodziowe w postaci wałów przeciwpowodziowych, jednak są one w nie najlepszym stanie i od kilku lat nie były modernizowane.
Konieczne jest podjęcie decyzji, jakie kroki należy podjąć, by zminimalizować ewentualne straty, ale trzeba liczyć się z faktem, że fundusze są ograniczone.
Dlatego opracowano trzy scenariusze.
Scenariusz I (najlepsza opcja)
W wyniku silnych opadów deszczu dochodzi do podniesienia się stanu wody nieznacznie powyżej stanu alarmowego, zalane zostają tylko nisko położone łąki, ale nie dochodzi do strat materialnych. Profilaktycznie sytuacja jest nadzo-rowana przez strażaków ochotniczej straży pożarnej, ale pozostaje stabilna i zagrożenie dla gminy szybko mija.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
Scenariusz II (spodziewana opcja)
W wyniku silnych opadów deszczu dochodzi do podniesienia się stanu wody powyżej stanu alarmowego, który utrzymuje się przez kilka dni. Konieczne jest stałe nadzorowanie sytuacji na wałach przeciwpowodziowych i dokonywanie bieżących napraw w miejscach, w których wały zaczynają przeciekać. Naprawy polegają na układaniu worków z piaskiem i zabezpieczaniu wałów folią przed przeciekaniem. Do działań zaangażowano OSP, okoliczną ludność oraz lokal-nych przedsiębiorców posiadających sprzęt budowlany. Po kilku dniach sytuacja się stabilizuje, choć doszło do zalania łąk i pól w pobliżu rzeki, a woda przesiąkła do kilku piwnic bliżej znajdujących się domostw. Straty są akceptowalne.
Scenariusz III (najgorsza opcja)
W wyniku silnych opadów deszczu dochodzi do podniesienia się stanu wody powyżej stanu alarmowego, który utrzymuje się przez kilka dni. Konieczne jest stałe nadzorowanie sytuacji na wałach przeciwpowodziowych i dokonywanie bieżących napraw w miejscach, w których wały zaczynają przeciekać. Naprawy polegają na układaniu worków z piaskiem i zabezpieczaniu wałów folią. Mimo zintensyfikowania działań sytuacja staje się krytyczna i konieczne jest podjęcie decyzji o wysadzeniu wałów przeciwpowodziowych po tej stronie rzeki, na któ-rej znajduje się tylko kilka zabudowań gospodarskich, by uchronić przed zala-niem budynki mieszkalne i użyteczności publicznej znajdujące się po drugiej stronie rzeki. Po kilku dniach stan wody obniża się, konieczna jest pomoc finan-sowa dla mieszkańców, których budynki zostały zalane.
Analiza scenariuszowa może zostać użyta do opisania każdego rodzaju ryzy-ka, zarówno długo-, jak i krótkoterminowego. Podstawową wadą tej metody jest problem z opisaniem realistycznego rozwoju scenariusza przez osoby od-powiedzialne za jego stworzenie.
2.14. Analiza wpływu na działalność – BIA (business impact analysis)134
Analizę taką przeprowadza się, by pokazać, jak poszczególne zagrożenia wpływają na funkcjonowanie organizacji i jakich przedsięwzięć wymagają.
134 Charakterystyka BIA przygotowana na podstawie: R. Kaszubski, D. Romańczuk (red)., Księga dobrych praktyk w zakresie zarządzania ciągłością działania, wyd. Związek Banków Polskich, Warszawa 2012.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
Służy ona określenia ram czasowych i powiązanych zasobów niezbędnych do zapewnienia ciągłej realizacji zadań.
Do zalet tej metody można zaliczyć:
1. umożliwienie zrozumienia procesów, które zapewniają ciągłość działa-nia i osiągnięcie celu,
2. pokazanie niezbędnych zasobów,
3. zdefiniowanie procesu operacyjnego pozwalającego zwiększyć odpor-ność podmiotu135.
Wadą jest trudność w odpowiednim zrozumieniu działalności podmiotu.
Analiza BIA stanowi podstawowe narzędzie wykorzystywane w procesie za-pewnienia ciągłości działania. Składa się ona z czterech elementów (etapów):
1. Działanie przygotowawcze: określenie obszaru analizy i celów, wybór metod, wyznaczenie ról i przypisanie do nich osób z organizacji, uzy-skanie wsparcia ze strony kierownictwa oraz szkolenia.
2. Gromadzenie danych: wypełnienie formularzy, określenie potencjal-nych strat, wymagań odtworzeniowych dla RTO136 i RPO137 oraz priory-tetów procesów odtworzeniowych.
3. Opracowanie wyników: weryfikacja RTO i RPO, wyznaczenie procesów krytycznych oraz określenie priorytetów procesów odtworzeniowych.
4. Wdrożenie: prezentacja wyników kierownictwu i ich zatwierdzenie oraz wprowadzenie w życie przygotowanych rozwiązań.
Analiza ta koncentruje się na procesie. Umożliwia spójną ocenę procesów oraz porównanie ich krytyczności. W procesie analizy wpływu na działalność termin ten należy rozumieć jako oczekiwaną wartość (względną lub bezwzględną) de-terminującą rzeczywisty wpływ (obiektywny lub subiektywny) danego zdarzenia na działalność podmiotu. Istotne jest przyjęcie jednolitej metody analizy, aby możliwe było porównanie krytyczności badanych procesów.
135 ISO/IEC 31010 Risk Management – Risk Assessment Techniques, s. 42-44.
136 RTO (ang. Recovery Time Objective) – parametr określający maksymalny czas po awarii po-trzebny do przywrócenia działania aplikacji, systemów i procesów biznesowych.
137 RPO (ang. Recovery Point Objective) – parametr określający moment w przeszłości, w którym po raz ostatni została wykonana kopia danych i do którego momentu działalności będzie można wrócić.
Służy ona określenia ram czasowych i powiązanych zasobów niezbędnych do zapewnienia ciągłej realizacji zadań.
Do zalet tej metody można zaliczyć:
1. umożliwienie zrozumienia procesów, które zapewniają ciągłość działa-nia i osiągnięcie celu,
2. pokazanie niezbędnych zasobów,
3. zdefiniowanie procesu operacyjnego pozwalającego zwiększyć odpor-ność podmiotu135.
Wadą jest trudność w odpowiednim zrozumieniu działalności podmiotu.
Analiza BIA stanowi podstawowe narzędzie wykorzystywane w procesie za-pewnienia ciągłości działania. Składa się ona z czterech elementów (etapów):
1. Działanie przygotowawcze: określenie obszaru analizy i celów, wybór metod, wyznaczenie ról i przypisanie do nich osób z organizacji, uzy-skanie wsparcia ze strony kierownictwa oraz szkolenia.
2. Gromadzenie danych: wypełnienie formularzy, określenie potencjal-nych strat, wymagań odtworzeniowych dla RTO136 i RPO137 oraz priory-tetów procesów odtworzeniowych.
3. Opracowanie wyników: weryfikacja RTO i RPO, wyznaczenie procesów krytycznych oraz określenie priorytetów procesów odtworzeniowych.
4. Wdrożenie: prezentacja wyników kierownictwu i ich zatwierdzenie oraz wprowadzenie w życie przygotowanych rozwiązań.
Analiza ta koncentruje się na procesie. Umożliwia spójną ocenę procesów oraz porównanie ich krytyczności. W procesie analizy wpływu na działalność termin ten należy rozumieć jako oczekiwaną wartość (względną lub bezwzględną) de-terminującą rzeczywisty wpływ (obiektywny lub subiektywny) danego zdarzenia na działalność podmiotu. Istotne jest przyjęcie jednolitej metody analizy, aby możliwe było porównanie krytyczności badanych procesów.
135 ISO/IEC 31010 Risk Management – Risk Assessment Techniques, s. 42-44.
136 RTO (ang. Recovery Time Objective) – parametr określający maksymalny czas po awarii po-trzebny do przywrócenia działania aplikacji, systemów i procesów biznesowych.
137 RPO (ang. Recovery Point Objective) – parametr określający moment w przeszłości, w którym po raz ostatni została wykonana kopia danych i do którego momentu działalności będzie można wrócić.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
Kluczowe działania to:
1. określenie strat finansowych i niefinansowych, na jakie organizacja jest narażona w sytuacji zatrzymania procesu/procesów,
2. określenie RTO, czyli czasu, po którego upływie określone straty są już dla organizacji nieakceptowalne,
3. określenie RPO, czyli akceptowalnego przez organizację poziomu utraty danych – na podstawie technicznych zdolności ich odtworzenia;
4. określenie priorytetów odtworzeniowych z uwzględnieniem: pracowni-ków, wyposażenia, systemów IT, niezbędnych danych oraz podmiotów współpracujących.
To właśnie ustalenie priorytetów pozwala na uporządkowanie działań podej-mowanych w sytuacjach kryzysowych.
Tabela 4. Przykład analizy wpływu na działalność – BIA138 Zdarzenie Zagrożony
2.15. Matryca skutek/prawdopodobieństwo (consequence/probability