Czytaj więcej_Grzegorz Krzemiński

KOMENTARZ EKSPERCKI cd.

Grzegorz Krzemiński, NIEZALEŻNY KONSULTANT BRANŻOWY

Skupiając się na pytaniach o ryzyko, pomijamy dwie kwestie, które znajdują się w procesie szacowania krok wcześniej i krok później.

Krok wcześniej – to zagrożenia.

Jeśli się nie zostaną zmaterializowane, nie zaistnieją, nie będzie zdarzenia, to nie pojawi się skutek. Zagrożenie ma swoje parametry – siłę i prawdopodobieństwo. Wiąże się również z podatnościami. Jest to słabość zasobu, procesu, organizacji czy zabezpieczenia na zagrożenie.

Ryzyko – to możliwość wystąpienia określonego skutku, który czasem nazywany jest również wpływem niepewności na cele.

Krok później – to wpływ.

Zdarzenie nigdy nie wywołuje tylko jednego skutku. Warto więc rozpatrywać to jako wpływ łączny na organizację, obiekt, firmę czy osoby.

Weźmy jako przykład pożar:

Obniżenie podatności. W budynku klasy “A” ściana wewnętrzna powinna mieć klasę EI = 60 minut. W momencie, gdy przez te ściany przechodzą przewody, instalacje, przepust ten jest uszczelniany do klasy odporności odpowiednią masą i farbą. Chodzi o obniżenie “palności” materiału, który przechodzi przez ścianę i uniknięcia przeniesienia pożaru. Potwierdzeniem jest naklejka przy przepuście. Podatność zaopiekowana.

Jeśli podatność (niekoniecznie z przykładu wyżej) jednak zostanie wykorzystana i powstanie pożar.

Pożar ma kilka faz. Od zarzewia (początku) przez rozgorzenie (faza właściwa, temperatura 1000 stopni i więcej) do pogorzeliska (to, co zostaje po pożarze). Jest to SIŁA zagrożenia. Mały pożar spali kawałek wykładziny, element, detal, jeden samochód. Duży – wszystko w swojej strefie. Drugim parametrem w ocenie jest prawdopodobieństwo wystąpienia pożaru, które ma wpływ na częstotliwość kontroli miejsca, w którym może dojść do zdarzenia np. kontrola miejsca wykonywania prac niebezpiecznych pod względem pożarowym po 2, 4 i 8 godzinach.

Czy spalenie samochodu, garażu, hali to ryzyko? Tak, tu już możemy mówić o ryzyku.

Krok 1 – czy wystąpi pożar i czy wykorzysta podatność zasobów (środków, obiektu)? – to zagrożenie.
Krok 2 – jeśli wystąpi (z określoną siłą), to jak wielkie będą zniszczenia? – to jest ryzyko.
Pytania – “czy wystąpi” oraz warunek “jeśli wystąpi” to prawdopodobieństwo.

Warto pamiętać w tej sytuacji również o WPŁYWIE, czyli kombinacji skutków. Pożar skutkować będzie m.in.:

Utratą obiektu lub jego części;
Odpowiedzialnością karną zarządzającego (co nie jest ryzykiem korporacyjnym, bo odpowiedzialność ponoszona jest indywidualnie. Innymi słowy, wyroki z art. 220 KK., 163 lub 164 KK. pozbawienia wolności orzekane wobec osób, które zaniechały czynności);
Utratą możliwości prowadzenia działalności (wyłączenie z użytkowania decyzją organu);
Odejściem stałych klientów lub brakiem nowych.
Kombinacja tych skutków, które są dość różne (prawne, operacyjne, reputacyjne) to skumulowany wpływ (cumulative impact) rozpatrywany w analizach wpływu na biznes (BIA) Business Impact Analysis.

Podsumowując, należy pamiętać, że proces szacowania i oceny ryzyka ma swój przebieg. Analogicznie do pożaru rozpatrywać możemy wiele zdarzeń jak np. włamanie, kradzież czy zniszczenie. Tu również będziemy mieć podatności (słabość szaf z danymi osobowymi), zagrożenia (działanie człowieka) skutek (ujawnienie danych) oraz wpływ (sankcje karne, wykroczenie, administracyjne).

Dobrze wykonane analizy potrafią dostarczyć bardzo ciekawych wyników. Poza identyfikacją zagrożeń, skutków czy wpływu, potrafią też ujawnić efekty synergiczne stosowanych zabezpieczeń. Pracownik ochrony nie musi realizować zadań związanych tylko z reakcją na włamanie. Może również sprawdzić, czy w danym miejscu jest gaśnica, czy drzwi oddzielenia ppoż się zamykają w sposób właściwy.

Bezpieczeństwo składa się puzzli, które należy złożyć w całość.

O AUTORZE: Grzegorz Krzemiński

Od ponad 25 lat związany z bezpieczeństwem w wymiarach bezpieczeństwa fizycznego, ochrony przeciwpożarowej i atmosfer wybuchowych (ATEX), BHP, bezpieczeństwa informacji i ochrony danych osobowych. Autor kilkunastu metodyk analizy zagrożeń ( między innymi fizycznych, pożarowych, miejscowych) oraz szacowania i oceny ryzyka (w oparciu o międzynarodowe standardy ISO i BS) oraz Metodyki Audytu Bezpieczeństwa. Audytor z ogromnym doświadczeniem kilkuset audytów bezpieczeństwa. Trener i autor ścieżek kształcenia (schematy certyfikacyjne) dla Managerów Bezpieczeństwa i Ochrony, Audytorów, Inspektorów Ochrony Danych i Managerów Ciągłości Działania i Zarządzania Kryzysowego.