ZARZĄDZANIE RYZYKIEM W FIRMIE

Poniżej przedstawiona została szczegółowa oferta dotycząca procesu zarządzania ryzykiem w firmie w całości lub w zakresie określonych elementów procesu, a jako przykład szczegółowy najbardziej obecnie aktualny - oferta ochrony informacji i ochrony danych osobowych w firmie.

 

Wszystkie działania w ramach niżej zamieszczonych ofert mają w praktyce związek ze stosowaniem wymienionych czynności, a które z nich stosujemy zależy od branży firmy, jej formy prawnej, a przede wszystkim od obszaru badanych ryzyk:

• zapoznanie się z funkcjonującymi procedurami wewnętrznymi i z organizacją firmy oraz późniejsza obserwacja ich praktycznego zastosowania we wszystkich obszarach działalności firmy,
• zwrócenie uwagi na zagrożenia wynikające z braków w procedurach oraz na zagrożenia wynikające z nieprzestrzegania procedur przez pracowników,
• zwrócenie uwagi na zagrożenia występujące z powodu braku niektórych procedur,
• weryfikacja procedur pod kątem obowiązujących przepisów prawa,
• identyfikacja niektórych ryzyk wynikających z przestępczości pracowniczej lub możliwości ich wystąpienia i próba podania sposobów ich uniknięcia (propozycje),
• ocena systemu informatycznego pod względem bezpieczeństwa jego funkcjonowania (wykonywane przy współudziale specjalistów z branży informatycznej),
• weryfikacja prawidłowości transferu ryzyk do zakładów ubezpieczeń i przedstawienie propozycji ewentualnych zmian w tym zakresie (ocena ryzyka ubezpieczeniowego i zgodność z zapisami w ogólnych i w szczególnych warunkach ubezpieczeń),
• ocena ryzyka zawodowego,
• ocena przestrzegania prawa pracy i przepisów BHP,
• ocena ryzyk związanych z ochroną danych osobowych i ochroną informacji,
• ocena ryzyk związanych z zabezpieczeniami technicznymi i fizycznymi oraz przedstawienie propozycji zmian, stosując się do obowiązujących przepisów prawa,
• ocena procesów technologicznych i produkcyjnych z punktu widzenia zarządzania ryzykiem (wykonywane przy współudziale specjalistów z określonej branży),
• ocena procedur związanych z postępowaniem w sytuacji awaryjnej/kryzysowej w firmie, powołaniem zespołu zarządzania sytuacją awaryjną w firmie, zapewnieniem ciągłości działania firmy (plan awaryjny, plan ochrony itd.).

 

Ww. działania wykonywane są poprzez rozmowy z pracownikami firmy na różnych szczeblach, wgląd do dokumentacji i systemów komputerowych firmy, wypełnianie ankiet, przeprowadzanie testów praktycznych - uzgodnionych z zarządem, dyrekcją lub właścicielem firmy i inne. W wyniku powyższych działań management firmy otrzymuje pisemnie raport dający podstawy do dalszych, świadomych działań, w tym do wprowadzenia lub uzupełnienia określonych procedur w firmie.

Zapraszam do zapoznania się z poniższą szczegółową ofertą.

 

 

SZACOWANIE RYZYKA W CAŁOŚCI FIRMY LUB W WYTYCZONYCH OBSZARACH JEJ DZIAŁALNOŚCI

 

Cel wykonania ww. usługi : zdefiniowanie grup ryzyk jakie występują u klienta oraz grup ryzyk lub pojedynczych zdarzeń, jakie można przewidzieć, a następnie, biorąc pod uwagę szereg uwarunkowań wewnętrznych i zewnętrznych prognoza możliwości wystąpienia straty i propozycja działań minimalizujących ewentualną możliwą do wystąpienia stratę.

Definicja szacowania ryzyka : całościowy proces systematycznego wykorzystywania informacji do zidentyfikowania źródeł i oszacowania wielkości ryzyka oraz porównywania oszacowanej wielkości ryzyka z zadanymi kryteriami w celu określenia znaczenia ryzyka.

Kolejne działania:

1. szkolenie wstępne dot. teorii zarządzania ryzykiem w firmie
2. wytyczenie obszarów do oceny ryzyka w porozumieniu z managementem firmy
3. omówienie metod szacowania ryzyka
4. wybór metod szacowania ryzyka
5. zastosowanie wybranych metod przy współpracy z pracownikami i współpracownikami firmy
6. wnioski

 

Wynik końcowy : raport oceny ryzyka na zasadzie sytuacyjnej.

 

 

 

WPROWADZENIE PROCEDUR ZARZĄDZANIA RYZYKIEM W FIRMIE
(ENTERPRISE RISK MANAGEMENT - ERM)

Cel wykonania ww. usługi : kompleksowe podejście do bezpieczeństwa w firmie poprzez wprowadzenie sprawnie działających procedur zarządzania ryzykiem, które pozwalają nie tylko eliminować drobne ryzyka cechujące się znacznym prawdopodobieństwem wystąpienia lub pojawiające się okresowo w firmie, ale przede wszystkim mają istotny wpływ na zachowanie ciągłości działania firmy.

Definicja zarządzania ryzykiem : to ogół czynności, jakie musi podjąć firma, aby panować nad ryzykiem, na jakie jest narażona, obniżać stopień oddziaływania ryzyka na jej funkcjonowanie i podejmować optymalne decyzje.

Kolejne działania :

Proponuje się etapowe podejście do wprowadzenia procesu zarządzania ryzykiem w firmie.

Etap pierwszy tzw."szkieletowy" zawierać będzie :

 

1. szkolenie dla managementu firmy w celu przedstawienia podstaw procesu zarządzania ryzykiem
2. określenie strategii firmy w stosunku do zarządzania ryzykiem na podstawie informacji przekazanej przez management firmy
3. opracowanie procedury tworzenia zespołu zarządzania ryzykiem w firmie i zakresu jego głównych zadań, w tym zadania managera ryzyka
4. diagnostykę wybranych elementów sytuacji firmy i jej otoczenia
5. identyfikację obszarów występujących aktualnie ryzyk poprzez wstępną analizę ryzyk
6. specyfikację występujących grup ryzyk (lista grup ryzyk, zwięzły komentarz do wymagających tego pozycji listy)
7. oszacowanie wartości w poszczególnych grupach ryzyk i wybór, we współpracy z managementem firmy trzech grup ryzyk, mających największy wpływ na możliwość przerwania ciągłości działania firmy
8. opracowanie procedur zarządzania wybranymi ryzykami, zgodnie z teorią zarządzania ryzykiem (zobacz więcej informacji o zarządzaniu ryzykiem)
9. opracowanie procedury zarządzania sytuacją awaryjną oraz procedury powołania zespołu zarządzania sytuacją awaryjną

 

Kolejne etapy, które firma powinna zaplanować na wskazany okres czasu powinny zostać zawarte w planie dołączonym do procedur podstawowych, gdyż zarządzanie ryzykiem jest procesem ciągłym i kolejne etapy powinny wprowadzać nowe procedury, związane z pojawiającymi się lub planowanymi możliwymi do wystąpienia ryzykami.

 

Etapy te, to przede wszystkim:

1. szczegółowa analiza ryzyk wymienionych w specyfikacji, a nie opracowywanych w etapie pierwszym
2. wprowadzenie procedur zarządzania ryzykami z ww. punktu
3. szkolenie dla całej załogi - nauka zarządzania ryzykiem na własnym stanowisku pracy
4. średnioterminowe planowanie ryzyk związanych z planami strategicznymi firmy (np. na najbliższe 3 lata) i tworzenie wyprzedzających procedur zarządzania tymi ryzykami
5. inne, które ujawnią się podczas pracy nad ww. tematem
6. stworzenie harmonogramu kontroli działań zespołu zarządzania ryzykiem i menedżera ryzyka przez management firmy w celu zapewnienia funkcjonowania zarządzania ryzykiem, jako procesu ciągłego w firmie.

 

Wynik końcowy : pisemne procedury wykazane w poszczególnych punktach wszystkich etapów działań oraz praktycznie wprowadzony proces zarządzania ryzykiem w firmie i sposób jego kontroli przez management firmy.

 

 

WYKONYWANIE FUNKCJI MENEDŻERA RYZYKA (RISK MANAGERA) W FIRMIE

 

Cel wykonania ww. usługi : outsorsing stanowiska menedżera ryzyka, tak aby zapewnić niezależne od struktur wewnętrznych spojrzenie na występujące w firmie ryzyko, wykorzystanie specjalistów z dziedziny zarządzania ryzykiem, praktyczne i kompleksowe podejście do stosowania wprowadzonych procedur zarządzania ryzykiem, tak aby sprawnie działał cały ciągły proces zarządzania ryzykiem.

 

Definicja menedżera ryzyka : to osoba wykonująca nadzór nad ogółem czynności, jakie musi podjąć firma, aby panować nad ryzykiem, na jakie jest narażona, obniżać stopień oddziaływania ryzyka na jej funkcjonowanie i podejmować optymalne decyzje oraz na stałe współpracująca w tym temacie z managementem firmy.

 

Kolejne działania:

1. zapoznanie się z istniejącymi w firmie procedurami zarządzania ryzykiem,
2. stała współpraca w zakresie realizacji ww. procedur z:
   • szefem działu personalnego,
   • szefem zespołu organizacji i administracji,
   • szefem zespołu informatycznego,
   • szefem zespołu marketingu,
   • szefem działu logistyki,
   • szefem zespołu inwestycji i rozwoju,
   • szefem działu ekonomicznego,
   • szefem produkcji,
   • szefem departamentu kontroli wewnętrznej,
   • managementem firmy
   • innymi,
3. stała współpraca z zespołem zarządzania ryzykiem w firmie,
4. stała kontrola otoczenia wewnętrznego i zewnętrznego firmy,
5. proponowanie zmian do istniejących procedur zarządzania ryzykiem.

 

Wynik końcowy : sprawnie działający proces zarządzania ryzykiem w firmie w oparciu o wcześniej wprowadzone procedury zarządzania ryzykiem.

 

 

BEZPIECZEŃSTWO INFORMACJI W FIRMIE, W TYM BEZPIECZEŃSTWO DANYCH OSOBOWYCH

 

PROCEDURY ZARZĄDZANIA RYZYKIEM ZWIĄZANYM Z BEZPIECZEŃSTWEM INFORMACJI W FIRMIE

 

Cel wykonania ww. usługi : wprowadzenie procedur zarządzania ryzykiem, tak aby zarządzanie ryzykiem stało się procesem ciągłym i było wykonywane na każdym stanowisku pracy oraz globalnie w całej firmie. Będzie to miało zasadniczy wpływ na podniesienie bezpieczeństwa firmy w zakresie bezpieczeństwa informacji i zapewniona zostanie stała kontrola znanych i pojawiających się ryzyk, nad którymi klient powinien zapanować.

 

Definicja zarządzania ryzykiem : to ogół czynności, jakie musi podjąć firma, aby panować nad ryzykiem, na jakie jest narażona, obniżać stopień oddziaływania ryzyka na jej funkcjonowanie i podejmować optymalne decyzje.

 

Kolejne działania :

1. szkolenie wstępne dot. teorii zarządzania ryzykiem w firmie dla zarządu i dla pracowników
2. określenie strategii i założeń managementu firmy w zakresie zarządzania ryzykiem
3. określenie możliwego poziomu kosztów zarządzania ryzykiem
4. ocena ryzyka
5. podjęcie ryzyka poprzez:
   • jego eliminację
   • jego minimalizację
   • jego transfer
   • jego zatrzymanie
   • jego redukcję
6. procedury redukcji ryzyka:
   • planowanie
   • organizacja
   • zabezpieczenia techniczne i fizyczne
   • prewencja
   • szkolenia
7. przewidywanie sytuacji kryzysowych i tworzenie planów ciągłości działania oraz planów awaryjnych
8. stała współpraca zespołu zarządzania ryzykiem z managementem firmy
9. szkolenia końcowe i wdrażające
10. wdrażanie procedur i zabezpieczeń technicznych
11. audit wewnętrzny zgodności z wprowadzonymi procedurami

 

Wynik końcowy : pisemny zestaw wytycznych i procedur dostosowanych do zarządzania ryzykiem bezpieczeństwa informacji w firmie, powołanie zespołu zarządzania ryzykiem i jego kontaktu z managementem firmy oraz określenie jego zadań, w tym zespołu zarządzania sytuacją kryzysową, napisanie planu awaryjnego oraz planu ciągłości działania, graficzny schemat zarządzania ryzykiem w firmie, ew. dokument auditu wewnętrznego.

 

AUDIT ZGODNOŚCI Z USTAWĄ O CHRONIE DANYCH OSOBOWYCH

 

Cel wykonania ww. usługi : ustalenie listy rozbieżności pomiędzy wymaganiami Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 z późn. zmianami, a faktyczną sytuacją w firmie, określenie braków w dokumentach i istniejących procedurach, wskazanie słabych punktów w firmie w oparciu o zapisane wymagania w Ustawie. Raport końcowy z wykonania ww. usługi będzie podstawą do podjęcia decyzji strategicznych w firmie dot. bezpieczeństwa danych osobowych i ew. do zlecenia pełnej oceny ryzyka i konsultacji w zakresie napisania polityki bezpieczeństwa.

 

Definicja auditu : ustalenie zgodności systemu ochrony danych osobowych w firmie z aktualnie obowiązującymi przepisami prawa.

 

Kolejne działania:

1. określenie zbiorów danych osobowych istniejących w firmie
2. wykaz programów do obsługi ww. zbiorów
3. określenie przepływów pomiędzy zbiorami danych w różnych obsługujących je programach
4. określenie podstaw prawnych do przetwarzania danych osobowych oraz czy istnieje obowiązek ich zgłaszania do GIODO
5. spełnienie obowiązku informowania właścicieli danych osobowych o posiadanym zbiorze
6. zasady udostępniania danych osobowych, dokumentacja potwierdzająca i odpowiednio skonstruowane programy komputerowe
7. wykaz firm i osób, którym powierzono dane osobowe i podstawa prawna, zapisy umowne i spełnienie obowiązku zabezpieczenia danych osobowych
8. wstępna ocena ryzyka w zakresie bezpieczeństwa danych osobowych
9. weryfikacja bezpieczeństwa technicznego i organizacyjnego dot. zabezpieczenia danych osobowych
10. sprawdzenie posiadania dokumentacji :polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym oraz kompletność tej dokumentacji
11. sprawdzenie szczególnych zabezpieczeń technicznych, informatycznych i organizacyjnych wymaganych przez przepisy prawa, a dot. tylko i wyłącznie ochrony danych osobowych
12. weryfikacja świadomości pracowników i współpracowników w ww. zakresie, odbyte szkolenia i stosowanie się do wprowadzonych zaleceń, oświadczenia pracowników dot. ochrony danych osobowych.

 

Wynik końcowy : raport pisemny krótko potwierdzający prawidłowość poszczególnych auditowanych elementów, podający zakres rozbieżności stanu faktycznego w firmie z przepisami prawa.

 

 

DORADZTWO PRZY OPRACOWANIU DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH I INSTRUKCJI ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM: 

 

Cel wykonania ww. usługi : pomoc w napisaniu dokumentu polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym w oparciu o wypracowane przez firmę standardy dokumentacji oraz o profesjonalną ocenę ryzyka. Dodatkowym atutem będzie propozycja zabezpieczeń technicznych (mechanicznych i elektroniczno-informatycznych) oraz organizacyjnych na podstawie fachowego rozeznania rynku zabezpieczeń przez firmę. Posiadanie przez firmę ww. dokumentów wymagane jest zgodnie z Rozporządzeniem M inistra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004.

 

Definicje:

Polityka bezpieczeństwa: dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w jakiejkolwiek formie - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271)

Instrukcja określająca sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych : dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w formie elektronicznej, jako dodatkowy do polityki bezpieczeństwa i spójny z polityką bezpieczeństwa - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271)

 

Kolejne działania:

1. audit zgodności z ustawą o ochronie danych osobowych
2. ocena ryzyka bezpieczeństwa danych osobowych
3. zalecenia stosowania procedur wewnętrznych i propozycje treści dokumentów dot. spraw organizacyjnych wewnątrz firmy
4. zalecenia i propozycje dot. rozwiązań technicznych, projekty:
   • informatyczne
   • mechaniczne
   • elektroniczne
   • fizyczne
   • organizacyjne - korzystanie z outsoringu i wskazanie rodzaju firm oraz możliwości technologicznych
5. doradztwo i pomoc przy opracowaniu treści wymaganych prawem ww. dokumentów wraz z załącznikami
6. doradztwo we wdrożeniu wszystkich ww. dokumentów, procedur i rozwiązań technicznych
7. szkolenia dla pracowników i współpracowników na temat ochrony danych osobowych

 

Wynik końcowy : raport pisemny krótko potwierdzający prawidłowość poszczególnych auditowanych elementów, podający zakres rozbieżności stanu faktycznego w firmie z przepisami prawa , ocena ryzyka na zasadzie sytuacyjnej, pisemna propozycja zaleceń w zakresie organizacyjnym i technicznym, tekst propozycji dokumentów polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym z załącznikami, przeprowadzenie szkolenia dla pracowników i pomoc w uzupełnieniu pozostałej dokumentacji oraz we wdrożeniu ochrony danych osobowych.

 

 

SZACOWANIE RYZYKA ZGODNIE Z WYMAGANIAMI NORMY ISO/IEC 27001

 

Cel wykonania ww. usługi : oszacowanie ryzyk związanych z bezpieczeństwem informacji, zgodnie z normą ISO/IEC 27001, stosując metodologię FMEA, ALARP, PARETO lub macierz ryzyka.

Definicja szacowania ryzyka : całościowy proces systematycznego wykorzystywania informacji do zidentyfikowania źródeł i oszacowania wielkości ryzyka oraz porównywania oszacowanej wielkości ryzyka z zadanymi kryteriami w celu określenia znaczenia ryzyka.

Kolejne działania :

1. określenie aktywów znajdujących się w zakresie systemu zarządzania bezpieczeństwem informacji i właścicieli tych aktywów
2. ustalenie procesów w firmie związanych z ww. aktywami
3. wskazanie zagrożeń i podatności na każdym etapie ww. procesów
4. oszacowanie strat biznesowych związanych z utratą poufności, integralności i dostępności aktywów
5. oszacowanie realnego prawdopodobieństwa wystąpienia zdarzeń naruszających bezpieczeństwo informacji
6. zidentyfikowanie i ocena wariantów postępowania z ryzykiem
7. akceptacja ryzyk szczątkowych

Wynik końcowy : pisemne określenie zagrożeń, podatności i ich skutków na utratę poufności, integralności i dostępności. Oszacowanie strat biznesowych organizacji i wyznaczenie poziomów ryzyk. Przedstawienie planu postępowania z ryzykiem.