DTR010 Три стадии управления риском

Downloadable PDF Resources

  1. English
  2. English/Spanish
  3. English/Russian

This module will take you through the Три стадии управления риском.

  1. Введение
  2. Этап 1: Оценка риска
  3. Зоны риска в матрице рисков
  4. Этап 2: Контроль риска
  5. An Example of a Security Protocol
  6. Этап 3: Планирование действий при непредвиденных обстоятельствах
  7. Итоги
  8. Основные положения

 

нформация, содержащаяся в данном документе, является частью аккредитованного IQ курса
«Сертификат 4-го уровня по усовершенствованию управления рисками и кризисной ситуацией»

Введение

Для любого менеджера безопасности, независимо от их роли и независимо от размера операции, за которую они несут ответственность, есть три основные проблемы, с которыми они будут иметь дело, и вполне вероятно, что подавляющее большинство их повседневной работы может быть четко классифицировано, как принадлежащее к одной из этих трех категорий.

Первый вопрос- это: «Что за проблемы, с которыми мне нужно иметь дело?». Второй вопрос: «Что я должен делать?», и третий вопрос: «Что делать, если что-то пойдет не так?». Для того, чтобы перевести это в более технические термины, речь идет об «Оценке риска», «Контроле риска» и, наконец, о «Плане действий при непредвиденных обстоятельствах». Этот модуль вводит эти три основные понятия, и показывает, как они действуют в качестве основы для всех операций по управлению безопасностью.

Introduction

For any security manager, whatever their role and whatever the size of operation that they are responsible for, there are three fundamental issues that they will be dealing with, and it is likely that the vast majority of their daily work can be clearly classified as belonging in one of those three categories.

The first issue is ‘What are the problems that I need to deal with?’. The second issue is ‘What should I do about it?’, and the third question is ‘What do I do if something goes wrong?’. To put this into more technical terms, we are talking about Risk Assessment, Risk Control and finally Contingency Planning. This module introduces these three basic concepts, and shows how they act as the foundation for all security management operations.

Этап 1: Оценка риска

Целью «Оценки риска» является принятие тысячи возможных или потенциальных рисков, которые могут возникнуть, и дать им какую-то сравнительную оценку. Это позволит нам решить, какой из них является более серьезным, которым необходимо активно управлять. Истина заключается в том, что если мы возьмем любую простую ситуацию, как например ходьба от нашего дома до железнодорожной станции или доставка пакета с вашего склада к клиенту, то есть буквально сотни возможных сценариев, которые могут быть рассмотрены как риски: от закрытой дороги или нарушения движения метро, до вывернутой лодыжки или ограбления, и даже — крупной террористической атаке.

В качестве примера, оценка риска, проведенная на промышленном предприятии может определить реалистичные возможные угрозы, такие как кража рабочими товаров; электрический пробой, который остановил бы производственную линию; отверстие в заборе; звонки с угрозой взрыва; подозрительная деятельность за пределами главных ворот; крупный теракт где-то рядом, который привел бы к ситуации, когда полиция поставила бы оцепление вокруг нашего завода, так что никто не смог бы войти, или неисправность в системе контроля доступа.

Это первый этап «Оценки риска», в котором мы Определили Потенциальные Угрозы. Тем не менее, это всего лишь первая часть процесса, потому что нам тогда нужен способ поместить их в определенную последовательность.

Принятый способ сделать это состоит в создании на основе двух измерений Матрицы Рисков: Вероятности возникновения (вероятность, что событие произойдет) и Воздействия (сбой, который событие окажет на наши операции, если оно произойдет). Оба этих измерения могут варьироваться от низкого (маловероятно, слабое воздействие) до высокого (весьма вероятно, сильное воздействие).

Используя эту систему, мы можем предоставить различным угрозам разные значения, основанные на различных комбинациях Вероятности возникновения и Воздействия. Они могут быть разбиты на пять секций:

Stage 1: Risk Assessment

The purpose of the Risk Assessment is to take all of the thousands of possible or potential risks that might occur, and to give them some kind of comparative value. This will allow us to decide which of them is more serious, and which need to be actively managed. The truth is, that if we take any simple situation – walking from our home to the train station, or delivering a package from your warehouse to a client, for example — there are literally hundreds of possible scenarios that could be considered as risks, from the road being closed or the tube being disrupted, to a twisted ankle or being mugged, and on to a major terrorist attack.

As an example, a risk assessment carried out in a factory might identify realistic possible threats such as workers stealing goods; an electrical breakdown that would stop the production line; a hole in the fence; a phoned-in bomb threat; suspicious activity outside the main gate; a major terrorist attack somewhere nearby, but which would lead to the police putting a cordon around our factory so that no-one could get in, or a breakdown in the access control system.

This is the first stage of a Risk Assessment, in that we have identified potential threats. However, that is only the first part of the process, because we then need a way of putting them into some sort of order.

The accepted way of doing this is to create a Risk Matrix, based on two measures: Likelihood (the likelihood of an event occurring) and Impact (the disruption that event would have on our operations if it did occur). Both of these measures can range from Low (unlikely, low impact) to High (very likely, high impact).

By using this system, we can give different threats different values based on diffeent combinations of Likelihood and Impact. These can be broken down into five sections:

The Risk Matrix has been divided into five distinct Risk Zones, based on the Likelihood / Impact values. Each of these areas would identify a different class of problems, which would require different forms of solutions.

Этап 2: Контроль риска

Целью контроля риска является сведение к минимуму вероятность происхождения каких-либо выявленных нежелательных событий, а также сведение к минимуму влияние любого нежелательного события, которое действительно происходит.

После того, как мы определили риски и дали им Сравнительное значение риска, мы можем определить те риски, которые могут быть наиболее легко управляемы с помощью наших систем безопасности. Например, если мы определили, что отсутствие контроля доступа означает, что несанкционированные люди ходят вокруг наших помещений, введение стойки регистрации и / или домофона может быть одним из способов решения этой проблемы.

Для того, чтобы обеспечить, что применяются наиболее эффективные меры Контроля Риска, каждая определенная угроза должна привести к введению конкретного Протокола Безопасности / Алгоритма действий.

Например, если вы работаете в среде, где вероятность получения посылки или письма с бомбой больше, чем обычно, это будет определено в ходе процесса оценки риска. В рамках ваших мер по контролю риском вы затем разработаете конкретные протоколы безопасности, чтобы максимизировать вероятность идентификации письма-бомбы, и свести к минимуму его эффект, если оно отправлено. Это может включать в себя просмотр всей входящей почты в отдельном месте, вдали от основного офиса. Вы могли бы также обеспечить, чтобы весь персонал, работающий с почтой и в приемной, прошел специальную подготовку, чтобы научить их, как идентифицировать подозрительные пакеты, и что делать, если они были найдены. (Приемному персоналу определенно надо будет пройти обучение на случай, если кто-то вручную доставил подозрительный пакет, либо сам, либо с помощью одной из крупнейших логистических компаний).

Если подозрительный пакет был найден, вы могли бы изолировать участок риска, в то время как была бы вызвана специальная команды полиции. Поскольку это было определено в качестве высокой вероятности потенциальной угрозы во время вашей Оценки риска, вы должны иметь хорошие отношения с полицейскими подразделениями, которые могут знать об этой угрозе, и могли бы принять участие в совместных учениях с вашими сотрудниками на предмет реагирования на подозреваемый пакет. Все эти действия будут разработаны в ответ на первоначальную идентификацию угрозы с сильными последствиями.

Есть множество примеров писем — бомб в Великобритании, и компания может оказаться целью, только потому что она занята в фармацевтической промышленности, или это может быть связано с политическими или национальными вопросами, что усиливает вероятность атаки. В 2007 году один человек в Великобритании послал семь писем-бомб в компании, связанные с тестированием ДНК, также в различные организации, занятые в уличном движении. Фронт освобождения животных также использовал письма-бомбы, как и арабские организации, нацеленные как на еврейские и израильские объекты, так и на арабо-языковые газеты в Великобритании.

Первые два этапа любой программы управления риском, а именно: Оценка Риска и Контроль Риска, предназначены для предотвращения инцидента. Третий этап, Планирование действий при непредвиденных обстоятельствах, готовит вас реагировать настолько эффективно, насколько это возможно, когда что-то случится. В некоторых американских моделях управления риском, разница между этапами предупредительного характера Оценки риска и Контроля риска, и этапом реагирующего характера Планирования действий при непредвиденных обстоятельствах, описывается как «Слева от взрыва» и «Справо от взрыва».

Stage 2: Risk Control

The purpose of Risk Control is to minimise the likelihood of any identified unwanted event occuring, and minimise the impact of any unwanted event that does occur.

Once we have identified the risks and given them a Comparative Risk Value, we can then identify those risks that can be most easily managed through our security systems. For example, if we have identified that the lack of access control means that unauthorised people are walking around our premises, the introduction of a Reception Desk and / or an entry-phone system could be one way of solving that problem.

In order to ensure that the most effective Risk Control measures are put in place, each identified threat should lead to the introduction of a specific Security Protocol / Procedure.

For example, if you are working in a situation where the possibility of a parcel or letter bomb is considered greater than normal, this would be identified during the risk assessment process. As part of your risk control measures, you would then develop specific security protocols to maximise the likelihood of identifying a letter-bomb, and to minimise the effect of any letter bomb that might be sent. This might involve screening all incoming mail at a separate location away from the main offices. You might also have ensured that all mail-room and reception staff had undergone specific training to teach them how to identify suspicious packages and what to do if they were found. (Reception staff would also need to undergo the training in case someone hand-delivered a suspicious package, either themselves or using one of the major logistical companies).

If a suspicious package was found, you could then isolate the area whilst a specialist police team was called. As this was identified as a high-likelihood potential threat during your Risk Assessment, you should have developed good relationships with the police units, who would be aware of the threat and may well have taken part in joint-exercises with your staff to respond to a suspect package. All of these actions would be developed in response to the initial identification of a high-impact threat.

There have been a number of examples of letter bombs in the UK, and a company might be targeted because it is working in the pharmaceutical industry, or it may be associated with political or national issues that increase the likelihood of attack. In 2007, a single person sent seven letter bombs in the UK to companies associated with DNA testing and various traffic organisations. The Animal Liberation Front have also used letter bombs, as have Arabic organisations targeting both Jewish and Israeli targets, as well as Arab-language newspapers in the UK.

The first two stages of any risk management programme, namely Risk Assessment and Risk Control, are designed to prevent an incident occuring. The third stage, Contingency Planning, prepares you to react and respond as effectively as possible when something does happen. In some American risk management models, the difference between the proactive Risk Assessment and Risk Control stages, and the reactive Contingency Planning stage is described as ’Left of Bang’ and ‘Right of Bang’.

Этап 3: Планирование действий при непредвиденных обстоятельствах

Цель планирования действий при непредвиденных обстоятельствах — позволить команде безопасности восстановить контроль над ситуацией, и вернуться к нормальному рабочему состоянию, настолько быстро и эффективно, насколько это возможно.

Как только инцидент произошел, становится ясно, что он будет иметь негативное влияние на нормальный ход операции, будь то потеря ключа от парадных ворот, нарушение нормальной цепи поставок, или прорыв водопроводной трубы в вышем офисе, повлекщей наводнение в командном центре. Это именно то, что произошло в командном центре полиции незадолго до Олимпийских игр в Лондоне ….

Некоторые аспекты ответных мер на ситуацию «Справо от взрыва» будут рассмотрены более подробно в модуле антикризисного управления, но стоит отметить, что когда что-то идет не так, ваш ответ будет почти наверняка состоять из смеси предварительно спланированных вариантов и ответов, которые создаются «по ходу». По мере того как природа проблемы становится яснее, и вы собираете больше информации, эффективность предварительной подготовки к инциденту начнет проявлять себя.

Эффективное антикризисное управление основано на способности управлять передачей информации вокруг ряда различных заинтересованных сторон, принимать решения под давлением, задействовать различные командные группы и затем получать информацию от них, как только они оценят для себя ситуацию. Также появится необходимость иметь дело со Вторичными последствиями, то есть опосредованным воздействием от исходных проблем, которые сами по себе становятся проблемами для вашей команды управления инцидентами.

Способность эффективно реагировать на неожиданное событие, во многих отношениях — окончательный тест эффективности менеджера безопасности.

Stage 3: Contingency Planning

The purpose of Contingency Planning is to allow the security team to regain control of the situation, and return to normal operational status, as quickly and effectively as possible.

pOnce an incident has occurred, it is clear that it will have a negative impact on the normal running of the operation, whether it is someone forgetting the key to the front gate, disruption of your normal supply chain – or a water-pipe bursting in the office above, and flooding your whole control room. This is exactly what happened at the main police control room just before the London Olympics….

Some of the issues involved in responding to a ‘Right of Bang’ situation will be covered in more detail in the Crisis Management module, but it is worthwhile noting that when something does go wrong, your response will almost certainly consist of a mixture of pre-planned options and responses that you create ‘on the hoof’. As the nature of the problem becomes clearer, and you gather more information, the effectiveness of the pre-incident preparation will start to kick in.

Effective crisis management is based on the ability to manage the transfer of information around a number of different stake-holders, make decisions under pressure, deploy teams and then receive information from them once they have assessed the situation for themselves.There is also the need to deal with Secondary Consequences, that is, the knock-on effects from the initial problem that will in themselves become problems for your incident management team.

The ability to respond effectively to an unexpected event is, in many ways, the ultimate test of a security manager’s effectiveness.

Итоги

Роль метода Управления Риском заключается в том, чтобы дать менеджеру по безопасности инструменты для создания жизнеспособных и реалистичных программ управления рисками, способных реагировать на тысячи потенциальных инцидентов, которые могли бы произойти. Истина заключается в том, что подавляющее большинство времени менеджера безопасности занято одними и теми же несколькими ситуациями, которые возникают на повторяющейся (и часто ежедневной) основе. Эффективная программа управления безопасностью должна быть в состоянии идентифицировать предсказуемые нормальные случаи, которые могут быть рассмотрены с использованием Стандартного Порядка Действий, те, которые нуждаются в более высоком уровне управления и принятия решений, а также те, которые могут быть классифицированы как кризисное событие и которые потенциально могли бы оказать существенное влияние на организацию в целом и ее деятельность.

Summary

The role of the Risk Management procedure is to give the security manager the tools to create viable and realistic risk management programmes capable of responding to the thousands of potential incidents that could possibly occur. The truth is that the vast majority of a security manager’s time is taken up dealing with the same few situations that occur on a recurring (and often daily) basis. An effective security management programme should be able to identify the predictable normal incidents that can be dealt with using Standard Operating Procedures, those that need a higher level of management input and decision-making, and those that can be classified as crisis and which could potentially impact significantly on the wider organisation and its activities.

Основные положения

  • Управление риском имеет три составные части: Оценка риска, Контроль риска, Планирование действий при непредвиденных обстоятельствах.
  • Значение риска основывается на Вероятности возникновения и Воздействии.
  • Оценка риска выявляет возможные риски, и дает им Значение риска.
  • Контроль риска состоит из протоколов, введенных для управления рисками, выявленных в ходе Оценки рисков.
  • Планирование действий при непредвиденных обстоятельствах связано с Вариантами Ответных Мер, которые будут инициированы в случае, если имело место нежелательное событие.
  • Планирование действий при непредвиденных обстоятельствах также касается Вторичных Эффектов, которые могут повлиять на организацию в результате нежелательного инцидента.

Main Points

  • Risk Management has three component parts: Risk Assessment, Risk Control, Contingency Planning
  • The Risk Assessment identifies possible Risks, and gives them a Risk Value
  • Risk Value is based on Likelihood and Impact
  • Risk Control consists of Protocols introduced to manage the risks identified in the Risk Assessment
  • Contingency Planning is concerned with the Reponse Options that would be triggered if an unwanted event did occur
  • Contingency Planning is also concerned with Secondary Effects that can impact on the organisation as a result of the unwanted incident