Mindegyik kockázat kezelésében közös, hogy mindig valamilyen véletlenszerű, számunkra veszélyt jelentő esemény bekövetkezése, vagy a bekövetkezéskor okozott kár mértéke elleni védekezésről beszélünk. Kockázatkezelésről akkor van szó, amikor az adott kockázati esemény bekövetkezése előtt tudatosan úgy alakítjuk a tevékenységünket, hogy azzal vagy a fenyegetést jelentő esemény bekövetkezési esélye, vagy az általa okozott kár legyen kisebb, vagy mindkettő.
A kockázatkezelés életciklusa ilyen formán szinte bármely kockázati terület esetén ugyanarra a mintára épül. Nézzük akkor most ezt a mintát!

A védelem felállításának majd kezelésének ciklusa:

1. Mit kell védeni? – Először annak az azonosítása, (azaz tudatos és módszeres összegyűjtése,) hogy mi a védelem tárgya.
2. Mitől kell védeni? – Mi történhet azzal, amit védeni kell? Mik a fenyegetések, veszélyek? A védelem tárgya fenyegetéseinek módszeres feltárása.
3. Mennyire valószínű, hogy ez bekövetkezik? – Fenyegető események bekövetkezési valószínűségének becslése.
4. Mennyire fáj? – Mekkora lesz a baj? A lehetséges károk nagyságának becslése. A védendő objektumra nézve annál veszélyesebb, azaz kockázatosabb egy fenyegetettség, minél nagyobb eséllyel következik be, és minél nagyobb kárt okoz. Így általában ezen két tényező szorzatából a kockázati értéket képezhetünk az adott fenyegetettségre, amivel ezek összemérhetővé válnak.
   Kockázati érték = bekövetkezési valószínűség * kárérték
5. Fontossági sorrend? – Minden fenyegetettség sorba rendezhető a hozzárendelt kockázati érték alapján. Ez az érték mondja meg, hogy az adott fenyegetettség bekövetkezése „mennyire fáj” nekünk. Mindenkinek meg kell határozni a saját „fájdalom-küszöbét”, azaz az ún. „elviselhető kockázati szintet”.
6. Hogyan védjem? – A védelmi módszerek kiválasztása, meghatározása, bevezetése. Azokkal a fenyegetettségekkel és veszélyekkel, amelyek kockázati értéke az elviselhető kockázati érték felett van, feltétlenül foglalkozni kell, és kockázataikat csökkenteni kell, legalább az elviselhető szint alá.
   A kockázatok kezelésének, azaz a károk csökkentésének vagy elkerülésének számtalan módja van, és az egyes kockázati területeken ezeket gyakran különböző módon oldják meg.
7. Hatékonyan működnek-e még a kockázatok elleni védelmi intézkedéseim? – A kockázatkezelési intézkedések bevezetése után nagyon fontos azok hatásának, működésének folyamatos figyelése, és róluk a tapasztalatok gyűjtése. Amennyiben valamilyen rendkívüli (kockázati) esemény történik, vagy a védendő objektummal illetve annak környezetével kapcsolatban változás áll be, akkor a vonatkozó kockázati értékeléseket is célszerű azonnal felülvizsgálni, és aktualizálni.

Az egyes lépésekhez a különböző kockázati területeken egymástól nagyon eltérő jellegű módszerek alakultak ki, de ez a logikai váz a legtöbbjüknél könnyen felismerhető.

A kockázatkezelési ciklus lépéseinek a megvalósítása – különösen az első ciklusban – sohasem egyszerű. Az itt bemutatott életciklus ugyan könnyen áttekinthető és érthető, de a konkrét gyakorlati megvalósítása sokszor nagyon nehéz. Amikor először ülünk le, hogy számba vegyük a fenyegetettségeket és hatásaikat, és próbáljuk felbecsülni azok előfordulási valószínűségét és számszerűsíteni a lehetséges károkat, hirtelen nagyon nehéz dolgunk lesz. Nincsenek adatok, amihez viszonyítsunk, a hatások legtöbbször nagyon eltérő jellegűek, és a legritkább esetben lehet őket közvetlenül számszerűsíteni. Sokszor egymástól teljesen eltérő dolgokat kell összehasonlítani. Ez olyan, mintha egymás mellett ugyanazzal a skálával akarnánk mérni a forintosított kárértékét egy elhibázott marketingakciónak, a vevői reklamációk miatti hiba és egyéb kártérítési kötelezettségeknek, majd az ezekből következő hírnév-veszteségének, a cég körül a sajtóban kirobbant botránynak, a beadott nagy-értékű tenderünk idő előtt kiszivárgott bizalmas adatainak, stb.
Ez a kockázatkezelési alapelv biztosítja, hogy a különböző fenyegetettségek legnagyobb kockázati szintje is – a bevezetett védelmi intézkedések nyomán – az elviselhető szint alatt marad.

Egy egész rendszer biztonsági szintje akkora, mint amekkora a leggyengébb elemének a biztonsági szintje. A leggyengébb eleme pedig a legnagyobb kockázati értéket jelentő fenyegetettség. Hogyha ezt maximálom az elfogadható biztonsági szintben, akkor ebből 2 dolog következik:

• Egyrészt az elfogadható biztonsági szint meghatározásával definiáltuk a rendszer biztonsági szintjét.
• Másrészt nem célszerű – ha külön egyéb szempont vagy kívánalom nem indokolja, – az egyes elemek biztonsági szintjének a lecsökkentése sokkal az elfogadható kockázati szint alá. Ennek a meggondolásnak a költségek oldalán van jelentősége. Azzal, hogy egyes elemeket – komoly többletköltséggel – az elfogadható és jellemzően a többi biztonsági elem kockázati szintje alá csökkentem, nem növelem az egész rendszer biztonságát tovább, viszont számos többletköltséget generáltam. Ebből következik az a felismerés is, hogy a legköltséghatékonyabb védekezési mód az egyenszilárdságú védelem kiépítése, azaz a különböző fenyegetettségek megközelítőleg azonos kockázati szintre való csökkentése.

A következő írásunkban egy konkrét kockázatkezelési módszer, az FMEA használatát mutatjuk be egy példán keresztül.

Dr. Horváth Zsolt