Nagroda Lider ERM

Nowoczesne technologie w zarządzaniu ryzykiem

Autor:
Paweł Zanin

Technologie coraz bardziej zmieniają nasze życie oraz pracę. Mają też wpływ na organizacje, ponieważ dostarczają im narzędzia służące do bardziej efektywnej i precyzyjnej realizacji celów. Także w zarządzaniu ryzykiem rozwiązania polegające na automatyzacji procesów związanych z identyfikowaniem oraz szacowaniem ryzyk mają coraz szersze zastosowanie – mowa tutaj o nowoczesnych systemach informatycznych. Jak pomagają w zarządzaniu ryzykiem? Czy niosą ze sobą jakieś zagrożenia? Wyjaśnia Lider ERM, Paweł Zanin.

 

Systemy informatyczne mogą wspierać proces identyfikacji, oceny, monitorowania i zarządzania ryzykiem. Mogą być niezwykle pomocne zwłaszcza w zarządzaniu dużymi ilościami danych związanymi z ryzykiem oraz w automatyzacji zadań powiązanych z analizą i raportowaniem ryzyka. Dzięki bazom można gromadzić duże ilości danych w sposób uporządkowany i bezpieczny (są to tak zwane „hurtownie danych”). Systemy mogą generować raporty związane z ryzykiem, takie jak raporty dotyczące stanu ryzyka, raporty z incydentów, raporty dotyczące działań zaradczych itp. Ponadto mogą umożliwiać monitorowanie bieżących wskaźników ryzyka i ostrzeżeń. Ale to nie wszystko.

Więcej o wykorzystaniu nowoczesnych technologii w zarządzaniu ryzykiem w przedsiębiorstwie dowiesz się z tego artykułu. Temat porusza nasz ekspert, Lider ERM w PBSG, Paweł Zanin.

Jak korzystanie z systemów informatycznych wpływa na ryzyko?

Korzystanie z systemów informatycznych w analizie ryzyka może znacznie usprawnić i usystematyzować proces zarządzania ryzykiem. Dzięki nim organizacje lepiej mogą rozumieć, oceniać i kontrolować ryzyko, a w efekcie – podejmować bardziej świadome decyzje. Przy czym należy zaznaczyć, że istnieje wiele systemów informatycznych wspierających zarządzanie ryzykiem w różnych obszarach i na różnych poziomach organizacji. Przykładem takiego systemu jest polski erisk, oferujący szereg funkcji i modułów do kompleksowego zarządzania ryzykiem.

 

Wdrożenie systemu ERM w organizacji może znacznie podnieść jakość przeprowadzanej analizy ryzyka w takich elementach jak:

  1. Identyfikacja ryzyka – system może wspierać organizacje w skutecznej identyfikacji ryzyka poprzez zapewnienie struktury, centralizację danych, analizę informacji oraz zaangażowanie właścicieli ryzyk w codzienny proces identyfikacji ryzyk. Dzięki temu organizacje mogę lepiej rozumieć ryzyka w ich otoczeniu i podejmować bardziej świadome decyzje zarządcze. Dodatkowo system może oferować gotowe szablony i wzorce identyfikacji ryzyka dostosowane do specyficznych potrzeb i charakterystyki organizacji. To z kolei ułatwia proces identyfikacji ryzyka osobom bezpośrednio się nim zajmującym.
  2. Ocena ryzyka – system może pomagać w skutecznej ocenie ryzyka poprzez zastosowanie odpowiednich metod, automatyzację procesu oceny, analizę różnych scenariuszy oraz wykorzystanie danych zewnętrznych. Dzięki temu organizacje mogą lepiej rozumieć i zarządzać ryzykiem, co z kolei przyczynia się do osiągania wyznaczonych celów i minimalizacji potencjalnych strat. System powinien umożliwiać przeprowadzanie oceny ryzyka na podstawie przedstawionych kryteriów i wskaźników, dzięki czemu łatwiej jest priorytetyzować ryzyko i podejmować skuteczne działania zaradcze. Wszystko to powoduje, że ocena ryzyka staje bardziej zobiektywizowana i trafna.
  3. Zarządzanie incydentami – wspieranie organizacji w skutecznym zarządzaniu incydentami może odbywać się poprzez rejestrację, kategoryzację, śledzenie postępów, analizę przyczyn, zarządzanie działaniami naprawczymi oraz raportowanie i analizę trendów. To pozwala organizacjom szybciej reagować na incydenty, minimalizować ich wpływ na działalność oraz zapobiegać ich powtórzeniu się w przyszłości.
  4. Monitorowanie ryzyka – systemy często skutecznie wspierają organizacje w monitorowaniu ryzyka poprzez śledzenie wskaźników ryzyka, analizę trendów, monitorowanie działań naprawczych, powiadomienia i alerty oraz generowanie raportów. Organizacje mogą więc na bieżąco monitorować sytuację związaną z ryzykiem i podjąć szybką reakcję. Przyczynia się też do skuteczniejszego zarządzania ryzykiem i minimalizacją potencjalnych strat.
  5. Raportowanie i audyt – możliwość generowania raportów dotyczących stanu ryzyka, audytów, działań zaradczych oraz śledzenia postępów w zarządzaniu ryzykiem znacznie skraca czas pracy i daje lepsze efekty.
Paweł Zanin
Paweł Zanin – audytor wiodący Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001, audytor wewnętrzny Systemu Zarządzania Jakością ISO 9001, lider ERM w PBSG. Inicjator i lider wdrożenia SZBI w Fundacji Rozwoju Systemu Edukacji wraz z certyfikacją według normy ISO 27001. Przez kilka lat pełnił funkcję pełnomocnika systemu zarządzania jakością oraz pełnomocnika systemu zarządzania bezpieczeństwem informacji w FRSE. Manager w kilku dużych firmach, zajmujący się procesami operacyjnymi, budowaniem i utrzymywaniem środowiska pracy oraz IT. Certyfikowany kierownik projektów. Absolwent MBA na Politechnice Śląskiej na kierunku Przemysł 4.0 oraz studiów podyplomowych: SGH na kierunku efektywne zarządzanie IT w przedsiębiorstwie, Akademii im. Leona Koźmińskiego na kierunku rachunkowość i zarządzanie finansami w JSP oraz Wyższej Szkoły Zarządzania/Polish Open University na kierunku zarządzanie personelem. Studia magisterskie ukończył na Uniwersytecie Wrocławskim.

To tylko niektóre funkcje, jakie systemy informatyczne mogą wnieść do procesu analizy ryzyka w organizacji. Należy zwrócić uwagę na to, że wybór systemu powinien być dostosowany do potrzeb danego podmiotu, a jego konfiguracja – do specyficznych wymagań i procesów organizacji.

Jakie technologie wspierają analizę ryzyka?

Dynamiczny rozwój systemów informatycznych pociąga za sobą także rozwój technologi, które wspierają firmy w przejściu od reaktywnego do proaktywnego zarządzania ryzykiem. Zaletą takiego podejścia jest wczesne reagowanie i minimalizowanie potencjalnych strat.

 

Wśród dostępnych już dziś niektórych technologii wspierających lub mogących wspierać procesy związane z analizą ryzyka, rozumianej jako Enterprice Risk Managment (ERM), możemy wymienić:

 

  1. Big Data i analityka predykcyjna – hurtownie danych (rozumiane jako usystematyzowane, skategoryzowane dane) mogą w niektórych przypadkach już nie wystarczać. Skuteczna analiza ryzyka wymaga korzystania z coraz większych ilości danych, które charakteryzują się ogromną wielkością, różnorodnością i szybkością. Wielkość, adekwatność i jakość danych wpływają na wyniki analizy ryzyka, a w efekcie – na efektywność podejmowania decyzji i minimalizowanie ryzyka lub wykorzystywanie szans. Natomiast analityka predykcyjna pozwala firmom identyfikować i oceniać potencjalne ryzyka, które mogą wystąpić w przyszłości.
  2. Chmura obliczeniowa – umożliwia elastyczne i skalowalne zarządzanie zasobami danych i narządzi analitycznych, co jest kluczowe w szybkim reagowaniu na zmieniające się wymagania biznesowe i potencjalne ryzyka związane z przetwarzaniem danych. Dzięki wykorzystaniu chmury obliczeniowej w ERM organizacje mogą zyskać większą elastyczność, efektywność i bezpieczeństwo w zarządzaniu ryzykiem, co przyczynia się do lepszego osiągania celów biznesowych i minimalizacji potencjalnych strat.
  3. Blockchain – oferuje zwiększone bezpieczeństwo i przejrzystość w procesach transakcyjnych. Dzięki niemu możliwe jest tworzenie niezmienialnych i w pełni audytowalnych łańcuchów rekordów, co jest szczególnie wartościowe w zarządzaniu ryzykiem, ponieważ zapewnia autentyczność danych.
  4. Automatyzacja i robotyzacja procesów biznesowych (RPA) – automatyzacja rutynowych zadań redukuje błąd ludzki; dzięki niej pracownicy mogą się skupić na bardziej złożonych aspektach zarządzania ryzykiem.

Warto dodać, że kluczem do skutecznego wykorzystania technologii jest integracja i synteza danych z różnych źródeł. To pozwala na holistyczne podejście do zarządzania ryzykiem i zapewnia lepszą ochronę przed nieoczekiwanymi wydarzeniami.

 

Powyższe technologie (a także inne tutaj niewymienione) sprawiły, że doszło do rozwoju systemów informatycznych do takiego stopnia, że poprzez wykorzystanie coraz bardziej zaawansowanych algorytmów przetwarzających coraz bardziej rozbudowane i różnorodne dane nastąpił w ostatnim czasie skokowy rozwój technologi zwanej uczeniem maszynowym (ML), a w efekcie – sztucznej inteligencji (AI). Uczenie maszynowe i AI umożliwiają szybszą i dokładniejszą analizę danych, identyfikację trendów ryzyka oraz prognozowanie potencjalnych zagrożeń. Blockchain zwiększa bezpieczeństwo i przejrzystość w transakcjach. Narzędzia do automatycznego monitorowania i analizy w czasie rzeczywistym pomagają w bieżącym śledzeniu ryzyk i zagrożeń.

Ważne: Integracja AI w zarządzaniu ryzykiem może zwiększyć efektywność i skuteczność procesów poprzez szybsze i bardziej precyzyjne reakcje na potencjalne zagrożenia.

Czy nowoczesne technologie niosą też ryzyko?

Odpowiedź na powyższe pytanie brzmi: niestety tak. Korzystanie z nowoczesnych technologii w zarządzaniu ryzykiem wiąże się z pewnymi zagrożeniami, takimi jak:

  • ryzyko cyberbezpieczeństwa związane z ochroną danych;
  • potencjalne uprzedzenia i błędy w algorytmach AI;
  • zależność od technologii, która może prowadzić do awarii systemów;
  • wyzwania związane z prywatnością i etyką użytkowania AI i dużych zbiorów danych.

 

Ważne jest, aby organizacje świadomie podchodziły do tych wyzwań, stosując odpowiednie środki bezpieczeństwa i etyczne ramy działania.

 

Odpowiedzią na te zagrożenia może być pierwsze na świecie uregulowanie prawne dotyczące AI przyjęte przez Unię Europejską – tzw. AI Act. Wprowadza ono szereg wymogów, mających zapewnić bezpieczeństwo podczas korzystania z systemów AI. Regulacje UE obejmują klasyfikację systemów AI według poziomu ryzyka, z wymaganiami dotyczącymi przejrzystości i nadzoru danych, które te systemy przetwarzają. Na systemy o wyższym ryzyku nałożone są surowsze kontrole, w tym obowiązkowe oceny zgodności, które muszą być przeprowadzone jeszcze przed wprowadzeniem produktu na rynek. AI Act także zobowiązuje do stosowania odpowiednich środków technicznych i organizacyjnych, które zminimalizują ryzyka dla użytkowników i osób trzecich.

 

Jednak wdrożenie nowych regulacji prawnych niesie także ze sobą pewne zagrożenia dla rozwoju technologicznego związanego z ERM. Pojawiają się opinie, że dodatkowe obciążenia regulacyjne i biurokratyczne mogą spowolnić rozwój nowych technologii. Co więcej, rygorystyczne wymogi mogą ograniczać możliwość eksperymentowania z technologią AI, co potencjalnie może spowolnić innowacje.

Z drugiej jednak strony trzeba podkreślić, że regulacje mają na celu stworzenie bezpiecznego i etycznego środowiska dla rozwoju AI – ukierunkowanego na człowieka – co może zwiększyć zaufanie społeczeństwa i rynków do tych technologii. Pamiętajmy o tym, że długoterminowo, jasne i przewidywalne ramy prawne mogą sprzyjać zdrowemu ekosystemowi innowacji, zachęcając do inwestycji i rozwoju technologii AI w sposób odpowiedzialny i zrównoważony.

Nowoczesne technologie a zarządzanie ryzykiem – podsumowanie

Nowoczesne technologie mają coraz większy wpływ na zarządzanie ryzykiem w organizacjach – umożliwiają im bardziej efektywne i precyzyjne procesy identyfikacji, oceny oraz monitorowania ryzyka. Systemy informatyczne dedykowane do ERM odgrywają coraz większą rolę w usprawnianiu zarządzania ryzykiem przez automatyzację wielu zadań związanych z analizą i raportowaniem ryzyka. Dzięki temu organizacje mogą lepiej rozumieć, oceniać i kontrolować ryzyko, co prowadzi do bardziej świadomych decyzji zarządczych i minimalizacji potencjalnych strat.

 

Technologie takie jak Big Data, analityka predykcyjna, chmura obliczeniowa, blockchain oraz automatyzacja i robotyzacja procesów biznesowych przyczyniają się do przejścia od reaktywnego do proaktywnego zarządzania ryzykiem. Jednak korzystanie z tych technologii wiąże się także z pewnymi zagrożeniami, takimi jak ryzyko cyberbezpieczeństwa czy błędy w algorytmach AI. W odpowiedzi na te wyzwania, wprowadzane są regulacje, takie jak unijny AI Act, mające na celu zapewnienie bezpiecznego korzystania z systemów AI. Choć regulacje te mogą wpływać na tempo rozwoju technologicznego, mają również za zadanie stworzenie bezpiecznego i etycznego środowiska dla rozwoju technologii AI, co może sprzyjać inwestycjom i odpowiedzialnemu rozwojowi tych technologii.

O autorze

Paweł Zanin – audytor wiodący Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001, audytor wewnętrzny Systemu Zarządzania Jakością ISO 9001, lider ERM w PBSG.

Inicjator i lider wdrożenia SZBI w Fundacji Rozwoju Systemu Edukacji wraz z certyfikacją według normy ISO 27001. Przez kilka lat pełnił funkcję pełnomocnika systemu zarządzania jakością oraz pełnomocnika systemu zarządzania bezpieczeństwem informacji w FRSE.

Manager w kilku dużych firmach, zajmujący się procesami operacyjnymi, budowaniem i utrzymywaniem środowiska pracy oraz IT. Certyfikowany kierownik projektów.

Absolwent MBA na Politechnice Śląskiej na kierunku Przemysł 4.0 oraz studiów podyplomowych: SGH na kierunku efektywne zarządzanie IT w przedsiębiorstwie, Akademii im. Leona Koźmińskiego na kierunku rachunkowość i zarządzanie finansami w JSP oraz Wyższej Szkoły Zarządzania/Polish Open University na kierunku zarządzanie personelem. Studia magisterskie ukończył na Uniwersytecie Wrocławskim.