Zarządzanie ryzykiem operacyjnym

Każda organizacja ponosi ryzyko operacyjne. Różnica między tymi, które przetrwają poważny incydent, a tymi, które nie, leży zwykle w tym, co zrobiono, zanim do niego doszło.

Umów się na bezpłatną konsultację

Ta strona jest dla Ciebie, jeśli:

Kierujesz ryzykiem operacyjnym lub cyberbezpieczeństwem w instytucji finansowej objętej DORA?

Zarządzasz ciągłością działania lub compliance w podmiocie kluczowym lub ważnym objętym NIS2 i ustawą o KSC lub w firmie będącej operatorem infrastruktury krytycznej zgodnie z CER i ustawą o zarządzaniu kryzysowym?

Odpowiadasz za wdrożenie ISO 27001, ISO 22301 lub ISO 31000 i potrzebujesz rzetelnej oceny ryzyka?

Przygotowujesz organizację do audytu nadzorczego i potrzebujesz rzetelnej dokumentacji opartej na danych, a nie eksperckich szacunkach?

Dlaczego zarządzanie ryzykiem operacyjnym często zawodzi?

Zarządzanie ryzykiem operacyjnym nie działa, gdy sprowadza się tylko do dokumentacji zamiast do realnego procesu. Jeśli rejestr ryzyka jest uzupełniany raz w roku przez zespół ekspertów, którzy oceniają zagrożenia w skali od jeden do pięciu, nie pokazuje on faktycznego poziomu ryzyka w organizacji. Pokazuje jedynie, jak sytuacja wyglądała w dniu spotkania według obecnych wtedy osób. W efekcie takie oceny są niespójne, trudne do obrony przed audytorem i szybko tracą aktualność.

Skutki są konkretne i można je zmierzyć. Według raportu IBM Cost of a Data Breach 2024, średni koszt incydentu w sektorze finansowym to 6,08 miliona dolarów. Z kolei Sophos w raporcie z 2024 roku podaje, że same koszty przywracania po ataku ransomware wynoszą średnio 2,58 miliona dolarów, nie licząc kar i utraty reputacji. Większość tych incydentów miała znane przyczyny, które można było wykryć wcześniej dzięki rzetelnej i aktualnej ocenie ryzyka.

Na czym polega podejście oparte na ryzyku?

Podejście oparte na ryzyku (risk-based approach) oznacza, że każde twierdzenie o poziomie ekspozycji organizacji musi wynikać z mierzalnych parametrów środowiska, weryfikowalnych, powtarzalnych i możliwych do obrony przed audytorem. To brzmi jak oczywistość, w praktyce konsultingowej zdarza się rzadko.

Sercem naszego podejścia jest autorska metodyka ERAMIS (Evidence-based Risk Assessment Methodology for ICT Services), której wynikiem jest pełna ścieżka rozumowania możliwa do zweryfikowania przez audytora krok po kroku, bez przyjmowania wyników na wiarę. Metodyka jest zgodna z ISO 31000 i ISO 27005. Pełny opis mechanizmów i parametrów oceny na stronie ERAMIS.

Uzupełnieniem metodyki jest aplikacja BIA Insight, która przekształca wyniki oceny ryzyka w konkretny koszt finansowy. Kiedy zarząd pyta „ile to nas może kosztować?”, BIA Insight daje odpowiedź opartą na danych Twojej organizacji.

Dwadzieścia lat projektów w sektorach o najwyższych wymaganiach odporności operacyjnej.

Ponad 250 projektów dla instytucji finansowych, operatorów infrastruktury krytycznej, podmiotów administracji publicznej i organizacji przemysłowych w Polsce i Europie.

Certyfikacje zespołu

Nasi eksperci posiadają certyfikacje PECB — organizacji certyfikującej uznawanej przez ISO i akredytowanej przez międzynarodowe organy normalizacyjne.

Zakres usług zarządzania ryzykiem operacyjnym

Nasze usługi w obszarze zarządzania ryzykiem operacyjnym obejmują sześć powiązanych ze sobą działań, które tworzą spójny cykl – od rozpoznania kontekstu organizacji i określenia wpływu finansowego zagrożeń, przez pomiar ryzyka i kontrolę zależności zewnętrznych, po weryfikację zgodności z wymaganiami regulacyjnymi. Wyniki każdego etapu są wejściem do następnego – organizacja nie wykonuje tej samej pracy dwa razy.

Dla kogo?

Organizacje rozpoczynające wdrożenie systemu zarządzania ryzykiem.
Podmioty przygotowujące się do certyfikacji ISO 27001, ISO 22301 lub wdrażające ISO 31000, ISO 27005.
Organizacje objęte DORA lub NIS2, które definiują ramy zarządzania ryzykiem ICT.

Co otrzymujesz?

Udokumentowany kontekst zewnętrzny i wewnętrzny organizacji.
Wykaz interesariuszy i ich wymagań względem wybranego systemu zarządzania.
Zakres systemu zarządzania gotowy do wdrożenia.
Wsad do ram zarządzania ryzykiem ICT, wymaganych przez DORA i NIS2

Bezpłatne narzędzie ISOContext - poproś o dostęp

Na początek

Analiza kontekstu organizacji

Analiza kontekstu to pierwszy krok w każdym systemie zarządzania ryzykiem. Polega na określeniu wymagań prawnych, regulacyjnych i biznesowych dotyczących zarządzania ryzykiem. Bez jasno określonego kontekstu rejestr ryzyka odpowiada na pytania, których nikt nie postawił.

Dowiedz się więcej o analizje kontekstu organizacji

Dla kogo?

Organizacje budujące lub aktualizujące plany ciągłości działania (BCP).
Podmioty wymagające udokumentowanego uzasadnienia priorytetów odtworzenia.
Podmioty kluczowe i ważne oraz inne, zobowiązane do posiadania dokumentacji systemu zarządzania ciągłością działania.

Co otrzymujesz?

Wpływ przerwy dla każdego procesu oszacowany w kilku kategoriach (finansowy, wizerunkowy, prawny, etc.).
Zdefiniowane wymagań w zakresie ciągłości działania, w tym RTO i RPO – wymaganego czasu odtworzenia i dopuszczalnego poziomu utraty danych.
Listę procesów z przypisanymi priorytetami odtworzenia.
Dane wejściowe do oceny ryzyka (np. z wykorzystaniem metodyki ERAMIS) i planów ciągłości działania (BCP) oraz planów odtworzenia po awarii (DRP)

Ważny krok

Analiza wpływu biznesowego (BIA)

Analiza wpływu biznesowego (Business Impact Analysis, BIA) to proces systematycznego określania skutków finansowych i operacyjnych przerwy działalności organizacji. Przeprowadzamy ją z pomocą aplikacji BIA Insight, która prowadzi zespół przez kolejne kroki procesu definiowania kryteriów oceny skutków dla każdego procesu.

Dowiedz się więcej

Dla kogo?

Organizacje wymagające oceny ryzyka ICT, zawierającej pełen ślad audytowy i uzasadnienie (do obrony przed audytorem lub organem nadzoru).
Podmioty, których dotychczasowe oceny ryzyka dawały spłaszczone lub niespójne wyniki (np. ta sama metoda daje różne wyniki dla danego komponentu mimo zastosowania tych samych czynników ryzyka i środków kontroli).
Instytucje finansowe realizujące wymogi DORA w zakresie zarządzania ryzykiem ICT.
Podmioty kluczowe i ważne, operatorzy infrastruktury krytycznej.
Organizacje wdrażające ISO 27001 lub ISO 22301.

Co otrzymujesz?

Rejestr ryzyka z udokumentowaną ścieżką rozumowania dla każdej pozycji.
Ocenę propagacji ryzyka między powiązanymi komponentami i usługami.
Rekomendacje działań naprawczych.
Dokumentację zgodną z wymaganiami ISO 31000, ISO 27005, DORA i NIS2 (Ustawa o KSC).

Autorskie narzędzia

Ocena ryzyka metodyką ERAMIS

Ocena ryzyka metodą ERAMIS opiera się na mierzalnych parametrach środowiska ICT, takich jak krytyczność elementu wynikająca z jego roli w architekturze ICT, powiązania między usługami i propagacja ryzyka według zasady najsłabszego ogniwa. Każda pozycja w rejestrze ryzyka zawiera pełną ścieżkę rozumowania: od zagrożenia, przez ocenę istniejących zabezpieczeń, aż po poziom ryzyka i rekomendacje.

Dla kogo?

Instytucje finansowe objęte DORA zobowiązane do zarządzania ryzykiem zewnętrznych dostawców ICT.

Organizacje z rozbudowanym łańcuchem dostawców technologicznych lub kluczowych usług.

Podmioty przygotowujące się do audytu zgodności w zakresie zarządzania ryzykiem stron trzecich.

Co otrzymujesz?

Rejestr kluczowych dostawców w wybranych kategoriach (np. ICT, logistyka, utrzymanie infrastruktury, etc.) z oceną poziomu ryzyka każdego z nich.

Udokumentowany proces oceny i monitorowania ryzyka ze strony dostawców.

Rekomendacje działań kontraktowych i operacyjnych wobec dostawców wysokiego ryzyka

Dokumentację wymaganą przez DORA art. 28 w zakresie zarządzania ryzykiem ICT stron trzecich

Więcej o TPRM

Dostawcy

Zarządzanie ryzykiem stron trzecich

Zarządzanie ryzykiem stron trzecich (Third Party Risk Management, TPRM) to analiza ekspozycji na ryzyko wynikające z relacji z dostawcami, partnerami technologicznymi i podmiotami zewnętrznymi, także z podmiotami przetwarzającymi dane lub świadczącymi kluczowe usługi. Incydent po stronie dostawcy może oznaczać także potencjalny incydent po stronie organizacji, szczególnie w kontekście DORA, która w artykule 28 nakłada obowiązek zarządzania ryzykiem zewnętrznych dostawców usług ICT.

Monitorowanie zagrożeń

DORA navigator

DORA Navigator to narzędzie do identyfikacji luk w zarządzaniu ryzykiem ICT w kontekście wymagań rozporządzenia DORA (UE 2022/2554). Zbudowane modułowo — moduł zarządzania ryzykiem wskazuje konkretne obszary ekspozycji wymagające działań naprawczych, a wynik analizy dokumentuje stan zgodności z wymogami regulacyjnymi.

Dla kogo?

Instytucje finansowe objęte DORA: banki, firmy inwestycyjne, zakłady ubezpieczeń, dostawcy usług płatniczych
Zespoły compliance i zarządzania ryzykiem przygotowujące dokumentację dla KNF lub EBC
Organizacje przeprowadzające wewnętrzny audyt gotowości przed zewnętrzną kontrolą nadzorczą

Co otrzymujesz?

Raport luk w zarządzaniu ryzykiem ICT względem wymagań DORA z priorytetem usunięcia
Plan działań naprawczych oparty na danych, a nie eksperckich szacunkach
Dokumentację stanu zgodności użyteczną w komunikacji z organem nadzoru
Dostęp modułowy — organizacja pracuje z całością lub wybranym obszarem wymagań

Poproś o dostęp testowy

KSC navigator

KSC Navigator to narzędzie do identyfikacji luk w zarządzaniu ryzykiem cyberbezpieczeństwa w kontekście wymagań polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Zbudowane modułowo — moduł zarządzania ryzykiem pozwala zidentyfikować konkretne obszary wymagające działań naprawczych. Wyniki KSC Navigator można zestawiać z wynikami DORA Navigator, co jest użyteczne dla podmiotów podlegających jednocześnie obu regulacjom.

Dla kogo?

Operatorzy usług kluczowych i dostawcy usług cyfrowych objęci ustawą o KSC
Podmioty sektora energetycznego, transportowego, ochrony zdrowia i infrastruktury cyfrowej
Organizacje podlegające jednocześnie KSC i DORA szukające spójnego obrazu luk w zarządzaniu ryzykiem

Co otrzymujesz?

Raport luk w zarządzaniu ryzykiem cyberbezpieczeństwa względem wymagań KSC
Plan działań naprawczych z priorytetem opartym na danych
Możliwość zestawienia wyników z DORA Navigator dla podmiotów podlegających obu regulacjom
Dostęp modułowy — organizacja pracuje z całością lub wybranym obszarem wymagań

Poproś o dostęp testowy

Najczęściej zadawane pytania o zarządzanie ryzykiem operacyjnym

Czym różni się podejście oparte na ryzyku od standardowego audytu compliance?

Audyt compliance weryfikuje, czy organizacja spełnia określone wymagania formalne, czy posiada politykę, czy przeprowadziła ocenę, czy uzyskała certyfikat. Podejście oparte na ryzyku pyta o coś zupełnie innego: jakie jest rzeczywiste prawdopodobieństwo i skutek konkretnych zagrożeń dla Twojej organizacji i co konkretnie robisz, żeby nimi zarządzać. Certyfikat ISO 27001 dopuszcza akceptację ryzyka, firma może być certyfikowana i świadomie godzić się z wysokim poziomem ekspozycji na straty. To problem zarządczy wymagający oddzielnej analizy, niezależnie od posiadanych certyfikatów.

Na czym polega metodyka ERAMIS i czym różni się od tradycyjnych metod oceny ryzyka?

ERAMIS (Evidence-based Risk Assessment Methodology for ICT Services) to autorska metodyka Davidson Consulting, która rozwiązuje dwa powtarzające się defekty tradycyjnych metod: spłaszczanie wyników, gdzie krytyczny serwer wychodzi z tym samym poziomem ryzyka co aplikacja frontowa, oraz brak propagacji, gdy ryzyko usługi bazowej nie aktualizuje się automatycznie w zależnych systemach. Metodyka opiera ocenę na mierzalnych parametrach środowiska, a każda pozycja rejestru ryzyka zawiera pełną ścieżkę rozumowania prowadzącą do wyniku. Audytor, zarząd lub organ nadzoru może prześledzić cały tok analizy i zweryfikować przyjęte kryteria, bez konieczności przyjmowania wyników na wiarę.

Dlaczego DORA i NIS2 zmieniają wymagania wobec oceny ryzyka ICT?

Rozporządzenie DORA (UE 2022/2554) i dyrektywa NIS2 (UE 2022/2555) zmieniają pytania, które zadają audytorzy i organy nadzoru. Zamiast pytać o posiadane certyfikaty, pytają o dane: jakie ryzyka ICT, z jakich źródeł, z jakim potencjalnym wpływem finansowym i w jaki sposób monitorowane. DORA wprost nakłada na instytucje finansowe obowiązek utrzymywania ram zarządzania ryzykiem ICT opartych na ciągłym procesie identyfikacji i oceny ryzyka, adekwatnym do jego poziomu. Tradycyjny rejestr ryzyka wypełniany raz w roku przez komórkę ekspertów tego wymogu nie spełnia.

Jak przebiega analiza wpływu biznesowego z wykorzystaniem aplikacji BIA Insight?

Analiza wpływu biznesowego z BIA Insight przebiega jako ustrukturyzowany proces warsztatowy, w którym organizacja definiuje kryteria oceny skutków dla każdego procesu krytycznego. Wynikiem jest konkretna kwota kosztu przestoju na godzinę, zdefiniowany punkt odtworzenia (RPO), czas odtworzenia (RTO) i ranking procesów według priorytetu biznesowego. Te dane stanowią bezpośrednie wejście do oceny ryzyka metodą ERAMIS, planów ciągłości działania i planów odtworzenia po awarii, oraz dokumentację wymaganą przez DORA w zakresie zarządzania ryzykiem ICT.

Czy Wasze usługi obejmują audyt zgodności z DORA, NIS2 i KSC?

Tak. Rozporządzenie DORA (UE 2022/2554) nakłada na instytucje finansowe obowiązek wdrożenia ram zarządzania ryzykiem ICT, przeprowadzania testów odporności cyfrowej i zarządzania ryzykiem zewnętrznych dostawców usług ICT. Dyrektywa NIS2 (UE 2022/2555) i polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) rozszerzają analogiczne obowiązki na szerszy krąg podmiotów z sektorów krytycznych. Do weryfikacji stanu zgodności służą DORA Navigator i KSC Navigator, narzędzia zbudowane modułowo, które pozwalają przeprowadzić samoocenę lub audyt zgodności w wybranym obszarze, w tym w obszarze zarządzania ryzykiem.

Czy metodyka oceny ryzyka jest zgodna z normami ISO 31000 i ISO 27005?

Tak. Metodyka ERAMIS jest zgodna z wytycznymi ISO 31000 dotyczącymi zarządzania ryzykiem oraz ISO 27005 dotyczącymi zarządzania ryzykiem bezpieczeństwa informacji. Oznacza to, że wyniki oceny przeprowadzonej metodyką ERAMIS są bezpośrednio użyteczne w projektach certyfikacyjnych i audytach zgodności. Organizacje przygotowujące się do certyfikacji na zgodność z ISO 27001 lub ISO 22301 mogą skorzystać z bezpłatnego narzędzia ISOContext, które prowadzi przez proces definiowania kontekstu organizacji pod normy ISO, w tym normy związane z zarządzaniem ryzykiem i ciągłością działania, ISO 31000, ISO 27001 i ISO 22301.

Jakie szkolenia z obszaru zarządzania ryzykiem operacyjnym prowadzicie?

Prowadzimy warsztaty praktyczne z szacowania ryzyka metodą ERAMIS, przeprowadzania analizy wpływu biznesowego oraz zarządzania ryzykiem stron trzecich. Oferujemy również szkolenia dedykowane wymogom DORA w zakresie zarządzania ryzykiem ICT, zarówno dla zespołów operacyjnych, jak i dla osób odpowiedzialnych za compliance i raportowanie do organów nadzoru. Celem szkoleń jest wyposażenie wewnętrznych zespołów w kompetencje pozwalające prowadzić i aktualizować oceny ryzyka samodzielnie.

Co zyskuje organizacja, która zarządza ryzykiem operacyjnym jako procesem?

Zarządzanie ryzykiem operacyjnym jako kompetencja wewnętrzna, poddawana regularnym przeglądom i aktualizowana w oparciu o dane, zmienia sposób, w jaki organizacja reaguje na incydenty. Żaden system nie wyeliminuje ich całkowicie. Zmienia natomiast to, co dzieje się w pierwszych godzinach po zdarzeniu: zamiast pytania „co teraz?”, organizacja uruchamia plan oparty na danych, które zna i które regularnie weryfikuje.

Organizacje z dojrzałymi procesami zarządzania ryzykiem rzadziej są zaskakiwane incydentami operacyjnymi. Kiedy jednak incydenty się zdarzają, ponoszą niższe koszty odtworzenia, bo czas odtworzenia i punkt odtworzenia były zdefiniowane przed zdarzeniem, a priorytet procesów ustalony na podstawie ich rzeczywistego wpływu finansowego.

Pytanie nie brzmi, czy Twoja organizacja ma ekspozycję na ryzyko operacyjne, bo ma. Pytanie brzmi, czy wie dokładnie, jak duże, z jakich źródeł i jakie środki kontroli są faktycznie skuteczne.

Nie wiesz od czego zacząć?