Elemente fundamentale în managementul riscurilor. Studiu de caz: managementul riscurilor asociate infrastructurilor critice

Motto:
„Toate organizaţiile, indiferent cât de mari sau mici sunt, se confruntă cu factori interni şi externi care creează incertitudini legate de posibilitatea acestora de a putea să atingă propriile obiective. Efectul acestei incertitudini reprezintă riscul, care este inerent în toate activităţile.” (Kevin W. Knight, membru al catedrei grupului de lucru care a dezvoltat standardul de calitate ISO 31000 – Managementul riscului, principii şi linii directoare)

Diminuarea barierelor şi progresul tehnic accelerat determină evoluţii majore în planul securităţii şi stabilităţii sistemelor. În plus, într-o lume atât de dinamică, unde gradul de incertitudine este în continuă creştere, gestionarea riscurilor asociate activităţilor desfăşurate de organizaţii impune o bună cunoaştere a contextului prin intermediul informaţiei oportune şi de bună calitate.

Rolul informaţiei în adoptarea deciziei manageriale; decizii în condiţii de risc şi incertitudine

Succesul organizaţiilor ce activează în diferite domenii ale vieţii economico-sociale depinde de capacitatea managerilor de a cunoaşte mediul în care activează, dar şi anticipa evenimentele viitoare, pe baza analizei informaţiilor prezente. Informaţia reprezintă sectorul căruia i se acordă o importanţă tot mai crescută. Se înregistrează tendinţa deplasării surselor din zona activităţilor productive către sfera utilizării de intelligence.

Informaţia este un avantaj comparativ faţă de concurenţi dar, mai mult, poate fi o armă pe oricare câmp de confruntare a competitorilor.

Dacă ne raportăm la scrierile marelui strateg militar chinez Sun Tzu (integrate în lucrarea „Arta războiului”), ce definea strategia ca fiind conducerea luptei, stabilind modalităţile de prevedere a intenţiilor duşmanului şi de asigurare sau adaptare a măsurilor optime de protecţie, conform unui plan, observăm că fiecare dintre acţiuni are la bază informaţia şi prelucrarea în vederea folosirii adecvate a acesteia (intelligence). A deţine informaţia înseamnă pentru management materia primă strategică care fundamentează decizia, fiind componenta de bază a reuşitei.

Pentru a evidenţia importanţa fundamentării actului managerial pe baza informaţiei şi dezvoltării unor metode ştiinţifice care să reducă gradul de incertitudine al rezultatelor obţinute faţă de cele scontate, cu transferarea centrului de greutate al procesului din zona intuitivă în cea cognitivă, ne propunem să clasificăm deciziile, în funcţie de gradul de cunoaştere al stărilor naturii şi probabilităţilor de producere a acestora:
– deciziile se numesc deterministe când nu există nici o îndoială că o anumită stare Sj se va produce (probabilitatea acesteia fiind pj = 1);
– dacă probabilităţile asociate stărilor naturii sunt 0<pj;
– deciziile în condiţii de incertitudine sunt cele mai stresante pentru manageri, fiind caracterizate de ambiguitate şi rezolvate de cele mai multe ori pe bază de scenarii. Ele nu sunt asigurate cu informaţii asupra probabilităţilor de producere a stărilor naturii.

Statisticile arată că deciziile deterministe au o răspândire mai largă în zona nivelurilor inferioare ale managementului operaţional (beneficiind, în acelaşi timp, de proceduri pentru rezolvarea problemelor), în timp ce managerii de la nivelurile superioare ale piramidei ierarhice operează în proporţie de peste 80% cu decizii probabilistice şi în condiţii de incertitudine. Rezultă, astfel, că deciziile complexe de la nivelul strategic, cu implicaţii majore asupra evoluţiei organizaţiilor, sunt rezolvate în principal fără a avea informaţii complete asupra posibilelor evoluţii ale stărilor naturii şi a putea previziona consecinţele şi efectele acestora, acţionându-se de cele mai multe ori intuitiv.

De aceea este nevoie ca decidenţii să fie sprijiniţi în gestionarea acestor incertitudini, în condiţii de siguranţă pentru organizaţia pe care o conduc, de o ştiinţă aparte, precum managementul riscurilor.

Managementul riscurilor

Prezent în activităţile umane încă de la începuturile istorice, riscul a influenţat rezultatele acţiunilor, introducând în ecuaţia contextuală elemente probabilistice insuficient cunoscute care afectează curgerea previzionată a evenimentelor şi afectează atingerea obiectivelor.
Managementul riscurilor, ca şi componentă importantă a managementului strategic, are menirea de a se ocupa cu reacţia potrivită la riscuri, utilizând diverse metode şi mijloace analitice şi operaţionale în scopul identificării, prioritizării şi adoptării măsurilor potrivite de evitare a pierderilor şi atingerea obiectivelor organizaţiei. La nivel strategic este important ca managerul să identifice, prin analiză de intelligence, potenţialele riscuri la care este expusă organizaţia, astfel încât decizia să atingă scopul vizat. Evaluarea corectă a contextului, realizarea scenariilor potrivite şi previzionarea rezultatului ce se va obţine în urma deciziei constituie principalul criteriu de performanţă după care ar trebui să fie evaluat. Având în vedere că aplicarea managementului riscurilor presupune, în primul rând, examinarea şi evaluarea corelată a mediului înconjurător, din care provin ameninţările, şi a factorilor interni, ce cuprind vulnerabilităţile, este necesară utilizarea unei terminologii speciale, cu următoarea semnificaţie:

– Risc: Cuvântul provine din franţuzescul „risque”, fiind elementul incert care cuprinde hazardul şi posibilitatea de a nu atinge obiectivele scontate. Poate fi determinat cu ajutorul statisticii, rezultând diferite probabilităţi de apariţie, ceea ce înseamnă că este o mărime măsurabilă, pentru fiecare caz particular.

– Ameninţare: Ameninţarea este un factor de origine externă, prin care sunt afectate grav interesele, valorile şi obiectivele de securitate. Fiind un factor de origine externă, asupra ameninţării nu se poate interveni din interiorul organizaţiei, însă contracararea riscurilor generate de diversele ameninţări se realizează prin identificarea acestora şi întreprinderea măsurilor adecvate de apărare.

– Vulnerabilitate: Vulnerabilitatea este un factor intern care potenţează acţiunea ameninţărilor. Dată fiind natura sa internă, vulnerabilitatea poate fi diminuată prin măsuri corective potrivite; cunoaşterea şi eliminarea vulnerabilităţilor este obligaţia decidenţilor strategici, în realizarea managementului riscurilor.

RISCUL este probabilitatea ca o AMENINŢARE să valorifice o VULNERABILITATE a sistemului pentru a produce un EFECT NEGATIV grav, care denaturează rezultatul scontat.

Japonia şi Banca Mondială oferă asistenţă pentru managementul riscurilor de dezastru statelor în curs de dezvoltare

Pe 3 februarie 2014, Banca Mondială a lansat, în parteneriat cu statul japonez, un program destinat să asiste statele în curs de dezvoltare în managementul riscurilor de dezastre naturale.

Programul se bazează pe experienţa autorităţilor de stat, a companiilor private şi a mediului academic japonez şi pe bunele rezultate ale Japoniei în ceea ce priveşte identificarea şi reducerea riscurilor dezastrelor naturale, vizând să aducă statelor celor mai vulnerabile consultanţă cu privire la procedurile optime de management al riscurilor, precum şi asistenţă financiară.

Programul îşi propune să acorde consultanţă autorităţilor statelor cu risc crescut de calamităţi naturale şi porneşte de la premisa că prevenţia este mai eficientă din toate punctele de vedere, inclusiv din perspectiva costurilor. Lansarea sa va fi marcată printr-un seminar la nivel înalt cu experţi japonezi atât din sectorul public, cât şi din cel privat – şi ai Băncii Mondiale, alături de oficiali de rang înalt din statele cu risc crescut de dezastre naturale.

Frecvenţa şi gravitatea dezastrelor naturale este în creştere, ca urmare a schimbărilor climatice, ceea ce atrage după sine creşterea costurilor cu managementul riscurilor, dar mai ales a pierderilor de vieţi omeneşti. Ţările în curs de dezvoltare sunt considerate a fi mai afectate decât celelalte din cauza unor factori precum creşterea accelerată a populaţiei, urbanizarea agresivă şi nesistematizată sau degradarea mediului înconjurător.

Prin urmare, în aplicarea managementului riscurilor trebuie să se acţioneze asupra elementelor interne ale sistemului în scopul cunoaşterii şi eliminării acelor vulnerabilităţi generatoare de riscuri. Trebuie parcurse etapele obligatorii de identificare şi ierarhizare a riscurilor, în cadrul unui mecanism ce integrează următoarele etape subsecvente:

– identificarea riscurilor generate de ameninţările externe şi vulnerabilităţile interne organizaţiilor;
– analizarea şi ierarhizarea riscurilor, în vederea prioritizării;
– formularea şi punerea în aplicare de măsuri adecvate de contracarare, în contextul restricţiilor interne şi externe, utilizând noţiunile de eficienţă şi eficacitate.

În acest mod, managementul riscurilor foloseşte analiza carteziană având trei factori: vulnerabilitate – ameninţare – probabilitate. Aceasta ajută la identificarea şi ierarhizarea riscurilor la care este expus sistemul, ca prim pas, obligatoriu, în gestionarea lor corespunzătoare. Concret, pentru fiecare pereche ameninţare – vulnerabilitate se determină gravitatea impactului asupra organizaţiei/sistemului şi se estimează probabilitatea producerii.

Având în vedere cerinţele de eficienţă şi eficacitate a resurselor alocate pentru diversele procese, obligatorii pentru competitivitate, managementul riscurilor trebuie să aibă o nouă abordare, cu migrarea centrului de greutate dinspre evitare sau eliminare cu orice cheltuieli asociate, către gestionare ştiinţifică, analizând costurile fiecăreia dintre variante: respingere, limitare, transferare ori acceptare. Din punct de vedere al eficacităţii (rezultatul obţinut faţă de cel preconizat), este necesar a se identifica acele riscuri determinante pentru organizaţie, importanţa lor conferindu-le prioritate în alocarea resurselor de protecţie.

În ceea ce priveşte eficienţa (rezultatul obţinut faţă de resursele alocate), este de observat că pentru anumite riscuri este mai ieftin să fie transferate ori externalizate, iar pentru altele, cuantumul resurselor alocate pentru eliminare este mai mare decât în cazul producerii, deci acestea pot fi acceptate.

În adoptarea deciziei de eliminare a unui anumit risc, versus acceptare a lui, se iau în calcul cele două componente: resursele alocate pentru contracararea riscului şi efectele obţinute pe linia diminuării riscului analizat.

Elementele principale de care trebuie ţinut cont sunt valoarea activelor, natura şi intensitatea ameninţărilor, gravitatea efectelor în cazul materializării evenimentului negativ, nivelul de incertitudine, eficienţa modalităţilor de eliminare a vulnerabilităţilor şi, nu în ultimul rând, costurile asociate.

Studiu de caz: managementul riscurilor asociate infrastructurilor critice

Interdependenţa diverselor reţele de infrastructuri şi sistemelor ce asigură securitatea şi bunăstarea societăţii presupune, în acelaşi timp, inter-conectivitatea riscurilor şi ameninţărilor asociate. Aceasta impune identificarea acelor elemente de infrastructură cu un caracter ridicat de criticitate, de care depinde funcţionarea ansamblurilor vitale pentru economie şi populaţie.

Conexiunile dintre funcţionalitatea şi viabilitatea infrastructurilor critice şi elementele fundamentale ale vieţii economico-sociale, politice şi militare ale unui stat constituie liantul dintre rolul sistemelor de infrastructuri în asigurarea necesităţilor, elementul de securitate şi promovarea intereselor naţionale, indiferent de configuraţia contextuală.

Infrastructurile critice sunt acele elemente materiale (echipamente, instalaţii, lucrări de artă, capacităţi de transport, acumulări de apă, locuri de depozitare materiale cu impact deosebit asupra mediului etc.), organizaţionale (reţele de transport, sisteme energetice, producţie şi distribuţie produse petroliere şi gaze naturale) şi informaţionale (fluxuri şi reţele de transmisii de date) vitale pentru buna desfăşurare a vieţii sociale ori protejarea mediului înconjurător, precum şi susţinerea evoluţiilor economice, într-un climat de securitate.

Investiţiile financiare şi managementul riscurilor de mediu

Cel mai recent index al riscurilor la nivel global realizat de World Economic Forum poziţionează schimbările climatice printre cei mai importanţi factori de risc la adresa securităţii economice mondiale. O analiză a Connect4Climate estima că, gestionate defectuos, riscurile generate de schimbările de mediu pot cauza economiei mondiale o criză similară celei a împrumuturilor subprime, începută în 2008.

Deşi treptat acest tip de vulnerabilităţi a intrat în atenţia decidenţilor la nivel statal, schimbările de mediu nu îi privesc numai pe aceştia, ci şi companiile private şi mai ales pe cele de investiţii financiare, care nici măcar nu deţin infrastructura necesară pentru a constata vulnerabilităţile care le expun, fără a mai vorbi de prevenirea şi gestionarea riscurilor.

În trecerea către o economie bazată pe produse cu emisii reduse de carbon, companiile de investiţii financiare sunt obligate să îşi ajusteze activitatea şi să se adapteze astfel încât să fie în continuare profitabile. În acest sens, un management activ presupune în primul rând recunoaşterea impactului pe care schimbările climatice le au asupra investiţiilor actuale, analize de risc şi implementarea de metodologii care să definească şi să gestioneze riscurile. Totodată, se impune reorientarea investiţiilor spre bunuri cu emisii de carbon reduse, alături de energie regenerabilă, eficienţă energetică sau tehnologie curată.

Gradul de criticitate este dat de influenţa elementului de infrastructură asupra funcţiilor vitale ale societăţii (securitate, sănătate, bunăstare socială ori economică, impactul asupra mediului etc.). Nivelul de perturbare sau distrugere al impactului este cuantificabil, asupra lui aplicându-se un set de criterii sectoriale şi intersectoriale, prevăzute expres de lege pentru fiecare domeniu în parte, după o anumită metodologie.

Cadrul normativ naţional (OUG nr.98/2010 – privind identificarea, desemnarea şi protecţia infrastructurilor critice şi HG nr. 1198/2012 – privind desemnarea infrastructurilor critice) defineşte noţiunile cu care se operează şi stabileşte care sunt acele elemente/sisteme încadrate în categoria celor critice, respectiv elementele de care trebuie să se ţină cont pentru protecţia lor.

Infrastructura critică naţională
(ICN) este un element, un sistem sau o componentă a acestuia, aflat pe teritoriul naţional, care este esenţial pentru menţinerea funcţiilor vitale ale societăţii, a sănătăţii, siguranţei, securităţii, bunăstării sociale ori economice a persoanelor şi a cărui perturbare sau distrugere ar avea un impact semnificativ la nivel naţional ca urmare a incapacităţii de a menţine respectivele funcţii;

Infrastructura critică europeană
(ICE) este o infrastructură critică naţională, a cărei perturbare sau distrugere ar avea un impact semnificativ asupra a cel puţin două state membre ale Uniunii Europene.

Importanţa impactului se evaluează din perspectiva criteriilor intersectoriale. Acestea includ efectele ce rezultă din relaţiile intersectoriale de dependenţă cu alte tipuri de infrastructuri;

Protecţia infrastructurilor critice reprezintă orice activitate care are drept scop asigurarea funcţionalităţii, continuităţii şi integrităţii ICN/ICE pentru a descuraja, diminua şi neutraliza o ameninţare, un risc sau un punct vulnerabil, într-o enumerare neexhaustivă, protecţia infrastructurilor critice cuprinde activităţile desfăşurate succesiv privind evaluarea şi analiza riscurilor, asigurarea protecţiei informaţiilor clasificate, realizarea planurilor de securitate ale operatorilor de infrastructură critică, stabilirea ofiţerilor de legătură şi modului de realizare a comunicaţiilor, precum şi exerciţii, rapoarte, reevaluări şi actualizări ale documentelor elaborate;

Analiza de risc înseamnă evaluarea scenariilor de ameninţări semnificative, pentru a cunoaşte vulnerabilitatea şi impactul potenţial al perturbării sau distrugerii ICN/ICE;

Autorităţi Publice Responsabile sunt autorităţile publice care au în gestionare ori administrare infrastructuri critice sau activităţi deservite de infrastructurile critice;

Proprietari, operatori sau administratori de ICN/ICE sunt acele entităţi responsabile cu investiţiile într-un element, sistem sau componentă, desemnate ca ICN sau ICE, și cu operarea sau administrarea curentă a acestora;

Odată stabilite infrastructurile critice, componenta operaţională devine importantă, în sensul că administratorii ori operatorii acestora trebuie să le menţină la parametrii optimi de exploatare, prin realizarea operaţiunilor curente de mentenanţă, concomitent cu măsurile de protecţie.

Administratorii sau operatorii infrastructurilor critice, identificate şi desemnate astfel de către Autorităţile Publice Responsabile, trebuie să realizeze un Plan de securitate care să conţină măsurile pentru protecţie, parcurgând următoarele etape:

a) identificarea elementelor importante;
b) efectuarea unei analize de risc bazate pe scenarii de ameninţări majore, pe punctele vulnerabile ale fiecărui element şi pe impactul potenţial;
c) identificarea, selectarea şi stabilirea priorităţilor în ceea ce priveşte contramăsurile şi procedurile, făcându-se distincţie între cele permanente de securitate, care identifică investiţiile de securitate indispensabile, şi mijloacele care se utilizează în anumite situaţii. Aici sunt incluse informaţii referitoare la măsuri de securitate graduale de ordin general, precum cele tehnice – instalarea de mijloace de detectare, control al accesului, protecţie şi prevenire -, organizatorice – proceduri pentru gestionarea alertelor şi a crizelor -, de control şi verificare, comunicare, sensibilizare şi formare, precum şi măsuri în domeniul securităţii sistemelor de informaţii, toate acestea fiind activate în funcţie de diferitele niveluri ale riscurilor şi ameninţărilor.

În sprijinul celor care realizează analiza riscurilor, comunitatea ştiinţifică a manifestat preocupare pentru identificarea de modele aplicabile, literatura de specialitate menţionând o mulţime de tehnici, printre acestea numărându-se:

Metoda MEHARI (MEthode Harmonisee d`Analyse de Risques Informatique)

Elaborată de un grup de specialişti francezi – CLUSIF (CLUb de la Securite Informatique Fracais), MEHARI acoperă fazele corespunzătoare identificării, estimării, respectiv tratării ori acceptării riscului şi se adresează atât companiilor, pe întreaga paletă dimensională (IMM şi multinaţionale), cât şi agenţiilor guvernamentale, fiind utilizată în state membre ale Uniunii Europene (Franţa, Marea Britanie, Austria, Belgia, Germania, Polonia etc.) cât şi din afara spaţiului comunitar.

Metoda aplică atât instrumente calitative cât şi cantitative, utilizând o bază de informaţii referitoare la situaţiile de risc cu care se poate confrunta sistemul analizat. Suportul metodologic este o aplicaţie informatică ce permite calcule, simulări şi optimizări.

Metoda matricilor de risc

Preponderent cantitativă, analizează separat cele patru componente de bază ale infrastructurii critice: fizică, funcţională (procesuală), informaţională şi umană (personalul deservent). Operează cu modelul relaţionării dintre perechile ameninţări – vulnerabilităţi, pe baza acestora construindu-se matricea de risc. Se alcătuiesc lista ameninţărilor şi lista vulnerabilităţilor specifice, rezultând, din conjuncţia celor doi factori, lista riscurilor.

Evaluarea riscului global se obţine prin aplicarea relaţiilor de calcul specifice pentru fiecare componentă şi însumarea ponderată a rezultatelor parţiale, cu formula Rg= p1*Rf+ p2*RP+ p3*Ri+ p2*RU, unde Rf este riscul asociat componentei fizice, Rp – riscul asociat componentei procesuale, Ri – riscul asociat componentei informaţionale, Ru – riscul asociat componentei umane, iar p1, p2, p3 şi p4 – ponderi de importanţă specifice fiecărei infrastructuri critice ori sistemului pe care îl deserveşte. La rândul său, fiecare valoare de risc se poate calcula ca o sumă ponderată a valorilor riscurilor, pe elementele constitutive ale componentei.

Metoda OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)

Este elaborată de specialişti americani, abordează atât aspecte organizaţionale cât şi tehnologice, necesare asigurării securităţii infrastructurii critice, într-un proces continuu de evaluare şi se realizează de echipe formate din 3-5 specialişti cărora le revine sarcina culegerii de date, analizei informaţiilor astfel obţinute şi întocmirea planului de acţiune. Etapele parcurse sunt: construirea unor profiluri ale activelor, bazate pe ameninţări, prin evaluarea întregii organizaţii, zonele cheie, punctele critice fiind analizate în scopul extragerii acelor componente relevante, identificarea vulnerabilităţilor structurale, prin evaluarea sistemică a infrastructurii critice, concomitent cu determinarea eficienţei soluţiilor de securitate curente, evaluarea riscurilor, riscul fiind considerat din perspectiva OCTAVE ca probabilitatea de producere a unei pierderi cauzate de absenţa ori inadecvarea modalităţilor de prevenire, şi realizarea Planului de securitate ca strategie de protejare, prin intermediul controlului asupra activelor sau proceselor, sub forma unei liste de activităţi obligatorii.

Concluzii

Influenţa infrastructurilor critice asupra sistemelor economice şi sociale le conferă importanţă de nivel strategic şi naţional, impunând dezvoltarea cooperării interinstituţionale, în format partenerial între sfera publică şi cea privată, pentru identificarea soluţiilor optime de realizare a protecţiei şi pentru stabilire a modalităţilor de intervenţie. Principalele repere definitorii sunt valorizarea expertizei de evaluare a riscurilor ori reglementare pe care le au instituţiile specializate, dar şi dialogul, în cadrul unor analize comune asupra condiţiilor în care activează infrastructurile critice, într-o abordare holistică şi vizionară, precum şi în cadrul unor activităţi de informare publică şi dezvoltarea culturii de securitate.

Beneficiile obţinute în urma schimbului de expertiză sunt de ambele părţi, în condiţiile în care nu de puţine ori, un operator privat al unei infrastructuri critice, prin experienţa sa, poate disemina către parteneri un pachet de „bune practici” pe care aceştia le pot aplica şi în alte domenii. Astfel, o firmă multinaţională cu experienţă şi întindere pe raza mai multor ţări în operarea unei infrastructuri critice, are norme interne, practici şi proceduri operaţionale mai elaborate chiar decât cele ale statelor pe arealul cărora activează, iar inducţia de „know-how” este extrem de folositoare.

Se vizează conştientizarea de către operatorii sau administratorii privaţi de infrastructuri critice asupra necesităţii de a aloca resursele financiare necesare pentru asigurarea protecţiei acestor elemente, inclusiv prin compararea prejudiciilor generate de materializarea potenţialelor riscuri la care se expun dacă îşi axează politicile economice doar pe obţinerea de profit, fără să realizeze operaţiunile de protecţie necesare, faţă de costul acestora (sistemul este similar cu întreţinerea echipamentelor, unde s-a dovedit, de-a lungul anilor, că mentenanţa preventivă este mai ieftină decât cea corectivă).

Subsecvent, componentei de intelligence îi revine rolul principal în configurarea climatului de coeziune în planul măsurilor ce se impun a fi adoptate (cu relevarea elementelor de risc şi implicaţiilor de ordin economico-social ce decurg din manifestarea acestora), în măsură să asigure capacitatea de răspuns la ameninţările la care sunt supuse infrastructurile critice.

De asemenea, având în vedere expertiza în gestionarea riscurilor, poate contribui în mod indirect la asigurarea transferului de cunoaştere, prin acţiuni pe linia dezvoltării unei culturi de securitate la nivelul administratorilor sau operatorilor privaţi care, în acest mod, sunt conştientizaţi asupra importanţei realizării unui sistem adecvat de protecţie.

Autor: Cătălin Alexandru Briceag

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*
*