1) Priprema sustava (jednokratno / povremeno)

Kako bi BIA i procjena rizika imali smisla i kako bi višekorisnički rad funkcionirao, prvo pripremite osnovne podatke.


Za detaljniji opis pripreme sustava pogledajte https://app.loopedin.io/alterrisk/kb/alterrisk-tutorials/alterrisk-upute-za-brzi-pocetak

  1. Preuzmite regulatorne dokumente/standarde u Bazu znanja

    • U navigaciji odaberite Baza znanja → Regulatorni dokumenti, a zatim kliknite na gumb „Preuzmi regulatorne dokumente” kako biste ih uvezli. 

  2. Unesite entitete

    • Idite na EntitetiNovi entitet.
    • Unesite entitete za koje ćete raditi BIA i/ili procjenu rizika (npr. procesi, servisi, aplikacije, hardver).

  3. Grupirajte entitete (preporučeno)

    • Dodajte entitete u grupe, u navigaciji Baza znanja → Entiteti u grupama ili na stranici Entiteti višestruktim odabirom te klikom na Akcije → Pridruži entitete u grupe . 
    • Ovo je ključno ako želite koristiti automatsko kreiranje rizika (Entiteti → Grupe ← Prijetnje).

  4. Osigurajte korisnike za višekorisnički rad

    • Korisnike unesite kroz izbornik Administracija.
    • Dodijelite vlasništvo/skrbništvo nad entitetima (na formi entiteta), jer korisnici u ulozi Users vide i uređuju samo:
      • svoje entitete (gdje su vlasnik/skrbnik ili član funkcije koja je skrbnik)
      • rizike vezane uz te entitete
      • svoje nalaze i preporuke koje su im dodijeljene

2) Procjena rizika

Ovo je “end-to-end” tok: projekt → opseg → automatski rizici → procjena → obrada → praćenje.

2.1. Kreiranje i priprema projekta procjene rizika

  1. Idite na ProjektiDodaj projekt.
  2. Otvorite projekt i u donjem dijelu ekrana odaberite karticu/sekciju za entitete.
  3. Dodajte entitete u opseg projekta:
    • unutar projekta kliknite Dodaj (u donjem dijelu ekrana), ili
    • na popisu entiteta odaberite entitete pa Akcije → Pridruži entitete u projekt
    • ako koristite hijerarhiju entiteta (proces → servisi → entiteti), možete odabrati krovni proces i uključiti opciju:
      • „Uključi podređene entitete?“

2.2. Automatsko kreiranje rizika (da ubrzate rad)

  1. Na projektu kliknite „Automatsko kreiranje rizika“.
  2. Potvrdite (OK) – rizici se kreiraju, a status projekta prelazi u „U tijeku“.

Napomena: automatsko kreiranje radi prema mapiranju Entiteti → Grupe ← Prijetnje, pa su grupe i mapiranja važni preduvjeti.

2.3. (Opcionalno) Grupna procjena rizika – kad imate puno sličnih entiteta

Ako imate velik broj entiteta sličnih obilježja (npr. “prijenosni hardver”), možete procijeniti na razini grupe.

  1. Na razini grupe za prijetnje odaberite „Grupna procjena rizika“.
  2. Vrednujte:
    • Vjerojatnost
    • Utjecaj
  3. Nakon toga, kad kliknete Auto. kreiranje rizika na projektu, alat će za sve entitete u projektu popuniti:
    • Vjerojatnost
    • Utjecaj
    • Datum procjene (trenutni datum)
    • Procijenio (prijavljeni korisnik)
    • Veličina rizika (izračun)

2.4. Podjela posla (višekorisnički) – slanje e‑pošte skrbnicima entiteta

Da skrbnici/vlasnici sami procijene rizike za svoje entitete:

  1. Provjerite da su skrbnici postavljeni na entitetima i da postoje kao korisnici u Administracija.
  2. U projektu procjene rizika kliknite „Pošalji mail“.
  3. Sustav šalje poruku skrbnicima:
    • “Planirana je nova procjena rizika za vaše entitete. Molim, prijavite se u AlterRisk i procijenite rizike.”

Korisnici se zatim prijave i mogu procjenjivati samo rizike za svoje entitete, čime se rasterećuje risk menadžer, a odgovornost ide prema vlasnicima/skrbnicima.

2.5. Kako korisnici procjenjuju rizike (na ekranu Rizici)

  1. Idite na Rizici (po potrebi filtrirajte po projektu).
  2. Otvorite rizik (redak) → Uredi (ili procjena).
  3. Unesite:
    • datum procjene
    • osobu koja procjenjuje
    • Vjerojatnost
    • Utjecaj
  4. Kliknite Izračunaj rizik:
    • alat računa veličinu rizika kao Vjerojatnost × Utjecaj
  5. Po potrebi:
    • korigirajte izračunatu veličinu rizika
    • dodajte “Dodatni opis”
    • unesite financijski utjecaj
  6. Kliknite OK.

2.6. Obrada rizika (odabir načina obrade)

Kad procjene budu gotove i imate definiranu “dozvoljenu razinu” rizika:

  1. Na popisu rizika koristite parametar „Način obrade rizika“ (npr. za više rizika odjednom).
  2. Označite više rizika → Akcije → Ažuriraj način obrade rizika.

2.7. Plan implementacije kontrola (mjere) i praćenje izvršenja

  1. Otvorite rizik, u donjem dijelu (drugi jahač) dodajte stavke plana implementacije kontrola:
    • klik Dodaj
  2. Ako mjera već postoji, prvo će se ponuditi odabir postojeće stavke plana (jedna mjera može vrijediti za više rizika).
  3. Ako treba nova mjera, kliknite Dodaj i upišite novu stavku.

Korisnici zatim mogu pratiti svoje mjere:

  • Rizici → Plan implementacije kontrola
  • vide preporuke/mjere gdje su oni u atributu Zadužen
  • nakon izvršenja postave status na „Izvršeno“

2.8. Nalazi / incidenti / ranjivosti (ako ih želite voditi u sklopu rizika)

Korisnici mogu unositi nalaze kroz:

  • Rizici → Nalazi

Nakon unosa vide:

  • samo nalaze koje su sami unijeli (ili njihova organizacijska funkcija, ako je ona definirana kao “unio”).

3) BIA (Analiza utjecaja na poslovanje)

U AlterRisk-u BIA se tipično vodi kroz entitete (posebno procese) i koristi se kroz gotova BIA izvješća.

3.1. Pripremite procese i veze (preduvjet za kvalitetan BIA)

  1. Provjerite da imate unesene procese i povezane entitete (servise, treće strane, informacije koje proces koristi).
  2. Ako koristite hijerarhiju, vodite računa o vezama jer se BIA izvještaji oslanjaju na međuovisnosti.

3.2. Pokretanje BIA izvještaja

Do izvještaja idete kroz Izvješća, a dostupna BIA izvješća su:

  • Međuovisnosti procesa
  • Međuovisnosti procesa o servisima
  • Međuovisnosti servisa
  • Veze procesa i trećih strana
  • Gubici po procesima
  • Informacije koje koristi proces
  • RTO-RTC

Praktični način rada:

  1. Idite na Izvješća.
  2. Odaberite jedno od BIA izvješća ovisno o tome što analizirate (npr. RTO-RTC za ciljeve oporavka, međuovisnosti za ovisnosti procesa).
  3. Koristite izvješća kao “kontrolnu ploču” za provjeru:
    • jesu li procesi dobro povezani sa servisima
    • postoje li kritične ovisnosti i treće strane
    • imate li upisane informacije i gubitke po procesima

4) Savjeti za učinkovit višekorisnički rad (provjereni obrazac)

Kako biste olakšali suradnju i smanjili zastoje:

  • Dodijelite skrbnike entiteta (vlasništvo je temelj vidljivosti i odgovornosti).
  • Koristite „Pošalji mail“ nakon pokretanja projekta procjene rizika, da skrbnici odmah dobiju zadatak.
  • Risk menadžer radi nadzor i korekcije:
    • nakon što korisnici procijene “svoje” rizike, risk menadžer može pregledati sve i po potrebi korigirati.
  • Koristite grupnu procjenu kad imate puno sličnih entiteta, da ubrzate inicijalno punjenje vjerojatnosti/utjecaja.
  • Uvedite disciplinu plana mjera:
    • mjere dodijelite kroz “Zadužen”, a korisnici neka ažuriraju na “Izvršeno”.