MeRSZ online
okoskönyvtár
Több száz tankönyv egy helyen.
Online. Bárhol. Bármikor.
Bizonytalanság és biztonság
Fejezetek a mérnöki kockázatmenedzsmentből
2.4. Kockázatértékelés
A kockázatértékelés (risk evaluation) az a lépés, amikor a kockázatelemzés eredményeit összevetjük a szervezet által elfogadhatónak tartott kockázati szinttel, és döntéseket hozunk arról, mely kockázatok igényelnek kezelést. Egyszerűbben fogalmazva: a kockázatelemzés megmutatta, milyen nagy egy-egy kockázat; a kockázatértékelés pedig arról szól, hogy ez a nagyság rendben van-e a szervezet számára. Ehhez a szervezetnek rendelkeznie kell kockázati kritériumokkal vagy más néven kockázati étvággyal (risk appetite) és toleranciaszintekkel. Ezek a kritériumok lehetnek formálisak (például számokban rögzített határértékek: „egy munkahelyi baleset sem elfogadható évente”, vagy „legfeljebb 5% valószínűségű, 10 millió Ft kárt okozó esemény tolerálható”), vagy lehetnek általános irányelvek (például „a magas kockázati szintű fenyegetéseket mindenképp csökkenteni kell, a közepesek mérlegelendők, az alacsonyakat elfogadjuk”). A kockázatértékelés során a döntéshozók – gyakran a vezetőség vagy egy kockázatkezelési bizottság – áttekintik a kockázati rangsort, amit az előző lépésben kaptak, és meghatározzák, hogy az egyes kockázatok esetén szükség van-e beavatkozásra.
Ennél a lépésnél készül el tulajdonképpen a kockázati térkép vagy profil végleges verziója, amely megjelöli a kritikus kockázatokat. Azokat a kockázatokat, amelyek a kockázati kritériumok alapján elfogadhatatlanul magasak, a szervezet kezelendőnek nyilvánítja – vagyis ezekkel muszáj foglalkozni, mert különben a szervezet céljai kerülhetnek veszélybe. Azokat a kockázatokat, amelyek tolerálhatóak (elfogadhatók) – tipikusan mert nagyon alacsony a valószínűségük, vagy csekély a hatásuk, illetve a kezelésük költsége aránytalanul nagy lenne a nyereséghez képest –, formálisan elfogadhatja a szervezet, külön beavatkozás nélkül (azért általában figyelemmel kísérve). Fontos azonban, hogy az elfogadás is tudatos döntés legyen, dokumentálva, hogy a vezetőség tisztában van a kockázattal, de vállalja azt a meghatározott határok között (Kuzminykh–Ghita–Sokolov–Bakhshi, 2021).
A kockázatértékelés gyakorlati eredménye egy prioritási lista vagy kategorizálás: például megjelölhetik a kockázatokat „sürgősen kezelendő”, „kezelendő, de nem sürgős” és „elfogadható” csoportokkal. Ezzel a szervezet fókuszt nyer: tudni fogja, mely területeken kell erőforrásokat mozgósítani a kockázatok csökkentésére, és melyek azok a kockázatok, amelyeket csak monitorozni kell. A döntésnél figyelembe kell venni a jogszabályi megfelelést is: bizonyos kockázatokat a törvény sem enged meg egy bizonyos szint felett (például munkavédelmi előírások, környezetvédelmi kibocsátási határértékek stb.), így az értékelésnél ezek a külső követelmények kockázati kritériumként szerepelnek. Ugyanígy számít a társadalmi elvárás és a vállalati értékrend: például egy kórház erkölcsileg sem engedheti meg, hogy „elfogadja” a magas fertőzéskockázatot, hiszen emberéletekről van szó.
Miután a kockázatértékelés lezárult, a szervezetnek egy világos képe van arról, mely kockázatokkal mit kell tennie. A következő lépés ezeknek a kockázatkezelési intézkedéseknek a megtervezése és végrehajtása lesz. Mielőtt azonban tovább lépnénk, fontos kiemelni, hogy a kockázatértékelés fázisa ad alkalmat a kommunikációra és konzultációra: a döntéseket érdemes megvitatni az érintettekkel (például a részlegvezetőkkel, akik területén a kockázat jelentkezik), és transzparensen dokumentálni. Így mindenki tudja, hogy egy adott kockázat miért került a „kezelendő” vagy „elfogadott” kategóriába.
Példák különböző iparágakból a kockázatértékelésre:
-
Építőipar: Az alapozási instabilitás kockázata a példaépítkezésen az elemzés szerint közepes valószínűségű és súlyos hatású. A projektvezetés a kockázatértékelési megbeszélésen úgy dönt, hogy ez a kockázat nem fogadható el kezelés nélkül, mivel ha bekövetkezne, az építkezés összeomlását vagy legalábbis jelentős késedelmet és többletköltséget okozna. A vállalat kockázati étvágya nem engedi meg, hogy ilyen súlyos szerkezeti kockázatot csak úgy vállaljanak, ezért ezt a kockázatot a „magas, kezelendő” kategóriába sorolják. Ugyanakkor lehetnek más azonosított kockázatok is a projektben, például az időjárás miatti kisebb csúszások, amelyeket elfogadhatónak minősítenek, mondván: egy kis késés benne van a projektben, ezt tartalék idővel le tudják kezelni. Így a kockázatértékelés eredményeként a csapat priorizál: az alapozási probléma elsődleges figyelmet kap, míg a kisebb kockázatok csak nyomon követésre kerülnek.
-
Informatika: Az informatikai vállalat vezetése áttekinti a kibertámadás kockázatának elemzését, ami magas szintű fenyegetést mutatott. A vállalat biztonsági politikája kimondja, hogy az ügyféladatok kompromittálódásának kockázatát minimálisra kell csökkenteni, tehát semmiképp sem maradhat kezeletlenül. Ennek alapján az értékelésen kritikus kockázatnak nyilvánítják ezt a fenyegetést, ami azonnali kezelési akciótervet igényel. Ezzel szemben mondjuk egy másik azonosított kockázat, a szoftverfejlesztés során a határidő csúszásának kockázata a cég tapasztalatai szerint gyakori, de bele van kalkulálva a projekttervekbe. Így azt elfogadhatóként könyvelik el (alacsony-közepes kockázat, ami nem fenyeget létfontosságú érdeket), és egyszerűen monitorozzák a továbbiakban.
-
Beléptetőrendszerek: A beléptetőrendszer illetéktelen behatolási kockázatát a vállalat biztonsági bizottsága úgy értékeli, hogy a jelenlegi helyzet túl kockázatos a cég biztonsági elvárásaihoz képest. A kritériumuk az, hogy évente legfeljebb 1 kisebb biztonsági incidens történhet, de a számítások szerint a jelenlegi rendszer mellett akár 5 is előfordulhat (elveszett kártyákból 5 visszaélés). Ezt a különbséget nem tartják elfogadhatónak. Ráadásul az is szempont, hogy ha bekövetkezne egy komolyabb adatlopás egy ilyen illetéktelen behatolás miatt, annak jogi következményei is lehetnének (adatvédelmi bírság). Így a bizottság úgy dönt, hogy ezt a kockázatot csökkenteni kell, és magas prioritásúnak sorolja be. Egy kisebb kockázatot ugyanakkor elfogadnak: például azt, hogy néha egy alkalmazott otthon felejti a belépőkártyáját és emiatt az ő munkakezdése késik pár percet – ez biztonsági szempontból nem jelent kárt, így az értékelés szerint ez tolerálható, nem igényel beavatkozást.
Tartalomjegyzék
- Bizonytalanság és biztonság
- Impresszum
- Bevezetés
- I. A kockázatmenedzsment alapjai
- 1. A kockázatelemzés alapjai
- 1.1. Személyes motivációm
- 1.2. Nemzetközi kitekintés – kulturális különbségek
- 1.3. A biztonság fejlődése a kockázatelemzés bevezetése óta
- 1.4. A dodó madár példája – a veszély felismerésének fontossága
- 1.5. Katasztrófák
- 1.6. Tervezett élettartam és kockázat
- 1.7. Összegzés – fő tanulságok és következtetések a fejezetből
- 1.1. Személyes motivációm
- 2. Vonatkozó szabványok és a kockázatkezelés folyamata
- 3. A kockázatkezelés szemlélete, modellek és alapfogalmak
- 3.1. Rendszerszemléletű megközelítés – a kockázatkezelés integrálása a szervezeti folyamatokba és döntéshozatalba (proaktív, folyamatos tevékenység)
- 3.2. Veszély, hiba, kockázat – alapfogalmak és definíciók tisztázása (a veszélyek, hibalehetőségek és kockázatok közötti különbségek)
- 3.3. Baleseti ok-okozati modellek – a dominóelv és a svájcisajt-modell bemutatása (hogyan vezetnek a rejtett hibák és védelmi hiányosságok balesetekhez)
- 3.4. A kockázatkezelés gazdasági aspektusai és az ALARP-elv – a biztonsági intézkedések költség-haszon elemzése, az észszerűen elérhető minimális kockázat elve
- 3.5. Megbízhatóság, hibatűrés és redundancia – a rendszerek megbízhatóságának növelése (megengedhető hibák, redundáns rendszerek típusai, korlátai és alkalmazásai)
- 3.6. „Murphy törvénye” és biztonsági tartalékok – a Murphy-elv jelentősége a kockázatkezelésben és a megfelelő biztonsági tartalékok tervezése
- 3.7. A kockázatkezelés hierarchiája
- 3.1. Rendszerszemléletű megközelítés – a kockázatkezelés integrálása a szervezeti folyamatokba és döntéshozatalba (proaktív, folyamatos tevékenység)
- 4. A kockázatfelméréshez használt eszközök és eljárások ismertetése
- Irodalomjegyzék
- 1. A kockázatelemzés alapjai
- II. Integrált vállalati kockázatmenedzsment
- 1. A holisztikus kockázatkezelés igénye
- 2. Kockázatok csoportosítási lehetőségei
- 3. A kockázatmenedzsment heterogén szakmai háttere
- 4. Kockázatmenedzsment megjelenése a funkcionális (vállalat)biztonságban
- 5. Üzleti és technológiai folyamatok kockázatkezelése
- 6. Bizonytalanság és kockázat
- 7. Kockázatkezelő keretrendszerek
- Irodalomjegyzék
- 1. A holisztikus kockázatkezelés igénye
- III. Az információvédelem sajátos kockázatmenedzsmentje
- 1. Információ-, informatikai és kiberbiztonság
- 2. Az információbiztonsági kockázatelemzés és -kezelés
- 2.1. A védendő vagyonelemek
- 2.2. Fenyegetések, veszélyek, sebezhetőségek
- 2.3. A vagyonelemekkel kapcsolatosan hozott védelmi intézkedések
- 2.4. A veszélyhelyzetek, kockázati események bekövetkezési valószínűségének meghatározása, becslése
- 2.5. Az információbiztonsági kárérték előrejelzése
- 2.6. Kockázatok, kockázati szintek meghatározása
- 2.7. Intézkedések a nem elviselhető kockázatok kockázati szintjének csökkentésére vagy kezelésére
- 2.8. Az információbiztonsági kockázatmenedzsment lépései (összegzés)
- 2.1. A védendő vagyonelemek
- 3. Információbiztonsági kockázatmenedzsment-irányítási rendszer keretében
- 3.1. Az ISO/IEC 27000-es szabványcsomag
- 3.2. TISAX (Trusted Information Security Assessment eXChange – autóipari beszállítókkal szemben támasztott információbiztonsági követelményrendszer)
- 3.3. CObIT (Control Objectives for Information and Related Technology – ajánlás információtechnológia irányításához, kontrolljához és ellenőrzéséhez)
- 3.4. Információs rendszerek üzemeltetése (az ITIL)
- 3.5. CRAMM-modell információbiztonsági kockázatok kezelésére (CCTA Risk and Management Method, CCTA = Central Computers and Telecommunications Agency, GB)
- 3.6. NIST SP 800-as sorozat
- 3.7. A mesterségesintelligencia-alkalmazások kockázatmenedzsmentje
- 3.1. Az ISO/IEC 27000-es szabványcsomag
- Irodalomjegyzék
- 1. Információ-, informatikai és kiberbiztonság
- IV. Kockázatelemzés, -értékelés és -kezelés a minőségbiztosításban
- V. Kockázatbecslés érzékenységi és bizonytalansági elemzése
- Bevezetés
- 1. Kockázatbecslés lineáris érzékenységelemzése (A módszertan ismertetése)
- 2. Hibafaelemzés lineáris érzékenységvizsgálata
- 3. Hibamód- és hatáselemzés (FMEA) lineáris érzékenységvizsgálata
- 4. Kockázatbecslés Monte Carlo-szimulációs megbízhatóságelemzése (a módszertan ismertetése)
- 5. Hibafaelemzés korrelációs vizsgálata
- 6. Javítható rendszer üzemeltetési folyamatának elemzése
- Irodalomjegyzék
- Bevezetés
- VI. A kémiai kockázatértékelés munkavédelmi dimenziói
- Bevezetés
- 2. Kémiai anyagok és veszélyek a munkahelyeken
- 3. Esettanulmány
- 3.1. Bevezetés
- 3.2. A nátrium-azid technológia szerepének ismertetése
- 3.3. A nátrium-azid mint veszélyes anyag tulajdonsága
- 3.4. Iparbiztonsági szabályozás szerinti besorolás
- 3.5. Technológiai elemek
- 3.6. Veszélyes anyagok tárolása, kármentés
- 3.7. A nátrium-azid munkavédelmi veszélyei a gyártás során
- 3.8. Balesetek
- 3.9. A nátrium-azid kockázatértékelési folyamatának további összetevői
- 3.10. Védőeszközökkel való ellátás
- 3.11. Biztonsági ismeretek átadása
- 3.12. Egyéb munkavédelmi célú ismeretközlő módszerek
- 3.1. Bevezetés
- 4. A kémiai kockázatbecslés elemei
- 5. Munkavédelmi intézkedések diverzifikációja
- 6. A kémiai kockázatértékelés szabályozási keretei
- 7. Kémiai kockázatok integrált megközelítésben
- 8. Jövőbeli kihívások
- Irodalomjegyzék
- VII. Létesítmények tűzvédelmi üzemeltetési kockázatai
- Bevezetés
- 1. A tűzvédelmi kockázati osztályba sorolásról röviden
- 2. Kockázatalapú tervezés, a létesítmények tűzvédelmi koncepciója
- 3. A tűzvédelmi műszaki megoldások üzemeltetési kockázatai
- 4. Speciális kockázatok a felújítások, átalakítások alatt
- 5. A tűzvédelmi műszaki irányelvek szerepe, jelentősége
- Irodalomjegyzék
- Bevezetés
- VIII. Projektkockázatok és kezelésük
Kiadó: Akadémiai Kiadó
Online megjelenés éve: 2026
ISBN: 978 963 664 195 5
A Bizonytalanság és biztonság című tanulmánykötet 6 mérnökvégzettségű, Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Karán dolgozó oktató közös munkája. Karunk gépész-, mechatronikai- és biztonságtechnikai képzésre járó hallgatói képzésük során megismerkednek a kockázatmenedzsment alapjaival, módszertani hátterével, és elsajátítják a kockázatértékeléshez és -kezeléshez szükséges elméleti hátteret. A könyv nem egyetemi tankönyvnek készült, de ott is használható. Fontos célunk volt a 8 tanulmányt tartalmazó kötet közreadásával, hogy a különböző szakterületek képviselői lássák a műszaki beruházási és fejlesztési projektek, az információbiztonság, a minőségbiztosítás, a karbantartás, a munka- és tűzvédelem kockázatmenedzsmentjének néha eltérő, de integrálható sajátosságait. A gazdálkodó szervezetek életében szükség van egységesen alkalmazott kockázatmenedzsment szabályokra, hiszen a kockázati eseménynek több, eltérő eredetű kiváltó oka és több következménye is lehet. Eltérő skálákon történő értékelésük zavart okozhat kockázatok felismerésében és kezelésében is. A mérnöki kockázatok mellett a szervezeteknél többek között megjelennek stratégiai, piaci és pénzügyi vagy akár biztosítási kockázatok is. A könyv terjedelme nem teszi lehetővé, hogy ezekkel is foglalkozzunk, de fontos felhívni a figyelmet, hogy a kockázatmenedzsment nemcsak a mérnöki feladat…
Hivatkozás: https://mersz.hu/michelberger-bizonytalansag-es-biztonsag//
BibTeXEndNoteMendeleyZotero
gomb segítségével választhatsz, hogy fejezetről fejezetre lapozva vagy inkább folyamatosan görgetve olvasnád-e a könyvet.
