• organizacija želi postaviti sistem vodenja (ISO) ali pokriti zahtevo lastnikov poslovnih procesov po izboljšanju poslovanja in s tem povezanega obvladovanja tveganj.
• organizacija mora zadostiti zakonskim zahtevam (GDPR, ISO, PCI DSS) ali zahtevam nadzornikov organizacije (ISO), ki vključujejo oceno tveganja.

Kako lahko učinkovito in uspešno rešimo navedene težave?

Področje ocenjevanja tveganj se v zadnjih letih izboljšuje – standardi so napisani, dobre prakse so priznane in ista načela in postopke se lahko uporablja za različne organizacije.

Ker je izvedba ocene tveganja postala predvidljiv in ponovljiv proces, se izvedba lahko obvladuje z orodjem, ki vključuje dobre prakse ocenjevanja tveganj na vseh področjih poslovanja.

Ocenjevanje tveganj se podpre s priznanimi metodologijami, vključitvijo katalogov groženj in ranljivosti tveganj ter predlogi korektivnih ukrepov in ustvari potrebne zapise in dokumente, ki so potrebni zaradi zakonodaje, standardov ali zahtev nadzornikov.

• enostavno in hitro prilagajanje na izbrano metodologijo ocenjevanja,
• ustrezne kataloge groženj in ranljivosti tveganj,

• hitro usposabljanje uporabnika za uporabo orodja (enostavnost izvedbe ocene tveganja),
• vključevanje vseh potrebnih metodologij za ocenjevanje tveganj.

• Varnostnim inženirjem oziroma skrbnikom sistema vodenja – odgovorni so za izvedbo oziroma koordinacijo ocene tveganj v organizaciji.
• Poslovodstvu – uporabljali bodo predvsem funkcijo nadzora nad ukrepi oziroma zmanjševanjem tveganj. 1x letno bodo pregledali oceno tveganja skupaj z varnostnim inženirjem oziroma skrbnikom sistema vodenja.

• Lastnikom procesov oziroma področij – vsaj 1x letno bodo sodelovali pri pripravi ocene tveganja, odgovorni bodo za posamezno tveganje oziroma bodo določali, kdo bo izvajal posamezen ukrep.
• Izvajalcem ukrepov – sodelujejo pri izvedbi posameznega ukrepa, za katerega so zadolženi.
• Nadzorniki – iz ukrepov morajo videti izboljševanje poslovanja organizacije. Dostop imajo do celovitega pregleda tveganj ter izvajanja ukrepov v celotni organizaciji.

Orodje ORAOTO predstavlja celovito orodje za obvladovanje tveganj, zato zagotavlja obvladovanje tveganj na vseh področjih poslovanja.

Zaradi različnih pristopov k ocenjevanju tveganj je programska oprema sestavljena iz osnovnega modula, ki predstavlja ogrodje programske opreme, v katerem se odvija administracija podatkov, vlog uporabnikov, vključitev v obstoječ informacijski sistem (npr. mrežno povezovanje), v povezanih modulih pa so nabori metodologij za različna področja ocenjevanja tveganj.

Programska oprema omogoča izvedbo ocene tveganja s čim manj uporabniškega vnosa podatkov in čim manj uporabnikovega dela (posameznih klikov na možnosti, izbire podatkov).

Programska oprema podaja možne odgovore na uporabnikove vnose podatkov (predpripravljeni odgovori oziroma izračuni tveganj).

Najpomembnejše prednosti pa so naslednje:

• uporaba v različnih operacijskih sistemih,
• uporaba sporočilnih sistemov (e-pošta),
• skladnost namestitev v različnih okoljih organizacij (spletna rešitev ali namestitev na strežniški infrastrukturi).

1. Enostavno prijavo uporabnika:
   z enoznačnim uporabniškim imenom (in geslom),
2. Vpogled v nabor modulov:
   Po vpisu uporabnika, se glede na vlogo prikažejo možni moduli za ocene tveganja. Uporabnik izbere, kateri modul bo uporabljal. Po izbiri posameznega modula dobi uporabnik možnost nove izbire oziroma obstoječe ocene tveganja, ki jo bo uporabljal. Glede na vlogo se uporabniku odpre samo del, za katerega je zadolžen (posamezen proces, oddelek).
3. Administrativni modul:
   To je modul, kjer varnostni inženir ali skrbnik sistemov vodenja izbira in pripravi metodologijo za ocene tveganja, dobi informacijo o drugih modulih, določi pravice v programski opremi ter določa elemente posamezne ocene tveganja.
4. Vpogled v okolje organizacije (poslovni procesi, organizacijska struktura, viri):
   V modulu uporabnik vidi organizacijo, določi, kako se bo izvajala ocena tveganja oziroma, kateri poslovni procesi, organizacijske enote in viri bodo vključeni v posamezni oceni tveganja.
5. Izračun povprečne ocene tveganja in primerjava med posameznimi ocenami tveganj:
   Za posamezno oceno tveganja se izračunava povprečna stopnja vseh izračunanih tveganj.
6. Pripravo ukrepov za zmanjšanje tveganj:
   Na podlagi posameznih nesprejemljivih tveganj (po izbrani metodologiji), se uporabniku avtomatsko odprejo polja za ukrepe, ki so lahko že predpripravljeni (iz nabora) oziroma jih uporabnik vpiše sam.

7. Pregled vseh ukrepov za zmanjšanje tveganj (glede na vlogo uporabnika):
   Ukrepi se po končani oceni tveganja zberejo v tabeli, ki je dosegljiva uporabniku glede na vlogo.
8. Opozarjanje pooblaščenih oseb na stanja ukrepa (v čakanju, izvedeno, itd.):
   Vsak ukrep se da v obravnavo posamezni pooblaščeni osebi, ki je dolžna skrbeti za implementacijo. Pred izvedbo ukrepa je potrjen s strani vodstva, varnostnega inženirja/skrbnikov sistemov vodenja ali lastnikov procesov/vodij (izbira v administrativnem modulu).
9. Opozarjanje pooblaščenih oseb na stalne oziroma ponavljajoče ukrepe:
   Vsak ukrep ima določen rok izvedbe ali ponavljajoče termine.
10. Opozarjanje varnostnega inženirja oziroma skrbnikov sistemov vodenja o izvedbi ukrepov:
    
    • Vsak izveden ukrep opozori vodstvo, varnostnega inženirja/skrbnike sistemov vodenja ali lastnike procesov/vodje oddelkov.
    • Vsak prekoračen čas ukrepa opozarja vodstvo, varnostnega inženirja/skrbnike sistemov vodenja ali lastnike procesov/vodje oddelkov.
11. Pregled stanja izvedenih ukrepov in zmanjšanja tveganj (glede na vlogo uporabnika):
    Ukrepi se po končani oceni tveganja zberejo v tabeli, ki je dosegljiva uporabniku glede na vlogo. Iz tabele je razvidno, kdaj je bil izveden posamezen ukrep oziroma, ali je bil prekoračen dogovorjen čas izvedbe.
12. Izpis ocene tveganj v standardnih formatih in vzorčnih obrazcih:
    Vse prikaze ocene tveganj je možno izpisati kot standardne formate (CVS, XLS, PDF).