Zanim przejdziemy do konkretnych rodzajów i obszarów analizy zagrożeń, warto podać kilka zasad całkowicie uniwersalnych. Ich założenia są praktycznie we wszystkich metodykach i standardach dotyczących oceny zagrożeń i skutków z nich wynikających, czy jak to się teraz nazywa – metodykach, standardach i modelach szacowania i oceny ryzyka

Zasada 1 – ocena musi być okresowa

Zasada ta oznacza, że analiza zagrożeń powinna być wykonywana co jakiś czas (Metodyka KGP też o tym wspomina). Poza samym przejrzeniem skuteczności zastosowanych metod ochrony, ma również znaczenie w zakresie rozpoznania nowych zagrożeń. Pamiętać należy, że zasada ta wymaga stworzenia pewnego rozwiązania systemowego, polegającego na ścisłym opisie rodzajów i typów zagrożeń, typowanych skutków, przyjętych skal prawdopodobieństwa i właśnie skutku. Bardzo dobrze byłoby, aby w takim rozwiązaniu wskazać również źródła informacji, z których będziemy korzystać. Zamiennie nazywać będę analizę zagrożeń – szacowaniem i oceną ryzyka.

Utworzenie takiego podsystemu daje możliwość oceny zmian i tzw. trendów w zagrożeniach. Dzięki okresowej ocenie dostarcza również informacji, które z zabezpieczeń oddziałują najlepiej, a które nieco słabiej. Oczywiście nie jest to wprost, ale można posłużyć sie indeksem bezpieczeństwa, który opiszę przy okazji artykułów o audycie bezpieczeństwa, którego nie należy mylić z samą analizą zagrożeń, a raczej utożsamiać z drugą częścią rozdziału – oceną aktualnego stanu bezpieczeństwa jednostki.

Zasada 2 – ocena zagrożeń (analiza ryzyka) prowadzona jest z udziałem “właściciela” ryzyka.

W tej zasadzie chodzi o to, żeby kwalifikowany pracownik ochrony niekoniecznie sam zajmował się zakresami, co do których nie ma zbyt wiele wiedzy. W poprzednim artykule pisałem o podstawowym zespole – teraz nawiążę do tego. Otóż plan ochrony opracowuje pracownik ochrony, ale nie znaczy, że sam od początku do końca wykonuje wszystkie działania. Oczywiście nie zawsze uda się uzyskać fachową pomoc, a czasem mimo dobrych chęci, nie bardzo jest z kim współpracować, niemniej warto poszukać partnerów. Tym bardziej, że później prościej będzie plan przyjąć. Kierujący jednostką organizacyjną powinien dostać arkusze uzgodnień – dzięki czemu będzie pewien, ze pracownik ochrony nie nawymyślał sobie rozwiązań z nie swoich obszarów (co niestety, bywa dość powszechną praktyką, szczególnie w organizacji ewakuacji).

Zasada 3 – korzystamy z zaufanych źródeł informacji

Analizę zagrożeń powinniśmy prowadzić korzystając z różnych źródeł informacji. Dla analiz historycznych (ex-post) są to z reguły zestawienia, dane statystyczne, raporty etc. Dla analiz prognostycznych (ex-ante) są to źródła zawierające podobne analizy, ale dotyczące naszego obiektu, rejonu, województwa. Materiały do analizy ryzyka (oceny zagrożeń) można znaleźć nawet… w Internecie. Są to między innymi ocena ryzyka powodziowego – prowadzona przez Zarząd Gospodarki Wodnej – wstępne oceny zakończone z grudniem 2013, analizy zagrożeń zawarte w Wojewódzkim (Powiatowym/Gminnym) Planie Zarządzania Kryzysowego (przykład – Łódzkie). Jest również nieoceniony dostęp do informacji publicznej. Wystarczy prawidłowo sformułować wniosek i uzyskamy dane do dalszej analizy.

Zasada 4 – stosujemy adekwatne metody oceny

Wśród podstawowego podziału metod analizy powinniśmy używać co najmniej dwóch – analizy historycznej i analizy wyprzedzającej (prognoz). Założenie takie wynika z prostej przyczyny – historia powtarza się, ale tylko “prawie”. Oznacza to, że dane historyczne nie zawsze są dobrą podstawą, bo na zagrożenia, szczególnie z sił natury wpływ ma wiele czynników, które jeszcze jako ludzkość w ogóle nie rozumiemy. Przykładem niech będą ostatnie powodzie. Zainteresowanych odsyłam do definicji wody stuletniej i tysiącletniej – a jako uzasadnienie do tezy o ostrożnym traktowaniu danych historycznych – fakt wystąpienia takich powodzi kilka razy w ciągu 30 lat. Dla przybliżenia – woda tysiącletnia to prawdopodobieństwo około 0,1 % a jej wystąpienie powinno mieć miejsce raz na 1000 lat (stąd nazwa).

Metodami uzupełniającymi dla analiz historycznych i prognoz – warto posłużyć się dodatkowo analizami scenariuszowymi – np. drzewem zdarzeń. Jest do jedna z lepszych metod analizy, ale jednak czasochłonna. Dlatego w ocenie zagrożeń warto podzielić je sobie na pewne poziomy w zależności od prawdopodobieństwa i potencjalnego (zakładanego) skutku. I zaawansowane metody wykorzystać dopiero dla tych, dla których wyniki wstępnej oceny wskazują, że zagrożenia są poważne lub bardzo poważne. Więcej na temat klasyfikacji znajdzie się w innym artykule.

Podsumowanie

Na koniec zostawiłem najważniejszą chyba zasadę. Analiza zagrożeń, analiza ryzyka, to są działania zmierzające do pewnych ocen w zakresie możliwości wystąpienia zdarzenia i potencjalnego (typowanego) skutku jaki z zagrożenia powstanie. Zarówno możliwość wystąpienia jak i skutek – to są szacunki. A nie pewność. Stosowanie powyższych zasad ma na celu sprowadzić te szacunki do najbardziej prawdopodobnych scenariuszy – ale nigdy nie przewidzimy skutku w 100%.

Podobnie należy traktować działania związane z redukcją ryzyka (czyli właśnie wdrożenie zabezpieczeń czy ochrony fizycznej). Ryzyko po ich wdrożeniu również powinno zostać przeszacowane, ale praktycznie nigdy nie zostanie sprowadzone do zera. Zero nastąpi dopiero wtedy, gdy zastosujemy strategię unikania, czyli po prostu wycofamy się z pewnych działań. O tej nadrzędnej zasadzie ostrożności do efektów swojej prawy – będę wielokrotnie pisał zarówno w artykułach poświęconych analizom zagrożęn, ryzyka, jak i planowaniu a następnie wdrażaniu systemów zarządzania bezpieczeństwem.