Jakou výši rizika jste ochotni tolerovat?

information-risk-management

V minulém příspěvku jsem psal o risk appetite, dnes bych se rád krátce zmínil o risk tolerance.

Tyto pojmy se v oblasti řízení informačních rizik příliš nepoužívají a setkáme se s nimi spíše v akademické sféře a v publikacích nejrůznějších institucí. A pokud už někdo s těmito pojmy pracuje, tak je používá ve stejném kontextu, tj. špatně.

O tom, že má většina profesionálů s pochopením těchto pojmů problém svědčí i to, že např. The Institut of Risk Management vydal na toto téma speciální publikaci nazvanou Risk appetite and tolerance: guidance for practitioners a kromě toho i Executive Summary on Risk Appetite and Tolerance, která čítá 20 stran textu, přičemž vysvětlení se nachází na straně 11. (Takhle si tedy Executive Summary nepředstavuji.)

Z prezentovaných grafů a popisu vyplývá, že risk appetite je požadovaná úroveň rizika, ve které by se management rád pohyboval a risk tolerance pak riziko, které je ještě ve vybraných případech ochoten akceptovat. Z toho plyne, že risk tolerance bude zpravidla vyšší. Dále se zde dozvíme, že risk tolerance může být vyjádřena v absolutních hodnotách, např. jako maximální výše škody nebo ztráty.

Další institucí, která se snaží vysvětlit rozdíl mezi těmito pojmy je Project Management Institute, která ve své publikaci PMBOK uvádí kromě pojmu risk appetite a risk tolerance ještě pojem risk threshold, ten pak k vyjádření úrovně rizika v absolutních hodnotách pracuje i s pravděpodobností výše oné škody. Ovšem ani této organizaci se nepovedlo tyto pojmy dostatečně srozumitelně vysvětlit a většina PMP je spíše zmatena, a volá po vysvětlení, viz např. tato diskuse.

Za tímto účelem jsem se pokusil vztah mezi risk appetite a risk tolerance graficky znázornit na následujícím obrázku, kde je použita 4bodová stupnice vyjadřující úroveň rizika ve stupních nízké, střední, vysoké a kritické. Z obrázku by mělo být patrné, že management je běžně ochoten akceptovat nízké riziko (risk appetite), ale ve vybraném případě i vysoké (risk tolerance).

risk-tolerance

Poznámka: Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“.

Pracujete v rámci řízení informačních rizik ve vaší společnosti s pojmem risk tolerance? Vyjádřil váš management ve formě nějakého prohlášení, jakou výši rizika je ochoten akceptovat? Definujete u jednotlivých nebo vybraných rizik, kde lze očekávat, že se riziko v dohledné době zvýší i případnou maximální tolerovanou výši rizika?


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:

  1. JH

    Stručně, rychle a jasně, proto tyto články rád čtu.


K článku “Jakou výši rizika jste ochotni tolerovat?” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: