Jakou výši kybernetického rizika jste ochotni akceptovat?

Risk apetit představuje takovou úroveň rizika, kterou je organizace ochotná akceptovat po zahrnutí všech současných kontrol.

V mezinárodním standardu ISO 27005:2022 je risk appetite definován jako: „Amount and type of risk that an organization is willing to pursue or retain.“

Požadavek na stanovení risk appetite a risk tolerance statementu je uveden i v novém CSF 2.0, kde se v bodě GV.RM-02 píše, že: „Risk appetite and risk tolerance statements are established, communicated, and maintained.“

Dle NISTIR 8286A je risk appetite vnímán spíše jako obecné vágní prohlášení formulované na úrovni strategického řízení ze strany vrcholového managementu, uvedený zpravidla v kvalitativních pojmech. Risk tolerance pak je konkrétnější stanovisko formulované na úrovni taktického řízení ze strany středního managementu, které už kvantifikuje riziko a uvádí konkrétní čísla.

Konkrétní číslo, by pak měla představovat taková hodnota, která může významně ovlivnit finanční výsledky hospodaření organizace, rozhodnout o ceně akcií, chování trhu apod. Jak však onen práh významnosti (materiality threshold) stanovit, jest otázka. Napovědět by nám mohlo stanovisko Komise pro cenné papíry v USA (US Securities and Exchange Commission (SEC), které je nejvyšší autoritou v oblasti dohledu nad cennými papíry a burzou cenných papírů v USA.

Řeší se zde totiž otázka, od jaké výše lze změnu ve finančních ukazatelích považovat za významnou a představuje materiální riziko. A nenechme se zmást trochu nešťastným překladem pojmu material risk do češtiny jako materiální riziko namísto mnohem vhodnějšího významného nebo podstatného rizika. Ona hodnota se počítá jako procentuální podíl škody na zvoleném finančním ukazateli, jakým může být objem aktiv, velikost vlastního kapitálu, zisku, tržeb nebo tržní hodnoty společnosti (tu ale bývá občas problém stanovit, takže se v praxi moc nepoužívá).

Ve finančním světě se pak za takovou typickou prahovou hranici/hodnotu nebo chcete-li práh významnosti (materiality threshold) dle finančních analytiků a na základě pozorovaných skutečností, považuje obvykle škoda přesahující:

  • ≥ 5 % ze zisku před zdaněním (Earnings Before Tax, zkr. EBT), tj. zisk po odečtení všech nákladů;
  • ≥ 0,5 % celkových aktiv (total assets), tj. veškerý majetek firmy (např. hotovost, nemovitosti, vybavení, zásoby) ;
  • ≥ 1 % z vlastního kapitálu (shareholders’ equity), tj. hodnoty aktiv, která zůstává akcionářům po odečtení všech závazků;
  • ≥ 1 % z celkového objemu tržeb před odečtením nákladů (Total Revenue, zkr. TR), tj. nic se neodečítá;
  • 0,5 až 5% z hrubého zisku (gross profit), tj. zisk z prodeje po odečtení přímých nákladů, přičemž ono procento bývá odstupňováno od výše hrubého zisku.

Dr. Jack Freund tvrdí, že v případě kybernetických rizik by měla ona hranice začínat dokonce na hodnotě 0,01 % tržeb, protože kybernetická rizika mají tendenci rychle eskalovat a ovlivnit celkovou stabilitu firmy (např. ztráta důvěry, pokles hodnoty akcií nebo regulační pokuty), ačkoli to tak na první pohled nemusí vypadat.

Organizace by si měla zvolit, od jakého finančního ukazatele se bude její prahová hodnota odvíjet a toho se držet, aby výsledky byly konzistentní a porovnatelné v čase a dalo se např. zjistit, zda se riziko zvyšuje nebo ne. Od této prahové hodnoty pak můžeme rizika označit jako rizika překračující naši risk tolerance a bez přijetí dalších opatření za neakceptovatelná.

Jestliže se máme rozhodovat na základě risk tolerance statementu, tak pak musíme rizika skutečně spočítat a nemůžeme se spokojit s jejich pouhým to kvalitativním vyjádřením. Což nás opět vede k tomu, že bychom měli přeci jen přejít od doposud široce použivaného kvalitativního hodnocení na kvantitativní hodnocení kybernetického rizika, zkr. CRQ. Těch důvodů je ostatně více a detailně se jim věnujeme v této sérii příspěvků.

SEC nám dává návod jak stanovit risk threshold a oddělit od sebe rizika, která můžeme akceptovat od těch, kterým se musíme věnovat.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2024. Jakou výši kybernetického rizika jste ochotni akceptovat?. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/jakou-vysi-kybernetickeho-rizika-jste-ochotni-akceptovat/. [citováno 08.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Jakou výši kybernetického rizika jste ochotni akceptovat?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: