Jakou výši rizika jste ochotni tolerovat?

information-risk-management

V minulém příspěvku jsem psal o risk appetite, dnes bych se rád krátce zmínil o risk tolerance.

Tyto pojmy se v oblasti řízení informačních rizik příliš nepoužívají a setkáme se s nimi spíše v akademické sféře a v publikacích nejrůznějších institucí. A pokud už někdo s těmito pojmy pracuje, tak je používá ve stejném kontextu, tj. špatně. Navíc zde můžeme narazit na dvě rozdílné interpretace těchto pojmů.

V prvním případě je na risk appetite nahlíženo jako na požadovanou úroveň rizika, ve které by se management rád pohyboval a na risk tolerance pak jako na riziko, které je ještě ve vybraných případech ochoten akceptovat. V tomto pojetí se pak ještě pracuje s pojmem risk capacity, který představuje riziko, které již organizace není schopna pojmout.

Ve druhém případě je risk appetite vnímán jako generické prohlášení vrcholového managementu organizace ohledně ochoty akceptovat jen rizika do určité výše a risk tolerance pak jako rozpracování tohoto požadavku na nižší úrovni řízení do podoby specifického prohlášení, které obsahuje konkrétní měřitelné parametry.

Jako první tedy musí být stanoven na základě mise a vize risk appetite a to všech oblastech řízení rizik dle typů rizik, protože onen risk apetit může být v jednotlivých oblastech různý. V dalším kroku by pak měl být tento risk appetite konkretizován, aby bylo zřejmé, jaké by měly být zavedeny konkrétní bezpečnostní opatření.

I když organizace může používat více stupňů pro hodnocení rizik, třeba nízký, střední, vysoký a kritický, tak nejspíš asi nebude mít kritický rizikový apetit, protože kritické riziko bude zdaleka překračovat i její risk capacity. Setkat se tak můžeme zpravidla s nízkým středním a vysokým risk apetitem.

  • Nízký rizikový apetit lze charakterizovat jako nechuť podstupovat riziko, může se snažit se mu vyhnout a pokud už je organizace ochotna nějaké riziko podstoupit, tak jedině nízké. V takovém případě bude vyžadovat zavedení odpovídajících bezpečnostních opatření, které by vedly ke snížení pravděpodobnosti, zranitelnosti anebo dopadu.
  • Střední rizikový apetit lze charakterizovat jako ochotu riziko akceptovat, pokud v jeho podstoupení spatřuje nějaký pozitivní efekt. Pečlivě tak bude porovnávat potenciální zisk a ztráty, které z podstoupení tohoto rizika vyplývají.
  • Vysoký rizikový apetit lze charakterizovat jako ochotu organizace podstupovat i vysoké riziko za předpokladu, že je zde výrazně vyšší šance dosáhnout vysokého zisku než utrpět možnou ztrátu.

Risk appetite i risk tolerance prohlášení by měla být pravidelně přehodnocována, ideálně pak jednou ročně spolu s aktualizací strategických cílů. Je však otázka, zda organizace může mít vůbec rozdílnou chuť k riziku v různých oblastech a do jaké míry ovlivňuje tento rizikový apetit např. výše pozitivního rizika.

Když se podíváme na veřejně dostupná risk appetit prohlášení, tak zjistíme, že jsou definována velice vágně, často ani přímo neuvádí, jaký že ten risk appetit vlastně je, jen pateticky vyjmenovávají oblasti, kde vnímají riziko, a že přijmou nezbytná opatření k jeho redukci.

V zásadě by se dala z jednotlivých prohlášení vytvořit takováto univerzální floskule: „Organizace usiluje o dosažení svých strategických cílů, těch však nejde dosáhnout bez podstoupení určitého rizika. Organizace má nízký/střední/vysoký rizikový apetit pokud jde o kategorie rizika a je ochotna tolerovat jen rizika, kde je pravděpodobnost nízká/střední/vysoká, dopad nízký/střední/vysoký.“

Pracujete v rámci řízení informačních rizik ve vaší společnosti s pojmem risk appetite a risk tolerance? Vyjádřil váš management ve formě nějakého prohlášení, jakou výši rizika je ochoten akceptovat? Definujete u jednotlivých nebo vybraných rizik, kde lze očekávat, že se riziko v dohledné době zvýší i případnou maximální tolerovanou výši rizika?

Máte naformulován v rámci vaší organizace nějaký risk appetite statement a risk tolerance statement?

Nahrávání ... Nahrávání ...
Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. JH

    Stručně, rychle a jasně, proto tyto články rád čtu.


K článku “Jakou výši rizika jste ochotni tolerovat?” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: