Jaký je váš risk appetite v oblasti řízení informačních rizik?

Risk appetite je klíčový faktor v procesu řízení rizik, neboť vyjadřuje úroveň rizika, kterou je organizace ochotna akceptovat.

V mezinárodním standardu ISO 31000, Risk management – Principles and guidelines, který určuje základní rámec pro řízení rizik, je risk appetite definován jako „Amount and type of risk that an organization is prepared to pursue, retain or take“.

COSO pak dokonce vydalo i příručku Understanding and Communicating Risk Appetite, kde risk appetite definuje takto: „Risk appetite is the amount of risk, on a broad level, an organization is willing to accept in pursuit of value. Each organization pursues various objectives to add value and should broadly understand the risk it is willing to undertake in doing so.“

Management každé organizace by měl jasně stanovit, jaký je jeho risk appetit, jinými slovy, měl by definovat, jaká úroveň rizika je pro něj přijatelná. To některé organizace mohou vyjádřit slovně, jako nízký, střední, vysoký (risk appetite) nebo procentuálně jako pravděpodobnost výskytu určité událostí (likelihood) nebo v penězích (impact).

Je zřejmé, že každá organizace, resp. její management může mít různý postoj k riziku a ten se může i měnit v čase. Mohou se tak střídat období, kdy bude management ochoten akceptovat i jiná než nízká rizika s obdobím, kdy bude požadovat, aby každé riziko bylo sníženo.

Např. v době, kdy si management hodně slibuje od včasného uvedení nového produktu na trh, je ochoten akceptovat vyšší riziko, než v době, kdy již produkt je nějakou dobu na trhu a slušně vydělává. Ovšem je tomu tak i v oblasti řízení informačních rizik?

Někteří experti jsou toho názoru, že v oblasti řízení informačních rizik nemá ani příliš smysl o nějakém risk apetitu hovořit, především proto, že pokud u ostatních typů rizik organizace podstupuje nějaké riziko, činí tak zpravidla jen proto, že může něco získat. Zde se musíme ptát, zda může organizace provozováním nezabezpečeného informačního systému vůbec něco získat nebo spíš bude tratit a dále zda může mít organizace u informačních rizik jiný než nízký risk appetite, co myslíte?

Poznámka: V odborné literatuře se pak kromě risk appetite objevují i další termíny jako je risk tolerance, risk attitude, risk capacity, risk target, risk limit apod. Nemá však příliš cenu se snažit pochopit nuance mezi těmito termíny, protože v oblasti informační bezpečnosti a řízení informačních rizik se tyto pojmy stejně běžně nepoužívají.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Jaký je váš risk appetite v oblasti řízení informačních rizik?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: