Kreativní řízení rizik – 2. díl
V minulém dílu jste měli možnost se seznámit s fenoménem kreativní řízení rizik.
Nyní se zaměříme na nejčastěji používané techniky kreativního řízení rizik a to ve všech jeho fázích. Když se podíváme na to, jak řízení rizik v organizacích probíhá a z jakých fází se celý proces řízení rizik skládá, poměrně snadno identifikujeme oblasti, kde lze vyvíjet ve větší či menší míře nějakou kreativitu, která se může projevit a zpravidla se projeví:
- ve vágním řízení rizik, úmyslně nejsou jasně uvedeny jednotlivé procesní kroky, vstupy, výstupy a odpovědnosti za identifikaci, analýzu a zvládání rizik;
- v nedostatečné metodice, kdy jsou sice uvedeny metriky, ale není definováno, kdo a jak by měl stanovit výslednou hodnotu aktiv, hrozeb, zranitelností a výsledného rizika;
- v umělém snižování hodnoty rizika a to jak inherentního prostřednictvím hodnoty dopadu nebo pravděpodobnosti hrozby, tak i reziduálního, především prostřednictvím volby neúčinného bezpečnostního opatření.
Zde bych chtěl upozornit, že výše uvedené symptomy nemusí být vždy na první pohled zřejmé a i v okamžiku, kdy dojde k jejich zpozorování, to ještě nemusí znamenat, že máme co do činění s nějakým kreativním řízením rizik.
Skutečnost, že proces řízení rizik není v dané organizaci vůbec zaveden, případně je zaveden jen na nízkém stupni vyzrálosti může spočívat v nedostatečném bezpečnostním povědomí ze strany managementu, který nemaje s řízením rizik dostatečné zkušenosti:
- netuší, jak by mu řízení rizik mohlo pomoci v jeho podnikání a jak samotný proces řízení rizik ve své organizaci zavést;
- neví, jak k analýze rizik správně přistoupit, a pořídí si nějaký nástroj a v dobré víře se ho jen snaží používat;
- dopouští se zbytečných chyb při volbě vhodných bezpečnostních opatření, protože bezpečnosti prostě nerozumí.
Vidíme, že se jedná o úplně jinou situaci. Aby bylo možno řízení rizik označit za skutečně kreativní, tak musí k onomu řízení rizik ze strany managementu docházet zcela vědomě.
Expertní tým může přesto nabýt názoru, že se o žádné kreativní řízení nejedná a jen začít pochybovat o kompetentnosti daného manažera, stejně jako on bude naoko pochybovat o kompetentnosti daného expertního týmu. Ovšem pozor, nikde se tato pochybnost neobjeví, a ani nebude přímo vyslovena.
Takhle může manažer celkem elegantně přenést svou odpovědnost na experty, kteří jak jsme si již uvedli v prvním dílu, pojištění proti škodě většinou nemají, a kteří pak ponesou následky a budou moci být i snadno nahrazeni. I proto jsou tak s oblibou využíváni externí experti, jejichž odměna je často i vyšší.
Výše zmíněné symptomy kreativního řízení rizik si zaslouží naši plnou pozornost, a proto se na ně v následujících odstavcích podíváme blíže.
Vágní řízení rizik
První uvedený způsob umožňuje vědomou anebo i nevědomou retenci rizika, spočívající v nezanesení rizika do registru rizik anebo jeho následného vypuštění. Zpravidla se však v běžné praxi téměř vůbec nepoužívá, neboť je příliš nápadný, a bývá zpravidla poměrně záhy identifikován jako nález, který musí být promptně odstraněn, a to ze strany auditu plnicí roli 3. úrovně obrany.
A hlavně odpovědný manažer by pak nemohl tvrdit, že se řízení rizik věnuje, a že je nedílnou součástí jeho práce a podnikových procesů. Vydáním závazné metodiky, která definuje jednotlivé fáze celého procesu, konkrétní odpovědnosti a požadované výstupy, manažer prokazuje svou jasnou vůli riziko řídit a zvládat a může tak snadno odvrátit podezření, že by se nějakého kreativního řízení rizik vůbec dopouštěl.
Nedostatečná metodika
Problém většiny metodik je ten, že sice poměrně exaktně definují jednotlivé metriky pro hodnocení aktiv, hrozeb, zranitelností a výsledného rizika, ale vůbec nedefinují proces identifikace rizik, a kým, jak a na základě čeho má být hodnota jednotlivých komponent a výsledného rizika stanovena. Není zřejmé, zda má jednotlivá rizika a hodnoty jeho komponent stanovit jeden expert anebo mají být stanoveny v rámci expertního týmu, kdo má být členem tohoto týmu, kdo jej jmenuje, a jak má být přistoupeno ke stanovení výsledné hodnoty.
Je třeba si uvědomit, že každý člen expertního týmu může dojít ke zcela odlišnému závěru, neboť má jiné zkušenosti. Je v takovém případě záhodno vyloučit extrémní hodnoty, spočítat aritmetický průměr, použít medián anebo musí expertní tým dojít ke konsensu? Na tohle zpravidla žádná metodika ani v metodice odkazovaná ISO norma, se kterou má být daná metodika v souladu, nepřináší odpověď. Jinými slovy, odkaz na normu je tam spíš jen proto, aby se vytvořil dojem jakési kvality.
Snižování hodnoty rizika
Snižování inherentní hodnoty rizika je obzvláště oblíbená technika, neboť umožňuje nízké inherentní riziko v souladu s metodikou akceptovat. Vezmeme-li v úvahu způsob, jak je riziko (risk, zkr. R) definováno, tedy zpravidla jako hrozba (threat, zkr. T), která zneužije nějakou zranitelnost (vulnerability, zkr. V) a způsobí škodu (impact, zkr. I), tak můžeme napsat:
R = I x T x V
Kde x znamená, že je mezi jednotlivými komponenty rizika určitý vztah. Zpravidla se jedná o součin, ale může se jednat i o součet. Ale to není podstatné. Podstatné je, že v okamžiku, kdy se změní jedna hodnota, tak se změní i výsledné riziko.
Jestliže se nepovede snížit inherentní riziko, je nutné snížit aktuální nebo reziduální riziko a to prostřednictvím účinného bezpečnostního opatření (countermeasure, zkr. C), které ve skutečnosti vůbec účinné není, jen se mu tato účinnost s jistou dávkou kreativity přisoudí. Opět můžeme napsat:
R = (I x T x V) / C
Vidíme, že snížení hodnoty rizika můžeme docílit hned několika různými způsoby. Prostřednictvím snížení hodnoty dopadu, pravděpodobnosti hrozby anebo míry zranitelnosti. Případně pak snížením hodnot libovolných dvou anebo dokonce i všech tří komponent. O tom, jak opatření snižuje dopad, hrozbu a zranitelnost jsem psal zde. Případně je možné navrhnout celou sadu opatření, kdy jsou jednotlivá zcela neúčinná opatření, záhy účinná díky synergii, tedy alespoň to tak lze tvrdit. Vidíme, že kreativitě se zde meze rozhodně nekladou.
Závěr:
V tomto dílu jsme si představili konkrétní techniky používané při kreativním řízení rizik. V dalším dílu se podíváme na jednu neprávem opomíjenou komponentu řízení rizik, která podstatnou měrou určuje, zda bude kreativní řízení v dané organizaci možné.
Štítky: kreativní řízení rizik
K článku “Kreativní řízení rizik – 2. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.