Kvalitativní nebo kvantitativní analýza rizik?
Občas můžeme narazit na otázku, zda je lepší provádět analýzu rizik kvantitativní anebo kvalitativní.
Problém je, že na tuhle otázku jednoznačně nelze odpovědět, protože každý přístup je vhodné použít v trochu jiné situaci.
Odpůrci kvalitativních analýz poukazují na to, že kvalitativní hodnocení je zavádějící, protože každý si pod pojmem nízký, střední, vysoký nebo kritický dopad může představit něco jiného.
A dokonce pro kvalitativní analýzu rizik používají akronym CRAP (coloured risk analysis presentation), což má být jako vtipné. Jenže ono je to spíš trapné, protože to kolikrát uvádějí na příkladu semikvantitativní matice, kterou nazývají VAGUE (Values Arbitrarily Grouped for Uncertainty Estimation), a rovněž jí opovrhují.
Bohužel zde dochází k opomenutí jednoho ze základních principů řízení rizik a to, že se vždy musí postupovat dle schválené metodiky a ty by měla obsahovat jasná a srozumitelná vodítka hodnocení.
Tedy za jakých podmínek můžeme danou hrozbu hodnotit jako krajně nepravděpodobnou, málo pravděpodobnou, pravděpodobnou anebo jistou a rovněž jaký dopad můžeme označit za zanedbatelný, nízký, střední anebo vysoký.
U kvantitativní analýzy rizik nám zase hrozí, že výsledek, kde je použit sofistikovaný matematický aparát, vykazuje falešnou přesnost, je automaticky považován za vysoce spolehlivý a důvěryhodný a nebude vůbec podroben nějakému dalšímu kritickému zhodnocení, a bude nesprávně interpretován.
Kvalitativní a obzvláště pak semikvantitativní analýza má smysl v případě, kdy potřebujeme rychle vyhodnotit příslušná rizika a rozhodnout se, jak je budeme zvládat. Ono totiž u mnohých rizik nemá smysl ztrácet příliš mnoho času nějakou jejich sofistikovanou kvantifikací, jako to dělá třeba Open FAIR, a počítat, jak přesně vysoká vzniká škoda v případě materializace příslušné hrozby.
Máme zde totiž rizika s nejistou pravděpodobností výskytu a s nejistým dopadem, u kterých nejenže nemáme relevantní data, ale i názory expertů ohledně četnosti jejich výskytu a následných dopadů se značně liší. Prostě případy, kdy nemá příliš smysl provádět nějaké sofistikované výpočty, Monte Carlo simulace ohledně toho, jaká škoda by mohla vzniknout.
Např. v důsledku hackingu může dojít ke kompletnímu ovládnutí daného systému, zkopírování veškerých dat nebo jejich smazání, a ohrožení samotné existence organizace, ale také nemusí. Podstatné v tomto případě je, že náprava daného stavu kolikrát představuje náklad ve výši pouhých několika málo tisíc.
Ostatně pro většinu manažerů je stejně zcela dostačující k tomu, aby se mohli rozhodnout, kterým rizikům se budou prioritně věnovat, zda se možná škoda v případě materializace hrozby bude pohybovat spíše v řádu tisíců, desetitisíců statisíců, miliónů anebo miliard.
Jsou jistě případy, kdy přesné vyjádření rizika ve finančních jednotkách má smysl, ale v mnoha případech tomu tak není. Tím neříkám, abyste zcela absentovali na kvantitativní analýzu rizik. Jestli jste schopni výši rizika spočítat, spočítejte ji, jestli ne, tak ji odhadněte, protože je třeba se rozhodovat rychle. Pozor na paralýzu analýzou, abyste exaktním hodnocením rizik nestrávili větší množství času a peněz, než zavedením vhodných bezpečnostních opatření.
Štítky: analýza rizik
K článku “Kvalitativní nebo kvantitativní analýza rizik?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.