Používáte matici rizik a mohl bych ji vidět?
2. díl

Nepochopení toho, jak matice rizik, mapy rizik nebo chcete-li heat mapy fungují, je příčinou mnohých nedorozumění.

Matice rizik by měla primárně sloužit k vizualizaci rizik, tedy k rozřazení rizik dle typologie (podle vlivu/dominance pravděpodobnostní či dopadové složky rizika). Tj. k rámcové kategorizaci, a rozdělení na ta rizika, kterým byste se měli věnovat hned, kterým později, a kterým se nemusíte věnovat vůbec. Tedy ke snadné a rychlé prioritizaci, nikoli k jejich valuaci .

A když už matici rizik používáme k vizualizaci, měli bychom ji obarvit tak, aby to dávalo aspoň trochu smysl, tj. respektovalo to matematickou funkci rizika v závislosti na jeho proměnných (I a L) a empirickou distribuci hodnot této funkce (tj. jak často potkáme různě velká/těžká rizika v praxi).

Pozn: Ono se často úporně, nesprávně a bez důkazů tvrdí, že můžeme určovat dopad a pravděpodobnost zcela nezávisle na sobě, jinými slovy že jsou bez vzájemného vztahu. Každý den sami pozorujete pravý opak.

Pokud chceme riziko znázornit graficky v kartézské soustavě souřadnic, tak na osu x zpravidla vynášíme dopad (impact, zkr. I) a na osu y pak pravděpodobnost (likelihood, zkr. L). Riziko (risk, zkr. R) je z definice součin míry dopadu a pravděpodobnosti dopadu:

f(R)=L×I

Výsledná křivka této funkce dvou proměnných (dopadu a pravděpodobnosti) má v naší matici rizik (ploše I x L) podobu hyperboly (LxI=konst, L=konst * 1/I) a pokud chceme v grafu zachytit více úrovní rizika, musíme sestrojit více těchto křivek (například LxI=75% hodnoty firmy, LxI=50% hodnoty firmy, atd.). Kdo studoval mikroekonomii, tak se jistě se setkal s něčím podobným – indiferečními křivkami vyjadřující užitek spotřebitele. V našem oboru rizikovým křivkám říkáme izorisky, tj. body se stejnou výší (hodnotou) rizika, podobně jako definujeme vrstevnice nebo izobary na (meteo) mapách.

Pro izorisky je typické, že jsou konvexní, klesající, neprotínají se, a čím vzdálenější jsou od počátku, tím znázorňují průběh vyšší hodnoty rizika v závislosti na různých hodnotách I a L. To, že se neprotínají, je pro pochopení podoby risk matic naprosto stěžejní. Body, které leží pod izorisky, představují nižší úroveň rizika (bod A) a konečně body, které leží nad izorisky, představují vyšší úroveň rizika (bod B).

Pokud chceme vizualizovat čtyři různé úrovně (nebo také hladiny) rizika, které pojmenujeme jako nízké, střední, vysoké a kritické, musíme zkonstruovat alespoň tři vymezující a jim odpovídající izorisky. Bylo by však nepraktické omezovat jednu úroveň rizika pouze na body ležící na dané izorisk křivce, a tak budeme za nízké riziko považovat i prostor pod první izorisk křivkou, za střední pak prostor mezi první a druhou izorisk křivkou, za vysoké pak prostor mezi druhou a třetí izorisk křivkou a za kritické riziko pak jakýkoli prostor nad třetí izorisk křivkou, který samozřejmě zahrnuje i čtvrtou „typickou kritickou“ izorisk křivku.

Takto krásně však vypadají izorisk křivky pouze v případě, že jsou intervaly rozděleny rovnoměrně (lineárně), což ale vůbec neodpovídá vnímané realitě, a to z několika důvodů. Pravděpodobnost (v našem případě tzv. anualizovaná pravděpodobnost, ale o tom až později), která je vyjádřena intervalem (0, 1) či 0 % – 100 %, tj. v následujících 12 měsících něco vůbec nenastane až s naprostou určitostí nastane, obvykle není rozdělována po rovnoměrných čtvrtinách. Rovněž dopad, pokud jej vyjádříme relativně jako „míru zničení firmy“ též pomocí intervalu (0, 1) či 0 % – 100 %, tj. škoda způsobená danou událostí vůbec nenastane až celá firma je touto událostí zničená, přesněji jako procentuální ztrátu z celkové hodnoty organizace v důsledku dané události, tak také obvykle nebývá rozdělen rovnoměrně po čtvrtinách.

A jelikož se pohybujeme v tzv. pyramidě rizik a k těm zničujícím událostem (v naší rozumně velké populaci obdobných a souměřitelných firem) nedochází s železnou pravidelností a už vůbec ne každoročně, tak rizika v této matici (ploše IxL) prostě nejsou rozprostřena rovnoměrně. Pokud by tomu tak bylo, a my bychom měli pravděpodobnosti i dopady „škodních událostí“ okolo nás rozdělené takto rovnoměrně, asi se shodneme, že důsledky pro firmy i jednotlivce by nebyly právě ideální. Těžko budeme považovat událost, ke které dochází 1 x za 4 roky za krajně nepravděpodobnou a ztrátu ve výši 25 % hodnoty firmy za akceptovatelnou. Správná interpretace předchozího grafu je tedy následující:

  • Červená izoriska (kritická hladina) ohraničuje oblast, kdy by bylo v důsledku našeho rizika 75% a více hodnoty naší firmy ztraceno, tam žijí kritická či katastrofická rizika, která by firmu rychle (v horizontu měsíců) zlikvidovala.
  • Oranžová izoriska (vysoká hladina) ohraničuje oblast, kdy by bylo v důsledku našeho rizika 50% a více hodnoty naší firmy ztraceno, tam žijí vážná zdrcující rizika, o kterých by se léta vyprávělo na boardu a firma by se z události dlouho zotavovala.
  • Žlutá izo-riska (střední hladina) ohraničuje oblast, kdy by bylo v důsledku našeho rizika 25% a více hodnoty naší firmy ztraceno, tam žijí tzv. materiální rizika, tj. události, o kterých by se určitě vážně pobavili na boardu a firma by na ně musela viditelně reagovat (restrukturovat se, změnit se, zotavit se).
  • Zelená izoriska (nízká hladina) ohraničuje oblast, kdy by bylo v důsledku našeho rizika méně než 25% hodnoty naší firmy ztraceno, tam žijí tzv. nemateriální rizika, která by firma patrně dokázala vstřebat.

Každá firma může mít samozřejmě risk appetit, tj. ochotu podstoupit riziko, nastavený trochu jinak a proto i její izorisk křivky se budou nacházet v různé vzdálenosti od počátku. Pro ilustraci se nabízí intervaly pravděpodobnosti a dopadů rozdělit nerovnoměrně a to tak, aby se více blížily realitě a s nestejně velikými „krabicemi“ (tj. sběrnými koši pro naše rizika). Např.

Pravděpodobnost (že daná hrozba způsobí reálnou škodu v následujících 12 měsících):

  • Krajně nepravděpodobné, frekvence max. 1 za 10 let, tedy L 0 až 10 %.
  • Málo pravděpodobné, frekvence 1 za 5 až 10 let, tedy L 10 až 20 %.
  • Velmi pravděpodobné, 1 za 2 až 5 let, L 20 až 50 %.
  • Téměř jisté, 1 za 1 až 2 roky, tedy L 50 až 100 %.

Dopady (jedné úspěšné události způsobené danou hrozbou):

  • Zanedbatelné, max. 5 % z celkové hodnoty firmy.
  • Střední, 5 až 15 % z hodnoty firmy.
  • Vysoké 15 až 30 % z hodnoty.
  • Kritické 30 až 100 %.

Pokud sestrojíme izorisk křivky i pro tyto hodnoty, tak kopa izorisk křivek pak vypadá takto. To už není tak hezké jako předtím, že? A hlavně, když tyto izorisky přeneseme do naší 4×4 matice, tak se nám do jedné krabice tlačí hned několik diametrálně odlišných izorisk křivek, což názorně ilustruje, že hodnocení rizik pomocí matice nemůže nikdy fungovat. A to jsme ta rizika ještě ani nezačali pořádně počítat.

Nikde samozřejmě není řečeno, a u ordinálních hodnot, které můžeme mezi sebou jen porovnávat, to ani nejde říci, o kolik je druhá hodnota v pořadí vetší než ta třetí, takže můžeme matici 4×4 aplikovat klidně jen na určitou část plochy LxI. Ostatně, víme že rizika představující očekávanou ztrátu v následujících 12 měsících vyšší než 40 % hodnoty organizace jsou pro naší firmu smrtící a že jich tam nečekají celé zástupy. Takto upravené izorisky by mohly vypadat takto (podívejte se pozorně, jaké hodnoty jsou uvedeny na ose x a jakým úrovním rizika odpovídají jednotlivé barvy):

V grafu vidíme mřížku protínající horizontální a vertikální osu a utvářející v zásadě matici rizik, tak jak ji známe. Ať už ale zvolíme jakékoliv intervaly pro pravděpodobnost hrozeb a dopady, tak každá IR křivka bude vždy procházet několika buňkami (rizik-krabicemi) matice. A tady nastává problém, jak tyto buňky (krabice) obarvit.

U buněk, které leží celé nad nebo pod křivkou to nebude problém. Ale co buňky, kterými izorisk křivka prochází nebo buňky, kterými dokonce prochází více izorisk křivek, jakou barvou je obarvíte? Připomínám, že body nad křivkou mají větší hodnotu než body pod křivkou a v jedné buňce (krabici) tak máme smíchané dvě (nebo i více) diametrálně odlišné kategorie (hladiny) rizik. Těžké, zatraceně těžké. S ohledem na systém pravoúhlých „krabic“ v risk matici a reálný tvar a průběh IR křivek se nabízí v zásadě jediná možnost.

K tomuto závěru tzv. „SLABĚ konzistentní matice rizik“ ostatně dospěl před mnoha a mnoha lety i Louis Anthony (Tony) Cox, který získal doktorát z analýzy rizik na MIT, a prezentoval jej ve svém článku „What’s Wrong With Risk Matrices?”. Ale můžete se pokusit dokázat, že se v rozložení mýlí nebo naopak že to s buňkami (2,2), (3,3) a (4,4) zase taková slabota není. Nyní si spočteme, kolik máme „rizik-krabic“ v jednotlivých (barevných) kategoriích a to tak, že spočteme buňky obarvené stejnou barvou, tedy:

  • buňky (1,1), (1,2), (1,3), (1,4), (2,1), (3,1), a (4,1) jsou obarvené na zeleno a máme tak 7 „rizik-krabic“ pro nízká rizika ve firmě;
  • buňky (2,2), (2,3), (2,4), (3,2), a (4,2) jsou obarvené na žluto a máme tak 5 „rizik-krabic“ pro střední rizika v naší firmě;
  • buňky (3,3), (3,4), a (4,3) jsou obarvené na oranžovo a máme tak 3 „rizik-krabice“ pro vysoká rizika v naší firmě;
  • buňka (4,4) je obarvena na červeno a máme tak 1 „rizik-krabici“ pro kritické riziko v naší firmě.

Nešlo by to přeci jen zobrazit nějak jinak? Moc ne, nezapomínejte, že jestliže se křivky nesmí protínat, protože různé úrovně rizika musí ležet, jak jsme si již řekli, na různých křivkách, nesmí se logicky ani dotýkat barvy ob jednu kategorii rizika, pokud tedy mají skutečně věrohodně reprezentovat určité rozmezí hodnot rizik, izorisky nám prostě nesmí jen tak zmizet uprostřed grafu, natož aby se protínaly. Jinými slovy zelená může sousedit pouze se žlutou a ani rohem se nesmí dotýkat oranžové natož červené buňky. Stejně tak se žlutá nesmí dotýkat červené, jen zelené a oranžové. A oranžová pak zase jen žluté a červené.

Kromě toho bychom měli vzít v úvahu i již zmíněný vztah výše dopadu a pravděpodobnosti vzniku takhle vysokého dopadu, tj. pravděpodobnostní distribuční funkci (PDF křivku) pro dopady, která popisuje hustotu (rozložení) pravděpodobnosti vzniku dopadu v daném rozmezí. V kybernetické bezpečnosti se s oblibou modeluje jako tzv. lognormální rozdělení, které je charakterizováno nezápornými hodnotami (těžko budu mít jako oběť kyberútoku nějaký prospěch či zisk) a pravostrannou šikmostí s dlouhým doběhem (pomalým vyhasínáním).

To znamená, že drtivá většina rizik má nízkou očekávanou škodu, zatímco rizika s vyšším a ještě vyšším „škodním průběhem“ jsou vzácná a ještě mnohem vzácnější, což vytváří takzvaný dlouhý chvost (long tail). Tento lognormální model je rovněž podpořen empirickými daty (dlouhodobými globálními statistikami) o dopadech kybernetických útoků a incidentů a pokud si z nich vyrobíte histogram, získáte křivku, která prostě bude dobře odpovídat typickému průběhu lognormální distribuce.

Toto barevné uspořádání lze snadno orientačně vizualizovat jako pyramidální strukturu. V základně pyramidy je 7 kategorií nízkých rizik, v druhém patře 5 kategorií středních rizik, v třetím patře 3 kategorie pro vysoká rizika a na vrcholu pyramidy je 1 „risk-box“ pro kritické riziko.

Takováto četnost odpovídá naší empirické zkušenosti, že v našem obzoru (v té rozumně velké populaci obdobných a souměřitelných firem) extrémní škody vznikají velmi zřídka, zato nízké škody vznikají poměrně často a uvedené rozdělení kategorií/barev pro rizika a obarvení matice tak dává větší smysl z pohledu populování daných kategorií, což je zásadní pro efektivní řízení rizik.

Tak a teď si vezměte jakoukoliv vaší matici a zkontrolujte si, zda uvedenými neduhy netrpí. Nedotýkají se vám barevné linie rizik, které spolu nesousedí? Pokud ano, máte problém. Není četnost jednotlivých buněk výrazně odlišná od uvedené „pyramidy“?

Pokud ano, máte opět problém. Jak velký problém máte, si spočítáme v dalším dílu.

A nyní ještě jedna, možná lehce provokativní, otázka na závěr. A umělá inteligence vám tady asi moc nepomůže, zkuste vlastní.

Jaký je maximální počet rizik, které lze prioritizovat pomocí risk matice o rozměrech 4x4?

Nahrávání ... Nahrávání ...
Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav a HANUS, Michal. Používáte matici rizik a mohl bych ji vidět? – 2. díl. Online. Clever and Smart. 2024. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/pouzivate-matici-rizik-a-mohl-bych-ji-videt-2-dil/. [cit. 2025-02-10].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Používáte matici rizik a mohl bych ji vidět?
2. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: