Používáte matici rizik a mohl bych ji vidět?
4. díl
Je s podivem, že i přes existenci řady vědeckých článků a předložení matematických důkazů a odstrašujících příkladů o nevhodnosti risk matic k hodnocení rizik, se risk matice stále těší takové oblibě.
Použití kvalitativních risk matic v organizacích se bohužel stalo naprosto běžnou záležitostí. A musíme si přiznat, že snaha o zjednodušení problematiky řízení rizik v minulých letech se nám prostě vymstila.
Ostatně cesta do pekla je vždy dlážděna dobrými úmysly a nejinak tomu bylo jistě i v tomto případě. A nenechme se zmást argumentem ad populum („odvoláním se na lidi“), že kdyby byly risk matice tak špatné, tak by je nikdo nepoužíval. Všichni se přeci nemohou mýlit, že? Ale mohou. Historie je plná důkazů, že občas se mýlí i naprostá většina. A nejinak je tomu i v případě risk matic.
Nejhorší na tom ale je, že kvalitativní risk matice se za ty roky dostaly jako tzv. nejlepší zkušenosti (best practice) prakticky všude. Do legislativy, mezinárodních frameworků a standardů pro řízení rizik, odborných publikací, akreditovaných univerzitních kurzů, vysokoškolských skript, tutoriálů a nejrůznějších certifikovaných testů ověřujících znalostí uchazeče z řízení rizik. A tak se pak při jejich obhajobě setkáváme i s argumetum ab auctoritate („odvoláním se na autoritu“), kdy se zastánci právě na tyto autoritativní zdroje odkazují.
Těžko říct, co stojí za bezbřehou oblíbeností kvalitativních risk matic, a kde se bere ta neochota pod tíhou matematických důkazů od jejich vysoce riskantního používání zcela upustit? Je za tím davový placebo efekt v celých oborech a regionech nebo mýty, že cokoli sofistikovanějšího a přesnějšího než „omalovánky“ bude nepřijatelně drahé, náročné a zdlouhavé, nebo pouhá neochota učit se novým věcem a rozhodovat ekonomicky a logicky anebo příliš velké ego a neochota si přiznat, že „léta prověřený“ a „všude používaný“ nástroj k řízení rizik měří a ukazuje zcela špatně.
Osobně se domníváme, že je v tomto smrtícím koktejlu ještě přimíchaná nemožnost okamžitě ověřit kvalitu výsledků. Špatné predikce, když se týkají relativně vzácných událostí jako je úmyslné narušení kybernetické bezpečnosti, prostě nejsou vidět hned a v plné parádě a firmy ani oborové organizace systematicky nesledují tyto škodní události a zpětně neanalyzují jejich původní předpovědi z minulé pětiletky.
A „překročit pomyslný Rubikon“ na firemní i osobní úrovni – tj. přiznat chybu, připustit něco, co nechci slyšet, a neobelhávat sám sebe – je na tom asi to nejtěžší. Ale posílí vás to a umožní vám to posunout se konečně dál. I autoři tohoto článku v minulosti vypracovali nejednu kvalitativní analýzu a museli si tím projít. Ale to hlavní je, že řádnou valuací zachráníte vaší organizaci milióny nebo dokonce i miliardy, to podle toho, kde ta rizika budete kvantifikovat. Ano, tak prosté to je a přesně o tom budou i všechny následující díly seriálu. A půjde nám o použitelnost, srozumitelnost a jednoznačnou náhradu současného „maticování“.
Identifikovat rizikové scénáře a analyzovat rizika budete dál samozřejmě úplně stejně, takže zkušenosti, které jste za ty roky praxe získali, rozhodně nepřijdou vniveč. Jen budete k vlastnímu hodnocení rizik používat jiný a lepší matematický aparát (kufřík nářadí) a tím opravíme to jedno rozbité kolečko orloje. A nebojte se, násobit budete samozřejmě dál, jen trochu jiné a méně určité hodnoty (namísto nic neříkajících pořadových čísel) a výsledkem nebude pouze jedna jediná hodnota, ale celá křivka (jako sada možných hodnot) a kdo bude chtít jen to jedno číslo, tak ho samozřejmě dostane (jako očekávanou hodnotu dané distribuce). Takže se tomu nebraňte, zachovávejte lehkou paniku a mějte v ruce našeho „stopařova průvodce po kvantitativní galaxii“.
Laskavému stopaři je z předchozích dílů již naprosto jasné, že kvalitativní matice představují slepou a temnou odbočku na informační dálnici a jsou pro hodnocení rizik naprosto nepoužitelné. Ale oni se moc nehodí ani pro jejich vizualizaci, zobrazit se tam dá z celé distribuce jen to jedno číslo (očekávaná „střední“ hodnota), pro skutečné porovnání očekávaných hodnot je nutné matici proložit sadou izorisk křivek (správných vrstevnic), těžko v ní odhadneme, jestli jsou „ty tři oranžové horší než jediná červená“, a ty ohromně cenné informace získané zahrnutím neurčitosti podkladových složek rizika do výsledné distribuce možných ročních ztrát se do „maticových omalovánek“ nevejdou vůbec, jedno číslo totiž zoufale nestačí. Všechno nám to ukáže až „křivka překročení ztrát“ (loss exceedance curve, LEC), ale o tom až později.
(Pozn. Ve druhém a třetím díle jsme předvedli matematický důkaz a prezentovali i několik naprosto konkrétních příkladů selhání kvalitativních metod, takže jestli jste předchozí díly nečetli, rozhodně vám doporučujeme si je přečíst.)
Zopakujme si na závěr a jednou pro vždy důvody, proč je risk matice, matice rizik nebo také teplotní/tepelná mapa „horší než bezcenná“ (v angloasaské literatuře „worse than useless“), a proč bychom ji neměli k hodnocení rizik používat:
- Kvalitativní vodítka pro hodnocení míry pravděpodobnosti a míry dopadu bývají vágní a nekonzistentní, pod slovním hodnocením jako nízké, střední, vysoké nebo ojedinělý, pravděpodobný či téměř jistý si každý představuje něco jiného. Vytváří to čistý „placebo efekt“, tj. dobrý pocit, že jsme se problematice věnovali. My ale potřebujeme jasné a pevné body v našem risk vesmíru!
- I když jsou vodítka hodnocení k dispozici a jasně definují, co si pod daným pojmem představit, většina lidí přesto automaticky (podvědomě a intuitivně) použije svůj vlastní subjektivní význam/výklad těchto pojmů.
- Ani řádné „absolutní“ škály a vodítka nestačí, lidé se obecně pro posuzování rizik vůbec nehodí a jako „risk teploměry“ jsou „nemožně iracionální a neefektivní“, jejich psychika a vnímání podléhají dobře a dlouho známému souboru kognitivních zkreslení a dalších zřejmých nekonzistencí a nutně potřebují před vlastním hodnocením pravděpodobnosti a dopadu „zkalibrovat“. Což se při subjektivním kvalitativním hodnocení rizik vůbec nebere v úvahu., A my v registru rizik potřebujeme zachytit výši rizik v monetárních jednotkách nikoliv dobré nebo špatné pocity.
- Kvalitativní metodiky vedou většinou k subjektivnímu hodnocení a to je zatížené výše uvedenými zkresleními a není založené na hodnotách naměřených na nějaké škále. Většina lidí totiž při odhadování četnosti/závažnosti nebezpečných událostí ignoruje dostupné statistické informace o základních mírách výskytu a dopadu a místo toho zakládá své odhady na vlastních vzpomínkách a souvisejících pocitech.
- Je používán chybný matematický aparát, například nepřípustné sčítání, násobení a průměrování pořadových (ordinálních) hodnot, a výsledný výstup nemá žádnou logickou ani matematickou smysluplnost. Způsob hodnocení (pseudo-měření) pravděpodobnosti a závažnosti situací na pořadových (ordinálních) škálách včetně důsledků a limitací (nemáme přirozenou 0 jako pevný referenční bod, nemůžeme použít vyšší matematické operace) není hodnotitelům dostatečně vysvětlený, na limitace nejsou výslovně upozorněni a oni tudíž se svými odhady zacházejí, jako kdyby se měřilo (metrem) na jim běžných „normálních“ poměrových škálách (s nulou a ve zvolené jednotce měření).
- Dochází ke značné míře zkreslení informací. I když analytik stanoví pravděpodobnost a dopad relativně přesně na objektivních škálách, po převedení na ordinální hodnoty se tyto informace smrsknou na nic neříkající bezrozměrné číslo (pořadové číslo kategorie, risk index) a zpět už to převedeme jen s chybou o velikosti poloviny daného intervalu. A pokud se přímo „trefujeme“ do nějaké kategorie, odhady neomylně směřují do „zlatého středu“ a nejvyšší a nejnižší kategorie zůstávají prázdné.
- Bez ohledu na velikost matice a počet kategorií rizik dochází k chybnému označení a zobrazení rizika na základě jeho kvalitativní kategorizace (tj. risk indexu namísto objektivní míry výskytu a dopadu) a následně i k chybné prioritizaci rizik – rizika s kvantitativně nižší hodnotou jsou upřednostňována před těmi s vyšší hodnotou a naopak. Rizika, která by neměla být akceptována, jsou tolerována, zatímco na jiná, která by mohla být bezpečně akceptována, jsou vynakládány zbytečné prostředky. Také rizika s kvantitativně zcela odlišnými hodnotami mohou skončit ve stejné buňce matice (mít stejný risk index).
- Jednotlivá naměřená rizika (kvůli chybějící vhodné škále a nedefinovaným jednotkám/vzdálenostem) nelze agregovat a nedozvíme se, zda tři oranžové jsou horší než jedno červené a zda máme nebo nemáme celkovou nálož rizik nad schopnostmi organizace to vše přežít.
- Protože agregace rizik principiálně nefunguje a korelace mezi riziky se záměrně zanedbává, existují tendence významná (červená) rizika dekomponovat na skupinu X dílčích a menších (oranžových), kde se každé z nich tváří jako méně „nebezpečné“ (tj. tolerovatelné), ale vzhledem ke stejné příčině a související vzájemné korelaci nám „vybuchnou“ všechny najednou.
- Použití matice napříč různými organizacemi vede k nesouměřitelným výsledkům. „Vysoké riziko“ v jedné organizaci může mít zcela jiný význam než ve druhé.
Jinými slovy, použitím risk matic dochází k naprosto chybné prioritizaci rizik, neřeší se rizika, která by se měla řešit a prostředky na zvládání těchto rizik jsou vynakládány zcela neefektivně.
Ale opusťme již konečně středověky svět risk matic (to neznamená, že se do něj nemůžeme zase někdy v rámci nějakého článku vrátit) a pojďme raději prozkoumat široké možnosti, které nám nabízí moderní přístup kvantifikace kybernetických rizik (CRQ – cyber risk quantification). Kvantitativní analýza rizik urazila za posledních několik desetiletí pořádný kus cesty, a má nám rozhodně co nabídnout. Pravda, je trochu náročnější na pochopení a počítat se tu skutečně musí, ale my budeme vaši průvodci na této cestě, takže se nemáte vůbec čeho obávat. Pokračujeme dál v sérii příspěvků na téma kvantitativní analýzy rizik s podtitulem „zachraňujeme firmám milióny“. Přidáte se k nám, anebo si raději zatočíte?
ČERMÁK, Miroslav a HANUS, Michal. Používáte matici rizik a mohl bych ji vidět? – 4. díl. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/pouzivate-matici-rizik-a-mohl-bych-ji-videt-4-dil/. [cit. 2025-02-16].
Štítky: matice rizik, quant
K článku “Používáte matici rizik a mohl bych ji vidět?
4. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.