Reactive, proactive a predictive risk management
Ohledně těchto přístupů k řízení rizik není úplně jasno, a nepíše se o nich dokonce ani v žádném mezinárodním standardu.
Nicméně my si tyto přístupy k posuzování rizik můžeme definovat přibližně nějak takto:
- reaktivní přístup je asi nejběžnější postoj k riziku založený na negativních událostech, incidentech a snaze pro příště minimalizovat pravděpodobnost jejich vzniku anebo dopadu (někteří autoři mluví jen o dopadu).
- proaktivní přístup je pak veden snahou reagovat na hrozby, se kterými jsme se zatím přímo nesetkaly, ale které by mohly reálně nastat a způsobit škodu. Cílem je pak navrhnout taková opatření, abychom zamezili vzniku škody, anebo ji podstatně snížili.
- prediktivní přístup se snaží předvídat zcela nová rizika, u kterých zatím nikde ve světě nedošlo k jejich materializaci. Může se jednat třeba o rizika související se zavedením nové technologie anebo nějaké inovace.
S reaktivním přístupem se ve většině firem setkáme nejčastěji. S proaktivním přístupem se pak setkáme v podstatě méně případech. A s prediktivním přístupem se pak setkáme skutečně jen ojediněle. Proč tomu ale tak je? Všimněte si, jak jsme na tom, co do odhadu pravděpodobnosti hrozby a velikosti dopadu:
- reaktivní přístup je založen jak na známé pravděpodobnosti výskytu, tak i velikosti dopadu, Můžeme tak hovořit o rozpoznané nejistotě (recognized uncertainty), obvykle se dá dobře řešit na úrovni nižšího managementu
- proaktivní přístup pak spoléhá jen na přibližné určení velikosti dopadu a můžeme hovořit o představitelné nejistotě (imaginable uncertainty) a bývá součástí práce středního managementu.
- prediktivního přístup je pak poznamenán tím, že neznáme ani dopad ani četnost výskytu a můžeme tak hovořit o nepředstavitelné nejistotě (unimaginable uncertainty) a zabývá se jím vrcholový management spolu s experty na danou doménu.
Je evidentní, že míra nejistoty nám zde postupně roste a to je něco, s čím většina expertů na rizika neumí anebo nechce pracovat. Ovšem osvojení všech těchto přístupů a jejich integrace do procesu řízení rizik může do budoucna představovat nezanedbatelnou konkurenční výhodu, a nemělo by proto ujít pozornosti vrcholového managementu.
ČERMÁK, Miroslav. Reactive, proactive a predictive risk management. Online. Clever and Smart. 2022. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/reactive-proactive-a-predictive-risk-management/. [cit. 2025-01-25].
Štítky: posouzení rizik
K článku “Reactive, proactive a predictive risk management” se zde nachází 2 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Když už je zmínka o prediktivním přístupu, bylo by vhodné i zmínit jedno riziko, které (alespoň oficiálně) nikde jako riziko uvedeno nebylo: bezpečnostní manažeři (BM) či obecně lidé, kteří se podílejí na řízení rizik.
Abych to rozvedl: BM tak dlouho přemýšlejí, jak případnému záškodníkovi ztížit přístup k aktivům firmy, až zcela znechutí práci běžným firemním zaměstnancům. A znechucený zaměstnanec je ten zaměstnanec, který (dříve, než ukončí pracovní poměr) bude psát hesla na žluté samolepky na monitoru (zjednodušeně řečeno). Bezpečák z naší firmy tak zcela ztratil smysl pro soudnost: nejen že používáme karty pro přístup do systému, ale zakázal používání hesel. O.K., tomu dvoufaktoru rozumím a dokonce jej i vítám: čtyřmístný PIN ke kartě se třemi pokusy je určitě lepší, než datlovat třináctiznakové heslo. Ovšem NIKDO mi nedokázal vysvětlit, proč musí mít heslo 13 znaků, když je přihlašování heslem zakázáno a proč musím ono zakázané heslo po roce obměňovat.
Chápu, že když někam posílám zaheslovaný soubor přes mail nebo přes sdílené úložiště, tak od okamžiku nahrání (odeslání) nad ním ztrácím kontrolu a tudíž heslo, řekněme, 13 plus (dle hodnoty odesílané informace) má své opodstatnění, přičemž samozřejmě existují i další způsoby, jak informace chránit. Ale bazírovat na třináctiznakovém komplexním hesle, které se musí měnit (v minulosti dokonce po 90ti dnech), to mi hlava nebere, zvláště když se pomocí tohoto hesla nepřihlásím. A i v případě přihlašování se heslem se dá na doménovém řadiči nastavit politika 3x a dost, takže ani pak mi dlouhé heslo nedává smysl, když na čtyřčíselný PIN mám taky jen tři pokusy.
Můj názor je ten, že řada bezpečnostních manažerů je natolik opilá svou vlastní mocí, že nepřipustí „kacířskou“ myšlenku, která nekoresponduje s jejich myšlenkovým schématem. Proto narhuji, že bezpečnostní manažer by měla bý jen poradní, nikoli exekutivní funkce.
Naprostý souhlas, i manažeři bezpečnosti mohou představovat vážné riziko pro rozvoj organizace a dosahování její vize a mise, věnoval jsem tomu ostatně celý článek: https://www.cleverandsmart.cz/lesk-a-bida-hr-v-cr-rizeni-informacni-bezpecnosti/.
Zavedení odpovídajících bezpečnostních opatření organizační a technické povahy by mělo vždy vycházet z posouzení rizik, a předložená zpráva by měla být výsledkem práce nikoliv jednotlivce, ale expertního týmu: https://www.cleverandsmart.cz/proc-vyuzit-k-posouzeni-rizik-expertni-tym/.
A samozřejmě i tady je třeba si dát pozor na kreativní řízení rizik, kterého se někteří manažeři dopouštějí. Tomuto fenoménu jsem se pro změnu věnoval zde: https://www.cleverandsmart.cz/tag/kreativni-rizeni-rizik/.