Řízení rizik a KRI
Když přijde řeč na řízení rizik, tak nemůžeme opomenout ani indikátory klíčových rizik, někdy též klíčové indikátory rizika, v originále Key Risk Indicators, zkr. KRI.
Co je to KRI, k čemu slouží, kdo a jak jej stanovuje, o tom všem je tento příspěvek.
Vyjdeme-li z předpokladu, že se mění krajina hrozeb a objevují se i nové zranitelnosti, tak je třeba rizika nejen periodicky přezkoumávat, ale na vybrané z nich pohotově reagovat ještě dříve, než dojde k jejich materializaci, tedy už v okamžiku, kdy se riziko zvyšuje, překračuje risk apetit anebo se k tomu schyluje.
S ohledem na identifikovaná rizika je třeba stanovit klíčové KRI, aby se dalo včas detekovat, že dochází ke zvyšování rizika. Nejčastější chybou při stanovování KRI bývá, že jich je buď příliš málo anebo naopak příliš moc, nejsou spojena s konkrétním rizikem a nejsou tzv. SMART.
Je zřejmé, že aby bylo možné onu změnu zachytit, tak musí probíhat nějaký soustavný monitoring, což něco stojí, a proto se vyplatí o něm uvažovat právě jen v případě oněch klíčových rizik.
Klíčová pro vás budou nejspíš ta rizika, u kterých byl kvantifikován vysoký dopad, ale zároveň se vyznačují nízkou pravděpodobností hrozby. Ta totiž může v čase jedině růst a proto je třeba tuto skutečnost včas detekovat a reagovat na ni.
Za tímto účelem je nutné stanovit, co se bude vyhodnocovat/měřit a jaká hodnota bude kritická, tedy stanovit tzv. risk threshold. KRI by měl stanovit vlastník rizika a rovněž by měl stanovit i threshold a způsob měření. Nemusí to samozřejmě dělat sám, ale s expertním týmem. Zcela jistě můžete identifikovat KRI, které budou použitelné pro více rizik a stejně tak i několik KRI pro jedno riziko.
Smyslem stanovení KRI však není mít co největší počet KRI, sledovat trendy, generovat dashboardy a oslňovat jimi vrcholový management, což nakonec stejně vede jen k jeho zahlcení a akceptaci rizik.
Cílem by mělo být včas detekovat, že se mění rizikový profil, tedy že se zvyšuje riziko, které by v případě materializace mohlo mít negativní dopad na fungování organizace a její dobré jméno a upozornit na tuto skutečnost vrcholový management, aby mohl adekvátně reagovat a přijmout vhodná opatření.
Je třeba si však dát pozor na záměnu příčiny a následku. KRI by měl být založen na skutečné příčině, jejíž růst povede ke zvýšení pravděpodobnosti dané hrozby nebo selhání určitého bezpečnostního opatření. KRI by měl být stanoven obdobným přístupem a metodami, jako jsou používány u identifikace rizik.
Otázka je, kdo a jakým způsobem by měl zjišťovat, že došlo k takové změně, která ovlivňuje hodnotu KRI. Nepochybně by o tom měl rozhodnout vlastník rizika, a pokud je KRI správně stanoven, tak by ona změna měla být snadno a spolehlivě detekovatelná a měřitelná. I zde je třeba si dát pozor na kreativní řízení rizik.
Stanovení thresholdu není snadné, ale časem by mělo být zřejmé, v jakých mezích se daná veličina pohybuje. Je možné, že se např. v průběhu roku bude měnit, bude mít klesající nebo naopak rostoucí trend či třeba kolísat kolem určité hodnoty, takže threshold pak může být stanoven s ohledem na tuto skutečnost.
Threshold však nemusí být jen jeden, ale může jich být i více, např. jeden definující interval, ve kterém se pohybuje riziko, které se dá ještě akceptovat, druhý pro zvýšené riziko přesahující risk apetit a třetí pro extrémní riziko překračující risk tolerance. Je nasnadě, že při překročení každého thresholdu bude spuštěn jiný risk mitigation plán.
Stanovením thresholdu by to totiž nemělo končit, nýbrž by měl být stanoven tzv. risk mitigation plan, resp. plány. Tedy jak se bude reagovat, pokud bude daná hodnota překročena. KRI, threshold a plán by měl být formálně schválen vrcholovým managementem, neboť v mnoha případech může mít dopad na objem produkce nebo rozsah poskytovaných služeb a fungování jednotlivých útvarů.
Pokud je rizikem např. kybernetický útok, tak KRI může být např. zvýšené aktivita v kyberprostoru, která když překročí určitou hodnotu, tak indikuje, že se něco děje a že riziko kybernetického útoku je vyšší a je třeba na to nějak reagovat, zvýšenou ostražitostí, zpřísněním opatření apod.
ČERMÁK, Miroslav, 2022. Řízení rizik a KRI. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/rizeni-rizik-a-kri/. [citováno 07.12.2024].
Štítky: KRI
K článku “Řízení rizik a KRI” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.