Vyhodnocení rizik: prioritizace rizik
Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.
Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.
2 úrovně rizik
Jistě vás napadlo, že by se rizika dala rozdělit na pouhé dvě skupiny a to na rizika co se budou řešit a dále na rizika co se prostě řešit nebudou. Ovšem používání pouhých dvou úrovní náš problém neřeší, protože opět si budete klást otázku, která rizika z těch, co máte řešit, byste měli řešit jako první.
3 úrovně rizik
Rozumným kompromisem je proto rozdělení rizik do tří skupin, kde rozlišujeme riziko nízké, kdy žádné kroky nepodnikáme, riziko střední, které je vhodné řešit hned poté, co byla vyřešena rizika vysoká a konečně samotná vysoká rizika, která by se měla řešit, jakmile to je možné. Ale toto rozdělení, byť v praxi poměrně oblíbené, není jediné možné.
4 úrovně rizik
Zde se nám nabízí možnost rozdělit rizika podle úrovně managementu, který se jimi bude zabývat a který bude v konečném důsledku za jejich zvládání zodpovědný na tři stupně, neboť obvykle rozlišujeme i tři úrovně řízení: operativní, taktické a strategické a tedy nižší, střední a vyšší management. Vzhledem k tomu, že zcela jistě vyjdou i taková rizika, kterým se nebude věnovat nikdo, dostaneme se ve výsledku na čtyři stupně rizika: nízké, střední, vysoké a kritické.
X úrovní rizik
Větší počet úrovní rizik je extrém, stejně jako v prvním případě, kdy jsme se zamýšleli nad pouhými dvěma úrovněmi. V obou případech je správa takto klasifikovaných rizik značně komplikovaná. Je tomu tak proto, že jen s obtížemi budeme hledat pro jednotlivé úrovně rizik slovní popis, který by byl srozumitelný a jednoznačný.
Matice rizik
Matice rizik (risk matrix) by nám měla pomoci stanovit prioritu řešení jednotlivých rizik. Pokud pro vizualizaci rizik použijeme nějaký spreadsheet, a pro stanovení pravděpodobnosti hrozby a hodnoty dopadu použijme 4bodovou stupnici, bude pravděpodobnost hrozby a hodnota dopadu nabývat hodnot z intervalu <1,4>. Pokud riziko vyjádříme jako součin pravděpodobnosti hrozby a hodnoty dopadu, vyjde nám matice rizik, která je zachycena na následujícím obrázku.
Pokud se podíváme na hodnoty, které nám vyšly, zjistíme, že výsledkem je nespojitá funkce, jejíž obor hodnot je dán intervalem <1,16>. Pokud použijeme např. MS Excel 2007, a jeho funkci podmíněného formátování a podbarvíme hodnoty v jednotlivých buňkách, získáme následující matici.
Na první pohled vidíme, kde jsou ta největší rizika. Ovšem těch barevných odstínů je tam nějak moc, že? Pokud bychom považovali každý barevný odstín za jiný stupeň rizika, dostali bychom se dokonce na 9 stupňů. To je moc, a proto zredukujeme počet barev na pouhé čtyři odstíny a tím získáme 4 rizikové stupně.
Musí však být jednotlivé úrovně rizika znázorněny zrovna takhle? Nemusí. Narazili jsme však na poměrně zajímavý problém a to, kde bude končit jedna úroveň a kde bude začínat druhá. Je mi jasné, že ve výsledku si stejně rizika asi rozdělíte na ta, která budete řešit hned, poté na ta, co budete řešit později a konečně na rizika, která nebudete řešit vůbec. A začít byste měli logicky těmi riziky, která vám vyšla jako nejvyšší. Stačí je jen seřadit sestupně.
Poznámka: Tento příspěvek doplňuje některé informace uvedené v knize „Řízení informačních rizik v praxi“.
Zajímalo by mne, nejen kolik úrovní rizik považujete za optimální, ale především jaké byste zvolili intervaly pro jednotlivé úrovně a proč?
Štítky: řízení informačních rizik, vyhodnocení rizik
K článku “Vyhodnocení rizik: prioritizace rizik” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.