Nezávislý e-zin o řízení informačních rizik, kybernetické bezpečnosti a strategickém myšlení za hranicemi best practice. Od expertů pro experty.

Zapomeňte na inherentní riziko

Publikováno: 16. 06. 2025, v rubrice: Řízení rizik, autor: , zobrazeno: 203x

Před pár lety jsem zde otevřel otázku, zda má v oblasti informační a kybernetické bezpečnosti smysl se zabývat pojmem „inherentní riziko“. Dnes říkám naprosto otevřeně: „Nemá.“

Ano, vím, že se to mnoha expertům opět nebude líbit. Budou zásadně nesouhlasit. Ale nemohu jinak.

Inherentní riziko je přežitý teoretický konstrukt, který nedává v moderním světě kybernetické bezpečnosti žádný smysl. Abych byl přesný, on nedával smysl ani tehdy. Ale podobně jako risk matice, i tohle schéma přežívá jen setrvačností. Selhává ve všech směrech, všichni to vědí, matematické důkazy to potvrzují, a přesto se ho nikdo nechce vzdát.

Abychom byli spravedliví, pojem inherentní riziko nevznikl v kybernetice. Pojem pochází z auditu finančních výkazů, kde měl svůj účel. Označoval pravděpodobnost, že dojde k chybě nebo podvodu bez ohledu na vnitřní kontroly. Například u účtování derivátů nebo odhadů hodnot aktiv bylo inherentní riziko vyšší, protože chyba mohla vzniknout už při prvotním zaúčtování – bez jakéhokoliv záměru nebo vnějšího zásahu.

V auditu to dávalo smysl. Auditor díky tomu mohl určit, kolik času věnovat jednotlivým oblastem účetnictví. Jenže tohle účetní dědictví si risk manažeři bezmyšlenkovitě přenesli do hodnocení informačních a kybernetických rizik a dnes se s ním setkáme prakticky v každém GRC nástroji, v každém spreadsheetu, v každém formuláři. Kolonka „inherentní riziko“ se tam musí nějak vyplnit. Ne proto, že to něčemu reálně pomáhá, ale protože „tam prostě je“.

Jenže inherentní riziko vás nutí představit si stav bez kontrol. A to je v kybernetice absurdní. Jak chcete ignorovat opatření, která jsou nedílnou součástí systému, která nejdou vypnout, protože bez nich by to celé přestalo fungovat? Hodnotit riziko cloudu bez identity managementu je jako hodnotit bezpečnost auta bez brzd. Není to realistické. Je to iluze. Koncept inherentního rizika totiž:

  • vytváří falešnou iluzi o účinnosti stávajících opatření, dochází k tomu, tak že se nadhodnotí inherentní riziko ať už záměrné (jasný to případ kreativního řízení rizik) nebo nevědomě (kdy je hodnota inherentního rizika stanovena arbitrárně, bez opory v datech.) a následně se pak stanoví aktuální riziko, které je třeba o několik desítek procent nižší, což vytváří dojem, že stávající opatření jsou velmi účinná. Kdyby se však inherentní riziko skutečně počítalo, tak by se zjistilo, že tak vysoké není a že ta opatření zase až tak účinná nejsou.
  • představuje zbytečnou abstrakci, protože proč vůbec modelovat stav systému bez veškerých kontrol, když ony bezpečnostní kontroly jsou nedílnou součástí samotného řešení. Nehledě na to, že logika inherentního rizika obsahuje skrytý rozpor. Pokud bychom skutečně uvažovali systém bez jakýchkoliv opatření, museli bychom zákonitě zvýšit i pravděpodobnost úspěšného útoku. Bez základních ochran by se systém stal snadným terčem, což by vedlo k vyšší frekvenci útoků a tedy k uměle nafouknutému inherentnímu riziku. Tento efekt však v praxi nikdy nepozorujeme, protože žádný funkční systém neexistuje v takovém vakuu. Paradoxně tak čím lépe se snažíme inherentní riziko definovat, tím více se vzdalujeme realitě.
  • vede k chybné prioritizaci, tedy pokud by se o dalším postupu rozhodovalo na základě inherentního rizika, které může být označeno i jako nízké a pak se mu ani nikdo nebude věnovat. A pokud k tomu inherentní riziko neslouží, tak si musíme celkem logicky položit otázku, k čemu nám pak číslo vyjadřující výši inherentního rizika vůbec je. A odpovíme-li si na ni, že vlastně neovlivňuje naše další rozhodování, tak je to jen naprostá ztráta času a platí to, co je uvedeno v předchozím bodě.

Pokud si teď říkáte, dobře, ale co s tím? Odpověď je jednoduchá, předělejte si své nástroje, smažte kolonku s inherentním rizikem. Stejně jej nikdo neumí smysluplně stanovit, hodnoty se cucají z prstu a vytváří se iluzi sofistikovanosti. Nechte si pouze aktuální a reziduální riziko pro scénářová srovnání. Aktuální riziko má smysl, protože odráží realitu, v níž žijete. Reziduální riziko pak ukazuje, kam se chcete posunout.

Proč se tedy inherentní riziko stále drží v normách, rámcích a školeních? Možná někdo chce vytvořit dojem odbornosti. Možná se na to ptají v testech, protože to tak „má být“. A možná si manažeři rádi přisvojují zásluhy: „Podívejte, inherentní riziko bylo extrémní, ale díky nám je nyní přijatelné.“

Nejspíš však platí, že to prostě nikdo nahlas nezpochybnil. Každý bezmyšlenkovitě opakuje, co je někde napsáno, a netroufá si říct, že to nedává smysl. Tak to říkám já: „Zahoďme inherentní riziko jednou provždy.“ A pokud někdo u vás v organizaci přesto trvá na jeho používání, položte mu následující tři jednoduché otázky:

  • Jak hodnotu inherentního rizika změřil?
  • Jak s hodnotou inherentního rizika dále pracuje?
  • Jak mu inherentní riziko pomáhá v rozhodování?

Chcete skutečně rozumět rizikům? Modelujte aktuální stav. Analyzujte hrozby, zranitelnosti, dopady a pravděpodobnosti selhání konkrétních kontrol. Chcete-li vyhodnotit přínos opatření, porovnejte stav s ním a bez něj. Ale ne vůči hypotetické nule, nýbrž vůči reálně myslitelnému scénáři.

Ani Jack Freund, spoluautor rámce FAIR, k inherentnímu riziku nepřistupuje s nadšením. Otevřeně upozorňuje, že představa „stavu bez kontrol“ je umělá a neměřitelná, protože kontroly jsou nedílnou součástí prostředí. Místo toho doporučuje zaměřit se na to, co je skutečně pozorovatelné – aktuální riziko, které lze analyzovat, kvantifikovat a ovlivňovat. A o to přece v řízení rizik jde.

Závěr:
Inherentní riziko nelze smysluplně měřit. Nemá praktický přínos a odvádí pozornost od podstatného. Pro rozhodování stačí porovnávat aktuální riziko (s existujícími kontrolami) a reziduální riziko (po plánovaných opatřeních). Tak jednoduché to je. Kdo se přidá?

QR kód pro podporu

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Zapomeňte na inherentní riziko. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/zapomente-na-inherentni-riziko/. [cit. 2025-07-20].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Má vůbec smysl se zabývat něčím takovým, jako je inherentní riziko?
  2. Enterprise risk management a agregované a kaskádové riziko
  3. Zvládání rizik: zvyšování rizika
  4. Regulatorní požadavky představují jen další riziko a tak je s nimi třeba i zacházet
  5. Proč kritická zranitelnost automaticky neznamená kritické riziko


K článku “Zapomeňte na inherentní riziko” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Řízení rizik

v této rubrice se nachází celkem
78 příspěvků

Novinka