Zvládání rizik: Jemný úvod do zvládání rizik
Cílem tohoto příspěvku je stručně charakterizovat jednotlivé metody zvládání rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.
Fáze zvládání rizik (risk treatment/handling) spočívá ve volbě vhodné metody zvládání rizik. Mezi nejběžnější metody zvládání rizik patří akceptace a redukce rizika. Ač se jedná o metody nejčastější, nejsou zdaleka jediné. Pojďme se společně podívat i na ostatní metody, stručně si je charakterizovat a zamyslet se nad tím, kdy je vhodné tu či onu metodu použít.
Ignorování rizika
Jedná se vůbec o nejhorší možný případ, kdy management o riziku neví a ani se nesnaží nějakou analýzu rizik provést a skutečnost, že nějaká rizika existují nebo by mohla existovat, zcela ignoruje (risk ignorance).
Akceptace rizika
Nejčastější metodou zvládání rizik, která spočívá v tom, že se nic nedělá, je akceptace rizika (risk retention, acceptance, toleration). Obecně lze tuto metodu doporučit pouze v případě nízkých a zbytkových rizik. Tento přístup má své opodstatnění, je zbytečné vynakládat prostředky na implementaci opatření proti hrozbě, která se prakticky nevyskytuje a její dopad je zanedbatelný.
Redukce rizika
Další nejběžnější metodou zvládání rizik je redukce rizika (risk reduction, prevention, remediation, minimalization), jejím cílem je snížení rizika na přijatelnou úroveň. Tuto metodu lze doporučit pro všechna rizika, která se vyznačují vysokou pravděpodobností výskytu hrozby, bez ohledu na možný dopad.
Vyhnutí se riziku
K tomu způsobu zvládání rizik je vhodné se uchýlit v okamžiku, kdy riziko vyjde jako kritické a použití ostatních metod není možné. Jedinou možností tak zbývá se riziku vyhnout (risk avoidance, rejection, evade), protože akceptace nepřipadá v úvahu. Jedná se o rizika, kde je pravděpodobnost výskytu hrozby jistá a dopad zničující.
Transfer rizika
Jedná se o přenos odpovědnosti za zvládání rizika (risk transfer) na ekonomicky silnějšího partnera. Z dcery na matku, outsourcingovou nebo pojišťovací společnost. Obvykle se jedná o rizika s nízkou pravděpodobností výskytu hrozby, ale zato se zničujícím dopadem. Je otázka, zda by nebylo vhodnější a výstižnější nazývat tuto metodu zvládání spíše jako sdílení rizika (risk sharing).
Monitoring rizika
Rizika je vhodné monitorovat (risk monitoring) a přezkoumávat (risk review) a to nejen zbytková, za která mohou být prohlášena v podstatě jakákoliv rizika. Důvod je prostý, nikdy nevíme, zda nedošlo ke zvýšení rizika, neboť hodnota dopadu, míra hrozby a zranitelnosti se mohla změnit. Nepřetržitý monitoring (continous monitoring) je vhodný pro ta rizika, která se vyznačují vysokou pravděpodobností hrozby a velkým dopadem. Pravidelný monitoring (periodic monitoring) je vhodný pro ta rizika, která se vyznačují nízkou pravděpodobností hrozby a malým dopadem. Pravidelné přezkoumání (periodic review) je vhodné pro ta rizika, která se vyznačují nízkou pravděpodobností hrozby a velkým dopadem. Soustavné přezkoumávání (continous review) je vhodné pro ta rizika, která se vyznačují vysokou pravděpodobností hrozby a velkým dopadem.
Volba vhodné metody zvládání rizika
Výše jsme si uvedli několik nejčastějších metod zvládání rizik. Pokud použijeme pro hodnocení míry hrozby a hodnoty dopadu 4-bodovou stupnici, bude umístění rizika v jednom ze čtyř kvadrantů dáno pravděpodobností hrozby a hodnotou dopadu. V prvním kvadrantu nám tak vyjdou rizika, která se vyznačují nízkou pravděpodobností hrozby a malým dopadem, ve druhém kvadrantu pak rizika s vysokou pravděpodobností hrozby a malým dopadem, ve třetím rizika nízkou pravděpodobností hrozby a velkým dopadem a konečně ve čtvrtém rizika s vysokou pravděpodobností hrozby a velkým dopadem. Podle umístění rizika v příslušném kvadrantu volíme odpovídající metodu jeho zvládání. Tento přístup ke zvládání rizik je zachycen na následujícím obrázku.
To, že riziko vyjde v příslušném kvadrantu, ještě neznamená, že doporučená metoda zvládání je vždy tou nejvhodnější. Např. pro rizika, co vyjdou ve druhém kvadrantu, se jeví redukce jako nejvhodnější metoda zvládání. Ovšem jen do okamžiku než spočítáme náklady na opatření a zjistíme, že zavedení vhodných opatření by nás přišlo mnohem dráž než možná škoda a že by možná bylo lepší se riziku vyhnout.
Morální hazard
Zastavme se ještě na okamžik u transferu rizika, konkrétně u pojištění proti ztrátě. To se od ostatních metod zvládání rizik liší, neboť žádná opatření se neimplementují a spoléhá se na to, že případnou škodu uhradí pojišťovna. Je otázka, zda to není tak trochu morální hazard. Mohlo by se totiž lehce stát, že bezpečnosti v dané společnosti přestane být věnována odpovídající pozornost, protože vlastník bude vědět a v nepřiměřeně míře spoléhat nato, že když se něco stane, tak mu to pojišťovna zaplatí.
Self insurance vs. market insurance
V okamžiku, kdy by se takto začalo chovat více subjektů, hrozí riziko, že vzroste počet pojistných událostí a pojišťovna bude muset ztrátu pokrýt. Tím ji klesne a zisk a pojišťovna na vzniklou situaci nebude nejspíš reagovat jinak než zvýšením pojistného. A jestliže vzroste cena za pojištění, potom se více subjektů může rozhodnout, že si bude dávat peníze stranou na svůj účet (self insurance), aby měli na tomto rezervním fondu dost peněz v okamžiku, kdy jim vznikne škoda. Jestliže vzroste cena klasického pojištění (market insurance) potom vzroste poptávka po self insurance a naopak, pokud klesne cena za market insurance, potom klesne poptávka po self insurance. Vidíme, že self insurance je substitutem market insurance. Je ovšem otázka, zda peníze z self insurance budou v případě výskytu dané události na její pokrytí vůbec stačit, protože narozdíl od market insurance může být škoda pokryta ihned jen tehdy, pokud byla vytvořena dostatečná finanční rezerva. Self insurance bych z tohoto důvodu doporučoval spíše pro zbytková rizika a rizika, která lze očekávat spíše ve vzdálenější budoucnosti.
Market insurance vs. self protection
Self-insurance a market-insurance můžeme označit jako opatření, která nesnižují pravděpodobnost hrozby nebo zranitelnosti. Jinými slovy neodstraňují příčinu, ale snižují pouze následek (loss protection). Naproti tomu, pokud se rozhodneme implementovat opatření (self-protection), která snižují hrozby nebo zranitelnosti, můžeme hovořit o loss prevention přístupu, protože odstraňujeme příčiny. A tam, kde by pro nás bylo zavedení příslušných opatření příliš nákladné, může zvolit pojištění. Vidíme, že self protection se tak stává komplementem k market insurance.
Self protection vs. self insurance
Jestliže budeme vydávat více peněz na self protection, tj. budeme implementovat vhodná opatření vedoucí ke snížení rizika, potom celkem logicky budeme nuceni dávat měně peněz na self insurance, protože rizika snížíme na akceptovatelnou úroveň.
Dnes jsme zabrousili trochu do ekonomie a pohled na zvládání rizik tak dostal trochu jiný rozměr. S takto exaktním přístupem se však v praxi nejspíš nesetkáte, neboť většina manažerů má tendenci problematiku řízení informačních rizik podceňovat.
Poznámka: Někdy se můžeme též setkat s pojmem zmírnění rizika (risk mitigation), zde je důležité zjistit, co přesně se tím myslí, zda snížení pravděpodobnosti (probability, likelihood) nebo zmírnění následků (consequence, impact). Dalším problematickým pojmem může být přístup ke zvládání rizik označovaný jako terminate the risk, jenž spočívá v tom, že se daná činnost začne provádět jinak a tím dojde k odstranění rizika (removing the risk).
ČERMÁK, Miroslav. Zvládání rizik: Jemný úvod do zvládání rizik. Online. Clever and Smart. 2010. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/zvladani-rizik/. [cit. 2025-03-22].
Štítky: řízení informačních rizik
K článku “Zvládání rizik: Jemný úvod do zvládání rizik” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
