Riziko je součástí každého podnikání. Zásadní je to, jak tomu organizace rozumí a řídí.
Od provozních problémů po volatilitu trhu, regulační změny a technologický pokrok, společnosti čelí spektru nejistot, které mohou buď vést k růstu, nebo vést ke ztrátám.
Aby je podnik efektivně řídil, musí stanovit rámec, který mu pomůže určit, jak velké riziko je ochoten přijmout při plnění svých cílů. Zde vstupuje do hry pojem „chuť riskovat“.
Aby však společnost definovala svou ochotu riskovat, musí vidět a rozumět všem rizikům, kterým čelí. A pro bezpečnostní týmy, které kladou základy pro svou strategii řízení expozice, je kritickým krokem definování ochoty organizace riskovat.
Co je chuť riskovat?
Ochota riskovat je míra rizika, kterou je organizace ochotna přijmout při plnění svých cílů. Jeho definování stanoví pro organizaci hranice ohledně toho, jaká rizika podstoupí a do jaké míry. Vysoká ochota riskovat znamená být otevřená přijímání větších rizik za možná vyšší odměny, zatímco nízká ochota riskovat znamená, že organizace upřednostňuje snížení rizika co nejvíce.
Zvažte technologický startup, který chce investovat do špičkového výzkumu a vývoje. Může přijmout vyšší ochotu riskovat, aby dosáhla převratných, průlomových inovací, s vědomím, že potenciální odměny stojí za nejistotu. Naopak velká, dobře zavedená společnost může mít nižší ochotu riskovat, soustředí se na stabilní růst a zároveň se vyhýbá projektům, které by mohly významně poškodit její pozici na trhu nebo pověst.
Tesla je skvělým příkladem společnosti s vysokou chutí riskovat. Na trhu s elektrickými vozidly (EV) podstoupila velká rizika tím, že výrazně investovala do vývoje vlastní technologie baterií, vybudovala rozsáhlou síť stanic Supercharger a zvýšila výrobu se svou Gigafactory. Tradiční výrobci automobilů – s mnohem nižší chutí riskovat v segmentu EV – se posmívali, dokud jim tržní kapitalizace Tesly obrazně neodstřelila dveře.
Chuť k riziku je kvantitativní i kvalitativní
Chuť k riziku není nikdy statická; je to dynamické opatření, které by mělo být upraveno na základě faktorů, jako je průmysl, velikost a zdraví společnosti, strategické cíle, regulační požadavky a celkové tržní prostředí.
Nejde ani tak o čísla: chuť k riziku je směsí jak kvantitativních, tak kvalitativních faktorů.
Na jedné straně může mít podnik měřitelné prvky, jako je to, kolik ztrát je ochoten tolerovat, jeho zadluženost a jakou návratnost investic (ROI) hledá. Může mít také subjektivní aspekty, které je třeba zvážit, jako je potenciální vliv na pověst společnosti, etické úvahy a to, jak dobře jsou její rozhodnutí v souladu s jejími základními hodnotami.
Proč je důležité definovat ochotu riskovat?
Téměř každá organizace, která chce uspět, musí podstoupit kalkulovaná rizika. Ale bez jasného pochopení své chuti riskovat se může zatoulat do nekonzistentního, reaktivního nebo příliš opatrného rozhodování. To může vést k promarněným příležitostem nebo obchodním ztrátám. Zde je důvod, proč je definování ochoty riskovat zásadní:
Sladit strategii a řízení rizik
Jasně definovaná ochota riskovat poskytuje strategický rámec, který sladí postupy řízení rizik s celkovými obchodními cíli. Když podnik ví, jak velké riziko je ochoten přijmout, může využívat příležitosti, které odpovídají jeho ochotě riskovat, a zároveň se vyhýbat ostatním, které by ho mohly vystavit nepřiměřenému riziku.
Pro zlepšení rozhodování
Definování ochoty riskovat umožňuje vedoucím a manažerům činit informovaná rozhodnutí tím, že jasně pochopí, co představuje přijatelné riziko. Stanovuje také očekávání pro chování podstupování a vyhýbání se riziku v celé organizaci a pomáhá manažerům vyhodnotit kompromisy mezi rizikem a odměnou v různých scénářích.
Budování důvěry zainteresovaných stran
Jasně definovaná ochota riskovat ujišťuje investory, regulační orgány, zaměstnance a další zúčastněné strany, že organizace upřednostňuje řízení rizik. Demonstruje také metodický a důvěryhodný přístup k vyvažování rizika a odměny, což dále posiluje důvěru zúčastněných stran.
Pro podporu konzistence
Když všichni v organizaci „dostanou poznámku“ o tom, jak velké riziko je přípustné, pomůže jim to činit konzistentní rozhodnutí, protože všichni chápou, co je přijatelný hazard. To znamená, že je menší šance na práci s různými účely nebo dokonce tažení v opačných směrech. Právní oddělení může například brzdit velkou myšlenku marketingového týmu, pokud nesdílí stejnou představu o přijatelném riziku.
Podporovat efektivní sledování rizik
Když společnosti definují svou ochotu riskovat, mohou nastavit systémy pro sledování úrovní rizik v celém podniku, od financí po provoz. Jsou tak schopni včas rozpoznat potenciální problémy a zajistit, aby činnosti zůstaly v mezích toho, co je považováno za bezpečné – nebo alespoň přijatelné. Nastavení a monitorování klíčových indikátorů rizik (KRI) poskytuje včasné varování, pokud se někdo příliš přiblíží k těmto hranicím.
Jak společnost definuje svou ochotu riskovat?
Organizace to obvykle dělá tak, že vypracuje prohlášení o chuti k riziku (RAS). První části RAS stanovují strategické cíle společnosti a související rizika.
Společnost se může chtít stát předním poskytovatelem softwaru ve svém oboru. Měli by uvádět strategické cíle, které jsou pro dosažení tohoto cíle životně důležité, a také vyjmenovat rizika s nimi spojená. Ivanti se například zabývá poskytováním cloudových IT služeb a řešení pro správu zabezpečení. To znamená, že je naší povinností, aby naše prohlášení o ochotě riskovat katalogizovalo všechna rizika související s tímto oborem podnikání a vysvětlilo, jak je budeme řídit.
Zde je příklad toho, jak může jeden oddíl prohlášení o ochotě riskovat poskytovatele softwaru:
Obecná chuť k riziku [Společnost XYZ] přijímá vyvážený přístup k riziku, uznává, že ne všechna rizika jsou stejná a že určitá úroveň rizika je nezbytná k dosažení našich strategických cílů.
Inovační riziko Máme velkou chuť riskovat investování do pokročilých technologií a inovativních řešení, která odlišují naše produkty v konkurenčním prostředí. Chápeme, že to vyžaduje přijmout určitou míru nejistoty ve výzkumu a vývoji a vývoji produktů. Operační riziko Udržujeme nízkou až střední chuť riskovat. Zatímco usilujeme o provozní dokonalost, upřednostňujeme iniciativy, které zlepšují efektivitu a kvalitu služeb, aniž by byly ohroženy naše standardy dodávek. Bezpečnostní riziko Máme extrémně nízkou chuť riskovat pro bezpečnostní hrozby a narušení. Náš závazek k zabezpečení sítě a ochraně dat je prvořadý a značně investujeme do ochrany našich systémů a dat našich klientů. Riziko shody Máme nízkou chuť riskovat kvůli nedodržování právních a regulačních požadavků. Zajištění dodržování příslušných zákonů, norem a osvědčených postupů ve všech provozních oblastech je zásadní.
RAS by měl definovat rizika, která by měla největší dopad na organizaci, nikoli každodenní rizika, která jsou prostě součástí podnikání. Měl by zohledňovat více rizikových scénářů; konkrétní strategie může například zahrnovat riziko dodavatelského řetězce, jako jsou důsledky uzavření s dodavatelem nebo nebezpečí vystavení se regulačním orgánům, pokud dodavatel nesprávně nakládá se zákaznickými údaji.
Měl by také definovat výši finančního rizika, které je společnost ochotna podstoupit. Pokud mezi její cíle patří nabídka nového produktu nebo služby, vždy existuje šance na neúspěch na trhu.
Složky rizikové chuti
Toto jsou klíčové faktory, které je třeba vzít v úvahu při definování ochoty riskovat:
Riziková kapacita
Jedná se o maximální míru rizika, které může organizace nést. Rozhodují o tom finanční zdroje, provozní schopnosti a regulační omezení. A schopnost riskovat se liší od ochoty riskovat: organizace může mít kapacitu podstoupit určitou úroveň rizika, ale na základě své ochoty riskovat se nemusí rozhodnout.
Tolerance k riziku
Zatímco riziková kapacita je o tom, jak velkému riziku může organizace odolat, tolerance rizika je přijatelnou odchylkou od jejího cíle. Může dokonce nastavit různé tolerance pro různé oblasti. Organizace může například dobře riskovat nový produkt, ale vyhýbat se riziku při správě zákaznických dat.
Rizikové prahy
Výše jsme zmínili monitorování rizik a KRI, protože se používají k tomu, aby zabránily společnosti překročit prahové hodnoty rizika – „červené čáry“, které představují příliš velké riziko. Překročení prahu rizika může vyžadovat změnu plánů, zvýšená bezpečnostní opatření nebo dokonce úplné zastavení toho, co dělají.
Proč je při řízení expozice důležitá chuť k riziku?
Kdysi bylo zmírňování digitálních rizik mnohem jednodušší než dnes. Je to proto, že útočné plochy většiny velkých organizací se postupem času značně rozšířily. Přidání dalších zařízení a aplikací, které zaměstnanci používají na více místech, proměnilo pracoviště a rozšířilo prostředí digitálních hrozeb.
Je to jeden z důvodů, proč výzkum Ivanti zjistil, že více než polovina IT profesionálů si není příliš jistá, že dokáže zabránit škodlivému bezpečnostnímu incidentu v příštích 12 měsících. Více než jeden ze tří dokonce uvádí, že je méně připraven detekovat hrozby a reagovat na incidenty, než tomu bylo před rokem.
Tradiční správa zranitelnosti se dlouho zaměřuje na reaktivní nápravu zranitelností softwaru a hardwaru a dalších CVE, ale obvykle používá pouze přerušované skenování. Dnešní scénář kybernetické hrozby však vyžaduje nový přístup.
Moderní správa expozice je zaměřena na kontinuální, proaktivní vyhledávání a nápravu rizik a zranitelností na celém povrchu digitálního útoku. A to bez ohledu na to, zda pocházejí z vystavených IT prostředků, nezabezpečených koncových bodů a aplikací, cloudových zdrojů nebo jiných vektorů.
Co dělá řízení expozice a ochotu riskovat tak propojené?
- Posouzení expozice podle přijatelných úrovní rizika: Řízení expozice zahrnuje kvantifikaci úrovní rizik spojených s různými expozicemi. Definováním přijatelného rizika mohou organizace porovnat možný dopad různých rizik s jejich ochotou riskovat.
- Nasazení zdrojů na základě rizika: Organizace musí upřednostňovat, které expozice představují největší hrozbu pro jejich strategie – toto posouzení mohou provést pouze s jasným pochopením jejich ochoty riskovat. Toto stanovení priorit jim umožňuje soustředit zdroje na zmírnění těch nejkritičtějších, často s pomocí pokročilého nástroje RBVM.
- Úprava ochoty podstupovat rizika: Když se mění podnikatelské prostředí nebo se objevují nová rizika, může být potřeba upravit ochotu k riziku. Data a poznatky, které organizace získávají jako součást své praxe řízení expozice, jim pomáhají činit informovaná rozhodnutí ohledně takových úprav.
- Zajištění souladu: Mnoho průmyslových odvětví má regulační požadavky související s řízením rizik, které následně ovlivňují chuť organizace riskovat. Řízení expozice zahrnuje identifikaci a řešení rizik, která by mohla způsobit nesoulad.
Pohled na bezpečnostní riziko optikou řízení expozice
Pozoruhodný rozdíl mezi řízením expozice a jinými bezpečnostními postupy spočívá v tom, že řízení expozice nezahrnuje pouze upřednostňování nápravy rizik, která pro organizaci představují největší riziko, ale také aktivní definování toho, která rizika spadají do tolerance rizika organizace. Například e-commerce společnost může být ochotna přijmout zvýšená bezpečnostní rizika, aby udržela své stránky funkční i na Černý pátek – kompromis se jim vyplatí.
Namísto toho, aby se na každé potenciální riziko nahlíželo jako na krizi, která vyžaduje okamžitou nápravu, musí je organizace upřednostňovat na základě obchodních potřeb. V tomto rámci není většina rizik špatná: jde o to, jak na ně reagujete, ovládáte je a zmírňujete je, abyste je dostali na přijatelnou úroveň.
Pro další informace nás neváhejte kontaktovat.
Zdroj: Ivanti
