Publikováno: 28. dubna 2021

Když jsem sháněl firmu, která by mi pomohla s propagací našich služeb, naše jednání probíhala zhruba stylem:

„Líbí se mi co děláte. Jak nastavujete výstupy a jak je měříte?“

„No, ono tak úplně nejde měřit výstupy, to nám buď věříte, nebo ne, že to bude fungovat.“

„Aha, tak díky a nashledanou.“

V bezpečnosti se tyhle zoufalé rozhovory dějí neustále také. Bezpečnostní manažeři argumentují svými zkušenostmi, best practices (takhle to dělají ostatní), mezinárodními standardy atd. Tomu se říká implicitní bezpečnost – něco uděláme a budeme doufat, že to řeší naše problémy. Efektivity vynaložených peněz lze dosáhnout v podstatě jen náhodou.

Dobrá zpráva je, že změřit se dá úplně všechno – jak marketing, tak bezpečnost. Lépe řečeno, měřit se musí – jak jinak se chcete rozhodovat a tím pádem řídit firmu, když nemáte relevantní podklady? Ideálně by to mělo vypadat nějak takhle:

To je explicitní bezpečnost - tj. řešíme přímo naše problémy, soustředíme se na ně.

Analýza rizik
Tady přichází na scénu analýza rizik. Protože bezpečnost má za úkol jednu jedinou věc – řešit rizika. Pokud je neznáte, neplýtvejte penězi na bezpečnost.

Analýza rizik se stará o první dva kroky na cestě k efektivnímu řízení bezpečnosti:

Protože se bavíme o měření, je nezbytné, aby analýza rizik byla kvantitativní ( tj. vyjádřena  v penězích. Používání bezrozměrných čísel ničemu nepomůže, viz níže). 

Existují ještě kvalitativní analýzy rizik, které používají slovní popis a hodnocení a výstupem bývají např. heatmapy, semafory, nebo tabulky se seznamy rizik hodnocených jako vysoké, střední a nízké – nebo podobně. Jejich užitečnost lze stručně vyjádřit obrázkem:

CRAP znamená (slušně řečeno) nesmysl.

Kromě toho, že takové výstupy nejsou použitelné pro ekonomickou kalkulaci a efektivní řízení, dochází tady ještě k jevu, kterému se říká iluze komunikace.

Každý si totiž pod pojmy vysoké, nebo nízké riziko představuje dost rozdílné částky. Například CEO společnosti s miliardovým obratem má úplně jiné představy o těchto pojmech než manažer zodpovědný za vývoj produktu s rozpočtem 5 milionů. Tyto problémy kvantitativní analýza rizik zcela eliminuje.

Výstupem kvantitativní analýzy totiž je (zjednodušeně): Pokud dojde k výpadku výroby na jeden den v důsledku útoku/nehody, máme vyčíslené náklady na 500 000 Kč. K takovému výpadku dojde cca 1 za 5 let. Anualizovaná ztráta (=riziko) tak vychází na 100 000 Kč. S touto informací už může vedení firmy pracovat. Je na nich, aby se rozhodli, zda je to akceptovatelné, nebo ne a zda/kolik investovat do řešení tohoto rizika.

Modelování rizik
Říka se, že všechny modely jsou špatně, ale některé jsou užitečné. Je proto nesmírně důležité vybrat si nějaký užitečný model.

S klidným svědomím můžu doporučit mezinárodní metodiku OpenFAIR, která je ověřená dlouhodobou praxí a zatím jsem nenarazil na nic lepšího. Sám jsem jí použil pro firmy a instituce od pár desítek po tisíce zaměstnanců.

Závěr
Aby bylo možné dlouhodobě efektivně řídit bezpečnost, je nezbytné, jako jeden z prvních kroků, provést kvantitativní analýzu rizik a identifikovat klíčová rizika pro podnikání, která je pak následně potřeba řešit.

Výsledky musí být vyjádřeny v penězích nebo jiných jednotkách, které lze snadno převést na peníze. Rozhodně nevymýšlejte vlastní modely a nenechte si nutit žádný model, jehož výstupům nebudete rozumět. Musíte si být jistí, že se závěry analýzy budete schopní dlouhodobě pracovat.