Kvantitative eller kvalitative risikovurderinger? En CIO’s betragtninger.

Skrevet af Christian Willemoes
04.11.2022

Hvad er fordelene ved kvantitative eller kvalitative risikovurderinger? Hvorfor og hvornår skal man vælge det ene fremfor det andet? Vi bringer her et gæsteindlæg fra Christian Willemoes, pensioneret CIO fra DLR Kredit, der deler sine betragtninger og erfaringer fra 36 år hos et af Danmarks største realkreditinstitutter.

For den finansielle sektor stilles der ifølge ledelsesbekendtgørelsens bilag 5 en række krav til bl.a. IT-risikostyring i de respektive virksomheder. Tilsynet forventer, at kravene bl.a. skal udmønte sig i en risikobaseret tilgang til samtlige risici, etablering af et risikoregister, stillingtagen til om risikoscenarierne ud fra virksomhedens fastsatte risikotolerance (appetit) er acceptable eller om der skal mitigeres og, som det allervigtigste, at virksomhedens bestyrelse får den nødvendige rapportering til at danne sig overblikket over de risici, som virksomheden er eksponeret for.

Bestyrelsen skal ud fra rapporteringen kunne tage stilling til, om det aktuelle sikkerhedsniveau er acceptabelt, og om den fastsatte målsætning for virksomhedens risikoniveau er overholdt gennem en godkendelse af de restrisici, som virksomheden kan påtage sig.

IT-risikovurderingen er altså et centralt dokument for bestyrelsen, når den skal have den nødvendige indsigt i de risici, som virksomheden er eksponeret for. En risikovurdering kan udarbejdes efter to metoder, enten som en kvalitativ vurdering eller en kvantitativ vurdering.

Erfaringer med kvalitativ risikovurdering

En kvalitativ risikovurdering udarbejdes oftest ud fra et skøn. Hver risiko vurderes ud fra en sandsynlighedsskala fra 1 til 5 og en konsekvensskala fra 1 til 5, der afbildes i en matrix, hvor de enkelte felter multipliceres med tallene fra henholdsvis sandsynlighed og konsekvens. Som regel bliver felterne i matricen farvelagt med grøn, gul og rød. Risici med farven grøn er acceptable, gule risici skal accepteres eller mitigeres og røde risici er uacceptable og skal mitigeres.

Erfaringen med denne form for risikovurdering er, at den er upræcis. Den giver et diffust overblik med farvede felter, som kræver, at værdierne for de anvendte skalaer nærlæses. Dertil er det ikke umiddelbart muligt for bestyrelsen at forholde sig til de direkte økonomiske konsekvenser for de rapporterede risici i en sammenhæng med sandsynligheden.

En anden ulempe ved denne model er, at det i forbindelse med udarbejdelsen af vurderingen kan være belejligt at flytte en identificeret risiko fra gul til grøn eller fra rød til gul, uden at det kræver en egentlig forklaring eller argumentation herfor.

Muligheder med kvantitativ risikovurdering

En kvantitativ risikovurdering udarbejdes ud fra en reel og konkret stillingtagen til den økonomiske konsekvens, de enkelte risici i givet fald vil påvirke virksomheden med. Der tages stilling til konsekvensen, indenfor et konfidensinterval, afhængigt af hvor omfattende risikoen slår igennem hos virksomheden.

Når samtlige risici er bearbejdet, behandles data i en simulering, hvor der anvendes en lognormalfordeling. De respektive risici kan herefter repræsenteres med en række nøgletal, for eksempel årligt forventet tab, mest sandsynligt tab, 95%-fraktilen etc. De respektive risici, som i øvrigt også indeholdes i risikoregistret, vil blive kategoriseret, så den endelige rapportering til eksempelvis til bestyrelse og risikoudvalg gøres mere overskuelig.

Mit indtryk, og de absolutte fordele ved en kvantitativ risikovurdering, er, at bestyrelserne og de respektive bestyrelsesudvalg får en rapportering, hvoraf de økonomiske konsekvenser af f.eks. et omfattende cyberangreb på centrale IT-systemer kan aflæses direkte som en større hændelse med en mindre sandsynlighed og flere mindre begivenheder med en større sandsynlighed. Bestyrelserne får derfor en indsigt, som de ikke tidligere har haft.

I modsætning til den kvalitative vurdering sætter den kvantitative vurdering egentlige beløb på konsekvenserne ved en risiko. Det sætter bestyrelsen bedre i stand til at beslutte, om der skal implementeres omkostningstunge sikringsforanstaltninger, foretages kapitalhensættelser eller om risici skal accepteres i henhold til virksomhedens risikotolerance.

Finanstilsynets holdning til kvantitative risikovurdering

Finanstilsynet vil ikke “whiteliste” den kvantitative vurdering i forbindelse med udarbejdelse af risikovurderingen. Dog har tilsynet udtalt, på forespørgsel, at de synes, den kvantitative risikovurdering ser spændende ud.

Jeg tror dog, at tilsynet på længere sigt nok vil bede de respektive virksomheder om at foretage risikovurderinger på basis af kvantitative modeller, fordi billedet af virksomhedens risikoeksponeringer dermed vil være langt mere præcise og operative, når det gælder beslutninger i bestyrelsen og direktionen.

Det skal understreges, at mine betragtninger ikke kun retter sig mod finansielle virksomheder, men naturligvis også mod alle andre typer af virksomheder, hvor risikovurderingen er et nødvendigt redskab i arbejdet med forebyggelsen af potentielt skadelige begivenheder og situationer. Ud fra egen erfaring vil jeg anbefale de respektive virksomheder til at udføre risikostyringen ud fra en model, som baserer sig på en kvantitativ risikovurdering.

Fortsæt læsningen her

ISO 27005 Is Wrong About Quantitative Risk

ISO 27005 Is Wrong About Quantitative Risk

The International Standards Organization recently published an updated version of their guidance for information security risk management, but they have missed the mark entirely on quantitative...