En dygtig offshore-ingeniør, som jeg samarbejdede med, gav mig et konkret eksempel på anvendelse af risikoappetit. Højden på en boreplatform sættes efter lovgivning og standarder, men også efter virksomhedens risikoappetit. Hvor stor en bølge skal platformen kunne modstå? Platformen, der kan modstå 100-års-bølgen, er højere og betragteligt dyrere end platformen, der ”kun” kan modstå bølger lavere end 50-års-bølgen.
Det er da til at forstå. Det minder os om, at risikoappetit er et reelt styringsredskab til vores sikkerhedsarbejde. Det er en størrelse, som tvinger os til at tage stilling til ”nok”. Det er en størrelse, som medfører beslutninger, der kan have store og vidtrækkende konsekvenser. Det er også en individuel størrelse fra virksomhed til virksomhed. Det er en størrelse, som skal bestemmes med en vis omhu.
Spørgsmålet om risikoappetit er et eksempel på en god mulighed for et samarbejde mellem IT og direktion/bestyrelse. Hvis vi ikke involverer hinanden ordentligt i dette arbejde, bliver risikoappetitten denne lidt arbitrære størrelse, som ikke gør nogen forskel. IT-sikkerhedsarbejdet bliver i så fald styret af noget andet. Det kunne være laissez-faire eller frygt og skræmmekampagner fra nogle med interesse i at sælge deres produkter og ydelser.
Al aktivitet medfører risiko. Spørgsmålet er derfor ikke, om man har risiko eller ej, men hvor stor en risiko, man kan acceptere i sin aktivitet. Risikoappetit er det risikoniveau, som virksomheden er villig til at acceptere for at gennemføre sine målsætninger. Jo højere en appetit jo højere en villighed til at tabe i arbejdet mod ens målsætninger.
APPETIT ELLER TOLERANCE?
Lad os lige vende begrebsforvirringen – hedder det appetit eller tolerance. I den finansielle sektor hedder det tolerance. I ledelsesbekendtgørelsens bilag 5 står der: ” … at sikre, at risici identificeres, analyseres, måles, håndteres, overvåges, rapporteres og ligger inden for virksomhedens it-risikotolerance”. De fleste andre steder hedder det appetit. Vi vælger at bruge begrebet appetit her i indlægget.
MEGET UDBREDT, MEN IKKE SÅ ANVENDELIGT
De fleste anvender en kvalitativ placering af risikoappetitten. Man definerer typisk en trappe bestående af nogle udsagn, som beskriver en bestemt stil, hvad angår villighed til at tage risiko. I nedenstående eksempel er der 5 trin.
Det kan være et fint lille udgangspunkt for en drøftelse, men til en egentlig, forpligtende bestemmelse af risikoappetitten er den utilstrækkelig. Det er umuligt at bruge den operationelt. Hvad betyder det f.eks. at bevæge sig fra Minimal til Forsigtig? Eller hvilken forskel ville det gøre for IT-sikkerhedsarbejdet hvis vi bevægede os fra sulten til åben? Jeg spørger bare.
Et andet kvalitativt værktøj, som bruges hyppigt, er farvekoderne i en risikomatrice.
Her er det grænserne mellem farverne rød, gul og grøn som beskriver appetitten. Rød er uacceptabel, gul skal observeres og grøn er acceptabel. Vi har i en særskilt artikel behandlet problemerne med risikomatricer (se evt. artiklen Risikomatricer til IT-risikovurderinger – den mest anvendte metode, der ikke virker). At anvende matricen til bestemmelse af appetitten indeholder en række problemer, som artiklen kommer ind på.
En godt defineret risikoappetit skal, i modsætning til ovenstående eksempler, være i stand til at levere et entydigt input til beslutningsprocessen. Herunder:
- En forståelse af nuværende og fremtidigt risikoniveau i forhold til appetitten. Er vores risikoniveau over appetitten? Skal vi udarbejde en plan for reduktion af risiko?
- En forståelse af hvor risikoappetitten overskrides. Er det de hyppige ”billige” hændelser eller er det de ekstreme og sjældne, som overskrider appetitten?
- En forståelse af prisen for mitigerende aktiviteter (aktiviteter med det formål at reducere risiko) i forhold til den faktiske reduktion af risikoniveauet.
I ACI kan vi kun se én farbar vej til at levere en sådan risikoappetit. Vi bliver nødt til at definere vores risikoappetit kvantitativt i kroner og ører. Hvad er vi villig til at tabe i kroner med en vis sandsynlighed? Det vil levere på ovenstående checkliste og kommunikere på en måde, som vi alle kan relatere til.
Vi vil nu skifte fokus til hvordan. I denne artikel ser vi nu på den simpleste måde at definere vores appetit kvantitativt. Først vil vi definere processen. Herefter vil vi afprøve processen i et eksempel fra den virkelige verden.
PROCESSEN MED AT FÅ RISIKOAPPETITTEN DEFINERET
Vi vil undlade at gå ind i diskussionen om, hvem der skal definere appetitten. Det beskriver standarderne og lovværkerne udmærket. Vi koncentrerer os blot om, hvordan det kan gøres.
Først og fremmest bør man definere en risikoappetit individuelt for områder, som er meget forskelligartede. Eksempelvis på IT-området defineres appetitten individuelt, fordi trusselsområderne (f.eks. interne fejl og mangler og cyberangreb) typisk er meget forskelligartede. Vi har typisk, og af gode grunde, mere appetit på at tab som følge af interne fejl og mangler end tab som følge af cyberangreb.
For hvert af områderne tages en drøftelse med repræsentanter fra virksomheden, som er i stand til at definere risikoappetit. Vi taler typisk om medarbejdere på C-niveau med et overblik over virksomhedens samlede økonomi og potentielle tab.
Vi ser nu processen følge 6 skridt:
1. Vi indbyder topledelsen til en drøftelse om risikoappetit. Du forbereder dem på, at det ikke bliver den sædvanlige rød-gul-grøn-diskussion. Nej, denne gang kommer de på arbejde.
2. Mødet indledes med kort kalibrering af de deltagende. Deltagerne skal være klar til at gå i system 2-tænkning fremfor at skyde fra hoften. Simple kalibreringsøvelser kan bidrage til det. Se evt. vores artikel om kalibrering.
3. Under mødet stiller vi spørgsmål i formen: ”Hvad er vi villige til at tabe årligt på [INDSÆT TRUSSELSOMRÅDE] med sandsynligheden [INDSÆT PCT%]. Angiv dit svar i kroner”
5. Når vi har defineret tre (eller flere) datapunkter interpolerer vi mellem datapunkterne og får en ”kurve for risikoappetit”. I nedenstående eksempel er der givet 3 datapunkter for risikoappetit. Man er her villig til at tabe 25.000 kr. årligt med 95% sandsynlighed (første punkt til venstre), 500.000 kr. årligt med 50% sandsynlighed (midterste punkt) og 30 mio. kr. årligt med 5% sandsynlighed (yderste punkt til højre).
6. Kurven drøftes og der sker justeringer. Man går typisk ind i kurven forskellige steder og drøfter konsekvensen af appetitten. Er man f.eks. villig til at tabe 1 mio. kr. med ca. 30 % sandsynlighed årligt.
Mødet afsluttes med at deltagerne godkender risikoappetit.
Man gentager processen for et nyt trusselsområde.
ET EKSEMPEL PÅ EN SIMPEL KVANTITATIV BESTEMMELSE AF RISIKOAPPETIT
Som risikoanalytiker ønsker du at forstå hvad virksomheden er villig til at tabe med en sandsynlighed på et givet trusselsområde. Lad os tage et eksempel på området eksterne ondsindede angreb (cyber). Du har nu inviteret CEO og CFO til et møde om risikoappetit på området cyber. Mødet begynder.
Risikoanalytiker: ”Velkommen til en drøftelse om risikoappetit på cyberområdet. Jeg vil indledningsvis minde jer om, at cyber er en reel trussel mod vores virksomhed. Hændelser på cyberområdet er sandsynlige for vores ligesom alle andre virksomheder. Da sikkerhed koster mange ressourcer og kan begrænse vores fleksibilitet, er det vigtigt, at vi etablerer et sikkerhedsniveau, der svarer til vores appetit. Er I enige og er I klar?”
CEO og CFO: ”Vi er enige og helt klar”
Risikoanalytiker: ”Godt. Jeg vil give jeg tre sandsynligheder og bede jer om at afgive et acceptabelt tab i kroner. Det kan godt virke lidt abstrakt men jeg er sikker på at I kan relatere tab med en sandsynlighed til andre områder i vores virksomhed. I kunne måske tænke på placering af likvider hvor man også tager stilling til i hvor høj grad man er villig til at tabe med en vis sandsynlighed. Vi begynder. Så første spørgsmål: Hvilket beløb er vi villige til at tabe med 95% sandsynlighed årligt på cyberområdet (altså et næsten sikkert tab)?”
CEO og CFO: ”0 kr.”
Risikoanalytiker: ”Ja det kunne være dejligt. Det er imidlertid ikke muligt at nedbringe risiko til 0 kr., medmindre vi helt holder op med at anvende IT. Er det dét, I ønsker?”
CEO og CFO: ”Ha, Ha, OK – Det, vi mener er, at vi ikke er villige til at tabe særligt meget på cyber. Skal vi sige 50.000 kr. årligt?”
Risikoanalytiker: ”Noteret. Hvilket beløb er vi villige til at tabe med 50%? (svarende til et plat eller krone) årligt på cyberområdet?”
CEO og CFO: ”Lad os sætte den til 100.000 kr.”
Risikoanalytiker: ”Hvilket beløb er vi villige til at tabe med 5% årligt på cyberområdet?”
CEO og CFO: ”Lad os sætte den til 1.000.000 kr.”
Risikoanalytiker: ”Tak for disse tre datapunkter. Når jeg indplacerer jeres datapunkter i en kurve med logaritmisk skala, ser det således ud. Er I tilfreds med det og er vi enige om, at alt, hvad der falder på venstre side af kurven, er acceptabelt og hvad der falder på højre side, er uacceptabelt?”
CEO og CFO: ”Det ser OK ud for nuværende. Men det ville være rart at se, hvad der er vores nuværende niveau i samme præsentation.”
Risikoanalytiker: ”Vi er i gang med netop at udregne det nuværende risikoniveau og vender tilbage, når resultatet af risikovurderingen foreligger. Jeg kan godt forberede jer på, at cyberområdet kan indeholde ekstreme men sjældne tab som er større end 1 mio. kr., men lad os vende tilbage til det”
Mødet slutter. Jeg ved ikke, hvordan du har det, men er det ikke en bedre drøftelse end at skulle placere grænserne mellem Grøn, Gul og Rød i en risikomatrice?
OPSUMMERING
Lad os opsummere indholdet i følgende punkter:
- Risikoappetit er det risikoniveau, som man er villig til at acceptere for at gennemføre sine målsætninger.
- Den kvalitative opgørelse af risikoappetit er ikke anvendelig i praksis.
- En simpel kvantitativ bestemmelse af risikoappetitten kan ske ved en ”hvad-er-du-villig-til-at-tabe-med-x%-sandsynlighed” drøftelse med direktionen.
- Risikoappetitten kan præsenteres i en risikoappetit kurve. Én kurve samlet og en kurve per område.
Bestemmelse af risikoappetit er en vigtig del af risikostyringen. Lige så vigtigt er det at forstå sit nuværende risikoniveau. Det vil vi se på i andre artikler.
Så stay tuned.
