top of page
Szukaj

Prawdopodobieństwo w analizie ryzyka.

  • Zdjęcie autora: Marek
    Marek
  • 22 maj
  • 5 minut(y) czytania



W wielu metodykach analizy ryzyka jednym z podstawowych parametrów oceny jest prawdopodobieństwo. Obok skutku stanowi ono najczęściej drugi wymiar macierzy ryzyka, a wartość ryzyka bywa obliczana według prostego wzoru:


ryzyko = prawdopodobieństwo × skutek


Taki zapis jest wygodny, prosty i komunikatywny. Pozwala porządkować ryzyka, tworzyć rankingi, mapy cieplne i priorytety działań. Jednocześnie może prowadzić do istotnego nieporozumienia. Sugeruje bowiem, że prawdopodobieństwo ma charakter ścisły, matematyczny i obiektywny.


W praktyce bardzo często tak nie jest.


Oceniając prawdopodobieństwo ryzyka, rzadko dysponujemy prawdopodobieństwem w sensie statystycznym, wyznaczonym na podstawie dużej liczby powtarzalnych i porównywalnych zdarzeń. Znacznie częściej mamy do czynienia z ekspercką oceną realności określonego scenariusza, dokonywaną przy niepełnej informacji, w konkretnym kontekście organizacyjnym, technologicznym, prawnym i biznesowym.


Dlatego przypisując prawdopodobieństwo do ryzyka powinniśmy zastanawiać się nie tyle nad tym jaką liczbę przypisać prawdopodobieństwu co raczej nad tym co ta liczba oznacza, z czego wynika i jakie przesłanki ją uzasadniają?


Prawdopodobieństwo ryzyka to nie to samo co rzut kostką

W klasycznym rozumieniu prawdopodobieństwa często odwołujemy się do prostych przykładów: rzutu monetą, rzutu kostką albo losowania kuli z urny. W takich sytuacjach znamy przestrzeń możliwych wyników, możemy określić populację zdarzeń, a sam eksperyment jest powtarzalny w porównywalnych warunkach.


Ryzyka organizacyjne mają zupełnie inny charakter.


Ryzyko skutecznego ataku ransomware, ryzyko utraty dostępności systemu, ryzyko naruszenia poufności danych, ryzyko niezgodności z wymaganiami prawnymi albo ryzyko przerwania ciągłości działania nie są zdarzeniami identycznymi, powtarzanymi w laboratoryjnych warunkach. Każde z nich występuje w określonym kontekście: przy konkretnych zasobach, procesach, podatnościach, zabezpieczeniach, zależnościach od dostawców, poziomie świadomości pracowników i aktualnym profilu zagrożeń.


Nawet jeżeli posiadamy dane historyczne, na przykład liczbę odnotowanych incydentów w danym sektorze, sama liczba zdarzeń nie jest jeszcze prawdopodobieństwem. Aby mówić o prawdopodobieństwie w sensie ilościowym, należałoby zdefiniować populację odniesienia, okres obserwacji, kryteria porównywalności zdarzeń oraz poziom ekspozycji.


Liczba incydentów może być więc ważną przesłanką oceny. Może wskazywać trend, aktywność określonych źródeł zagrożeń albo zmianę ekspozycji sektora. Nie jest jednak automatycznie prawdopodobieństwem wystąpienia konkretnego scenariusza ryzyka w konkretnej organizacji.


Likelihood czy Probability ?

W języku polskim często jednym słowem „prawdopodobieństwo” opisujemy różne pojęcia. Tymczasem w zarządzaniu ryzykiem warto odróżnić ścisłe, matematyczne probability od szerzej rozumianego likelihood, czyli szansy, możliwości albo realności wystąpienia danego scenariusza.


To rozróżnienie jest istotne również w świetle standardów zarządzania ryzykiem. ISO 31000 definiuje ryzyko jako wpływ niepewności na cele, a ISO 31073 wskazuje, że likelihood może być określany zarówno jakościowo, jak i ilościowo, subiektywnie albo obiektywnie.


W praktyce oznacza to, że „prawdopodobieństwo” w analizie ryzyka nie zawsze jest prawdopodobieństwem w sensie statystycznym. Często jest uporządkowanym osądem eksperckim dotyczącym tego, na ile realny jest dany scenariusz w danych warunkach.

Nie jest więc problemem samo używanie liczb. Problem zaczyna się wtedy, gdy liczby zaczynają udawać większą precyzję, niż naprawdę mają.


Pułapka mnożenia: prawdopodobieństwo razy skutek

W wielu metodykach wartość ryzyka oblicza się jako iloczyn prawdopodobieństwa i skutku. Takie podejście jest praktyczne, ale może tworzyć złudzenie matematycznej ścisłości.


Jeżeli prawdopodobieństwo zostało ocenione na skali od 1 do 5, gdzie poszczególne wartości oznaczają kategorie typu „mało prawdopodobne”, „możliwe”, „prawdopodobne”, „bardzo prawdopodobne”, to nie mamy do czynienia z prawdopodobieństwem w sensie statystycznym. Mamy do czynienia z liczbowym kodem kategorii jakościowej.


Wynik 20, powstały z przemnożenia wartości 4 i 5, nie jest więc precyzyjną wartością oczekiwaną straty. Jest wynikiem punktowym, który pomaga organizacji uporządkować ryzyka i podejmować decyzje. Nie oznacza jednak, że ryzyko ocenione na 20 jest dokładnie dwa razy większe niż ryzyko ocenione na 10.


To ważne, ponieważ skale stosowane w macierzach ryzyka są najczęściej skalami porządkowymi. Na takiej skali można powiedzieć, że poziom 4 oznacza więcej niż poziom 3, ale nie można automatycznie powiedzieć, że oznacza dokładnie o jedną trzecią więcej albo dwa razy więcej niż poziom 2.


Macierz ryzyka może być dobrym narzędziem komunikacji, porządkowania i priorytetyzacji. Nie powinna jednak udawać precyzyjnego modelu ilościowego, jeżeli dane wejściowe mają charakter jakościowy lub ekspercki.

Liczba bez opisu jest tylko pozornie precyzyjna

Skoro liczba przypisana prawdopodobieństwu jest często kodem kategorii jakościowej, najważniejszym elementem metodyki nie jest sama skala liczbowa, lecz jej opis.


Wartość „3” sama w sobie niewiele mówi. Jeżeli oznacza jedynie „średnie prawdopodobieństwo”, pozostawia szerokie pole do subiektywnej interpretacji. Dla jednej osoby „średnie” będzie oznaczało zdarzenie możliwe, ale raczej nietypowe. Dla innej - zdarzenie, którego realnie należy się spodziewać.


Dlatego opisy skal nie powinny być zbyt lakoniczne. Powinny wskazywać przesłanki, warunki i przykłady, które pomagają odróżnić jeden poziom od drugiego. Analiza ryzyka musi być bowiem powtarzalna i porównywalna. Różne osoby, w różnym czasie, analizując podobne scenariusze w podobnych warunkach, powinny mieć możliwie dużą szansę przypisania im tej samej kategorii prawdopodobieństwa.


W dojrzałej metodyce nie wybieramy więc po prostu liczby. Wybieramy najlepiej pasującą pozycję opisową z katalogu prawdopodobieństw. Liczba jest tylko technicznym kodem tej pozycji.


Przykładowo, zamiast opisu „3 - średnie prawdopodobieństwo”, lepiej wskazać:

Scenariusz jest realny w analizowanym okresie. Istnieją konkretne przesłanki wskazujące na możliwość jego materializacji, np. podobne zdarzenia występowały w organizacji, sektorze lub w porównywalnych warunkach, a obecne zabezpieczenia tylko częściowo ograniczają tę możliwość.

Taki opis nie eliminuje subiektywności, ale znacząco ją ogranicza.


Ocena ekspercka zawsze będzie częściowo uznaniowa

Nawet najlepsza skala nie usunie w pełni uznaniowości. Analiza ryzyka dotyczy przyszłości, niepewności i zdarzeń, które mogą, ale nie muszą wystąpić. W wielu przypadkach nie da się uniknąć oceny eksperckiej.


Problemem nie jest to, że ekspert dokonuje osądu. Problemem jest sytuacja, w której osąd ten nie jest przejrzysty, udokumentowany ani możliwy do uzasadnienia.

Jeżeli analityk przypisuje ryzyku prawdopodobieństwo na poziomie 4, powinien umieć odpowiedzieć na pytania:

Jakie przesłanki uzasadniają tę ocenę? Jakie podatności ją podnoszą? Jakie zabezpieczenia ją obniżają? Czy występują aktywne źródła zagrożenia? Czy organizacja jest szczególnie eksponowana? Co musiałoby się zmienić, aby ocena spadła z 4 do 3?


Tak rozumiana ocena prawdopodobieństwa staje się nie tylko wynikiem, ale również argumentacją. A to właśnie argumentacja decyduje o jakości analizy ryzyka.


Czynniki ryzyka zamiast jednej arbitralnej liczby

Krokiem w stronę podniesienia jakości analizy jest wprowadzenie pojęcia czynników ryzyka.


Zamiast jednej syntetycznej pozycji „prawdopodobieństwo” analizujemy zestaw przesłanek, które wpływają na realność scenariusza. Mogą to być w szczególności:

  • źródła zagrożeń,

  • podatności,

  • ekspozycja organizacji,

  • warunki sprzyjające,

  • skuteczność zabezpieczeń,

  • dane historyczne,

  • zależności od procesów, systemów i dostawców.


Takie podejście pozwala przejść od pytania: „jak bardzo prawdopodobne jest to ryzyko?” do pytania: „dlaczego miałoby się wydarzyć?”


To przesunięcie jest kluczowe. Jeżeli rozumiemy czynniki ryzyka, lepiej rozumiemy sam scenariusz. Wiemy, które elementy podnoszą jego realność, które można mitygować, które należy monitorować, a które pozostają poza bezpośrednim wpływem organizacji.

Przykład: brak regularnych testów odtwarzania kopii zapasowych może wpływać jednocześnie na ryzyko braku możliwości odtworzenia danych, ryzyko wydłużenia przerwy w działaniu usługi, ryzyko utraty danych po ataku ransomware, ryzyko niespełnienia wymagań ciągłości działania oraz ryzyko podejmowania decyzji na podstawie fałszywego przekonania, że kopie zapasowe są skuteczne.

Jedna słabość nie tworzy więc jednego ryzyka. Może wpływać na wiele scenariuszy jednocześnie.


Od rejestru ryzyk do mapy zależności

Ryzyka rzadko są całkowicie niezależne. Jedno ryzyko może zwiększać prawdopodobieństwo innego. Jeden czynnik może wpływać na kilka scenariuszy. Jedna podatność może mieć znaczenie dla wielu zasobów i procesów. Z kolei jedno działanie mitygujące może obniżać kilka ryzyk jednocześnie.


Dlatego dojrzała analiza ryzyka nie powinna być wyłącznie tabelą zdarzeń i ocen. Powinna być mapą mechanizmów, które mogą prowadzić do zakłócenia celów organizacji.


Powiązanie czynników ryzyka w mapę zależności przyczynowo-skutkowych pozwala ograniczyć liczbę ocen dokonywanych arbitralnie i w oderwaniu od kontekstu. Część ocen nadal będzie ekspercka, ale będą one lepiej zakorzenione w rozpoznanych przyczynach.


Podsumowanie

Prawdopodobieństwo w analizie ryzyka jest pojęciem znacznie bardziej złożonym, niż sugeruje to prosta macierz. W wielu przypadkach nie mierzymy prawdopodobieństwa w sensie statystycznym. Oceniamy realność scenariusza w określonym kontekście, na podstawie dostępnych przesłanek, wiedzy eksperckiej, podatności, ekspozycji i skuteczności zabezpieczeń.


Dlatego liczba przypisana prawdopodobieństwu nie powinna być traktowana jako samodzielna prawda o ryzyku. Powinna być rozumiana jako skrót dobrze opisanej kategorii decyzyjnej.


Im lepiej opiszemy skale, im dokładniej zidentyfikujemy czynniki ryzyka i im wyraźniej pokażemy zależności przyczynowo-skutkowe, tym mniej arbitralna będzie ocena.


Dojrzała analiza ryzyka nie polega więc na tym, aby przypisać zdarzeniu liczbę. Polega na tym, aby zrozumieć mechanizm, który może zagrozić celom organizacji.



 

 
 
 

Komentarze

© 2025 by Rigil sp. z o.o. 

bottom of page