Ryzyko inherentne, zwane tak\u017ce ryzykiem wbudowanym, to poziom zagro\u017cenia, kt\u00f3ry wyst\u0119puje, zanim zaczn\u0105 dzia\u0142a\u0107 kontrole ryzyka, a organizacja wdro\u017cy jakiekolwiek zabezpieczenia. Wynika ono z samej natury prowadzonej dzia\u0142alno\u015bci, niezale\u017cnie od tego, co firma robi, \u017ceby si\u0119 chroni\u0107. Proces obs\u0142ugi p\u0142atno\u015bci jest nara\u017cony na oszustwa, system informatyczny na ataki, a dane wra\u017cliwe mog\u0105 wyciec. To w\u0142a\u015bnie jest ryzyko inherentne, poniewa\u017c towarzyszy dzia\u0142alno\u015bci od pocz\u0105tku.<\/p>\n\n\n\n
W efektywnym zarz\u0105dzaniu ryzykiem \u015bwiadomo\u015b\u0107 tego poziomu zagro\u017cenia stanowi punkt wyj\u015bcia do dalszej pracy. Pozwala ona por\u00f3wnywa\u0107 obszary dzia\u0142alno\u015bci i sprawdza\u0107, gdzie ryzyko jest najwi\u0119ksze jeszcze przed ocen\u0105 skuteczno\u015bci zabezpiecze\u0144.<\/p>\n\n\n\n
Ryzyko rezydualne lub szcz\u0105tkowe to ryzyko, kt\u00f3re nie znika po wdro\u017ceniu zabezpiecze\u0144. Nawet przy istniej\u0105cych procedurach, systemach ochrony i przeszkolonym personelu pewien stopie\u0144 ryzyka zawsze si\u0119 utrzymuje. Ryzyko rezydualne odnosi si\u0119 w\u0142a\u015bnie do tego pozosta\u0142ego poziomu zagro\u017cenia i uwzgl\u0119dnia skuteczno\u015b\u0107 zastosowanych \u015brodk\u00f3w kontrolnych, a nie tylko ich formalne istnienie.<\/p>\n\n\n\n
Przy podejmowaniu kluczowych decyzji biznesowych nale\u017cy bra\u0107 pod uwag\u0119 ryzyko rezydualne. Je\u015bli organizacja posiada zabezpieczenia, ale nie monitoruje ich skuteczno\u015bci ani nie wyznacza os\u00f3b za nie odpowiedzialnych, ich efektywno\u015b\u0107 stopniowo spada. W rezultacie ryzyko wzrasta, mimo \u017ce dokumentacja mo\u017ce wskazywa\u0107 na co\u015b przeciwnego.<\/p>\n\n\n\n
Rozr\u00f3\u017cnienie mi\u0119dzy tymi dwoma poziomami wprowadza \u0142ad i logik\u0119 w procesie zarz\u0105dzania ryzykiem, poniewa\u017c umo\u017cliwia oddzielenie oceny samych zagro\u017ce\u0144 od oceny tego, czy zabezpieczenia faktycznie je ograniczaj\u0105. Dzi\u0119ki temu zespo\u0142y odpowiedzialne za ryzyko, IT i bezpiecze\u0144stwo maj\u0105 wsp\u00f3lny punkt odniesienia przy ustalaniu priorytet\u00f3w i podejmowaniu decyzji.<\/p>\n\n\n\n
Ten podzia\u0142 ma te\u017c praktyczne konsekwencje dla organizacji. Je\u015bli ryzyko inherentne jest wysokie, a rezydualne niskie, zabezpieczenia dzia\u0142aj\u0105. Je\u015bli ryzyko rezydualne pozostaje wysokie mimo rozbudowanych kontroli ryzyka, warto sprawdzi\u0107, czy zabezpieczenia naprawd\u0119 odpowiadaj\u0105 zagro\u017ceniom, z kt\u00f3rymi firma si\u0119 mierzy.<\/p>\n\n\n\n
Poziomy ryzyka staj\u0105 si\u0119 u\u017cytecznym narz\u0119dziem zarz\u0105dzania dopiero wtedy, gdy organizacja potrafi powi\u0105za\u0107 je z konkretnymi dzia\u0142aniami. Te dzia\u0142ania opieraj\u0105 si\u0119 na sta\u0142ych kontrolach ryzyka oraz jego mitygacji.<\/p>\n\n\n\n
Kontrole ryzyka to mechanizmy organizacyjne, proceduralne i techniczne, kt\u00f3re ograniczaj\u0105 prawdopodobie\u0144stwo wyst\u0105pienia zdarzenia albo jego skutki. Mog\u0105 one dotyczy\u0107 dost\u0119pu do system\u00f3w, zatwierdzania zmian, monitoringu, kopii zapasowych, zarz\u0105dzania podatno\u015bciami, a tak\u017ce wymaga\u0144 wobec dostawc\u00f3w. Kontrola jest u\u017cyteczna, gdy odnosi si\u0119 do konkretnego zagro\u017cenia, wiadomo, kto za ni\u0105 odpowiada, i mo\u017cna sprawdzi\u0107 jej skuteczno\u015b\u0107.<\/p>\n\n\n\n
Mitygacja ryzyka to z kolei og\u00f3\u0142 dzia\u0142a\u0144 prowadz\u0105cych do obni\u017cenia jego poziomu. W zale\u017cno\u015bci od rodzaju ryzyka mo\u017ce oznacza\u0107 wdro\u017cenie nowego zabezpieczenia, zmian\u0119 procesu, ograniczenie zakresu przetwarzanych danych, rozdzielenie uprawnie\u0144 albo przebudow\u0119 architektury. Dobrze zaplanowana mitygacja przek\u0142ada si\u0119 na wymierny spadek ryzyka rezydualnego, bo zmienia realn\u0105 ekspozycj\u0119 po zastosowaniu zabezpiecze\u0144.<\/p>\n\n\n\n
W wielu organizacjach porz\u0105dek w opisie ryzyka i kontroli wprowadza RCSA<\/a> (ang. risk and control self-assessment). To podej\u015bcie u\u0142atwia por\u00f3wnanie wynik\u00f3w i wprowadza sp\u00f3jne zasady oceny w ca\u0142ej organizacji.<\/p>\n\n\n\n Wdro\u017cenie kontroli ryzyka to dopiero pocz\u0105tek. Zale\u017cy nam przecie\u017c przede wszystkim na tym, aby przynosi\u0142a ona efekt, a to wymaga regularnej weryfikacji. Testy, przegl\u0105dy i wyniki audytu pokazuj\u0105, czy kontrola dzia\u0142a tak, jak powinna, czy tylko figuruje w procedurach.<\/p>\n\n\n\n Wynik weryfikacji powinien bezpo\u015brednio wp\u0142ywa\u0107 na ocen\u0119 ryzyka. Je\u015bli kontrola dzia\u0142a gorzej ni\u017c zak\u0142adano, ryzyko rezydualne jest wy\u017csze ni\u017c wynika z rejestru, a decyzje zarz\u0105du opieraj\u0105 si\u0119 na b\u0142\u0119dnych danych. Dlatego sprawdzanie, czy kontrole dzia\u0142aj\u0105 oraz aktualizacja oceny ryzyka stanowi\u0105 jeden proces, a nie dwa osobne zadania.<\/p>\n\n\n\n W wi\u0119kszych organizacjach, gdzie kontrole s\u0105 rozproszone mi\u0119dzy r\u00f3\u017cnymi zespo\u0142ami i systemami, trudniej jest utrzyma\u0107 sp\u00f3jno\u015b\u0107 weryfikacji. Warto wtedy wiedzie\u0107, jak zintegrowa\u0107 kontrole wewn\u0119trzne z zarz\u0105dzaniem ryzykiem<\/a>, bo po\u0142\u0105czenie kontroli, dowod\u00f3w i wynik\u00f3w w jednym obiegu sprawia, \u017ce ocena ryzyka odzwierciedla rzeczywisto\u015b\u0107, a nie stan sprzed kilku miesi\u0119cy.<\/p>\n\n\n\n Termin apetyt na ryzyko okre\u015bla, jaki poziom ryzyka organizacja jest gotowa zaakceptowa\u0107. Taka rama jest potrzebna, poniewa\u017c w ka\u017cdej firmie pojawiaj\u0105 si\u0119 obszary, w kt\u00f3rych koszty zabezpiecze\u0144 rosn\u0105 szybciej ni\u017c wynikaj\u0105ce z nich korzy\u015bci.<\/p>\n\n\n\n Apetyt na ryzyko odnosi si\u0119 do poziomu ryzyka rezydualnego, kt\u00f3ry organizacja uznaje za dopuszczalny po wdro\u017ceniu zabezpiecze\u0144. Wynik oceny przekraczaj\u0105cy przyj\u0119ty pr\u00f3g poci\u0105ga za sob\u0105 konieczno\u015b\u0107 zdecydowania o dodatkowych dzia\u0142aniach, zmianie procesu, przeniesieniu cz\u0119\u015bci ryzyka albo o formalnej akceptacji odchylenia.<\/p>\n\n\n\n Warto z g\u00f3ry ustali\u0107, kto zatwierdza wyj\u0105tki i jak cz\u0119sto aktualizowana jest ocena ryzyka po zmianach w \u015brodowisku zagro\u017ce\u0144 lub w kontrolach. Dzi\u0119ki temu apetyt na ryzyko przestaje by\u0107 jednorazow\u0105 deklaracj\u0105, a staje si\u0119 podstaw\u0105 regularnych decyzji o tym, czy ryzyko rezydualne mie\u015bci si\u0119 w przyj\u0119tych granicach.<\/p>\n\n\n\n Naj\u0142atwiej zrozumie\u0107 zale\u017cno\u015bci mi\u0119dzy ryzykiem nieod\u0142\u0105cznym (inherentnym) a rezydualnym na konkretnych przyk\u0142adach. Poni\u017cej pokazujemy, jak ten sam schemat dzia\u0142a w trzech r\u00f3\u017cnych obszarach.<\/p>\n\n\n\n Administratorzy, deweloperzy i zewn\u0119trzni dostawcy cz\u0119sto maj\u0105 dost\u0119p uprzywilejowany do kluczowych system\u00f3w, czyli uprawnienia wykraczaj\u0105ce poza to, czego wymaga ich codzienna praca. Ryzyko nieod\u0142\u0105czne jest tu wysokie, bo b\u0142\u0105d lub nadu\u017cycie mo\u017ce mie\u0107 powa\u017cne konsekwencje. Kontrole ryzyka w tym obszarze, takie jak segmentacja uprawnie\u0144, uwierzytelnianie wielosk\u0142adnikowe i monitoring dzia\u0142a\u0144, maj\u0105 to ryzyko ogranicza\u0107. Ryzyko rezydualne zale\u017cy od tego, czy s\u0105 one faktycznie stosowane i czy monitoring wykrywa nieprawid\u0142owo\u015bci na czas. Je\u015bli nie, ryzyko pozostaje wysokie niezale\u017cnie od tego, co m\u00f3wi dokumentacja, i organizacja musi zdecydowa\u0107, czy mie\u015bci si\u0119 to w jej apetycie na ryzyko.<\/p>\n\n\n\n Wy\u0142udzenie danych logowania, czyli phishing, to jeden z najcz\u0119stszych sposob\u00f3w, w jaki atakuj\u0105cy dostaj\u0105 si\u0119 do system\u00f3w firmy. Nawet pojedynczy b\u0142\u0105d pracownika mo\u017ce otworzy\u0107 im drzwi do wra\u017cliwych danych. Organizacje ograniczaj\u0105 to ryzyko przez filtrowanie poczty, uwierzytelnianie wielosk\u0142adnikowe i jasne procedury reagowania na podejrzane wiadomo\u015bci. Samo przeszkolenie pracownik\u00f3w rzadko wystarcza, bo ryzyko rezydualne spada dopiero wtedy, gdy zabezpieczenia techniczne i organizacyjne dzia\u0142aj\u0105 razem. Dla firm obj\u0119tych NIS2<\/a> ma to dodatkowe znaczenie, bo incydent wp\u0142ywaj\u0105cy na ci\u0105g\u0142o\u015b\u0107 us\u0142ugi lub dane osobowe wymaga zg\u0142oszenia i udokumentowania podj\u0119tych dzia\u0142a\u0144.<\/p>\n\n\n\n Systemy z lukami w zabezpieczeniach s\u0105 \u0142atwym celem dla atakuj\u0105cych. Im bardziej organizacja zale\u017cy od jednego systemu, tym wy\u017csze jest ryzyko inherentne, bo awaria lub atak mog\u0105 zatrzyma\u0107 ca\u0142\u0105 dzia\u0142alno\u015b\u0107. Regularne aktualizacje, ocena podatno\u015bci i przetestowane procedury odtworzeniowe to kontrole ryzyka, bez kt\u00f3rych trudno m\u00f3wi\u0107 o realnym bezpiecze\u0144stwie. Ryzyko rezydualne cz\u0119sto pozostaje wysokie nie dlatego, \u017ce kontroli brakuje, ale dlatego, \u017ce aktualizacje s\u0105 odk\u0142adane, a plany odtworzenia nigdy nie zosta\u0142y sprawdzone w praktyce.<\/p>\n\n\n\n B\u0142\u0119dy w zarz\u0105dzaniu ryzykiem maj\u0105 wsp\u00f3lny mianownik. Wynikaj\u0105 najcz\u0119\u015bciej z rozbie\u017cno\u015bci mi\u0119dzy dokumentacj\u0105 a realnym dzia\u0142aniem. W efekcie organizacja raportuje poziom ryzyka, kt\u00f3ry nie oddaje faktycznej ekspozycji.<\/p>\n\n\n\n Pierwszy b\u0142\u0105d dotyczy samego podej\u015bcia do poziom\u00f3w ryzyka. Organizacje koncentruj\u0105 si\u0119 na ryzyku nieod\u0142\u0105cznym (inherentnym), a potem przechodz\u0105 do wniosk\u00f3w bez sprawdzenia, jak dzia\u0142aj\u0105 kontrole ryzyka. W takim uk\u0142adzie ryzyko rezydualne bywa zani\u017cone, poniewa\u017c opiera si\u0119 na za\u0142o\u017ceniu o skuteczno\u015bci, a nie na danych i dowodach.<\/p>\n\n\n\n Cz\u0119stym problemem jest te\u017c utrzymanie kontroli. Dobrze zaprojektowana kontrola ma okre\u015blon\u0105 cz\u0119stotliwo\u015b\u0107, jest regularnie aktualizowana i podlega wskazanej osobie odpowiedzialnej za jej dzia\u0142anie. Brak tych element\u00f3w podnosi ryzyko rezydualne nawet wtedy, gdy dokumentacja opisuje kontrol\u0119 poprawnie. Ocena ryzyka traci aktualno\u015b\u0107, bo opisuje kontrole, kt\u00f3re przesta\u0142y dzia\u0142a\u0107 tak, jak zak\u0142adano.<\/p>\n\n\n\n Trzecia pu\u0142apka pojawia si\u0119 na poziomie decyzji. Organizacja deklaruje niski apetyt na ryzyko, a w rzeczywisto\u015bci akceptuje wysoki poziom ryzyka rezydualnego bez formalnej decyzji i bez planu dzia\u0142a\u0144. W tle pojawia si\u0119 te\u017c problem terminologiczny, bo poj\u0119cie ryzyko inherentne<\/em> bywa u\u017cywane w r\u00f3\u017cnych znaczeniach w zale\u017cno\u015bci od zespo\u0142u, co utrudnia por\u00f3wnywanie wynik\u00f3w dla r\u00f3\u017cnych rodzaj\u00f3w ryzyka i raportowanie.<\/p>\n\n\n\n Rozdzielenie poziom\u00f3w ryzyka zapewnia wsp\u00f3lny j\u0119zyk dla oceny proces\u00f3w, kontroli i decyzji zarz\u0105dczych w obszarze GRC<\/a> i audytu. U\u0142atwia te\u017c ustalanie priorytet\u00f3w, bo pozwala odr\u00f3\u017cni\u0107 miejsca, gdzie problemem jest skala zagro\u017cenia, od tych, gdzie ryzyko rezydualne pozostaje wysokie mimo wdro\u017conych zabezpiecze\u0144.<\/p>\n\n\n\n Z perspektywy audytu wewn\u0119trznego sama dokumentacja kontroli nie wystarczy. Audyt sprawdza, czy kontrole ryzyka s\u0105 faktycznie realizowane, czy wyniki test\u00f3w wp\u0142ywaj\u0105 na ocen\u0119 ryzyka i czy zmiana kontroli prowadzi do zmiany jego poziomu. Takie podej\u015bcie zapewnia powtarzalno\u015b\u0107, kt\u00f3ra jest istotna w \u015brodowisku regulacyjnym.<\/p>\n\n\n\n Odpowiednie narz\u0119dzia u\u0142atwiaj\u0105 te\u017c utrzymanie sp\u00f3jno\u015bci w wi\u0119kszych organizacjach. Platforma do zarz\u0105dzania ryzykiem<\/a> \u0142\u0105czy rejestr ryzyk z kontrolami, dowodami i histori\u0105 decyzji, co pozwala zachowa\u0107 przejrzysto\u015b\u0107 raportowania niezale\u017cnie od liczby obszar\u00f3w i zespo\u0142\u00f3w.<\/p>\n\n\n\nOcena skuteczno\u015bci kontroli<\/h2>\n\n\n\n
Apetyt na ryzyko i progi decyzyjne<\/h2>\n\n\n\n
Przyk\u0142ady z obszaru IT i cyberbezpiecze\u0144stwa<\/h2>\n\n\n\n
Dost\u0119p do system\u00f3w krytycznych<\/h3>\n\n\n\n
Phishing i przej\u0119cie konta pracownika<\/h3>\n\n\n\n
Podatno\u015bci w systemach<\/h3>\n\n\n\n
Najcz\u0119stsze b\u0142\u0119dy w ocenie ryzyka<\/h2>\n\n\n\n
Poziomy ryzyka w GRC i audycie<\/h2>\n\n\n\n
Podsumowanie i dobre praktyki<\/h2>\n\n\n\n