Vyhodnocení tolerance rizikEvaluate risk tolerance

Každé obchodní rozhodnutí vytvoří nová rizika.Every business decision creates new risks. Investice do nějakého podílu vzniká rizikem ztrát.Making an investment in anything creates risk of losses. Nové produkty nebo služby vytvářejí rizika při selhání trhu.New products or services create risks of market failure. Změny stávajících produktů nebo služeb můžou snížit podíl na trhu.Changes to current products or services could reduce market share. Transformace cloudu neposkytuje řešení Magical pro běžné obchodní riziko.Cloud transformation does not provide a magical solution to everyday business risk. V opačném případě připojená řešení (v cloudu nebo v místním prostředí) zavádějí nová rizika.To the contrary, connected solutions (cloud or on-premises) introduce new risks. Nasazení prostředků do libovolného zařízení připojeného k síti také rozbalí potenciální profil hrozeb tím, že odhalí slabiny zabezpečení mnohem širší a globální komunitě.Deploying assets to any network connected facility also expands the potential threat profile by exposing security weaknesses to a much broader, global community. Naštěstí poskytovatelé cloudu mají informace o změnách, zvýšení a přidání rizik.Fortunately, cloud providers are aware of the changes, increases, and addition of risks. Investovaly do značné míry ke snížení a správě těchto rizik jménem svých zákazníků.They invest heavily to reduce and manage those risks on the behalf of their customers.

Tento článek se nezaměřuje na rizika cloudu.This article is not focused on cloud risks. Místo toho se postará o obchodní rizika spojená s různými formami cloudové transformace.Instead it discusses the business risks associated with various forms of cloud transformation. V níže uvedeném článku se diskuze přesune na diskuzi o způsobech, jak pochopit toleranci firmy při jejich riziku.Later in the article, the discussion shifts focus to discuss ways of understanding the business's tolerance for risk.

Jaká podniková rizika jsou přidružená k transformaci cloudu?What business risks are associated with a cloud transformation?

Skutečná obchodní rizika jsou založena na podrobnostech specifických transformací.True business risks are based on the details of specific transformations. Několik běžných rizik představuje úvodníka konverzace pro pochopení podnikových rizik.Several common risks provide a conversation starter to understand business-specific risks.

Důležité

Než si přečtete následující, mějte na paměti, že je možné spravovat každé z těchto rizik.Before reading the following, be aware that each of these risks can be managed. Cílem tohoto článku je informovat a připravit čtenáře pro lepší diskuzi o řízení rizik.The goal of this article is to inform and prepare readers for more productive risk management discussions.

  • Porušení dat: Hlavní riziko spojené s jakoukoli transformací je porušení dat.Data breach: The top risk associated with any transformation is a data breach. Nevracení dat může způsobit značnou škodu vaší společnosti, což vede ke ztrátě zákazníků, snížení obchodu nebo dokonce právní zodpovědnosti.Data leaks can cause significant damage to your company, leading to loss of customers, decrease in business, or even legal liability. Jakékoli změny způsobu, jakým se data ukládají, zpracovávají nebo využívají, vytváří riziko.Any changes to the way data is stored, processed, or used creates risk. Cloudové transformace vytvářejí vysoký stupeň změny v souvislosti se správou dat, takže by riziko nemělo být pokaždé lehce.Cloud transformations create a high degree of change regarding data management, so the risk should not be taken lightly. Jednotlivá pravidla, klasifikace data přírůstkové racionalizace , mohou jednotlivé úrovně zabezpečeníspravovat.The Security Baseline discipline, data classification, and incremental rationalization can each help manage this risk.

  • Přerušení služby: Firemní operace a prostředí pro zákazníky spoléhají na technické operace.Service disruption: Business operations and customer experiences rely heavily on technical operations. Cloudové transformace vytvoří změnu v provozu IT.Cloud transformations will create change in IT operations. V některých organizacích je tato změna malá a snadno upravena.In some organizations, that change is small and easily adjusted. V jiných organizacích můžou tyto změny vyžadovat přesazování, rekurzi nebo nové přístupy k podpoře cloudových operací.In other organizations, these changes could require retooling, retraining, or new approaches to support cloud operations. Větší změna, tím větší je možný dopad na obchodní provoz a prostředí pro zákazníky.The bigger the change, the bigger the potential impact on business operations and customer experience. Správa tohoto rizika bude vyžadovat zapojení firmy do plánování transformace.Managing this risk will require the involvement of the business in transformation planning. Plánování vydání a první výběr úloh v článku přírůstkové racionalizace projednávají způsoby, jak zvolit úlohy pro transformační projekty.Release planning and first workload selection in the incremental rationalization article discuss ways to choose workloads for transformation projects. Role firmy v této aktivitě je určena k sdělování rizik obchodních operací se změnou prioritních úloh.The business's role in that activity is to communicate the business operations risk of changing prioritized workloads. Pomoc při výběru úloh, které mají nižší dopad na operace, sníží celkové riziko.Helping IT choose workloads that have a lower impact on operations will reduce the overall risk.

  • Řízení rozpočtu: Modely nákladů se mění v cloudu.Budget control: Cost models change in the cloud. Tato změna může vytvořit rizika spojená s přetečením nákladů nebo zvýšit náklady na prodané zboží (COGS), zejména přímo s atributy provozní výdaje.This change can create risks associated with cost overruns or increases in the cost of goods sold (COGS), especially directly attributed operating expenses. Když firmy úzce spolupracuje, je vhodné vytvořit transparentnost týkající se nákladů a služeb spotřebovaných různými obchodními jednotkami, programy nebo projekty.When business works closely with IT, it's feasible to create transparency regarding costs and services consumed by various business units, programs, or projects. Cost management disciplína poskytuje příklady, jak firmy, tak i to, jak se může vymezit v tomto tématu.The Cost Management discipline provides examples of ways business and IT can partner on this topic.

Výše uvedené jsou některé z nejběžnějších rizik zmíněných zákazníky.The above are a few of the most common risks mentioned by customers. Tým zásad správného řízení cloudu a týmy pro přijetí v cloudu můžou začít vyvíjet profil rizika, protože úlohy se migrují a připravují na produkční verzi.The cloud governance team and the cloud adoption teams can begin to develop a risk profile, as workloads are migrated and readied for production release. Připravte se na konverzace, abyste mohli definovat, zdokonalovat a spravovat rizika na základě požadovaných obchodních výsledků a jejich transformačního úsilí.Be prepared for conversations to define, refine, and manage risks based on the desired business outcomes and transformation effort.

Vysvětlení tolerance rizikaUnderstand risk tolerance

Identifikace rizika je poměrně přímým procesem.Identifying risk is a fairly direct process. Rizika související s IT jsou obecně standardně v různých oborech.IT-related risks are generally standard across industries. Tolerance těchto rizik je specifická pro každou organizaci.Tolerance for these risks is specific to each organization. To je bod, ve kterém se v podnikových a IT konverzacích stává reagovat.This is the point where business and IT conversations tend to get hung up. Každá strana konverzace se v podstatě projeví v jiném jazyce.Each side of the conversation is essentially speaking a different language. Následující porovnání a otázky jsou navržené tak, aby se spouštěly konverzace, které pomůžou každé straně lépe pochopit a vypočítat toleranci rizik.The following comparisons and questions are designed to start conversations that help each party better understand and calculate risk tolerance.

Jednoduchý případ použití pro porovnáníSimple use case for comparison

Abychom lépe pochopili toleranci rizik, prohlížíme zákaznická data.To help understand risk tolerance, let's examine customer data. Pokud společnost v jakémkoli odvětví účtuje zákaznická data na nezabezpečeném serveru, je toto technické riziko napadených nebo odcizených dat zhruba stejné.If a company in any industry posts customer data on an unsecured server, the technical risk of that data being compromised or stolen is roughly the same. Tolerance tohoto rizika se bude měnit na základě povahy a potenciální hodnoty dat.Tolerance for that risk will vary wildly based on the nature and potential value of the data.

  • Společnosti v oblasti zdravotnictví a finance v USA se řídí tuhými požadavky jiných výrobců.Companies in healthcare and finance in the United States, are governed by rigid, third-party compliance requirements. Předpokládá se, že osobní údaje nebo údaje týkající se zdravotní péče jsou mimořádně důvěrné.It's assumed that personal data or healthcare-related data is extremely confidential. Existují závažné důsledky pro tyto typy společností, pokud jsou zapojeny do výše uvedeného scénáře rizika.There are severe consequences for these types of companies, if they're involved in the risks scenario above. Jejich tolerance bude extrémně nízká.Their tolerance will be extremely low. Všechna zákaznická data publikovaná v síti nebo mimo ni se musí řídit zásadami dodržování předpisů třetích stran.Any customer data published inside or outside of the network must be governed by those third-party compliance policies.
  • Herní společnost, jejíž zákaznická data jsou omezená na uživatelské jméno, časy hraní a vysoké skóre, se neshoduje s tím, že by při zapojení do reputace byly významné důsledky oproti ztrátám.A gaming company whose customer data is limited to a user name, play times, and high scores is not as likely to suffer significant consequences beyond loss to reputation, if they engage in the risky behavior above. I když jsou všechna nezabezpečená data ohrožená, dopad tohoto rizika je malý.While any unsecured data is at risk, the impact of that risk is small. Proto tolerance rizika v tomto případě je vysoká.Therefore, the tolerance for risk in this case is high.
  • Středně velký podnik, který poskytuje jednorázové čisticí služby tisícům, by klesl mezi tyto dvě extrémní odchylky.A medium-sized enterprise that provides carpet-cleaning services to thousands of customers would fall in between these two tolerance extremes. Zákaznická data můžou být robustnější, a to s podrobnostmi, jako jsou adresy a telefonní čísla.Customer data may be more robust, containing details like addresses and phone numbers. Obě jsou považovány za osobní údaje a měly by být chráněny, ale žádné konkrétní požadavky zásad správného řízení neplatí pro zabezpečení dat.Both are considered personal data and should be protected, but no specific governance requirement mandates that the data be secured. Z perspektivy IT je odpověď jednoduchá a zabezpečení dat.From an IT perspective, the answer is simple, secure the data. Z obchodní perspektivy to nemusí být jednoduché.From a business perspective, it may not be as simple. Firma bude potřebovat další podrobnosti předtím, než by bylo možné určit úroveň tolerance pro toto riziko.The business would need more details before they could determine a level of tolerance for this risk.

V další části se dozvíte několik ukázkových otázek, které by mohly přispět k tomu, že podnik určí úroveň tolerance rizika pro případ použití nad nebo ostatním.The next section shares a few sample questions that could help the business determine a level of risk tolerance for the use case above or others.

Otázky tolerance rizikRisk tolerance questions

V této části jsou uvedené otázky týkající se konverzace provoking ve třech kategoriích: dopad ztráty, pravděpodobnost ztráty a náklady na nápravu.This section lists conversation provoking questions in three categories: loss impact, probability of loss, and remediation costs. Když podnik a IT partner řeší každou z těchto oblastí, je možné snadno určit rozhodnutí o vynaložení úsilí na správu rizik a celkovou toleranci vůči určitému riziku.When business and IT partner to address each of these areas, the decision to expend effort on managing risks and the overall tolerance to a particular risk can easily be determined.

Dopad ztráty: Otázky, které určují dopad rizika.Loss impact: Questions to determine the impact of a risk. Odpovědi na tyto otázky můžou být obtížné.These questions can be difficult to answer. Vyčíslení dopadu je nejlepší, ale někdy stačí pouze v konverzaci, aby bylo možné pochopit toleranci.Quantifying the impact is best, but sometimes the conversation alone is enough to understand tolerance. Rozsahy jsou také přijatelné, zejména pokud obsahují předpoklady, které tyto rozsahy určily.Ranges are also acceptable, especially if they include assumptions that determined those ranges.

  • Mohlo by toto riziko porušovat požadavky jiných výrobců na dodržování předpisů?Could this risk violate third-party compliance requirements?
  • Mohlo by toto riziko narušovat interní podnikové zásady?Could this risk violate internal corporate policies?
  • Mohla by tato rizika způsobit ztrátu životnosti, limbu nebo vlastnosti?Could this risk cause the loss of life, limb or property?
  • Je možné, že tyto rizikové náklady zákazníci nebo podíl na trhu?Could this risk cost customers or market share? Pokud ano, můžou se tyto náklady kvantifikovat?If so, can this cost be quantified?
  • Mohlo by toto riziko vytvořit negativní prostředí pro zákazníky?Could this risk create negative customer experiences? Mají tyto zkušenosti vliv na prodej nebo výnosy?Are those experiences likely to affect sales or revenue?
  • Mohlo by toto riziko vytvořit novou právní odpovědnost?Could this risk create new legal liability? Pokud ano, má tato ocenění přednost před započetím škod v těchto typech případů?If so, is there a precedence for damage awards in these types of cases?
  • Mohlo dojít k zastavení obchodních operací?Could this risk stop business operations? Pokud ano, jak dlouho budou operace provozu?If so, how long would operations be down?
  • Mohl by toto riziko zpomalit obchodní operace?Could this risk slow business operations? Pokud ano, jak pomalé a jak dlouho?If so, how slow and how long?
  • V této fázi transformace je toto riziko jednorázové nebo se bude opakovat?At this stage in the transformation is this a one-off risk or will it repeat?
  • Zvyšuje se riziko při transformaci v četnosti nebo zmenšování?Does the risk increase or decrease in frequency as the transformation progresses?
  • Zvyšuje riziko v průběhu času pravděpodobnost nebo snižuje pravděpodobnost?Does the risk increase or decrease in probability over time?
  • Rozlišuje se rizikový čas v podstatě?Is the risk time sensitive in nature? Bude riziko úspěch nebo bude horší, pokud není vyřešeno?Will the risk pass or get worse, if not addressed?

Tyto základní otázky budou mít spoustu dalších informací.These basic questions will lead to many more. Po prozkoumávání dialogu v pořádku je navrženo, že příslušná rizika budou zaznamenána a je-li možno kvantifikovaná.After exploring a healthy dialogue, it's suggested that the relevant risks be recorded and when possible quantified.

Náklady na nápravu rizik: Otázky k určení nákladů na odebrání nebo jiné minimalizaci rizika.Risk remediation costs: Questions to determine the cost of removing or otherwise minimizing the risk. Tyto otázky mohou být poměrně přímé, zejména pokud jsou v rozsahu zastoupené.These questions can be fairly direct, especially when represented in a range.

  • Existuje jasné řešení a k čemu stojí?Is there a clear solution and what does it cost?
  • Existují možnosti prevence a minimalizace tohoto rizika?Are there options for preventing or minimizing this risk? Jaký je rozsah nákladů na tato řešení?What is the range of costs for those solutions?
  • Co je potřeba od firmy k výběru nejlepšího řešení pro vymazání?What is needed from the business to select the best, clear solution?
  • Co je potřeba z firmy a ověřit náklady?What is needed from the business to validate costs?
  • Jaké další výhody můžou pocházet z řešení, které by toto riziko odebralo?What other benefits can come from the solution that would remove this risk?

Tyto otázky oproti tomu zjednodušují technická řešení potřebná pro správu nebo odebrání rizik, ale komunikují s těmito řešeními různými způsoby, jak se firmy můžou rychle integrovat do rozhodovacího procesu.These questions over simplify the technical solutions needed to manage or remove risks, but they communicate those solutions in ways the business can quickly integrate into a decision process.

Pravděpodobnost ztráty: Otázky k určení toho, jak je pravděpodobnější, že riziko se stane realitou.Probability of loss: Questions to determine how likely it's that the risk will become a reality. Toto je nejobtížnější oblast pro kvantifikaci.This is the most difficult area to quantify. Místo toho je doporučeno, aby tým zásad správného řízení cloudu vytvořil kategorie pro komunikaci pravděpodobnosti na základě podpůrných dat.Instead it's suggested that the cloud governance team create categories for communicating probability, based on the supporting data. Následující otázky mohou pomáhat při vytváření kategorií, které jsou smysluplné pro tým.The following questions can help create categories that are meaningful to the team.

  • Byl proveden nějaký výzkum týkající se pravděpodobnosti realizovaného rizika?Has any research been done regarding the likelihood of this risk being realized?
  • Může dodavatel poskytnout odkazy nebo statistiky o pravděpodobnosti dopadu?Can the vendor provide references or statistics on the likelihood of an impact?
  • Existují jiné společnosti v příslušném sektoru nebo vertikálně, na které se toto riziko dosáhlo?Are there other companies in the relevant sector or vertical that have been hit by this risk?
  • Podívejte se ještě na další společnosti, na které se toto riziko dosáhlo?Look further, are there other companies in general that have been hit by this risk?
  • Je toto riziko jedinečné pro něco, co tato společnost nedostatečně udělala?Is this risk unique to something this company has done poorly?

Po zodpovězení těchto otázek spolu s otázkami, které určí tým zásad správného řízení pro Cloud, se pravděpodobnost seskupení pravděpodobnosti projeví.After answering these questions along with questions as determined by the cloud governance team, groupings of probability will likely emerge. V následující části najdete několik ukázek seskupení, které vám pomůžou začít:The following are a few grouping samples to help get started:

  • Bez indikace: Pro zjištění pravděpodobnosti bylo dokončeno dostatečné množství výzkumu.No indication: Not enough research has been completed to determine probability.
  • Nízké riziko: Aktuální výzkum indikuje, že riziko je nepravděpodobné.Low risk: Current research indicates realizing the risk is unlikely.
  • Budoucí riziko: Aktuální pravděpodobnost je nízká.Future risk: The current probability is low. Pokračování v přijímání vyžaduje novou analýzu.Continued adoption would require a fresh analysis.
  • Střední riziko: Je pravděpodobnější, že riziko bude mít vliv na firmu.Medium risk: It's likely that the risk will affect the business.
  • Vysoké riziko: V průběhu času je stále pravděpodobnější, že obchod bude toto riziko realizovat.High risk: Over time, it's increasingly likely that the business will realize this risk.
  • Odmítnutí rizika: Riziko je střední až vysoké.Declining risk: The risk is medium to high. Akce v ní nebo v podniku snižují pravděpodobnost dopadu.Actions in IT or the business are reducing the likelihood of an impact.

Určování tolerance:Determining tolerance:

Tři výše uvedené sady otázek by měly dostatek dat pro určení počáteční tolerance.The three question sets above should fuel enough data to determine initial tolerances. Pokud jsou rizika a pravděpodobnost nízká a náklady na nápravu rizika jsou vysoké, je pravděpodobné, že společnost nebude investovat do nápravy.When risk and probability are low, and risk remediation costs are high, the business is unlikely to invest in remediation. V případě vysoké rizikovosti a pravděpodobnosti, že se jedná o investici, je pravděpodobnost, že se bude jednat o investici, pokud náklady nepřekročí potenciální rizika.When risk and probability are high, the business is likely to consider an investment, as long as the costs don't exceed the potential risks.

Další krokyNext steps

Tento typ konverzace může přispět k podnikání a efektivně vyhodnotit toleranci.This type of conversation can help the business and IT evaluate tolerance more effectively. Tyto konverzace se dají použít při vytváření zásad MVP a při přírůstkových kontrolách zásad.These conversations can be used during the creation of MVP policies and during incremental policy reviews.