34_risicocalculatie_040080 04-02-2004 10:16 Pagina 34
&
FINANCE
CONTROL D O O R M A R CO F O L P M E R S E N A A L D E RT H O F M A N
RISICOCALCULATIE MET DRIEHOEKEN
Elk bedrijf loopt risico’s op schade door incidenten. Concreet voorbeeld is de schade op het terrein van de informatiebeveiliging. Welk bedrag moet de CFO reserveren voor incidenten? Waar moet hij naar kijken? In dit artikel presenteren de auteurs een methode die inspeelt op het gegeven dat schadebedragen een aanzienlijke spreiding kennen. Een incident kan weliswaar eenzelfde gemiddelde schade veroorzaken, maar de duur kan verschillen en zal dus veel meer kosten met zich meebrengen. Denk bijvoorbeeld aan computeruitval door middel van een virus.
‘E
en incident op het gebied van virusbesmetting kost al snel een dag aan productieverlies en kan oplopen tot een periode van zo’n vijf dagen dat specifieke systemen uit de lucht zijn.’ Een dergelijke uitspraak kan afkomstig zijn van een IT-manager die wordt geacht risico’s te beheersen op het gebied van informatiebeveiliging. Wat opvalt is dat de uitspraak niet zozeer ingaat op het gemiddelde schadebedrag, maar op de minimale en maximale schade: van een tot vijf dagen productieverlies. De suggestie wordt gewekt dat een incident voor het gegeven risico (een computervirus) liefst voorkomen wordt, aangezien de mogelijke schade die eruit voortvloeit aanzienlijk kan zijn. Dit maakt dat dit risico van een virus meer aandacht verdient dan andere risico’s. Gaat er iets mis, dan kan de schade immers enorm oplopen; dit in tegenstelling tot risico’s die weliswaar hetzelfde gemiddelde schadebedrag kennen, maar een geringer maximum hebben. In dit artikel presenteren wij een methode die specifiek ingaat op het fenomeen dat schadebedragen een aanzienlijke spreiding kennen en dat deze omstandigheid een hogere mate van beheersing rechtvaardigt dan risico’s die een beperktere impact hebben. Voor de CFO is het relevant te weten welk bedrag hij dient te reserveren voor incidenten. Wij zullen betogen dat onze aanpak een andere kijk op kwantitatieve risicocalculatie behelst dan de methodes die hier doorgaans voor worden gebruikt.
risico assessment Binnen het proces van risicoanalyse is de risico assessment van
34
|
groot belang. De uitkomsten hiervan zullen de kosten van beheersing moeten rechtvaardigen. De meeste modellen op dit gebied maken een onderscheid tussen twee aspecten, aangeduid met frequency en impact. Frequency slaat op de frequentie waarmee incidenten voor een gegeven risico kunnen optreden. Impact geeft de mate van schade aan die wordt geleden zodra een incident zich voordoet. Beide aspecten worden gecombineerd in één waarde voor een gegeven risico, door ze met elkaar te vermenigvuldigen. De assessment kan zowel kwalitatief als kwantitatief van aard zijn. Een kwalitatieve inschatting levert waardes op van een ordinale schaal. Zo kunnen frequency en impact worden beoordeeld op bijvoorbeeld een 5-puntsschaal. Voor zowel frequency als impact is het mogelijk criteria te ontwikkelen die een hoge waarde rechtvaardigen. Zo dienen risico’s die direct gevolgen kunnen hebben voor de gezondheid van mensen een hoge impactwaarde te hebben. Ook risico’s die een ontwrichting van de continuïteit van de bedrijfsvoering met zich meebrengen - bijvoorbeeld uitval van kritische systemen - krijgen een hoge waarde op de impactschaal. Met een kwantitatieve analyse tracht men de frequency uit te drukken in een hoeveelheid incidenten per jaar en de impact in geld. Een kwantitatief uitgedrukte frequency wordt wel aangeduid als annualized rate of occurrence (ARO). Een kwantitatief uitgedrukte impact heet single loss expectancy (SLE). Het product van beide grootheden is vervat in de naam annualized loss
FEBRUARI 2004
34_risicocalculatie_040080 04-02-2004 10:16 Pagina 35
&
FINANCE
expectancy (ALE) en staat voor het schadebedrag dan men gemiddeld per jaar verwacht kwijt te zijn uit hoofde van een bepaald risico [1]. Met een kwantitatieve analyse is het ‘t handigst om ARO en SLE te bepalen gegeven de vigerende beheersmaatregelen die aanwezig zijn om het gegeven risico te beheersen. Het model biedt dan de mogelijkheid om de volgende beslisregel te formuleren ten behoeve van het investeren in een extra beheersmaatregel: Als de reductie in ALE groter is dan de jaarlijkse kosten van de beheersmaatregel, is het bedrijfseconomisch verantwoord te investeren in deze extra beheersmaatregel.
mogelijke spreiding Een belangrijk nadeel van de bovenstaande kwantitatieve analyse is dat deze geen rekening houdt met de mogelijke spreiding in zowel de frequency als de impactfactor. Om een extreem voorbeeld te geven: ~ Risico A komt gemiddeld één keer per jaar voor; het schadebedrag is altijd 10.000 euro; ~ Risico B komt gemiddeld één keer per jaar voor; het schadebedrag is gemiddeld 10.000 euro, met een minimum van 100 euro en een maximum van 45.000 euro. Welk risico lijdt u liever? Het is eigenaardig dat op het gebied van de ondernemingsfinanciering en verzekeringsleer geavanceerde statistische
CONTROL
modellen ontwikkeld zijn om rekening te houden met deze spreiding in winst en verlies, getuige modellen op het gebied van bijvoorbeeld (reële) opties, terwijl op het gebied van de operationele risico’s de handboeken niet of nauwelijks ingaan op dit fenomeen. Bij een dermate beperkte blik zal men vanuit het gehanteerde calculatiemodel ook niet snel de waarde inzien van een diversificatiemaatregel: dit levert namelijk slechts een reductie in schadespreiding op en geen reductie in de gemiddelde schade. Toch kan een dergelijke reductie in spreiding uitermate waardevol zijn. Uiteindelijk zullen de restrisico’s financieel gedragen moeten worden. Dat betekent dat niet alleen de vraag met welk bedrag men gemiddeld rekening dient te houden relevant is, maar ook de vraag met welk bedrag men maximaal rekening dient te houden; of het bedrag dat in bijvoorbeeld 90 procent van de gevallen voldoende zal zijn om de incidenten te bekostigen. Om aan deze informatie te komen dient per risico in feite de statistische loss-functie gedefinieerd te worden. Deze functie geeft per schadebedrag aan wat de kans is dat een incident dit schadebedrag oplevert. In de praktijk zal het moeilijk zijn een exacte specificatie van de loss-functie per onderkend risico op te stellen. Daarom is het zaak terug te grijpen op een model voor deze functie. Wij eisen van dit model dat het aan de volgende voorwaarden voldoet:
Figuur 1 Loss- functie voor risico met minimum = 6, modus = 7, maximum = 12 y 1,0 0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 0,0 5
6
7
8
9
10
11
FEBRUARI 2004
12
|
13
35
14
15
34_risicocalculatie_040080 04-02-2004 10:16 Pagina 36
&
FINANCE
~ aan de inputzijde moet het eenvoudig te specificeren zijn; ~ het moet een geloofwaardig patroon opleveren voor de verdeling van de schadebedragen; ~ het moet expliciet rekening houden met de omstandigheid dat schadebedragen vaak ‘scheef naar rechts zijn’, dat wil zeggen: relatief hoge maxima kunnen hebben.
Het moet een geloofwaardig patroon opleveren voor de verdeling van de schadebedragen
CONTROL
Het model is in feite heel eenvoudig. De modale waarde heeft per definitie de meeste kans; hier bereikt de driehoek dan ook zijn top. Van dat punt af daalt de kans op een evenredige wijze in de linkerrichting naar het minimum en in de rechterrichting naar het maximum. Schadebedragen lager dan het minimum en hoger dan het maximum hebben een kans van 0 om voor te komen. In de figuur is ook de cumulatieve verdelingsfunctie afgebeeld. Aan de hand van deze functie kunnen wij bijvoorbeeld aflezen welk schadebedrag op het 90ste percentiel zit, dat wil zeggen: voor welk schadebedrag geldt dat in 90 procent van de gevallen de schade lager zal zijn en in 10 procent van de gevallen hoger (dit is een schadebedrag van 10,3). Aan de hand van een praktische casus wordt het model nader uitgelegd.
casus informatiebeveiliging driehoeksmodel Een model dat aan al deze eisen voldoet is het driehoeksmodel. Hierbij wordt verondersteld dat de loss-functie een driehoekig verloop heeft, met een minimum en maximum schadebedrag aan weerszijden van de breedte van de verdeling, en een ‘modaal’ schadebedrag [2] in de top van de driehoek. Stel dat wij een risico-inschatting maken met de volgende waarden voor een incident (maal 1.000 euro): ~ minimale schade: 6 ~ modale schade: 7 ~ maximale schade: 12 De loss-functie is afgebeeld als driehoek in figuur 1.
Binnen het risicodomein van de informatiebeveiliging heeft De Zilvervloot, een grote financiële onderneming van ruim 9.000 FTE, te maken met de risico’s [3], zoals weergegeven in tabel 1. De getallen zijn door De Zilvervloot samengesteld op basis van een risicoanalyse, waarbij voor de kwantificering gebruik is gemaakt van schattingen ten aanzien van directe en indirecte schade. Wat aan de tabel opvalt, is dat de frequenties per jaar redelijk laag liggen. Met uitzondering van de risico’s insider abuse of net access, virus en laptop theft verwacht men minder dan één incident per jaar. De schadebedragen, met name de maxima, liggen nogal uiteen. De verliezen van een denial of service-incident kunnen oplopen tot 2,9 miljoen dollar per incident. Hierbij is vooral het effect van omzetderving verwerkt als gevolg van een maximum verwachte downti-
Tabel 1: Model input voor De Zilvervloot (schadebedragen in Am. dollars) Risico nr.
Risico omschrijving
Frequentie/jaar
Minimale schade
Modale schade
Maximale schade
1
Theft of proprietary info
0,42
500
302.000
1.700.000
2
Sabotage of data
0,42
125
63.000
98.000
0,71
25
1.000
49.000
295.000
and networks 3
System penetration by outsider
4
Insider abuse of net access
1,58
25
1.000
5
Financial fraud
0,30
250
49.000
197.000
6
Denial of service
0,83
125
1.000
2.900.000
7
Virus
1,62
10
1.000
295.000
8
Unauthorized insider access
0,89
25
1.053
5.000
9
Telecom fraud
0,20
25
1.000
12.000
10
Active wiretapping
0,02
1250
30.000
34.000
11
Laptop theft
1,17
600
1.000
98.000
36
|
FEBRUARI 2004
34_risicocalculatie_040080 04-02-2004 10:16 Pagina 37
&
FINANCE
me. Ook het risico uit hoofde van theft of proprietary info kan aanzienlijk uitwerken (maximum: 1,7 miljoen dollar per incident). Wat ook opvalt aan de getallen is dat er sprake is van een aanzienlijke spreiding. Een virusincident kost De Zilvervloot minimaal een te verwaarlozen bedrag (10 dollar per incident). In deze gevallen kan bijvoorbeeld gemakkelijk een nieuwe patch worden gedistribueerd over het netwerk en is hooguit een paar minuten tijd van een IT-stafmedewerker begroot. Een virusincident echter kost meestal een grotere inspanning om verholpen te worden (modale schade 1.000 dollar per incident). Een zware virusaanval kan qua schade zelfs oplopen tot 295.000 dollar per incident wanneer meerdere kritische systemen down gaan en een aanzienlijke omzetderving het gevolg is. Door met deze maxima geen rekening te houden, en de calculaties te beperken tot gemiddelde schadebedragen, kan De Zilvervloot dus in een gegeven jaar voor aanzienlijke verassingen komen te staan.
CONTROL
Uit de figuur valt af te lezen dat dit 95ste percentiel rond de 4 miljoen dollar ligt (de precieze waarde is 3,9 miljoen dollar). De gemiddelde jaarlijkse schade bedraagt daarentegen het veel geringere bedrag van 1,5 miljoen dollar. De spreiding rond dit gemiddelde is echter aanzienlijk (variatiecoëfficiënt = standaarddeviatie / gemiddelde bedraagt 80 procent). Merk op dat de afgebeelde loss-functie duidelijk scheef naar rechts is. Dit geeft grafisch ook aan dat De Zilvervloot voor een gegeven jaar met een plotselinge toename van de jaarlijkse schade geconfronteerd kan worden.
Een reductie in spreiding kan uitermate waardevol zijn
redelijk bedrag Wat is dan een redelijk bedrag voor De Zilvervloot om rekening mee te houden en welke marges moeten worden aangehouden? Hiervoor simuleren wij een groot aantal jaren aan de hand van de parameters die zijn weergegeven in tabel 1. Met behulp van deze simulatie beschikken wij over een aanzienlijk aantal jaren waarvoor wij kunnen waarnemen met wat voor schadebedragen per risico (of totaal per jaar) De Zilvervloot is geconfronteerd. Op basis hiervan kunnen wij niet alleen de gemiddelde schade bepalen, maar ook de mate van schade waar De Zilvervloot op moet rekenen, wil het een bedrag reserveren dat voor 95 procent van de jaren voldoende is. Dit 95ste percentiel is af te lezen uit de grafiek die de verdeling aangeeft van de totale jaarlijkse schade. Zie figuur 2.
Figuur 2
diversificatie
Loss-functie voor de jaarlijkse schade 10
percent
8
6
4
2
0 0
1350000 2700000 4050000 5400000 6750000 8100000 945000
loss year
Een en ander betekent dat De Zilvervloot bij een ongewijzigde mate van protectie geconfronteerd wordt met een gemiddeld schadebedrag op het gebied van informatiebeveiliging à 1,5 miljoen dollar. Voor een gegeven jaar kan het bedrag echter aanzienlijk hoger zijn. Hoe hoog? Als we op safe willen spelen en rekening willen houden met een zodanige maximale schade dat wij in 95 procent van de jaren goed zitten, is dat 3,9 miljoen dollar. Dit is een belangrijke parameter voor het bepalen van het beveiligingsbeleid en het verzorgen van risicofinancieringsmogelijkheden. Dit gegeven krijgen wij echter alleen maar aan het licht met behulp van een methode die expliciet uitgaat van een statistische verdeling van de schade, waarin de voor schadebedragen gebruikelijke scheefheid van de verdeling (scheef naar rechts ofwel relatief hoge maxima) een onderdeel vormt.
Een mogelijkheid om zonder veel extra kosten in ieder geval de spreiding van het schadebedrag te verlagen (en daarmee ook het 95ste percentiel), is diversificatie. Als voorbeeld gaan wij uit van een pool van tien financiële instellingen van dezelfde omvang als De Zilvervloot (De Gulden Vloot, de Platinum Vloot, et cetera). Deze instellingen worden allemaal geconfronteerd met dezelfde risicomatrix als die van De Zilvervloot (tabel 1). De eenvoudige constructie wordt aangegaan, waarbij de jaarlijkse schadebedragen over deze ondernemingen worden gecumuleerd, waarna ieder een gelijk aandeel betaalt. Wij realiseren ons dat in de praktijk dit soort ‘pure’ afspraken moeilijk vorm te geven zijn, gezien het klassieke verzekeringsrisico op het gebied van adverse selection (ook de instelling Plastic vloot met een veel slechter risicoprofiel is geneigd toe te treden, waarop Platinum Vloot als eerste de overeenkomst opzegt) en
FEBRUARI 2004
|
37
34_risicocalculatie_040080 04-02-2004 10:16 Pagina 38
&
FINANCE
moral hazard (men komt in verleiding om minder aan protectie te doen aangezien de kosten voor een incident toch voor 90 procent zijn af te wentelen op het collectivum).
Via simulatie is het mogelijk inzicht te krijgen in de verdeling van de jaarlijkse schade Het doorrekenen van het model voor de tien soortgelijke financiële instellingen levert een gelijke verwachte jaarlijkse schade per instelling op à 1,5 miljoen dollar. De spreiding is echter veel geringer: 25 procent (was 80 procent). Dat betekent ook dat de individuele instellingen slechts rekening hoeven te houden met maximale kosten à 2,2 miljoen dollar (met 5 procent overschrijdingsrisico; was 3,9 miljoen dollar). De loss-functie voor de jaarlijkse schade van het collectief van tien financiële instellingen is afgebeeld in figuur 3. Merk op dat deze figuur niet langer scheef naar rechts is.
CONTROL
conclusie In dit artikel hebben wij betoogd dat een kwantitatieve risicocalculatie het beste expliciet gebruik maakt van het fenomeen dat loss-functies scheef zijn naar rechts. Dit betekent dat indien een onderneming slechts aandacht besteedt aan een gemiddeld schadebedrag, men voor onwelkome verassingen kan komen te staan. Een model dat deze scheefheid expliciet gebruikt, is het driehoeksmodel. Hierbij wordt de schade per incident opgevat als een statistische verdeling met drie parameters: een minimum, een modus en een maximum. Door middel van simulatie is het mogelijk (onder meer grafisch) inzicht te krijgen in de verdeling van de jaarlijkse schade. Hierbij komt ook het voordeel dat te halen is door middel van diversificatie aan het licht. Dit voordeel komt bij een traditionele frequency-maal-impact calculatie niet aan het licht. In de praktijk zal het nog lastig zijn om de parameters van de risicomatrix op te stellen. In dit kader is het onze aanbeveling een start te maken met de risico’s binnen een bepaald risicodomein. De casus illustreert deze aanpak voor het domein van de informatiebeveiliging. Dr. M. Folpmers en ir. A. Hofman zijn beiden werkzaam bij Cap Gemini Ernst & Young als managing consultants [1] Terminologie ontleend aan de nomenclatuur conform het relevante kennisdomein van de CISSP, de methodologie die is opgesteld en wordt onderhouden door de (ISC)2 organisatie. [2] Het modale schadebedrag slaat op het schadebedrag dat het meeste voorkomt. [3] Deze getallen zijn gebaseerd op schadestatistieken die gerapporteerd zijn in de CSI/FBI Computer Crime and Security Survey, 2003.
Figuur 3 Loss-functie voor de pool van tien financiële instellingen (gesimuleerd met 10.000 jaren) 12
10
percent
8
6
4
2
0 3500000
8500000
13500000
18500000
2350000
28500000
loss year
Het spreiden van risico legt een dermate geringere claim op financiële middelen dat het absoluut het onderzoeken waard is of de traditionele verzekeringsobstakels als adverse selection en moral hazard in het concrete geval te vermijden zijn.
38
|
FEBRUARI 2004