ما هو تحمل المخاطر والرغبة في المخاطرة

نشرت: 2019-01-10

على الرغم من استخدام تحمل المخاطر والرغبة في المخاطرة بالتبادل في معظم الحالات ، إلا أنهما يختلفان عن بعضهما البعض بدرجة معينة. مع وجود العديد من المعايير واللوائح التي تركز على عملية إدارة المخاطر ، فإن القليل منها فقط يحدد بوضوح الفروق بين المصطلحين بشكل مناسب.

ومع ذلك ، يجب أن تعرف كيفية التمييز بين تحمل المخاطر والرغبة في المخاطرة لمساعدتك في تطوير الضوابط اللازمة لحماية البيانات. سيساعدك القيام بذلك على تطوير برنامج أمان إلكتروني مناسب.

تحمل المخاطر مقابل تقبل المخاطر: ما هو الفرق؟

الرغبة في المخاطرة

في حال كنت تتبنى نهج إدارة مخاطر المؤسسة عندما يتعلق الأمر بالأمن السيبراني ، يجب أن تركز قدرتك على المخاطرة على مقدار أو نوع المخاطر التي تعتبرها مقبولة بناءً على كل من موارد عملك وأهدافك.

على سبيل المثال ، إذا كنت تعمل ككيان لمعالجة المدفوعات ، فقد يكون اهتمامك في البيع بالتجزئة. ومع ذلك ، قد يتضمن جزء من إدارة مخاطر مؤسستك (ERM) الانتقال إلى مجال الرعاية الصحية. في مثل هذه الحالة ، إذا كنت على استعداد لقبول جميع المخاطر القانونية التي تنجم عن قانون نقل الرعاية الصحية والمساءلة أو HIPAA ، فأنت بذلك تكون قد أوجدت قابلية المخاطرة الخاصة بك.

تحمل المخاطر

بدلاً من ذلك ، يستلزم تحمل المخاطر كيفية تحديد درجة المخاطرة التي تريد قبولها. بالنظر إلى مثال معالجة الدفع ، على الرغم من أنك قد تكون على استعداد لتحمل المخاطر المرتبطة بالتحول إلى الرعاية الصحية ، فقد تمتنع عن التعرف على جميع المخاطر الكامنة التي تنطوي عليها المراقبة المستمرة للسجلات الصحية المحمية. ومن ثم ، سينتهي بك الأمر بنقل المخاطر إلى كيان آخر ، بائع خارجي.

عندما يكون لديك شهية لتناول العشاء ، فقد تفشل في استهلاك القطعة بأكملها بسبب وصولك إلى نقطة التسامح الخاصة بك. تنطبق هذه الحالة أيضًا على مخاطر الأمن السيبراني.

ماذا يعني بيان قابلية تحمل المخاطر؟

يستلزم مستندًا مكتوبًا يساعد في شرح قرارات المخاطر الخاصة بك. لا يمكّنك البيان فقط من إبلاغ أصحاب المصلحة الخارجيين والداخليين حول قابليتك للمخاطرة ، بل يؤدي أيضًا إلى إجراء المزيد من المحادثات الضرورية لقيادة الأهداف الإستراتيجية.

كيف يمكن تطوير بيان قابلية تحمل المخاطر؟

في عام 2018 ، قامت ISO أو المعروفة باسم المنظمة الدولية للتوحيد القياسي بمراجعة إرشادات إدارة المخاطر الواردة في معيار ISO 31000 الشهير. على الرغم من أن هذا المعيار المعين لا يستخدم "الرغبة في المخاطرة" ، إلا أنه يشير إلى المصطلح ، لا سيما في إطار "تحديد مقدار ونوع المخاطرة التي يمكن أو لا يتم اتخاذها".

بصرف النظر عن إنشاء إطار عمل لإدارة المخاطر ، والذي يسمح لك بالتوصل إلى بيان قابلية المخاطرة ، يساعد ISO 31000 في إضفاء الطابع الرسمي على عملية إدارة المخاطر. من خلال دمج العملية والإطار ، يمكنك تطوير بيان الرغبة في المخاطرة الصحيح.

الخطوة الأولى: التواصل والالتزام

تحدث عن أهداف واستراتيجيات العمل مع القادة الآخرين في مؤسستك. سيساعدك القيام بذلك في معرفة مقدار المخاطر التي ترغب في قبولها وتحديد ما إذا كانت هذه المخاطر يمكن أن تلبي الأهداف التنظيمية الأكثر أهمية. يتيح لك الاتصال عبر الشركة بأكملها مراعاة وجهات النظر الضرورية لإنشاء الملكية وتحديد معايير المخاطر.

الخطوة 2: تحديد النطاق والمعايير والسياق المراد تكامله عبر المنظمة

في حالة الإدارة المتكاملة للمخاطر ، يجب عليك تحديد موقعك في سلسلة التوريد بأكملها. بعد ذلك ، تأكد من مراجعة نظامك البيئي بالكامل. من خلال التركيز على عوامل الخطر الخارجية والداخلية ، يمكنك تحديد معايير التقييم المناسبة ومقدار المخاطر.

الخطوة الثالثة: تصميم تقييم المخاطر

يمكنك تحديد ووصف وتقييم المخاطر الخاصة بك عن طريق توصيل استراتيجية إدارة المخاطر في مؤسستك بناءً على وضعك في سلسلة التوريد. بعد القيام بذلك ، يمكنك الاستفادة من الضوابط والأحداث المحتملة وفعالية التحكم واحتمالية تحديد ما إذا كانت مستويات المخاطر تتناسب مع تحملك للمخاطر.

الخطوة 4: تنفيذ معالجة المخاطر

إنه ينطوي على إنشاء خطة بمواعيد نهائية محددة لتحديد الأسباب والقرارات التي تقف وراءها. ومع ذلك ، يتمثل جزء من هذا التنفيذ في اختيار الأساليب للتعامل مع المخاطر. نظرًا لأنك بحاجة إلى تحديد ما إذا كنت ستقبل المخاطر أو تخففها أو ترفضها ، فيجب عليك إنشاء خطة علاج من شأنها أن تساعد في تنفيذ مثل هذه القرارات.

الخطوة الخامسة: التقييم من خلال المراقبة

كجزء من بيان قابلية المخاطرة في مؤسستك ، يجب عليك تحديد ما إذا كنت ستستخدم عملية تقييم مجمعة أو نوعية أو كمية. بعد وضع المقاييس ، قم بمراقبة النظام البيئي لبياناتك وبيئتك بانتظام للتأكد من الامتثال لتقييم المخاطر الداخلية لمؤسستك.

الخطوة 6: قم بإجراء تحسينات بناءً على التقارير والسجلات

يمكن للمراقبة المستمرة تحديد نقاط الضعف في بيئة التحكم في مؤسستك. يتيح لك تعزيز مهام مراقبة المخاطر والإبلاغ عن نقاط الضعف هذه الحفاظ على برنامج قوي لإدارة المخاطر.

الخطوة 7: تلخيص نتائج الإصدار

استفد من شهيتك للمخاطر في تعزيز التواصل مع أصحاب المصلحة الخارجيين والداخليين. ومع ذلك ، فإن العديد من بيانات الرغبة في المخاطرة مخصصة للاستهلاك العام بما في ذلك التقارير المالية.

ملاحظة المحرر: كين لينش هو أحد المخضرمين في بدء تشغيل برمجيات المؤسسات ، وكان دائمًا مفتونًا بما يدفع العمال إلى العمل وكيفية جعل العمل أكثر جاذبية. أسس كين مبدأ المعاملة بالمثل لمتابعة ذلك بالضبط. لقد دفع نجاح Reciprocity من خلال هذا الهدف القائم على المهمة المتمثل في إشراك الموظفين في أهداف الحوكمة وإدارة المخاطر والامتثال لشركتهم من أجل خلق المزيد من مواطني الشركات ذوي التفكير الاجتماعي. حصل كين على درجة البكالوريوس في علوم الكمبيوتر والهندسة الكهربائية من معهد ماساتشوستس للتكنولوجيا. تعرف على المزيد على ReciprocityLabs.com.

هل لديك أي أفكار حول هذا؟ أخبرنا أدناه في التعليقات أو انقل المناقشة إلى Twitter أو Facebook.

توصيات المحررين:

  • أفضل الممارسات لإدارة الامتثال
  • عمليات إدارة تدقيق سير العمل الفعال
  • ما هو الامتثال وإدارة السجلات
  • تجزئة الشبكة والامتثال لـ PCI
  • إدارة سجل PCI DSS