Was ist Risikobereitschaft und Risikobereitschaft

Auch wenn Risikotoleranz und Risikobereitschaft in den meisten Fällen synonym verwendet werden, unterscheiden sie sich in gewissem Maße voneinander. Da sich viele Normen und Vorschriften auf den Prozess des Risikomanagements konzentrieren, definieren nur wenige von ihnen die Abgrenzung zwischen den beiden Begriffen angemessen.

Dennoch müssen Sie wissen, wie man zwischen Risikobereitschaft und Risikobereitschaft unterscheidet, um die notwendigen Kontrollen zum Schutz von Daten zu entwickeln. Auf diese Weise können Sie ein geeignetes Cybersicherheitsprogramm entwickeln.

Risikobereitschaft versus Risikobereitschaft: Was ist der Unterschied?

Risikoappetit

Falls Sie in Bezug auf Cybersicherheit einen unternehmensweiten Risikomanagementansatz verfolgen, sollte sich Ihre Risikobereitschaft auf die Höhe oder Art des Risikos konzentrieren, das Sie basierend auf Ihren Geschäftsressourcen und -zielen für akzeptabel halten.

Wenn Sie beispielsweise als Zahlungsabwicklungsunternehmen tätig sind, liegt Ihre Aufmerksamkeit möglicherweise im Einzelhandel. Dennoch kann ein Teil Ihres Unternehmensrisikomanagements (ERM) darin bestehen, in den Gesundheitsbereich zu wechseln. Wenn Sie in einem solchen Fall bereit sind, alle rechtlichen Risiken zu akzeptieren, die sich aus dem Healthcare Portability and Accountability Act oder HIPAA ergeben, dann haben Sie Ihre Risikobereitschaft geschaffen.

Risikotoleranz

Alternativ beinhaltet die Risikotoleranz, wie Sie entscheiden, wie viel Risiko Sie akzeptieren möchten. Wenn Sie sich das Beispiel der Zahlungsabwicklung ansehen, mögen Sie vielleicht bereit sein, das Risiko einzugehen, das mit dem Wechsel ins Gesundheitswesen verbunden ist, aber Sie könnten sich davor zurückhalten, alle inhärenten Risiken zu erkennen, die mit der ständigen Überwachung geschützter Krankenakten verbunden sind. Daher übertragen Sie das Risiko am Ende auf eine andere Einheit, einen Drittanbieter.

Wenn Sie Appetit auf ein Steak-Dinner haben, können Sie möglicherweise nicht das gesamte Stück verzehren, da Sie Ihren Toleranzpunkt erreicht haben. Dieser Fall gilt auch für Cybersicherheitsrisiken.

Was bedeutet eine Erklärung zur Risikobereitschaft?

Es beinhaltet ein schriftliches Dokument, das bei der Erläuterung Ihrer Risikoentscheidungen hilft. Die Erklärung ermöglicht es Ihnen nicht nur, sowohl externe als auch interne Stakeholder über Ihre Risikobereitschaft zu informieren, sondern löst auch notwendigere Gespräche aus, um strategische Ziele voranzutreiben.

Wie entwickelt man eine Erklärung zur Risikobereitschaft?

Bereits im Jahr 2018 überarbeitete die ISO oder auch bekannt als International Organization for Standardization die Risikomanagementrichtlinien, die in der beliebten Norm ISO 31000 enthalten sind. Auch wenn dieser spezielle Standard „Risikobereitschaft“ nicht verwendet, deutet er den Begriff an, insbesondere unter „Festlegung der Höhe und Art des Risikos, das eingegangen oder nicht eingegangen werden darf“.

Abgesehen von der Schaffung eines Rahmens für das Risikomanagement, der es Ihnen ermöglicht, eine Erklärung zur Risikobereitschaft zu erstellen, hilft ISO 31000 bei der Formalisierung des Risikomanagementprozesses. Durch die Integration des Prozesses und Frameworks können Sie die richtige Erklärung zur Risikobereitschaft entwickeln.

Schritt 1: Kommunikation und Verpflichtung

Sprechen Sie mit den anderen Führungskräften in Ihrer Organisation über die Geschäftsziele und -strategien. Dies wird Ihnen helfen, die Höhe des Risikos zu kennen, das Sie zu akzeptieren bereit sind, und festzustellen, ob solche Risiken die wichtigsten Unternehmensziele erreichen können. Die Kommunikation über das gesamte Unternehmen hinweg ermöglicht es Ihnen, die notwendigen Ansichten für die Schaffung von Eigentum und die Definition von Risikokriterien zu berücksichtigen.

Schritt 2: Definition des Umfangs, der Kriterien und des Kontexts, die in der gesamten Organisation integriert werden sollen

Für das integrierte Risikomanagement müssen Sie Ihre Position in der gesamten Lieferkette bestimmen. Stellen Sie dann sicher, dass Sie Ihr gesamtes Ökosystem überprüfen. Indem Sie sich auf die externen und internen Risikofaktoren konzentrieren, können Sie die geeigneten Bewertungskriterien und die Höhe des Risikos definieren.

Schritt 3: Gestaltung der Risikobewertung

Sie können Ihre Risiken bestimmen, beschreiben und bewerten, indem Sie die Risikomanagementstrategie Ihrer Organisation basierend auf Ihrer Position in der Lieferkette kommunizieren. Danach können Sie Kontrollen, potenzielle Ereignisse, Kontrollwirksamkeit und Wahrscheinlichkeit nutzen, um zu bestimmen, ob die Risikoniveaus Ihrer Risikotoleranz entsprechen.

Schritt 4: Implementierung einer Risikobehandlung

Es beinhaltet die Erstellung eines Plans mit konkreten Fristen zur Ermittlung der Gründe und Entscheidungen dahinter. Ein Teil dieser Umsetzung besteht jedoch darin, die Ansätze für den Umgang mit den Risiken auszuwählen. Da Sie entscheiden müssen, ob Sie das Risiko akzeptieren, mindern oder ablehnen möchten, müssen Sie einen Behandlungsplan erstellen, der bei der Umsetzung solcher Entscheidungen hilft.

Schritt 5: Bewertung durch Überwachung

Als Teil der Erklärung zur Risikobereitschaft Ihrer Organisation müssen Sie entscheiden, ob Sie einen kombinierten, qualitativen oder quantitativen Bewertungsprozess verwenden möchten. Überwachen Sie nach dem Festlegen von Metriken regelmäßig Ihr Datenökosystem und Ihre Umgebung, um die Einhaltung der internen Risikobewertung Ihrer Organisation sicherzustellen.

Schritt 6: Verbesserungen basierend auf Berichten und Aufzeichnungen vornehmen

Die ständige Überwachung kann Schwachstellen in der Kontrollumgebung Ihres Unternehmens aufdecken. Indem Sie Ihre Risikoüberwachungsaufgaben verstärken und solche Schwachstellen kommunizieren, können Sie ein solides Risikomanagementprogramm aufrechterhalten.

Schritt 7: Zusammenfassen der Ergebnisse für die Freigabe

Nutzen Sie Ihre Risikobereitschaft, um die Kommunikation mit externen und internen Stakeholdern zu fördern. Dennoch sind zahlreiche Erklärungen zur Risikobereitschaft für den öffentlichen Gebrauch bestimmt, einschließlich der Finanzberichterstattung.

Anmerkung des Herausgebers: Ken Lynch ist ein erfahrener Startup-Experte für Unternehmenssoftware, der sich schon immer dafür interessiert hat, was Mitarbeiter zur Arbeit antreibt und wie man die Arbeit ansprechender gestalten kann. Ken gründete Reciprocity, um genau das zu verfolgen. Er hat den Erfolg von Reciprocity mit diesem missionsbasierten Ziel vorangetrieben, Mitarbeiter in die Governance, das Risikomanagement und die Compliance-Ziele ihres Unternehmens einzubeziehen, um sozial denkendere Unternehmensbürger zu schaffen. Ken erwarb seinen BS in Informatik und Elektrotechnik am MIT. Erfahren Sie mehr unter ReciprocityLabs.com.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

• Best Practices für das Compliance-Management
• Effektive Workflow-Audit-Management-Prozesse
• Was ist Compliance & Record Management
• Netzwerksegmentierung und PCI-Konformität
• PCI-DSS-Protokollverwaltung