リスク許容度とリスク食欲とは何ですか

公開: 2019-01-10

ほとんどの場合、リスク許容度とリスク食欲は同じ意味で使用されますが、それらはある程度異なります。 リスク管理のプロセスに焦点を当てた多くの基準や規制があるため、2つの用語の違いを適切に定義しているのはごくわずかです。

それでも、データを保護するために必要な制御を開発するのに役立つように、リスク許容度とリスク食欲を区別する方法を知っている必要があります。 そうすることで、適切なサイバーセキュリティプログラムを開発するのに役立ちます。

リスク許容度とリスク食欲:違いは何ですか?

リスク食欲

サイバーセキュリティに関してエンタープライズリスク管理アプローチを採用している場合、リスクアペタイトは、ビジネスリソースと目的の両方に基づいて許容できると考えるリスクの量またはタイプに焦点を当てる必要があります。

たとえば、支払い処理エンティティとして運営している場合、小売業に注意が向けられている可能性があります。 それでも、エンタープライズリスク管理(ERM)の一部には、ヘルスケア分野への移行が含まれる場合があります。 このような場合、医療保険の相互運用性と説明責任に関する法律またはHIPAAに起因するすべての法的リスクを受け入れる意思がある場合は、リスクアペタイトを作成したことになります。

リスク許容度

あるいは、リスク許容度には、受け入れるリスクの程度をどのように決定するかが含まれます。 支払い処理の例を見ると、ヘルスケアへの移行に関連するリスクを引き受けることをいとわないかもしれませんが、保護された健康記録を常に監視することに伴うすべての固有のリスクを認識することを差し控えることができます。 したがって、リスクを別のエンティティであるサードパーティベンダーに転送することになります。

ステーキディナーに食欲がある場合は、許容範囲に達したために全体を消費できない可能性があります。 このケースは、サイバーセキュリティリスクにも当てはまります。

リスクアペタイトステートメントとはどういう意味ですか?

それはあなたのリスク決定を説明するのを助ける書面による文書を必要とします。 この声明は、外部と内部の両方の利害関係者にリスクの欲求について知らせるだけでなく、戦略的目標を推進するためにより必要な会話を引き起こすこともできます。

リスク食欲ステートメントを作成する方法は?

2018年に、ISOまたは国際標準化機構として知られるISOは、人気のあるISO31000規格で取り上げられているリスク管理ガイドラインを改訂しました。 この特定の基準は「リスク食欲」を使用していませんが、特に「リスクの量と種類を確立すること」の下で、この用語を暗示しています。

ISO 31000は、リスクアペタイトステートメントを作成できるリスク管理フレームワークを作成するだけでなく、リスク管理のプロセスを形式化するのに役立ちます。 プロセスとフレームワークを統合することで、適切なリスクアペタイトステートメントを作成できます。

ステップ1:コミュニケーションとコミットメント

組織内の他のリーダーとビジネスの目的と戦略について話し合います。 そうすることで、受け入れるリスクの量を把握し、そのようなリスクが最も重要な組織の目標を達成できるかどうかを判断するのに役立ちます。 ビジネス全体にわたるコミュニケーションにより、所有権を作成し、リスク基準を定義するために必要なビューを考慮に入れることができます。

ステップ2:組織全体で統合されるスコープ、基準、およびコンテキストを定義する

統合リスク管理の場合、サプライチェーン全体でのポジションを決定する必要があります。 次に、エコシステム全体を確認してください。 外部および内部のリスク要因に焦点を当てることにより、適切な評価基準とリスクの量を定義できます。

ステップ3:リスク評価の設計

サプライチェーンでの位置に基づいて組織のリスク管理戦略を伝達することにより、リスクを決定、説明、および評価できます。 そうすると、コントロール、潜在的なイベント、コントロールの有効性、およびリスクのレベルがリスク許容度と一致するかどうかを判断する可能性を活用できます。

ステップ4:リスク処理を実装する

それには、その背後にある理由と決定を特定するための特定の期限を含む計画の作成が含まれます。 それにもかかわらず、この実装の一部は、リスクを処理するためのアプローチを選択することにあります。 リスクを受け入れるか、軽減するか、拒否するかを決定する必要があるため、そのような決定の実施に役立つ治療計画を作成する必要があります。

ステップ5:モニタリングによる評価

組織のリスクアペタイトステートメントの一部として、組み合わせた、定性的な、または定量的な評価プロセスを使用するかどうかを決定する必要があります。 指標を設定した後、データエコシステムと環境を定期的に監視して、組織の内部リスク評価への準拠を確認します。

ステップ6:レポートと記録に基づいて改善を行う

継続的な監視により、組織の制御環境の脆弱性を特定できます。 リスク監視タスクを強化し、そのような弱点を伝えることで、堅牢なリスク管理プログラムを維持できます。

ステップ7:リリースの結果を要約する

外部および内部の利害関係者とのコミュニケーションを促進する際に、リスクアペタイトを活用してください。 それにもかかわらず、多くのリスク食欲声明は、財務報告を含む公的消費を目的としています。

編集者注: Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。 彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク管理、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。 詳細については、ReciprocityLabs.comをご覧ください。

これについて何か考えがありますか? コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項:

  • コンプライアンス管理のベストプラクティス
  • 効果的なワークフロー監査管理プロセス
  • コンプライアンスと記録管理とは
  • ネットワークセグメンテーションとPCIコンプライアンス
  • PCIDSSログ管理