Qu'est-ce que la tolérance au risque et l'appétit pour le risque

Publié: 2019-01-10

Même si la tolérance au risque et l'appétit pour le risque sont utilisés de manière interchangeable dans la plupart des cas, ils diffèrent l'un de l'autre dans une certaine mesure. Avec de nombreuses normes et réglementations axées sur le processus de gestion des risques, seules quelques-unes définissent clairement les distinctions entre les deux termes de manière appropriée.

Néanmoins, vous devez savoir faire la distinction entre la tolérance au risque et l'appétence au risque pour vous aider à développer les contrôles nécessaires à la protection des données. Cela vous aidera à développer un programme de cybersécurité adapté.

Tolérance au risque et appétit pour le risque : quelle est la différence ?

Appétit pour le risque

Si vous adoptez une approche de gestion des risques d'entreprise en matière de cybersécurité, votre appétit pour le risque doit se concentrer sur le montant ou le type de risque que vous considérez comme acceptable en fonction à la fois de vos ressources et de vos objectifs commerciaux.

Par exemple, si vous opérez en tant qu'entité de traitement des paiements, votre attention peut être portée sur le commerce de détail. Néanmoins, une partie de la gestion des risques de votre entreprise (ERM) peut impliquer de passer à l'espace des soins de santé. Dans un tel cas, si vous êtes prêt à accepter tous les risques juridiques découlant de la loi sur la portabilité et la responsabilité des soins de santé ou HIPAA, vous avez créé votre appétit pour le risque.

Tolérance au risque

Alternativement, la tolérance au risque implique la façon dont vous décidez du degré de risque que vous souhaitez accepter. En regardant l'exemple du traitement des paiements, même si vous êtes prêt à assumer le risque associé au passage aux soins de santé, vous pouvez vous abstenir de reconnaître tous les risques inhérents à la surveillance constante des dossiers de santé protégés. Par conséquent, vous finirez par transférer le risque à une autre entité, un fournisseur tiers.

Lorsque vous avez un appétit pour le dîner au steak, vous risquez de ne pas consommer le morceau entier car vous avez atteint votre seuil de tolérance. Cette affaire s'applique également aux risques de cybersécurité.

Que signifie une déclaration d'appétit pour le risque ?

Il s'agit d'un document écrit qui aide à expliquer vos décisions en matière de risques. La déclaration vous permet non seulement d'informer les parties prenantes externes et internes de votre appétit pour le risque, mais déclenche également des conversations plus nécessaires pour la conduite des objectifs stratégiques.

Comment développer une déclaration d'appétit pour le risque ?

En 2018, l'ISO ou autrement connue sous le nom d'Organisation internationale de normalisation a révisé les directives de gestion des risques présentées dans la populaire norme ISO 31000. Même si cette norme particulière n'utilise pas «l'appétit pour le risque», elle fait allusion au terme, en particulier sous «l'établissement du montant et du type de risque qui peut ou non être pris».

Outre la création d'un cadre de gestion des risques, qui vous permet de proposer une déclaration d'appétence au risque, ISO 31000 aide à formaliser le processus de gestion des risques. En intégrant le processus et le cadre, vous pouvez développer le bon énoncé d'appétence au risque.

Étape 1 : Communication et engagement

Discutez des objectifs et des stratégies d'affaires avec les autres dirigeants de votre organisation. Cela vous aidera à connaître le niveau de risque que vous êtes prêt à accepter et à déterminer si ces risques peuvent répondre aux objectifs organisationnels les plus critiques. La communication à travers l'ensemble de l'entreprise permet de prendre en compte les vues nécessaires à la création de propriété et à la définition des critères de risque.

Étape 2 : Définir la portée, les critères et le contexte à intégrer dans l'ensemble de l'organisation

Dans le cas de la gestion intégrée des risques, vous devez déterminer votre position dans l'ensemble de la chaîne d'approvisionnement. Ensuite, assurez-vous de revoir l'ensemble de votre écosystème. En vous concentrant sur les facteurs de risque externes et internes, vous pouvez définir les critères d'évaluation et le niveau de risque appropriés.

Étape 3 : Concevoir l'évaluation des risques

Vous pouvez déterminer, décrire et évaluer vos risques en communiquant la stratégie de gestion des risques de votre organisation en fonction de votre position dans la chaîne d'approvisionnement. Après cela, vous pouvez tirer parti des contrôles, des événements potentiels, de l'efficacité des contrôles et de la probabilité pour déterminer si les niveaux de risque correspondent à votre tolérance au risque.

Étape 4 : Mettre en œuvre un traitement des risques

Cela implique la création d'un plan avec des délais précis pour identifier les raisons et les décisions qui les sous-tendent. Néanmoins, une partie de cette mise en œuvre consiste à choisir les approches de gestion des risques. Étant donné que vous devez décider d'accepter, d'atténuer ou de refuser le risque, vous devez créer un plan de traitement qui vous aidera à mettre en œuvre ces décisions.

Étape 5 : Évaluer par le biais du suivi

Dans le cadre de l'énoncé d'appétit pour le risque de votre organisation, vous devez déterminer s'il faut utiliser un processus d'évaluation combiné, qualitatif ou quantitatif. Après avoir défini des métriques, surveillez régulièrement votre écosystème et votre environnement de données pour vérifier la conformité avec l'évaluation interne des risques de votre organisation.

Étape 6 : Apporter des améliorations en fonction des rapports et des enregistrements

Une surveillance constante peut identifier les vulnérabilités dans l'environnement de contrôle de votre organisation. Le renforcement de vos tâches de surveillance des risques et la communication de ces faiblesses vous permettent de maintenir un programme de gestion des risques solide.

Étape 7 : Résumer les résultats pour la publication

Utilisez votre appétit pour le risque pour favoriser la communication avec les parties prenantes externes et internes. Néanmoins, de nombreuses déclarations d'appétit pour le risque sont destinées à la consommation publique, y compris les rapports financiers.

Note de l'éditeur : Ken Lynch est un vétéran des startups de logiciels d'entreprise, qui a toujours été fasciné par ce qui pousse les travailleurs à travailler et comment rendre le travail plus attrayant. Ken a fondé Reciprocity pour poursuivre exactement cela. Il a propulsé le succès de Reciprocity avec cet objectif basé sur la mission d'impliquer les employés dans les objectifs de gouvernance, de gestion des risques et de conformité de leur entreprise afin de créer des entreprises citoyennes plus socialement responsables. Ken a obtenu son BS en informatique et en génie électrique du MIT. En savoir plus sur ReciprocityLabs.com.

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

  • Meilleures pratiques pour la gestion de la conformité
  • Processus efficaces de gestion de l'audit des workflows
  • Qu'est-ce que la conformité et la gestion des enregistrements ?
  • Segmentation du réseau et conformité PCI
  • Gestion des journaux PCI DSS