Apa itu toleransi risiko dan selera risiko?

Meskipun toleransi risiko dan selera risiko digunakan secara bergantian dalam banyak kasus, mereka berbeda satu sama lain pada tingkat tertentu. Dengan banyaknya standar dan peraturan yang berfokus pada proses manajemen risiko, hanya sedikit dari mereka yang mendefinisikan secara jelas perbedaan antara kedua istilah tersebut dengan tepat.

Meskipun demikian, Anda harus tahu bagaimana membedakan antara toleransi risiko dan selera risiko untuk membantu Anda mengembangkan kontrol yang diperlukan untuk melindungi data. Melakukannya akan membantu Anda mengembangkan program keamanan siber yang sesuai.

Toleransi Risiko versus Nafsu Makan Risiko: Apa Bedanya?

Risiko Nafsu Makan

Jika Anda mengadopsi pendekatan manajemen risiko perusahaan dalam hal keamanan siber, selera risiko Anda harus fokus pada jumlah atau jenis risiko yang Anda anggap dapat diterima berdasarkan sumber daya dan tujuan bisnis Anda.

Misalnya, jika Anda beroperasi sebagai entitas pemrosesan pembayaran, perhatian Anda mungkin tertuju pada ritel. Namun demikian, bagian dari manajemen risiko perusahaan (ERM) Anda mungkin melibatkan perpindahan ke ruang perawatan kesehatan. Dalam kasus seperti itu, jika Anda bersedia menerima semua risiko hukum yang berasal dari Healthcare Portability and Accountability Act atau HIPAA, maka Anda telah menciptakan selera risiko Anda.

Toleransi resiko

Atau, toleransi risiko memerlukan bagaimana Anda memutuskan tingkat risiko yang ingin Anda terima. Melihat contoh pemrosesan pembayaran, meskipun Anda mungkin bersedia mengambil risiko yang terkait dengan beralih ke perawatan kesehatan, Anda mungkin menahan diri untuk tidak mengenali semua risiko bawaan yang terlibat dalam memantau catatan kesehatan yang dilindungi secara terus-menerus. Oleh karena itu, Anda pada akhirnya akan mentransfer risiko ke entitas lain, vendor pihak ketiga.

Ketika Anda memiliki selera makan steak, Anda mungkin gagal untuk mengkonsumsi seluruh bagian karena mencapai titik toleransi Anda. Kasus ini juga berlaku untuk risiko keamanan siber.

Apa yang dimaksud dengan Risk Appetite Statement?

Ini memerlukan dokumen tertulis yang membantu menjelaskan keputusan risiko Anda. Pernyataan tersebut tidak hanya memungkinkan Anda untuk memberi tahu pemangku kepentingan eksternal dan internal tentang selera risiko Anda, tetapi juga memicu percakapan yang lebih penting untuk mendorong tujuan strategis.

Bagaimana Mengembangkan Risk Appetite Statement?

Kembali pada tahun 2018, ISO atau dikenal sebagai Organisasi Internasional untuk Standardisasi merevisi pedoman manajemen risiko yang ditampilkan dalam standar ISO 31000 yang populer. Meskipun standar khusus ini tidak menggunakan “risk appetite”, ini mengisyaratkan istilah tersebut, terutama di bawah “menetapkan jumlah dan jenis risiko yang mungkin atau tidak diambil.”

Selain menciptakan kerangka kerja manajemen risiko, yang memungkinkan Anda membuat pernyataan selera risiko, ISO 31000 membantu memformalkan proses manajemen risiko. Dengan mengintegrasikan proses dan kerangka kerja, Anda dapat mengembangkan pernyataan selera risiko yang tepat.

Langkah 1: Komunikasi dan Komitmen

Bicarakan tentang tujuan dan strategi bisnis dengan para pemimpin lain di organisasi Anda. Melakukannya akan membantu Anda mengetahui jumlah risiko yang bersedia Anda terima dan menentukan apakah risiko tersebut dapat memenuhi tujuan organisasi yang paling penting. Komunikasi di seluruh bisnis memungkinkan Anda mempertimbangkan pandangan yang diperlukan untuk menciptakan kepemilikan dan menentukan kriteria risiko.

Langkah 2: Menentukan Ruang Lingkup, Kriteria, dan Konteks untuk diintegrasikan di seluruh Organisasi

Untuk kasus manajemen risiko terintegrasi, Anda harus menentukan posisi Anda di seluruh rantai pasokan. Kemudian, pastikan Anda meninjau seluruh ekosistem Anda. Dengan berfokus pada faktor risiko eksternal dan internal, Anda dapat menentukan kriteria evaluasi yang sesuai dan jumlah risiko.

Langkah 3: Merancang Penilaian Risiko

Anda dapat menentukan, menjelaskan, dan mengevaluasi risiko Anda dengan mengomunikasikan strategi manajemen risiko organisasi Anda berdasarkan posisi Anda dalam rantai pasokan. Setelah melakukannya, Anda dapat memanfaatkan kontrol, kejadian potensial, efektivitas kontrol, dan kemungkinan untuk menentukan apakah tingkat risiko sesuai dengan toleransi risiko Anda.

Langkah 4: Menerapkan Perlakuan Risiko

Ini melibatkan pembuatan rencana dengan tenggat waktu tertentu untuk mengidentifikasi alasan dan keputusan di baliknya. Namun demikian, bagian dari implementasi ini terdiri dari pemilihan pendekatan untuk menangani risiko. Karena Anda perlu memutuskan apakah akan menerima, mengurangi, atau menolak risiko, Anda harus membuat rencana perawatan yang akan membantu dalam mengimplementasikan keputusan tersebut.

Langkah 5: Mengevaluasi melalui Pemantauan

Sebagai bagian dari pernyataan selera risiko organisasi Anda, Anda harus menentukan apakah akan menggunakan proses evaluasi gabungan, kualitatif atau kuantitatif. Setelah menetapkan metrik, pantau ekosistem dan lingkungan data Anda secara teratur untuk memastikan kepatuhan terhadap penilaian risiko internal organisasi Anda.

Langkah 6: Lakukan Perbaikan berdasarkan Laporan dan Catatan

Pemantauan konstan dapat mengidentifikasi kerentanan di lingkungan kontrol organisasi Anda. Meningkatkan tugas pemantauan risiko Anda dan mengomunikasikan kelemahan tersebut memungkinkan Anda untuk mempertahankan program manajemen risiko yang kuat.

Langkah 7: Meringkas Hasil untuk Rilis

Manfaatkan selera risiko Anda dalam membina komunikasi dengan pemangku kepentingan eksternal dan internal. Namun demikian, banyak pernyataan selera risiko dimaksudkan untuk konsumsi publik termasuk pelaporan keuangan.

Catatan Editor: Ken Lynch adalah veteran startup perangkat lunak perusahaan, yang selalu terpesona dengan apa yang mendorong pekerja untuk bekerja dan bagaimana membuat pekerjaan lebih menarik. Ken mendirikan Timbal Balik untuk mengejar hal itu. Dia telah mendorong kesuksesan Reciprocity dengan tujuan berbasis misi ini untuk melibatkan karyawan dengan tujuan tata kelola, manajemen risiko, dan kepatuhan perusahaan mereka untuk menciptakan warga korporat yang lebih berpikiran sosial. Ken memperoleh gelar BS di bidang Ilmu Komputer dan Teknik Elektro dari MIT. Pelajari lebih lanjut di ReciprocityLabs.com.

Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke Twitter atau Facebook kami.

Rekomendasi Editor:

• Praktik terbaik untuk manajemen kepatuhan
• Proses manajemen audit alur kerja yang efektif
• Apa itu kepatuhan & manajemen catatan?
• Segmentasi jaringan dan kepatuhan PCI
• Manajemen log PCI DSS