Czym jest tolerancja na ryzyko i apetyt na ryzyko
Opublikowany: 2019-01-10Chociaż w większości przypadków tolerancja na ryzyko i apetyt na ryzyko są używane zamiennie, różnią się one od siebie w pewnym stopniu. Przy wielu standardach i regulacjach skupiających się na procesie zarządzania ryzykiem, tylko kilka z nich jasno i właściwie definiuje rozróżnienie między tymi dwoma pojęciami.
Niemniej jednak musisz wiedzieć, jak odróżnić tolerancję na ryzyko od apetytu na ryzyko, aby pomóc w opracowaniu niezbędnych mechanizmów kontroli ochrony danych. Pomoże Ci to w opracowaniu odpowiedniego programu cyberbezpieczeństwa.
Tolerancja na ryzyko a apetyt na ryzyko: jaka jest różnica?
Apetyt na ryzyko
Jeśli stosujesz podejście do zarządzania ryzykiem w przedsiębiorstwie, jeśli chodzi o cyberbezpieczeństwo, Twój apetyt na ryzyko powinien koncentrować się na kwocie lub typie ryzyka, które uważasz za dopuszczalne w oparciu zarówno o zasoby biznesowe, jak i cele.
Na przykład, jeśli działasz jako podmiot przetwarzający płatności, Twoja uwaga może być skierowana na handel detaliczny. Niemniej jednak część zarządzania ryzykiem w przedsiębiorstwie (ERM) może obejmować przeniesienie się do przestrzeni opieki zdrowotnej. W takim przypadku, jeśli chcesz zaakceptować wszystkie ryzyka prawne, które wynikają z Ustawy o przenośności i odpowiedzialności w opiece zdrowotnej lub HIPAA, masz apetyt na ryzyko.
Tolerancja ryzyka
Ewentualnie tolerancja na ryzyko wiąże się z tym, jak decydujesz o stopniu ryzyka, które chcesz zaakceptować. Patrząc na przykład przetwarzania płatności, chociaż możesz być skłonny podjąć ryzyko związane z przejściem do opieki zdrowotnej, możesz powstrzymać się od rozpoznania wszystkich nieodłącznych zagrożeń związanych z ciągłym monitorowaniem chronionej dokumentacji medycznej. W związku z tym przeniesiesz ryzyko na inny podmiot, zewnętrznego dostawcę.
Kiedy masz apetyt na kolację ze stekiem, możesz nie skonsumować całego kawałka z powodu osiągnięcia punktu tolerancji. Ten przypadek dotyczy również zagrożeń związanych z cyberbezpieczeństwem.
Co oznacza oświadczenie dotyczące apetytu na ryzyko?
Obejmuje pisemny dokument, który pomaga w wyjaśnieniu twoich decyzji dotyczących ryzyka. Oświadczenie nie tylko umożliwia poinformowanie zarówno zewnętrznych, jak i wewnętrznych interesariuszy o swoim apetycie na ryzyko, ale także wyzwala bardziej niezbędne rozmowy dla realizacji celów strategicznych.
Jak opracować oświadczenie dotyczące apetytu na ryzyko?
W 2018 roku ISO lub inaczej znana jako Międzynarodowa Organizacja Normalizacyjna zrewidowało wytyczne dotyczące zarządzania ryzykiem zawarte w popularnej normie ISO 31000. Mimo że w tym konkretnym standardzie nie używa się pojęcia „apetytu na ryzyko”, sugeruje to termin, szczególnie w ramach „ustalania kwoty i rodzaju ryzyka, które można podjąć lub nie”.
Oprócz stworzenia ram zarządzania ryzykiem, które pozwalają na sformułowanie deklaracji apetytu na ryzyko, ISO 31000 pomaga w sformalizowaniu procesu zarządzania ryzykiem. Integrując proces i ramy, możesz opracować odpowiednią deklarację apetytu na ryzyko.
Krok 1: Komunikacja i zaangażowanie
Porozmawiaj o celach i strategiach biznesowych z innymi liderami w Twojej organizacji. Pomoże ci to poznać poziom ryzyka, które jesteś w stanie zaakceptować i określić, czy takie ryzyko może spełnić najważniejsze cele organizacji. Komunikacja w całej firmie pozwala na uwzględnienie widoków niezbędnych do tworzenia własności i definiowania kryteriów ryzyka.
Krok 2: Zdefiniowanie zakresu, kryteriów i kontekstu, które mają być zintegrowane w całej organizacji
W przypadku zintegrowanego zarządzania ryzykiem musisz określić swoją pozycję w całym łańcuchu dostaw. Następnie upewnij się, że sprawdziłeś cały swój ekosystem. Koncentrując się na zewnętrznych i wewnętrznych czynnikach ryzyka, możesz zdefiniować odpowiednie kryteria oceny i wielkość ryzyka.
Krok 3: Projektowanie oceny ryzyka
Możesz określić, opisać i ocenić swoje ryzyko, przekazując strategię zarządzania ryzykiem swojej organizacji w oparciu o swoją pozycję w łańcuchu dostaw. Po wykonaniu tej czynności możesz wykorzystać kontrole, potencjalne zdarzenia, skuteczność kontroli i prawdopodobieństwo, aby określić, czy poziomy ryzyka odpowiadają Twojej tolerancji na ryzyko.
Krok 4: Wdrożenie postępowania z ryzykiem
Polega na stworzeniu planu z określonymi terminami na określenie przyczyn i decyzji stojących za nimi. Niemniej jednak część tego wdrożenia polega na wyborze podejść do radzenia sobie z ryzykiem. Ponieważ musisz zdecydować, czy zaakceptować, złagodzić lub odrzucić ryzyko, musisz stworzyć plan leczenia, który pomoże we wdrażaniu takich decyzji.
Krok 5: Ocena poprzez monitorowanie
W ramach deklaracji apetytu na ryzyko Twojej organizacji musisz określić, czy zastosować łączony, jakościowy czy ilościowy proces oceny. Po ustaleniu wskaźników regularnie monitoruj ekosystem danych i środowisko, aby upewnić się, że są one zgodne z wewnętrzną oceną ryzyka organizacji.
Krok 6: Wprowadź ulepszenia na podstawie raportów i zapisów
Stałe monitorowanie może zidentyfikować słabe punkty w środowisku kontroli Twojej organizacji. Zwiększenie zadań związanych z monitorowaniem ryzyka i informowanie o takich słabościach umożliwia utrzymanie solidnego programu zarządzania ryzykiem.
Krok 7: Podsumowanie wyników do wydania
Wykorzystaj swój apetyt na ryzyko, aby wspierać komunikację zarówno z interesariuszami zewnętrznymi, jak i wewnętrznymi. Niemniej jednak wiele oświadczeń dotyczących apetytu na ryzyko jest przeznaczonych do spożycia publicznego, w tym do sprawozdawczości finansowej.
Uwaga redaktora: Ken Lynch jest weteranem tworzenia oprogramowania dla przedsiębiorstw, który zawsze był zafascynowany tym, co motywuje pracowników do pracy i jak sprawić, by praca była bardziej angażująca. Ken założył Reciprocity, aby to osiągnąć. To on napędzał sukces Reciprocity dzięki temu celowi opartemu na misji, jakim jest zaangażowanie pracowników w cele związane z zarządzaniem, zarządzaniem ryzykiem i zgodnością ich firmy w celu stworzenia bardziej społecznie nastawionych obywateli korporacyjnych. Ken uzyskał tytuł licencjata w dziedzinie informatyki i elektrotechniki na MIT. Dowiedz się więcej na ReciprocityLabs.com.
Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.
Rekomendacje redaktorów:
- Najlepsze praktyki zarządzania zgodnością
- Efektywne procesy zarządzania audytem przepływu pracy
- Co to jest zarządzanie zgodnością i zapisami
- Segmentacja sieci i zgodność z PCI
- Zarządzanie logami PCI DSS