O que é tolerância ao risco e apetite ao risco

Embora a tolerância ao risco e o apetite ao risco sejam usados ​​de forma intercambiável na maioria dos casos, eles são diferentes um do outro em certo grau. Com muitas normas e regulamentos com foco no processo de gerenciamento de risco, apenas alguns deles definem claramente as distinções entre os dois termos de forma adequada.

No entanto, você deve saber distinguir entre tolerância ao risco e apetite ao risco para ajudá-lo a desenvolver os controles necessários para proteger os dados. Isso ajudará você a desenvolver um programa de segurança cibernética adequado.

Tolerância ao risco versus apetite ao risco: qual é a diferença?

Apetite ao Risco

Caso você esteja adotando uma abordagem de gerenciamento de riscos corporativos quando se trata de segurança cibernética, seu apetite ao risco deve se concentrar na quantidade ou tipo de risco que você considera aceitável com base em seus recursos e objetivos de negócios.

Por exemplo, se você opera como uma entidade de processamento de pagamentos, sua atenção pode estar no varejo. No entanto, parte do seu gerenciamento de riscos corporativos (ERM) pode envolver a mudança para o espaço da saúde. Nesse caso, se você estiver disposto a aceitar todos os riscos legais decorrentes da Lei de Portabilidade e Responsabilidade de Saúde ou HIPAA, você criou seu apetite de risco.

Tolerância de risco

Alternativamente, a tolerância ao risco envolve como você decide o grau de risco que deseja aceitar. Olhando para o exemplo de processamento de pagamento, embora você possa estar disposto a assumir o risco associado à mudança para a área de saúde, você pode se recusar a reconhecer todos os riscos inerentes envolvidos no monitoramento constante de registros de saúde protegidos. Assim, você acabará transferindo o risco para outra entidade, um fornecedor terceirizado.

Quando você tem apetite para o jantar de bife, pode não consumir a peça inteira devido ao seu ponto de tolerância. Este caso também se aplica a riscos de segurança cibernética.

O que significa uma Declaração de Apetite de Risco?

Ele envolve um documento escrito que ajuda a explicar suas decisões de risco. A declaração não apenas permite que você informe as partes interessadas externas e internas sobre seu apetite ao risco, mas também desencadeia conversas mais necessárias para impulsionar os objetivos estratégicos.

Como desenvolver uma declaração de apetite de risco?

Em 2018, a ISO ou também conhecida como International Organization for Standardization revisou as diretrizes de gerenciamento de risco apresentadas no popular padrão ISO 31000. Embora esse padrão em particular não use “apetite ao risco”, ele sugere o termo, particularmente em “estabelecer a quantidade e o tipo de risco que pode ou não ser assumido”.

Além de criar uma estrutura de gerenciamento de risco, que permite que você crie uma declaração de apetite de risco, a ISO 31000 ajuda a formalizar o processo de gerenciamento de risco. Por meio da integração do processo e da estrutura, você pode desenvolver a declaração de apetite de risco correta.

Passo 1: Comunicação e Compromisso

Fale sobre os objetivos e estratégias de negócios com os outros líderes de sua organização. Isso o ajudará a saber a quantidade de risco que você está disposto a aceitar e determinar se esses riscos podem atender às metas organizacionais mais críticas. A comunicação em toda a empresa permite que você leve em consideração as visões necessárias para criar propriedade e definir critérios de risco.

Etapa 2: Definindo o Escopo, Critérios e Contexto a serem integrados em toda a Organização

Para o caso de gerenciamento integrado de riscos, você deve determinar sua posição em toda a cadeia de suprimentos. Em seguida, certifique-se de revisar todo o seu ecossistema. Concentrando-se nos fatores de risco externos e internos, você pode definir os critérios de avaliação apropriados e a quantidade de risco.

Etapa 3: Projetando a Avaliação de Risco

Você pode determinar, descrever e avaliar seus riscos comunicando a estratégia de gerenciamento de riscos de sua organização com base em sua posição na cadeia de suprimentos. Depois de fazer isso, você pode alavancar controles, eventos potenciais, eficácia de controle e probabilidade para determinar se os níveis de risco correspondem à sua tolerância ao risco.

Etapa 4: Implementação de um tratamento de risco

Envolve a criação de um plano com prazos específicos para identificar os motivos e as decisões por trás deles. No entanto, parte dessa implementação consiste na escolha das abordagens para lidar com os riscos. Como você precisa decidir aceitar, mitigar ou recusar o risco, você deve criar um plano de tratamento que ajude na implementação de tais decisões.

Etapa 5: avaliação por meio do monitoramento

Como parte da declaração de apetite ao risco de sua organização, você deve determinar se deve usar um processo de avaliação combinado, qualitativo ou quantitativo. Depois de definir as métricas, monitore regularmente seu ecossistema e ambiente de dados para verificar a conformidade com a avaliação de risco interna de sua organização.

Etapa 6: fazer melhorias com base em relatórios e registros

O monitoramento constante pode identificar vulnerabilidades no ambiente de controle de sua organização. Impulsionar suas tarefas de monitoramento de risco e comunicar tais pontos fracos permite que você mantenha um programa de gerenciamento de risco robusto.

Etapa 7: Resumindo os Resultados para Liberação

Utilize seu apetite de risco para promover a comunicação com as partes interessadas externas e internas. No entanto, várias declarações de apetite ao risco destinam-se ao consumo público, incluindo relatórios financeiros.

Nota do editor: Ken Lynch é um veterano de startups de software empresarial, que sempre foi fascinado sobre o que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso. Ele impulsionou o sucesso da Reciprocity com esse objetivo baseado em missão de envolver os funcionários com as metas de governança, gerenciamento de risco e conformidade de sua empresa para criar cidadãos corporativos mais socialmente conscientes. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT. Saiba mais em ReciprocityLabs.com.

Tem alguma opinião sobre isso? Deixe-nos saber abaixo nos comentários ou leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

• Práticas recomendadas para gerenciamento de conformidade
• Processos eficazes de gerenciamento de auditoria de fluxo de trabalho
• O que é conformidade e gerenciamento de registros
• Segmentação de rede e conformidade com PCI
• Gerenciamento de log PCI DSS