Ce este toleranța la risc și apetitul la risc

Chiar dacă toleranța la risc și apetitul la risc sunt folosite în mod interschimbabil în majoritatea cazurilor, ele sunt diferite una de cealaltă într-o anumită măsură. Cu multe standarde și reglementări care se concentrează pe procesul de management al riscului, doar câteva dintre ele definesc clar distincțiile dintre cei doi termeni în mod corespunzător.

Cu toate acestea, trebuie să știți să distingeți între toleranța la risc și apetitul la risc pentru a vă ajuta să dezvoltați controalele necesare pentru protejarea datelor. Acest lucru vă va ajuta să dezvoltați un program adecvat de securitate cibernetică.

Toleranța la risc versus apetitul la risc: care este diferența?

Apetit pentru risc

În cazul în care adoptați o abordare de management al riscului de întreprindere în ceea ce privește securitatea cibernetică, apetitul pentru risc ar trebui să se concentreze pe cantitatea sau tipul de risc pe care îl considerați acceptabil atât pe baza resurselor, cât și a obiectivelor dvs. de afaceri.

De exemplu, dacă operați ca entitate de procesare a plăților, atenția dvs. poate fi în retail. Cu toate acestea, o parte a managementului riscului întreprinderii (ERM) poate implica mutarea în spațiul de asistență medicală. Într-un astfel de caz, dacă sunteți dispus să acceptați toate riscurile legale care decurg din Healthcare Portability and Accountability Act sau HIPAA, atunci v-ați creat apetitul pentru risc.

Toleranță la risc

În mod alternativ, toleranța la risc implică modul în care decideți gradul de risc pe care doriți să îl acceptați. Privind exemplul de procesare a plăților, deși ați putea fi dispus să vă asumați riscul asociat cu trecerea la asistența medicală, s-ar putea să nu recunoașteți toate riscurile inerente implicate în monitorizarea constantă a dosarelor de sănătate protejate. Prin urmare, veți ajunge să transferați riscul către o altă entitate, un furnizor terță parte.

Când aveți poftă de cină cu friptură, este posibil să nu reușiți să consumați întreaga bucată din cauza atingerii punctului de toleranță. Acest caz se aplică și riscurilor de securitate cibernetică.

Ce înseamnă o declarație de apetit pentru risc?

Aceasta implică un document scris care vă ajută să explicați deciziile dumneavoastră de risc. Declarația nu numai că vă permite să informați atât părțile interesate externe, cât și interne despre apetitul dumneavoastră pentru risc, dar declanșează și conversații mai necesare pentru a conduce obiectivele strategice.

Cum să dezvoltați o declarație de apetit pentru risc?

În 2018, ISO sau altfel cunoscut sub numele de Organizația Internațională pentru Standardizare a revizuit liniile directoare de management al riscurilor prezentate în popularul standard ISO 31000. Chiar dacă acest standard special nu folosește „apetit pentru risc”, sugerează termenul, în special în „stabilirea cantității și tipului de risc care poate fi sau nu asumat”.

Pe lângă crearea unui cadru de management al riscului, care vă permite să veniți cu o declarație a apetitului pentru risc, ISO 31000 ajută la formalizarea procesului de management al riscului. Prin integrarea procesului și cadrului, puteți dezvolta declarația corectă a apetitului pentru risc.

Pasul 1: Comunicare și angajament

Discutați despre obiectivele și strategiile de afaceri cu ceilalți lideri din organizația dvs. Acest lucru vă va ajuta să cunoașteți cantitatea de risc pe care sunteți dispus să o acceptați și să determinați dacă astfel de riscuri pot îndeplini cele mai critice obiective organizaționale. Comunicarea în întreaga afacere vă permite să luați în considerare punctele de vedere necesare pentru crearea proprietății și definirea criteriilor de risc.

Pasul 2: Definirea domeniului de aplicare, criteriilor și contextului care urmează să fie integrat în cadrul organizației

În cazul managementului integrat al riscului, trebuie să vă determinați poziția în întregul lanț de aprovizionare. Apoi, asigurați-vă că vă revizuiți întregul ecosistem. Prin concentrarea asupra factorilor de risc externi și interni, puteți defini criteriile de evaluare adecvate și cantitatea de risc.

Pasul 3: Proiectarea evaluării riscurilor

Puteți determina, descrie și evalua riscurile dvs. comunicând strategia de management al riscurilor a organizației dvs. pe baza poziției dvs. în lanțul de aprovizionare. După ce faceți acest lucru, puteți utiliza controale, evenimente potențiale, eficacitatea controlului și probabilitatea de a determina dacă nivelurile de risc se potrivesc cu toleranța dvs. la risc.

Pasul 4: Implementarea unui tratament de risc

Presupune crearea unui plan cu termene limită specifice pentru identificarea motivelor și deciziilor din spatele acestora. Cu toate acestea, o parte a acestei implementări constă în alegerea abordărilor pentru gestionarea riscurilor. Deoarece trebuie să decideți dacă acceptați, reduceți sau refuzați riscul, trebuie să creați un plan de tratament care să vă ajute la implementarea unor astfel de decizii.

Pasul 5: Evaluarea prin monitorizare

Ca parte a declarației privind apetitul pentru risc a organizației dumneavoastră, trebuie să determinați dacă să utilizați un proces de evaluare combinat, calitativ sau cantitativ. După ce setați valori, monitorizați-vă în mod regulat ecosistemul și mediul de date pentru a verifica conformitatea cu evaluarea internă a riscurilor a organizației dvs.

Pasul 6: faceți îmbunătățiri pe baza rapoartelor și înregistrărilor

Monitorizarea constantă poate identifica vulnerabilitățile din mediul de control al organizației dumneavoastră. Îmbunătățirea sarcinilor de monitorizare a riscurilor și comunicarea acestor puncte slabe vă permite să mențineți un program robust de gestionare a riscurilor.

Pasul 7: Rezumarea rezultatelor pentru lansare

Utilizați apetitul pentru risc pentru a stimula comunicarea cu părțile interesate atât externe, cât și interne. Cu toate acestea, numeroase declarații privind apetitul pentru risc sunt destinate consumului public, inclusiv raportării financiare.

Nota editorului: Ken Lynch este un veteran al startup-ului de software pentru întreprinderi, care a fost întotdeauna fascinat de ceea ce îi determină pe lucrători să lucreze și de cum să facă munca mai atractivă. Ken a fondat Reciprocity pentru a urmări tocmai asta. El a propulsat succesul Reciprocity cu acest obiectiv bazat pe misiuni de a angaja angajații cu obiectivele de guvernanță, managementul riscurilor și conformității companiei lor, pentru a crea cetățeni corporativi cu o minte mai socială. Ken și-a obținut licența în Informatică și Inginerie Electrică de la MIT. Aflați mai multe la ReciprocityLabs.com.

Ai vreo părere despre asta? Anunțați-ne mai jos în comentarii sau transmiteți discuția pe Twitter sau Facebook.

Recomandările editorilor:

• Cele mai bune practici pentru managementul conformității
• Procese eficiente de management al auditului fluxului de lucru
• Ce este conformitatea și managementul înregistrărilor
• Segmentarea rețelei și conformitatea PCI
• Gestionarea jurnalelor PCI DSS