Что такое толерантность к риску и склонность к риску

Опубликовано: 2019-01-10

Несмотря на то, что толерантность к риску и склонность к риску в большинстве случаев используются взаимозаменяемо, они в определенной степени отличаются друг от друга. Поскольку многие стандарты и положения сосредоточены на процессе управления рисками, лишь немногие из них четко определяют различия между этими двумя терминами.

Тем не менее, вы должны знать, как различать толерантность к риску и склонность к риску, чтобы помочь вам в разработке необходимых средств контроля для защиты данных. Это поможет вам разработать подходящую программу кибербезопасности.

Толерантность к риску и склонность к риску: в чем разница?

Склонность к риску

Если вы принимаете корпоративный подход к управлению рисками, когда речь идет о кибербезопасности, ваша склонность к риску должна быть сосредоточена на сумме или типе риска, который вы считаете приемлемым, исходя из ваших бизнес-ресурсов и целей.

Например, если вы работаете как организация, занимающаяся обработкой платежей, ваше внимание может быть сосредоточено на розничной торговле. Тем не менее, часть вашего управления рисками предприятия (ERM) может включать в себя переход в сферу здравоохранения. В таком случае, если вы готовы принять на себя все юридические риски, вытекающие из Закона о переносе и подотчетности в сфере здравоохранения или HIPAA, то вы создали свою склонность к риску.

Терпимость к риску

С другой стороны, толерантность к риску связана с тем, как вы определяете степень риска, на который хотите пойти. Глядя на пример с обработкой платежей, вы, возможно, готовы взять на себя риск, связанный с переходом на здравоохранение, но можете не осознавать все неотъемлемые риски, связанные с постоянным мониторингом защищенных медицинских карт. Следовательно, вы в конечном итоге передадите риск другому лицу, стороннему поставщику.

Когда у вас есть аппетит к стейку на ужин, вы можете не съесть весь кусок из-за достижения предела переносимости. Этот случай также относится к рискам кибербезопасности.

Что означает Заявление об аппетите к риску?

Это влечет за собой письменный документ, который помогает объяснить ваши решения о риске. Заявление не только позволяет вам информировать как внешних, так и внутренних заинтересованных сторон о вашей склонности к риску, но также инициирует более необходимые обсуждения для достижения стратегических целей.

Как разработать заявление об аппетите к риску?

Еще в 2018 году ISO или иначе известная как Международная организация по стандартизации пересмотрела рекомендации по управлению рисками, содержащиеся в популярном стандарте ISO 31000. Несмотря на то, что в этом конкретном стандарте не используется «аппетит к риску», он намекает на этот термин, особенно в разделе «установление суммы и типа риска, который может или не может быть принят».

Помимо создания структуры управления рисками, которая позволяет вам составить заявление об аппетите к риску, ISO 31000 помогает формализовать процесс управления рисками. Благодаря интеграции процесса и структуры вы можете разработать правильное заявление об аппетите к риску.

Шаг 1: Общение и обязательство

Обсудите бизнес-цели и стратегии с другими руководителями вашей организации. Это поможет вам узнать размер риска, который вы готовы принять, и определить, могут ли такие риски соответствовать наиболее важным целям организации. Коммуникация в рамках всего бизнеса позволяет вам учитывать необходимые точки зрения для создания собственности и определения критериев риска.

Шаг 2: Определение области применения, критериев и контекста, которые должны быть интегрированы в организацию

В случае интегрированного управления рисками вы должны определить свою позицию во всей цепочке поставок. Затем обязательно просмотрите всю свою экосистему. Сосредоточив внимание на внешних и внутренних факторах риска, можно определить соответствующие критерии оценки и величину риска.

Шаг 3: Разработка оценки рисков

Вы можете определить, описать и оценить свои риски, сообщив о стратегии управления рисками вашей организации на основе вашего положения в цепочке поставок. После этого вы можете использовать элементы управления, потенциальные события, эффективность средств контроля и вероятность, чтобы определить, соответствуют ли уровни риска вашей допустимости риска.

Шаг 4: Внедрение обработки риска

Он включает в себя создание плана с конкретными сроками для выявления причин и решений, стоящих за ними. Тем не менее, часть этой реализации состоит в выборе подходов к управлению рисками. Поскольку вам нужно решить, принимать ли, уменьшать или отказываться от риска, вы должны создать план лечения, который поможет в реализации таких решений.

Шаг 5: Оценка посредством мониторинга

В рамках заявления вашей организации о риск-аппетите вы должны определить, следует ли использовать комбинированный, качественный или количественный процесс оценки. После установки метрик регулярно контролируйте свою экосистему данных и среду, чтобы убедиться в соответствии внутренней оценке рисков вашей организации.

Шаг 6. Внесите улучшения на основе отчетов и записей

Постоянный мониторинг может выявить уязвимости в контрольной среде вашей организации. Усиление ваших задач по мониторингу рисков и информирование о таких слабых местах позволит вам поддерживать надежную программу управления рисками.

Шаг 7: Обобщение результатов для выпуска

Используйте свою склонность к риску для налаживания связи как с внешними, так и с внутренними заинтересованными сторонами. Тем не менее, многочисленные заявления об аппетите к риску предназначены для публичного ознакомления, включая финансовую отчетность.

Примечание редактора: Кен Линч — ветеран запуска корпоративного программного обеспечения, которого всегда интересовало, что побуждает сотрудников работать и как сделать работу более увлекательной. Кен основал Reciprocity именно для этого. Он способствовал успеху Reciprocity с этой миссией, основанной на миссии, заключающейся в том, чтобы привлечь сотрудников к управлению, управлению рисками и целям соблюдения требований их компании, чтобы создать более социально настроенных корпоративных граждан. Кен получил степень бакалавра компьютерных наук и электротехники в Массачусетском технологическом институте. Узнайте больше на ReciprocityLabs.com.

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.

Рекомендации редакции:

  • Лучшие практики управления соответствием требованиям
  • Эффективные процессы управления аудитом рабочих процессов
  • Что такое комплаенс и управление записями
  • Сегментация сети и соответствие PCI
  • Управление журналом PCI DSS