การยอมรับความเสี่ยงและความเสี่ยงคืออะไร

แม้ว่าการยอมรับความเสี่ยงและความยอมรับความเสี่ยงจะใช้แทนกันได้ในกรณีส่วนใหญ่ แต่ก็มีความแตกต่างกันในระดับหนึ่ง ด้วยมาตรฐานและข้อบังคับมากมายที่เน้นกระบวนการบริหารความเสี่ยง มีเพียงไม่กี่ข้อเท่านั้นที่นิยามความแตกต่างระหว่างคำศัพท์ทั้งสองได้อย่างเหมาะสม

อย่างไรก็ตาม คุณต้องรู้วิธีแยกแยะความแตกต่างระหว่างการยอมรับความเสี่ยงและความเสี่ยงที่ยอมรับได้ เพื่อช่วยคุณในการพัฒนาการควบคุมที่จำเป็นสำหรับการปกป้องข้อมูล การทำเช่นนี้จะช่วยให้คุณพัฒนาโปรแกรมความปลอดภัยทางไซเบอร์ที่เหมาะสม

ความเสี่ยงที่ยอมรับได้กับความเสี่ยง: อะไรคือความแตกต่าง?

ความเสี่ยง

ในกรณีที่คุณกำลังนำแนวทางการจัดการความเสี่ยงขององค์กรมาใช้กับความปลอดภัยทางไซเบอร์ ความเสี่ยงของคุณควรเน้นที่จำนวนหรือประเภทของความเสี่ยงที่คุณคิดว่ายอมรับได้ตามทรัพยากรทางธุรกิจและวัตถุประสงค์ของคุณ

ตัวอย่างเช่น หากคุณดำเนินการในฐานะนิติบุคคลที่ดำเนินการชำระเงิน ความสนใจของคุณอาจอยู่ที่การขายปลีก อย่างไรก็ตาม ส่วนหนึ่งของการจัดการความเสี่ยงขององค์กร (ERM) อาจเกี่ยวข้องกับการย้ายเข้าสู่พื้นที่ด้านการดูแลสุขภาพ ในกรณีเช่นนี้ หากคุณยินดีที่จะยอมรับความเสี่ยงทางกฎหมายทั้งหมดที่เกิดจากพระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบด้านการดูแลสุขภาพหรือ HIPAA แสดงว่าคุณได้สร้างความเสี่ยงแล้ว

การยอมรับความเสี่ยง

อีกทางเลือกหนึ่ง การยอมรับความเสี่ยงเกี่ยวข้องกับวิธีที่คุณตัดสินใจระดับความเสี่ยงที่คุณต้องการยอมรับ ดูตัวอย่างการประมวลผลการชำระเงิน แม้ว่าคุณอาจเต็มใจรับความเสี่ยงที่เกี่ยวข้องกับการเปลี่ยนไปสู่การรักษาพยาบาล แต่คุณอาจไม่รับรู้ถึงความเสี่ยงโดยธรรมชาติทั้งหมดที่เกี่ยวข้องกับการติดตามบันทึกสุขภาพที่ได้รับการคุ้มครองอย่างต่อเนื่อง ดังนั้น คุณจะต้องโอนความเสี่ยงไปยังหน่วยงานอื่น ซึ่งเป็นผู้ขายที่เป็นบุคคลภายนอก

เมื่อคุณมีความอยากอาหารสำหรับอาหารค่ำสเต็ก คุณอาจล้มเหลวที่จะกินทั้งชิ้นเนื่องจากถึงจุดความอดทนของคุณ กรณีนี้ใช้กับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ด้วย

คำชี้แจงความอยากอาหารความเสี่ยงหมายถึงอะไร?

มีเอกสารเป็นลายลักษณ์อักษรที่ช่วยในการอธิบายการตัดสินใจเกี่ยวกับความเสี่ยงของคุณ คำแถลงนี้ไม่เพียงแต่ช่วยให้คุณแจ้งผู้มีส่วนได้ส่วนเสียทั้งภายนอกและภายในเกี่ยวกับความเสี่ยงที่ยอมรับได้ แต่ยังกระตุ้นให้เกิดการสนทนาที่จำเป็นมากขึ้นสำหรับการขับเคลื่อนวัตถุประสงค์เชิงกลยุทธ์

จะพัฒนาคำชี้แจงความเสี่ยงได้อย่างไร?

ย้อนกลับไปในปี 2018 ISO หรือที่รู้จักกันในอีกชื่อหนึ่งว่าองค์การระหว่างประเทศเพื่อการมาตรฐาน ได้ปรับปรุงแนวทางการบริหารความเสี่ยงที่มีในมาตรฐาน ISO 31000 ที่เป็นที่นิยม แม้ว่ามาตรฐานนี้ไม่ได้ใช้ "ความเสี่ยงที่ยอมรับได้" แต่ก็เป็นนัยถึงคำนี้ โดยเฉพาะอย่างยิ่งภายใต้ "การกำหนดจำนวนและประเภทของความเสี่ยงที่อาจได้รับหรือไม่ได้รับ"

นอกเหนือจากการสร้างกรอบการบริหารความเสี่ยง ซึ่งช่วยให้คุณสามารถสร้างคำแถลงความเสี่ยงได้ ISO 31000 ยังช่วยในการกำหนดกระบวนการบริหารความเสี่ยงให้เป็นแบบแผน ด้วยการบูรณาการกระบวนการและกรอบการทำงาน คุณสามารถพัฒนาคำสั่งความเสี่ยงที่เหมาะสม

ขั้นตอนที่ 1: การสื่อสารและความมุ่งมั่น

พูดคุยเกี่ยวกับวัตถุประสงค์ทางธุรกิจและกลยุทธ์กับผู้นำคนอื่นๆ ในองค์กรของคุณ การทำเช่นนี้จะช่วยให้คุณทราบปริมาณความเสี่ยงที่คุณยินดียอมรับและกำหนดว่าความเสี่ยงดังกล่าวสามารถบรรลุเป้าหมายขององค์กรที่สำคัญที่สุดได้หรือไม่ การสื่อสารทั่วทั้งธุรกิจทำให้คุณสามารถพิจารณามุมมองที่จำเป็นสำหรับการสร้างความเป็นเจ้าของและกำหนดเกณฑ์ความเสี่ยง

ขั้นตอนที่ 2: การกำหนดขอบเขต เกณฑ์ และบริบทที่จะรวมทั่วทั้งองค์กร

สำหรับกรณีของการจัดการความเสี่ยงแบบบูรณาการ คุณต้องกำหนดตำแหน่งของคุณในห่วงโซ่อุปทานทั้งหมด จากนั้น ตรวจสอบให้แน่ใจว่าคุณได้ตรวจสอบระบบนิเวศทั้งหมดของคุณแล้ว โดยเน้นที่ปัจจัยความเสี่ยงภายนอกและภายใน คุณสามารถกำหนดเกณฑ์การประเมินที่เหมาะสมและปริมาณความเสี่ยงได้

ขั้นตอนที่ 3: การออกแบบการประเมินความเสี่ยง

คุณสามารถกำหนด อธิบาย และประเมินความเสี่ยงของคุณโดยการสื่อสารกลยุทธ์การบริหารความเสี่ยงขององค์กรของคุณตามตำแหน่งของคุณในห่วงโซ่อุปทาน หลังจากทำเช่นนั้น คุณสามารถใช้การควบคุม เหตุการณ์ที่อาจเกิดขึ้น ประสิทธิภาพการควบคุม และความน่าจะเป็นในการพิจารณาว่าระดับความเสี่ยงตรงกับระดับความเสี่ยงที่ยอมรับได้ของคุณหรือไม่

ขั้นตอนที่ 4: การดำเนินการบำบัดความเสี่ยง

มันเกี่ยวข้องกับการสร้างแผนที่มีกำหนดเวลาเฉพาะเพื่อระบุเหตุผลและการตัดสินใจเบื้องหลัง อย่างไรก็ตาม ส่วนหนึ่งของการดำเนินการนี้ประกอบด้วยการเลือกแนวทางในการจัดการความเสี่ยง เนื่องจากคุณจำเป็นต้องตัดสินใจว่าจะยอมรับ บรรเทา หรือปฏิเสธความเสี่ยง คุณต้องสร้างแผนการรักษาที่จะช่วยในการดำเนินการตัดสินใจดังกล่าว

ขั้นตอนที่ 5: การประเมินผ่านการตรวจสอบ

ในฐานะที่เป็นส่วนหนึ่งของคำแถลงความเสี่ยงขององค์กรของคุณ คุณต้องตัดสินใจว่าจะใช้กระบวนการประเมินผลแบบผสมผสาน เชิงคุณภาพ หรือเชิงปริมาณ หลังจากกำหนดเมตริกแล้ว ให้ตรวจสอบระบบนิเวศข้อมูลและสภาพแวดล้อมของคุณอย่างสม่ำเสมอเพื่อให้แน่ใจว่าสอดคล้องกับการประเมินความเสี่ยงภายในขององค์กรของคุณ

ขั้นตอนที่ 6: ทำการปรับปรุงตามรายงานและบันทึก

การตรวจสอบอย่างต่อเนื่องสามารถระบุช่องโหว่ในสภาพแวดล้อมการควบคุมขององค์กรของคุณ การเพิ่มงานตรวจสอบความเสี่ยงและการสื่อสารจุดอ่อนดังกล่าวช่วยให้คุณสามารถรักษาโปรแกรมการจัดการความเสี่ยงที่แข็งแกร่งได้

ขั้นตอนที่ 7: สรุปผลลัพธ์สำหรับการเปิดตัว

ใช้ความเสี่ยงของคุณในการส่งเสริมการสื่อสารกับผู้มีส่วนได้ส่วนเสียทั้งภายนอกและภายใน อย่างไรก็ตาม งบยอมรับความเสี่ยงจำนวนมากมีไว้สำหรับการบริโภคของสาธารณะรวมถึงการรายงานทางการเงิน

หมายเหตุบรรณาธิการ: Ken Lynch เป็นผู้เชี่ยวชาญในการเริ่มต้นซอฟต์แวร์ระดับองค์กร ผู้ซึ่งหลงใหลในสิ่งที่ผลักดันให้พนักงานทำงานและวิธีทำให้งานมีส่วนร่วมมากขึ้น Ken ก่อตั้ง Reciprocity เพื่อไล่ตามสิ่งนั้น เขาได้ขับเคลื่อนความสำเร็จของ Reciprocity ด้วยเป้าหมายตามภารกิจในการมีส่วนร่วมกับพนักงานด้วยการกำกับดูแล การบริหารความเสี่ยง และเป้าหมายในการปฏิบัติตามกฎระเบียบของบริษัท เพื่อสร้างพลเมืององค์กรที่มีใจรักในสังคมมากขึ้น เคนสำเร็จการศึกษาระดับปริญญาตรีสาขาวิทยาการคอมพิวเตอร์และวิศวกรรมไฟฟ้าจาก MIT เรียนรู้เพิ่มเติมที่ ReciprocityLabs.com

มีความคิดเกี่ยวกับเรื่องนี้หรือไม่? แจ้งให้เราทราบด้านล่างในความคิดเห็นหรือดำเนินการสนทนาไปที่ Twitter หรือ Facebook ของเรา

คำแนะนำของบรรณาธิการ:

• แนวปฏิบัติที่ดีที่สุดสำหรับการจัดการการปฏิบัติตามข้อกำหนด
• กระบวนการจัดการการตรวจสอบเวิร์กโฟลว์ที่มีประสิทธิภาพ
• การปฏิบัติตามข้อกำหนดและการจัดการบันทึกคืออะไร
• การแบ่งส่วนเครือข่ายและการปฏิบัติตาม PCI
• การจัดการบันทึก PCI DSS