Risk toleransı ve risk iştahı nedir?
Yayınlanan: 2019-01-10Risk toleransı ve risk iştahı çoğu durumda birbirinin yerine kullanılsa da, birbirlerinden belli ölçüde farklıdırlar. Risk yönetimi sürecine odaklanan pek çok standart ve yönetmelikle, bunlardan sadece birkaçı iki terim arasındaki ayrımları uygun şekilde açık bir şekilde tanımlamaktadır.
Bununla birlikte, verilerin korunması için gerekli kontrolleri geliştirmenize yardımcı olması için risk toleransı ile risk iştahını nasıl ayırt edeceğinizi bilmelisiniz. Bunu yapmak, uygun bir siber güvenlik programı geliştirmenize yardımcı olacaktır.
Risk Toleransı ve Risk İştahı: Fark Nedir?
Risk arzusu
Siber güvenlik söz konusu olduğunda kurumsal bir risk yönetimi yaklaşımı benimsiyorsanız, risk iştahınız hem iş kaynaklarınıza hem de hedeflerinize göre kabul edilebilir olduğunu düşündüğünüz risk miktarına veya türüne odaklanmalıdır.
Örneğin, bir ödeme işleme kuruluşu olarak faaliyet gösteriyorsanız, dikkatiniz perakendede olabilir. Bununla birlikte, kurumsal risk yönetiminizin (ERM) bir kısmı sağlık hizmetleri alanına taşınmayı içerebilir. Böyle bir durumda Healthcare Portable and Accountability Act veya HIPAA'dan kaynaklanan tüm yasal riskleri kabul etmeye hazırsanız, risk iştahınızı yaratmış olursunuz.
Risk toleransı
Alternatif olarak, risk toleransı, kabul etmek istediğiniz risk derecesine nasıl karar verdiğinizi içerir. Ödeme işleme örneğine bakıldığında, sağlık hizmetlerine geçişle ilgili riski üstlenmeye istekli olsanız da, korunan sağlık kayıtlarının sürekli izlenmesiyle ilgili tüm doğal riskleri tanımaktan vazgeçebilirsiniz. Bu nedenle, riski başka bir işletmeye, bir üçüncü taraf satıcıya devredeceksiniz.
Biftek yemeği için iştahınız olduğunda, tolerans noktanıza ulaştığınız için parçanın tamamını tüketemeyebilirsiniz. Bu durum siber güvenlik riskleri için de geçerlidir.
Risk İştahı Bildirimi ne anlama geliyor?
Risk kararlarınızı açıklamaya yardımcı olan yazılı bir belge içerir. Açıklama, hem iç hem de dış paydaşları risk iştahınız hakkında bilgilendirmenizi sağlamakla kalmaz, aynı zamanda stratejik hedeflere ulaşmak için daha gerekli görüşmeleri tetikler.
Risk İştahı Bildirimi Nasıl Geliştirilir?
2018'de ISO veya diğer adıyla Uluslararası Standardizasyon Örgütü, popüler ISO 31000 standardında yer alan risk yönetimi yönergelerini revize etti. Bu özel standart, “risk iştahı”nı kullanmasa da, özellikle “alınabilecek veya alınamayacak riskin miktarını ve türünü belirlemek” başlığı altındaki terime işaret etmektedir.
ISO 31000, bir risk iştahı beyanı oluşturmanıza olanak tanıyan bir risk yönetimi çerçevesi oluşturmanın yanı sıra, risk yönetimi sürecinin resmileştirilmesine yardımcı olur. Süreç ve çerçeveyi entegre ederek doğru risk iştahı beyanını geliştirebilirsiniz.
Adım 1: İletişim ve Taahhüt
Kuruluşunuzdaki diğer liderlerle iş hedefleri ve stratejileri hakkında konuşun. Bunu yapmak, kabul etmeye hazır olduğunuz risk miktarını bilmenize ve bu tür risklerin en kritik kurumsal hedefleri karşılayıp karşılayamayacağını belirlemenize yardımcı olacaktır. Tüm işletme genelinde iletişim, sahiplik oluşturmak ve risk kriterlerini tanımlamak için gerekli görüşleri dikkate almanıza olanak tanır.
2. Adım: Kuruluş genelinde entegre edilecek Kapsam, Kriter ve Bağlamın Tanımlanması
Entegre risk yönetimi söz konusu olduğunda, tüm tedarik zincirindeki konumunuzu belirlemelisiniz. Ardından, tüm ekosisteminizi gözden geçirdiğinizden emin olun. Dış ve iç risk faktörlerine odaklanarak uygun değerlendirme kriterlerini ve risk miktarını tanımlayabilirsiniz.
Adım 3: Risk Değerlendirmesinin Tasarlanması
Tedarik zincirindeki konumunuza göre kuruluşunuzun risk yönetimi stratejisini ileterek risklerinizi belirleyebilir, tanımlayabilir ve değerlendirebilirsiniz. Bunu yaptıktan sonra, risk seviyelerinin risk toleransınızla uyuşup uyuşmadığını belirlemek için kontrollerden, potansiyel olaylardan, kontrol etkinliğinden ve olasılığından yararlanabilirsiniz.
Adım 4: Bir Risk Tedavisinin Uygulanması
Arkasındaki nedenleri ve kararları belirlemek için belirli sürelere sahip bir planın oluşturulmasını içerir. Bununla birlikte, bu uygulamanın bir kısmı, risklerin ele alınmasına yönelik yaklaşımların seçilmesinden oluşur. Riski kabul etmeye, azaltmaya veya reddetmeye karar vermeniz gerektiğinden, bu tür kararların uygulanmasına yardımcı olacak bir tedavi planı oluşturmalısınız.
Adım 5: İzleme Yoluyla Değerlendirme
Kuruluşunuzun risk iştahı beyanının bir parçası olarak, birleşik, niteliksel veya niceliksel bir değerlendirme süreci kullanıp kullanmayacağınızı belirlemelisiniz. Metrikleri belirledikten sonra, kuruluşunuzun dahili risk değerlendirmesine uygunluğu tespit etmek için veri ekosisteminizi ve ortamınızı düzenli olarak izleyin.
6. Adım: Raporlara ve Kayıtlara Dayalı İyileştirmeler Yapın
Sürekli izleme, kuruluşunuzun kontrol ortamındaki güvenlik açıklarını belirleyebilir. Risk izleme görevlerinizi hızlandırmak ve bu tür zayıflıkları iletmek, sağlam bir risk yönetimi programı sürdürmenizi sağlar.
7. Adım: Yayın Sonuçlarının Özetlenmesi
Hem dış hem de iç paydaşlarla iletişimi teşvik etmek için risk iştahınızı kullanın. Bununla birlikte, finansal raporlama da dahil olmak üzere çok sayıda risk iştahı beyanı kamu tüketimine yöneliktir.
Editörün Notu: Ken Lynch, çalışanları neyin çalışmaya ittiği ve işin nasıl daha ilgi çekici hale getirileceği konusunda her zaman büyülenmiş bir kurumsal yazılım başlangıç uzmanıdır. Ken, tam da bunu sürdürmek için Karşılıklılık'ı kurdu. Daha sosyal düşünen kurumsal vatandaşlar yaratmak için çalışanları şirketlerinin yönetişim, risk yönetimi ve uyum hedeflerine dahil etmeye yönelik bu misyon temelli hedefle Reciprocity'nin başarısını destekledi. Ken, lisans derecesini MIT'den Bilgisayar Bilimi ve Elektrik Mühendisliği alanında almıştır. ReciprocityLabs.com'da daha fazla bilgi edinin.
Bu konuda herhangi bir fikriniz var mı? Aşağıdaki yorumlarda bize bildirin veya tartışmayı Twitter veya Facebook'a taşıyın.
Editörün Önerileri:
- Uyumluluk yönetimi için en iyi uygulamalar
- Etkili iş akışı denetim yönetimi süreçleri
- Uyumluluk ve kayıt yönetimi nedir
- Ağ segmentasyonu ve PCI uyumluluğu
- PCI DSS günlük yönetimi