什么是风险承受能力和风险偏好

尽管风险承受能力和风险偏好在大多数情况下可以互换使用，但它们在一定程度上彼此不同。 由于许多标准和法规都侧重于风险管理过程，其中只有少数标准和法规适当地明确了这两个术语之间的区别。

尽管如此，您必须知道如何区分风险承受能力和风险偏好，以帮助您制定必要的控制措施来保护数据。 这样做将帮助您制定合适的网络安全计划。

风险承受能力与风险偏好：有什么区别？

风险偏好

如果您在网络安全方面采用企业风险管理方法，您的风险偏好应该集中在您根据业务资源和目标认为可接受的风险数量或类型上。

例如，如果您作为支付处理实体运营，您的注意力可能集中在零售业。 然而，您的企业风险管理 (ERM) 的一部分可能涉及进入医疗保健领域。 在这种情况下，如果您愿意接受源自《医疗保健可移植性和责任法案》或 HIPAA 的所有法律风险，那么您已经建立了自己的风险偏好。

风险承受能力

或者，风险承受能力意味着你如何决定你想要接受的风险程度。 查看支付处理示例，尽管您可能愿意承担与转向医疗保健相关的风险，但您可能不愿承认持续监控受保护的健康记录所涉及的所有固有风险。 因此，您最终会将风险转移给另一个实体，即第三方供应商。

当您对牛排晚餐有胃口时，您可能会因为达到您的耐受点而无法食用整块牛排。 这种情况也适用于网络安全风险。

风险偏好声明是什么意思？

它需要一份有助于解释您的风险决策的书面文件。 该声明不仅使您能够告知外部和内部利益相关者您的风险偏好，还可以触发更多必要的对话以推动战略目标。

如何制定风险偏好声明？

早在 2018 年，ISO 或称为国际标准化组织的国际标准化组织修订了流行的 ISO 31000 标准中的风险管理指南。 尽管该特定标准没有使用“风险偏好”，但它暗示了该术语，特别是在“确定可能承担或不承担的风险的数量和类型”下。

除了创建一个允许您提出风险偏好声明的风险管理框架外，ISO 31000 还有助于规范风险管理过程。 通过整合流程和框架，您可以制定正确的风险偏好声明。

第 1 步：沟通和承诺

与组织中的其他领导者讨论业务目标和战略。 这样做将帮助您了解您愿意接受的风险量，并确定这些风险是否可以满足最关键的组织目标。 跨整个业务的沟通允许您考虑创建所有权和定义风险标准的必要视图。

第 2 步：定义要在整个组织中整合的范围、标准和背景

对于综合风险管理的情况，您必须确定您在整个供应链中的位置。 然后，确保您审查您的整个生态系统。 通过关注外部和内部风险因素，您可以定义适当的评估标准和风险量。

第 3 步：设计风险评估

您可以通过根据您在供应链中的位置传达组织的风险管理策略来确定、描述和评估您的风险。 这样做之后，您可以利用控制、潜在事件、控制有效性和可能性来确定风险级别是否与您的风险承受能力相匹配。

第 4 步：实施风险处理

它涉及制定具有特定期限的计划，以确定其背后的原因和决定。 然而，此实施的一部分在于选择处理风险的方法。 由于您需要决定是接受、减轻还是拒绝风险，因此您必须制定有助于实施此类决定的治疗计划。

第 5 步：通过监控进行评估

作为组织风险偏好声明的一部分，您必须确定是使用组合的、定性的还是定量的评估过程。 设置指标后，定期监控您的数据生态系统和环境，以确定是否符合您组织的内部风险评估。

第 6 步：根据报告和记录进行改进

持续监控可以识别组织控制环境中的漏洞。 加强您的风险监控任务并传达此类弱点使您能够维持一个强大的风险管理计划。

第 7 步：汇总发布结果

利用您的风险偏好来促进与外部和内部利益相关者的沟通。 然而，许多风险偏好声明旨在供公众使用，包括财务报告。

编者按： Ken Lynch 是一位企业软件初创公司的资深人士，他一直着迷于推动员工工作的因素以及如何让工作更具吸引力。 Ken 创立 Reciprocity 就是为了追求这一点。 他推动了 Reciprocity 的成功，这一基于使命的目标是让员工参与公司的治理、风险管理和合规目标，以培养更多具有社会意识的企业公民。 Ken 在麻省理工学院获得计算机科学和电气工程学士学位。 在 ReciprocityLabs.com 上了解更多信息。

对此有什么想法吗？ 在下面的评论中让我们知道，或者将讨论带到我们的 Twitter 或 Facebook。

编辑推荐：

• 合规管理的最佳实践
• 有效的工作流程审计管理流程
• 什么是合规和记录管理
• 网络分段和 PCI 合规性
• PCI DSS 日志管理