什麼是風險承受能力和風險偏好

儘管風險承受能力和風險偏好在大多數情況下可以互換使用，但它們在一定程度上彼此不同。 由於許多標準和法規都側重於風險管理的過程，但只有少數標準和法規恰當地明確了這兩個術語之間的區別。

儘管如此，您必須知道如何區分風險承受能力和風險偏好，以幫助您制定必要的控制措施來保護數據。 這樣做將幫助您制定合適的網絡安全計劃。

風險承受能力與風險偏好：有什麼區別？

風險偏好

如果您在網絡安全方面採用企業風險管理方法，您的風險偏好應該集中在您根據業務資源和目標認為可接受的風險數量或類型上。

例如，如果您作為支付處理實體運營，您的注意力可能集中在零售業。 然而，您的企業風險管理 (ERM) 的一部分可能涉及進入醫療保健領域。 在這種情況下，如果您願意接受源自《醫療保健可移植性和責任法案》或 HIPAA 的所有法律風險，那麼您已經建立了自己的風險偏好。

風險承受能力

或者，風險承受能力意味著你如何決定你想要接受的風險程度。 查看支付處理示例，儘管您可能願意承擔與轉向醫療保健相關的風險，但您可能不願承認持續監控受保護的健康記錄所涉及的所有固有風險。 因此，您最終會將風險轉移給另一個實體，即第三方供應商。

當您對牛排晚餐有胃口時，您可能會因為達到您的耐受點而無法食用整塊牛排。 這種情況也適用於網絡安全風險。

風險偏好聲明是什麼意思？

它需要一份有助於解釋您的風險決策的書面文件。 該聲明不僅使您能夠告知外部和內部利益相關者您的風險偏好，還可以觸發更多必要的對話以推動戰略目標。

如何制定風險偏好聲明？

早在 2018 年，ISO 或稱為國際標準化組織的國際標準化組織修訂了流行的 ISO 31000 標準中的風險管理指南。 儘管該特定標準沒有使用“風險偏好”，但它暗示了該術語，特別是在“確定可能承擔或不承擔的風險的數量和類型”下。

除了創建一個允許您提出風險偏好聲明的風險管理框架外，ISO 31000 還有助於規範風險管理過程。 通過整合流程和框架，您可以製定正確的風險偏好聲明。

第 1 步：溝通和承諾

與組織中的其他領導者討論業務目標和戰略。 這樣做將幫助您了解您願意接受的風險量，並確定這些風險是否可以滿足最關鍵的組織目標。 跨整個業務的溝通允許您考慮創建所有權和定義風險標準的必要視圖。

第 2 步：定義要在整個組織中整合的範圍、標準和背景

對於綜合風險管理的情況，您必須確定您在整個供應鏈中的位置。 然後，確保您審查您的整個生態系統。 通過關注外部和內部風險因素，您可以定義適當的評估標準和風險量。

第 3 步：設計風險評估

您可以通過根據您在供應鏈中的位置傳達組織的風險管理策略來確定、描述和評估您的風險。 這樣做之後，您可以利用控制、潛在事件、控制有效性和可能性來確定風險級別是否與您的風險承受能力相匹配。

第 4 步：實施風險處理

它涉及製定具有特定期限的計劃，以確定其背後的原因和決定。 然而，此實施的一部分在於選擇處理風險的方法。 由於您需要決定是接受、減輕還是拒絕風險，因此您必須制定有助於實施此類決定的治療計劃。

第 5 步：通過監控進行評估

作為組織風險偏好聲明的一部分，您必須確定是使用組合的、定性的還是定量的評估過程。 設置指標後，定期監控您的數據生態系統和環境，以確定是否符合您組織的內部風險評估。

第 6 步：根據報告和記錄進行改進

持續監控可以識別組織控制環境中的漏洞。 加強您的風險監控任務並傳達此類弱點使您能夠維持一個強大的風險管理計劃。

第 7 步：匯總發布結果

利用您的風險偏好來促進與外部和內部利益相關者的溝通。 然而，許多風險偏好聲明旨在供公眾使用，包括財務報告。

編者按： Ken Lynch 是一位企業軟件初創公司的資深人士，他一直著迷於推動員工工作的因素以及如何讓工作更具吸引力。 Ken 創立 Reciprocity 就是為了追求這一點。 他推動了 Reciprocity 的成功，這一基於使命的目標是讓員工參與公司的治理、風險管理和合規目標，以培養更多具有社會意識的企業公民。 Ken 在麻省理工學院獲得計算機科學和電氣工程學士學位。 在 ReciprocityLabs.com 上了解更多信息。

對此有什麼想法嗎？ 在下面的評論中讓我們知道，或者將討論帶到我們的 Twitter 或 Facebook。

編輯推薦：

• 合規管理的最佳實踐
• 有效的工作流程審計管理流程
• 什麼是合規和記錄管理
• 網絡分段和 PCI 合規性
• PCI DSS 日誌管理