Riscul inerent versus riscul rezidual: diferențele și exemplele explicate

În această postare, vom analiza care sunt principalele diferențe dintre riscul inerent și riscurile reziduale. Ambele au propriile lor implicații, așa că să ne uităm mai întâi la ce este managementul riscului.

Ce este managementul riscului?

Managementul riscului este unul dintre cele mai esențiale procese care se desfășoară în companii și organizații. Poate fi explicat ca evaluarea, recunoașterea și gestionarea profiturilor și riscurilor de resurse ale organizației. Conceptul nu este nou; cu toate acestea, modul în care organizațiile privesc riscul s-a schimbat.

Riscurile semnificative ale oricărei organizații includ securitatea financiară, obligațiile de reglementare, managementul strategic, pericolele naturale și alte incidente. Companiile stabilesc de obicei riscul fără a lua în considerare riscurile și pot eșua operațiunile ori de câte ori apar riscuri nevăzute. Eșecul de a gestiona aceste riscuri în mod corespunzător va face destul de dificil pentru organizație să-și determine obiectivele pe termen lung.

Managerii trebuie să fie conștienți de multiplele tipuri de riscuri care există în exploatare. Pentru a gestiona corect riscurile, este foarte fundamental să înțelegem cum să le evaluăm înainte și după ce anumite controale sunt proiectate și implementate. Acest lucru ne aduce la doi termeni pe care poate i-ați mai auzit în termeni de riscuri, risc inerent și risc rezidual.

Vom arunca o privire mai atentă asupra celor două riscuri cele mai comune și aplicabile în cadrul organizației; sunt corelate și trebuie bine gestionate.

Ce este riscul inerent?

Riscul inerent se referă la numărul de riscuri care există în cadrul operațiunii fără implementarea restricțiilor și controalelor. Cu alte cuvinte, riscurile intrinseci apar de obicei atunci când nu există control asupra operațiunilor. Acest tip de amenințare există în mod natural înainte de a se depune orice efort pentru a le rezolva; deci afectează dezvoltarea strategiei de redresare pentru riscurile menționate.

Riscul inerent poate fi determinat numai după ce scopurile și obiectivele companiei au fost stabilite și toate obstacolele care pot împiedica compania în realizarea obiectivelor au fost recunoscute. Pe lângă recunoașterea efectelor pe care riscul le poate aduce organizației, managerii ar trebui să ia în considerare și identificarea cauzei și originii riscurilor, indiferent dacă acestea provin din cauze naturale sau erori. Acest lucru va scoate la iveală caracteristicile și sursa riscului, scăzând astfel probabilitatea de apariție.

Exemple de risc inerent

Deși riscul inerent poate diferi de la o companie la alta, să aruncăm o privire la câteva dintre exemplele comune care au potențialul de a cauza probleme de securitate semnificative atunci când nu sunt abordate cu controale.

• Pierderea sau manipularea greșită a datelor sensibile și personale – Fără controale adecvate, asigurați-vă că toate datele sunt protejate și stocate. Managerii și companiile ar putea expune sau pierde datele companiei sau ale clienților.
• Lipsa software-ului sau a dispozitivului de securitate – Standardizarea ghidurilor angajatului și crearea regulilor de parolă pentru modul în care angajații ar trebui să se ocupe de dispozitivele lor sunt destul de exemple de controale care pot ajuta la securizarea software-ului și hardware-ului companiei. Dacă aceste controale sunt inexistente sau prea laxe, probabil că se vor produce încălcări ale datelor.
• Accesul utilizatorului neautorizat și necorespunzător – Accesul la informații trebuie monitorizat și reglementat, astfel încât numai angajații autorizați să poată vizualiza și gestiona anumite informații. Privirea greșită asupra anumitor informații ar putea duce la degradarea încălcării legilor privind confidențialitatea, potențiale procese, o încălcare a contractului și așa mai departe.

Auditul implică mai multe tipuri de risc, iar riscul inerent este considerat una dintre cele mai riscante amenințări. Nu este luat cu ușurință pentru a elimina mai multe garanții sau auditori. Cu toate acestea, trebuie abordat atunci când se analizează situațiile financiare ale organizației.

Ce este riscul rezidual?

În managementul riscurilor, există mai multe modalități de a depăși riscurile din operațiunile de afaceri. Riscul rezidual este un risc care există fără control în interiorul locului. Acest tip de risc poate fi prezentat cu ușurință ca risc care rămâne chiar și după ce orice organizație a luat măsuri preventive pentru a minimiza probabilitatea și efectul evenimentului de risc.

Transferul de risc este atunci când riscul este transferat către o altă echipă sau parte. În sfârșit, acceptarea riscului apare atunci când conducerea este conștientă de un anumit risc, dar decide să nu investească în rezolvarea riscului. În ciuda tuturor eforturilor de a gestiona riscurile, este destul de complicat și imposibil de a eradica toate riscurile care pot sau nu să existe. Riscurile rămân după atenuarea controlului și sunt de obicei cunoscute ca riscuri reziduale.

Exemple de riscuri reziduale

La fel ca riscurile inerente, riscurile reziduale sunt diferite pentru fiecare companie. Unele dintre cele mai importante exemple de riscuri reziduale care trebuie monitorizate ori de câte ori securitatea este sub control sunt următoarele:

• Phishing prin e-mail – Există întotdeauna un risc din partea părților externe. Phishingul prin e-mail este atunci când un atacator trimite un e-mail pentru a obține informații personale sau pur și simplu accesează un sistem. E-mailurile de phishing sunt adesea construite astfel încât să arate ca provin de la expeditori de autorități, cum ar fi serviciul pentru clienți, directorii companiei sau departamentele de resurse umane, etc. Cu toate acestea, inițial, mesajele erau trimise de terți doar cu natură rău intenționată.
• Atac cibernetic de la terți – Astfel de atacuri cibernetice se întâmplă de obicei atunci când există o intenție externă în cadrul rețelei companiei a organizației de a dezactiva, perturba sau controla informațiile stocate. Având în vedere că atacurile sunt efectuate de terți, este foarte imposibil să știm dacă și când se va întâmpla un atac. Chiar și cu controale și verificări adecvate în ordine, acesta rămâne un risc rezidual.
• Furtul de informații interne – Oamenii asociază adesea atacurile cibernetice cu actori terți fără chip. Puteți aborda riscurile inerente, cum ar fi manipularea greșită a datelor cu caracter personal și utilizarea greșită a oricăror conturi privilegiate, prin înregistrarea și monitorizarea poate ajuta la probabilitatea unui astfel de atac, dar considerat totuși un risc rezidual. Trebuie luate în considerare și sabotajul efectuat de persoane din cadrul companiei.

Evaluări ale riscurilor

Evaluările inerente ale riscurilor oferă CISOS și echipelor de securitate un cadru pentru îmbunătățirea controalelor de securitate. Pe lângă evaluarea de nivel superior, evaluările de risc inerente au o valoare foarte mică. Evaluările riscurilor reziduale au valoare reală și ajută la identificarea și remedierea expunerilor înainte ca infractorii cibernetici să le poată exploata.

Riscul rezidual vs. riscul inerent și cum să le evaluăm

După ce ați învățat despre toate explicațiile, exemplele și cum sunt legate riscul inerent și riscul rezidual. Să aruncăm o privire la câțiva dintre pașii care ar putea fi urmați pentru a evalua și controla riscurile din cadrul oricărei operațiuni.

1. Stabiliți răspunsul la risc

În primul rând, este esențial să se vină cu răspunsul care trebuie luat dacă trebuie să apară un risc. Acest lucru ar putea deveni destul de interesant în ceea ce privește probabilitatea riscului și impactul riscului, gravitatea pe care o poate aduce operațiunii și afacerii în sine. Riscul poate fi gestionat cu ușurință după ce analiza a fost făcută cu atenție.

2. Experimentarea controalelor

Experimentarea este esențială pentru a accesa controalele de risc stabilite și pentru a anticipa dacă acestea sunt la fel de eficiente ca soluția pentru riscurile dorite. Poate fi sau nu perfect pentru eliminarea riscului, dar atâta timp cât riscul poate fi redus la un anumit nivel, acesta ar trebui să fie scopul.

3. Stabilirea controalelor de risc

Controalele riscurilor sunt efectuate în principal pentru a rezolva riscurile și pentru a implementa în mod obișnuit reducerea riscurilor. În cele mai multe cazuri, controlul riscurilor necesită o procedură suplimentară în operațiunea de afaceri pentru a reduce riscurile care pot fi afectate de cost.

Reparaţie

Toate reparațiile și planurile de corecție au fost făcute în timp ce se rezolvă riscurile care ar trebui să fie personale. Acest lucru ar putea aduce informații pentru îmbunătățiri suplimentare sau pentru referințe viitoare, dacă aceleași amenințări s-ar repeta din nou.

Riscul inerent răspunde de obicei la întrebări ca acestea:

• Ce risc general prezintă această terță parte?
• Cum este distribuit riscul inerent în ecosistemul meu de companii?
• Dacă această terță parte are un incident cibernetic, cât de grav ar putea fi?
• Care terțe părți prezintă cel mai mare și cel mai puțin risc inerent unul față de celălalt?

Riscul rezidual răspunde de obicei la întrebări precum acestea:

• Ce risc în mod specific prezintă terțul?
• Care este tipul de riscuri care ar putea afecta acest terț?
• Cum este distribuit riscul rezidual în ecosistemul companiilor?
• Cum este distribuit riscul rezidual în cadrul acestei terțe părți?
• Care terțe părți prezintă cel mai mic și cel mai mare risc rezidual pentru controale specifice, tipuri de incidente cibernetice și alte lucruri?

Legate de:

Cele mai bune 24 de software de management al riscului

Încheind-o

O adevărată înțelegere a riscului organizațional și a modului de gestionare a riscului este o parte din viața fiecăruia. Pentru orice manager de proiect viitor, a învăța cum să distingeți și să planificați diferitele tipuri de riscuri vă va ajuta să gestionați mai eficient resursele și timpul.