ความเสี่ยงโดยธรรมชาติและความเสี่ยงตกค้าง: อธิบายความแตกต่างและตัวอย่าง

ในบทความนี้ เราจะมาดูความแตกต่างที่สำคัญระหว่างความเสี่ยงโดยธรรมชาติและความเสี่ยงที่เหลือ ทั้งสองมีนัยยะของตัวเอง ดังนั้นเรามาดูก่อนว่าการบริหารความเสี่ยงคืออะไร

การบริหารความเสี่ยงคืออะไร?

การจัดการความเสี่ยงเป็นหนึ่งในกระบวนการที่สำคัญที่สุดที่ดำเนินการในบริษัทและองค์กร สามารถอธิบายได้ว่าเป็นการประเมิน การรับรู้ และการจัดการผลกำไรและความเสี่ยงด้านทรัพยากรขององค์กร แนวคิดนี้ไม่ใช่เรื่องใหม่ อย่างไรก็ตาม วิธีการที่องค์กรมองความเสี่ยงได้เปลี่ยนไปแล้ว

ความเสี่ยงที่สำคัญขององค์กรใดๆ ได้แก่ ความมั่นคงทางการเงิน ความรับผิดด้านกฎระเบียบ การจัดการเชิงกลยุทธ์ ภัยธรรมชาติ และเหตุการณ์อื่นๆ บริษัทมักจะกำหนดความเสี่ยงโดยไม่คำนึงถึงความเสี่ยง และสามารถล้มเหลวในการดำเนินงานเมื่อมีความเสี่ยงที่มองไม่เห็นเกิดขึ้น ความล้มเหลวในการจัดการความเสี่ยงเหล่านี้อย่างเหมาะสมจะทำให้องค์กรกำหนดเป้าหมายระยะยาวได้ยาก

ผู้จัดการต้องตระหนักถึงความเสี่ยงหลายประเภทที่มีอยู่ในการดำเนินงาน ในการจัดการความเสี่ยงอย่างถูกต้อง ถือเป็นพื้นฐานสำคัญอย่างยิ่งที่จะต้องเข้าใจวิธีประเมินความเสี่ยงก่อนและหลังการออกแบบและดำเนินการควบคุมบางอย่าง สิ่งนี้ทำให้เรามีคำศัพท์สองคำที่คุณอาจเคยได้ยินมาก่อนในแง่ของความเสี่ยง ความเสี่ยง โดยธรรมชาติ และ ความเสี่ยงที่เหลือ

เราจะพิจารณาความเสี่ยงสองประการที่พบบ่อยและมีผลบังคับมากที่สุดภายในองค์กรอย่างละเอียดยิ่งขึ้น มีความสัมพันธ์กันและต้องได้รับการจัดการอย่างดี

ความเสี่ยงโดยธรรมชาติคืออะไร?

ความเสี่ยงโดยธรรมชาติหมายถึงจำนวนความเสี่ยงที่มีอยู่ในการดำเนินการโดยไม่ใช้ข้อจำกัดและการควบคุม กล่าวอีกนัยหนึ่ง ความเสี่ยงที่แท้จริงมักเกิดขึ้นเมื่อไม่มีการควบคุมการดำเนินงาน ภัยคุกคามประเภทนี้มีอยู่ตามธรรมชาติก่อนที่จะพยายามแก้ไข จึงส่งผลต่อการพัฒนากลยุทธ์การกู้คืนความเสี่ยงดังกล่าว

ความเสี่ยงโดยธรรมชาติสามารถกำหนดได้หลังจากกำหนดเป้าหมายและวัตถุประสงค์ของ บริษัท แล้วเท่านั้นและอุปสรรคทั้งหมดที่อาจขัดขวาง บริษัท จากการบรรลุเป้าหมายได้รับการยอมรับแล้ว นอกเหนือจากการตระหนักถึงผลกระทบ ความเสี่ยงอาจนำไปสู่องค์กร ผู้จัดการควรพิจารณาระบุสาเหตุและที่มาของความเสี่ยงด้วย ไม่ว่าจะเกิดจากสาเหตุตามธรรมชาติหรือข้อผิดพลาด สิ่งนี้จะดึงเอาลักษณะและแหล่งที่มาของความเสี่ยงออกมา ซึ่งจะช่วยลดโอกาสที่จะเกิดขึ้น

ตัวอย่างของความเสี่ยงโดยธรรมชาติ

แม้ว่าความเสี่ยงโดยธรรมชาติจะแตกต่างกันไปในแต่ละบริษัท ลองมาดูตัวอย่างทั่วไปที่อาจก่อให้เกิดปัญหาด้านความปลอดภัยที่สำคัญเมื่อไม่ได้จัดการกับการควบคุม

• การสูญหายหรือการจัดการข้อมูลส่วนบุคคลที่ละเอียดอ่อนและไม่ถูกต้อง – หากไม่มีการควบคุมที่เหมาะสม ตรวจสอบให้แน่ใจว่าข้อมูลทั้งหมดได้รับการปกป้องและจัดเก็บ ผู้จัดการและบริษัทอาจเปิดเผยหรือสูญเสียข้อมูลบริษัทหรือลูกค้า
• ขาดซอฟต์แวร์หรืออุปกรณ์ความปลอดภัย – การกำหนดแนวทางปฏิบัติของพนักงานให้เป็นมาตรฐานและการสร้างกฎรหัสผ่านสำหรับวิธีที่พนักงานควรให้ความสำคัญกับอุปกรณ์ของพวกเขา ค่อนข้างเป็นตัวอย่างของการควบคุมที่สามารถช่วยในการรักษาความปลอดภัยซอฟต์แวร์และฮาร์ดแวร์ของบริษัท หากการควบคุมเหล่านี้ไม่มีอยู่หรือหละหลวมเกินไป การละเมิดข้อมูลก็อาจเกิดขึ้นได้
• การเข้าถึงของ ผู้ใช้โดยไม่ได้รับอนุญาตและไม่เหมาะสม – การเข้าถึงข้อมูลต้องได้รับการตรวจสอบและควบคุมเพื่อให้เฉพาะพนักงานที่ได้รับอนุญาตเท่านั้นที่สามารถดูและจัดการข้อมูลเฉพาะได้ การมีสายตาที่ผิดในข้อมูลบางอย่างอาจนำไปสู่การละเมิดกฎหมายความเป็นส่วนตัว การฟ้องร้องที่อาจเกิดขึ้น การละเมิดสัญญา และอื่นๆ

การตรวจสอบเกี่ยวข้องกับความเสี่ยงหลายประเภท และความเสี่ยงโดยธรรมชาติถือเป็นหนึ่งในภัยคุกคามที่เสี่ยงที่สุด ไม่ควรมองข้ามการป้องกันหรือผู้ตรวจสอบเพิ่มเติม อย่างไรก็ตาม จะต้องได้รับการแก้ไขเมื่อวิเคราะห์งบการเงินขององค์กร

ความเสี่ยงที่เหลือคืออะไร?

ในการบริหารความเสี่ยง มีหลายวิธีในการเอาชนะความเสี่ยงในการดำเนินธุรกิจ ความเสี่ยงตกค้างคือความเสี่ยงที่มีอยู่โดยไม่มีการควบคุมภายในสถานที่ ความเสี่ยงประเภทนี้สามารถหยิบยกขึ้นมาได้อย่างง่ายดายเนื่องจากความเสี่ยงยังคงอยู่แม้ว่าองค์กรใด ๆ ได้ดำเนินมาตรการป้องกันเพื่อลดโอกาสและผลกระทบของเหตุการณ์ความเสี่ยง

การโอนความเสี่ยงคือเมื่อความเสี่ยงถูกย้ายไปยังทีมหรือฝ่ายอื่น สุดท้าย การยอมรับความเสี่ยงเกิดขึ้นเมื่อฝ่ายบริหารตระหนักถึงความเสี่ยงบางอย่างแต่ตัดสินใจที่จะไม่ลงทุนในการแก้ปัญหาความเสี่ยง แม้จะมีความพยายามในการจัดการความเสี่ยงทั้งหมด แต่ก็ค่อนข้างซับซ้อนและเป็นไปไม่ได้ที่จะกำจัดความเสี่ยงทั้งหมดที่อาจมีอยู่หรือไม่มีเลย ความเสี่ยงยังคงอยู่หลังจากการบรรเทาการควบคุมและมักจะเรียกว่าความเสี่ยงที่เหลือ

ตัวอย่างความเสี่ยงที่เหลือ

เช่นเดียวกับความเสี่ยงโดยธรรมชาติ ความเสี่ยงที่เหลือจะแตกต่างกันไปตามแต่ละบริษัท ตัวอย่างอันดับต้น ๆ ของความเสี่ยงที่เหลือที่ต้องติดตามทุกครั้งที่มีการควบคุมความปลอดภัยมีดังนี้

• ฟิชชิ่งอีเมล – มีความเสี่ยงจากบุคคลภายนอกอยู่เสมอ ฟิชชิ่งอีเมลเกิดขึ้นเมื่อผู้โจมตีส่งอีเมลเพื่อรับข้อมูลส่วนบุคคลหรือเพียงแค่แฮ็คเข้าสู่ระบบ อีเมลฟิชชิ่งมักถูกสร้างให้ดูเหมือนมาจากผู้ส่งที่มีอำนาจ เช่น ฝ่ายบริการลูกค้า ผู้บริหารของบริษัท หรือฝ่ายทรัพยากรบุคคล เป็นต้น อย่างไรก็ตาม ในขั้นต้น ข้อความถูกส่งโดยบุคคลที่สามโดยมีลักษณะที่เป็นอันตรายเท่านั้น
• การโจมตีทางไซเบอร์ของบุคคลที่สาม – การโจมตี ทางไซเบอร์ดังกล่าวมักเกิดขึ้นเมื่อมีเจตนาภายนอกภายในเครือข่ายบริษัทขององค์กรเพื่อปิดการใช้งาน ขัดขวาง หรือควบคุมข้อมูลที่เก็บไว้ เนื่องจากการโจมตีดำเนินการโดยบุคคลที่สาม จึงเป็นไปไม่ได้อย่างยิ่งที่จะทราบได้ว่าการโจมตีจะเกิดขึ้นเมื่อใดและเมื่อใด แม้ว่าจะมีการควบคุมและตรวจสอบอย่างเหมาะสม แต่ก็ยังมีความเสี่ยงที่ตกค้างอยู่
• การโจรกรรมข้อมูลภายใน – ผู้คนมักเชื่อมโยงการโจมตีทางไซเบอร์กับนักแสดงบุคคลที่สามที่ไร้หน้า คุณสามารถจัดการกับความเสี่ยงโดยธรรมชาติ เช่น การจัดการข้อมูลส่วนบุคคลอย่างผิดพลาดและการใช้บัญชีที่มีสิทธิพิเศษในทางที่ผิดโดยการบันทึกและติดตามสามารถช่วยให้มีโอกาสเกิดการโจมตีประเภทนี้ แต่ยังถือว่าเป็นความเสี่ยงที่เหลือ การก่อวินาศกรรมที่กระทำโดยบุคคลภายในบริษัทต้องได้รับการพิจารณาด้วย

การประเมินความเสี่ยง

การประเมินความเสี่ยงโดยธรรมชาติทำให้ CIOS และทีมรักษาความปลอดภัยมีกรอบงานในการปรับปรุงการควบคุมความปลอดภัย นอกจากการประเมินระดับบนสุดแล้ว การประเมินความเสี่ยงโดยธรรมชาติยังมีคุณค่าน้อยมาก การประเมินความเสี่ยงที่เหลือมีมูลค่าที่แท้จริงและช่วยในการระบุและแก้ไขความเสี่ยงก่อนที่อาชญากรไซเบอร์จะใช้ประโยชน์ได้

ความเสี่ยงที่เหลือกับความเสี่ยงโดยธรรมชาติและวิธีประเมินความเสี่ยงเหล่านี้

หลังจากเรียนรู้คำอธิบายทั้งหมด ตัวอย่าง และความเสี่ยงโดยธรรมชาติและความเสี่ยงที่เหลือมีความสัมพันธ์กันอย่างไร ลองมาดูขั้นตอนบางอย่างที่สามารถปฏิบัติตามเพื่อประเมินและควบคุมความเสี่ยงภายในการดำเนินการใดๆ

1. สร้างการตอบสนองต่อความเสี่ยง

ประการแรก จำเป็นอย่างยิ่งที่จะต้องคิดหาคำตอบหากมีความเสี่ยงเกิดขึ้น เรื่องนี้อาจกลายเป็นเรื่องที่น่าสนใจทีเดียวในแง่ของโอกาสเสี่ยงและผลกระทบจากความเสี่ยง ความรุนแรงอาจนำมาสู่การดำเนินงานและตัวธุรกิจเอง ความเสี่ยงสามารถจัดการได้ง่าย ๆ หลังจากการวิเคราะห์อย่างถี่ถ้วนแล้ว

2. การทดลองควบคุม

การทดลองเป็นสิ่งจำเป็นในการเข้าถึงการควบคุมความเสี่ยงที่กำหนดไว้ และคาดการณ์ว่าการควบคุมดังกล่าวมีประสิทธิผลเท่ากับวิธีแก้ปัญหาสำหรับความเสี่ยงที่ต้องการหรือไม่ มันอาจจะใช่หรือไม่สมบูรณ์แบบสำหรับการกำจัดความเสี่ยง แต่ตราบใดที่ความเสี่ยงสามารถลดลงไปถึงระดับหนึ่งได้ ก็ควรเป็นเป้าหมาย

3. กำหนดการควบคุมความเสี่ยง

การควบคุมความเสี่ยงทำขึ้นเพื่อแก้ไขความเสี่ยงและดำเนินการลดความเสี่ยงโดยทั่วไป ในกรณีส่วนใหญ่ การควบคุมความเสี่ยงจำเป็นต้องมีขั้นตอนเพิ่มเติมในการดำเนินธุรกิจเพื่อลดความเสี่ยงที่อาจได้รับผลกระทบจากต้นทุน

การชดใช้

การชดใช้และแผนแก้ไขทั้งหมดได้ดำเนินการไปพร้อมกับแก้ไขความเสี่ยงที่ควรเป็นเรื่องส่วนตัว สิ่งนี้สามารถนำข้อมูลมาเพื่อการปรับปรุงเพิ่มเติมหรือเพื่อการอ้างอิงในอนาคตหากภัยคุกคามแบบเดียวกันเกิดขึ้นซ้ำแล้วซ้ำอีก

ความเสี่ยงโดยธรรมชาติมักจะตอบคำถามเหล่านี้:

• บุคคลที่สามรายนี้มีความเสี่ยงทั่วไปอย่างไร?
• ความเสี่ยงโดยธรรมชาติกระจายไปทั่วระบบนิเวศของบริษัทต่างๆ ของฉันอย่างไร
• หากบุคคลที่สามรายนี้มีเหตุการณ์ในโลกไซเบอร์ จะเลวร้ายขนาดไหน?
• บุคคลที่สามรายใดที่มีความเสี่ยงมากที่สุดและน้อยที่สุดเมื่อเทียบกับอีกฝ่ายหนึ่ง

ความเสี่ยงที่เหลือมักจะตอบคำถามเหล่านี้:

• บุคคลภายนอกมีความเสี่ยงอะไรเป็นพิเศษ?
• ความเสี่ยงประเภทใดที่อาจส่งผลกระทบต่อบุคคลที่สามนี้?
• ความเสี่ยงที่เหลือกระจายไปตามระบบนิเวศของบริษัทต่างๆ อย่างไร?
• ความเสี่ยงที่เหลือมีการกระจายภายในบุคคลภายนอกบุคคลนี้อย่างไร?
• บุคคลที่สามรายใดที่มีความเสี่ยงตกค้างน้อยที่สุดและมากที่สุดสำหรับการควบคุมเฉพาะ ประเภทของเหตุการณ์ในโลกไซเบอร์ และสิ่งอื่น ๆ

ที่เกี่ยวข้อง:

ซอฟต์แวร์การจัดการความเสี่ยงที่ดีที่สุด 24 ตัว

ห่อหมก

ความเข้าใจที่แท้จริงเกี่ยวกับความเสี่ยงขององค์กรและวิธีจัดการความเสี่ยงเป็นส่วนหนึ่งของชีวิตทุกคน สำหรับผู้จัดการโครงการที่กำลังจะมีขึ้น การเรียนรู้วิธีแยกแยะและวางแผนสำหรับความเสี่ยงประเภทต่างๆ จะช่วยให้คุณจัดการทรัพยากรและเวลาได้อย่างมีประสิทธิภาพมากขึ้น