固有风险与残余风险:差异和示例解释

已发表: 2022-09-29

在这篇文章中,我们将看看固有风险和剩余风险之间的主要区别是什么。 两者都有各自的含义,所以让我们先来看看什么是风险管理。

什么是风险管理?

风险管理是在公司和组织中执行的最重要的流程之一。 它可以解释为评估、识别和管理组织的利润和资源风险。 这个概念并不新鲜。 然而,组织看待风险的方式已经发生了变化。

任何组织的重大风险包括财务安全、监管责任、战略管理、自然灾害和其他事件。 公司通常会在不考虑风险的情况下确定风险,并且一旦出现看不见的风险,就会导致运营失败。 未能妥善管理这些风险将使组织很难确定其长期目标。

管理者必须意识到经营中存在的多种风险。 为了正确管理风险,了解如何在设计和实施某些控制之前和之后评估它们是非常重要的。 这给我们带来了您之前可能听说过的两个术语,即风险、固有风险剩余风险。

我们将仔细研究组织内最常见和适用的两种风险; 它们相互关联,必须妥善管理。

什么是固有风险?

固有风险是指在未实施限制和控制的情况下,经营活动中存在的风险数量。 换言之,内在风险通常发生在无法控制运营的情况下。 这种类型的威胁在任何努力解决它们之前自然存在; 因此,它会影响上述风险的恢复策略的制定。

固有风险只有在公司的目标和目的已经确立,并且所有可能阻碍公司实现目标的障碍都已被识别后才能确定。 除了识别风险可能给组织带来的影响之外,管理者还应考虑识别风险的原因和来源,无论它们是源于自然原因还是错误。 这将带出风险的特征和来源,从而降低发生的概率。

固有风险示例

虽然固有风险可能因公司而异,但让我们看一些常见示例,这些示例在不通过控制解决时可能导致重大安全问题。

  • 敏感数据和个人数据的丢失或处理不当——如果没有适当的控制,请确保所有数据都得到保护和存储。 经理和公司可能会暴露或丢失公司或客户数据。
  • 缺乏安全软件或设备——标准化员工的指导方针并为员工应如何使用他们的设备创建密码规则,这些都是有助于保护公司软件和硬件安全的控制措施的例子。 如果这些控制不存在或过于松懈,则可能会发生数据泄露。
  • 未经授权和不正当的用户访问——必须监控和规范对信息的访问,以便只有获得授权的员工才能查看和处理特定信息。 对某些信息持有错误的眼光可能会导致违反隐私法、潜在诉讼、违约等降级。

审计涉及多种风险,固有风险被视为风险最高的威胁之一。 消除更多的保障措施或审计员并不是轻率的。 但是,在分析组织的财务报表时必须解决这个问题。

什么是剩余风险?

在风险管理中,有多种方法可以克服业务运营中的风险。 残余风险是在场所内无法控制而存在的风险。 这种类型的风险很容易被提出,因为即使任何组织已采取预防措施将风险事件的可能性和影响降至最低,这种风险仍然存在。

风险转移是指将风险转移到另一个团队或一方。 最后,当管理层意识到某种风险但决定不投资解决风险时,就会发生风险接受。 尽管为处理风险付出了所有努力,但要消除所有可能存在或可能不存在的风险是相当复杂且不可能的。 在控制措施缓解后风险仍然存在,通常称为残余风险。

剩余风险示例

就像固有风险一样,每个公司的剩余风险也不同。 当安全受到控制时,必须监控的一些剩余风险的主要示例如下:

  • 电子邮件网络钓鱼——总是存在来自外部各方的风险。 电子邮件网络钓鱼是指攻击者通过电子邮件发送以获取个人信息或简单地侵入系统。 网络钓鱼电子邮件通常看起来像是来自客户服务、公司高管或人力资源部门等权威的发件人。然而,最初,这些邮件只是由具有恶意性质的第三方发送的。
  • 第三方网络攻击——这种网络攻击通常发生在组织的公司网络中有外部意图禁用、破坏或控制存储的信息时。 由于攻击是由第三方进行的,因此很难知道攻击是否以及何时会发生。 即使有适当的控制和检查,这仍然是一个残余风险。
  • 内部信息盗窃——人们经常将网络攻击与不知名的第三方行为者联系起来。 您可以通过记录和监控来解决诸如个人数据处理不当和滥用任何特权帐户等固有风险,这有助于降低此类攻击的可能性,但仍被视为残余风险。 还必须考虑公司内部人员进行的破坏活动。

风险评估

固有风险评估为 CISOS 和安全团队提供了加强安全控制的框架。 除了顶级评估之外,固有风险评估几乎没有价值。 残余风险评估具有真正的价值,有助于在网络犯罪分子利用它们之前识别和补救风险。

残余风险与固有风险以及如何评估它们

如何评估风险

在了解了所有解释、示例以及固有风险和剩余风险之间的关系之后。 让我们看一下可以遵循的一些步骤来评估和控制任何操作中的风险。

1. 建立对风险的反应

首先,如果必须出现风险,必须提出必须采取的应对措施。 就风险可能性和风险影响而言,这可能会变得非常有趣,严重性可能会给运营和业务本身带来影响。 仔细进行分析后,可以轻松管理风险。

2. 实验控制

实验对于访问已建立的风险控制并预测它们是否与预期风险的解决方案一样有效是必不可少的。 它对于消除风险可能是完美的,也可能不是完美的,但只要风险可以降低到一定水平,它就应该是目标。

3. 建立风险控制

风险控制主要是为了化解风险,共同实施风险降低。 在大多数情况下,风险控制需要在业务运营中增加额外的程序,以降低可能受成本影响的风险。

赔偿

在解决本应属于个人的风险的同时,完成了所有的修复和纠正计划。 如果同样的威胁再次发生,这可能会带来更多增强或未来参考的信息。

固有风险通常会回答以下问题:

  • 该第三方会带来什么一般风险?
  • 固有风险如何在我的公司生态系统中分布?
  • 如果这个第三方发生网络事件,那会有多严重?
  • 相对于彼此而言,哪些第三方构成的固有风险最大和最小?

剩余风险通常会回答以下问题:

  • 第三方具体会带来什么风险?
  • 可能影响该第三方的风险类型是什么?
  • 剩余风险如何在公司的生态系统中分布?
  • 剩余风险如何在该第三方内部分配?
  • 哪些第三方对特定控制、网络事件类型和其他事项构成的剩余风险最小和最大?

有关的:

24 款最佳风险管理软件

把它包起来

真正了解组织风险以及如何管理风险是每个人生活的一部分。 对于任何即将上任的项目经理,学习如何区分和规划不同类型的风险将有助于您更有效地管理资源和时间。