组织风险承受能力的一种定量方法

有时，风险承受能力似乎与那句关于国会成就的名言有关, “当一切尘埃落定, 说的多做的少.这可能是因为这个词经常被定性地使用. 这是, 我们将一个组织描述为比另一个组织更具或更少的风险容忍度，而没有说明更多或更少.

如果你能定量地描述风险承受能力呢? 更好的是，如果你能从现有的风险数据中提取出来呢?

领导经常要求组织变得更有风险容忍度. 就像风险管理的其他要素一样, 容忍有两个方面:威胁容忍和机会容忍. 变得更具威胁容忍度意味着减少处理威胁所花费的精力.e.(接受更多的残余威胁暴露). 变得更有机会容忍度意味着增加对待机会的努力.e.接受尽可能多的剩余机会暴露).

问题是，你怎么得到数字? 我们确定它们可以来自影响评估.

大多数成熟的风险管理组织已经理解在最初考虑是否处理不确定性时准备两次影响评估的重要性. 在我们公司里, 它们被称为初始评估和目标评估, 但它们可能有其他名字. 初始评估描述了如果组织不采取任何措施，不确定性可能造成的影响. 该评估还确定了固有风险. 最初的评估会随着治疗计划的展开而更新，以代表当前的评估. 目标评估告诉组织什么时候应该停止, 本质上设定组织愿意接受的剩余风险. 当当前的评估达到目标评估时，我们停下来并祈祷. 更正式, 我们接受剩余风险，只有当不确定性出现时，我们才会采取后备(偶然)行动，尽管我们做出了治疗努力.

我们发现这是威胁, 固有评估和目标评估之间的大差异比小差异代表更少的组织威胁容忍度. 另一方面, 寻找机会, 内在评估和目标评估之间的较大差异比较小差异代表更多的组织机会容忍度.

我们组织的风险评估技术为内在和目标威胁影响评估分配了一个从1到25的数字. 不足为奇的是, 固有威胁评估大于目标威胁评估，因为威胁处理的目的是减少剩余影响. 寻找机会, 我们为固有和目标机会影响评估分配一个从-1到-25的数字, 固有评估在数值上大于目标评估(-1大于-25)的情况下. 这两种情况, 从固有评估数中减去目标评估数得到一个正数. 结果可以在投资组合中的各种风险之间进行比较，并随着风险的出现随时间进行跟踪, 是治疗过的还是封闭的.

这可能会令人困惑. 为了增加威胁容忍度，我们希望固有的负目标减少, 但对于机会容忍度，我们希望内在负目标增加. 我们需要一种方法，在相同的尺度上报告威胁和机会容忍的变化，并在相同的方向上测量改进. 我们确定了一个简单的机制，将固有目标值的范围映射到从1到5的容差值, 哪里5比1好. 图1 说明映射.

图1-A组织风险承受的定量方法(种类

我们更进一步，把这个方法积分成一个连续的, 敏捷风险管理流程，周期短，管理频繁, 包括设置组织期望的容忍度.

一个Excel工作簿是所有需要的数学和映射, 但是它确实需要纪律来处理和记录内在的和目标的风险评估. 考虑这些评估对于有效风险管理所必需的管理决策的重要性, 对组织的风险管理团体提出这样的要求并不过分.

编者按: 想要进一步了解这个话题，请阅读作者最近在《澳门赌场官方软件》上发表的文章， “政府采购的新方法:灵活的风险承受能力，” ISACA学报，第3卷，2021年. 

别忘了，澳门赌场官方软件可以 免费获得CPE 来自ISACA期刊的测验!