Felder für Risikobereitschaft im Risikoformular
Erfahren Sie mehr über die Felder „Risikobereitschaft“ im Formular „Risiko“. Verwenden Sie diese Felder, um die Risikobereitschaft zu definieren, alle möglichen Risiken zu bewerten und die Grenzen für akzeptable und inakzeptable Risiken in festzulegen Risikomanagement Anwendung.
In der folgenden Tabelle finden Sie eine Beschreibung der Feldwerte.
Hinweis:
Die Felder für Risikobereitschaft, die im Entitätsformular angezeigt werden, hängen von den erweiterten Risikobewertungseigenschaften ab, die vom Risikoadministrator festgelegt wurden.
| Feld | Beschreibung |
|---|---|
| Qualitative Risikobereitschaft überschreiben | Option zum Überschreiben der qualitativen Risikobereitschaft der Risikobeschreibung. Standardmäßig übernehmen alle Risiken die Risikobereitschaft der Risikobeschreibung im Risikoformular. Wenn Sie diese Option auswählen, können Sie die Risikobereitschaftswerte für das aktuelle Risiko separat definieren. Hinweis: Dieses Feld wird nur angezeigt, wenn für das aktuelle Risiko eine zugehörige Risikobeschreibung verfügbar ist. |
| Begründung für Überschreibung | Grund für das Überschreiben der qualitativen Risikobereitschaftswerte der Risikobeschreibung im aktuellen Risiko. Diese Informationen helfen dem Risikomanager, die Geschäftsanforderungen für die Überschreibung zu verstehen. Hinweis: Dieses Feld wird nur angezeigt, wenn Überschreiben Sie die qualitative Risikobereitschaft Option ist ausgewählt. |
| Qualitative Bereitschaft | Risikobereitschaft in numerischer Skala und Bewertungsbezeichnungen. Die qualitative Bereitschaft wird mit der qualitativen Risikobewertung verglichen, um den qualitativen Bereitschaftsstatus zu berechnen. Sie können die qualitative Bereitschaft basierend auf der vom Risikoadministrator festgelegten Bereitschaftsskala definieren. Die Standardoptionen lauten wie folgt:
Ein Risikoadministrator kann die Skalen der Risikobereitschaft basierend auf den Anforderungen der Organisation ändern oder erstellen. Weitere Informationen finden Sie unter Richten Sie eine Skala für die Risikobereitschaft ein. Hinweis: Ein Risikoanwender und ein Risikoleser mit der Rolle „sn_risk_advanced.qualitative_risk_appetite_reader“ können die Werte für qualitative Bereitschaft und qualitative Toleranz nur im Formular und an anderen Stellen anzeigen. |
| Quantitative Bereitschaft | Risikobereitschaft in quantitativer Hinsicht. Die quantitative Risikobereitschaft kann gemessen und in monetären Werten ausgedrückt werden. Die quantitative Bereitschaft ist die Höhe des Verlusts, den eine Organisation zu riskieren bereit ist. Beispielsweise entscheidet sich eine Organisation dafür, dass 10.000 USD (US-Dollar) als Ziel-Asset für das laufende Jahr festgelegt werden, was bedeutet, dass die Organisation 10.000 USD (US-Dollar) als quantitative Risikobereitschaft definiert. Die quantitative Bereitschaft wird mit der jährlichen Verlusterwartung (ALE) verglichen, um den quantitativen Bereitschaftsstatus zu berechnen. Hinweis: Ein Risikoanwender und ein Risikoleser mit der Rolle „sn_risk_advanced.quantitative_risk_appetite_reader“ können die quantitativen Bereitschafts- und quantitativen Toleranzwerte nur im Formular und an anderen Stellen anzeigen. |
| Qualitative Toleranz | Risikotoleranz in numerischer Skala und Bewertungsbezeichnungen. Die Risikotoleranz ist die Standardabweichung von der definierten Risikobereitschaft. Die qualitative Toleranz wird mit der qualitativen Risikobewertung verglichen, um den qualitativen Bereitschaftsstatus zu berechnen. Die qualitative Toleranz muss größer als die definierte qualitative Bereitschaft sein. Sie können die qualitative Toleranz basierend auf der vom Risikoadministrator festgelegten Bereitschaftsskala definieren. Die Standardoptionen lauten wie folgt:
Ein Risikoadministrator kann die Skalen der Risikobereitschaft basierend auf den Anforderungen der Organisation ändern oder erstellen. Weitere Informationen finden Sie unter Richten Sie eine Skala für die Risikobereitschaft ein. |
| Quantitative Toleranz | Risikotoleranz in quantitativer Hinsicht. Die Risikotoleranz ist die Standardabweichung von der definierten Risikobereitschaft. Die quantitative Risikotoleranz kann gemessen und in monetären Werten ausgedrückt werden. Beispielsweise entscheidet sich eine Organisation dafür, für dieses Jahr 15.000 USD (US-Dollar) als Ziel für notleidende Assets (NPA) zu verwenden, was bedeutet, dass die Organisation 15.000 USD (US-Dollar) als quantitative Risikotoleranz definiert. Die quantitative Toleranz wird mit der jährlichen Verlusterwartung (ALE) verglichen, um den quantitativen Bereitschaftsstatus zu berechnen. Hinweis: Die quantitative Toleranz muss größer als die definierte quantitative Bereitschaft sein. |
| Risikobereitschaftserklärung | Erklärung zur Risikobereitschaft, die den Umfang und die Arten des Risikos definiert, das eine Organisation akzeptieren kann, um ihre Ziele zu erreichen. Es dokumentiert, was die Organisation als Bedrohungen und ihre Reaktionsstrategien betrachtet. Diese Aussagen geben zusätzlichen Kontext, um die Risikobereitschaft zu verstehen und dem Unternehmen zu helfen, risikoinformierte Entscheidungen zu treffen. Beispiel: „ACME Inc. Hat keine Bereitschaft für nicht autorisierten Zugriff auf Systeme und vertrauliche Daten und verfügt über strenge Kontrollen, um externe Bedrohungen für seine Technologieinfrastruktur zu mindern. ACME Inc. Hat eine geringe Bereitschaft, die Kontinuität des Geschäftsbetriebs aufgrund unzuverlässiger Telekommunikations- oder Systemverfügbarkeit zu verlieren. Business Resiliency-Planung und -Ausführung müssen an strategischen Zielen ausgerichtet sein. ACME Inc. Hat eine moderate Bereitschaft für innovative Technologielösungen, um die Anforderungen von Anwendern in einer sich schnell ändernden Umgebung zu erfüllen. Die Behörde übt bei der Prüfung und Einführung neuer Technologien eine angemessene Governance und Disziplin aus.“ |
| Risikobereitschaftsstatus | |
| Qualitativer Bereitschaftsstatus | Qualitativer Bereitschaftsstatus des Risikos. Der qualitative Bereitschaftsstatus wird berechnet, indem die definierte qualitative Bereitschaft mit der qualitativen Bereitschaft verglichen wird, die der endgültigen Risikobewertung zugeordnet ist. Ein Risikoadministrator kann die Bereitschaftsskalen den Risikobewertungskriterien für den endgültigen Bewertungstyp in der Risikobewertungsmethode (RAM) zuordnen. Hinweis:
Der primäre RAM, der in der zugeordneten Entität definiert ist, wird für die Statusberechnung berücksichtigt. Wenn Sie beispielsweise die qualitative Bereitschaft als 2-minimalistisch und die qualitative Toleranz als 4-Offen definieren, werden die folgenden Status angezeigt:
|
| Quantitativer Bereitschaftsstatus | Quantitativer Bereitschaftsstatus des Risikos. Die Werte der jährlichen Verlusterwartung (ALE) werden mit der definierten quantitativen Bereitschaft verglichen, um diesen Bereitschaftsstatus zu berechnen. Hinweis:
Der ALE-Wert der Risikobewertung aus dem primären RAM, der in der zugehörigen Entität definiert ist, wird für die Statusberechnung berücksichtigt. Wenn Sie beispielsweise die quantitative Bereitschaft als 1000 USD (US-Dollar) und die quantitative Toleranz als 1500 USD (US-Dollar) definieren, werden die folgenden Status angezeigt:
|
| Bereitschaftsstatus | Bereitschaftsstatus insgesamt. Der allgemeine Bereitschaftsstatus berücksichtigt das Worst-Case-Szenario zwischen dem qualitativen und dem quantitativen Status. Wenn beispielsweise der qualitative Bereitschaftsstatus innerhalb der Bereitschaft liegt und der quantitative Bereitschaftsstatus außerhalb der Bereitschaft liegt, liegt der allgemeine Bereitschaftsstatus außerhalb der Bereitschaft. |