المخاطر المتبقية هي المخاطر التي تبقى بعد الجهود المبذولة لتحديد بعض أو جميعها أنواع المخاطر تم صنعها.
المخاطر المتبقية مهمة لعدة أسباب. أولاً ، هو أن المخاطر المتبقية هي الخطر المتبقي بعد تطبيق الضوابط الأمنية وتحسينات العملية. هذا يعني أن المخاطر المتبقية هي شيء قد تحتاج المنظمات إلى العيش معه بناءً على الخيارات التي اتخذوها بخصوص التخفيف من المخاطر. أو يمكنهم اختيار نقل المخاطر المتبقية ، على سبيل المثال ، عن طريق شراء التأمين لتفريغ المخاطر على شركة التأمين.
المتبقية إدارة المخاطر مهم أيضًا للامتثال والمتطلبات التنظيمية. على سبيل المثال ، تتطلب المنظمة الدولية للتوحيد 27001 هذا النوع من حساب المخاطر. أخيرًا ، من المهم حساب المخاطر المتبقية لتحديد عناصر التحكم والعمليات الأمان المناسبة التي تحصل على الأولوية بمرور الوقت.
المخاطر الكامنة مقابل المخاطر المتبقية
لحساب المخاطر المتبقية ، يجب أن تفهم المنظمات الفرق بين المخاطر الكامنة والمخاطر المتبقية. المخاطر المتأصلة هي المخاطر الموجودة في أي سيناريو حيث لم يتم إجراء أي محاولات للتخفيف ولم يتم تطبيق أي ضوابط أو تدابير أخرى لتقليل المخاطر من المستويات الأولية إلى المستويات أكثر قبولًا للمؤسسة.
المخاطر المتبقية هي المخاطر المتبقية بعد بذل جهود إدارة المخاطر لتقليل المخاطر الكامنة.
أمثلة على المخاطر المتبقية
على الرغم من بذل قصارى جهدهم ، تواجه المنظمات في مختلف الصناعات المخاطر المتبقية. تتضمن الأمثلة ما يلي:
- البنوك. تعد الهجمات الإلكترونية مجالًا رئيسيًا للمخاطر المتبقية لجميع مقدمي الخدمات المالية. يتم استخدام تدابير الأمن السيبراني المختلفة ، مثل جدران الحماية ، والتشفير والمصادقة متعددة العوامل ، لتقليل المخاطر المتبقية ، ولكن يمكن أن تظل البنوك عرضة للخطر إلى التهديدات المستمرة المتقدمة والمآثر يوم الصفر.
- مقدمي الرعاية الصحية. المستشفيات وغيرها من مرافق الرعاية الصحية تقلل من المخاطر المتبقية مع مجموعة من إجراءات مكافحة العدوى. ومع ذلك ، لا تزال الالتهابات المكتسبة من المستشفيات مخاطرة حيث تصبح مسببات الأمراض المختلفة مقاومة لعمليات التخفيف والضوابط الحالية.
- تصنيع. تحتوي المصانع على العديد من ميزات السلامة ، مثل حراس الآلات وأزرار توقف الطوارئ. كما يقومون بتدريب السلامة المنتظم. ومع ذلك ، يمكن أن تحدث المعدات ، ويمكن أن تحدث أخطاء المشغل ، وتستمر المخاطر المتبقية للإصابات في مكان العمل.
- إدارة سلسلة التوريد. المنظمات لديها العديد من الاستراتيجيات ل منع اضطرابات سلسلة التوريد. ومع ذلك ، يمكن أن تؤثر الكوارث الطبيعية والصراعات الجيوسياسية على قدرات النقل وسلاسل التوريد. تعد الأوبئة مثالًا جيدًا على مخاطر سلسلة التوريد المتبقية التي لا تزال على الرغم من جهود التخفيف.
- بناء. تُستخدم تدابير السلامة ، بما في ذلك استخدام معدات الحماية الشخصية ، وفحص السلامة ومراجعات الهندسة الهيكلية ، لخفض المخاطر المتأصلة التي تواجهها شركات البناء. على الرغم من هذه الضوابط ، تظل المخاطر المتبقية من ظروف غير متوقعة ، وأحداث الطقس القاسية والقضايا الهيكلية غير المكتشفة.
كيف يتم حساب المخاطر المتبقية؟
قد تبدو صيغة المخاطر الكلاسيكية المتبقية هكذا:
المخاطر المتبقية = المخاطر الكامنة – تأثير ضوابط المخاطر
على سبيل المثال ، فكر في تقييم المخاطر لتفشي برامج الفدية في وحدة أعمال معينة. تخلص المنظمة إلى أنه في سيناريو العاصفة المثالي ، يمكن أن يكون المخاطر المتأصلة المرتبطة بالتفشي – أي أن المخاطر الموجودة دون أي ضوابط أو تدابير مضادة أخرى مطبق أو تنفيذها – قد تكون 5 ملايين دولار.
مع وجود ضوابط جديدة للكشف عن البرامج الضارة والوقاية ، بالإضافة إلى التركيز الإضافي على النسخ الاحتياطية والتكرار ، تقدر المؤسسة أن الانتعاش من الفدية ممكنة في جميع الحالات تقريبًا دون دفع فدية وانتظار فك التشفير. تكلفة جميع البرامج والضوابط هي 3 ملايين دولار.
سيبدو صيغة المخاطر المتبقية هكذا:
المخاطر المتبقية = 5 ملايين دولار (مخاطر متأصلة) – 3 ملايين دولار (تأثير ضوابط المخاطر)
في هذه الحالة ، فإن المخاطر المتبقية ، أو بقاياها ، تبلغ حوالي 2 مليون دولار.
في نوع أكثر تقييم المخاطر، تخيل أن درجة المخاطر المتأصلة المحسوبة لتنفيذ البرمجيات الجديدة هي 8 من أصل 10. من خلال وضع جدران الحماية والضوابط المستندة إلى المضيف ، من بين أمور أخرى ، يتم تخفيض النتيجة إلى 3 من أصل 10. في هذا السيناريو ، تمثل درجة المخاطر المنخفضة البالغة 3 المخاطر المتبقية.
استراتيجيات لإدارة المخاطر المتبقية
تعود إدارة المخاطر المتبقية إلى استعداد المنظمة لضبط المستوى المقبول للمخاطر في أي سيناريو معين. لأي حاضر للمخاطر المتبقية ، يمكن للمنظمات القيام بما يلي:
- لا شئ. على افتراض أن المخاطر المتبقية أقل من المستوى المقبول للمخاطر في أي مسعى ، يمكن للمؤسسات ببساطة قبول أن الضوابط المنفذة قد أثبتت فعاليتها بما يكفي لتقليل المخاطر إلى مستوى مقبول.
- تحديث أو زيادة الضوابط المنفذة. في حالة أن المخاطر المتبقية لا تزال أعلى من مستوى المخاطر المقبول ، قد تكون هناك حاجة إلى عناصر تحكم وعمليات جديدة أو معدلة لتقليل المخاطر الكامنة إلى مستوى يعتبر مقبولًا.
- تقييم الضوابط مقابل تكاليف التخفيف. في الحالة التي لا تزال فيها المخاطر المتبقية تتجاوز المستوى المقبول من المخاطر وتكلفة الضوابط المطلوبة والتدابير المضادة مرتفعة للغاية ، قد تضطر المنظمات إلى قبول المخاطر ، بغض النظر عن المخاطر المتبقية.
https://www.youtube.com/watch؟v=OHVCVGC_XNM
بشكل عام ، عند معالجة المخاطر المتبقية ، يجب على المنظمات اتخاذ الخطوات التالية:
- تحديد ذي الصلة متطلبات الحوكمة والمخاطر والامتثال.
- تحديد نقاط القوة والضعف في إطار التحكم في المنظمة.
- الاعتراف بالمخاطر الحالية.
- حدد المنظمة شهية المخاطر.
- تحديد الخيارات المتاحة لتعويض المخاطر المتبقية غير المقبولة.
من الصعب التخلص من المخاطر المتبقية. اكتشف المزيد طرق لتخفيف مخاطر الأعمال.
