风险偏好vs. 风险承受能力:有什么区别?

玛丽卡迈克尔
作者: 玛丽卡迈克尔, CRISC, CISA, CPA, ISACA新兴趋势工作组成员
发表日期: 2022年10月24日

澳门赌场官方下载风险管理中, 与风险相关的术语的定义经常会出现混淆. 例如, 人们经常误解“风险偏好”和“风险承受能力”的含义,这两个词可以互换使用, 潜在地影响组织的风险管理框架. 如果实现得当, 这些术语非常不同,在平衡“承担风险”和“控制风险”以实现澳门赌场官方下载战略和目标方面发挥着重要作用. 

决定接受多少风险是有效风险管理的关键. 回答这个问题需要运用风险偏好和风险承受能力. 在这里, 澳门赌场官方下载风险管理涉及到使用董事会批准的风险偏好为有效决策提供见解,以确定采取哪些风险来实现战略目标, 管理层使用风险容忍度来实现控制,以衡量风险暴露是否在风险偏好范围内.

这篇博文将揭开风险偏好和风险承受能力术语的神秘面纱,并解释如何将这些概念整合到风险管理框架中. ISACA新的风险承受能力白皮书, 运用风险承受能力支持澳门赌场官方下载战略, 会进一步解释这两个术语之间的关系吗, 以及为风险容忍度的应用提供一个标准的实现框架, 整合风险偏好.

什么是风险偏好?
风险偏好被描述为“组织为实现其目标而愿意接受的风险数量”.通过这个定义, 风险偏好引入了一个概念, 虽然风险会影响澳门赌场官方下载的成功, 风险规避也是如此. 这个世界充满了风险, 组织必须决定接受什么样的风险来实现它的目标,以及什么样的风险需要采取进一步的行动来避免, 减轻或转让. 这是澳门赌场官方下载风险管理程序的关键任务——评估哪些风险适合组织的风险偏好,哪些风险需要额外的控制,以将剩余风险降低到可接受的水平.

通常, 风险偏好声明由董事会批准,记录了组织在特定情况下的风险态度和接受风险的意愿, 有了用于风险监督的治理模型(例如.g.,监控是否在追求不可接受的风险). 风险因组织而异, 和相应的, 每个组织都有自己的风险偏好,这反映了其内部和外部环境. 例如, 软件开发公司将拥有持续改进的强大文化,以推动其软件产品的创新,并接受更多风险以实现客户增长. 然而, 考虑到客户和金钱损失的潜在影响,该公司可能不愿承担声誉风险.

什么是风险承受能力?
ISACA的风险IT框架,2nd, 将风险容忍度定义为“风险偏好和业务目标所设定的水平的可接受偏差”.“通常情况下,风险承受能力以定量的方式传达,例如:

  • 标准要求项目在预计的预算和时间内完成, 但是超出预算的10%或时间的20%是可以容忍的.
  • 系统正常运行时间的服务级别要求为99.5 percent availability on monthly cases; however, isolated cases of 99.4%是可以容忍的.

从概念上讲, 风险容忍度设定了组织在追求其长期目标时不会超越的风险承担界限. 支持边界设置, 使用诸如关键风险指标之类的措施来与风险承受能力限制保持一致, 确保组织保持在其风险偏好范围内,并在实现其目标的轨道上. 

风险偏好vs. 风险承受能力
随着时间的推移,风险偏好和风险承受能力可以被视为“同一枚硬币的两面”,因为它们与组织绩效有关. 风险偏好与“承担风险”有关,风险承受能力与“控制风险”有关.“为了在决策中成功地采用风险偏好, 它必须通过风险容忍度与组织的控制环境相结合, 如以下引述所述:

风险偏好声明通常被认为是任何澳门赌场官方下载风险管理实现中最难的部分. 然而, 没有明确的定义, 可测量的公差, 可以说,整个风险周期和任何风险框架都处于停顿状态. - 风险管理学会

风险偏好和风险承受能力说明了风险偏好和风险承受能力之间的明确区别. 下表显示了一个示例,说明了医疗保健提供者的风险偏好和风险承受能力声明之间的差异:

风险偏好和风险承受能力陈述之间的差异

风险偏好示例 风险承受能力示例

我们把病人的安全放在首位. 我们还认识到,必须在对所有患者需求作出立即反应的水平与提供这种服务的成本之间取得平衡.”

“我们计划我们的人员在预约时间的5分钟内治疗所有患者, 15分钟内送上门急诊病人. 然而, 管理部门承认,在极少数情况下(5%的时间),需要非危及生命的关注的患者可能长达4小时都得不到这种关注.”

差异:战略、总量、质量
这表明了该组织关于风险承担的战略理念:对可能影响患者安全的风险的低偏好与对患者护理和客户服务的响应相关的高偏好相平衡.

区别:战术、具体、数量
这演示了用于度量性能和评估特定业务流程的风险容忍度限制的参数的变化量. 此外,风险承受能力以可量化的方式表示.

如图表所示, 这两个术语之间的关键区别涉及操作角度(例如.g.,战略或战术),重点领域(如.g.具体风险或总体风险),以及如何表达风险(e).g.(定性或定量).

需要组织范围的风险分类
有效的澳门赌场官方下载风险管理需要所有员工都了解, 始终如一地沟通和应用风险术语. 拥有组织范围的风险分类法为标准化的风险管理方法奠定了坚实的基础, 允许对整个组织的风险类型和级别进行更清晰的比较,并为基于风险的决策过程提供有意义的输入. 也, 这将加强董事会理解影响目标的主要风险的能力,并根据利益相关者的风险态度定义风险偏好,并将其转化为管理层可接受和不可接受的风险, 以风险承受能力来衡量以确保战略目标的实现.

编者按: 有关ISACA提供的额外风险相关资源,请 包括一个新的风险情景工具包,请访问我们的 资讯科技风险网页.