Appétence au risque
Qu'est-ce que Appétence au risque ?
Appétence au risqueQuantité et type agrégés de risque qu'une organisation est prête à rechercher ou à accepter pour atteindre ses objectifs stratégiques, fixés par le conseil et la direction générale.
L'appétence au risque exprime, au niveau stratégique, le niveau de risque qu'une organisation est prête à prendre pour créer de la valeur. Elle est généralement formalisée dans une déclaration couvrant des catégories comme la perte financière, l'impact client, l'exposition réglementaire et les incidents cyber, souvent avec un langage qualitatif de haut niveau. La déclaration guide la tolérance, les investissements de contrôle et les choix de traitement, et se décline en métriques par direction et en indicateurs clés de risque. Le conseil et la direction sont responsables de sa définition et de sa révision quand la stratégie, le paysage des menaces ou la réglementation évoluent. C'est un pilier de référentiels comme COSO ERM et ISO 31000.
● Exemples
- 01
"Aucune tolérance à la divulgation non autorisée de données personnelles régulées."
- 02
"Acceptation d'une volatilité financière modérée des nouveaux produits numériques, dans les limites convenues."
● Questions fréquentes
Qu'est-ce que Appétence au risque ?
Quantité et type agrégés de risque qu'une organisation est prête à rechercher ou à accepter pour atteindre ses objectifs stratégiques, fixés par le conseil et la direction générale. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Appétence au risque ?
Quantité et type agrégés de risque qu'une organisation est prête à rechercher ou à accepter pour atteindre ses objectifs stratégiques, fixés par le conseil et la direction générale.
Comment fonctionne Appétence au risque ?
L'appétence au risque exprime, au niveau stratégique, le niveau de risque qu'une organisation est prête à prendre pour créer de la valeur. Elle est généralement formalisée dans une déclaration couvrant des catégories comme la perte financière, l'impact client, l'exposition réglementaire et les incidents cyber, souvent avec un langage qualitatif de haut niveau. La déclaration guide la tolérance, les investissements de contrôle et les choix de traitement, et se décline en métriques par direction et en indicateurs clés de risque. Le conseil et la direction sont responsables de sa définition et de sa révision quand la stratégie, le paysage des menaces ou la réglementation évoluent. C'est un pilier de référentiels comme COSO ERM et ISO 31000.
Comment se défendre contre Appétence au risque ?
Les défenses contre Appétence au risque combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Appétence au risque ?
Noms alternatifs courants : Déclaration d'appétence au risque.
● Termes liés
- compliance№ 938
Tolérance au risque
Variation acceptable autour d'un objectif ou d'une catégorie de risque, exprimée par des limites quantitatives ou qualitatives concrètes dérivées de l'appétence au risque.
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
- compliance№ 383
Gestion des risques d'entreprise (ERM)
Approche intégrée et transversale d'identification, de gouvernance et de traitement des risques stratégiques, financiers, opérationnels, de conformité et cyber, alignée sur les objectifs métier.
- compliance№ 939
Traitement des risques
Décision et actions visant à modifier un risque, en général en l'acceptant, le réduisant, le transférant ou en l'évitant, selon les critères de l'organisation.
- compliance№ 923
Risque résiduel
Risque qui subsiste après l'application des contrôles et traitements prévus, que l'organisation doit accepter, transférer ou traiter davantage.
- compliance№ 557
ISO/IEC 27001
Norme internationale qui spécifie les exigences d'un Système de Management de la Sécurité de l'Information (SMSI) et permet une certification formelle des organisations.