风险偏好
风险偏好 是什么?
风险偏好由董事会和高层确定的、组织为实现战略目标而愿意追求或承担的风险的总体数量与类型。
风险偏好在战略层面表达组织为创造价值愿意承担多少风险。通常以风险偏好声明的形式正式化,涵盖财务损失、客户影响、监管暴露和网络事件等类别,常使用高层级的定性表述。该声明指导风险容忍度、控制投入与处置选择,并被分解为业务部门指标和关键风险指标(KRI)。董事会和高级管理层负责制定并在战略、威胁形势或监管环境发生变化时重新审视风险偏好。它是 COSO ERM 与 ISO 31000 等框架的核心要素。
● 示例
- 01
"对受监管个人数据的未授权披露零容忍。"
- 02
"愿意在约定限额内接受新数字产品带来的中等程度财务波动。"
● 常见问题
风险偏好 是什么?
由董事会和高层确定的、组织为实现战略目标而愿意追求或承担的风险的总体数量与类型。 它属于网络安全的 合规与框架 分类。
风险偏好 是什么意思?
由董事会和高层确定的、组织为实现战略目标而愿意追求或承担的风险的总体数量与类型。
风险偏好 是如何工作的?
风险偏好在战略层面表达组织为创造价值愿意承担多少风险。通常以风险偏好声明的形式正式化,涵盖财务损失、客户影响、监管暴露和网络事件等类别,常使用高层级的定性表述。该声明指导风险容忍度、控制投入与处置选择,并被分解为业务部门指标和关键风险指标(KRI)。董事会和高级管理层负责制定并在战略、威胁形势或监管环境发生变化时重新审视风险偏好。它是 COSO ERM 与 ISO 31000 等框架的核心要素。
如何防御 风险偏好?
针对 风险偏好 的防御通常结合技术控制与运营实践,详见上方完整定义。
风险偏好 还有哪些其他名称?
常见的别称包括: 风险偏好声明。
● 相关术语
- compliance№ 938
风险容忍度
围绕具体目标或风险类别的可接受波动范围,以从风险偏好衍生出的定量或定性限值表达。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 383
企业风险管理(ERM)
面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
- compliance№ 939
风险处置
依据组织的风险准则,对风险作出修改性的决定与行动,通常包括接受、缓解、转移或规避。
- compliance№ 923
残余风险
在已规划的控制和处置措施实施之后仍然存在的风险,组织必须选择接受、转移或进一步处置。
- compliance№ 557
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。