使用风险管理器应用程序进行风险管理
使用 Diligent One 平台,是管理组织风险与控制措施的一种推荐方法。
风险管理概览
风险管理项目有助于更高效地管理贵组织的风险与控制。您可以根据贵组织的架构和需求对风险与控制进行分类,将风险和控制与贵组织的资产关联,触发评估并计算风险评分。
说明
风险管理器应用程序不是管理风险与控制的唯一方法。也可以使用项目应用程序来管理风险与控制。如果使用项目应用程序中的风险与控制进行审计,则请继续采用这种做法。风险管理器应用程序最适宜用于管理 IT 或第三方风险。
参与风险管理的人员
参与风险管理项目的人员可能包括:
- 风险经理
- 风险负责人
- 风险评估员
工作原理
风险管理流程遵循下述常规工作流。
- 风险识别 在这个步骤中,识别对贵组织的威胁。这些风险可能会影响贵组织的日常运营。根据贵组织的目标、目的和战略,可以使用一组灵活的属性来识别风险。
- 风险关系与层次结构 在这个步骤中,评估关键资产、流程或整个组织面对特定威胁的脆弱性。创建风险层次结构,并将这些风险与其它风险、控制、组织、资产、流程以及其他相关实体关联。
- 风险评估在这个步骤中,确定针对特定资产的特定类型攻击事件发生的可能性和后果。风险评估是为了确定可能发生的闪失、事件发生的可能性和后果,以及贵组织对这些事件的容忍程度。风险评估可能基于多种因素,例如影响、可能性和速度。评估风险时,会遇到两种类型的风险:
- 固有风险:这是指在采取措施缓解风险的影响或可能性之前的风险级别。例如,易受盗窃或欺诈影响的报告。
- 残留风险:这是指采取缓解措施之后的剩余风险级别。例如,在安装闭路电视监控系统且聘请保安人员后,仍有可能发生盗窃事件。因此,残留风险 = 固有风险 - 缓解风险。
- 风险评分 在这个步骤中,根据风险的影响或可能性等因素来计算风险评分。