بسیاری از افراد در ابتدای آشنایی با مدیریت ریسک تصور میکنند که سازمان باید یک «سطح تحمل ریسک ثابت» داشته باشد؛ عددی مشخص که بگوید چه مقدار ریسک قابلقبول است و چه مقدار نه. اما در عمل، چنین نگاهی نهتنها سادهانگارانه است، بلکه میتواند سازمان را در معرض تصمیمهای اشتباه و پرهزینه قرار دهد.
سطح تحمل ریسک (Risk Tolerance) به این پرسش پاسخ میدهد که سازمان حاضر است برای دستیابی به اهدافش، چه میزان ریسک را بپذیرد. نکتهی کلیدی اینجاست که اهداف سازمان یکدست نیستند، بنابراین ریسکها نیز ارزش و وزن یکسانی ندارند.
اولین دلیل ثابت نبودن سطح تحمل ریسک، تفاوت در اثر ریسکها است. بعضی ریسکها میتوانند موجودیت سازمان را تهدید کنند؛ مانند نقض گسترده دادههای حساس، ازکارافتادن سرویسهای حیاتی، یا عدم انطباق با قوانین. در این موارد، حتی احتمال کم هم غیرقابلتحمل است. در مقابل، ریسکهایی وجود دارند که اثرشان محدود، موقتی یا قابلجبران است؛ مثلاً تأخیر کوتاه در یک سامانه داخلی. منطقی نیست که سازمان با هر دو نوع ریسک، برخوردی یکسان داشته باشد.
دلیل دوم، وابستگی مستقیم ریسک به مأموریت و مدل کسبوکار است. برای یک بانک یا نهاد حاکمیتی، محرمانگی و دسترسپذیری اطلاعات حیاتی است و سطح تحمل ریسک بسیار پایین تعریف میشود. اما یک استارتاپ نوآور ممکن است برای سرعت، انعطاف و ورود به بازار، ریسکهای بیشتری را بپذیرد. بنابراین ریسک متعلق به IT نیست؛ ریسک متعلق به کسبوکار است و باید در همان سطح سنجیده شود.
سومین عامل، قابلیت کنترل، تشخیص و بازیابی ریسک است. اگر سازمان بتواند یک ریسک را بهموقع شناسایی کند، اثر آن را محدود سازد و سریع بازیابی شود، سطح تحمل آن ریسک بالاتر خواهد بود. اما ریسکهایی که اثر زنجیرهای، غیرقابلبازگشت یا بلندمدت دارند، حتی اگر احتمال وقوعشان کم باشد، تحملپذیر نیستند.
چهارم، ذینفعان مختلف، تحملهای متفاوتی دارند. آنچه برای واحد فنی قابلقبول است، ممکن است برای مدیریت ارشد یا نهادهای ناظر غیرقابلپذیرش باشد. به همین دلیل، تعیین سطح تحمل ریسک باید با مشارکت هیئتمدیره، مدیریت ارشد و مالکان فرآیند انجام شود، نه صرفاً تیم امنیت یا IT.
در نهایت، ثابت فرض کردن سطح تحمل ریسک، باعث تصمیمگیریهای صوری میشود؛ جایی که یا امنیت بیشازحد مانع پیشرفت میشود، یا پذیرش ریسکِ ناآگاهانه سازمان را آسیبپذیر میکند. بلوغ واقعی مدیریت ریسک زمانی است که سازمان بداند کجا نباید ریسک کند و کجا آگاهانه ریسک را میپذیرد.
مثال در حوزه بانکداری
تصور رایج این است که یک بانک، بهعنوان نماد اعتماد، باید در تمام سطوح دارای «تحمل ریسک پایین» و رویکردی کاملاً محافظهکارانه باشد. اما در دنیای واقعی، اعمال یک «سطح تحمل ریسک ثابت» برای کل بانک، استراتژی شکستخوردهای است.
بیایید دو بخش حیاتی بانک را مقایسه کنیم: هسته بانکداری (Core Banking) و واحد توسعه محصول.
در بخش تراکنشها و موجودی حسابها، سطح تحمل ریسک باید نزدیک به «صفر» باشد. در اینجا، کوچکترین خطا یا نشت اطلاعات به معنای نابودی شهرت و جریمههای سنگین بانک مرکزی است. بنابراین، هزینه کردن میلیونها تومان برای امنیت حداکثری در این لایه کاملاً توجیهپذیر است.
اما اگر همین سختگیری و تحمل ریسک پایین را در «واحد نوآوری» اعمال کنیم، بانک فلج میشود. برای رقابت با فینتکهای چابک، بانک باید در طراحی اپلیکیشنهای جدید یا کمپینهای تبلیغاتی، «ریسکپذیری بالا» داشته باشد و احتمال شکست را بپذیرد.
بنابراین، هنر مدیریت ریسک در بانکداری این است: ساختن دژی نفوذناپذیر برای پول مردم، و همزمان ایجاد فضایی جسورانه برای نوآوری. ریسکها یکسان نیستند، چون اهداف یکسان نیستند.
دوره مدیریت امنیت CISO آکادمی روزبه
