При определении недопустимых событий, имеющих для бизнеса катастрофические последствия, очень важно учитывать уровни риск-аппетита и толерантности к рискам, установленные компанией.
Риск-аппетит (risk appetite) — это уровень риска, который организация готова принимать в процессе своей деятельности в целях достижения бизнес-целей. Иными словами, это та граница, за которой событие превращается в недопустимое и наоборот. Подробнее про определение порога ущерба в контексте недопустимого события можно почитать .
Толерантность к рискам (risk tolerance) — это уровень риска, который организация может выдержать и который не должен превышаться. Это конкретное количественное значение, которое указывает на максимально допустимую степень определенного риска.
Риск-аппетит не следует путать с толерантностью к рискам. Толерантность к рискам — это уровень риска, который компания может вынести без серьезного ущерба для своей деятельности. Риск-аппетит же определяет, какие риски компания готова принимать, чтобы достичь своих бизнес-целей. Например, потеря 100 миллионов рублей в результате простоя от кибератаки — кража денег со счета в банке или штраф за нарушение контрактных обязательств — может рассматриваться компанией как уровень толерантности к риску «потеря денежных средств» или «достаточность капитала». А сознательный отказ от выполнения требований по защите определенных видов информации (например, приказа ФСТЭК № 21 о защите персональных данных) уже относится к риск-аппетиту, являющемуся более широким понятием: оно включает в себя не только финансовые, но и другие виды рисков, такие как репутационные и технологические. Единой формулы расчета риск-аппетита или толерантности к рискам нет — они зависят от конкретной организации и ее стратегии управления рисками.
Допустим, финансовая организация имеет высокую риск-толерантность и готова принимать большие риски в своей деятельности. Она может определить уровень риск-толерантности на основе процентного соотношения между потенциальной прибылью и возможными потерями при инвестировании в различные финансовые инструменты. Например, если компания готова принимать риски до 20% от возможной прибыли, это может быть ее уровень риск-толерантности. В этом случае недопустимое событие «потеря денежных средств» также должно учитывать это значение — и потеря, например, 5% или даже 15% от возможной прибыли не будет рассматриваться как недопустимое событие, оставаясь всего лишь нежелательным.
Для руководителей бизнеса потери или наступление некоторых рисков — часть повседневной деятельности. С этими рисками необязательно бороться и выделять на нейтрализацию значительные средства — хотя специалистам по кибербезопасности и может быть сложно принять этот факт.
В случае металлургической компании, которая имеет более консервативный подход к рискам, уровень риск-толерантности может быть и ниже. Компания может определить этот уровень на основе степени риска, которую она готова принимать в процессе производства и продажи металлургической продукции. Например, если в рамках внутренних финансовых документов компания не готова терять более 5% прибыли, то и уровень риск-толерантности будет определяться этой границей.
В обоих случаях уровень риск-толерантности может меняться в зависимости от конъюнктуры рынка, внешних факторов или изменения стратегии компании. Поэтому, прежде чем проводить , стоит поинтересоваться уровнем принятых в организации риск-аппетита и толерантности к рискам. Обычно их рассчитывают риск-менеджеры и пересматривают не реже чем один раз в год.
Оценка риск-аппетита и толерантности к риску помогает руководству компании определить, на какой уровень риска они готовы пойти для достижения бизнес-целей и какие меры по управлению рисками необходимо предпринять, чтобы недопустимые события стали невозможны.