III. Langkah Terakhir dalam Pengurusan Risiko: Penilaian Semula Risiko

Sebagai Perunding Audit Sistem Maklumat, saya sering menekankan bahawa Pengurusan risiko bukan proses sekali sahaja. Ia adalah kitaran berterusan yang berkembang mengikut masa dan keadaan. Langkah terakhir dalam kitaran ini ialah penilaian semula risiko, proses kritikal yang memastikan organisasi anda kekal bersedia untuk ancaman yang muncul dan persekitaran yang berubah-ubah. Mari kita terokai apa yang diperlukan oleh penilaian semula risiko, bila perlu, dan mengapa ia penting untuk mengekalkan rangka kerja pengurusan risiko yang mantap.

Apakah Penilaian Semula Risiko?

Penilaian semula risiko melibatkan menyemak semula langkah-langkah awal Penilaian risiko Dan Pengurangan risiko untuk memastikan profil risiko organisasi anda dikemas kini. Ia mengenai bertanya, "Adakah risiko berubah? Adakah kawalan kami masih berkesan? Adakah kita perlu menyesuaikan diri dengan keadaan baharu?" Langkah ini penting kerana risiko adalah dinamik—ia berkembang dengan perubahan dalam teknologi, operasi perniagaan, peraturan dan peristiwa luaran. Tanpa penilaian semula yang kerap, organisasi berisiko dibutakan oleh ancaman yang tidak mereka jangkakan.

Bilakah Penilaian Semula Risiko Perlu Dijalankan?

Terdapat dua senario utama yang mencetuskan penilaian semula risiko:

1. Penilaian Semula Dipacu Masa

Ini adalah semakan berkala yang dijadualkan risiko, biasanya dijalankan setiap enam bulan atau setiap tahun. Penilaian semula berdasarkan masa memastikan pengurusan risiko kekal sebagai proses yang konsisten dan proaktif, walaupun tanpa perubahan luaran. Ia adalah amalan terbaik bagi organisasi untuk menetapkan irama tetap untuk menyemak profil dan kawalan risiko mereka.

2. Penilaian Semula Dipacu Peristiwa

Ini berlaku apabila perubahan alam sekitar memberi kesan kepada organisasi atau industri anda. Contoh perubahan tersebut termasuk:

• Perubahan Dalaman: Peralihan daripada perbankan tradisional kepada e-perbankan memperkenalkan risiko baharu, seperti ancaman keselamatan siber, memerlukan penilaian risiko baharu.
• Perubahan Kawal Selia: Peraturan kerajaan baharu mungkin mengenakan keperluan pematuhan, memerlukan penilaian semula risiko dan kawalan.
• Acara Luaran: Bencana alam, seperti gempa bumi, atau insiden seluruh industri, seperti pelanggaran data utama di organisasi yang serupa, boleh mendorong penilaian semula. Sebagai contoh, selepas bencana nuklear Fukushima di Jepun, loji nuklear di seluruh dunia menjalankan penilaian semula risiko untuk memastikan mereka bersedia untuk senario yang sama.

Mengapakah penilaian semula risiko penting?

Penilaian semula risiko bukan hanya tentang bertindak balas terhadap perubahan—ia mengenai Kekal di hadapan potensi ancaman. Inilah sebabnya ia penting:

1. Menyesuaikan diri dengan risiko baharu: Apabila organisasi berkembang, begitu juga landskap risiko mereka. Penilaian semula risiko memastikan risiko baharu dikenal pasti dan ditangani dengan segera.
2. Memastikan Keberkesanan Kawalan: Lama kelamaan, kawalan mungkin menjadi ketinggalan zaman atau kurang berkesan. Penilaian semula membantu mengenal pasti jurang dan melaksanakan kemas kini yang diperlukan.
3. Belajar daripada Orang Lain: Insiden di organisasi serupa memberikan pengajaran berharga. Dengan menilai semula risiko memandangkan peristiwa ini, organisasi anda boleh mengukuhkan pertahanannya secara proaktif.

Contoh Penilaian Semula Risiko Dunia Sebenar

Pelanggaran data Sasaran, yang berlaku pada akhir 2013, menyaksikan penggodam mendapat akses kepada rangkaian Target melalui vendor pihak ketiga yang terjejas, membolehkan mereka mencuri maklumat kad kredit daripada kira-kira 40 juta pelanggan dan butiran peribadi daripada kira-kira 70 juta, menandakan salah satu pelanggaran data runcit terbesar dalam sejarah kerana skala dan kesannya terhadap data pelanggan; Kejadian ini menyerlahkan keperluan untuk amalan keselamatan siber yang teguh dalam syarikat, terutamanya apabila berurusan dengan vendor pihak ketiga.

Berikutan kejadian itu dan serangan siber serupa yang mendedahkan data pelanggan, kemudahan runcit di seluruh dunia menjalankan penilaian semula risiko. Mereka bertanya soalan kritikal:

• Bagaimana jika peristiwa serupa berlaku di sini?
• Adakah kawalan semasa kita mencukupi untuk mencegah atau mengurangkan bencana sedemikian?
• Apakah langkah tambahan yang boleh kita laksanakan untuk meningkatkan keselamatan?

Pendekatan proaktif ini menyerlahkan kepentingan Belajar daripada peristiwa luaran dan menggunakan pelajaran tersebut kepada organisasi anda sendiri.

Kitaran Berterusan Pengurusan Risiko

Penilaian semula risiko ialah langkah terakhir dalam proses pengurusan risiko, tetapi ia juga membawa kita kembali ke permulaan. Ini adalah peringatan bahawa pengurusan risiko adalah kitaran berterusan:

1. Penilaian Risiko: Kenal pasti dan nilai risiko.
2. Pengurangan Risiko: Melaksanakan kawalan untuk mengurangkan risiko ke tahap yang boleh diterima.
3. Penilaian Semula Risiko: Semak semula dan perhalusi proses untuk menyesuaikan diri dengan keadaan baharu.

Dengan menerima kitaran ini, organisasi boleh mengekalkan pendekatan proaktif dan berdaya tahan untuk mengurus risiko.

Pengambilan Utama

• Penilaian semula risiko memastikan rangka kerja pengurusan risiko organisasi anda kekal relevan dan berkesan.
• Ia boleh menjadi dipacu masa (Ulasan berjadual) Atau Dipacu Acara (dicetuskan oleh perubahan dalaman atau luaran).
• Belajar daripada insiden seluruh industri atau organisasi yang serupa ialah aspek kritikal dalam penilaian semula risiko.
• Pengurusan risiko ialah Proses berterusan—penilaian semula membawa anda kembali ke permulaan, memastikan kewaspadaan berterusan.

Mari Bincangkan Pengurusan Risiko

Bagaimanakah organisasi anda mendekati penilaian semula risiko? Adakah anda mempunyai proses berstruktur, atau adakah anda ingin melaksanakannya? Mari berhubung dan bincangkan cara kami boleh meningkatkan strategi pengurusan risiko anda untuk memastikan organisasi anda kekal mendahului ancaman yang muncul.