1. Home
  2. Knowledge Base
  3. User guide
  4. Settings
  5. Hvad er risikotolerance og risikokriterier? (Risikoprofil)

Hvad er risikotolerance og risikokriterier? (Risikoprofil)

Når du har oprettet en risikokategori, er det næste skridt at sætte risikoprofilen for risikokategorien. Risikoprofilen er inddelt i risikotolerance og risikokriterier.

Risikotolerance

Risikotolerancen er det niveau af sandsynlighed og koneskvens som organisationen kan tolerere indenfor en specifik kategori (f.eks. informationsrisici)

Risikotolerancen er inddelt i tolerance for hhv. forretningsrisiko og for privatlivsrisiko, da organisationens tolerance kan være forskellige mellem de to typer. Der er i alt 4 niveauer af konsekvens og sandsynlighed. Vælg det konsekvensniveau der passer til organisationens forretningsrolerance og sandsynligheden for risikoen. Det er vigtigt at få disse niveauer godkendt af topledelsen før det besluttes hvordan risici skal håndteres på tværs af organisationen.

  • Et eksempel på risikotolerancen i forhold til en forretningsrisiko kan være:

Konsekvens for forretningen: Lav

Sandsynlighed: Usandsynligt

Beskrivelse: Ledelsen har besluttet at forretningen kan tolerere et maksimum af ‘Moderat risiko’ når det kommer til integritet og tilgængelighed, men til gengæld kun en ‘lav’ risiko når det kommer til fortrolighed da organisationen håndterer en del hemmelig information der kan have store omdømmemæssige konsekvenser. (Vær opmærksom på at hvis der gennem Klientprofil indstillingerne > Præferencer > Risiko- og kontrolindstillinger er valgt ‘Enkelt risiko’ så vil der ikke skulle angives risikoprofiler for integritet, tilgængelighed og fortrolighed separat).

  • Et eksempel på en risikotolerance i fohold til privatlivsrisici:

Konsekvenser for privatlivet: Lav risiko

Sandsynlighed for risiko: Meget usandsynligt

Beskrivelse: Ledelsen tolerer kun et lavt niveau for privatlivsrisici da det er en del af organisationens DNA at beskytte både kunder og medarbejdere på bedste vis i alle tilfælde.

Klik på ‘Gem’.

Risikokriterier

Den ovenstående metode benyttes igen når risikokritererne for privatlivsrisici skal defineres. Det er her du angiver definitionerne på de forskellige niveauer af risici der vil blive brugt når risikoprofilen defineres. Kriterierne vil være synlige når der risikovurderes i specifikke processer, aktiviteter, systemer eller kontrakter (se nedenstående billede)

Det følgende er et eksempel på konsekvensens og sandsynligheds-definitioner.

  • Forretningsrisiko konsekvensdefinitioner og sandsynlighedsdefinitioner

Meget lavkonsekvens kan defineres som: Ubetydelig virksning, kun få interne medarbejdere berøres, ingen væsentlige omkostninger

Lav konsekvens kan defineres som: Mindre forsyrrelse i driften. Tilbage til normalen > 1 dag. Hændelsen opdages kun af få interne medarbejdere og få eksterne. Offentligheden notificeres ikke. Kun mindre lovgivningsmæssige udfordringer. Potentielle tab er mærkbare men truer ikke overskuddet. 10.000-1 M/EUR.

Høj konsekvens kan defineres som: Betydelig forstyrrelse i driften Hændelsen opdages af eksterne parter og der kan være mediedækning relateret til hændelsen. Potentielle tab har en væsentlig indflydelse på overskuddet. 1 Mio – 10 M/EUR.

Meget høj konsekvens kan defineres som: Procedurer for genetablering er ikke effektive nok til at genetablere driften helt. Tillid fra de berørte parter går sandsynligvis tabt. Potentielle omkostninger overstiger de finansielle reserver. Over 10 M/EUR.

Meget usandsynligt i sandsynligheden kan defineres som: Forventes ikke at forekomme de næste par år med en lavere sandsynlighed en 1 %

Usandsynligt i sandsynligheden kan defineres som: Forventes at forekomme mindst årligt 1 – 10 %

Sandsynligt i sandsynligheden kan defineres som: Forventes at forekomme mindst månedligt 10 – 50 %.

Meget sandynligt i sandsynligheden kan defineres som: Forventes at forekomme mindst ugentligt mere end 50 %.

  • Privatlivs risiko sandynlighed og konsekvens

Ovenstående metode kan også benyttes når risikoprofilen for privatlivsrisikoen sættes.

Eksempel på risikokriterier for konekvensen for privatlivsrisiko:

Meget lav konsekvens: Ubetydelig påvirkning af datasubjekter (de er behandles data om). Kun få datasubjekter var involveret. Kun allerede offentliggjorte og generiske data er involveret. Ingen finansielle eller omdømmemæssige effekter for datasubjekterne.

Definition af lav konsekvens: En mindre konsekvens for datasubjekternes frihedsrettigheder og omdømme.
0-500 data subjekter involveret. Generisk persondata involveret.

Definition af høj konsekvens:

Væsentlig indvirkning på datasubjekters frihedsrettigheder, omdømme, sundhed eller juridiske rettigheder.
500-1000 data subjekter involveret.
Semi-følsomme persondata eller personlig identifikation involveret eller genetiske data linket på en måde der gør det muligt at finde frem til det enkelte individs adfærd.

Definition af meget høj konsekvens:

Alvorlig påvirkning af data subjektets frihedsrettigheder, omdømme, sundhed eller juridiske rettigheder.
1000+ data subjekter involveret. Sensitive persondata involveret eller genetiske data linket på en måde der gør det muligt at finde frem til privat information om det enkelte individs adfærd.

Eksempel på risikokriterier for sandsynligheden for privatlivsrisiko:

Meget usandsynlig sandsynlighed: Forventes ikke at forekomme i flere år. Mindre end 1 % chance.

Usandsynlig sandsynlighed: Forventes at forekomme mindst årligt 1-10 % chance.

Sandsynlig sandsynlighed: Forventes at forekomme mindst månedligt 10-50 % chance.

Meget usandsynlig sandsynlighed: Forventes at forekomme mindst ugentligt med mere edn 50 % chance.

Når organisationens risikotolance og risikokriterier er færdigdefineret kan du klikke på ‘Gem’.

Under fanen ‘Risikoscenarier’ kan du se hvilke risikoscenarier der er relateret til den pågældende risikokategori.

Denne relation skabes under hvert risikoscenarier, her.

Was this article helpful?

Related Articles

Need Support?

Can't find the answer you're looking for?
Contact Support