组织如何正确确定风险资源分配的大小以实现更有效的风险应对?
认知风险框架的五个支柱旨在帮助组织正确确定风险资源的分配规模。 这五个支柱包括: 认知治理 , 意图控制设计 , 业务/风险情报和法律风险评估 , 网络风险情报和人为元素设计以及认知数据和人为整合 。
五个支柱中的每个支柱都可以单独使用,也可以作为改进领先的ERM实践的补充。 每个支柱的开发和实施都将是渐进式的,旨在满足每个组织的需求。
认知治理始于对组织的风险感知的评估。 通过风险感知评估可创建认知图,该认知图将开发路线图以识别整个组织的盲目运动,并重新平衡风险实践的重点,因为降低风险和改善流程的机会最大。 每个组织中都存在盲点,大多数盲点都位于意识表面之下。 一张认知图可以识别需要在哪些情况下进行情境感知,以减少重大的组织盲点并帮助促进各利益相关方之间的沟通。
认知风险实践始于风险感知,因为大多数传统风险计划无法捕获组织各个层次级别的风险感知差异,因此无法协调差异。
许多现有的风险计划都始于“风险管理”方法。 风险即感觉专注于由恐惧,担忧和不完整信息驱动的活动,这模糊了对减轻风险的适当响应的判断。 认知风险实践会测试这些假设,以增强对风险分布的信心。
风险感知评估创建的认知图驱动了五个支柱的其余部分,并确定了在支柱中实施每个计划的程度和需求。 接下来是意图控制设计支柱。
故意控制设计是利用认知图的结果的过程,并结合了人们如何评估风险解决方案设计。 故意控制设计是使负责管理自己风险的人员更容易进行风险管理和合规性的过程。 此外,认知图用于确定需要哪些正确的数据以提高态势感知并提高性能。
故意控制设计也被实施以减少“认知负荷”。 认知负担是个人在错误增加之前可以最佳执行的多任务处理量。 认知负荷被认为是员工单击网络钓鱼电子邮件链接的主要原因。 通过纳入人为因素设计因素,认知风险实践可以评估如何使内部控制设计更直观。 商业,风险与法律情报 (BRL)支柱还提供了意图控制设计的信息。
商业,风险与法律情报的支柱是研究和开发的过程,通过积极的情报收集过程来完善风险管理实践和业务绩效。 BRL情报可用于为战略规划提供信息,建立可持续流程并检测组织中的新兴风险。 BRL支柱假设组织不是静止的,即使很小的意外更改也可能导致意想不到的后果。 BRL支柱通过不断地回溯测试结果以达到或超过目标来促进传统的关键风险指标和战略计划。 BRL支柱包括关键指标(静态),并且不包括变化指标(动态),这些指标是导致失败的主要原因。
网络安全风险情报和人为因素设计支柱与故意控制设计支柱相似,但更加强调网络风险的人为因素。 网络安全中最大的漏洞是人为因素。 认知风险框架专门用于识别传统风险框架中缺少的人为风险元素。 社交媒体,电子邮件网络钓鱼,网络冲浪和移动应用程序已被确定为安全漏洞的主要原因。 使用这些新技术时的人为行为会使公司面临规避安全控制措施的网络风险。 很少有组织在电子邮件网络钓鱼活动之外开发或考虑过认知风险的表现。 认知风险情报和人为因素支柱是设计用来评估人类行为如何导致网络攻击脆弱性的唯一框架。
最后, 认知数据和人类整合支柱旨在为目标解决方案开发强大的决策支持功能。 尽管大数据项目很受欢迎,但许多项目并未在营销或产品计划之外产生附加值。 或者,更细微的方法可能更有效。 认知数据和人类融合的支柱重点在于创造态势感知作为一种竞争优势。
情境意识是通过结合权利工具来及时做出响应,以了解可能导致风险的环境变化的过程。 组织的每个级别都应具有在需要时查询和/或回答棘手的业务问题的信息或工具。 认知风险实践可以识别从高层管理人员到一线创建情景的意识所需要的能力,从而建立一个更明智和主动的组织。 一家具有情境意识的公司可以释放员工的精力,以提供更具创造性的解决方案来应对业务挑战,并将决策推到一线,同时保持对高级管理人员的控制和监督。
在引入CogRisk框架的整个过程中,都引用了Human-Element。 在认知风险实践中,人为因素是指设计产品,系统或过程以适当考虑它们与使用它们的人之间的相互作用的实践。 认知人体工程学与心理过程有关,例如感知,记忆,推理和运动反应,因为它们影响人与系统其他元素之间的交互。 (相关主题包括精神工作量,决策,技能表现,人的可靠性,工作压力和培训,因为这些可能与人机系统和人机交互设计有关。)
CogRisk的实践独特之处在于结合了多学科方法,以确保人员,流程和技术的正确整合,从而创建了一种更加无缝的风险管理方法,该方法不会破坏现有操作,同时通过对工作环境进行少量调整来增强现有操作。 没有其他风险框架包含人为因素设计重点。 但是,CogRisk框架旨在将所有其他风险框架补充为一种统一的企业风险管理方法。
网络安全和企业风险管理的认知风险框架基于认知和决策风险科学而建立,这是诺贝尔奖获得者从弗兰克·奈特,赫伯特·西蒙,丹尼尔·卡尼曼和阿莫斯·特维尔斯基的基础。 尽管支撑认知风险框架的许多研究已经进行了数十年,但这项工作的认可才在全球的技术应用中得到实施。
Global Compliance Associates,LLC,TheGRCBlueBook,LLC是网络安全和企业风险管理认知风险框架的唯一授权风险顾问。 全球合规协会与领先的GRC和网络安全解决方案提供商合作,执行网络安全和企业风险管理的认知风险框架。
要了解更多信息或开始使用认知风险框架,请联系James Bone,电子邮件:info @ thegrcbluebook.com,jbone @ globalcomplianceassociates.com或jamesbone0129@gmail.com。 401–451–8112电话号码。
