Блок 4. Обработка рисков Risk Appetite: сколько риска компания готова принять Слайд 7 / 14
Шкала Risk Appetite
0 20 40 60 80 100 Нулевой аппетит Агрессивный Appetite 35 35 финсектор | 60 стартап Tolerance 50 Limit 70 Ниже Appetite Операционные руководители принимают решение автономно Appetite — Tolerance CISO + CRO Tolerance — Limit Обязательное решение CEO Выше Limit Обязательное решение Совета директоров Примеры формулировок Risk Appetite Финансовые: «Не принимаем риски с потенциальным убытком более 5% годовой выручки» Операционные: «Допустимое время простоя критичных систем — не более 4 часов в год» Репутационные: «Не принимаем риски, которые могут привести к публичному скандалу с регуляторами»

Кто принимает решение

< Appetite:Операционные руководители
Appetite–Tolerance:CISO с уведомлением CRO
Tolerance–Limit:Обязательное решение CEO
> Limit:Совет директоров с протоколом
Если ваш совет директоров не утвердил Risk Appetite Statement, любые ваши рекомендации — ваше частное мнение. Утверждённый аппетит — мандат на действия.
Лекция 06. Управление рисками и построение СУИБ Блок 4 / Слайд 7