殘餘風險
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
什麼是殘餘風險[1]
殘餘風險是指在實現了新的或增強的安全控制後還剩下的風險,實際上任何系統都是有風險的,並且也不是所有安全控制都能完全消除風險。
如果殘餘風險沒有降低到可接受的級別,則必須重覆風險管理過程,以找出一個將殘餘風險降低到可接受級別的方法。在進行了充分的風險評估後,得出如下結論。
(1)沒有必要採用所有的安全保護措施。因為這些措施要解決的風險可能並不存在,或者可以容忍和接受這些風險。
(2)沒有必要防範和加固所有的安全弱點。這些弱點可能因為成本、知識、文化及法律等方面的因素,而沒有人能利用它們。
(3)我們沒有必要無限制地提高安全保護措施的強度。只需要將相應的風險降低到可接受的程度即可。供)對安全保護措施的選擇還要考慮到成本和技術等因素的限制。
殘餘風險的評價[2]
對處於不可接受範圍內的風險,應在選擇適當的風險控制措施後,對殘餘風險進行評價,判定風險是否已達到可接受水平,以便為風險管理提供輸入。
對殘餘風險的評價可以依據組織的風險評估準則進行。若某些風險可能在選擇了適當的控制措施後仍處於不可接受的風險範圍內,則應通過管理層依據風險接受原則考慮是否接受此類風險或增加更多的風險控制措施。為確保所選擇的風險控制措旌是有效的,必要時可進行再評估,以判斷實施風險控制措施後的殘餘風險是否降到了可接受的水平。
殘餘風險與風險分析關係[3]
殘餘風險是風險分析的最後一步。完成風險分析並確定風險降低措施後,必須開展進一步的風險評估以保證風險已降至可接受水平。風險不可能徹底消除,零風險是不存在的,因此有一定的殘餘風險。
通過對策措施,只是降低了已識別的風險。殘餘風險包括三個部分:
(1)有意識接受的風險;
(2)已識別但誤判斷的風險;
(3)未識別風險。
這樣,一個嚴格且以高度負責的態度進行的風險分析應該能減少殘餘風險的後兩個部分,這是風險分析團隊的職責所在。很顯然,風險分析是一項創造性的工作,它必須能夠預測未來可能發生的事件,並給出避免事故發生的相關措施。因此,它是一項面向未來的挑戰性很強的工作,需要具備傑出技能的工程技術人員的參與。