co je proces řízení rizik a proč je to nutné?
riziko představuje jakoukoli nejistotu, která může zlepšit nebo snížit schopnost dosáhnout vašich cílů. Může mít mnoho podob, včetně rizik ovlivňujících projekty, Finance, bezpečnost a soukromí a životní prostředí. Jak pro pozitivní rizika (příležitosti), tak pro negativní rizika potřebujete úmyslný přístup k pochopení rovnováhy mezi rizikem a odměnou. Tento článek se zaměřuje na proces řízení rizik, která by mohla mít negativní dopad na vaši organizaci; podobné procesy platí pro určení, jak využít prospěšnou nejistotu, tj.
Nedávná historie zdůraznila dopad, který mohou mít rizikové faktory na fungování podniků a jednotlivců-a na to, zda v tom mohou pokračovat. Schopnost orientovat se v riziku lépe než konkurenti jistě přispěje k úspěchu podniku. Pokud tak neučiníte, může to znamenat katastrofu, možná za uzdravením.
z těchto důvodů je důležité aplikovat osvědčený a konzistentní proces řízení rizik. Když je postaven na pevných základech porozumění cílům, cílům organizace a vnitřnímu / vnějšímu kontextu, proces řízení rizik pomůže zajistit úspěch vaší organizace.
jaké jsou 5 kroky procesu řízení rizik?
mnoho subjektů znalostí zdokumentovalo řízení rizik,ale možná nejznámější je mezinárodní organizace pro normalizaci nebo ISO. Norma ISO 31000, řízení rizik-pokyny, obsahuje rozsáhlé informace o tom, jak komunikovat o různých rizicích, řídit je a sledovat je. Proces je v podstatě stejný pro jakýkoli typ entity a zahrnuje následujících pět kroků:
tento článek je součástí
co je řízení rizik a proč je důležité?
- který také zahrnuje:
- správa, řízení rizik a dodržování předpisů (GRC)
- vyhýbání se rizikům
- mapa rizik (mapa rizik)
- Identifikujte rizika.
- analyzujte pravděpodobnost a dopad každého z nich.
- upřednostněte riziko na základě podnikových cílů.
- léčte rizikové podmínky (nebo na ně reagujte).
- Sledujte výsledky a podle potřeby je použijte k úpravě.
i když jsou tyto kroky jednoduché, každý podnik má jedinečné faktory, které ovlivňují, jak by měl řídit a sledovat riziko. K určení a použití těchto faktorů je užitečné použít rámec řízení rizik jako součást komplexního přístupu k plánování, provádění a sledování celkového řízení různých rizik.
je také důležité mít na paměti, že cílem procesu řízení rizik v kontextu širokého rámce není zcela eliminovat všechna rizika, ale určit přijatelnou úroveň rizika vzhledem k vašim cílům a poté pracovat na udržení těchto rizikových faktorů v dohodnutých hranicích. Níže uvedené kroky pomohou určit a použít konkrétní kroky k tomu.
Identifikujte rizika
prvním krokem je určení potenciálních rizik samotných. To vyžaduje určitý kontext: abychom zvážili, co by se mohlo pokazit, je třeba začít tím, co musí jít správně.
začněte proces s přehledem vašich cílů a cílů a různých zdrojů nebo aktiv, které jim umožňují. Odborníci na rizika často používají přístup shora dolů, zdola nahoru k přemýšlení o tom, co by mohlo těmto cílům bránit.
horní část bere v úvahu kritické programy, které by neměly být narušeny (jako jsou prodejní transakce v maloobchodě nebo výrobní procesy v továrně); poté uvádí podmínky, které by mohly tyto programy narušit.
pro část zdola nahoru lze uvažovat o různých známých zdrojích hrozeb (jako jsou zemětřesení, útoky ransomwaru nebo ekonomické poklesy) a přemýšlet o tom, jaký dopad by to mohlo mít na podnik.
protože riziko je z definice jakákoli nejistota, která ovlivňuje cíle, riziko je pouze riziko, pokud má dopad. Čím větší je riziko, tím vyšší je priorita. Analýza této priority nastane v dalším kroku, ale nejprve je třeba zvážit různé rizikové faktory, aby se vytvořil scénář, který lze měřit.
NIST Interagency Report (NISTIR) 8286A – „identifikace a odhad rizika kybernetické bezpečnosti pro řízení podnikových rizik (ERM)“ – poskytuje pokyny pro vývoj rizikových scénářů. Podle zprávy jsou k popisu negativního rizika nezbytné následující čtyři prvky (viz Obrázek 2):
- cenné aktivum nebo zdroj, který by byl ovlivněn;
- zdroj hrozivé akce, která by působila proti tomuto aktivu;
- již existující podmínka (nebo zranitelnost), která umožňuje tomuto zdroji hrozby jednat; a
- nějaký škodlivý dopad, ke kterému dochází ze zdroje hrozby využívajícího tuto zranitelnost.
s těmito stavebními kameny lze sestavit široký soubor rizikových scénářů, které mají být analyzovány, tříděny a ošetřeny. Popis rizika jako scénáře pomáhá při komunikaci rizikových podmínek a analýze pravděpodobnosti a dopadu rizika. To také usnadňuje zvážit, jak reagovat. Příkladem scénáře může být, “ výrobní závod je ovlivněn výpadkem proudu způsobeným tropickou bouří, přerušení provozu zařízení na několik dní.“
i když zpětný pohled není nikdy dokonalý, poskytuje užitečný pohled na to, jaké rizikové události se mohou v budoucnu vyskytnout. Zejména, může být užitečné přezkoumat titulky o rizicích, kterým podobné podniky čelí, podmínky, které jim umožnily, a jak rizika ovlivnila organizace.
kategorie rizik
při zvažování různých typů rizik může být užitečné je uspořádat do kategorií. Tato kategorizace umožňuje, aby každý typ rizika byl zvažován a sledován jednotlivci nebo týmy, které jsou obeznámeny s konkrétními tématy. Například Výbor sponzorských organizací Treadway Commission, společná iniciativa profesních organizací, která poskytuje pokyny pro řízení rizik, navrhl, že riziko může být organizováno do následujících čtyř oblastí:
- strategické riziko (např. pověst, vztahy se zákazníky, technické inovace);
- finanční a zpravodajské riziko (např. tržní, daňové, úvěrové);
- riziko dodržování předpisů a řízení (např. etika, regulace, mezinárodní obchod, soukromí); a
- operační riziko (např., bezpečnost a soukromí informací a technologií, dodavatelský řetězec, pracovní problémy, přírodní katastrofy).
kategorie rizik také pomáhají integrovat informace, jak manažeři komunikují, sledují a upravují reakci na rizika. Pro každou kategorii rizika zajistí úmyslný proces vypracování scénářů, aby byl seznam dostatečně úplný. K dispozici je mnoho nástrojů, které pomáhají vizualizovat a vyhodnocovat scénáře. Příklady zahrnují následující:
- struktury členění rizik pro projektová rizika (např., „Použijte strukturu rozdělení rizik (RBS) k pochopení vašich rizik“);
- stromy hrozeb pro riziko kybernetické bezpečnosti (např. metodika OCTAVE Allegro Carnegie Mellon); a
- Delphi cvičení pro zvážení investičního rizika.
poslední složkou tohoto prvního kroku, identifikace rizik, je zaznamenat nálezy do registru rizik. Registr rizik poskytuje prostředek pro komunikaci a sledování různých rizik během následujících kroků. Výše citovaná zpráva NISTIR 8286 poskytuje příklad takového registru spolu se vzorkem podrobností o riziku, ve kterém lze zaznamenat mnoho výsledků kroků procesu řízení rizik.
analyzujte pravděpodobnost a dopad rizika
jak je uvedeno výše, riziko je pouze riziko, pokud má dopad, takže druhým krokem procesu řízení rizik je analyzovat, jak je pravděpodobné, že dojde k riziku a že bude mít měřitelný dopad.
existuje celá věda pro analýzu rizik, ale v podstatě je tento krok výpočtem pravděpodobnosti výskytu rizikové události a odhadem dopadu následků, pokud k tomu dojde. I když je často okamžitý dopad, mohou existovat i další následné důsledky, takže je důležité zvážit každý z těchto faktorů ve výpočtech. Zvažte ztrátu notebooku obsahujícího zdravotní záznamy pacienta-dojde k okamžité ztrátě majetku, ale ztráta těchto informací o pacientovi by mohla vést k pokutám, soudním sporům a poškození pověsti, které daleko převyšují náklady na ztracené zařízení.
analýza rizik by měla zahrnovat časové faktory jako součást výpočtu. Systémy finančního výkaznictví jsou často považovány za kritické, ale během doby přípravy daní mohou být zvláště důležité jejich integrita a potřeby dostupnosti. Četnost rizikových událostí je dalším časovým faktorem, který je třeba zvážit.
mnoho organizací používá obecné nebo kvalitativní výrazy k vyjádření těchto hodnot. Například často používáme výrazy jako „vysoké riziko“ nebo „nízká pravděpodobnost“ pro komunikaci rizika, nebo možná používáme červeno-žluto-zelená barevná schémata. Organizace mohou těžit z vědeckého a specifického kvantitativního přístupu k analýze rizik. Například přístup faktorové analýzy informačního rizika (FAIR), který je založen na standardu OpenFAIR otevřené skupiny, lze použít k provádění podrobných výpočtů rizik, které mohou být užitečnější než barvy pro odhad.
existují desítky metod pro kvalitativní i kvantitativní analýzu rizik, z nichž mnohé jsou popsány v normě ISO/IEC (International Electrotechnical Commission) 31010, “ řízení rizik-techniky hodnocení rizik.“Tato publikace poukazuje na to, že tyto techniky“ se používají v rámci kroků hodnocení rizik při identifikaci, analýze a hodnocení rizik, jak je popsáno v ISO 31000, a obecněji, kdykoli je třeba porozumět nejistotě a jejím účinkům.“
upřednostněte na základě podnikových cílů
výsledky analýzy rizik umožňují třídění a hodnocení rizik na základě jejich důležitosti. Vzhledem k tomu, že zdroje budou pravděpodobně omezené, prioritizace pomáhá zvýraznit rizika, která budou nejpravděpodobnější a nejpůsobivější. Zohlednění těchto výsledků v mapě rizik pomáhá vizualizovat relativní význam každého rizika a může být také užitečné při sdílení pozorování rizik s dalšími zúčastněnými stranami-zejména těmi, kteří mohou poskytovat (nebo povolovat) zdroje k reakci na tato rizika.
zatímco počáteční stanovení priorit rizik může být založeno na kombinaci pravděpodobnosti a dopadu,konečné hodnocení může být ovlivněno faktory, které jsou pro tyto zúčastněné strany důležité. Pokud například vedení vyjádřilo, že důvěra zákazníků je pro podnik klíčovou hodnotou, pak by mohla být zdůrazněna rizika, která by mohla mít dopad na zákazníky.
léčte rizika nákladově efektivním způsobem
s prioritním seznamem rizik je dalším krokem vyhodnocení dostupných možností léčby těchto rizik a použití různých metod a kontrol k dosažení přijatelné úrovně rizika. K dispozici je několik možností, včetně následujících:
- pokud je riziko založené na chuti vedení k riziku již na přijatelné úrovni, není nutná žádná další léčba.
- pokud je možné sdílet část dopadu s jiným subjektem (např. externí poskytovatel služeb), pak může být část rizika převedena tímto způsobem.
- tam, kde lze použít praktické, různé řídící, technické a administrativní kontroly rizik, které pomohou snížit pravděpodobnost nebo dopad každého rizika na přijatelnou úroveň.
- pokud nelze použít žádnou z těchto metod reakce na riziko, musí se manažeři rizika vyhnout riziku tím, že odstraní činnosti nebo expozice, které by umožnily zvažovaný scénář.
je důležité mít jistotu, že použité metody jsou efektivní a nákladově efektivní. Tento přístup vysvětluje, proč by banka mohla použít 20centový řetězec k ochraně inkoustového pera a milionového trezoru k ochraně svých hotovostních rezerv. Zdroje potřebné k léčbě rizika by měly odpovídat chráněným aktivům.
monitorujte výsledky řízení rizik
i po každém z výše uvedených kroků je důležité sledovat a sledovat výsledky, aby se zajistilo, že rizika zůstanou v mezích stanovených vedoucími organizace. Rizikové podmínky se mohou rychle měnit, hodnoty aktiv mohou kolísat a preference zúčastněných stran se mohou měnit. Kritickou součástí monitorování je zajištění toho, aby manažeři a vedoucí představitelé byli informováni o pokroku směrem k rizikovým cílům a změnám, které by mohly mít organizační dopad. Cyklus je podobný cyklu PDSA (Plan-Do-Study-Act) popularizovanému Dr. W. Edwardsem Demingem, což umožňuje neustálé zlepšování procesu řízení rizik. Vzhledem k tomu, že různé týmy v celé organizaci podnikají kroky k identifikaci, analýze a reakci na riziko, výsledky informují a upřesňují další iteraci.
závěr
pomocí těchto kroků mohou organizace v rámci širšího rámce správy a řízení důsledně identifikovat rizika, která mohou mít škodlivý dopad, poté upřednostnit nákladově efektivní léčbu a sledovat výsledky, aby se udrželo neustálé zlepšování.