Hvad er en risikostyringsproces, og hvorfor er det nødvendigt?
risiko repræsenterer enhver form for usikkerhed, der kan forbedre eller reducere evnen til at nå dine mål. Det kan antage mange former, herunder risici, der påvirker projekter, økonomi, sikkerhed og privatliv og miljøet. For både positive risici (muligheder) eller negative, har du brug for en forsætlig tilgang til at forstå balancen mellem risiko og belønning. Denne artikel fokuserer på processen til styring af risici, der kan have en negativ indvirkning på din organisation; lignende processer gælder for at bestemme, hvordan man udnytter gavnlig usikkerhed, dvs.positiv risiko.
nyere historie har fremhævet den indflydelse, som risikofaktorer kan have på, hvordan virksomheder og enkeltpersoner opererer-og om de kan fortsætte med at gøre det. Evnen til at navigere risiko bedre end konkurrenter vil helt sikkert bidrage til virksomhedens succes. Undladelse af at gøre det kunne stave katastrofe, måske ud over opsving.
af disse grunde er det vigtigt at anvende en gennemprøvet og konsekvent risikostyringsproces. Når det bygger på et solidt fundament for at forstå organisationens mål, målsætninger og interne/eksterne kontekst, vil en risikostyringsproces hjælpe med at sikre din organisations succes.
hvad er de 5 trin i risikostyringsprocessen?
mange videnorganer har dokumenteret risikostyring, men måske er den mest kendte den fra Den Internationale Organisation for standardisering eller ISO. ISO 31000-standarden, risk management — Guidelines, indeholder omfattende information om, hvordan man kommunikerer om, styrer og overvåger forskellige risici. Processen er stort set den samme for enhver type enhed og omfatter følgende fem trin:
denne artikel er en del af
hvad er risikostyring, og hvorfor er det vigtigt?
- som også inkluderer:
- styring, risikostyring og overholdelse (GRC)
- risikoundgåelse
- risikokort (risikovarmekort)
- Identificer risiciene.
- analyser sandsynligheden og virkningen af hver.
- Prioriter risiko baseret på virksomhedens mål.
- behandle (eller reagere på) risikoforholdene.
- Overvåg resultaterne, og brug dem til at justere efter behov.
selvom disse trin er enkle, har hver virksomhed unikke faktorer, der påvirker, hvordan den skal styre og overvåge risiko. For at fastlægge og anvende disse faktorer er det nyttigt at anvende en risikostyringsramme som led i en omfattende tilgang til planlægning, udførelse og sporing af den overordnede styring af de forskellige risici.
det er også vigtigt at huske på, at målet med risikostyringsprocessen i sammenhæng med en bred ramme ikke er at eliminere al risiko fuldstændigt, men at bestemme acceptable risikoniveauer i betragtning af dine mål og derefter arbejde for at holde disse risikofaktorer inden for aftalte grænser. Nedenstående trin hjælper med at bestemme og anvende specifikke handlinger for at gøre det.
Identificer risici
det første skridt er at bestemme de potentielle risici selv. Det kræver en vis sammenhæng: at overveje, hvad der kan gå galt, man skal begynde med, hvad der skal gå rigtigt.
start processen med en gennemgang af dine mål og målsætninger og de forskellige ressourcer eller aktiver, der aktiverer dem. Risikopraktikere anvender ofte en top-ned, bottom-up tilgang til at tænke over, hvad der kan hindre disse mål.
den øverste del betragter missionskritiske programmer, der ikke bør forringes (som salgstransaktioner i en detailbutik eller fremstillingsprocesser på en fabrik); det viser derefter de forhold, der kan forringe disse programmer.
for bottom-up-delen kan man overveje forskellige kendte trusselkilder (som jordskælv, løsevareangreb eller økonomiske afmatninger) og overveje, hvilken indvirkning de kan have på virksomheden.
da risiko pr.definition er enhver usikkerhed, der påvirker mål, er en risiko kun en risiko, hvis den har indflydelse. Jo mere virkningsfuld en risiko er, jo højere prioritet. Analysen af denne prioritet vil ske i næste trin, men først skal man overveje de forskellige risikofaktorer for at skabe et scenario, der kan måles.
NIST Interagency Report (NISTIR) 8286A — “identificering og estimering af Cybersikkerhedsrisiko for Enterprise Risk Management (ERM)” — giver vejledning om udvikling af risikoscenarier. Ifølge rapporten er følgende fire elementer nødvendige for at være til stede for at beskrive en negativ risiko (se figur 2):
- et værdifuldt aktiv eller ressource, der ville blive påvirket;
- en kilde til en truende handling, der ville handle mod dette aktiv;
- en allerede eksisterende tilstand (eller sårbarhed), der gør det muligt for denne trusselkilde at handle; og
- nogle skadelige virkninger, der opstår fra trusselkilden, der udnytter denne sårbarhed.
med disse byggesten kan man sammensætte et bredt sæt risikoscenarier, der skal analyseres, sorteres og behandles. At beskrive risikoen som et scenario hjælper med at kommunikere risikoforholdene og analysere sandsynligheden og virkningen af risikoen. Det gør det også lettere at overveje, hvordan man reagerer. Et eksempel scenario kan være, ” produktionsanlægget er påvirket af en strømafbrydelse som følge af en tropisk storm, forstyrre anlæggets drift i flere dage.”
mens bakspejlet aldrig er perfekt, giver det nyttig indsigt i, hvilke risikohændelser der kan opstå i fremtiden. Det kan især være nyttigt at gennemgå overskrifter om risici, som lignende virksomheder har haft, de forhold, der muliggjorde dem, og hvordan risiciene påvirkede organisationerne.
risikokategorier
ved overvejelse af forskellige typer risici kan det være nyttigt at organisere dem i kategorier. Denne kategorisering gør det muligt at overveje og spore hver type risiko af enkeltpersoner eller teams, der er fortrolige med bestemte emner. For eksempel har Udvalget for sponsororganisationer i Løbebanekommissionen, et fælles initiativ fra faglige organisationer, der giver risikostyringsvejledning, foreslået, at risiko kan organiseres i følgende fire områder:
- strategisk risiko (f. eks. omdømme, kunderelationer, teknisk innovation);
- finansiel og rapporterende risiko (f. eks. marked, skat, kredit);
- compliance and governance risk (f. eks. etik, lovgivningsmæssig, international handel, privatlivets fred); og
- operationel risiko (f. eks. information og teknologi sikkerhed og privatliv, forsyningskæde, arbejdsspørgsmål, naturkatastrofer).
kategorier af risici hjælper også med at integrere information, når ledere kommunikerer om, sporer og justerer risikorespons. For hver risikokategori vil en forsætlig proces til udvikling af scenarierne sikre, at listen er tilstrækkelig omfattende. Mange værktøjer er tilgængelige for at hjælpe med at visualisere og evaluere scenarierne. Eksempler inkluderer følgende:
- risikoopdelingsstrukturer for projektrisici (f. eks., “Brug en risikoopdelingsstruktur (RBS) til at forstå dine risici”);
- trusseltræer for cybersikkerhedsrisiko (f.eks. Carnegie Mellons OCTAVE Allegro-metode); og
- Delphi-øvelser til overvejelse af investeringsrisiko.
den sidste komponent i dette første trin, risikoidentifikation, er at registrere resultaterne i et risikoregister. Risikoregistret giver et middel til at kommunikere og spore de forskellige risici gennem efterfølgende trin. Nistir 8286-rapporten, der er citeret ovenfor, giver et eksempel på et sådant register sammen med en model for risikodetaljer, hvor mange af resultaterne af risikostyringsprocessen kan registreres.
analyser risiko sandsynlighed og påvirkning
som nævnt ovenfor er en risiko kun en risiko, hvis den har indflydelse, så det andet trin i risikostyringsprocessen er at analysere, hvor sandsynligt det er, at en risiko vil opstå, og at den vil have en målbar indvirkning.
der er en hel videnskab til risikoanalyse, men i det væsentlige er dette trin en beregning af sandsynligheden for, at en risikohændelse opstår, og en vurdering af konsekvenserne af konsekvenserne, hvis det skete. Selvom der ofte er en øjeblikkelig indvirkning, kan der også være andre efterfølgende konsekvenser, så det er vigtigt at overveje hver af disse faktorer i beregningerne. Overvej tabet af en bærbar computer, der indeholder patientjournaler-der vil være et øjeblikkeligt tab af ejendom, men tabet af denne patientinformation kan resultere i bøder, retssager og omdømmeskader, der langt overstiger omkostningerne ved den mistede enhed.
risikoanalyse bør omfatte tidsfaktorer som en del af beregningen. Finansielle rapporteringssystemer betragtes ofte som kritiske, men i løbet af skatteforberedelsestiden kan deres integritet og tilgængelighedsbehov være særlig vigtige. Hyppigheden af risikohændelser er en anden tidsbaseret faktor at overveje.
mange organisationer bruger generelle eller kvalitative udtryk til at udtrykke disse værdier. For eksempel bruger vi ofte udtryk som “høj risiko” eller “lav sandsynlighed” for at kommunikere risiko eller måske bruge rød-gul-grønne farveskemaer. Organisationer kan drage fordel af en mere videnskabelig og specifik kvantitativ tilgang til risikoanalyse. For eksempel kan faktoranalysen af informationsrisiko (FAIR) tilgang, instantieret i Open Groups openfair-standard, bruges til at udføre detaljerede risikoberegninger, der kan være mere nyttige end farver til estimering.
der er snesevis af metoder til at udføre både kvalitativ og kvantitativ risikoanalyse, hvoraf mange er beskrevet i ISO/IEC (International Electrotechnical Commission) standard 31010, “risikostyring-risikovurderingsteknikker.”Denne publikation påpeger, at teknikkerne “bruges inden for risikovurderingstrinnene til at identificere, analysere og evaluere risiko som beskrevet i ISO 31000, og mere generelt, når der er behov for at forstå usikkerhed og dens virkninger.”
Prioriter baseret på virksomhedsmål
resultaterne af risikoanalyse gør det muligt at sortere og rangordne risiciene ud fra deres betydning. Da ressourcer sandsynligvis vil være begrænsede, hjælper prioritering med at fremhæve de risici, der vil være mest sandsynlige og mest effektive. At reflektere disse resultater i et risikokort hjælper med at visualisere den relative betydning af hver risiko og kan også være nyttigt at dele risikoobservationer med andre interessenter-især dem, der muligvis leverer (eller godkender) ressourcer til at reagere på disse risici.
mens den indledende prioritering af risici kan være baseret på kombinationen af sandsynlighed og effekt, kan den endelige rangering påvirkes af faktorer, der er vigtige for disse interessenter. Hvis ledelse f.eks. har udtrykt, at kundernes tillid er en nøgleværdi for virksomheden, kan risici, der kan påvirke kunderne, fremhæves.
behandle risici på en omkostningseffektiv måde
med en prioriteret liste over risici på plads er det næste trin at evaluere de tilgængelige muligheder for at behandle disse risici og anvende forskellige metoder og kontroller for at opnå et acceptabelt risikoniveau. Der er flere muligheder til rådighed, herunder følgende:
- hvis risikoen, baseret på ledelsens risikoappetit, allerede er på et acceptabelt niveau, er der ikke behov for yderligere behandling.
- hvis det er muligt at dele en del af virkningen med en anden enhed (f. eks., et forsikringsselskab, en ekstern tjenesteudbyder), så kan en del af risikoen overføres på den måde.
- hvor det er praktisk muligt, kan der anvendes forskellige styrings -, tekniske og administrative risikokontroller, som vil bidrage til at reducere sandsynligheden eller virkningen af hver risiko til et acceptabelt niveau.
- hvis ingen af disse risikoresponsningsmetoder kan anvendes, skal risikostyrere undgå risikoen ved at eliminere de aktiviteter eller eksponeringer, der gør det muligt at overveje scenariet.
det er vigtigt at være sikker på, at de anvendte metoder er både effektive og omkostningseffektive. Denne tilgang forklarer, hvorfor en bank kan bruge en 20-cent kæde til at beskytte en blækpen og en million dollar hvælving for at beskytte sine kontante reserver. De ressourcer, der er nødvendige for at behandle risikoen, bør stå i et rimeligt forhold til de aktiver, der beskyttes.
Overvåg risikostyringsresultater
selv efter hvert af ovenstående trin er det vigtigt, at resultaterne spores og overvåges for at sikre, at risici forbliver inden for de grænser, der er fastlagt af organisationens ledere. Risikoforhold kan ændre sig hurtigt, aktivværdier kan svinge, og interessentpræferencer kan ændre sig. En kritisk del af overvågningen er at sikre, at ledere og seniorledere informeres om fremskridt hen imod risikomål og ændringer, der kan have organisatorisk indflydelse. Denne cyklus ligner PDSA (Plan-Do-Study-Act) cyklus populariseret af Dr. Da forskellige teams i hele organisationen træffer foranstaltninger for at identificere, analysere og reagere på risiko, informerer og forbedrer resultaterne Den næste iteration.
konklusion
gennem anvendelse af disse trin kan organisationer i sammenhæng med en bredere ramme for styring og ledelse konsekvent identificere de risici, der sandsynligvis vil have en skadelig indvirkning, derefter prioritere omkostningseffektiv behandling og overvåge resultaterne for at opretholde løbende forbedringer.