mikä on riskienhallintaprosessi ja miksi se on tarpeen?

riskillä tarkoitetaan kaikenlaista epävarmuutta, joka voi parantaa tai heikentää kykyä saavuttaa tavoitteensa. Se voi olla monenlaista, kuten riskejä, jotka vaikuttavat hankkeisiin, talouteen, turvallisuuteen ja yksityisyyteen sekä ympäristöön. Sekä positiivisille riskeille (mahdollisuuksille) että negatiivisille, tarvitset tarkoituksellisen lähestymistavan ymmärtääksesi riskin ja palkitsemisen välisen tasapainon. Tässä artikkelissa keskitytään sellaisten riskien hallintaan, joilla voi olla kielteinen vaikutus organisaatioosi; samanlaisia prosesseja sovelletaan määritettäessä, miten hyötyä epävarmuudesta, ts.positiivisesta riskistä, voidaan hyödyntää.

lähihistoria on korostanut, miten riskitekijät voivat vaikuttaa yritysten ja yksilöiden toimintaan — ja siihen, voivatko ne jatkaa toimintaansa. Yrityksen menestymiseen vaikuttaa varmasti se, että se osaa suunnistaa riskejä paremmin kuin kilpailijat. Jos näin ei tehdä, seurauksena voi olla katastrofi, kenties toipumiskelvoton.

näistä syistä on tärkeää soveltaa hyväksi havaittua ja johdonmukaista riskienhallintaprosessia. Kun taustalla on vankka perusta organisaation tavoitteiden, tavoitteiden ja sisäisen/ulkoisen kontekstin ymmärtämiselle, riskienhallintaprosessi auttaa varmistamaan organisaatiosi menestyksen.

mitkä ovat riskienhallintaprosessin 5 vaihetta?

monet tahot ovat dokumentoineet riskienhallinnan, mutta ehkä tunnetuin on kansainvälisen standardointijärjestön eli ISO: n. ISO 31000-standardi, Risk management — Guidelines, sisältää runsaasti tietoa siitä, miten erilaisista riskeistä voidaan viestiä, hallita ja seurata. Prosessi on olennaisilta osiltaan sama minkä tahansa tyyppiselle kokonaisuudelle, ja se koostuu seuraavista viidestä vaiheesta:

tämä artikkeli on osa

mitä riskienhallinta on ja miksi se on tärkeää?

  • joka sisältää myös:
  • hallinto, riskienhallinta ja vaatimustenmukaisuus (GRC)
  • riskien välttäminen
  • riskikartta (risk heat map)

  1. tunnista riskit.
  2. analysoi kunkin todennäköisyys ja vaikutus.
  3. priorisoi riski yrityksen tavoitteiden perusteella.
  4. hoitaa (tai hoitaa) riskitiloja.
  5. Seuraa tuloksia ja säädä niitä tarpeen mukaan.

vaikka nämä vaiheet ovat yksinkertaisia, jokaisella yrityksellä on ainutlaatuisia tekijöitä, jotka vaikuttavat siihen, miten sen tulisi hallita ja valvoa riskejä. Näiden tekijöiden määrittämiseksi ja soveltamiseksi on hyödyllistä soveltaa riskienhallintapuitteita osana kokonaisvaltaista lähestymistapaa eri riskien kokonaishallinnan suunnitteluun, toteuttamiseen ja seurantaan.

riskienhallintaprosessin viisi vaihetta
Kuva 1. Tehokas riskienhallintaprosessi edellyttää näitä viittä vaihetta.

on myös tärkeää pitää mielessä, että laajassa viitekehyksessä riskienhallintaprosessin tavoitteena ei ole poistaa kaikkia riskejä kokonaan, vaan määrittää hyväksyttävä riskitaso ottaen huomioon tavoitteesi ja pyrkiä sitten pitämään riskitekijät sovituissa rajoissa. Seuraavat vaiheet auttavat määrittämään ja soveltamaan erityisiä toimia niin.

tunnista riskit

ensimmäinen vaihe on määrittää mahdolliset riskit itse. Se vaatii jonkin asiayhteyden: miettiäkseen, mikä voisi mennä pieleen, on aloitettava siitä, minkä täytyy mennä oikein.

aloita prosessi tarkastelemalla tavoitteitasi ja tavoitteitasi sekä niitä mahdollistavia erilaisia resursseja tai voimavaroja. Riskinharjoittajat soveltavat usein ylhäältä alas-ja alhaalta ylös-lähestymistapaa miettiessään, mikä voisi estää näitä tavoitteita.

ylhäältä alas-osassa käsitellään toimintakriittisiä ohjelmia, joiden ei pitäisi heikentyä (kuten myyntitapahtumat vähittäiskaupassa tai valmistusprosessit tehtaassa); siinä luetellaan ehdot, jotka saattavat heikentää näitä ohjelmia.

alhaalta ylös-osassa voidaan tarkastella erilaisia tunnettuja uhkalähteitä (kuten maanjäristyksiä, kiristyshaittaohjelmien hyökkäyksiä tai talouden laskusuhdanteita) ja pohtia, mitä vaikutuksia niillä voisi olla yritykseen.

koska riski on määritelmällisesti mikä tahansa tavoitteisiin vaikuttava epävarmuus, riski on riski vain, jos sillä on vaikutusta. Mitä suurempi vaikutus riskillä on, sitä korkeampi prioriteetti. Tämän prioriteetin analysointi tapahtuu seuraavassa vaiheessa, mutta ensin on tarkasteltava erilaisia riskitekijöitä, jotta voidaan luoda skenaario, jota voidaan mitata.

NIST Interagency Report (NISTIR) 8286A — ”Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM)” — guidance on developing risk scenaries. Raportin mukaan negatiivisen riskin kuvaamiseen tarvitaan seuraavat neljä tekijää (KS. kuva 2):

  1. arvokas voimavara tai resurssi, joka vaikuttaisi;
  2. uhkaavan toiminnan lähde, joka vaikuttaisi kyseiseen omaisuuserään;
  3. olemassa oleva ehto (tai haavoittuvuus), joka mahdollistaa kyseisen uhkalähteen toiminnan; ja
  4. jokin haitallinen vaikutus, joka aiheutuu uhkalähteestä, joka käyttää hyväkseen tätä haavoittuvuutta.

näiden rakennuspalikoiden avulla voidaan laatia laaja riskiskenaarioiden kokonaisuus analysoitavaksi, lajiteltavaksi ja käsiteltäväksi. Riskin kuvaaminen skenaariona auttaa viestimään riskiolosuhteista ja analysoimaan riskin todennäköisyyttä ja vaikutusta. Se helpottaa myös miettimään, miten vastataan. Esimerkkinä voisi olla: ”tuotantolaitos kärsii sähkökatkosta, joka johtuu trooppisesta myrskystä ja häiritsee tehtaan toimintaa useita päiviä.”

negatiivisen riskin attribuutit
kuva 2. Negatiivinen riski määritellään siten, että sillä on nämä neljä ominaisuutta.

vaikka jälkiviisaus ei ole koskaan täydellinen, se antaa hyödyllistä tietoa siitä, mitä riskejä tulevaisuudessa voi tapahtua. Erityisesti voi olla hyödyllistä tarkastella otsikoita riskeistä, joita samankaltaiset yritykset ovat kohdanneet, olosuhteista, jotka mahdollistivat ne ja miten riskit vaikuttivat organisaatioihin.

riskiluokat

erityyppisiä riskejä tarkasteltaessa voi olla hyödyllistä järjestää ne luokkiin. Tämän luokittelun avulla yksittäiset henkilöt tai ryhmät, jotka tuntevat tiettyjä aiheita, voivat tarkastella ja seurata kutakin riskityyppiä. Esimerkiksi Committee of Sponsoring Organizations of the Treadway Commission, ammattijärjestöjen yhteinen aloite, joka antaa riskienhallinnan ohjausta, on ehdottanut, että riski voidaan järjestää seuraaviin neljään alueeseen:

  • strateginen riski (esim. Maine, asiakassuhteet, tekninen innovaatio);
  • Rahoitus-ja raportointiriski (esim. markkina -, vero -, luotto -);
  • Vaatimustenmukaisuus-ja hallintoriski (esim. etiikka, sääntely, kansainvälinen kauppa, Yksityisyys); ja
  • operatiivinen riski (esim., tieto-ja teknologiaturvallisuus ja yksityisyys, toimitusketju, työvoimakysymykset, luonnonkatastrofit).

riskiluokat auttavat myös tiedon integroimisessa, kun johtajat viestivät, seuraavat ja säätelevät riskivastetta. Kunkin riskiluokan osalta skenaarioiden tarkoituksellinen kehittämisprosessi varmistaa, että luettelo on riittävän kattava. Skenaarioiden visualisointiin ja arviointiin on saatavilla monia työkaluja. Esimerkkejä ovat muun muassa seuraavat:

  • riskinjakorakenteet hankkeen riskejä varten (esim., ”Use a risk breakdown structure (RBS) to understand your risks”);
  • threat trees for cybersecurity risk (esim.Carnegie Mellon ’ s OCTAVE Allegro methodology); ja
  • Delphi exercises for considering investment risk.

tämän ensimmäisen vaiheen viimeinen osa, riskien tunnistaminen, on kirjata havainnot riskirekisteriin. Riskirekisteri tarjoaa keinon viestiä ja seurata eri riskejä kaikissa myöhemmissä vaiheissa. Edellä mainittu NISTIR 8286-raportti tarjoaa esimerkin tällaisesta rekisteristä sekä otosriskiä koskevan mallin, johon voidaan tallentaa monet riskienhallintaprosessin vaiheiden tulokset.

analysoi riskin todennäköisyys ja vaikutus

kuten edellä todettiin, riski on riski vain, jos sillä on vaikutusta, joten riskienhallintaprosessin toinen vaihe on analysoida, kuinka todennäköistä on, että riski esiintyy ja että sillä on mitattavissa oleva vaikutus.

riskianalyysiin liittyy kokonainen tiede, mutta pohjimmiltaan tämä vaihe on riskitapahtuman todennäköisyyden laskeminen ja seurausten vaikutusten arviointi, jos näin tapahtuisi. Vaikka vaikutus on usein välitön, voi olla myös muita myöhempiä seurauksia, joten on tärkeää ottaa huomioon jokainen näistä tekijöistä laskelmissa. Potilastietoja sisältävän kannettavan menetys – aiheuttaa välittömän omaisuuden menetyksen, mutta potilastietojen menettäminen voi johtaa sakkoihin, oikeusjuttuihin ja mainevahinkoihin, jotka ylittävät laitteen hinnan.

riskianalyysiin tulisi sisällyttää aikatekijät osana laskentaa. Taloudellisen raportoinnin järjestelmiä pidetään usein kriittisinä, mutta verotuksen valmisteluvaiheessa niiden eheys-ja saatavuustarpeet saattavat olla erityisen tärkeitä. Riskitapahtumien yleisyys on toinen aikaan perustuva tekijä, joka on otettava huomioon.

monet organisaatiot käyttävät yleisiä tai laadullisia termejä ilmaistakseen näitä arvoja. Esimerkiksi käytämme usein termejä kuten ”suuri riski” tai ”pieni todennäköisyys” viestiessämme riskeistä, tai ehkä käytämme puna-kelta-vihreitä värimalleja. Organisaatiot voivat hyötyä tieteellisemmästä ja määrällisemmästä lähestymistavasta riskianalyysiin. Esimerkiksi avoimen ryhmän OpenFAIR-standardissa esitettyä Informaatioriskin Faktorianalyysiä (FAIR) voidaan käyttää yksityiskohtaisten riskilaskelmien tekemiseen, joista voi olla enemmän hyötyä kuin väreistä estimoinnissa.

sekä kvalitatiiviseen että kvantitatiiviseen riskianalyysiin on kymmeniä menetelmiä, joista monet on kuvattu ISO / IEC: n (International Electrotechnical Commission) standardissa 31010, ”Risk management — Risk assessment techniques.”Kyseisessä julkaisussa todetaan, että tekniikoita ”käytetään RISKINARVIOINTIVAIHEISSA, joissa tunnistetaan, analysoidaan ja arvioidaan riskejä ISO 31000-standardin mukaisesti, ja yleisemmin aina, kun on tarpeen ymmärtää epävarmuutta ja sen vaikutuksia.”

priorisoi yritystavoitteiden perusteella

riskianalyysin tulokset mahdollistavat riskien lajittelun ja luokittelun niiden tärkeyden perusteella. Koska resurssit ovat todennäköisesti rajalliset, priorisointi auttaa korostamaan niitä riskejä, jotka ovat todennäköisimpiä ja vaikuttavimpia. Näiden tulosten heijastaminen riskikarttaan auttaa hahmottamaan kunkin riskin suhteellisen merkityksen ja voi myös auttaa jakamaan riskihavaintoja muiden sidosryhmien kanssa-erityisesti niiden, jotka saattavat tarjota (tai valtuuttaa) resursseja vastata näihin riskeihin.

vaikka riskien alustava priorisointi voi perustua todennäköisyyden ja vaikutusten yhdistelmään, lopulliseen paremmuusjärjestykseen saattavat vaikuttaa kyseisille sidosryhmille tärkeät tekijät. Jos esim. johtaminen on ilmaissut, että asiakkaiden luottamus on yrityksen kannalta keskeinen arvo, silloin voidaan korostaa asiakkaisiin mahdollisesti vaikuttavia riskejä.

käsittele riskejä kustannustehokkaasti

priorisoidun riskiluettelon avulla seuraava vaihe on arvioida käytettävissä olevat vaihtoehdot riskien hoitamiseksi ja soveltaa erilaisia menetelmiä ja kontrolleja hyväksyttävälle riskitasolle pääsemiseksi. On olemassa useita vaihtoehtoja tehdä niin, mukaan lukien seuraavat:

  • jos johtajuuden riskinottohalukkuuteen perustuva riski on jo hyväksyttävällä tasolla, jatkohoitoa ei tarvita.
  • jos on mahdollista jakaa osa vaikutuksesta toisen tahon kanssa (esim., vakuutusyhtiö, ulkopuolinen palveluntarjoaja), niin osa riskistä voidaan siirtää sillä tavalla.
  • käytännön mukaan voidaan soveltaa erilaisia hallinnollisia, teknisiä ja hallinnollisia riskien tarkastuksia, joiden avulla kunkin riskin todennäköisyys tai vaikutus voidaan vähentää hyväksyttävälle tasolle.
  • jos mitään näistä riskinhallintamenetelmistä ei voida soveltaa, riskinhallinnasta vastaavien on vältettävä riski eliminoimalla toiminnot tai vastuut, jotka mahdollistaisivat tarkasteltavan skenaarion.

on tärkeää varmistaa, että käytetyt menetelmät ovat sekä tehokkaita että kustannustehokkaita. Tämä lähestymistapa selittää, miksi pankki saattaa käyttää 20 sentin ketjua mustekynän suojaamiseen ja miljoonan dollarin holvia kassavarantojensa suojaamiseen. Riskin hoitoon tarvittavien resurssien olisi oltava oikeassa suhteessa suojattavaan omaisuuteen.

seuraa riskienhallinnan tuloksia

jokaisen edellä mainitun vaiheen jälkeenkin on tärkeää, että tuloksia seurataan ja seurataan, jotta riskit pysyvät organisaation johtajien asettamissa rajoissa. Riskiolosuhteet voivat muuttua nopeasti, omaisuusarvot voivat vaihdella ja sidosryhmien mieltymykset voivat muuttua. Kriittinen osa seurantaa on varmistaa, että johtajat ja ylemmät johtajat ovat tietoisia edistymisestä kohti riskitavoitteita ja muutoksia, joilla voi olla organisatorisia vaikutuksia. Sykli on samanlainen kuin tohtori W. Edwards Demingin popularisoima PDSA (Plan-Do-Study-Act) – sykli, joka mahdollistaa riskienhallintaprosessin jatkuvan parantamisen. Kun eri joukkueet koko organisaatiossa ryhtyvät toimiin tunnistaakseen, analysoidakseen ja reagoidakseen riskiin, tulokset informoivat ja tarkentavat seuraavaa iteraatiota.

johtopäätös

näitä vaiheita soveltamalla organisaatiot voivat laajemmassa hallinto-ja johtamiskehyksessä johdonmukaisesti tunnistaa riskit, joilla on todennäköisesti haitallinen vaikutus, priorisoida kustannustehokkaan hoidon ja seurata tuloksia jatkuvan parantamisen ylläpitämiseksi.

Vastaa

Sähköpostiosoitettasi ei julkaista.