By: adminPosted on

mi a kockázatkezelési folyamat és miért szükséges?

a kockázat bármilyen bizonytalanságot jelent, amely javíthatja vagy csökkentheti a célok elérésének képességét. Ennek számos formája lehet, beleértve a projekteket, a pénzügyeket, a biztonságot és a magánélet védelmét, valamint a környezetet érintő kockázatokat. Mind a pozitív kockázatok (lehetőségek), mind a negatív kockázatok esetében szándékos megközelítésre van szükség a kockázat és a jutalom közötti egyensúly megértéséhez. Ez a cikk a szervezetére negatív hatást gyakorló kockázatok kezelésének folyamatára összpontosít; hasonló folyamatok vonatkoznak a kedvező bizonytalanság, azaz a pozitív kockázat kihasználásának meghatározására.

a közelmúlt története rávilágított arra, hogy a kockázati tényezők milyen hatással lehetnek a vállalkozások és az egyének működésére-és arra, hogy továbbra is képesek-e ezt megtenni. Az a képesség, hogy jobban navigáljon a kockázatnál, mint a versenytársak, minden bizonnyal hozzájárul a vállalkozás sikeréhez. Ennek elmulasztása katasztrófát okozhat, talán a felépülésen túl.

ezen okok miatt fontos a bevált és következetes kockázatkezelési eljárás alkalmazása. Ha szilárd alapokra épül a szervezet céljainak, célkitűzéseinek és belső/külső kontextusának megértésében, a kockázatkezelési folyamat segít a szervezet sikerének biztosításában.

mi a kockázatkezelési folyamat 5 lépése?

számos tudásanyag dokumentálta a kockázatkezelést,de talán a legismertebb a Nemzetközi Szabványügyi Szervezet vagy az ISO. Az ISO 31000 szabvány, a Risk management-Guidelines átfogó információkat tartalmaz a különböző kockázatok kommunikációjáról, kezeléséről és nyomon követéséről. A folyamat lényegében minden típusú entitás esetében azonos, és a következő öt lépést tartalmazza:

ez a cikk a

része mi a kockázatkezelés és miért fontos?

  • amely magában foglalja:
  • irányítás, kockázatkezelés és megfelelés (GRC)
  • kockázatkerülés
  • kockázati térkép (kockázati hőtérkép)

  1. azonosítsa a kockázatokat.
  2. elemezze mindegyik valószínűségét és hatását.
  3. a kockázat rangsorolása a vállalati célok alapján.
  4. kezelje (vagy reagáljon) a kockázati feltételekre.
  5. ellenőrizze az eredményeket, és szükség szerint állítsa be azokat.

bár ezek a lépések egyszerűek, minden vállalkozásnak egyedi tényezői vannak, amelyek befolyásolják a kockázatok kezelését és nyomon követését. E tényezők meghatározásához és alkalmazásához hasznos a kockázatkezelési keretrendszer alkalmazása a különböző kockázatok átfogó tervezésének, végrehajtásának és nyomon követésének átfogó megközelítésének részeként.

a kockázatkezelési folyamat öt lépése
1.ábra. A hatékony kockázatkezelési folyamat megköveteli ezt az öt lépést.

azt is fontos szem előtt tartani, hogy a kockázatkezelési folyamat célja egy széles keretrendszer összefüggésében nem az összes kockázat teljes kiküszöbölése, hanem az elfogadható kockázati szintek meghatározása, figyelembe véve a célokat, majd azon dolgozni, hogy ezeket a kockázati tényezőket a megállapodás szerinti határokon belül tartsák. Az alábbi lépések segítenek meghatározni és alkalmazni az ehhez szükséges konkrét intézkedéseket.

kockázatok azonosítása

az első lépés a potenciális kockázatok meghatározása. Ehhez némi kontextusra van szükség: annak mérlegeléséhez, hogy mi romolhat el, el kell kezdeni azzal, aminek jól kell mennie.

Kezdje a folyamatot a célok és a célok, valamint az azokat lehetővé tevő különféle erőforrások vagy eszközök áttekintésével. A kockázati szakemberek gyakran felülről lefelé, alulról felfelé irányuló megközelítést alkalmaznak arra, hogy elgondolkodjanak azon, mi akadályozhatja ezeket a célokat.

a felülről lefelé mutató rész a kritikus fontosságú programokat veszi figyelembe, amelyeket nem szabad károsítani (például kiskereskedelmi értékesítési tranzakciók vagy gyári gyártási folyamatok); ezután felsorolja azokat a feltételeket, amelyek ronthatják ezeket a programokat.

az alulról felfelé mutató résznél figyelembe vehetjük a különböző ismert fenyegetési forrásokat (például földrengések, ransomware támadások vagy gazdasági visszaesések), és elgondolkodhatunk azon, hogy ezek milyen hatással lehetnek a vállalkozásra.

mivel a kockázat definíció szerint minden olyan bizonytalanság, amely befolyásolja a célokat, a kockázat csak akkor kockázat, ha hatással van. Minél hatásosabb a kockázat, annál nagyobb a prioritás. Ennek a prioritásnak az elemzése a következő lépésben történik, de először figyelembe kell venni a különféle kockázati tényezőket, hogy mérhető forgatókönyvet hozzunk létre.

NIST ügynökségek közötti jelentés (NISTIR) 8286A — “a vállalati kockázatkezelés (ERM) kiberbiztonsági kockázatának azonosítása és becslése” — útmutatást nyújt a kockázati forgatókönyvek kidolgozásához. A jelentés szerint a negatív kockázat leírásához a következő négy elem szükséges (lásd az ábrát 2):

  1. értékes eszköz vagy erőforrás, amely hatással lenne;
  2. az adott eszköz ellen fellépő fenyegető művelet forrása;
  3. az adott fenyegetésforrás működését lehetővé tevő, már létező állapot (vagy biztonsági rés); és
  4. a biztonsági rést kihasználó fenyegetésforrás által okozott káros hatás.

ezekkel az építőelemekkel széles körű kockázati forgatókönyveket lehet összeállítani, amelyeket elemezni, válogatni és kezelni kell. A kockázat forgatókönyvként történő leírása segít a kockázati feltételek kommunikálásában és a kockázat valószínűségének és hatásának elemzésében. Azt is megkönnyíti, hogy fontolja meg, hogyan kell reagálni. Példa lehet erre: “a gyártóüzemet egy trópusi vihar okozta áramkimaradás érinti, amely több napig megzavarja az üzem működését.”

negatív kockázat attribútumai
2.ábra. A negatív kockázatot úgy definiálják, hogy rendelkezik ezzel a négy tulajdonsággal.

bár a visszatekintés soha nem tökéletes, hasznos betekintést nyújt abba, hogy milyen kockázati események fordulhatnak elő a jövőben. Különösen hasznos lehet áttekinteni a hasonló vállalkozások által tapasztalt kockázatokról szóló címsorokat, azokat a feltételeket, amelyek lehetővé tették őket, és hogy a kockázatok hogyan befolyásolták a szervezeteket.

kockázati kategóriák

a különböző típusú kockázatok mérlegelésekor hasznos lehet kategóriákba sorolni őket. Ez a kategorizálás lehetővé teszi, hogy az egyes kockázati típusokat figyelembe vegyék és nyomon kövessék az egyes témákat ismerő egyének vagy csapatok. Például a Treadway Bizottság támogató szervezeteinek Bizottsága, a szakmai szervezetek közös kezdeményezése, amely kockázatkezelési útmutatást nyújt, azt javasolta, hogy a kockázat a következő négy területre szervezhető:

  • stratégiai kockázat (pl. hírnév, ügyfélkapcsolatok, műszaki innováció);
  • pénzügyi és beszámolási kockázat (pl. piac, adó, hitel);
  • Megfelelőségi és irányítási kockázat (pl. etikai, szabályozási, nemzetközi kereskedelem, Adatvédelem); és
  • működési kockázat (pl., információs és technológiai biztonság és adatvédelem, ellátási lánc, munkaügyi kérdések, természeti katasztrófák).

a kockázati kategóriák szintén segítenek az információk integrálásában, mivel a vezetők kommunikálnak, nyomon követik és módosítják a kockázati választ. Minden kockázati kategória esetében a forgatókönyvek kidolgozásának szándékos folyamata biztosítja, hogy a lista kellően átfogó legyen. Számos eszköz áll rendelkezésre a forgatókönyvek megjelenítéséhez és értékeléséhez. Példák a következőkre:

  • a projektkockázatok kockázati bontási struktúrái (pl., “Használjon kockázati bontási struktúrát (RBS) a kockázatok megértéséhez”);
  • fenyegetési fák a kiberbiztonsági kockázatokhoz (például Carnegie Mellon OCTAVE Allegro módszertana); és
  • Delphi gyakorlatok a befektetési kockázat mérlegeléséhez.

ennek az első lépésnek, a kockázatazonosításnak az utolsó eleme a megállapítások rögzítése egy kockázati nyilvántartásban. A kockázati nyilvántartás a különböző kockázatok kommunikációját és nyomon követését teszi lehetővé a következő lépések során. A fent idézett NISTIR 8286 jelentés példát mutat egy ilyen nyilvántartásra, valamint egy minta kockázati részletezési sablonra, amelyben a kockázatkezelési folyamat lépéseinek számos eredményét rögzítik.

a kockázat valószínűségének és hatásának elemzése

amint fentebb megjegyeztük, a kockázat csak akkor kockázat, ha hatással van, ezért a kockázatkezelési folyamat második lépése annak elemzése, hogy mennyire valószínű, hogy egy kockázat bekövetkezik, és hogy mérhető hatása lesz.

a kockázatelemzésnek egy egész tudománya van, de lényegében ez a lépés egy kockázati esemény bekövetkezésének valószínűségének kiszámítása és a következmények hatásának becslése, ha ez megtörtént. Bár gyakran van azonnali hatás, lehetnek más későbbi következmények is, ezért fontos figyelembe venni ezeket a tényezőket a számításokban. Fontolja meg a beteg egészségügyi nyilvántartásait tartalmazó laptop elvesztését-azonnali vagyoni veszteség lesz, de a beteginformációk elvesztése bírságokat, pereket és jó hírnévkárokat eredményezhet, amelyek messze meghaladják az elveszett eszköz költségeit.

a kockázatelemzésnek a számítás részeként tartalmaznia kell az időbeli tényezőket. A pénzügyi beszámolási rendszereket gyakran kritikusnak tekintik, de az adóelőkészítés ideje alatt különösen fontosak lehetnek integritási és rendelkezésre állási igényeik. A kockázati események gyakorisága egy másik időalapú tényező, amelyet figyelembe kell venni.

sok szervezet általános vagy minőségi kifejezéseket használ ezen értékek kifejezésére. Például gyakran használunk olyan kifejezéseket, mint a “magas kockázat” vagy az “alacsony valószínűség” a kockázat kommunikálására, vagy esetleg vörös-sárga-zöld színsémákat használunk. A szervezetek számára előnyös lehet a kockázatelemzés tudományosabb és specifikusabb kvantitatív megközelítése. Például az információs kockázat Faktoranalízise (FAIR) megközelítés, amelyet az Open Group OpenFAIR szabványában példáztak, felhasználható részletes kockázati számítások elvégzésére, amelyek a becsléshez a színeknél hasznosabbak lehetnek.

több tucat módszer létezik mind a kvalitatív, mind a kvantitatív kockázatelemzés elvégzésére, amelyek közül sokat az ISO/IEC (Nemzetközi Elektrotechnikai Bizottság) 31010 szabványa, “kockázatkezelés-kockázatértékelési technikák.”Ez a kiadvány rámutat arra, hogy a technikákat “az ISO 31000 szabványban leírt kockázatok azonosításának, elemzésének és értékelésének kockázatértékelési lépésein belül alkalmazzák, és általánosabban, amikor szükség van a bizonytalanság és annak hatásainak megértésére.”

priorizálás a vállalati célok alapján

a kockázatelemzés eredményei lehetővé teszik a kockázatok fontosság alapján történő rendezését és rangsorolását. Mivel az erőforrások valószínűleg korlátozottak, a rangsorolás segít kiemelni azokat a kockázatokat, amelyek a legvalószínűbbek és a leghatékonyabbak lesznek. Ezeknek az eredményeknek a kockázati térképen való tükrözése segít vizualizálni az egyes kockázatok relatív fontosságát, és hasznos lehet a kockázati megfigyelések megosztásában más érdekelt felekkel-különösen azokkal, akik forrásokat biztosítanak (vagy engedélyeznek) a kockázatok kezelésére.

míg a kockázatok kezdeti rangsorolása a valószínűség és a hatás kombinációján alapulhat, a végső rangsorolást befolyásolhatják az érdekelt felek számára fontos tényezők. Például, ha a vezetés kifejezte, hogy az ügyfelek bizalma kulcsfontosságú érték a vállalkozás számára, akkor ki lehet emelni azokat a kockázatokat, amelyek befolyásolhatják az ügyfeleket.

a kockázatok költséghatékony kezelése

a kockázatok rangsorolt listájával a következő lépés az e kockázatok kezelésére rendelkezésre álló lehetőségek értékelése, valamint különböző módszerek és kontrollok alkalmazása az elfogadható kockázati szint elérése érdekében. Számos lehetőség áll rendelkezésre erre, beleértve a következőket:

  • ha a vezetés kockázati étvágyán alapuló kockázat már elfogadható szinten van, nincs szükség további kezelésre.
  • ha lehetséges megosztani a hatás egy részét egy másik entitással (pl., biztosítótársaság, külső szolgáltató), akkor a kockázat egy része ilyen módon átruházható.
  • ahol gyakorlati, különböző irányítási, technikai és adminisztratív kockázatellenőrzéseket lehet alkalmazni, amelyek elősegítik az egyes kockázatok valószínűségének vagy hatásának elfogadható szintre csökkentését.
  • ha ezen kockázatkezelési módszerek egyike sem alkalmazható, akkor a kockázatkezelőknek el kell kerülniük a kockázatot azáltal, hogy megszüntetik azokat a tevékenységeket vagy kitettségeket, amelyek lehetővé tennék a forgatókönyv megfontolását.

fontos meggyőződni arról, hogy az alkalmazott módszerek hatékonyak és költséghatékonyak. Ez a megközelítés megmagyarázza, miért használhat egy bank egy 20 centes láncot egy tintatoll védelmére, egy millió dolláros páncéltermet pedig készpénztartalékainak védelmére. A kockázat kezeléséhez szükséges erőforrásoknak arányosnak kell lenniük a védett eszközökkel.

Monitor kockázatkezelési eredmények

még a fenti lépések után is fontos az eredmények nyomon követése és nyomon követése annak biztosítása érdekében, hogy a kockázatok a szervezet vezetői által meghatározott határokon belül maradjanak. A kockázati feltételek gyorsan változhatnak, az eszközértékek ingadozhatnak, és az érdekelt felek preferenciái változhatnak. A nyomon követés kritikus része annak biztosítása, hogy a vezetők és a felső vezetők tájékoztatást kapjanak a kockázati célok és a szervezeti hatással járó változások felé vezető haladásról. A ciklus hasonló a Dr. W. Edwards Deming által népszerűsített PDSA (Plan-Do-Study-Act) ciklushoz, amely lehetővé teszi a kockázatkezelési folyamat folyamatos fejlesztését. Mivel a szervezet különböző csapatai intézkedéseket hoznak a kockázatok azonosítására, elemzésére és reagálására, az eredmények tájékoztatják és finomítják a következő iterációt.

következtetés

ezeknek a lépéseknek az alkalmazásával, az irányítás és a menedzsment tágabb keretrendszerének összefüggésében, a szervezetek következetesen azonosíthatják azokat a kockázatokat, amelyek valószínűleg káros hatással járnak, majd prioritásként kezelhetik a költséghatékony kezelést és figyelemmel kísérhetik az eredményeket a folyamatos javulás fenntartása érdekében.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.