mi a kockázatkezelési folyamat és miért szükséges?
a kockázat bármilyen bizonytalanságot jelent, amely javíthatja vagy csökkentheti a célok elérésének képességét. Ennek számos formája lehet, beleértve a projekteket, a pénzügyeket, a biztonságot és a magánélet védelmét, valamint a környezetet érintő kockázatokat. Mind a pozitív kockázatok (lehetőségek), mind a negatív kockázatok esetében szándékos megközelítésre van szükség a kockázat és a jutalom közötti egyensúly megértéséhez. Ez a cikk a szervezetére negatív hatást gyakorló kockázatok kezelésének folyamatára összpontosít; hasonló folyamatok vonatkoznak a kedvező bizonytalanság, azaz a pozitív kockázat kihasználásának meghatározására.
a közelmúlt története rávilágított arra, hogy a kockázati tényezők milyen hatással lehetnek a vállalkozások és az egyének működésére-és arra, hogy továbbra is képesek-e ezt megtenni. Az a képesség, hogy jobban navigáljon a kockázatnál, mint a versenytársak, minden bizonnyal hozzájárul a vállalkozás sikeréhez. Ennek elmulasztása katasztrófát okozhat, talán a felépülésen túl.
ezen okok miatt fontos a bevált és következetes kockázatkezelési eljárás alkalmazása. Ha szilárd alapokra épül a szervezet céljainak, célkitűzéseinek és belső/külső kontextusának megértésében, a kockázatkezelési folyamat segít a szervezet sikerének biztosításában.
mi a kockázatkezelési folyamat 5 lépése?
számos tudásanyag dokumentálta a kockázatkezelést,de talán a legismertebb a Nemzetközi Szabványügyi Szervezet vagy az ISO. Az ISO 31000 szabvány, a Risk management-Guidelines átfogó információkat tartalmaz a különböző kockázatok kommunikációjáról, kezeléséről és nyomon követéséről. A folyamat lényegében minden típusú entitás esetében azonos, és a következő öt lépést tartalmazza:
ez a cikk a
része mi a kockázatkezelés és miért fontos?
- amely magában foglalja:
- irányítás, kockázatkezelés és megfelelés (GRC)
- kockázatkerülés
- kockázati térkép (kockázati hőtérkép)
- azonosítsa a kockázatokat.
- elemezze mindegyik valószínűségét és hatását.
- a kockázat rangsorolása a vállalati célok alapján.
- kezelje (vagy reagáljon) a kockázati feltételekre.
- ellenőrizze az eredményeket, és szükség szerint állítsa be azokat.
bár ezek a lépések egyszerűek, minden vállalkozásnak egyedi tényezői vannak, amelyek befolyásolják a kockázatok kezelését és nyomon követését. E tényezők meghatározásához és alkalmazásához hasznos a kockázatkezelési keretrendszer alkalmazása a különböző kockázatok átfogó tervezésének, végrehajtásának és nyomon követésének átfogó megközelítésének részeként.
azt is fontos szem előtt tartani, hogy a kockázatkezelési folyamat célja egy széles keretrendszer összefüggésében nem az összes kockázat teljes kiküszöbölése, hanem az elfogadható kockázati szintek meghatározása, figyelembe véve a célokat, majd azon dolgozni, hogy ezeket a kockázati tényezőket a megállapodás szerinti határokon belül tartsák. Az alábbi lépések segítenek meghatározni és alkalmazni az ehhez szükséges konkrét intézkedéseket.
kockázatok azonosítása
az első lépés a potenciális kockázatok meghatározása. Ehhez némi kontextusra van szükség: annak mérlegeléséhez, hogy mi romolhat el, el kell kezdeni azzal, aminek jól kell mennie.
Kezdje a folyamatot a célok és a célok, valamint az azokat lehetővé tevő különféle erőforrások vagy eszközök áttekintésével. A kockázati szakemberek gyakran felülről lefelé, alulról felfelé irányuló megközelítést alkalmaznak arra, hogy elgondolkodjanak azon, mi akadályozhatja ezeket a célokat.
a felülről lefelé mutató rész a kritikus fontosságú programokat veszi figyelembe, amelyeket nem szabad károsítani (például kiskereskedelmi értékesítési tranzakciók vagy gyári gyártási folyamatok); ezután felsorolja azokat a feltételeket, amelyek ronthatják ezeket a programokat.
az alulról felfelé mutató résznél figyelembe vehetjük a különböző ismert fenyegetési forrásokat (például földrengések, ransomware támadások vagy gazdasági visszaesések), és elgondolkodhatunk azon, hogy ezek milyen hatással lehetnek a vállalkozásra.
mivel a kockázat definíció szerint minden olyan bizonytalanság, amely befolyásolja a célokat, a kockázat csak akkor kockázat, ha hatással van. Minél hatásosabb a kockázat, annál nagyobb a prioritás. Ennek a prioritásnak az elemzése a következő lépésben történik, de először figyelembe kell venni a különféle kockázati tényezőket, hogy mérhető forgatókönyvet hozzunk létre.
NIST ügynökségek közötti jelentés (NISTIR) 8286A — “a vállalati kockázatkezelés (ERM) kiberbiztonsági kockázatának azonosítása és becslése” — útmutatást nyújt a kockázati forgatókönyvek kidolgozásához. A jelentés szerint a negatív kockázat leírásához a következő négy elem szükséges (lásd az ábrát 2):
- értékes eszköz vagy erőforrás, amely hatással lenne;
- az adott eszköz ellen fellépő fenyegető művelet forrása;
- az adott fenyegetésforrás működését lehetővé tevő, már létező állapot (vagy biztonsági rés); és
- a biztonsági rést kihasználó fenyegetésforrás által okozott káros hatás.
ezekkel az építőelemekkel széles körű kockázati forgatókönyveket lehet összeállítani, amelyeket elemezni, válogatni és kezelni kell. A kockázat forgatókönyvként történő leírása segít a kockázati feltételek kommunikálásában és a kockázat valószínűségének és hatásának elemzésében. Azt is megkönnyíti, hogy fontolja meg, hogyan kell reagálni. Példa lehet erre: “a gyártóüzemet egy trópusi vihar okozta áramkimaradás érinti, amely több napig megzavarja az üzem működését.”
bár a visszatekintés soha nem tökéletes, hasznos betekintést nyújt abba, hogy milyen kockázati események fordulhatnak elő a jövőben. Különösen hasznos lehet áttekinteni a hasonló vállalkozások által tapasztalt kockázatokról szóló címsorokat, azokat a feltételeket, amelyek lehetővé tették őket, és hogy a kockázatok hogyan befolyásolták a szervezeteket.
kockázati kategóriák
a különböző típusú kockázatok mérlegelésekor hasznos lehet kategóriákba sorolni őket. Ez a kategorizálás lehetővé teszi, hogy az egyes kockázati típusokat figyelembe vegyék és nyomon kövessék az egyes témákat ismerő egyének vagy csapatok. Például a Treadway Bizottság támogató szervezeteinek Bizottsága, a szakmai szervezetek közös kezdeményezése, amely kockázatkezelési útmutatást nyújt, azt javasolta, hogy a kockázat a következő négy területre szervezhető:
- stratégiai kockázat (pl. hírnév, ügyfélkapcsolatok, műszaki innováció);
- pénzügyi és beszámolási kockázat (pl. piac, adó, hitel);
- Megfelelőségi és irányítási kockázat (pl. etikai, szabályozási, nemzetközi kereskedelem, Adatvédelem); és
- működési kockázat (pl., információs és technológiai biztonság és adatvédelem, ellátási lánc, munkaügyi kérdések, természeti katasztrófák).
a kockázati kategóriák szintén segítenek az információk integrálásában, mivel a vezetők kommunikálnak, nyomon követik és módosítják a kockázati választ. Minden kockázati kategória esetében a forgatókönyvek kidolgozásának szándékos folyamata biztosítja, hogy a lista kellően átfogó legyen. Számos eszköz áll rendelkezésre a forgatókönyvek megjelenítéséhez és értékeléséhez. Példák a következőkre:
- a projektkockázatok kockázati bontási struktúrái (pl., “Használjon kockázati bontási struktúrát (RBS) a kockázatok megértéséhez”);
- fenyegetési fák a kiberbiztonsági kockázatokhoz (például Carnegie Mellon OCTAVE Allegro módszertana); és
- Delphi gyakorlatok a befektetési kockázat mérlegeléséhez.
ennek az első lépésnek, a kockázatazonosításnak az utolsó eleme a megállapítások rögzítése egy kockázati nyilvántartásban. A kockázati nyilvántartás a különböző kockázatok kommunikációját és nyomon követését teszi lehetővé a következő lépések során. A fent idézett NISTIR 8286 jelentés példát mutat egy ilyen nyilvántartásra, valamint egy minta kockázati részletezési sablonra, amelyben a kockázatkezelési folyamat lépéseinek számos eredményét rögzítik.
a kockázat valószínűségének és hatásának elemzése
amint fentebb megjegyeztük, a kockázat csak akkor kockázat, ha hatással van, ezért a kockázatkezelési folyamat második lépése annak elemzése, hogy mennyire valószínű, hogy egy kockázat bekövetkezik, és hogy mérhető hatása lesz.
a kockázatelemzésnek egy egész tudománya van, de lényegében ez a lépés egy kockázati esemény bekövetkezésének valószínűségének kiszámítása és a következmények hatásának becslése, ha ez megtörtént. Bár gyakran van azonnali hatás, lehetnek más későbbi következmények is, ezért fontos figyelembe venni ezeket a tényezőket a számításokban. Fontolja meg a beteg egészségügyi nyilvántartásait tartalmazó laptop elvesztését-azonnali vagyoni veszteség lesz, de a beteginformációk elvesztése bírságokat, pereket és jó hírnévkárokat eredményezhet, amelyek messze meghaladják az elveszett eszköz költségeit.
a kockázatelemzésnek a számítás részeként tartalmaznia kell az időbeli tényezőket. A pénzügyi beszámolási rendszereket gyakran kritikusnak tekintik, de az adóelőkészítés ideje alatt különösen fontosak lehetnek integritási és rendelkezésre állási igényeik. A kockázati események gyakorisága egy másik időalapú tényező, amelyet figyelembe kell venni.
sok szervezet általános vagy minőségi kifejezéseket használ ezen értékek kifejezésére. Például gyakran használunk olyan kifejezéseket, mint a “magas kockázat” vagy az “alacsony valószínűség” a kockázat kommunikálására, vagy esetleg vörös-sárga-zöld színsémákat használunk. A szervezetek számára előnyös lehet a kockázatelemzés tudományosabb és specifikusabb kvantitatív megközelítése. Például az információs kockázat Faktoranalízise (FAIR) megközelítés, amelyet az Open Group OpenFAIR szabványában példáztak, felhasználható részletes kockázati számítások elvégzésére, amelyek a becsléshez a színeknél hasznosabbak lehetnek.
több tucat módszer létezik mind a kvalitatív, mind a kvantitatív kockázatelemzés elvégzésére, amelyek közül sokat az ISO/IEC (Nemzetközi Elektrotechnikai Bizottság) 31010 szabványa, “kockázatkezelés-kockázatértékelési technikák.”Ez a kiadvány rámutat arra, hogy a technikákat “az ISO 31000 szabványban leírt kockázatok azonosításának, elemzésének és értékelésének kockázatértékelési lépésein belül alkalmazzák, és általánosabban, amikor szükség van a bizonytalanság és annak hatásainak megértésére.”
priorizálás a vállalati célok alapján
a kockázatelemzés eredményei lehetővé teszik a kockázatok fontosság alapján történő rendezését és rangsorolását. Mivel az erőforrások valószínűleg korlátozottak, a rangsorolás segít kiemelni azokat a kockázatokat, amelyek a legvalószínűbbek és a leghatékonyabbak lesznek. Ezeknek az eredményeknek a kockázati térképen való tükrözése segít vizualizálni az egyes kockázatok relatív fontosságát, és hasznos lehet a kockázati megfigyelések megosztásában más érdekelt felekkel-különösen azokkal, akik forrásokat biztosítanak (vagy engedélyeznek) a kockázatok kezelésére.
míg a kockázatok kezdeti rangsorolása a valószínűség és a hatás kombinációján alapulhat, a végső rangsorolást befolyásolhatják az érdekelt felek számára fontos tényezők. Például, ha a vezetés kifejezte, hogy az ügyfelek bizalma kulcsfontosságú érték a vállalkozás számára, akkor ki lehet emelni azokat a kockázatokat, amelyek befolyásolhatják az ügyfeleket.
a kockázatok költséghatékony kezelése
a kockázatok rangsorolt listájával a következő lépés az e kockázatok kezelésére rendelkezésre álló lehetőségek értékelése, valamint különböző módszerek és kontrollok alkalmazása az elfogadható kockázati szint elérése érdekében. Számos lehetőség áll rendelkezésre erre, beleértve a következőket:
- ha a vezetés kockázati étvágyán alapuló kockázat már elfogadható szinten van, nincs szükség további kezelésre.
- ha lehetséges megosztani a hatás egy részét egy másik entitással (pl., biztosítótársaság, külső szolgáltató), akkor a kockázat egy része ilyen módon átruházható.
- ahol gyakorlati, különböző irányítási, technikai és adminisztratív kockázatellenőrzéseket lehet alkalmazni, amelyek elősegítik az egyes kockázatok valószínűségének vagy hatásának elfogadható szintre csökkentését.
- ha ezen kockázatkezelési módszerek egyike sem alkalmazható, akkor a kockázatkezelőknek el kell kerülniük a kockázatot azáltal, hogy megszüntetik azokat a tevékenységeket vagy kitettségeket, amelyek lehetővé tennék a forgatókönyv megfontolását.
fontos meggyőződni arról, hogy az alkalmazott módszerek hatékonyak és költséghatékonyak. Ez a megközelítés megmagyarázza, miért használhat egy bank egy 20 centes láncot egy tintatoll védelmére, egy millió dolláros páncéltermet pedig készpénztartalékainak védelmére. A kockázat kezeléséhez szükséges erőforrásoknak arányosnak kell lenniük a védett eszközökkel.
Monitor kockázatkezelési eredmények
még a fenti lépések után is fontos az eredmények nyomon követése és nyomon követése annak biztosítása érdekében, hogy a kockázatok a szervezet vezetői által meghatározott határokon belül maradjanak. A kockázati feltételek gyorsan változhatnak, az eszközértékek ingadozhatnak, és az érdekelt felek preferenciái változhatnak. A nyomon követés kritikus része annak biztosítása, hogy a vezetők és a felső vezetők tájékoztatást kapjanak a kockázati célok és a szervezeti hatással járó változások felé vezető haladásról. A ciklus hasonló a Dr. W. Edwards Deming által népszerűsített PDSA (Plan-Do-Study-Act) ciklushoz, amely lehetővé teszi a kockázatkezelési folyamat folyamatos fejlesztését. Mivel a szervezet különböző csapatai intézkedéseket hoznak a kockázatok azonosítására, elemzésére és reagálására, az eredmények tájékoztatják és finomítják a következő iterációt.
következtetés
ezeknek a lépéseknek az alkalmazásával, az irányítás és a menedzsment tágabb keretrendszerének összefüggésében, a szervezetek következetesen azonosíthatják azokat a kockázatokat, amelyek valószínűleg káros hatással járnak, majd prioritásként kezelhetik a költséghatékony kezelést és figyelemmel kísérhetik az eredményeket a folyamatos javulás fenntartása érdekében.