By: adminPosted on

hva er en risikostyringsprosess og hvorfor er det nødvendig?

Risiko representerer enhver form for usikkerhet som kan forbedre eller redusere evnen til å nå dine mål. Det kan ta mange former, inkludert risiko som påvirker prosjekter, økonomi, sikkerhet og personvern og miljø. For både positive risikoer (muligheter) eller negative, trenger du en forsettlig tilnærming for å forstå balansen mellom risiko og belønning. Denne artikkelen fokuserer på prosessen for å håndtere risikoer som kan ha en negativ innvirkning på organisasjonen; lignende prosesser gjelder for å bestemme hvordan du kan utnytte gunstig usikkerhet, dvs. positiv risiko.

Nyere historie har fremhevet virkningen som risikofaktorer kan ha på hvordan bedrifter og enkeltpersoner opererer-og om de kan fortsette å gjøre det. Evnen til å navigere risiko bedre enn konkurrenter vil sikkert bidra til bedriftens suksess. Unnlatelse av å gjøre det kan stave katastrofe, kanskje utover utvinning.

av disse grunner er det viktig å anvende en velprøvd og konsekvent risikostyringsprosess. Når det er bygget på et solid grunnlag for å forstå organisasjonens mål, mål og intern / ekstern kontekst, vil en risikostyringsprosess bidra til å sikre organisasjonens suksess.

hva er de 5 trinnene i risikostyringsprosessen?

mange kunnskapsorganer har dokumentert risikostyring, men Kanskje Den mest kjente er Den Av International Organization For Standardization, ELLER ISO. ISO 31000-standarden, Risk management-Guidelines, inneholder omfattende informasjon om hvordan man kommuniserer om, styrer og overvåker ulike risikoer. Prosessen er i hovedsak den samme for enhver type enhet og består av følgende fem trinn:

Denne artikkelen er en del av

hva er risikostyring og hvorfor er det viktig?

  • Som også inkluderer:
  • styring, risikostyring og compliance (GRC)
  • risikounngåelse
  • risikokart (risikokart)

  1. Identifiser risikoen.
  2. Analyser sannsynligheten og virkningen av hver.
  3. Prioritere risiko basert på virksomhetens mål.
  4. Behandle (Eller svare på) risikoforhold.
  5. Overvåk resultatene og bruk dem til å justere etter behov.

selv om disse trinnene er enkle, har hver bedrift unike faktorer som påvirker hvordan den skal håndtere og overvåke risiko. For å bestemme og anvende disse faktorene, er det nyttig å anvende et rammeverk for risikostyring som en del av en helhetlig tilnærming til planlegging, gjennomføring og sporing av overordnet styring av de ulike risikoene.

Fem trinn i risikostyringsprosessen
Figur 1. En effektiv risikostyringsprosess krever disse fem trinnene.

det er også viktig å huske på at målet med risikostyringsprosessen, i sammenheng med et bredt rammeverk, ikke er å fullstendig eliminere all risiko, men å bestemme akseptable risikonivåer, gitt dine mål, og deretter arbeide for å holde disse risikofaktorene innenfor avtalte grenser. Trinnene nedenfor vil bidra til å bestemme og bruke bestemte handlinger for å gjøre det.

Identifiser risikoer

det første trinnet er å bestemme de potensielle risikoene selv. Det krever litt kontekst: for å vurdere hva som kan gå galt, må man begynne med det som må gå rett.

Start prosessen med en gjennomgang av dine mål og målsettinger og de ulike ressursene eller aktivaene som gjør dem i stand. Risikoutøvere bruker ofte en topp-ned, bottom-up tilnærming til å tenke på hva som kan hindre disse målene.

den øverste delen vurderer virksomhetskritiske programmer som ikke bør svekkes (som salgstransaksjoner i en butikk eller produksjonsprosesser i en fabrikk); den viser deretter forholdene som kan svekke disse programmene.

for bottom-up-delen kan man vurdere ulike kjente trusselkilder (som jordskjelv, ransomware-angrep eller økonomiske nedgangstider) og tenke på hvilken innvirkning de kan ha på bedriften.

fordi risiko per definisjon er enhver usikkerhet som påvirker mål, er en risiko bare en risiko hvis den har innvirkning. Jo mer virkningsfull en risiko er, jo høyere prioritet. Analysen av den prioriteten vil skje i neste trinn, men først må man vurdere de ulike risikofaktorene for å skape et scenario som kan måles.

NIST Interagency Report (NISTIR) 8286A – «Identifisere Og Estimere Cybersecurity Risk For Enterprise Risk Management (Erm)» – gir veiledning om utvikling av risikoscenarier. Ifølge rapporten er følgende fire elementer nødvendige for å være til stede for å beskrive en negativ risiko (Se Figur 2):

  1. en verdifull ressurs eller ressurs som vil bli påvirket;
  2. en kilde til en truende handling som ville handle mot denne ressursen;
  3. en eksisterende tilstand (eller sårbarhet) som gjør at trusselkilden kan handle; og
  4. noen skadelige virkninger som oppstår fra trusselkilden som utnytter dette sikkerhetsproblemet.

med disse byggeklossene kan man lage et bredt sett med risikoscenarier som skal analyseres, sorteres og behandles. Å beskrive risikoen som et scenario hjelper til med å kommunisere risikoforholdene og analysere sannsynligheten og virkningen av risikoen. Det gjør det også lettere å vurdere hvordan man skal svare. Et eksempel kan være: «produksjonsanlegget påvirkes av strømbrudd som følge av en tropisk storm, og forstyrrer anleggets drift i flere dager.»

Attributter for en negativ risiko
Figur 2. En negativ risiko er definert som å ha disse fire attributter.

selv om etterpåklokskap aldri er perfekt, gir det nyttig innsikt i hvilke risikohendelser som kan oppstå i fremtiden. Spesielt kan det være nyttig å gjennomgå overskrifter om risikoer som lignende bedrifter har møtt, forholdene som gjorde det mulig for dem og hvordan risikoen påvirket organisasjonene.

Risikokategorier

når man vurderer ulike typer risiko, kan det være nyttig å organisere dem i kategorier. Denne kategoriseringen gjør at hver type risiko kan vurderes og spores av enkeltpersoner eller lag som er kjent med bestemte emner. For eksempel, Committee Of Sponsoring Organisasjoner Av Treadway Commission, et felles initiativ fra profesjonelle organisasjoner som gir risikostyring veiledning, har antydet at risikoen kan organiseres i følgende fire områder:

  • strategisk risiko (f. eks. omdømme, kunderelasjoner, teknisk innovasjon);
  • finansiell og rapporteringsrisiko (f. eks. marked, skatt, kreditt);
  • samsvars-og styringsrisiko (f. eks. etikk, regulatorisk, internasjonal handel, personvern); og
  • operasjonell risiko (f. eks., informasjons – og teknologisikkerhet og personvern, forsyningskjede, arbeidsspørsmål, naturkatastrofer).

Risikokategorier bidrar også til å integrere informasjon som ledere kommuniserer om, sporer og justerer risikorespons. For hver risikokategori vil en bevisst prosess for å utvikle scenariene sikre at listen er tilstrekkelig omfattende. Mange verktøy er tilgjengelige for å visualisere og evaluere scenariene. Eksempler inkluderer følgende:

  • risikonedbrytingsstrukturer for prosjektrisiko (f. eks., «Bruk en risk breakdown structure (RBS) for å forstå risikoen din»);
  • trusseltrær for cybersikkerhetsrisiko (F. eks. Carnegie Mellons OCTAVE Allegro-metodikk); og
  • Delphi øvelser for å vurdere investeringsrisiko.

den siste komponenten i dette første trinnet, risikoidentifikasjon, er å registrere funnene i et risikoregister. Risikoregisteret gir et middel til å kommunisere og spore de ulike risikoene gjennom påfølgende trinn. NISTIR 8286-rapporten som er omtalt ovenfor, gir et eksempel på et slikt register, sammen med en utvalgsdetaljmal for å registrere mange av resultatene av risikostyringsprosessen.

Analyser risiko sannsynlighet og innvirkning

som nevnt ovenfor er en risiko bare en risiko hvis den har innvirkning, så det andre trinnet i risikostyringsprosessen er å analysere hvor sannsynlig det er at en risiko vil oppstå og at den vil ha en målbar innvirkning.

det er en hel vitenskap til risikoanalyse, men i hovedsak er dette trinnet en beregning av sannsynligheten for at en risikohendelse oppstår og en estimering av virkningen av konsekvensene hvis det skjedde. Selv om det ofte er en umiddelbar innvirkning, kan det også være andre påfølgende konsekvenser, så det er viktig å vurdere hver av disse faktorene i beregningene. Tenk på tapet av en bærbar pc som inneholder pasienthelsejournaler – det vil være et øyeblikkelig tap av eiendom, men tapet av pasientinformasjonen kan føre til bøter, søksmål og omdømmeskader som langt overstiger kostnaden for den tapte enheten.

Risikoanalyse bør inkludere tidsfaktorer som en del av beregningen. Finansielle rapporteringssystemer anses ofte som kritiske, men under skatteforberedelsestiden kan deres integritet og tilgjengelighetsbehov være spesielt viktige. Frekvensen av risikohendelser er en annen tidsbasert faktor å vurdere.

Mange organisasjoner bruker generelle eller kvalitative termer for å uttrykke disse verdiene. For eksempel bruker vi ofte begreper som «høy risiko» eller «lav sannsynlighet» for å kommunisere risiko, eller kanskje bruke rød-gul-grønne fargevalg. Organisasjoner kan dra nytte av en mer vitenskapelig og spesifikk kvantitativ tilnærming til risikoanalyse. For eksempel Kan Faktoranalysen Av Informasjonsrisiko (FAIR) tilnærming, instantiert I Open Groups OpenFAIR-standard, brukes til å utføre detaljerte risikoberegninger som kan være mer nyttige enn farger for estimering.

det finnes dusinvis av metoder for å utføre både kvalitativ og kvantitativ risikoanalyse, hvorav mange er beskrevet I ISO / Iec (International Electrotechnical Commission) standard 31010, » Risk management-Risk assessment techniques.»Denne publikasjonen påpeker at teknikkene «brukes i risikovurderingstrinnene for å identifisere, analysere og evaluere risiko som beskrevet I ISO 31000, og mer generelt når det er behov for å forstå usikkerhet og dens effekter.»

Prioriter basert på virksomhetens mål

resultatene av risikoanalysen gjør at risikoene kan sorteres og rangeres basert på deres betydning. Siden ressursene sannsynligvis er begrensede, bidrar prioritering til å markere de risikoene som vil være mest sannsynlige og mest effektive. Å reflektere disse resultatene i et risikokart bidrar til å visualisere den relative betydningen av hver risiko og kan også være nyttig for å dele risikoobservasjoner med andre interessenter-spesielt de som kan gi (eller autorisere) ressurser til å svare på disse risikoene.

mens den første prioriteringen av risiko kan være basert på kombinasjonen av sannsynlighet og innvirkning, kan den endelige rangeringen påvirkes av faktorer som er viktige for disse interessentene. Hvis ledelsen for eksempel har uttrykt at kundetillit er en nøkkelverdi for bedriften, kan risikoer som kan påvirke kundene bli fremhevet.

Behandle risiko på en kostnadseffektiv måte

med en prioritert liste over risikoer på plass, er neste trinn å evaluere de tilgjengelige alternativene for å behandle disse risikoene og anvende ulike metoder og kontroller for å oppnå et akseptabelt risikonivå. Det er flere alternativer tilgjengelig for å gjøre det, inkludert følgende:

  • hvis risikoen, basert på ledelsens risikoappetitt, allerede er på et akseptabelt nivå, er det ikke nødvendig med ytterligere behandling.
  • hvis det er mulig å dele noe av innvirkningen med en annen enhet (f. eks., et forsikringsselskap, en ekstern tjenesteleverandør), kan noe av risikoen overføres på den måten.
  • der det kan benyttes ulike styrings -, tekniske og administrative risikokontroller som vil bidra til å redusere sannsynligheten eller virkningen av hver risiko til et akseptabelt nivå.
  • hvis ingen av disse risikoresponsmetodene kan brukes, må risikostyrere unngå risikoen ved å eliminere aktivitetene eller eksponeringene som vil gjøre det mulig for scenariet å bli vurdert.

det er viktig å være sikker på at metodene som brukes er både effektive og kostnadseffektive. Denne tilnærmingen forklarer hvorfor en bank kan bruke en 20-cent kjede for å beskytte en blekkpenn og en million dollar hvelv for å beskytte sine kontantreserver. Ressursene som kreves for å behandle risikoen, bør være i samsvar med eiendelene som beskyttes.

Overvåk risikostyringsresultater

Selv etter hvert av trinnene ovenfor er det viktig at resultatene spores og overvåkes for å sikre at risikoen forblir innenfor grensene fastsatt av organisasjonens ledere. Risikoforhold kan endres raskt, aktivaverdier kan variere og interessentpreferanser kan endres. En kritisk del av overvåkingen er å sikre at ledere og toppledere er informert om fremgang mot risikomål og endringer som kan ha organisatorisk innvirkning. SYKLUSEN er lik PDSA (Plan-Do-Study-Act) syklus popularisert Av Dr. W. Edwards Deming, slik at kontinuerlig forbedring av risikostyringsprosessen. Som ulike team i hele organisasjonen tar tiltak for å identifisere, analysere og svare på risiko, resultatene informere og avgrense neste iterasjon.

Konklusjon

gjennom anvendelse av disse trinnene, i sammenheng med et bredere rammeverk for styring og ledelse, kan organisasjoner konsekvent identifisere de risikoene som sannsynligvis vil ha en skadelig innvirkning, deretter prioritere kostnadseffektiv behandling og overvåke resultatene for å opprettholde kontinuerlig forbedring.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.