Wat is een risicobeheerproces en waarom is het nodig?

risico vertegenwoordigt elke vorm van onzekerheid die het vermogen om uw doelstellingen te bereiken kan verbeteren of verminderen. Het kan vele vormen aannemen, waaronder risico ‘ s die van invloed zijn op projecten, financiën, veiligheid en privacy, en het milieu. Voor zowel positieve risico ‘ s (kansen) als negatieve, heb je een opzettelijke aanpak nodig om de balans tussen risico en beloning te begrijpen. Dit artikel richt zich op het proces voor het beheren van risico ‘ s die een negatieve impact kunnen hebben op uw organisatie; soortgelijke processen zijn van toepassing op het bepalen hoe gunstige onzekerheid te benutten, dat wil zeggen, positief risico.

recente geschiedenis heeft de impact aangetoond die risicofactoren kunnen hebben op de manier waarop bedrijven en individuen werken — en op de vraag of zij dit kunnen blijven doen. De mogelijkheid om risico beter te navigeren dan concurrenten zal zeker bijdragen aan het succes van de onderneming. Als dat niet gebeurt, kan dat een ramp betekenen, misschien onherstelbaar.

om deze redenen is het belangrijk om een bewezen en consistent risicobeheerproces toe te passen. Wanneer gebouwd op een solide basis van het begrijpen van de doelstellingen van de organisatie, doelstellingen en interne/externe context, een risicobeheerproces zal helpen zorgen voor het succes van uw organisatie.

Wat zijn de 5 stappen van het risicobeheerproces?

vele kennisinstellingen hebben Risicobeheer gedocumenteerd, maar misschien wel de bekendste is die van de International Organization for Standardization, of ISO. De ISO 31000-norm, Risk management — Guidelines, bevat uitgebreide informatie over het communiceren over, beheren en bewaken van verschillende risico ‘ s. Het proces is in wezen hetzelfde voor elk type entiteit en bestaat uit de volgende vijf stappen:

dit artikel maakt deel uit van

Wat is risicobeheer en waarom is het belangrijk?

  • waaronder ook:
  • governance, risk management and compliance (GRC)
  • risicomijding
  • risicomap (risk heat map))

  1. Identificeer de risico ‘ s.
  2. analyseer de waarschijnlijkheid en het effect van elk.
  3. prioriteit geven aan risico ‘ s op basis van bedrijfsdoelstellingen.
  4. de risicocondities te behandelen (of erop te reageren).
  5. controleer de resultaten en gebruik deze om ze zo nodig aan te passen.

hoewel deze stappen eenvoudig zijn, heeft elk bedrijf unieke factoren die van invloed zijn op hoe het risico moet beheren en bewaken. Om deze factoren te bepalen en toe te passen, is het nuttig om een risicomanagementkader toe te passen als onderdeel van een alomvattende aanpak voor het plannen, uitvoeren en volgen van het algehele beheer van de verschillende risico ‘ s.

vijf stappen van het risicobeheerproces
figuur 1. Een effectief risicobeheerproces vereist deze vijf stappen.

het is ook belangrijk om in gedachten te houden dat het doel van het risicobeheerproces, in de context van een breed kader, niet is om alle risico ‘ s volledig uit te sluiten, maar om aanvaardbare risiconiveaus te bepalen, gegeven uw doelstellingen, en vervolgens te werken om deze risicofactoren binnen overeengekomen grenzen te houden. De onderstaande stappen zullen helpen om specifieke acties te bepalen en toe te passen om dit te doen.

risico ’s identificeren

de eerste stap is het bepalen van de potentiële risico’ s zelf. Dat vereist enige context: om te overwegen wat er mis kan gaan, moet men beginnen met wat goed moet gaan.

Begin het proces met een overzicht van uw doelen en doelstellingen en de verschillende middelen of activa die deze mogelijk maken. Risk practitioners hanteren vaak een top-down, bottom-up benadering om na te denken over wat deze doelstellingen zou kunnen belemmeren.

het top-down gedeelte houdt rekening met bedrijfskritische programma ’s die niet mogen worden aangetast (zoals verkooptransacties in een winkel of productieprocessen in een fabriek); het somt vervolgens de Voorwaarden op die van invloed kunnen zijn op die programma’ s.

voor het bottom-up gedeelte kan men rekening houden met verschillende bekende dreigingsbronnen (zoals aardbevingen, ransomware-aanvallen of economische neergang) en nadenken over de impact die deze kunnen hebben op de onderneming.

omdat risico per definitie elke onzekerheid is die van invloed is op de doelstellingen, is een risico alleen een risico als het effect heeft. Hoe meer impact een risico is, hoe hoger de prioriteit. De analyse van die prioriteit zal plaatsvinden in de volgende stap, maar eerst moet men rekening houden met de verschillende risicofactoren om een scenario dat kan worden gemeten creëren.

NIST Interagency Report (NISTIR) 8286A — “Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM)” — geeft richtsnoeren voor het ontwikkelen van risicoscenario ‘ s. Volgens het verslag zijn de volgende vier elementen nodig om een negatief risico te beschrijven (zie Figuur 2):

  1. een waardevolle troef of hulpbron die zou worden beïnvloed;
  2. een bron van een bedreigende actie die tegen dat actief zou werken;
  3. een reeds bestaande voorwaarde (of kwetsbaarheid) die die bedreigingsbron in staat stelt te handelen; en
  4. enige schadelijke impact die optreedt van de bedreigingsbron die die kwetsbaarheid uitbuit.

met deze bouwstenen kan men een brede reeks risicoscenario ‘ s samenstellen die moeten worden geanalyseerd, gesorteerd en behandeld. Het beschrijven van het risico als een scenario helpt bij het communiceren van de risico-omstandigheden en het analyseren van de waarschijnlijkheid en de impact van het risico. Het maakt het ook gemakkelijker om te overwegen hoe te reageren. Een voorbeeld scenario zou kunnen zijn, ” de productie-installatie wordt getroffen door een stroomstoring als gevolg van een tropische storm, het verstoren van de werking van de fabriek voor meerdere dagen.”

attributen van een negatief risico
Figuur 2. Een negatief risico wordt gedefinieerd als het hebben van deze vier kenmerken.

achteraf gezien is het nooit perfect, maar biedt het nuttige inzicht in welke risicogebeurtenissen zich in de toekomst kunnen voordoen. In het bijzonder, het kan nuttig zijn om krantenkoppen over de risico ’s die soortgelijke bedrijven hebben geconfronteerd herzien, de omstandigheden die hen in staat gesteld en hoe de risico’ s de organisaties beà nvloed.

risicocategorieën

bij het in aanmerking nemen van verschillende soorten risico ‘ s kan het nuttig zijn deze in categorieën te verdelen. Die categorisering maakt het mogelijk om elk type risico te overwegen en te volgen door individuen of teams die bekend zijn met bepaalde onderwerpen. Zo heeft het Comité van sponsorende organisaties van de Treadway Commission, een gezamenlijk initiatief van beroepsorganisaties dat richtsnoeren voor risicomanagement verstrekt, gesuggereerd dat risico ‘ s kunnen worden georganiseerd in de volgende vier gebieden::

  • strategisch risico (bv. reputatie, klantenrelaties, technische innovatie);
  • financieel en rapportagerisico (bv. markt, belasting, krediet);
  • compliance-en governancerisico (bv. ethiek, regelgeving, internationale handel, privacy); en
  • operationeel risico (bv., informatie – en technologiebeveiliging en privacy, toeleveringsketen, arbeidsvraagstukken, natuurrampen).

categorieën van risico ‘ s helpen ook om informatie te integreren als managers communiceren over, volgen en aanpassen van risicorespons. Voor elke risicocategorie zal een opzettelijk proces voor het ontwikkelen van de scenario ‘ s ervoor zorgen dat de lijst voldoende volledig is. Veel tools zijn beschikbaar om te helpen visualiseren en evalueren van de scenario ‘ s. Voorbeelden hiervan zijn::

  • risico-opsplitsing structuren voor projectrisico ‘ s (bijv., “Use a risk breakdown structure (RBS) to understand your risks”);
  • threat trees for cybersecurity risk (e.g. Carnegie Mellon ‘ s OCTAVE Allegro methodology); and
  • Delphi exercises for considering investment risk.

het laatste onderdeel van deze eerste stap, risico-identificatie, bestaat erin de bevindingen in een risicoregister te registreren. Het risicoregister biedt een middel om de verschillende risico ‘ s tijdens de volgende stappen te communiceren en te volgen. Het hierboven geciteerde NISTIR 8286-rapport geeft een voorbeeld van een dergelijk register, samen met een voorbeeld van een risicodetailsjabloon waarin veel van de resultaten van de stappen in het risicomanagementproces worden geregistreerd.

analyseer de waarschijnlijkheid en impact van risico ‘ s

zoals hierboven is opgemerkt, is een risico alleen een risico als het impact heeft, dus de tweede stap van het risicobeheerproces is om te analyseren hoe waarschijnlijk het is dat een risico zal optreden en dat het een meetbare impact zal hebben.Er is een hele wetenschap aan risicoanalyse, maar in wezen is deze stap een berekening van de waarschijnlijkheid van een gebeurtenis die zich voordoet en een schatting van de impact van de gevolgen als dat gebeurt. Hoewel er vaak een onmiddellijke impact is, kunnen er ook andere latere gevolgen zijn, dus is het belangrijk om elk van deze factoren in de berekeningen te overwegen. Denk aan het verlies van een laptop met patiëntgezondheidsdossiers — er zal een onmiddellijk bezitsverlies zijn, maar het verlies van die patiëntinformatie kan resulteren in boetes, rechtszaken en reputatieschade die de kosten van het Verloren Apparaat ver overschrijden.

risicoanalyse moet tijdsfactoren als onderdeel van de berekening omvatten. Financiële verslagleggingssystemen worden vaak als kritisch beschouwd, maar tijdens de voorbereidingstijd van de belasting kunnen hun integriteit en beschikbaarheidsbehoeften bijzonder belangrijk zijn. De frequentie van risicogebeurtenissen is een andere op tijd gebaseerde factor om rekening mee te houden.

veel organisaties gebruiken algemene of kwalitatieve termen om deze waarden uit te drukken. We gebruiken bijvoorbeeld vaak termen als ‘hoog risico’ of ‘lage waarschijnlijkheid’ om risico ’s te communiceren, of gebruiken misschien rood-geel-groene kleurenschema’ s. Organisaties kunnen baat hebben bij een meer wetenschappelijke en specifieke kwantitatieve benadering van risicoanalyse. Bijvoorbeeld, de factoranalyse van Informatie risico (FAIR) benadering, geà nstalleerd in de open groep OpenFAIR standaard, kan worden gebruikt voor het uitvoeren van gedetailleerde risicoberekeningen die nuttiger zijn dan kleuren voor het schatten.

er zijn tientallen methoden om zowel kwalitatieve als kwantitatieve risicoanalyse uit te voeren, waarvan vele zijn beschreven in ISO/IEC (International Electrotechnical Commission) standard 31010, “Risk management — Risk assessment techniques.”Die publicatie wijst erop dat de technieken “worden gebruikt binnen de risicobeoordelingsstappen van het identificeren, analyseren en evalueren van risico’ s zoals beschreven in ISO 31000, en meer in het algemeen wanneer er behoefte is aan inzicht in onzekerheid en de effecten ervan.”

prioriteren op basis van bedrijfsdoelstellingen

de resultaten van de risicoanalyse maken het mogelijk de risico ‘ s te sorteren en te rangschikken op basis van hun belang. Aangezien de middelen waarschijnlijk beperkt zullen zijn, helpt prioritering om de risico ‘ s te benadrukken die het meest waarschijnlijk en het meest effect zullen hebben. Het weergeven van deze resultaten in een risicomap helpt om het relatieve belang van elk risico te visualiseren en kan ook nuttig zijn bij het delen van risicowaarnemingen met andere belanghebbenden-in het bijzonder degenen die mogelijk middelen verstrekken (of autoriseren) om op deze risico ‘ s te reageren.

hoewel de initiële prioritering van risico ‘ s gebaseerd kan zijn op de combinatie van waarschijnlijkheid en impact, kan de uiteindelijke rangschikking worden beïnvloed door factoren die belangrijk zijn voor deze belanghebbenden. Bijvoorbeeld, als leiderschap heeft uitgedrukt dat het vertrouwen van de klant is een belangrijke waarde voor de onderneming, dan risico ‘ s die van invloed kunnen zijn klanten kunnen worden benadrukt.

risico ’s op een kosteneffectieve manier behandelen

met een prioriteitenlijst van risico’ s is de volgende stap het evalueren van de beschikbare opties om deze risico ‘ s te behandelen en het toepassen van verschillende methoden en controles om een aanvaardbaar risiconiveau te bereiken. Er zijn verschillende opties beschikbaar om dit te doen, waaronder de volgende:

  • als het risico, gebaseerd op de risicobereidheid van het leiderschap, al op een aanvaardbaar niveau is, is verdere behandeling niet nodig.
  • als het mogelijk is om een deel van de impact met een andere entiteit te delen (bijv., een verzekeringsonderneming, een externe dienstverlener), dan kan een deel van het risico op die manier worden overgedragen.
  • in de praktijk kunnen verschillende beheers -, technische en administratieve risicocontroles worden toegepast die ertoe bijdragen de waarschijnlijkheid of de impact van elk risico tot een aanvaardbaar niveau te beperken.
  • indien geen van deze risicoresponsmethoden kan worden toegepast, moeten risicomanagers het risico vermijden door de activiteiten of blootstellingen die het mogelijk maken het scenario in aanmerking te nemen, uit te sluiten.

het is belangrijk ervoor te zorgen dat de toegepaste methoden zowel doeltreffend als kosteneffectief zijn. Deze aanpak verklaart waarom een bank een 20 cent ketting zou kunnen gebruiken om een inktpen en een miljoen dollar kluis te beschermen om haar kasreserves te beschermen. De middelen die nodig zijn om het risico te behandelen, moeten in verhouding staan tot de beschermde activa.

Monitor risicomanagementresultaten

zelfs na elk van de bovenstaande stappen is het belangrijk dat de resultaten worden gevolgd en gemonitord om ervoor te zorgen dat de risico ‘ s binnen de door de leiders van de organisatie vastgestelde grenzen blijven. De risicoomstandigheden kunnen snel veranderen, de waarden van activa kunnen fluctueren en de voorkeuren van stakeholders kunnen veranderen. Een cruciaal onderdeel van monitoring is ervoor te zorgen dat managers en senior leiders op de hoogte zijn van de vooruitgang in de richting van risicodoelstellingen en veranderingen die organisatorische impact kunnen hebben. De cyclus is vergelijkbaar met de PDSA (Plan-Do-Study-Act) cyclus gepopulariseerd door Dr.W. Edwards Deming, waardoor voortdurende verbetering van het risico management proces. Aangezien verschillende teams in de hele organisatie acties ondernemen om risico ‘ s te identificeren, te analyseren en erop te reageren, informeren en verfijnen de resultaten de volgende iteratie.

conclusie

door toepassing van deze stappen, in de context van een breder kader van governance en management, kunnen organisaties consequent de risico ‘ s identificeren die waarschijnlijk schadelijke gevolgen hebben, vervolgens prioriteit geven aan een kosteneffectieve behandeling en de resultaten monitoren om voortdurende verbetering te handhaven.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.