By: adminPosted on

co to jest proces zarządzania ryzykiem i dlaczego jest to konieczne?

ryzyko reprezentuje każdy rodzaj niepewności, który może poprawić lub zmniejszyć zdolność do osiągnięcia celów. Może on przybierać różne formy, w tym ryzyko wpływające na projekty, Finanse, Bezpieczeństwo i prywatność oraz środowisko. Zarówno w przypadku ryzyka pozytywnego (szans), jak i negatywnego, potrzebujesz celowego podejścia, aby zrozumieć równowagę między ryzykiem a nagrodą. Ten artykuł koncentruje się na procesie zarządzania ryzykiem, które mogą mieć negatywny wpływ na Twoją organizację; podobne procesy mają zastosowanie do określania, jak wykorzystać korzystną niepewność, czyli pozytywne ryzyko.

najnowsza Historia uwydatniła wpływ czynników ryzyka na sposób działania przedsiębiorstw i osób fizycznych oraz na to, czy mogą nadal to robić. Umiejętność poruszania się po ryzyku lepiej niż konkurenci z pewnością przyczyni się do sukcesu przedsiębiorstwa. Niezastosowanie się do tego może oznaczać katastrofę, być może nie do odzyskania.

z tych powodów ważne jest stosowanie sprawdzonego i spójnego procesu zarządzania ryzykiem. Proces zarządzania ryzykiem oparty na solidnym fundamencie zrozumienia celów organizacji i kontekstu wewnętrznego/zewnętrznego pomoże zapewnić sukces organizacji.

jakie są 5 etapów procesu zarządzania ryzykiem?

wiele zasobów wiedzy ma udokumentowane zarządzanie ryzykiem, ale być może najbardziej znana jest międzynarodowa organizacja normalizacyjna lub ISO. Norma ISO 31000, Risk management — Guidelines, zawiera obszerne informacje o tym, jak komunikować się, zarządzać i monitorować różne rodzaje ryzyka. Proces jest zasadniczo taki sam dla każdego typu podmiotu i obejmuje następujące pięć kroków:

Ten artykuł jest częścią

czym jest zarządzanie ryzykiem i dlaczego jest ważne?

  • co obejmuje również:
  • governance, risk management and compliance (GRC)
  • unikanie ryzyka
  • Mapa ryzyka (Risk heat map)

  1. Zidentyfikuj ryzyko.
  2. Analizuj prawdopodobieństwo i wpływ każdego z nich.
  3. Priorytetyzuj ryzyko w oparciu o Cele przedsiębiorstwa.
  4. leczyć (lub reagować) warunki ryzyka.
  5. Monitoruj wyniki i w razie potrzeby dostosuj je.

chociaż te kroki są proste, każda firma ma unikalne czynniki, które wpływają na to, jak powinna zarządzać ryzykiem i monitorować je. W celu określenia i zastosowania tych czynników pomocne jest zastosowanie ram zarządzania ryzykiem w ramach kompleksowego podejścia do planowania, realizacji i śledzenia ogólnego zarządzania różnymi rodzajami ryzyka.

pięć etapów procesu zarządzania ryzykiem
Rysunek 1. Skuteczny proces zarządzania ryzykiem wymaga tych pięciu kroków.

ważne jest również, aby pamiętać, że celem procesu zarządzania ryzykiem, w kontekście szerokich ram, nie jest całkowite wyeliminowanie całego ryzyka, ale określenie akceptowalnego poziomu ryzyka, biorąc pod uwagę swoje cele, a następnie praca nad utrzymaniem tych czynników ryzyka w uzgodnionych granicach. Poniższe kroki pomogą określić i zastosować określone działania w tym celu.

Zidentyfikuj ryzyko

pierwszym krokiem jest samo określenie potencjalnych zagrożeń. Wymaga to pewnego kontekstu: aby rozważyć, co może pójść źle, trzeba zacząć od tego, co musi pójść dobrze.

rozpocznij proces od przeglądu swoich celów i celów oraz różnych zasobów lub zasobów, które je umożliwiają. Specjaliści ds. ryzyka często stosują odgórne i oddolne podejście do myślenia o tym, co może utrudnić realizację tych celów.

część odgórna uwzględnia programy o znaczeniu krytycznym, które nie powinny być naruszone (takie jak transakcje sprzedaży w sklepie detalicznym lub procesy produkcyjne w fabryce); następnie wymienia warunki, które mogą zaszkodzić tym programom.

w części oddolnej można wziąć pod uwagę różne znane źródła zagrożeń (takie jak trzęsienia ziemi, ataki ransomware lub spowolnienia gospodarcze) i zastanowić się, jaki wpływ mogą one mieć na przedsiębiorstwo.

ponieważ ryzyko jest z definicji niepewnością, która wpływa na cele, ryzyko jest tylko ryzykiem, jeśli ma wpływ. Im większe jest ryzyko, tym wyższy priorytet. Analiza tego priorytetu nastąpi w następnym kroku, ale najpierw trzeba wziąć pod uwagę różne czynniki ryzyka, aby stworzyć scenariusz, który można zmierzyć.

NIST Interagency Report (NISTIR) 8286a — „Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM)” — zawiera wskazówki dotyczące opracowywania scenariuszy ryzyka. Zgodnie z raportem, aby opisać negatywne ryzyko, konieczne są następujące cztery elementy (zob. wykres 2):

  1. cennym zasobem lub zasobem, który miałby wpływ;
  2. źródło groźnego działania, które działałoby przeciwko temu aktywowi;
  3. istniejący stan (lub Luka), który umożliwia temu źródłu zagrożenia działanie; oraz
  4. pewien szkodliwy wpływ, jaki ma źródło zagrożenia wykorzystujące tę lukę.

dzięki tym elementom można skomponować szeroki zestaw scenariuszy ryzyka do analizy, sortowania i leczenia. Opisanie ryzyka jako scenariusza pomaga w komunikowaniu warunków ryzyka oraz analizie prawdopodobieństwa i wpływu ryzyka. Ułatwia również rozważenie, jak zareagować. Przykładem może być: „w zakładzie produkcyjnym występuje przerwa w dostawie prądu spowodowana burzą tropikalną, która zakłóca pracę zakładu na kilka dni.”

atrybuty ryzyka ujemnego
Rysunek 2. Ryzyko ujemne definiuje się jako posiadające te cztery atrybuty.

chociaż z perspektywy czasu nigdy nie jest doskonały, zapewnia przydatny wgląd w to, jakie zdarzenia ryzyka mogą wystąpić w przyszłości. W szczególności pomocne może być zapoznanie się z nagłówkami na temat zagrożeń, z którymi borykały się podobne firmy, warunków, które je umożliwiły i tego, jak ryzyko wpłynęło na organizacje.

kategorie ryzyka

biorąc pod uwagę różne rodzaje ryzyka, pomocne może być zorganizowanie ich w kategorie. Ta Kategoryzacja umożliwia uwzględnienie i śledzenie każdego rodzaju ryzyka przez osoby lub zespoły, które są zaznajomione z konkretnymi tematami. Na przykład Komitet Organizacji sponsorujących Komisji Treadway, wspólna inicjatywa organizacji zawodowych, która zapewnia wskazówki dotyczące zarządzania ryzykiem, zasugerował, że ryzyko można podzielić na następujące cztery obszary:

  • ryzyko strategiczne (np. reputacja, relacje z klientami, innowacje techniczne);
  • ryzyko finansowe i sprawozdawcze (np. rynek, podatki, kredyty);
  • ryzyko zgodności i zarządzania (np. etyka, regulacje, handel międzynarodowy, Prywatność); oraz
  • ryzyko operacyjne (np., Bezpieczeństwo i prywatność informacji i technologii, łańcuch dostaw, problemy z pracą, klęski żywiołowe).

kategorie ryzyka pomagają również integrować informacje, gdy menedżerowie komunikują się, śledzą i dostosowują reakcję na ryzyko. W odniesieniu do każdej kategorii ryzyka zamierzony proces opracowywania scenariuszy zapewni, że wykaz będzie wystarczająco obszerny. Dostępnych jest wiele narzędzi ułatwiających wizualizację i ocenę scenariuszy. Przykłady obejmują następujące:

  • struktury podziału ryzyka dla ryzyka projektu (np., „Use a risk breakdown structure (RBS) to understand your risks”);
  • drzewa zagrożeń dla ryzyka cyberbezpieczeństwa (np. metodologia OCTAVE Allegro Carnegie Mellon); oraz
  • ćwiczenia Delphi do rozważania ryzyka inwestycyjnego.

ostatnim elementem tego pierwszego etapu, identyfikacji ryzyka, jest zapis wyników w rejestrze ryzyka. Rejestr ryzyka zapewnia sposób komunikowania i śledzenia różnych rodzajów ryzyka na kolejnych etapach. Przytoczony powyżej raport NISTIR 8286 stanowi przykład takiego rejestru wraz z przykładowym szablonem szczegółowości ryzyka, w którym można rejestrować wiele wyników etapów procesu zarządzania ryzykiem.

Analiza prawdopodobieństwa wystąpienia ryzyka i wpływu

jak wspomniano powyżej, ryzyko jest tylko ryzykiem, jeśli ma wpływ, więc drugim etapem procesu zarządzania ryzykiem jest analiza prawdopodobieństwa wystąpienia ryzyka i jego wymiernego wpływu.

istnieje cała nauka do analizy ryzyka, ale zasadniczo ten krok jest obliczeniem prawdopodobieństwa wystąpienia zdarzenia ryzyka i oszacowaniem wpływu konsekwencji, jeśli tak się stało. Chociaż często występuje natychmiastowy wpływ, mogą wystąpić również inne późniejsze konsekwencje, dlatego ważne jest, aby wziąć pod uwagę każdy z tych czynników w obliczeniach. Rozważ utratę laptopa zawierającego dokumentację medyczną pacjenta — nastąpi natychmiastowa utrata mienia, ale utrata tych informacji o pacjencie może skutkować grzywnami, procesami sądowymi i szkodami reputacyjnymi, które znacznie przekraczają koszt utraconego urządzenia.

analiza ryzyka powinna obejmować czynniki czasowe jako część obliczeń. Systemy sprawozdawczości finansowej są często uważane za krytyczne, ale w czasie przygotowania podatkowego ich integralność i dostępność mogą być szczególnie ważne. Częstotliwość zdarzeń ryzyka jest kolejnym czynnikiem czasowym do rozważenia.

wiele organizacji używa ogólnych lub jakościowych terminów do wyrażania tych wartości. Na przykład często używamy terminów takich jak „wysokie ryzyko” lub „niskie prawdopodobieństwo” do komunikowania ryzyka, lub być może używamy czerwono-żółto-zielonych schematów kolorów. Organizacje mogą skorzystać z bardziej naukowego i konkretnego podejścia ilościowego do analizy ryzyka. Na przykład analiza czynnikowa ryzyka informacyjnego (FAIR), utworzona w standardzie Openfair Open Group, może być wykorzystana do wykonywania szczegółowych obliczeń ryzyka, które mogą być bardziej pomocne niż kolory do szacowania.

istnieje kilkadziesiąt metod do przeprowadzania zarówno jakościowej, jak i ilościowej analizy ryzyka, z których wiele opisano w normie ISO/IEC (Międzynarodowa Komisja Elektrotechniczna) 31010, „Zarządzanie ryzykiem — techniki oceny ryzyka.”Publikacja ta wskazuje, że techniki „są stosowane w ramach etapów oceny ryzyka identyfikacji, analizy i oceny ryzyka, jak opisano w ISO 31000, a bardziej ogólnie, gdy istnieje potrzeba zrozumienia niepewności i jej skutków.”

ustalanie priorytetów w oparciu o Cele przedsiębiorstwa

wyniki analizy ryzyka umożliwiają sortowanie i uszeregowanie ryzyk na podstawie ich znaczenia. Ponieważ zasoby mogą być ograniczone, priorytetyzacja pomaga podkreślić te zagrożenia, które będą najbardziej prawdopodobne i najbardziej wpływowe. Odzwierciedlenie tych wyników w mapie ryzyka pomaga zwizualizować względne znaczenie każdego ryzyka, a także może być pomocny w dzieleniu się obserwacjami ryzyka z innymi zainteresowanymi stronami-szczególnie tymi, którzy mogą dostarczać (lub autoryzować) zasoby do reagowania na te ryzyka.

podczas gdy początkowa priorytetyzacja ryzyka może opierać się na połączeniu prawdopodobieństwa i wpływu, na ostateczną klasyfikację mogą mieć wpływ czynniki, które są ważne dla tych zainteresowanych stron. Na przykład, jeśli kierownictwo wyraziło, że zaufanie klientów jest kluczową wartością dla przedsiębiorstwa, można zwrócić uwagę na ryzyko, które może mieć wpływ na klientów.

traktuj ryzyko w opłacalny sposób

mając na uwadze priorytetową listę zagrożeń, następnym krokiem jest ocena dostępnych opcji leczenia tych zagrożeń i zastosowanie różnych metod i kontroli w celu osiągnięcia akceptowalnego poziomu ryzyka. Dostępnych jest kilka opcji, w tym następujące:

  • jeśli ryzyko, oparte na apetycie lidera na ryzyko, jest już na akceptowalnym poziomie, dalsze leczenie nie jest konieczne.
  • jeśli istnieje możliwość podzielenia się częścią wpływu z innym podmiotem (np., firma ubezpieczeniowa, Usługodawca Zewnętrzny), wówczas część ryzyka może zostać przeniesiona w ten sposób.
  • tam, gdzie można zastosować praktyczne, różne kontrole zarządzania, techniczne i administracyjne ryzyka, które pomogą zmniejszyć prawdopodobieństwo lub wpływ każdego ryzyka do akceptowalnego poziomu.
  • jeżeli nie można zastosować żadnej z tych metod reagowania na ryzyko, osoby zarządzające ryzykiem muszą unikać ryzyka poprzez wyeliminowanie działań lub ekspozycji, które umożliwiłyby rozważenie scenariusza.

ważne jest, aby mieć pewność, że stosowane metody są zarówno skuteczne, jak i opłacalne. Takie podejście wyjaśnia, dlaczego bank może używać łańcucha 20 centów do ochrony pióra atramentowego i skarbca wartego milion dolarów, aby chronić swoje rezerwy gotówkowe. Zasoby wymagane do leczenia ryzyka powinny być współmierne do aktywów objętych ochroną.

Monitoruj wyniki zarządzania ryzykiem

nawet po każdym z powyższych kroków ważne jest, aby wyniki były śledzone i monitorowane, aby upewnić się, że ryzyko pozostaje w granicach ustalonych przez liderów organizacji. Warunki ryzyka mogą się szybko zmieniać, wartości aktywów mogą się zmieniać, a preferencje interesariuszy mogą się zmieniać. Kluczowym elementem monitorowania jest zapewnienie, że menedżerowie i liderzy wyższego szczebla są informowani o postępach w realizacji celów związanych z ryzykiem i zmianach, które mogą mieć wpływ na organizację. Cykl jest podobny do PDSA (Plan-Do-Study-Act) cykl spopularyzowany przez dr W. Edwards Deming, umożliwiając ciągłe doskonalenie procesu zarządzania ryzykiem. Ponieważ różne zespoły w całej organizacji podejmują działania w celu identyfikacji, analizy i reagowania na ryzyko, wyniki informują i udoskonalają następną iterację.

podsumowanie

dzięki zastosowaniu tych kroków, w kontekście szerszych ram zarządzania i zarządzania, organizacje mogą konsekwentnie identyfikować te zagrożenia, które mogą mieć szkodliwy wpływ, a następnie ustalać priorytety w zakresie opłacalnego leczenia i monitorować wyniki w celu utrzymania ciągłej poprawy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.