ce este un proces de gestionare a riscurilor și de ce este necesar?

riscul reprezintă orice fel de incertitudine care poate îmbunătăți sau reduce capacitatea de a vă atinge obiectivele. Poate lua multe forme, inclusiv riscuri care afectează proiectele, finanțele, securitatea și confidențialitatea și mediul. Atât pentru riscurile pozitive (oportunități), cât și pentru cele negative, aveți nevoie de o abordare intenționată pentru a înțelege echilibrul dintre risc și recompensă. Acest articol se concentrează pe procesul de gestionare a riscurilor care ar putea avea un impact negativ asupra organizației dvs.; procese similare se aplică determinării modului de exploatare a incertitudinii benefice, adică a riscului pozitiv.

istoria recentă a evidențiat impactul pe care factorii de risc îl pot avea asupra modului în care operează întreprinderile și persoanele fizice-și asupra faptului dacă pot continua să facă acest lucru. Capacitatea de a naviga mai bine riscul decât concurenții va contribui cu siguranță la succesul întreprinderii. Eșecul de a face acest lucru ar putea însemna dezastru, poate dincolo de recuperare.

din aceste motive, este important să se aplice un proces de gestionare a riscurilor dovedit și consecvent. Atunci când este construit pe o bază solidă de înțelegere a obiectivelor organizației, a obiectivelor și a contextului intern/extern, un proces de gestionare a riscurilor vă va ajuta să vă asigurați succesul organizației.

care sunt cele 5 etape ale procesului de management al riscului?

multe organisme de cunoștințe au documentat managementul riscului, dar poate cel mai cunoscut este cel al Organizației Internaționale pentru standardizare sau ISO. Standardul ISO 31000, Managementul Riscului-linii directoare, include informații extinse despre modul de comunicare, gestionare și monitorizare a diferitelor riscuri. Procesul este în esență același pentru orice tip de entitate și cuprinde următoarele cinci etape:

1. identificați riscurile.
2. analizați probabilitatea și impactul fiecăruia.
3. prioritizarea riscului pe baza obiectivelor întreprinderii.
4. tratați (sau răspundeți) condițiilor de risc.
5. Monitor rezultatele și de a folosi cele pentru a ajusta, după cum este necesar.

deși acești pași sunt simpli, fiecare afacere are factori unici care afectează modul în care ar trebui să gestioneze și să monitorizeze riscul. Pentru a determina și a aplica acești factori, este util să se aplice un cadru de gestionare a riscurilor ca parte a unei abordări cuprinzătoare a planificării, executării și urmăririi gestionării globale a diferitelor riscuri.

de asemenea, este important să rețineți că scopul procesului de gestionare a riscurilor, în contextul unui cadru larg, nu este de a elimina complet toate riscurile, ci de a determina niveluri acceptabile de risc, având în vedere obiectivele dvs., și apoi să lucrați pentru a menține acești factori de risc în limitele convenite. Pașii de mai jos vă vor ajuta să determinați și să aplicați acțiuni specifice pentru a face acest lucru.

identificarea riscurilor

primul pas este de a determina riscurile potențiale în sine. Acest lucru necesită un anumit context: pentru a lua în considerare ceea ce ar putea merge prost, trebuie să începem cu ceea ce trebuie să meargă bine.

începeți procesul cu o revizuire a obiectivelor și obiectivelor dvs. și a diferitelor resurse sau active care le permit. Practicienii de risc aplică adesea o abordare de sus în jos, de jos în sus, pentru a se gândi la ceea ce ar putea împiedica aceste obiective.

porțiunea de sus în jos ia în considerare programele critice pentru misiune care nu ar trebui să fie afectate (cum ar fi tranzacțiile de vânzare într-un magazin cu amănuntul sau procesele de fabricație dintr-o fabrică); apoi enumeră condițiile care ar putea afecta aceste programe.

pentru partea de jos în sus, se pot lua în considerare diferite surse de amenințare cunoscute (cum ar fi cutremure, atacuri ransomware sau recesiuni economice) și se pot gândi Ce impact ar putea avea asupra întreprinderii.

deoarece riscul este, prin definiție, orice incertitudine care afectează obiectivele, un risc este doar un risc dacă are impact. Cu cât este mai important un risc, cu atât este mai mare prioritatea. Analiza acestei priorități va avea loc în pasul următor, dar mai întâi trebuie să luăm în considerare diferiții factori de risc pentru a crea un scenariu care poate fi măsurat.

NIST Interagency Report (NISIR) 8286A – „identificarea și estimarea riscului de securitate cibernetică pentru managementul riscului întreprinderii (ERM)” – oferă îndrumări privind dezvoltarea scenariilor de risc. Conform raportului, următoarele patru elemente sunt necesare pentru a fi prezente pentru a descrie un risc negativ (a se vedea Figura 2):

1. un activ sau o resursă valoroasă care ar fi afectată;
2. o sursă a unei acțiuni amenințătoare care ar acționa împotriva acelui activ;
3. o condiție preexistentă (sau vulnerabilitate) care permite acelei surse de amenințare să acționeze; și
4. un impact dăunător care apare din sursa de amenințare care exploatează acea vulnerabilitate.

cu aceste blocuri de construcție, se poate compune un set larg de scenarii de risc pentru a fi analizate, sortate și tratate. Descrierea riscului ca scenariu ajută la comunicarea condițiilor de risc și la analizarea probabilității și impactului riscului. De asemenea, este mai ușor să ia în considerare modul de a răspunde. Un exemplu de scenariu ar putea fi: „Uzina de producție este afectată de o pană de curent rezultată dintr-o furtună tropicală, perturbând operațiunile fabricii timp de câteva zile.”

deși retrospectiva nu este niciodată perfectă, oferă o perspectivă utilă asupra evenimentelor de risc care ar putea apărea în viitor. În special, poate fi util să revizuiți titlurile despre riscurile cu care s-au confruntat întreprinderile similare, condițiile care le-au permis și modul în care riscurile au afectat organizațiile.

categorii de risc

în luarea în considerare a diferitelor tipuri de risc, poate fi util să le organizați în categorii. Această clasificare permite ca fiecare tip de risc să fie luat în considerare și urmărit de persoane sau Echipe care sunt familiarizate cu anumite subiecte. De exemplu, Comitetul organizațiilor sponsorizate ale Comisiei Treadway, o inițiativă comună a organizațiilor profesionale care oferă îndrumări privind gestionarea riscurilor, a sugerat că riscul poate fi organizat în următoarele patru domenii:

• risc strategic (de exemplu, reputație, relații cu clienții, inovație tehnică);
• risc financiar și de raportare (de exemplu, piață, impozit, credit);
• risc de Conformitate și guvernanță (de exemplu, etică, reglementare, comerț internațional, confidențialitate); și
• risc operațional (de exemplu., securitatea și confidențialitatea informațiilor și tehnologiei, lanțul de aprovizionare, problemele muncii, dezastrele naturale).

categoriile de riscuri contribuie, de asemenea, la integrarea informațiilor pe măsură ce managerii comunică, urmăresc și ajustează răspunsul la risc. Pentru fiecare categorie de risc, un proces intenționat de elaborare a scenariilor va asigura că lista este suficient de cuprinzătoare. Multe instrumente sunt disponibile pentru a ajuta la vizualizarea și evaluarea scenariilor. Exemplele includ următoarele:

• structuri de defalcare a riscurilor pentru riscurile proiectului (de ex., „Utilizați o structură de defalcare a riscurilor (RBS) pentru a vă înțelege riscurile”);
• arbori de amenințare pentru riscul de securitate cibernetică (de exemplu, metodologia Octave Allegro a lui Carnegie Mellon); și
• exerciții Delphi pentru luarea în considerare a riscului de investiții.

componenta finală a acestei prime etape, identificarea riscurilor, este înregistrarea constatărilor într-un registru al riscurilor. Registrul de risc oferă un mijloc de comunicare și urmărire a diferitelor riscuri pe parcursul etapelor ulterioare. Raportul NISIR 8286 citat mai sus oferă un exemplu de astfel de registru, împreună cu un eșantion de șablon detaliat al riscului în care să se înregistreze multe dintre rezultatele etapelor procesului de gestionare a riscurilor.

analiza riscului probabilitatea și impactul

după cum sa menționat mai sus, un risc este doar un risc dacă are impact, astfel încât a doua etapă a procesului de gestionare a riscurilor este de a analiza cât de probabil este că un risc va apărea și că va avea un impact măsurabil.

există o întreagă știință pentru analiza riscului, dar în esență acest pas este un calcul al probabilității apariției unui eveniment de risc și o estimare a impactului consecințelor dacă s-ar întâmpla acest lucru. Deși există adesea un impact imediat, pot exista și alte consecințe ulterioare, de aceea este important să se ia în considerare fiecare dintre acești factori în calcule. Luați în considerare pierderea unui laptop care conține fișele medicale ale pacienților-va exista o pierdere imediată a proprietății, dar pierderea informațiilor despre pacient ar putea duce la amenzi, procese și daune reputaționale care depășesc cu mult costul dispozitivului pierdut.

analiza riscurilor ar trebui să includă factori de timp ca parte a calculului. Sistemele de raportare financiară sunt adesea considerate critice, dar în timpul pregătirii fiscale nevoile lor de integritate și disponibilitate ar putea fi deosebit de importante. Frecvența evenimentelor de risc este un alt factor bazat pe timp de luat în considerare.

multe organizații folosesc termeni generali sau calitativi pentru a exprima aceste valori. De exemplu, folosim adesea termeni precum „risc ridicat” sau „probabilitate scăzută” pentru a comunica riscul sau poate folosim scheme de culori roșu-galben-verde. Organizațiile pot beneficia de o abordare cantitativă mai științifică și mai specifică a analizei riscurilor. De exemplu, analiza factorială a riscului Informațional (FAIR) abordare, instanțiată în grupul deschis ‘ s OpenFAIR standard, poate fi utilizat pentru a efectua calcule detaliate de risc care pot fi mai utile decât culorile pentru estimare.

există zeci de metode pentru a efectua atât analiza calitativă, cât și cantitativă a riscurilor, dintre care multe sunt descrise în standardul ISO/IEC (Comisia Electrotehnică Internațională) 31010, „Managementul Riscului-tehnici de evaluare a riscurilor.”Această publicație subliniază faptul că tehnicile” sunt utilizate în cadrul etapelor de evaluare a riscurilor de identificare, analiză și evaluare a riscului descrise în ISO 31000 și, în general, ori de câte ori este nevoie să se înțeleagă incertitudinea și efectele acesteia.”

prioritizează pe baza obiectivelor întreprinderii

rezultatele analizei riscurilor permit sortarea și clasificarea riscurilor în funcție de importanța lor. Deoarece resursele sunt susceptibile de a fi limitate, prioritizarea ajută la evidențierea acelor riscuri care vor fi cele mai probabile și mai impactante. Reflectarea acestor rezultate într-o hartă a riscurilor ajută la vizualizarea importanței relative a fiecărui risc și poate fi, de asemenea, utilă în partajarea observațiilor de risc cu alte părți interesate-în special cu cei care pot furniza (sau autoriza) resurse pentru a răspunde acestor riscuri.

în timp ce prioritizarea inițială a riscurilor se poate baza pe combinația dintre probabilitate și impact, clasamentul final ar putea fi influențat de factori importanți pentru aceste părți interesate. De exemplu, dacă conducerea a exprimat că încrederea clienților este o valoare cheie pentru întreprindere, atunci riscurile care ar putea avea impact asupra clienților ar putea fi evidențiate.

tratarea riscurilor într-o manieră rentabilă

cu o listă prioritară a riscurilor în vigoare, următorul pas este evaluarea opțiunilor disponibile pentru tratarea acestor riscuri și aplicarea diferitelor metode și controale pentru a atinge un nivel acceptabil de risc. Există mai multe opțiuni disponibile pentru a face acest lucru, inclusiv următoarele:

• dacă riscul, bazat pe apetitul de risc al conducerii, este deja la un nivel acceptabil, nu este necesar un tratament suplimentar.
• dacă este posibil să se împartă o parte din impact cu o altă entitate (de ex., o firmă de asigurări, un furnizor extern de servicii), atunci o parte din risc poate fi transferată în acest mod.
• în cazul în care este practic, pot fi aplicate diferite controale de gestionare, tehnice și administrative ale riscurilor care vor contribui la reducerea probabilității sau a impactului fiecărui risc la un nivel acceptabil.
• dacă niciuna dintre aceste metode de răspuns la risc nu poate fi aplicată, administratorii de risc trebuie să evite riscul prin eliminarea activităților sau expunerilor care ar permite luarea în considerare a scenariului.

este important să ne asigurăm că metodele aplicate sunt atât eficiente, cât și rentabile. Această abordare explică de ce o bancă ar putea folosi un lanț de 20 de cenți pentru a proteja un stilou de cerneală și un seif de milioane de dolari pentru a-și proteja rezervele de numerar. Resursele necesare pentru tratarea riscului ar trebui să fie proporționale cu activele protejate.

monitorizarea rezultatelor managementului riscului

chiar și după fiecare dintre pașii de mai sus, este important ca rezultatele să fie urmărite și monitorizate pentru a se asigura că riscurile rămân în limitele stabilite de liderii organizației. Condițiile de risc se pot schimba rapid, valorile activelor pot fluctua și preferințele părților interesate se pot schimba. O parte critică a monitorizării este asigurarea faptului că managerii și liderii seniori sunt informați cu privire la progresul către obiectivele de risc și schimbările care ar putea avea impact organizațional. Ciclul este similar cu ciclul PDSA (Plan-Do-Study-Act) popularizat de Dr.W. Edwards Deming, permițând îmbunătățirea continuă a procesului de gestionare a riscurilor. Pe măsură ce diferite echipe din întreaga organizație iau măsuri pentru a identifica, analiza și răspunde la risc, rezultatele informează și perfecționează următoarea iterație.

concluzie

prin aplicarea acestor etape, în contextul unui cadru mai larg de guvernare și management, organizațiile pot identifica în mod constant acele riscuri care pot avea un impact dăunător, apoi prioritizează tratamentul rentabil și monitorizează rezultatele pentru a menține îmbunătățirea continuă.