vad är en riskhanteringsprocess och varför är det nödvändigt?

Risk representerar någon form av osäkerhet som kan förbättra eller minska förmågan att uppnå dina mål. Det kan ta många former, inklusive risker som påverkar projekt, ekonomi, säkerhet och integritet och miljön. För både positiva risker (möjligheter) eller negativa, behöver du ett avsiktligt tillvägagångssätt för att förstå balansen mellan risk och belöning. Den här artikeln fokuserar på processen för att hantera risker som kan ha en negativ inverkan på din organisation; liknande processer gäller för att bestämma hur man utnyttjar fördelaktig osäkerhet, dvs positiv risk.

den senaste historien har belyst den inverkan som riskfaktorer kan ha på hur företag och privatpersoner fungerar-och om de kan fortsätta att göra det. Möjligheten att navigera risk bättre än konkurrenter kommer säkert att bidra till företagets framgång. Underlåtenhet att göra det kan stava katastrof, kanske bortom återhämtning.

av dessa skäl är det viktigt att tillämpa en beprövad och konsekvent riskhanteringsprocess. När det bygger på en solid grund för att förstå organisationens mål, mål och interna/externa sammanhang, kommer en riskhanteringsprocess att hjälpa till att säkerställa din organisations framgång.

vilka är de 5 stegen i riskhanteringsprocessen?

många kunskapskroppar har dokumenterat riskhantering, men kanske den mest kända är den internationella organisationen för standardisering, eller ISO. ISO 31000-standarden, riskhantering-riktlinjer, innehåller omfattande information om hur man kommunicerar om, hanterar och övervakar olika risker. Processen är i huvudsak densamma för alla typer av enheter och omfattar följande fem steg:

denna artikel är en del av

Vad är riskhantering och varför är det viktigt?

  • som också inkluderar:
  • styrning, riskhantering och efterlevnad (GRC)
  • riskundvikande
  • riskkarta (riskvärmekarta)

  1. identifiera riskerna.
  2. analysera sannolikheten och effekten av varje.
  3. prioritera risk baserat på företagets mål.
  4. behandla (eller svara på) riskförhållandena.
  5. övervaka resultaten och använd dem för att justera, efter behov.

även om dessa steg är enkla har varje företag unika faktorer som påverkar hur det ska hantera och övervaka risker. För att fastställa och tillämpa dessa faktorer är det bra att tillämpa ett ramverk för riskhantering som en del av en övergripande strategi för planering, genomförande och spårning av den övergripande hanteringen av de olika riskerna.

fem steg i riskhanteringsprocessen
Figur 1. En effektiv riskhanteringsprocess kräver dessa fem steg.

det är också viktigt att komma ihåg att målet med riskhanteringsprocessen, inom ramen för en bred ram, inte är att helt eliminera all risk utan att bestämma acceptabla risknivåer, med tanke på dina mål, och sedan arbeta för att hålla dessa riskfaktorer inom överenskomna gränser. Stegen nedan hjälper till att bestämma och tillämpa specifika åtgärder för att göra det.

identifiera risker

det första steget är att bestämma de potentiella riskerna själva. Det kräver ett visst sammanhang: för att överväga vad som kan gå fel måste man börja med vad som måste gå rätt.

börja processen med en översyn av dina mål och mål och de olika resurserna eller tillgångarna som möjliggör dem. Riskutövare tillämpar ofta en top-down, bottom-up-strategi för att tänka på vad som kan hindra dessa mål.

den uppifrån och ner delen anser verksamhetskritiska program som inte bör försämras (som försäljningstransaktioner i en butik eller tillverkningsprocesser i en fabrik); det listar sedan de villkor som kan försämra dessa program.

för bottom-up-delen kan man överväga olika kända hotkällor (som jordbävningar, ransomware-attacker eller ekonomiska nedgångar) och fundera över vilken inverkan de kan ha på företaget.

eftersom risk per definition är någon osäkerhet som påverkar mål, är en risk endast en risk om den har inverkan. Ju mer påverkande en risk är, desto högre prioritet. Analysen av den prioriteringen kommer att ske i nästa steg, men först måste man överväga de olika riskfaktorerna för att skapa ett scenario som kan mätas.

NIST Interagency Report (NISTIR) 8286A – ”identifiera och uppskatta Cybersäkerhetsrisk för Enterprise Risk Management (ERM)” – ger vägledning om att utveckla riskscenarier. Enligt rapporten är följande fyra element nödvändiga för att vara närvarande för att beskriva en negativ risk (se Figur 2):

  1. en värdefull tillgång eller resurs som skulle påverkas;
  2. en källa till en hotande åtgärd som skulle agera mot den tillgången;
  3. ett redan existerande villkor (eller sårbarhet) som gör det möjligt för den hotkällan att agera; och
  4. någon skadlig inverkan som uppstår från hotkällan som utnyttjar den sårbarheten.

med dessa byggstenar kan man komponera en bred uppsättning riskscenarier som ska analyseras, sorteras och behandlas. Att beskriva risken som ett scenario hjälper till att kommunicera riskförhållandena och analysera sannolikheten och effekten av risken. Det gör det också lättare att överväga hur man ska svara. Ett exempel scenario kan vara, ” tillverkningsanläggningen påverkas av ett strömavbrott till följd av en tropisk storm, störa anläggningens verksamhet i flera dagar.”

attribut för en negativ risk
Figur 2. En negativ risk definieras som att ha dessa fyra attribut.

medan efterhand aldrig är perfekt, ger den användbar inblick i vilka riskhändelser som kan inträffa i framtiden. I synnerhet kan det vara till hjälp att granska rubriker om risker som liknande företag har mött, de villkor som möjliggjorde dem och hur riskerna påverkade organisationerna.

riskkategorier

vid övervägande av olika typer av risker kan det vara till hjälp att organisera dem i kategorier. Den kategoriseringen gör att varje typ av risk kan övervägas och spåras av individer eller team som är bekanta med vissa ämnen. Till exempel har Utskottet för sponsringsorganisationer i Treadway Commission, ett gemensamt initiativ från yrkesorganisationer som ger riskhanteringsvägledning, föreslagit att risk kan organiseras inom följande fyra områden:

  • strategisk risk (t. ex. rykte, kundrelationer, teknisk innovation);
  • finansiell risk och rapporteringsrisk (t. ex. marknad, skatt, kredit);
  • risk för efterlevnad och styrning (t. ex. etik, regelverk, internationell handel, integritet); och
  • operativ risk (t. ex., information och teknik säkerhet och integritet, leveranskedja, arbetsfrågor, naturkatastrofer).

riskkategorier hjälper också till att integrera information när Chefer kommunicerar om, spårar och justerar riskresponsen. För varje riskkategori kommer en avsiktlig process för att utveckla scenarierna att säkerställa att listan är tillräckligt omfattande. Många verktyg finns tillgängliga för att visualisera och utvärdera scenarierna. Exempel inkluderar följande:

  • riskfördelningsstrukturer för projektrisker (t. ex., ”Använd en riskuppdelningsstruktur (RBS) för att förstå dina risker”);
  • hotträd för cybersäkerhetsrisk (t.ex. Carnegie Mellons OCTAVE Allegro-metodik); och
  • Delphi-övningar för att överväga investeringsrisk.

den sista komponenten i detta första steg, riskidentifiering, är att registrera resultaten i ett riskregister. Riskregistret ger ett sätt att kommunicera och spåra de olika riskerna under efterföljande steg. NISTIR 8286-rapporten som nämns ovan ger ett exempel på ett sådant register, tillsammans med en provriskdetaljmall för att registrera många av resultaten av riskhanteringsprocessstegen.

analysera risk sannolikhet och påverkan

som nämnts ovan är en risk endast en risk om den har påverkan, så det andra steget i riskhanteringsprocessen är att analysera hur sannolikt det är att en risk kommer att uppstå och att den kommer att ha en mätbar inverkan.

det finns en hel vetenskap för riskanalys, men i huvudsak är detta steg en beräkning av sannolikheten för att en riskhändelse inträffar och en uppskattning av konsekvenserna av konsekvenserna om det hände. Även om det ofta finns en omedelbar inverkan kan det också finnas andra efterföljande konsekvenser, så det är viktigt att överväga var och en av dessa faktorer i beräkningarna. Tänk på förlusten av en bärbar dator som innehåller patientjournaler-det kommer att bli en omedelbar egendomsförlust, men förlusten av den patientinformationen kan leda till böter, rättegångar och rykteskador som överstiger kostnaden för den förlorade enheten.

riskanalys bör inkludera tidsfaktorer som en del av beräkningen. Finansiella rapporteringssystem anses ofta vara kritiska, men under skatteförberedelsetiden kan deras integritet och tillgänglighetsbehov vara särskilt viktiga. Frekvensen av riskhändelser är en annan tidsbaserad faktor att överväga.

många organisationer använder allmänna eller kvalitativa termer för att uttrycka dessa värden. Till exempel använder vi ofta termer som ”hög risk” eller ”låg sannolikhet” för att kommunicera risk, eller kanske använda rödgulgröna färgscheman. Organisationer kan dra nytta av en mer vetenskaplig och specifik kvantitativ strategi för riskanalys. Till exempel kan faktoranalysen av Informationsrisk (FAIR) – metoden, instansierad i Open Groups OpenFAIR-standard, användas för att utföra detaljerade riskberäkningar som kan vara mer användbara än färger för uppskattning.

det finns dussintals metoder för att utföra både kvalitativ och kvantitativ riskanalys, av vilka många beskrivs i ISO/IEC (International Electrotechnical Commission) standard 31010, ”riskhantering-riskbedömningstekniker.”Den publikationen påpekar att teknikerna” används inom riskbedömningsstegen för att identifiera, analysera och utvärdera risker som beskrivs i ISO 31000, och mer allmänt när det finns behov av att förstå osäkerhet och dess effekter.”

prioritera baserat på företagsmål

resultaten av riskanalysen gör det möjligt att sortera och rangordna riskerna baserat på deras betydelse. Eftersom resurser sannolikt kommer att vara begränsade hjälper prioritering att lyfta fram de risker som kommer att vara mest troliga och mest effektiva. Att reflektera dessa resultat i en riskkarta hjälper till att visualisera den relativa betydelsen av varje risk och kan också vara till hjälp för att dela riskobservationer med andra intressenter-särskilt de som kan tillhandahålla (eller auktorisera) resurser för att svara på dessa risker.

medan den initiala prioriteringen av risker kan baseras på kombinationen av sannolikhet och påverkan, kan den slutliga rankningen påverkas av faktorer som är viktiga för dessa intressenter. Till exempel, om ledarskap har uttryckt att kundförtroende är ett nyckelvärde för företaget, kan risker som kan påverka kunderna belysas.

behandla risker på ett kostnadseffektivt sätt

med en prioriterad lista över risker på plats är nästa steg att utvärdera tillgängliga alternativ för att behandla dessa risker och tillämpa olika metoder och kontroller för att uppnå en acceptabel risknivå. Det finns flera alternativ tillgängliga för att göra det, inklusive följande:

  • om risken, baserat på ledarskapets riskaptit, redan är på en acceptabel nivå, behövs ingen ytterligare behandling.
  • om det är möjligt att dela en del av effekten med en annan enhet (t. ex. en extern tjänsteleverantör), då kan en del av risken överföras på det sättet.
  • där praktiska, olika hanterings -, tekniska och administrativa riskkontroller kan tillämpas som hjälper till att minska sannolikheten för eller effekten av varje risk till en acceptabel nivå.
  • om ingen av dessa riskresponsmetoder kan tillämpas måste riskhanterare undvika risken genom att eliminera de aktiviteter eller exponeringar som skulle göra det möjligt att överväga scenariot.

det är viktigt att vara säker på att de metoder som tillämpas är både effektiva och kostnadseffektiva. Detta tillvägagångssätt förklarar varför en bank kan använda en 20-cent kedja för att skydda en bläckpenna och en miljon dollar valv för att skydda sina kassareserver. De resurser som krävs för att hantera risken bör stå i proportion till de tillgångar som skyddas.

övervaka riskhanteringsresultat

även efter vart och ett av ovanstående steg är det viktigt att resultaten spåras och övervakas för att säkerställa att riskerna förblir inom de gränser som fastställts av organisationens ledare. Riskförhållandena kan förändras snabbt, tillgångsvärdena kan fluktuera och intressenternas preferenser kan förändras. En viktig del av övervakningen är att se till att chefer och ledande ledare informeras om framsteg mot riskmål och förändringar som kan ha organisatorisk inverkan. Cykeln liknar PDSA-cykeln (Plan-Do-Study-Act) som populariserades av Dr.W. Edwards Deming, vilket möjliggör kontinuerlig förbättring av riskhanteringsprocessen. Eftersom olika team i hela organisationen vidtar åtgärder för att identifiera, analysera och reagera på risker, informerar och förfinar resultaten nästa iteration.

slutsats

genom tillämpning av dessa steg, i samband med en bredare ram för styrning och ledning, kan organisationer konsekvent identifiera de risker som sannolikt kommer att ha en skadlig inverkan, sedan prioritera kostnadseffektiv behandling och övervaka resultaten för att upprätthålla kontinuerlig förbättring.

Lämna ett svar

Din e-postadress kommer inte publiceras.