zarządzanie ryzykiem

17 lutego 2021
Category: Które Mogą

Zarządzanie ryzykiem to proces identyfikacji, oceny i kontrolowania zagrożeń dla kapitału i zysków organizacji. Te zagrożenia lub ryzyka mogą wynikać z wielu różnych źródeł, w tym niepewności finansowej, zobowiązań prawnych, strategicznych błędów zarządzania, wypadków i klęsk żywiołowych. Zagrożenia bezpieczeństwa IT i ryzyko związane z danymi oraz strategie zarządzania ryzykiem mające na celu ich złagodzenie stały się najwyższym priorytetem dla firm zdigitalizowanych. W rezultacie plan zarządzania ryzykiem w coraz większym stopniu obejmuje procesy firm w zakresie identyfikowania i kontrolowania zagrożeń dla jej aktywów cyfrowych, w tym zastrzeżonych danych korporacyjnych, danych osobowych klienta (PII) i własności intelektualnej.

Każda firma i organizacja narażona jest na ryzyko nieoczekiwanych, szkodliwych zdarzeń, które mogą kosztować firmę lub spowodować jej trwałe zamknięcie. Zarządzanie ryzykiem pozwala organizacjom na podjęcie próby przygotowania się na nieoczekiwane poprzez zminimalizowanie ryzyka i dodatkowych kosztów, zanim to nastąpi.

Treść jest kontynuowana poniżej

Bezpłatny przewodnik: Jak oceniać, wybierać i wdrażać oprogramowanie GRC dla przedsiębiorstw

Poznaj 7 bezpłatnych narzędzi GRC, o których powinien wiedzieć każdy specjalista ds. Zgodności oraz jak oceniać, wybierać i wdrażać oprogramowanie GRC dla przedsiębiorstw. Ponadto zdobądź listę kontrolną GRC, która pomoże Ci jak najlepiej zorganizować program GRC.

Wdrażając plan zarządzania ryzykiem i biorąc pod uwagę różne potencjalne ryzyka lub zdarzenia, zanim one wystąpią, organizacja może zaoszczędzić pieniądze i zabezpieczyć swoją przyszłość. Dzieje się tak, ponieważ solidny plan zarządzania ryzykiem pomoże firmie ustalić procedury pozwalające uniknąć potencjalnych zagrożeń, zminimalizować ich wpływ w przypadku ich wystąpienia i poradzić sobie z wynikami. Ta zdolność rozumienia i kontrolowania ryzyka pozwala organizacjom na większą pewność przy podejmowaniu decyzji biznesowych. Ponadto silne zasady ładu korporacyjnego, które koncentrują się w szczególności na zarządzaniu ryzykiem, mogą pomóc firmie osiągnąć jej cele.

Inne ważne korzyści z zarządzania ryzykiem obejmują:

  • Tworzy bezpieczne środowisko pracy dla wszystkich pracowników i klientów.
  • Zwiększa stabilność operacji biznesowych, jednocześnie zmniejszając odpowiedzialność prawną.Zapewnia ochronę przed zdarzeniami szkodliwymi zarówno dla firmy, jak i środowiska.Chroni wszystkie zaangażowane osoby i aktywa przed potencjalną krzywdą.Pomaga ustalić potrzeby ubezpieczeniowe organizacji, aby zaoszczędzić na zbędnych składkach.Ujawniono również znaczenie połączenia zarządzania ryzykiem z bezpieczeństwem pacjentów. W większości szpitali i organizacji wydziały zarządzania ryzykiem i bezpieczeństwa pacjentów są oddzielone; obejmują różne przywództwo, cele i zakresy. Jednak niektóre szpitale zdają sobie sprawę, że możliwość zapewnienia bezpiecznej, wysokiej jakości opieki nad pacjentem jest niezbędna do ochrony aktywów finansowych, w związku z czym powinna zostać włączona do zarządzania ryzykiem.

    W 2006 roku Virginia Mason Medical Center w Seattle w stanie Waszyngton zintegrowało swoje funkcje zarządzania ryzykiem z działem bezpieczeństwa pacjentów, ostatecznie tworząc metody zarządzania Virginia Mason Production System (VMPS). VMPS koncentruje się na ciągłym ulepszaniu systemu bezpieczeństwa pacjentów poprzez zwiększanie przejrzystości w zakresie ograniczania ryzyka, ujawniania i raportowania. Od czasu wdrożenia tego nowego systemu Virginia Mason doświadczyła znacznego obniżenia składek na personel szpitalny i znacznego wzrostu kultury raportowania.

    Wszystkie plany zarządzania ryzykiem obejmują te same kroki, które składają się na ogólny proces zarządzania ryzykiem:

    • Ustal kontekst. Zrozum okoliczności, w których będzie miała miejsce reszta procesu. Należy również określić kryteria, które będą stosowane do oceny ryzyka, oraz zdefiniować strukturę analizy.
    • Identyfikacja ryzyka. Firma identyfikuje i definiuje potencjalne ryzyka, które mogą negatywnie wpłynąć na określony proces lub projekt w firmie. Ocena ryzyka. Po zidentyfikowaniu określonych rodzajów ryzyka firma określa prawdopodobieństwo ich wystąpienia oraz ich konsekwencje. Celem analizy ryzyka jest dalsze zrozumienie każdego konkretnego przypadku ryzyka oraz tego, jak może ono wpłynąć na projekty i cele firmy. Ocena i ocena ryzyka. Ryzyko podlega dalszej ocenie po określeniu ogólnego prawdopodobieństwa wystąpienia ryzyka w połączeniu z jego ogólnymi konsekwencjami. Firma może wtedy podejmować decyzje, czy ryzyko jest akceptowalne i czy jest skłonne je podjąć w oparciu o swój apetyt na ryzyko. Ograniczanie ryzyka . Na tym etapie firmy oceniają najwyższe sklasyfikowane ryzyka i opracowują plan złagodzenia ich za pomocą określonych kontroli ryzyka. Plany te obejmują procesy ograniczania ryzyka, taktyki zapobiegania ryzyku i plany awaryjne na wypadek urzeczywistnienia się ryzyka. Monitorowanie ryzyka . Część planu łagodzenia ryzyka obejmuje działania następcze zarówno w odniesieniu do zagrożeń, jak i ogólny plan ciągłego monitorowania i śledzenia nowych i istniejących zagrożeń. Należy również poddać przeglądowi i odpowiednio zaktualizować ogólny proces zarządzania ryzykiem. Komunikuj się i konsultuj. Akcjonariusze wewnętrzni i zewnętrzni powinni być włączani do komunikacji i konsultacji na każdym odpowiednim etapie procesu zarządzania ryzykiem oraz w odniesieniu do całego procesu.Strategie zarządzania ryzykiem powinny również próbować odpowiedzieć na następujące pytania:

      1. Co może pójść źle? Rozważ zarówno miejsce pracy jako całość, jak i pracę indywidualną.
      2. Jak to wpłynie na organizację? Rozważ prawdopodobieństwo zdarzenia i czy będzie miało duży czy mały wpływ.Co można zrobić? Jakie kroki można podjąć, aby zapobiec utracie? Co można zrobić, aby odzyskać utracone dane?Jeśli coś się stanie, w jaki sposób organizacja za to zapłaci?Po zidentyfikowaniu specyficznych ryzyk firmy i wdrożeniu procesu zarządzania ryzykiem istnieje kilka różnych strategii, które firmy mogą przyjąć w odniesieniu do różnych rodzajów ryzyka:

        • Unikanie ryzyka . Podczas gdy całkowita eliminacja wszelkiego ryzyka jest rzadko możliwa, strategia unikania ryzyka ma na celu odrzucenie jak największej liczby zagrożeń, aby uniknąć kosztownych i destrukcyjnych konsekwencji szkodliwego zdarzenia.
        • Redukcja ryzyka . Firmy są czasami w stanie zmniejszyć ilość szkód, jakie pewne ryzyko może mieć w procesach firmy. Osiąga się to poprzez dostosowanie pewnych aspektów ogólnego planu projektu lub procesu firmy lub poprzez ograniczenie ich zakresu. Podział ryzyka. Czasami konsekwencje ryzyka są dzielone lub rozdzielane między kilku uczestników projektu lub departamenty biznesowe. Ryzyko można również podzielić na stronę trzecią, taką jak sprzedawca lub partner biznesowy. Zachowanie ryzyka. Czasami firmy decydują, że ryzyko jest tego warte z biznesowego punktu widzenia, i decydują się zachować ryzyko i radzić sobie z każdym potencjalnym opadem. Firmy często zachowują pewien poziom ryzyka, jeśli przewidywany zysk projektu jest większy niż koszty jego potencjalnego ryzyka.Chociaż zarządzanie ryzykiem może być niezwykle korzystną praktyką dla organizacji, należy również wziąć pod uwagę jego ograniczenia. Wiele technik analizy ryzyka – takich jak tworzenie modelu lub symulacja – wymaga zebrania dużych ilości danych. To obszerne gromadzenie danych może być kosztowne i nie gwarantuje się niezawodności.

          Ponadto wykorzystanie danych w procesach decyzyjnych może przynieść słabe wyniki, jeżeli stosuje się proste wskaźniki odzwierciedlające znacznie bardziej złożone realia sytuacji. Podobnie, podjęcie przez cały projekt decyzji, która była przeznaczona dla jednego małego aspektu, może prowadzić do nieoczekiwanych rezultatów.

          Kolejnym ograniczeniem jest brak wiedzy i czasu na analizę. Opracowano programy komputerowe do symulacji zdarzeń, które mogą mieć negatywny wpływ na firmę. Choć opłacalne, te złożone programy wymagają wyszkolonego personelu o wszechstronnych umiejętnościach i wiedzy, aby dokładnie zrozumieć wygenerowane wyniki. Analizowanie danych historycznych w celu identyfikacji zagrożeń również wymaga wysoko wyszkolonego personelu. Osoby te nie zawsze mogą być przypisane do projektu. Nawet jeśli tak jest, często nie ma wystarczająco dużo czasu na zebranie wszystkich ustaleń, co prowadzi do konfliktów.

          Inne ograniczenia obejmują:

          • Fałszywe poczucie stabilności. Miary wartości zagrożonej koncentrują się na przeszłości zamiast na przyszłości. Dlatego im dłużej wszystko idzie gładko, tym lepiej wygląda sytuacja. Niestety, zwiększa to prawdopodobieństwo spowolnienia.
          • Iluzja kontroli. Modele ryzyka mogą dać organizacjom fałszywe przekonanie, że mogą oszacować i regulować każde potencjalne ryzyko. Może to spowodować, że organizacja zlekceważy możliwość wystąpienia nowych lub nieoczekiwanych zagrożeń. Ponadto nie ma danych historycznych dla nowych produktów, więc nie ma doświadczenia, na którym można by opierać modele. Brak pełnego obrazu. Trudno jest zobaczyć i zrozumieć pełny obraz skumulowanego ryzyka. Zarządzanie ryzykiem jest niedojrzałe. Zasady zarządzania ryzykiem organizacji są niedopracowane i brakuje im historii umożliwiającej dokonywanie dokładnych ocen.Od początku XXI wieku kilka organów branżowych i rządowych rozszerzyło przepisy dotyczące zgodności z przepisami, które analizują plany, polityki i procedury zarządzania ryzykiem firm. W coraz większej liczbie branż od zarządów wymaga się dokonywania przeglądów i raportowania adekwatności procesów zarządzania ryzykiem w przedsiębiorstwie. W rezultacie analiza ryzyka, audyty wewnętrzne i inne sposoby oceny ryzyka stały się głównymi elementami strategii biznesowej.

            Standardy zarządzania ryzykiem zostały opracowane przez kilka organizacji, w tym Narodowy Instytut Norm i Technologii (NIST) oraz Międzynarodową Organizację Normalizacyjną (ISO). Normy te mają na celu pomóc organizacjom zidentyfikować określone zagrożenia, ocenić unikalne podatności w celu określenia ich ryzyka, zidentyfikować sposoby ograniczenia tego ryzyka, a następnie wdrożyć działania mające na celu zmniejszenie ryzyka zgodnie ze strategią organizacji.

            Na przykład zasady ISO 31000 zapewniają ramy dla usprawnień procesów zarządzania ryzykiem, które mogą być stosowane przez firmy, niezależnie od wielkości organizacji lub sektora docelowego. ISO 31000 ma na celu „zwiększenie prawdopodobieństwa osiągnięcia celów, poprawę identyfikacji szans i zagrożeń oraz efektywną alokację i wykorzystanie zasobów do zarządzania ryzykiem, zgodnie ze stroną internetową ISO. Chociaż ISO 31000 nie można stosować do celów certyfikacji, może pomóc w dostarczeniu wskazówek dotyczących wewnętrznego lub zewnętrznego audytu ryzyka i umożliwia organizacjom porównanie ich praktyk zarządzania ryzykiem z uznanymi na świecie wzorcami.

            ISO zaleca, aby następujące docelowe obszary lub zasady były częścią ogólnego procesu zarządzania ryzykiem:

            • Proces powinien tworzyć wartość dla organizacji.
            • Powinien stanowić integralną część całego procesu organizacyjnego.Powinien uwzględniać ogólny proces decyzyjny firmy.Musi wyraźnie uwzględniać wszelkie wątpliwości.Powinien być systematyczny i zorganizowany.Powinien opierać się na najlepszych dostępnych informacjach.Powinien być dopasowany do projektu.Musi uwzględniać czynniki ludzkie, w tym potencjalne błędy.Powinien być przejrzysty i wszechstronny.Powinien być dostosowywalny do zmian.Powinien być stale monitorowany i ulepszany.Normy ISO i podobne zostały opracowane na całym świecie, aby pomóc organizacjom w systematycznym wdrażaniu najlepszych praktyk zarządzania ryzykiem. Ostatecznym celem tych standardów jest ustanowienie wspólnych ram i procesów w celu skutecznego wdrażania strategii zarządzania ryzykiem.

              Normy te są często uznawane przez międzynarodowe organy regulacyjne lub przez docelowe grupy branżowe. Są również regularnie uzupełniane i aktualizowane w celu odzwierciedlenia szybko zmieniających się źródeł ryzyka biznesowego. Chociaż przestrzeganie tych standardów jest zwykle dobrowolne, może to być wymagane przez branżowe organy regulacyjne lub umowy biznesowe.

              Jednym z przykładów zarządzania ryzykiem może być biznes identyfikujący różne ryzyka związane z otwarciem nowej lokalizacji. Mogą złagodzić ryzyko, wybierając lokalizacje o dużym natężeniu ruchu pieszego i niewielkiej konkurencji ze strony podobnych firm w okolicy.

              Innym przykładem może być park rozrywki na świeżym powietrzu, który przyznaje, że ich działalność jest całkowicie zależna od pogody. Aby zmniejszyć ryzyko dużego uderzenia finansowego w przypadku złego sezonu, park może zdecydować się na konsekwentne wydawanie niskich wydatków i gromadzenie rezerw gotówkowych.

              Jeszcze innym przykładem może być inwestor kupujący akcje nowej, ekscytującej spółki o wysokiej wycenie, mimo że wie, że akcje mogą znacznie spaść. W takiej sytuacji akceptacja ryzyka jest widoczna, gdy inwestor kupuje pomimo zagrożenia, czując, że potencjał dużej nagrody przeważa nad ryzykiem.

We use cookies to provide you with the best possible experience. By continuing, we will assume that you agree to our cookie policy