Managementul riscurilor - Risk management

Exemplu de evaluare a riscurilor: un model NASA care arată zone cu risc ridicat de impact pentru Stația Spațială Internațională

Managementul riscurilor este identificarea, evaluarea și prioritizarea riscurilor (definite în ISO 31000 ca efect al incertitudinii asupra obiectivelor ) urmată de aplicarea coordonată și economică a resurselor pentru a minimiza, monitoriza și controla probabilitatea sau impactul evenimentelor nefericite sau pentru a maximiza realizarea oportunităților.

Riscurile pot proveni din diverse surse, inclusiv incertitudinea pe piețele internaționale , amenințările cauzate de eșecurile proiectului (în orice fază a proiectării, dezvoltării, producției sau susținerii ciclurilor de viață), pasivelor legale, riscului de credit, accidentelor, cauzelor naturale și dezastrelor , atacului deliberat de la un adversar sau evenimente cu o cauză rădăcină incertă sau imprevizibilă . Există două tipuri de evenimente, adică evenimentele negative pot fi clasificate drept riscuri, în timp ce evenimentele pozitive sunt clasificate ca oportunități. Standardele de gestionare a riscurilor au fost elaborate de diverse instituții, inclusiv Institutul de Management al Proiectelor , Institutul Național de Standarde și Tehnologie , societăți actuariale și standarde ISO. Metodele, definițiile și obiectivele variază foarte mult în funcție de faptul dacă metoda de gestionare a riscurilor se află în contextul managementului proiectului, securității, ingineriei , proceselor industriale , portofoliilor financiare, evaluărilor actuariale sau sănătății și siguranței publice.

Strategiile de gestionare a amenințărilor (incertitudini cu consecințe negative) includ în mod obișnuit evitarea amenințării, reducerea efectului negativ sau a probabilității amenințării, transferarea totală sau parțială a amenințării către o altă parte și chiar păstrarea uneia sau a tuturor consecințelor potențiale sau reale ale o amenințare specială. Opusul acestor strategii poate fi folosit pentru a răspunde oportunităților (stări incerte de viitor cu beneficii).

Anumite standarde de gestionare a riscurilor au fost criticate pentru că nu au nicio îmbunătățire măsurabilă a riscului, în timp ce încrederea în estimări și decizii pare să crească.

Introducere

Un vocabular utilizat pe scară largă pentru gestionarea riscurilor este definit de Ghidul ISO 73: 2009 , „Managementul riscurilor. Vocabular”.

În gestionarea ideală a riscurilor, este urmat un proces de stabilire a priorităților prin care se tratează mai întâi riscurile cu cea mai mare pierdere (sau impact) și cea mai mare probabilitate de apariție. Riscurile cu probabilitate mai mică de apariție și pierderi mai mici sunt tratate în ordine descrescătoare. În practică, procesul de evaluare a riscului general poate fi dificil, iar echilibrarea resurselor utilizate pentru atenuarea riscurilor cu o probabilitate ridicată de apariție, dar cu pierderi mai mici, comparativ cu un risc cu pierderi mari, dar cu o probabilitate mai mică de apariție, poate fi adesea tratată greșit.

Managementul riscului necorporal identifică un nou tip de risc care are o probabilitate de 100% să apară, dar este ignorat de organizație din cauza lipsei capacității de identificare. De exemplu, atunci când cunoștințele deficitare sunt aplicate unei situații, se materializează un risc de cunoaștere . Riscul relației apare atunci când apare o colaborare ineficientă. Riscul implicării procesului poate fi o problemă atunci când se aplică proceduri operaționale ineficiente. Aceste riscuri reduc direct productivitatea lucrătorilor din cunoștințe, scad rentabilitatea, profitabilitatea, serviciile, calitatea, reputația, valoarea mărcii și calitatea câștigurilor. Managementul riscurilor necorporale permite managementului riscului să creeze valoare imediată din identificarea și reducerea riscurilor care reduc productivitatea.

Costul oportunității reprezintă o provocare unică pentru managerii de risc. Poate fi dificil să stabiliți când să puneți resursele în direcția gestionării riscurilor și când să le utilizați în altă parte. Din nou, managementul ideal al riscurilor minimizează cheltuielile (sau forța de muncă sau alte resurse) și, de asemenea, minimizează efectele negative ale riscurilor.

Riscul este definit ca posibilitatea ca un eveniment să aibă loc care afectează negativ atingerea unui obiectiv. Prin urmare, incertitudinea este un aspect cheie al riscului. Sisteme precum Comitetul Organizațiilor Sponsorizate ale Comisiei Treadway Commission Enterprise Risk Management (COSO ERM), pot ajuta managerii în atenuarea factorilor de risc. Fiecare companie poate avea diferite componente de control intern, ceea ce duce la rezultate diferite. De exemplu, cadrul pentru componentele ERM include mediul intern, stabilirea obiectivelor, identificarea evenimentelor, evaluarea riscului, răspuns la risc, activități de control, informații și comunicare și monitorizare.

Metodă

În cea mai mare parte, aceste metode constau din următoarele elemente, efectuate, mai mult sau mai puțin, în următoarea ordine.

  1. Identificați amenințările
  2. Evaluează vulnerabilitatea activelor critice la amenințări specifice
  3. Determinați riscul (adică probabilitatea și consecințele preconizate ale unor tipuri specifice de atacuri asupra unor active specifice)
  4. Identificați modalități de reducere a acestor riscuri
  5. Prioritizează măsurile de reducere a riscurilor

Principii

Organizația Internațională de Standardizare (ISO) identifică următoarele principii de gestionare a riscurilor:

Managementul riscurilor ar trebui:

  • Creați valoare - resursele cheltuite pentru a atenua riscul ar trebui să fie mai mici decât consecința inacțiunii
  • Fiți o parte integrantă a proceselor organizaționale
  • Faceți parte din procesul de luare a deciziilor
  • Abordați în mod explicit incertitudinea și ipotezele
  • Fii un proces sistematic și structurat
  • Fii bazat pe cele mai bune informații disponibile
  • Fii adaptabil
  • Luați în considerare factorii umani
  • Fii transparent și incluziv
  • Fii dinamic, iterativ și receptiv la schimbări
  • Fii capabil de îmbunătățire și îmbunătățire continuă
  • Fiți reevaluat continuu sau periodic

Risc ușor față de riscul sălbatic

Benoit Mandelbrot a făcut distincția între riscul „ușor” și „sălbatic” și a susținut că evaluarea și gestionarea riscurilor trebuie să fie fundamental diferite pentru cele două tipuri de risc. Riscul ușor urmează distribuții de probabilitate normale sau aproape normale , este supus regresiei la media și legea numărului mare și, prin urmare, este relativ previzibil. Riscul sălbatic urmează distribuțiilor cu coadă grasă , de exemplu, distribuțiile Pareto sau legea puterii , este supus regresiei la coadă (medie infinită sau varianță, ceea ce face legea numărului mare invalid sau ineficient) și, prin urmare, este dificil sau imposibil de previzionat. O eroare comună în evaluarea și gestionarea riscurilor este de a subestima sălbăticia riscului, presupunând că riscul este ușor atunci când este de fapt sălbatic, ceea ce trebuie evitat dacă evaluarea și gestionarea riscurilor trebuie să fie valabile și fiabile, potrivit lui Mandelbrot.

Proces

Conform standardului ISO 31000 „Managementul riscului - Principii și orientări privind implementarea”, procesul de gestionare a riscului constă în mai mulți pași după cum urmează:

Stabilirea contextului

Aceasta implică:

  1. observarea contextului
    • sfera socială a managementului riscurilor
    • identitatea și obiectivele părților interesate
    • baza pe care vor fi evaluate riscurile, constrângeri.
  2. definirea unui cadru pentru activitate și a unei agende de identificare
  3. dezvoltarea unei analize a riscurilor implicate în proces
  4. atenuarea sau soluționarea riscurilor folosind resursele tehnologice, umane și organizaționale disponibile

Identificare

După stabilirea contextului, următorul pas în procesul de gestionare a riscului este identificarea riscurilor potențiale. Riscurile sunt legate de evenimente care, atunci când sunt declanșate, cauzează probleme sau beneficii. Prin urmare, identificarea riscurilor poate începe cu sursa problemelor și cu cea a concurenților (beneficiu) sau cu consecințele problemei.

  • Analiza sursei - sursele de risc pot fi interne sau externe sistemului care este ținta gestionării riscurilor (utilizați reducerea în loc de gestionare, deoarece, prin propria sa definiție, riscul se ocupă de factori de luare a deciziilor care nu pot fi gestionați).

Câteva exemple de surse de risc sunt: ​​părțile interesate ale unui proiect, angajații unei companii sau vremea peste aeroport.

  • Analiza problemelor - Riscurile sunt legate de amenințările identificate. De exemplu: amenințarea de a pierde bani, amenințarea cu abuzul de informații confidențiale sau amenințarea cu erori umane, accidente și victime. Amenințările pot exista cu diverse entități, cel mai important cu acționarii, clienții și organele legislative, cum ar fi guvernul.

Atunci când este cunoscută sursa sau problema, pot fi investigate evenimentele pe care o sursă le poate declanșa sau evenimentele care pot duce la o problemă. De exemplu: părțile interesate care se retrag în timpul unui proiect pot pune în pericol finanțarea proiectului; informațiile confidențiale pot fi furate de angajați chiar și într-o rețea închisă; fulgerul care lovește un avion în timpul decolării poate face ca toți oamenii de la bord să fie victime imediate.

Metoda aleasă de identificare a riscurilor poate depinde de cultură, practică industrială și conformitate. Metodele de identificare sunt formate din șabloane sau dezvoltarea de șabloane pentru identificarea sursei, problemei sau evenimentului. Metodele comune de identificare a riscurilor sunt:

  • Identificarea riscurilor bazată pe obiective - Organizațiile și echipele de proiect au obiective. Orice eveniment care poate împiedica realizarea unui obiectiv este identificat ca risc.
  • Identificarea riscului bazată pe scenariu - În analiza scenariilor sunt create diferite scenarii. Scenariile pot fi modalități alternative de realizare a unui obiectiv sau o analiză a interacțiunii forțelor, de exemplu, pe o piață sau într-o bătălie. Orice eveniment care declanșează o alternativă de scenariu nedorită este identificat ca risc - a se vedea Studiile Futures pentru metodologia utilizată de Futurists .
  • Identificarea riscului bazată pe taxonomie - Taxonomia în identificarea riscului bazată pe taxonomie este o defalcare a posibilelor surse de risc. Pe baza taxonomiei și cunoașterii celor mai bune practici, este compilat un chestionar. Răspunsurile la întrebări relevă riscuri.
  • Verificarea riscului comun - În mai multe industrii, sunt disponibile liste cu riscuri cunoscute. Fiecare risc din listă poate fi verificat pentru aplicarea la o anumită situație.
  • Graficarea riscurilor - Această metodă combină abordările de mai sus prin enumerarea resurselor la risc, amenințări la adresa acestor resurse, modificarea factorilor care pot crește sau reduce riscul și consecințele pe care se dorește să le evite. Crearea unei matrice sub aceste rubrici permite o varietate de abordări. Se poate începe cu resurse și să ia în considerare amenințările la care sunt expuși și consecințele fiecăruia. Alternativ, se poate începe cu amenințările și se examinează ce resurse ar afecta, sau se poate începe cu consecințele și să se determine ce combinație de amenințări și resurse ar fi implicată pentru a le produce.

Evaluare

Odată ce riscurile au fost identificate, acestea trebuie apoi evaluate în funcție de severitatea potențială a impactului (în general un impact negativ, cum ar fi deteriorarea sau pierderea) și probabilitatea de apariție. Aceste cantități pot fi fie simple de măsurat, în cazul valorii unei clădiri pierdute, fie imposibil de știut cu siguranță în cazul unui eveniment puțin probabil, a cărui probabilitate de apariție este necunoscută. Prin urmare, în procesul de evaluare este esențial să se ia cele mai bune decizii educate pentru a prioritiza în mod corespunzător implementarea planului de gestionare a riscurilor .

Chiar și o îmbunătățire pozitivă pe termen scurt poate avea efecte negative pe termen lung. Luați exemplul „turnpike”. O autostradă este lărgită pentru a permite mai mult trafic. O capacitate de trafic mai mare duce la o dezvoltare mai mare în zonele care înconjoară capacitatea de trafic îmbunătățită. În timp, traficul crește astfel pentru a umple capacitatea disponibilă. Astfel, autostrăzile trebuie extinse într-un ciclu aparent nesfârșit. Există multe alte exemple de inginerie în care capacitatea extinsă (de a îndeplini orice funcție) este în curând acoperită de cererea crescută. Deoarece extinderea are un cost, creșterea rezultată ar putea deveni nesustenabilă fără previziuni și gestionare.

Dificultatea fundamentală în evaluarea riscului este determinarea ratei de apariție, deoarece informațiile statistice nu sunt disponibile pentru toate tipurile de incidente din trecut și sunt deosebit de puține în cazul evenimentelor catastrofale, pur și simplu din cauza frecvenței acestora. Mai mult, evaluarea severității consecințelor (impactului) este adesea destul de dificilă pentru imobilizările necorporale. Evaluarea activelor este o altă întrebare care trebuie abordată. Astfel, opiniile cele mai bine educate și statisticile disponibile sunt sursele principale de informații. Cu toate acestea, evaluarea riscurilor ar trebui să producă astfel de informații pentru conducătorii superiori ai organizației, încât riscurile primare să fie ușor de înțeles și că deciziile de gestionare a riscurilor pot fi prioritizate în cadrul obiectivelor generale ale companiei. Astfel, au existat mai multe teorii și încercări de cuantificare a riscurilor. Există numeroase formule de risc diferite, dar poate cea mai larg acceptată formulă pentru cuantificarea riscului este: „Rata (sau probabilitatea) de apariție înmulțită cu impactul evenimentului este egală cu magnitudinea riscului”.

Opțiuni de risc

Măsurile de reducere a riscurilor sunt de obicei formulate în conformitate cu una sau mai multe dintre următoarele opțiuni de risc majore, care sunt:

  1. Proiectați un nou proces de afaceri cu control adecvat al riscurilor și măsuri de izolare încorporate de la început.
  2. Reevaluează periodic riscurile care sunt acceptate în procesele în curs ca o caracteristică normală a operațiunilor comerciale și modifică măsurile de atenuare.
  3. Transferați riscurile către o agenție externă (de exemplu, o companie de asigurări)
  4. Evitați riscurile cu totul (de exemplu, închizând o anumită zonă comercială cu risc ridicat)

Cercetările ulterioare au arătat că beneficiile financiare ale gestionării riscurilor sunt mai puțin dependente de formula utilizată, dar sunt mai dependente de frecvența și de modul în care se efectuează evaluarea riscurilor.

În afaceri este imperativ să puteți prezenta concluziile evaluărilor riscurilor în termeni financiari, de piață sau de programare. Robert Courtney Jr. (IBM, 1970) a propus o formulă de prezentare a riscurilor în termeni financiari. Formula Courtney a fost acceptată ca metodă oficială de analiză a riscurilor pentru agențiile guvernamentale din SUA. Formula propune calcularea ALE (speranța de pierdere anualizată) și compară valoarea pierderii așteptate cu costurile de implementare a controlului securității ( analiza cost-beneficiu ).

Tratamente cu risc potențial

Odată ce riscurile au fost identificate și evaluate, toate tehnicile de gestionare a riscului se încadrează în una sau mai multe dintre aceste patru categorii majore:

  • Evitare (eliminați, retrageți sau nu vă implicați)
  • Reducere (optimizare - atenuare)
  • Partajare (transfer - externalizare sau asigurare)
  • Păstrare (acceptare și buget)

Este posibil ca utilizarea ideală a acestor strategii de control al riscului să nu fie posibilă. Unele dintre ele pot implica compromisuri care nu sunt acceptabile pentru organizație sau persoana care ia deciziile de gestionare a riscurilor. O altă sursă, de la Departamentul Apărării al SUA (vezi link), Defense Acquisition University , numește aceste categorii ACAT, pentru Evitare, Control, Acceptare sau Transfer. Această utilizare a acronimului ACAT amintește de un alt ACAT (pentru categoria de achiziții) utilizat în achizițiile din industria de apărare din SUA, în care managementul riscului figurează în mod evident în luarea deciziilor și planificarea.

Evitarea riscurilor

Aceasta include neefectuarea unei activități care ar putea prezenta riscuri. Un astfel de exemplu este refuzul de a cumpăra o proprietate sau o afacere pentru a evita răspunderea legală . Evitarea zborurilor cu avionul de teama deturnării . Evitarea poate părea răspunsul la toate riscurile, dar evitarea riscurilor înseamnă și pierderea câștigului potențial pe care l-a permis acceptarea (reținerea) riscului. Dacă nu intrați într-o afacere pentru a evita riscul de pierdere, evitați și posibilitatea de a obține profituri. Creșterea reglementării riscurilor în spitale a condus la evitarea tratamentului unor condiții de risc mai ridicate, în favoarea pacienților care prezintă un risc mai mic.

Reducerea riscului

Reducerea riscului sau „optimizarea” implică reducerea severității pierderii sau a probabilității ca aceasta să se producă. De exemplu, sprinklerele sunt concepute pentru a stinge un incendiu pentru a reduce riscul de pierdere prin incendiu. Această metodă poate provoca o pierdere mai mare prin deteriorarea apei și, prin urmare, poate să nu fie adecvată. Sistemele de suprimare a incendiilor cu halon pot atenua acest risc, dar costul poate fi prohibitiv ca strategie .

Recunoașterea faptului că riscurile pot fi pozitive sau negative, optimizarea riscurilor înseamnă găsirea unui echilibru între riscul negativ și beneficiul operațiunii sau activității; și între reducerea riscurilor și efortul aplicat. Prin aplicarea eficientă a standardelor de management al sănătății, siguranței și mediului (HSE), organizațiile pot atinge niveluri tolerabile de risc rezidual .

Metodologiile moderne de dezvoltare software reduc riscul prin dezvoltarea și livrarea software-ului în mod incremental. Metodologiile timpurii au suferit de faptul că au livrat software doar în faza finală a dezvoltării; orice problemă întâmpinată în fazele anterioare a însemnat o refacere costisitoare și de multe ori a pus în pericol întregul proiect. Prin dezvoltarea în iterații, proiectele software pot limita efortul irosit la o singură iterație.

Externalizarea ar putea fi un exemplu de strategie de partajare a riscurilor dacă externalizatorul poate demonstra o capacitate mai mare de gestionare sau reducere a riscurilor. De exemplu, o companie poate externaliza numai dezvoltarea software-ului său, fabricarea de bunuri dure sau nevoile de asistență pentru clienți către o altă companie, gestionând însăși gestionarea afacerii. În acest fel, compania se poate concentra mai mult pe dezvoltarea afacerii fără a fi nevoie să vă faceți griji la fel de mult cu privire la procesul de fabricație, gestionarea echipei de dezvoltare sau găsirea unei locații fizice pentru un centru.

Partajarea riscurilor

Definit pe scurt ca „împărtășirea cu o altă parte a sarcinii pierderii sau a beneficiului câștigului, dintr-un risc și măsurile de reducere a unui risc”.

Termenul de „transfer de risc” este adesea folosit în locul partajării riscurilor în convingerea greșită că puteți transfera un risc către o terță parte prin asigurare sau externalizare. În practică, dacă compania de asigurări sau contractantul falimentează sau ajung în instanță, riscul inițial este probabil să revină în continuare la prima parte. Ca atare, în terminologia practicienilor și a erudiților, achiziționarea unui contract de asigurare este adesea descrisă ca un „transfer de risc”. Cu toate acestea, din punct de vedere tehnic, cumpărătorul contractului își păstrează în general responsabilitatea legală pentru pierderile „transferate”, ceea ce înseamnă că asigurarea poate fi descrisă mai exact ca un mecanism de compensare post-eveniment. De exemplu, o poliță de asigurare pentru vătămări corporale nu transferă riscul unui accident auto către compania de asigurări. Riscul revine încă titularului poliței și anume persoana care a fost în accident. Politica de asigurare prevede pur și simplu că, în cazul în care are loc un accident (evenimentul) care implică deținătorul poliței, atunci poate fi plătită titularului poliței o anumită compensație, care este proporțională cu suferința / paguba.

Metodele de gestionare a riscului se încadrează în mai multe categorii. Grupurile de păstrare a riscurilor păstrează din punct de vedere tehnic riscul pentru grup, dar răspândirea acestuia pe întregul grup implică transferul între membrii individuali ai grupului. Acest lucru este diferit de asigurarea tradițională, prin aceea că nu se schimbă nicio primă între membrii grupului din față, ci în schimb pierderile sunt evaluate pentru toți membrii grupului.

Păstrarea riscului

Păstrarea riscului implică acceptarea pierderii sau beneficiului câștigului dintr-un risc atunci când apare incidentul. Auto-asigurarea adevărată se încadrează în această categorie. Păstrarea riscului este o strategie viabilă pentru riscuri mici, în care costul asigurării împotriva riscului ar fi mai mare în timp decât pierderile totale suportate. Toate riscurile care nu sunt evitate sau transferate sunt reținute în mod implicit. Aceasta include riscuri atât de mari sau catastrofale încât fie nu pot fi asigurate, fie primele ar fi imposibile. Războiul este un exemplu, deoarece majoritatea bunurilor și riscurilor nu sunt asigurate împotriva războiului, astfel încât pierderea atribuită războiului este reținută de asigurat. De asemenea, orice cantitate de pierdere (risc) potențială peste suma asigurată este un risc reținut. Acest lucru poate fi, de asemenea, acceptabil dacă șansa unei pierderi foarte mari este mică sau dacă costul asigurării pentru sume mai mari de acoperire este atât de mare încât ar împiedica prea mult obiectivele organizației.

Planul de gestionare a riscurilor

Selectați controalele sau contramăsurile adecvate pentru a atenua fiecare risc. Atenuarea riscurilor trebuie aprobată de nivelul adecvat de management. De exemplu, un risc privind imaginea organizației ar trebui să aibă în spate o decizie de top management, în timp ce managementul IT ar avea autoritatea de a decide asupra riscurilor de virus computerizat.

Planul de gestionare a riscurilor ar trebui să propună controale de securitate aplicabile și eficiente pentru gestionarea riscurilor. De exemplu, un risc ridicat observat de viruși computerizați ar putea fi atenuat prin achiziționarea și implementarea de software antivirus. Un plan bun de gestionare a riscurilor ar trebui să conțină un calendar pentru implementarea controlului și persoane responsabile pentru acțiunile respective.

Conform ISO / IEC 27001 , etapa imediat după finalizarea fazei de evaluare a riscurilor constă în pregătirea unui plan de tratare a riscurilor, care ar trebui să documenteze deciziile cu privire la modul în care trebuie tratate fiecare dintre riscurile identificate. Atenuarea riscurilor înseamnă adesea selectarea controalelor de securitate , care ar trebui să fie documentate într-o declarație de aplicabilitate, care identifică ce obiective de control și controale specifice din standard au fost selectate și de ce.

Implementare

Implementarea urmează toate metodele planificate pentru atenuarea efectului riscurilor. Achiziționați polițe de asigurare pentru riscurile pe care s-a decis transferarea către un asigurător, evitați toate riscurile care pot fi evitate fără a sacrifica obiectivele entității, reduceți altele și păstrați restul.

Revizuirea și evaluarea planului

Planurile inițiale de gestionare a riscurilor nu vor fi niciodată perfecte. Practica, experiența și rezultatele pierderilor efective vor necesita schimbări în plan și vor contribui la informații pentru a permite luarea unor decizii diferite în ceea ce privește gestionarea riscurilor cu care se confruntă.

Rezultatele analizei de risc și planurile de management ar trebui să fie actualizate periodic. Există două motive principale pentru aceasta:

  1. pentru a evalua dacă controalele de securitate selectate anterior sunt încă aplicabile și eficiente
  2. pentru a evalua posibilele modificări ale nivelului de risc din mediul de afaceri. De exemplu, riscurile de informare sunt un bun exemplu de schimbare rapidă a mediului de afaceri.

Limitări

Prioritizarea prea ridicată a proceselor de gestionare a riscurilor ar putea împiedica o organizație să finalizeze vreodată un proiect sau chiar să înceapă. Acest lucru este valabil mai ales dacă alte lucrări sunt suspendate până când procesul de gestionare a riscurilor este considerat complet.

De asemenea, este important să se țină cont de distincția dintre risc și incertitudine . Riscul poate fi măsurat prin impacturi × probabilitate.

Dacă riscurile sunt evaluate și prioritizate în mod necorespunzător, se poate pierde timp pentru a face față riscului de pierderi care nu este probabil să apară. Se va evita prea mult timp pentru evaluarea și gestionarea riscurilor improbabile. Se întâmplă evenimente improbabile, dar dacă riscul este suficient de puțin probabil să apară, poate fi mai bine să păstrăm riscul și să ne ocupăm de rezultat dacă pierderea are loc de fapt. Evaluarea calitativă a riscului este subiectivă și nu are consistență. Justificarea principală pentru un proces formal de evaluare a riscurilor este legală și birocratică.

Zone

După cum se aplică contabilității financiare , gestionarea riscului este tehnica de măsurare, monitorizare și control al riscului financiar sau operațional din bilanțul unei firme , o măsură tradițională este valoarea la risc (VaR), dar există și alte măsuri, cum ar fi profitul la risc ( PaR) sau marja la risc . Cadrul Basel II împarte riscurile în risc de piață ( risc de preț), risc de credit și risc operațional și specifică, de asemenea, metode pentru calcularea cerințelor de capital pentru fiecare dintre aceste componente.

În tehnologia informației, gestionarea riscurilor include „Incident Handling”, un plan de acțiune pentru gestionarea intruziunilor, furtului cibernetic, refuzul de serviciu, incendiu, inundații și alte evenimente legate de securitate. Potrivit Institutului SANS , este un proces în șase etape: pregătire, identificare, izolare, eradicare, recuperare și lecții învățate.

Managementul riscului contractual

Conceptul de „gestionare a riscurilor contractuale” subliniază utilizarea tehnicilor de gestionare a riscurilor în desfășurarea contractului, adică gestionarea riscurilor care sunt acceptate prin încheierea unui contract. Academicul norvegian Petri Keskitalo definește „gestionarea riscurilor contractuale” ca „o metodă de contractare practică, proactivă și sistematică care folosește planificarea și guvernarea contractelor pentru a gestiona riscurile legate de activitățile de afaceri”. Într-un articol al lui Samuel Greengard publicat în 2010, sunt menționate două cazuri juridice din SUA care subliniază importanța unei strategii de gestionare a riscurilor:

  • UDC v. CH2M Hill , care se ocupă de riscul unui consilier profesionist care semnează o dispoziție de despăgubire, inclusiv acceptarea obligației de apărare , care poate prelua astfel costurile legale ale apărării unui client care face obiectul unei cereri de la un terț,
  • Witt v. La Gorce Country Club, care se ocupă de eficacitatea unei clauze de limitare a răspunderii , care, în anumite jurisdicții, poate fi considerată ineficientă.

Greengard recomandă utilizarea unui limbaj contractual standard din industrie pe cât posibil pentru a reduce riscul cât mai mult posibil și pentru a se baza pe clauze care au fost utilizate și supuse interpretării instanței stabilite de-a lungul mai multor ani.

Instituții de memorie (muzee, biblioteci și arhive)

Afacere

În managementul riscului întreprinderii, un risc este definit ca un posibil eveniment sau circumstanță care poate avea influențe negative asupra întreprinderii în cauză. Impactul său poate fi chiar asupra existenței, resurselor (umane și de capital), produselor și serviciilor sau clienților întreprinderii, precum și impacturilor externe asupra societății, piețelor sau mediului. Într-o instituție financiară, managementul riscului întreprinderii este considerat în mod normal ca o combinație între riscul de credit, riscul ratei dobânzii sau administrarea pasivului activelor , riscul de lichiditate, riscul de piață și riscul operațional.

În cazul mai general, fiecare risc probabil poate avea un plan pre-formulat pentru a face față posibilelor sale consecințe (pentru a asigura contingența în cazul în care riscul devine o datorie ).

Din informațiile de mai sus și costul mediu pe angajat în timp sau raportul de acumulare a costurilor , un manager de proiect poate estima:

  • costul asociat riscului dacă apare, estimat prin înmulțirea costurilor angajaților pe unitate de timp cu timpul estimat pierdut ( impactul costului , C unde C = raportul de acumulare a costurilor * S ).
  • creșterea probabilă a timpului asociată cu un risc ( varianța programului datorată riscului , Rs unde Rs = P * S):
    • Sortarea pe această valoare pune în primul rând cele mai mari riscuri pentru program. Acest lucru este destinat să provoace mai întâi cele mai mari riscuri pentru proiect, astfel încât riscul să fie minimizat cât mai repede posibil.
    • Acest lucru este ușor înșelător, deoarece variațiile programului cu un P mare și un S mic și invers nu sunt echivalente. (Riscul scufundării RMS Titanic față de mesele pasagerilor servite la un moment nepotrivit).
  • creșterea probabilă a costului asociată cu un risc ( variația costurilor datorată riscului , Rc unde Rc = P * C = P * CAR * S = P * S * CAR)
    • sortarea acestei valori pune în primul rând cele mai mari riscuri pentru buget.
    • vezi preocupările cu privire la varianța programului, deoarece aceasta este o funcție a acestuia, așa cum se ilustrează în ecuația de mai sus.

Risc într - un proiect sau proces poate datora fie speciale Cauză Variație sau comune Cauză Variație și necesită un tratament adecvat. Aceasta este aceea de a reitera îngrijorarea cu privire la cazurile extremale care nu sunt echivalente în lista de mai sus.

Securitatea întreprinderii

ESRM este o abordare de gestionare a programelor de securitate care leagă activitățile de securitate de misiunea unei întreprinderi și de obiectivele de afaceri prin metode de gestionare a riscurilor. Rolul liderului de securitate în ESRM este de a gestiona riscurile de deteriorare a activelor întreprinderii în parteneriat cu liderii de afaceri ale căror active sunt expuse acestor riscuri. ESRM implică educarea liderilor de afaceri cu privire la impacturile realiste ale riscurilor identificate, prezentarea unor strategii potențiale de atenuare a acestor impacturi, apoi adoptarea opțiunii alese de companie în conformitate cu nivelurile acceptate de toleranță la riscurile de afaceri

Aparat medical

Pentru dispozitivele medicale , gestionarea riscurilor este un proces de identificare, evaluare și atenuare a riscurilor asociate cu vătămarea oamenilor și vătămarea proprietății sau a mediului. Gestionarea riscurilor este o parte integrantă a proiectării și dezvoltării dispozitivelor medicale, a proceselor de producție și a evaluării experienței pe teren și se aplică tuturor tipurilor de dispozitive medicale. Dovada aplicării sale este cerută de majoritatea organismelor de reglementare, cum ar fi FDA din SUA . Gestionarea riscurilor pentru dispozitivele medicale este descrisă de Organizația Internațională pentru Standardizare (ISO) în ISO 14971: 2019 , Dispozitive medicale - Aplicarea managementului riscurilor la dispozitivele medicale, un standard de siguranță al produselor. Standardul oferă un cadru de proces și cerințe asociate pentru responsabilitățile de management, analiza și evaluarea riscurilor, controlul riscurilor și managementul riscului din ciclul de viață. Îndrumări privind aplicarea standardului sunt disponibile prin ISO / TR 24971: 2020.

Versiunea europeană a standardului de gestionare a riscurilor a fost actualizată în 2009 și din nou în 2012 pentru a se referi la Directiva privind dispozitivele medicale (MDD) și la Directiva privind dispozitivele medicale implantabile active (AIMDD) în 2007, precum și la Directiva privind dispozitivele medicale in vitro (IVDD) ). Cerințele EN 14971: 2012 sunt aproape identice cu ISO 14971: 2007. Diferențele includ trei anexe Z (informative) care se referă la noile MDD, AIMDD și IVDD. Aceste anexe indică abateri de conținut care includ cerința ca riscurile să fie reduse cât mai mult posibil și cerința ca riscurile să fie atenuate prin proiectare și nu prin etichetarea dispozitivului medical (adică, etichetarea nu mai poate fi utilizată pentru a atenua riscul).

Tehnicile tipice de analiză și evaluare a riscurilor adoptate de industria dispozitivelor medicale includ analiza pericolelor , analiza arborelui de defecțiuni (FTA), modul de defecțiune și analiza efectelor (FMEA), studiul pericolului și operabilității ( HAZOP ) și analiza trasabilității riscurilor pentru a asigura implementarea controalelor de risc și eficace (adică urmărirea riscurilor identificate la cerințele produsului, specificațiile de proiectare, rezultatele verificării și validării etc.). Analiza FTA necesită software de diagramare. Analiza FMEA se poate face folosind un program de foaie de calcul . Există, de asemenea, soluții integrate de gestionare a riscurilor pentru dispozitivele medicale.

Printr-un proiect de îndrumare , FDA a introdus o altă metodă numită „Caz de asigurare a siguranței” pentru analiza asigurării siguranței dispozitivelor medicale. Cazul asigurării siguranței este un argument structurat care argumentează sistemele adecvate oamenilor de știință și ingineri, susținut de un corp de dovezi, care oferă un caz convingător, ușor de înțeles și valid că un sistem este sigur pentru o anumită aplicație într-un mediu dat. Cu îndrumarea, este de așteptat un caz de asigurare a siguranței pentru dispozitivele critice de siguranță (de exemplu, dispozitive de perfuzie) ca parte a depunerii autorizației înainte de punerea pe piață, de exemplu 510 (k). În 2013, FDA a introdus un alt proiect de orientare, care așteaptă ca producătorii de dispozitive medicale să trimită informații de analiză a riscului de securitate cibernetică.

Management de proiect

Managementul riscului proiectului trebuie luat în considerare la diferitele faze ale achiziției. La începutul unui proiect, avansarea dezvoltărilor tehnice sau amenințările prezentate de proiectele unui concurent poate provoca o evaluare a riscurilor sau amenințărilor și evaluarea ulterioară a alternativelor (a se vedea Analiza alternativelor ). Odată ce se ia o decizie și se începe proiectul, pot fi utilizate aplicații mai familiare de management de proiect:

  • Planificarea modului în care va fi gestionat riscul în cadrul proiectului particular. Planurile ar trebui să includă sarcini de gestionare a riscurilor, responsabilități, activități și buget.
  • Desemnarea unui ofițer de risc - un membru al echipei, altul decât un manager de proiect, care este responsabil pentru prevederile potențiale probleme ale proiectului. Caracteristica tipică a ofițerului de risc este un scepticism sănătos.
  • Menținerea bazei de date în timp real a riscului proiectului. Fiecare risc ar trebui să aibă următoarele atribute: data deschiderii, titlul, scurta descriere, probabilitatea și importanța. Opțional, un risc poate avea o persoană desemnată responsabilă de soluționarea acestuia și o dată până la care riscul trebuie rezolvat.
  • Crearea unui canal anonim de raportare a riscurilor. Fiecare membru al echipei ar trebui să aibă posibilitatea de a raporta riscurile pe care le prevede în proiect.
  • Pregătirea planurilor de atenuare pentru riscurile care sunt alese pentru a fi atenuate. Scopul planului de atenuare este de a descrie modul în care acest risc special va fi tratat - ce, când, de către cine și cum se va face pentru a-l evita sau a minimiza consecințele dacă devine o răspundere.
  • Rezumând riscurile planificate și confruntate, eficacitatea activităților de atenuare și eforturile cheltuite pentru gestionarea riscurilor.

Megaproiecte (infrastructură)

Megaproiectele (uneori numite și „programe majore”) sunt proiecte de investiții la scară largă, costând de obicei mai mult de 1 miliard de dolari pe proiect. Megaproiectele includ poduri majore, tuneluri, autostrăzi, căi ferate, aeroporturi, porturi maritime, centrale electrice, baraje, proiecte de apă uzată, scheme de protecție împotriva inundațiilor de coastă, proiecte de extracție a petrolului și gazelor naturale, clădiri publice, sisteme de tehnologie informațională, proiecte aerospațiale și sisteme de apărare. Megaproiectele s-au dovedit a fi deosebit de riscante în ceea ce privește finanțele, siguranța și impactul social și de mediu. Managementul riscurilor este, prin urmare, deosebit de pertinent pentru megaproiecte și au fost dezvoltate metode speciale și educație specială pentru un astfel de management al riscurilor.

Dezastre naturale

Este important să se evalueze riscul în ceea ce privește dezastrele naturale, cum ar fi inundațiile , cutremurele și așa mai departe. Rezultatele evaluării riscului de dezastru natural sunt valoroase atunci când se iau în considerare costurile viitoare de reparații, pierderile de întrerupere a afacerii și alte perioade de nefuncționare, efectele asupra mediului, costurile asigurărilor și costurile propuse pentru reducerea riscului. Cadrul Sendai pentru reducerea riscurilor de dezastru este un acord internațional din 2015 care a stabilit obiective și ținte pentru reducerea riscului de dezastru ca răspuns la dezastrele naturale. Există conferințe internaționale regulate de dezastre și riscuri la Davos pentru a se ocupa de gestionarea integrală a riscurilor.

Mai multe instrumente pot fi utilizate pentru a evalua riscul și gestionarea riscurilor dezastrelor naturale și a altor evenimente climatice, inclusiv modelarea geospațială, o componentă cheie a științei schimbării terenurilor . Această modelare necesită înțelegerea distribuțiilor geografice ale oamenilor, precum și abilitatea de a calcula probabilitatea producerii unui dezastru natural.

Pustie

Gestionarea riscurilor pentru persoane și proprietăți în sălbăticie și zone naturale îndepărtate s-a dezvoltat odată cu creșterea participării la recreere în aer liber și scăderea toleranței sociale la pierderi. Organizațiile care oferă experiențe comerciale în sălbăticie se pot alinia acum la standardele de consens naționale și internaționale pentru instruire și echipamente, cum ar fi ANSI / NASBLA 101-2017 (plimbare cu barca), UIAA 152 (instrumente de alpinism pe gheață) și Norma europeană 13089: 2015 + A1: 2015 (alpinism echipament). Asociația pentru Educație Experientiala oferă acreditare pentru programe de aventură pustie. Conferința de management al riscului Wilderness oferă acces la cele mai bune practici, precum și organizații specializate oferă consultanță sălbăticia de gestionare a riscurilor și de formare.

În cartea sa, Outdoor Leadership and Education , alpinist, educator în aer liber și autor Ari Schneider , observă că recreerea în aer liber este inerent riscantă și nu există nicio modalitate de a elimina complet riscul. Cu toate acestea, el explică cum acest lucru poate fi un lucru bun pentru programele de educație în aer liber. Potrivit lui Schneider, aventura optimă se realizează atunci când riscul real este gestionat și riscul perceput este menținut pentru a menține pericolul real scăzut și un sentiment de aventură ridicat.

Textul Siguranță în aer liber - Managementul riscurilor pentru liderii în aer liber, publicat de Consiliul pentru Siguranța Montană din Noua Zeelandă, oferă o perspectivă asupra gestionării riscurilor în sălbăticie din perspectiva Noii Zeelande, recunoscând valoarea legislației naționale privind siguranța în aer liber și acordând o atenție considerabilă rolurilor judecății. și procesele de luare a deciziilor în managementul riscului în sălbăticie.

Unul dintre modelele populare pentru evaluarea riscurilor este modelul de evaluare a riscurilor și managementul siguranței (RASM) dezvoltat de Rick Curtis, autorul The Backpacker's Field Manual. Formula pentru modelul RASM este: Risc = Probabilitatea de accident × Severitatea consecințelor. Modelul RASM cântărește riscul negativ - potențialul de pierdere, împotriva riscului pozitiv - potențialul de creștere.

Tehnologia de informație

Riscul IT este un risc legat de tehnologia informației. Acesta este un termen relativ nou datorită unei conștientizări tot mai mari că securitatea informațiilor este pur și simplu o fațetă a unei multitudini de riscuri relevante pentru IT și procesele din lumea reală pe care le susține. "Securitatea cibernetică este strâns legată de avansarea tehnologiei. Ea rămâne suficient de lungă pentru ca stimulentele precum piețele negre să evolueze și să se descopere noi exploatări. Nu există un scop în vedere pentru avansarea tehnologiei, așa că ne putem aștepta la același lucru de la securitatea cibernetică. . "

ISACA e al riscurilor IT legături cadru de risc IT pentru managementul riscului de întreprindere .

Analiza riscului datoriei de îngrijire (DoCRA) evaluează riscurile și garanțiile acestora și ia în considerare interesele tuturor părților potențial afectate de aceste riscuri.

Petrol și gaze naturale

Pentru industria de petrol și gaze offshore, gestionarea riscurilor operaționale este reglementată de regimul cazurilor de siguranță în multe țări. Instrumentele și tehnicile de identificare a pericolelor și de evaluare a riscurilor sunt descrise în standardul internațional ISO 17776: 2000, iar organizații precum IADC ( Asociația Internațională a Contractorilor de Foraj ) publică ghiduri pentru dezvoltarea cazurilor de sănătate, siguranță și mediu (HSE) care se bazează pe Standard ISO. Mai mult, reprezentanții schematici ai evenimentelor periculoase sunt deseori așteptați de către autoritățile de reglementare guvernamentale ca parte a gestionării riscurilor în cazul depunerilor de cazuri de siguranță; acestea sunt cunoscute sub numele de diagrame de papion (a se vedea teoria rețelei în evaluarea riscurilor ). Tehnica este, de asemenea, utilizată de organizații și autorități de reglementare în minerit, aviație, sănătate, apărare, industrie și finanțe.

Sectorul farmaceutic

Principiile și instrumentele pentru managementul riscului de calitate sunt aplicate din ce în ce mai mult asupra diferitelor aspecte ale sistemelor farmaceutice de calitate. Aceste aspecte includ procesele de dezvoltare, fabricație, distribuție, inspecție și depunere / revizuire pe tot parcursul ciclului de viață a substanțelor medicamentoase, a produselor medicamentoase, a produselor biologice și biotehnologice (inclusiv utilizarea materiilor prime, a solvenților, a excipienților, a materialelor de ambalare și etichetare a produselor medicamentoase, produse biologice și biotehnologice). Gestionarea riscurilor se aplică, de asemenea, evaluării contaminării microbiologice în raport cu produsele farmaceutice și mediile de fabricare a camerei curate.

Comunicarea riscurilor

Comunicarea riscurilor este un domeniu academic interdisciplinar complex, legat de valorile de bază ale publicului vizat. Problemele comunicatorilor de risc implică modul de a ajunge la audiența dorită, cum să facă riscul ușor de înțeles și să fie legat de alte riscuri, cum să acorde un respect adecvat valorilor audienței legate de risc, cum să prezică răspunsul publicului la comunicare etc. Un obiectiv principal al comunicării riscurilor este îmbunătățirea luării deciziilor colective și individuale. Comunicarea riscurilor este oarecum legată de comunicarea de criză , dar există distincții clare. Comunicarea riscurilor tratează posibilele riscuri și își propune să sensibilizeze aceste riscuri pentru a încuraja sau convinge schimbările de comportament pentru a ameliora amenințările pe termen lung. Pe de altă parte, comunicarea în caz de criză are ca scop creșterea gradului de conștientizare a unui anumit tip de amenințare, amploarea, rezultatele și comportamentele specifice pe care trebuie să le adopte pentru a reduce amenințarea. Unii experți coincid că riscul nu este doar înrădăcinat în procesul de comunicare, dar, de asemenea, nu poate fi disociat de utilizarea limbajului. Deși fiecare cultură își dezvoltă propriile temeri și riscuri, aceste interpretări se aplică numai culturii gazdă.

Comunicarea riscurilor și implicarea comunității (RCCE) este o metodă care se bazează în mare măsură pe voluntari, personalul din prima linie și pe oameni fără pregătire prealabilă în acest domeniu.

Vezi si

Referințe

linkuri externe