Riskijuhtimisstrateegiad: teie organisatsioonile vajalik ronimistross

Kas te julgeksite kunagi ronida kaljule ilma sobiva köie, rihma, iselukustuva seadme ja partnerita, kes aitaks teil üles ja alla ronida? Ilmselt mitte. Isegi kui olete piisavalt osav, et mitte kukkuda, on riskid liiga suured, et neid eirata. Kuigi on olemas selline asi nagu vabakõndimine, tegelevad sellega ainult kõige kogenumad ronijad, kellel on suur riskivalmidus. Organisatsiooni juhtimine ei ole alati lihtne. Peate meeles pidama ohte, millega kaasneb turul edasiliikumine. Nende ohu vähendamiseks on vaja sobivat varustust, st õigeid riskijuhtimise strateegiaid.

Tõhus riskijuhtimiskava aitab vältida nii rahalisi kui ka mainekaotusi, tagada regulatiivse vastavuse ja võita usalduse.

Eeskirjade järgimise edendamine

Riskijuhtimisstrateegia ei ole mõnes valdkonnas valikuvõimalus. Näiteks peavad ELi (Euroopa Liidu) finantsasutused järgima DORA-seadust (Digital Operational Resilience Act), mis sisaldab rangeid regulatiivseid sätteid IKT (info- ja kommunikatsioonitehnoloogia) riskijuhtimise kohta. Õiguslike nõuete täitmata jätmine on osutunud märkimisväärseks ohuks. See ei ole nali, sest reguleerivad asutused ei karda rikkumiste eest trahve määrata. Equifaxi puhul nõuti ettevõttelt 575 miljoni dollari suuruse trahvi maksmist, kuna 150 miljoni tarbija isiku- ja finantsteave läks kaduma, sest nende andmebaas oli haavatav häkkerite rünnakute suhtes.

Maine kahjustuste vältimine

Delta Airlinesi operatsioonikeskus oli 2016. aastal viis tundi rivist väljas. See maksis ettevõttele 150 miljonit dollarit, kuna lennufirma oli sunnitud tühistama ligi tuhat lendu ja vabastama veel tuhat. See on üks näide riskijuhtimisest, mis ei ole seotud ainult kahjudega. Delta on turustanud end lennufirmana, mis on alati õigeaegne ja tühistab lende. Võib öelda, et maine kahjustamine on lennufirmale isegi kallim kui lendude tühistamine ja maandumine.

Tulemuse kindlustamine

Kui organisatsioonid tabatakse ootamatult, võib see neile maksma minna terve varanduse. Andmete rikkumise tagajärjed võivad tuua kaasa miljonilised trahvid. Teenuse ootamatud rikked või kättesaamatus tähendavad tulude kaotust. Võtke näiteks vastavuse risk. Meta (Facebook) oli esimene ettevõte, mis maksis 1,2 miljardi euro suuruse trahvi ELi andmekaitse-eeskirjade rikkumise eest.

Probleemide ennetamine enne, kui need kaost tekitavad

Hea riskijuhtimise lähenemisviis ei piirdu ainult riskide juhtimisega. See loob ka struktuuri tegelike riskide kindlakstegemiseks ja nendega tegelemiseks enne, kui need võivad põhjustada olulisi rahalisi kahjusid. Näiteks võib see hõlmata võimsa automatiseeritud kõrvalekallete tuvastamise süsteemi loomist, mis võimaldaks võimalikke turvalisuse rikkumisi varakult avastada.

Kliendite ja investorite usalduse võitmine

Tõhus riskijuhtimise raamistik saadab investoritele selge signaali, et teil on kõik kontrolli all. Madal riskide tase ja vältimatute riskide asjakohane juhtimine kaitseb nende investeeringuid rahaliste kahjude ja maine kaotuse eest. Mida tõenäolisemalt usaldavad kliendid ettevõtet, mis tegeleb oma riskide, eelkõige isikuandmete haldamisega. Kliendiandmete turvalisus on kõige olulisem aspekt, mis tekitab tarbijates usaldust ettevõtte vastu.

Enne riskijuhtimise meetodite valimisega alustamist peate looma ettevõtte riskijuhtimise meeskonna (kui te seda veel teinud pole). See rühm tegeleb pidevalt riskide tuvastamise ja jälgimisega, nende käsitlemisega ning strateegia optimeerimisega vastavalt tekkivatele riskidele. Ettevõtte riskijuhtimise meeskond koondab:

• Juhatus, kas esindajana või juhatuse tasandi komiteena, teostab meeskonna üle ettevõtte järelevalvet
• Meeskonda juhib riskijuht (CRO), kes jälgib strateegia rakendamist ja pidevat täiustamist.
• Tegevjuht (COO) pakub ülevaadet kogu igapäevasest tegevusest ning aitab tuvastada riskijuhtimise puudujääke ja kõrvaldada riske.
• Finantsdirektor (CFO) annab sisendit seoses tulude ja kasumlikkuse riskide ning kindlustusriskidega (kui see on asjakohane) ning tulude ja kasumlikkuse riskidega.
• Peajurist esitab oma arvamuse organisatsiooni õiguslikke küsimusi ja vastutuse võimalikkust puudutavates küsimustes.
• Pea vastavusametnik jälgib täielikku regulatsioonide järgimist juhatuse poolt, töötajate ohutust küberjulgeoleku kaudu
• Infotehnoloogiajuht (CIO) haldab IT-riske ja parandab äritegevuse järjepidevust nende esinemise korral
• Personaliosakonna juhataja (CHRO) hoolitseb tööjõuga seotud riskide eest
• Kommunikatsioonijuht annab ülevaate võimalikest maine riskidest
• Riskide omanikeks määratud osakonnajuhid annavad praktilise ülevaate riskidest oma vastavates äriosakondades.

Riskide vältimine, vähendamine, jagamine, üleandmine ja säilitamine on kõige levinumad riskijuhtimise meetodid.

Riskide vältimine

Selline riskijuhtimisstrateegia eeldab kõrge riskiga ja organisatsioonile potentsiaalselt kahjulike tegevuste puudumist. Mis on selle kasutamise vajaduse tavaline näitaja? Määrake kindlaks, kas riskid ei ületa võimalikke eeliseid. Alternatiivina võivad eksisteerida ohud, mis võivad põhjustada organisatsioonile eksistentsiaalse ohu.

Kahjude ennetamine/riski vähendamine

Mõningaid riske ei ole võimalik täielikult kõrvaldada. Näiteks ei saa täielikult välistada ebasoodsate ilmastikutingimuste ohtu. Saate ainult ennetada või vähendada kahjusid. Näiteks võib riski vähendada, paigaldades üleujutusventilid ja äravoolupumbad, et vähendada üleujutuste kahjusid. Riskide minimeerimine tervishoiusektoris toimub tavaliselt ennetava hoolduse vormis.

Riskide jagamine

Kas riski ei ole võimalik vältida ega vähendada? Riski jagamine võib selle mõju leevendada. Selle riskijuhtimise lähenemisviisi puhul jagatakse riski realiseerumise korral kahjud erinevate osapoolte vahel ja iga osapoole mõju leevendatakse. Hea näide riskide jagamisest on aktsiate omamine: kui ettevõte ei teeni kasumit, jagatakse kahjum ettevõtte investorite vahel.

Riski ülekandmine

See on riskide ülekandmise strateegia, mille puhul risk antakse üle kolmandale osapoolele. See on sobiv riskijuhtimise meetod, kui risk on liiga suur, et organisatsioonid suudaksid kahjusid ise katta. Riskide ülekandmine tähendab tavaliselt kindlustust loodusõnnetuste või kohtuvaidluste vastu. Teenusleping võimaldab teil delegeerida riski ka alltöövõtjale.

Riski aktsepteerimine/säilitamine

Kui kõik muud riskijuhtimisstrateegiad on ammendatud, on riskide aktsepteerimine viimane võimalus. Riski aktsepteerimine tähendab, et a) riskist on võimatu vabaneda või b) alternatiivsete strateegiate kasutamise kulud ületavad kasu. Riskide säilitamiseks peate kõrvale panema eelarve ja muud ressursid, mis oleksid vajalikud selle jääkriskiga seotud mõjude leevendamiseks. See risk võib avalduda regulaarse klientide kaebuste või väikeste operatsiooniliste tõrgete näol, nt

Kindlustusselts on võrreldes näiteks tehnoloogia alustava ettevõttega samuti altis mitmesugustele riskidele. Nende potentsiaalse mõju analüüsimisel kasutatakse tavaliselt järgmiste riskide hindamise meetodite kombinatsiooni.

Kvantitatiivne riskihindamine

Kvantitatiivne riskianalüüs võimaldab teil anda igale riskile numbrilise väärtuse ja seada riskid vastavalt prioriteedid. Kvantitatiivne riskianalüüs on atraktiivne, kuna selle tulemused on mõõdetavad ja objektiivsed, kergesti mõistetavad ja võrreldavad. Kvantitatiivne riskianalüüs ei ole aga universaalne lahendus. On organisatsioone, kellel ei pruugi olla kvaliteetset teavet võimalike kahjude hindamiseks. Mõned mõjud, nagu maine kahjustamine, ei pruugi olla üldse mõõdetavad. Tavalised kvantitatiivsed riskianalüüsi meetodid hõlmavad:

• Kolmepunktiline hinnang: parimate, kõige tõenäolisemate ja halvimate stsenaariumide prognoosimine, et leida parimad prognoosid
• Otsustuspuuanalüüs: see on meetod, mille puhul joonistatakse diagramm, mis illustreerib otsustusvõimaluste võimalikku mõju.
• Eeldatav rahaline väärtus: ettenägematute kulude ja aja kindlaksmääramine
• Tundlikkuse analüüs: riski hindamine, mis mõjutab protsessi või projekti kõige olulisemalt
• Monte Carlo simulatsioon: erinevate tulemuste tõenäosuse väljaselgitamine protsessis, mis hõlmab juhuslikke muutujaid
• Veapuu analüüs: diagrammi koostamine, et määrata kindlaks tegurid, mis võivad põhjustada süsteemi rikkeid

Kvalitatiivne riskihindamine

Selle riskide hindamise meetodi abil saate kindlaks teha kohad, mida on vaja täiendavalt analüüsida ja praktiliselt hallata. See kaasab organisatsiooni liikmed arutelusse riskide ja nende võimalike mõjude üle. Kvalitatiivsed meetodid on järgmised:

• Hoia asjad lihtsana (KISS): reastage riskisündmused lihtsal skaalal (väga kõrge) kuni (väga madal)
• Tõenäosus/mõju: riski esinemise tõenäosuse ja selle mõju hindamine kahemõõtmelisel graafikul skaalal 1–10 või 1–5

Kvalitatiivne riskianalüüs võtab arvesse tegureid, mida on raske kvantifitseerida. Seevastu põhineb see isiklikel tunnetel ja vaadetel ning võib olla mõjutatud eelarvamustest.

Varapõhine riskianalüüs

See meetod tuvastab riskid, mis võivad mõjutada organisatsiooni varasid, sealhulgas seadmeid, vara ja intellektuaalomandit. See hõlmab järgmist:

• Kõigi kättesaadavate varade nimekirja koostamine
• Praeguste riskikontrollide tõhususe hindamine
• Pöörduge varade omanike poole, et saada abi potentsiaalsete riskide hindamisel iga vara puhul
• Lisaks riskide kindlakstegemisele tuleb riskid järjestada tõenäosuse ja mõju intensiivsuse järgi.

Kuigi varapõhised riskianalüüsid annavad kergesti mõistetavaid tulemusi, ei võta need arvesse teatavaid riske, mis on seotud organisatsiooni poliitika või protsessidega.

Haavatavusel põhinev riskianalüüs

See meetod on seotud iga organisatsiooni või süsteemi nõrkade kohtade paljastamisega. Haavatavuspõhised hindamised hõlmavad: selle asemel, et alustada ettevõtte varade loeteluga.

• Olemasolevate organisatsiooniliste/süsteemsete nõrkuste ja ebatõhususte kindlakstegemine
• Määrake kindlaks, kuidas neid nõrkusi võidakse ära kasutada.
• Hinnake iga ekspluati võimalikku mõju

Kuigi meetod pakub riskide suhtes tasakaalustatumat perspektiivi, on sellel üks puudus: see tugineb teadaolevatele haavatavustele. Seega jäävad seni lahendamata lüngad endiselt ohuks.

Õige riskijuhtimisstrateegiate kombinatsiooni valimine eeldab organisatsiooni riskide ja nende võimaliku mõju selget mõistmist. Seetõttu ei ole võimalik anda universaalset riskijuhtimisnõu seoses ühe või teise strateegiaga. Sellest hoolimata eelistavad mõned organisatsioonid mõnel juhul rakendada konkreetseid strateegiaid:

• Riskide vältimise strateegia tuleks rakendada juhtudel, kus riski potentsiaalne mõju on suurem kui tegevuse kasu.
• Riskide vähendamine on sobiv valik, kui seda ei ole võimalik vältida, kuid siiski võib rakendada riskikontrollimeetmeid.
• Riskide jagamine on seotud projektidega, mis on liiga suured või liiga keerulised, et neid saaks hallata üks osapool
• Riskide säilitamine on tavaline madala mõjuga riskide puhul, mis on igapäevases tegevuses normaalsed.
• Riskide ülekandmist kasutatakse tavaliselt suure mõjuga, ulatuslike riskide puhul, mille käsitlemine organisatsioonis oleks liiga kulukas.

Riskitase, peamiste sidusrühmade riskivalmidus ja ressursid määravad siiski teie valitud strateegia.

Riskijuhtimise protsess koosneb viiest etapist: riski tuvastamine, riski hindamine, riski käsitlemise kava, rakendamine, järelevalve ja täiustamine.

1. Riskide kindlaksmääramine

Esimene asi, mida peate tegema, on saada ülevaade kõikidest võimalikest riskidest, millele teie organisatsioon on avatud. Dokumenteerige kõik tuvastatud riskid dokumendis, näiteks riskiregistris – andmebaasis, mis sisaldab riske, nende tõenäosust ja võimalikku mõju, riskide omanikke ja valitud riskide käsitlemise strateegiat. Kõigi võimalike riskide kindlakstegemiseks:

• Suhtle nendega nii esmatöötajate kui ka tippjuhtkonnaga uuringute, ajurünnakute ja intervjuude kaudu.
• Uurige riskide ajaloolisi juhtumeid ja leidke nende põhjused
• Kasutage andmete analüüsi abil ajaloolisi andmeid riskide hindamiseks.

Nendes seitsmes riskikategoorias võtke arvesse sisemisi ja väliseid riske:

2. Riskianalüüs

Nüüd on aeg määrata kindlaks iga tuvastatud riski tõsiduse tase. Määrake iga riski puhul kindlaks:

• Riskisündmus, kui see juhtub, avaldab organisatsioonile negatiivset mõju
• Sise- ja välistegurid, mis võivad põhjustada riski tekkimise
• Riskisündmuse esinemise tõenäosus
• Riskisündmuse mõju
• Ajakava või kiirus, millega risk võib realiseeruda

Võite koondada oma järeldused riskimatriksisse, kus ühel teljel on riski tõenäosus ja teisel teljel mõju raskusaste. Kui olete hindamise läbi viinud, saate riskid liigitada kõige tõsisematest kõige vähem tõsisteni.

3. Riskide käsitlemise kava

Riskide käsitlemisel peate esmalt otsustama oma strateegia üle: vältimine, vähendamine, jagamine, ülekandmine või säilitamine. Sama riski käsitlemisel võite kombineerida mitut tüüpi riskijuhtimisstrateegiaid. Seejärel esitage iga riski kohta riskijuhtimiskava, riskijuhtimise meetmed, poliitikad ja halduskontrollid riski vähendamiseks. Valige ka õiged riskimõõtmised, mida järgida.

4. Riskijuhtimise rakendamine

Kui plaan on paigas, on aeg see ellu viia. Teavitage riskidest ka oma peamisi sidusrühmi, et nad oleksid nendest teadlikud ja osaleksid riskijuhtimisprotsessides. Lisaks sellele võtke kasutusele süsteem, mis jälgib eelmises etapis kindlaks määratud riskimõõdikuid. Samuti võite arvutada andmeanalüüsi lahenduse, et sellisest teabest järeldusi teha.

5. Järelevalve ja täiustamine

Riskijuhtimine ei ole projekt, vaid protsess, mida tuleks teostada pidevalt. Riskide tõhusaks juhtimiseks:

• Jälgige pidevalt riskimeetmeid, nt likviidsussuhet või seadmete seisakuid
• Vaadake regulaarselt läbi riskiregister, hinnake riske uuesti ja jälgige tekkivaid riske.
• Jälgige pidevalt olukorda ja rakendage riskide vähendamise meetmeid
• Testige ja täiendage oma leevendusplaane ja kontrollimeetmeid
• Küsige nõu oma riskijuhtimise tavade kohta peamistelt sidusrühmadelt.
• Viige läbi regulaarseid sisemisi auditeid

Analüütiline ja strateegiline mõtlemine, suhtlemis- ja juhtimisoskused ning regulatiivsed ja finantsteadmised on riskijuhtimises kõige väärtuslikumad oskused.

Analüütiline mõtlemine

Riskijuhtimine hõlmab erinevate andmete analüüsi. Tõhus riskijuht on võimeline tegema tarku otsuseid kogutud teabe põhjal, võttes arvesse kvantitatiivseid ja kvalitatiivseid tegureid.

Strateegiline mõtlemine

Riskijuhtidel peab olema terviklik ülevaade ettevõtte strateegiast ja riskijuhtimise rollist. Nad ei saa optimaalselt töötada, kui neil puudub tervikpilt ja nad ei suuda tuvastada võimalusi, mida nende kolleegid võivad olla tähelepanuta jätnud.

Inimesed ja suhtlemisoskus

Riskijuhtimine vajab edukaks toimimiseks väga palju ristfunktsionaalset koostööd. Riskijuhi ülesanne on tagada peamiste huvirühmade koostöö ja tagasiside saamine.

Individuaalsed juhtimis- ja juhtimisoskused

Riskijuhtijad on ühel või teisel hetkel sunnitud rakendama organisatsioonis riskijuhtimise tavasid. See eeldab oskust innustada inimesi jätkama riskide vähendamise meetmeid ja looma ausat arutelu riskide üle.

Reguleerivad teadmised

Iga riskijuhtimise meetod on tõenäoliselt reguleeritud mitmesuguste eeskirjadega. Seega peavad riskijuhid mõistma õiguslikke riskijuhtimise nõudeid ja nende praktilist rakendamist.

Finantsteadmised

Riskijuhtidelt oodatakse riskide hindamist peaaegu iga päev. Seda ei ole võimalik teha ilma põhjalike finantsteadmisteta võrgu katkestuste kulude ja seadmete rikke tõttu tekkinud rahaliste kahjude kohta.

Kokkuvõttes võib öelda, et nagu mägironija tugineb ohutuse tagamiseks köiedele ja rihmadele, peab ka ettevõte kasutama tugevaid riskijuhtimisstrateegiaid, et vältida võimalikke ohte. Olgu tegemist riski vältimise, vähendamise, jagamise, ülekandmise või säilitamisega, on mõlemad lähenemisviisid olulised finants-, tegevus- ja mainekahjude leevendamiseks. See terviklik strateegia tagab, et ettevõtted suudavad eelnevalt tegeleda haavatavustega ja olla vastupidavad, mis tagab pikaajalise edu ja jätkusuutlikkuse.