Risk yönetimi - Risk management

Risk değerlendirmesi örneği: Uluslararası Uzay İstasyonu için yüksek risk altındaki alanları gösteren bir NASA modeli

Risk yönetimi , risklerin tanımlanması, değerlendirilmesi ve önceliklendirilmesi ( ISO 31000'de belirsizliğin hedefler üzerindeki etkisi olarak tanımlanır ), ardından talihsiz olayların olasılığını veya etkisini en aza indirmek, izlemek ve kontrol etmek veya en üst düzeye çıkarmak için kaynakların koordineli ve ekonomik bir şekilde uygulanmasıdır. fırsatların gerçekleşmesi.

Riskler, uluslararası piyasalardaki belirsizlik , proje başarısızlıklarından kaynaklanan tehditler (tasarım, geliştirme, üretim veya yaşam döngülerinin sürdürülmesinin herhangi bir aşamasında), yasal yükümlülükler, kredi riski, kazalar, doğal nedenler ve afetler , kasıtlı saldırılar dahil olmak üzere çeşitli kaynaklardan gelebilir. bir rakipten veya belirsiz veya öngörülemeyen kök nedenli olaylardan . İki tür olay vardır, yani olumsuz olaylar risk olarak sınıflandırılabilirken, olumlu olaylar fırsat olarak sınıflandırılabilir. Risk yönetimi standartları , Proje Yönetim Enstitüsü , Ulusal Standartlar ve Teknoloji Enstitüsü , aktüeryal topluluklar ve ISO standartları dahil olmak üzere çeşitli kurumlar tarafından geliştirilmiştir . Yöntemler, tanımlar ve hedefler, risk yönetimi yönteminin proje yönetimi, güvenlik, mühendislik , endüstriyel süreçler , finansal portföyler, aktüeryal değerlendirmeler veya halk sağlığı ve güvenliği bağlamında olup olmadığına göre büyük ölçüde değişir .

Tehditleri yönetme stratejileri (olumsuz sonuçları olan belirsizlikler) tipik olarak tehditten kaçınmayı, tehdidin olumsuz etkisini veya olasılığını azaltmayı, tehdidin tamamını veya bir kısmını başka bir tarafa devretmeyi ve hatta potansiyel veya fiili sonuçlarının bir kısmını veya tamamını korumayı içerir. özel bir tehdit. Bu stratejilerin tersi, fırsatlara cevap vermek için kullanılabilir (faydaları olan belirsiz gelecek durumları).

Bazı risk yönetimi standartları, risk üzerinde ölçülebilir bir iyileşme olmadığı için eleştirilirken, tahminlere ve kararlara olan güven artıyor gibi görünüyor.

Tanıtım

Risk yönetimi için yaygın olarak kullanılan bir sözlük, ISO Guide 73:2009 , "Risk Management. Vocabulary" tarafından tanımlanmıştır .

İdeal risk yönetiminde, en büyük kayıp (veya etki) ve meydana gelme olasılığı en yüksek olan risklerin ilk önce ele alındığı bir önceliklendirme süreci izlenir . Daha düşük gerçekleşme olasılığı ve daha düşük kayıp olan riskler azalan sırayla ele alınır. Uygulamada, genel riski değerlendirme süreci zor olabilir ve meydana gelme olasılığı yüksek ancak kayıp daha düşük olan riskler ile yüksek kayıplı ancak daha düşük olasılıklı bir risk arasında hafifletmek için kullanılan kaynakları dengelemek genellikle yanlış kullanılabilir.

Maddi olmayan risk yönetimi, %100 gerçekleşme olasılığı olan ancak tanımlama yeteneğinin olmaması nedeniyle kuruluş tarafından göz ardı edilen yeni bir risk türünü tanımlar. Örneğin, bir duruma eksik bilgi uygulandığında, bir bilgi riski gerçekleşir. İlişki riski, etkisiz işbirliği ortaya çıktığında ortaya çıkar. Etkin olmayan operasyonel prosedürler uygulandığında süreç katılım riski bir sorun olabilir. Bu riskler doğrudan bilgi çalışanlarının üretkenliğini azaltır, maliyet etkinliğini, karlılığı, hizmeti, kaliteyi, itibarı, marka değerini ve kazanç kalitesini düşürür. Maddi olmayan risk yönetimi, risk yönetiminin, üretkenliği azaltan risklerin belirlenmesi ve azaltılmasından anında değer yaratmasına olanak tanır.

Fırsat maliyeti, risk yöneticileri için benzersiz bir zorluğu temsil eder. Kaynakların ne zaman risk yönetimine aktarılacağını ve bu kaynakların ne zaman başka yerlerde kullanılacağını belirlemek zor olabilir. Yine ideal risk yönetimi, harcamaları (veya insan gücünü veya diğer kaynakları) en aza indirir ve ayrıca risklerin olumsuz etkilerini en aza indirir.

Risk, bir amacın gerçekleştirilmesini olumsuz yönde etkileyen bir olayın meydana gelme olasılığı olarak tanımlanır. Bu nedenle belirsizlik, riskin önemli bir yönüdür. Treadway Komisyonu Kurumsal Risk Yönetiminin (COSO ERM) Sponsor Kuruluşlar Komitesi gibi sistemler, risk faktörlerini azaltmada yöneticilere yardımcı olabilir. Her şirket, farklı sonuçlara yol açan farklı iç kontrol bileşenlerine sahip olabilir. Örneğin, ERM bileşenleri çerçevesi İç Ortam, Hedef Belirleme, Olay Tanımlama, Risk Değerlendirmesi, Riske Müdahale, Kontrol Faaliyetleri, Bilgi ve İletişim ve İzlemeyi içerir.

Yöntem

Çoğunlukla, bu yöntemler, aşağı yukarı aşağıdaki sırayla gerçekleştirilen aşağıdaki öğelerden oluşur.

  1. Tehditleri tanımlayın
  2. Kritik varlıkların belirli tehditlere karşı savunmasızlığını değerlendirin
  3. Riski belirleyin (yani, belirli varlıklara yönelik belirli saldırı türlerinin beklenen olasılığı ve sonuçları)
  4. Bu riskleri azaltmanın yollarını belirleyin
  5. Risk azaltma önlemlerine öncelik verin

Prensipler

Uluslararası Standardizasyon Teşkilatı (ISO) risk yönetimi aşağıdaki ilkeleri belirlemiştir:

Risk yönetimi şunları yapmalıdır:

  • Değer yaratın – riski azaltmak için harcanan kaynaklar, eylemsizliğin sonucundan daha az olmalıdır
  • Organizasyonel süreçlerin ayrılmaz bir parçası olun
  • Karar verme sürecinin bir parçası olun
  • Belirsizliği ve varsayımları açıkça ele alın
  • Sistematik ve yapılandırılmış bir süreç olun
  • Mevcut en iyi bilgilere dayalı olun
  • uyarlanabilir olun
  • İnsan faktörlerini dikkate alın
  • Şeffaf ve kapsayıcı olun
  • Dinamik, yinelemeli ve değişime duyarlı olun
  • Sürekli iyileştirme ve iyileştirme yeteneğine sahip olmak
  • Sürekli veya periyodik olarak yeniden değerlendirilmeli

Hafif Karşı Vahşi Risk

Benoit Mandelbrot , "hafif" ve "vahşi" risk arasında ayrım yaptı ve risk değerlendirmesi ve yönetiminin iki risk türü için temelde farklı olması gerektiğini savundu. Hafif risk, normal veya normale yakın olasılık dağılımlarını takip eder, ortalamaya ve büyük sayılar yasasına göre gerilemeye tabidir ve bu nedenle nispeten öngörülebilirdir. Vahşi risk, kalın kuyruklu dağılımları takip eder , örneğin, Pareto veya güç yasası dağılımları , kuyruğa gerilemeye tabidir (sonsuz ortalama veya varyans, büyük sayılar yasasını geçersiz veya etkisiz hale getirir) ve bu nedenle tahmin edilmesi zor veya imkansızdır. Risk değerlendirmesi ve yönetiminde yaygın bir hata, Mandelbrot'a göre risk değerlendirmesi ve yönetiminin geçerli ve güvenilir olması için kaçınılması gereken, aslında vahşi olduğunda riski hafif olduğunu varsayarak riskin vahşiliğini hafife almaktır.

İşlem

ISO 31000 "Risk yönetimi - Uygulamaya ilişkin ilkeler ve yönergeler" standardına göre , risk yönetimi süreci aşağıdaki gibi birkaç adımdan oluşur:

Bağlamı oluşturmak

Bu içerir:

  1. bağlamı gözlemlemek
    • risk yönetiminin sosyal kapsamı
    • paydaşların kimliği ve amaçları
    • risklerin değerlendirileceği temel, kısıtlamalar.
  2. faaliyet için bir çerçeve ve tanımlama için bir gündem tanımlama
  3. sürece dahil olan risklerin bir analizini geliştirmek
  4. mevcut teknolojik, insani ve organizasyonel kaynakları kullanarak risklerin azaltılması veya çözümü

Kimlik

Bağlamı oluşturduktan sonra, risk yönetimi sürecindeki bir sonraki adım, potansiyel riskleri belirlemektir. Riskler, tetiklendiğinde sorunlara veya faydalara neden olan olaylarla ilgilidir. Bu nedenle, risk tanımlaması, sorunların kaynağı ve rakiplerinkiler (fayda) ile veya sorunun sonuçları ile başlayabilir.

  • Kaynak analizi – Risk kaynakları, risk yönetiminin hedefi olan sistemin içinde veya dışında olabilir (kendi tanımı gereği risk yönetilemeyen karar verme faktörleriyle ilgilendiğinden, yönetim yerine azaltmayı kullanın).

Bazı risk kaynakları örnekleri şunlardır: bir projenin paydaşları, bir şirketin çalışanları veya bir havalimanı üzerindeki hava durumu.

  • Sorun analizi – Riskler, tanımlanan tehditlerle ilgilidir. Örneğin: para kaybetme tehdidi, gizli bilgilerin kötüye kullanılması tehdidi veya insan hataları, kazalar ve kayıplar tehdidi. Tehditler, en önemlisi hissedarlar, müşteriler ve hükümet gibi yasama organları olmak üzere çeşitli kuruluşlarda olabilir.

Kaynak veya problem bilindiğinde, bir kaynağın tetikleyebileceği veya probleme yol açabilecek olaylar araştırılabilir. Örneğin: bir proje sırasında geri çekilen paydaşlar, projenin finansmanını tehlikeye atabilir; gizli bilgiler, kapalı bir ağ içinde bile çalışanlar tarafından çalınabilir; Kalkış sırasında bir uçağa yıldırım çarpması, uçaktaki tüm insanların anında yaralanmasına neden olabilir.

Riskleri belirlemek için seçilen yöntem kültüre, endüstri uygulamasına ve uyumluluğa bağlı olabilir. Tanımlama yöntemleri, kaynak, sorun veya olayı tanımlamak için şablonlar veya şablonların geliştirilmesi ile oluşturulur. Yaygın risk tanımlama yöntemleri şunlardır:

  • Hedeflere dayalı risk tanımlama – Kuruluşların ve proje ekiplerinin hedefleri vardır. Bir amaca ulaşılmasını engelleyebilecek herhangi bir olay risk olarak tanımlanır.
  • Senaryo bazlı risk tanımlama – Senaryo analizinde farklı senaryolar oluşturulur. Senaryolar, bir hedefe ulaşmanın alternatif yolları veya örneğin bir pazar veya savaşta güçlerin etkileşiminin bir analizi olabilir. İstenmeyen bir senaryo alternatifini tetikleyen herhangi bir olay risk olarak tanımlanır – Fütüristler tarafından kullanılan metodoloji için Gelecek Çalışmaları'na bakın .
  • Taksonomiye dayalı risk tanımlaması – Taksonomiye dayalı risk tanımlamasındaki sınıflandırma, olası risk kaynaklarının bir dökümüdür. Taksonomiye ve en iyi uygulamaların bilgisine dayanarak bir anket derlenir. Soruların cevapları riskleri ortaya koyuyor.
  • Ortak risk kontrolü – Çeşitli endüstrilerde bilinen risklere sahip listeler mevcuttur. Listedeki her risk, belirli bir duruma uygulama için kontrol edilebilir.
  • Risk çizelgesi - Bu yöntem, risk altındaki kaynakları, bu kaynaklara yönelik tehditleri listeleyerek, riski artırabilecek veya azaltabilecek faktörleri ve kaçınılması istenen sonuçları değiştirerek yukarıdaki yaklaşımları birleştirir. Bu başlıklar altında bir matris oluşturmak , çeşitli yaklaşımlara olanak tanır. Kaynaklarla başlayabilir ve maruz kaldıkları tehditleri ve her birinin sonuçlarını değerlendirebilirsiniz. Alternatif olarak, kişi tehditlerle başlayabilir ve hangi kaynakları etkileyeceğini inceleyebilir veya sonuçlarla başlayabilir ve bunları meydana getirmek için hangi tehdit ve kaynak kombinasyonunun dahil olacağını belirleyebilir.

Değerlendirme

Riskler tanımlandıktan sonra, potansiyel etki şiddeti (genellikle hasar veya kayıp gibi olumsuz bir etki) ve meydana gelme olasılığı açısından değerlendirilmelidirler. Bu miktarlar, kayıp bir binanın değeri durumunda ölçülmesi basit olabilir veya gerçekleşme olasılığı bilinmeyen olası olmayan bir olay durumunda kesin olarak bilinmesi imkansız olabilir. Bu nedenle, risk yönetim planının uygulanmasına uygun şekilde öncelik vermek için değerlendirme sürecinde en iyi eğitimli kararları vermek kritik önem taşır .

Kısa vadeli olumlu bir gelişmenin bile uzun vadeli olumsuz etkileri olabilir. "Paralı" örneğini alın. Daha fazla trafiğe izin vermek için bir otoyol genişletildi. Daha fazla trafik kapasitesi, iyileştirilmiş trafik kapasitesini çevreleyen alanlarda daha fazla gelişmeye yol açar. Zamanla, trafik böylece mevcut kapasiteyi doldurmak için artar. Bu nedenle, turnpiklerin görünüşte sonsuz bir döngüde genişletilmesi gerekir. Genişletilmiş kapasitenin (herhangi bir işlevi yerine getirmek için) kısa sürede artan taleple doldurulduğu başka birçok mühendislik örneği vardır. Genişlemenin bir bedeli olduğu için, ortaya çıkan büyüme, tahmin ve yönetim olmaksızın sürdürülemez hale gelebilir.

Risk değerlendirmesindeki temel zorluk, meydana gelme oranını belirlemektir, çünkü her türlü geçmiş olay hakkında istatistiksel bilgi mevcut değildir ve özellikle, nadiren olmaları nedeniyle felaket olaylarında yetersizdir. Ayrıca, maddi olmayan duran varlıklar için sonuçların (etkinin) ciddiyetini değerlendirmek genellikle oldukça zordur. Varlık değerlemesi, ele alınması gereken başka bir sorudur. Bu nedenle, en iyi eğitimli görüşler ve mevcut istatistikler, birincil bilgi kaynaklarıdır. Bununla birlikte, risk değerlendirmesi, organizasyonun üst düzey yöneticileri için, birincil risklerin anlaşılmasının kolay olduğu ve risk yönetimi kararlarının genel şirket hedefleri içinde önceliklendirilebileceği gibi bilgiler üretmelidir. Bu nedenle, riskleri ölçmek için çeşitli teoriler ve girişimler olmuştur. Çok sayıda farklı risk formülü mevcuttur, ancak belki de risk ölçümü için en yaygın olarak kabul edilen formül şudur: "Olay oranı (veya olasılığı) ile olayın etkisi çarpımı risk büyüklüğüne eşittir."

Risk seçenekleri

Risk azaltma önlemleri genellikle aşağıdaki ana risk seçeneklerinden bir veya daha fazlasına göre formüle edilir:

  1. Baştan itibaren yeterli yerleşik risk kontrolü ve sınırlama önlemleriyle yeni bir iş süreci tasarlayın.
  2. Devam eden süreçlerde ticari faaliyetlerin normal bir özelliği olarak kabul edilen riskleri periyodik olarak yeniden değerlendirin ve azaltma önlemlerini değiştirin.
  3. Riskleri harici bir acenteye transfer edin (örneğin bir sigorta şirketi)
  4. Risklerden tamamen kaçının (örneğin, yüksek riskli belirli bir iş alanını kapatarak)

Daha sonraki araştırmalar, risk yönetiminin finansal faydalarının kullanılan formüle daha az bağımlı olduğunu, ancak daha çok risk değerlendirmesinin sıklığına ve nasıl yapıldığına bağlı olduğunu göstermiştir.

İş dünyasında risk değerlendirmelerinin bulgularını finansal, piyasa veya zamanlama açısından sunabilmek zorunludur. Robert Courtney Jr. (IBM, 1970) riskleri finansal terimlerle sunmak için bir formül önerdi. Courtney formülü, ABD devlet kurumları için resmi risk analiz yöntemi olarak kabul edildi. Formül, ALE'nin (yıllık kayıp beklentisi) hesaplanmasını önerir ve beklenen kayıp değerini güvenlik kontrolü uygulama maliyetleriyle karşılaştırır ( maliyet-fayda analizi ).

Potansiyel risk tedavileri

Riskler belirlenip değerlendirildikten sonra, riski yönetmeye yönelik tüm teknikler şu dört ana kategoriden birine veya daha fazlasına girer:

  • Kaçınma (ortadan kaldırma, geri çekilme veya dahil olma)
  • Azaltma (optimize et - azalt)
  • Paylaşım (devir – dış kaynak veya sigorta)
  • Saklama (kabul ve bütçe)

Bu risk kontrol stratejilerinin ideal kullanımı mümkün olmayabilir. Bazıları, risk yönetimi kararlarını veren kuruluş veya kişi için kabul edilemez olan ödünleşimleri içerebilir. ABD Savunma Bakanlığı'ndan (bağlantıya bakın) başka bir kaynak, Defense Acquisition University , bu kategorileri Kaçınma, Kontrol, Kabul Etme veya Aktarma için ACAT olarak adlandırır. ACAT kısaltmasının bu kullanımı, ABD Savunma sanayii tedariklerinde kullanılan ve Risk Yönetiminin karar verme ve planlamada belirgin bir şekilde yer aldığı başka bir ACAT'ı (Tedarik Kategorisi için) andırmaktadır.

Riskten kaçınma

Bu, risk oluşturabilecek bir faaliyette bulunmamayı içerir. Yasal sorumluluktan kaçınmak için bir mülk veya işletme satın almayı reddetmek buna bir örnektir. Uçak kaçırma korkusuyla uçak uçuşlarından kaçınmak . Kaçınma, tüm risklerin cevabı gibi görünebilir, ancak risklerden kaçınmak, aynı zamanda, riski kabul etmenin (tutmanın) izin vermiş olabileceği potansiyel kazancı kaybetmek anlamına gelir. Kayıp riskinden kaçınmak için bir işe girmemek, kar elde etme olasılığını da ortadan kaldırır. Hastanelerde artan risk düzenlemesi, daha düşük riskli hastalar lehine daha yüksek risk durumlarının tedavi edilmesinden kaçınılmasına yol açmıştır.

Risk azaltma

Risk azaltma veya "optimizasyon", kaybın ciddiyetinin veya kaybın meydana gelme olasılığının azaltılmasını içerir. Örneğin, sprinkler yangın nedeniyle kayıp riskini azaltmak için bir yangını söndürmek üzere tasarlanmıştır . Bu yöntem su hasarı ile daha büyük kayıplara neden olabilir ve bu nedenle uygun olmayabilir. Halon yangın söndürme sistemleri bu riski azaltabilir, ancak maliyet bir strateji olarak engelleyici olabilir .

Risklerin pozitif veya negatif olabileceğini kabul etmek, riskleri optimize etmek, negatif risk ile operasyon veya faaliyetin faydası arasında bir denge bulmak anlamına gelir; ve risk azaltma ve uygulanan çaba arasında. Kuruluşlar, Sağlık, Güvenlik ve Çevre (HSE) yönetim standartlarını etkin bir şekilde uygulayarak , tolere edilebilir artık risk seviyelerine ulaşabilirler .

Modern yazılım geliştirme metodolojileri, yazılımı aşamalı olarak geliştirip sunarak riski azaltır. İlk metodolojiler, yazılımı yalnızca geliştirmenin son aşamasında teslim ettikleri gerçeğinden muzdaripti; daha önceki aşamalarda karşılaşılan herhangi bir sorun, maliyetli bir yeniden çalışma anlamına geliyordu ve çoğu zaman tüm projeyi tehlikeye atıyordu. Yazılım projeleri, yinelemeler halinde geliştirerek, boşa harcanan çabayı tek bir yinelemeyle sınırlayabilir.

Outsourcing İşveren yönetmek veya riskleri azaltmayı yüksek becerisini ortaya eğer risk paylaşımı stratejisinin bir örnek olabilir. Örneğin, bir şirket, iş yönetimini kendisi yürütürken, yalnızca yazılım geliştirme, sert malların üretimi veya müşteri desteği ihtiyaçlarını başka bir şirkete dış kaynak sağlayabilir. Bu şekilde şirket, üretim süreci, geliştirme ekibini yönetme veya bir merkez için fiziksel bir yer bulma konusunda fazla endişelenmeden iş geliştirmeye daha fazla konsantre olabilir.

Risk paylaşımı

Kısaca "bir riskten doğan zararın yükünü veya kazancın faydasını ve bir riski azaltmaya yönelik tedbirleri başka bir tarafla paylaşmak" olarak tanımlanmaktadır.

'Risk transferi' terimi, genellikle sigorta veya dış kaynak kullanımı yoluyla bir riski üçüncü bir tarafa devredebileceğiniz yanlış inancında risk paylaşımı yerine kullanılır. Uygulamada, sigorta şirketi veya müteahhit iflas ederse veya mahkemeye çıkarsa, orijinal riskin yine de birinci tarafa geri dönmesi muhtemeldir. Bu nedenle, hem uygulayıcıların hem de bilim adamlarının terminolojisinde, bir sigorta sözleşmesinin satın alınması genellikle bir "risk transferi" olarak tanımlanır. Bununla birlikte, teknik olarak konuşursak, sözleşmenin alıcısı genellikle "devredilen" kayıplar için yasal sorumluluğu elinde tutar, bu da sigortanın olay sonrası telafi edici bir mekanizma olarak daha doğru bir şekilde tanımlanabileceği anlamına gelir. Örneğin, bir kişisel yaralanma sigortası poliçesi, trafik kazası riskini sigorta şirketine devretmez. Risk yine de sigortalıya yani kazaya uğrayan kişiye aittir. Sigorta poliçesi basitçe, poliçe sahibinin dahil olduğu bir kaza (olay) meydana gelirse, poliçe sahibine acı/hasar ile orantılı bir tazminat ödenmesini sağlar.

Risk yönetimi yöntemleri birden fazla kategoriye ayrılır. Risk tutma havuzları, teknik olarak grup için riski elinde tutar, ancak bunu tüm gruba yaymak, grubun bireysel üyeleri arasında aktarımı içerir. Bu, geleneksel sigortadan farklıdır, çünkü grup üyeleri arasında önceden herhangi bir prim değiş tokuş edilmez, bunun yerine grubun tüm üyelerine zararlar değerlendirilir.

Risk tutma

Risk tutma, olay meydana geldiğinde bir riskten kaybın veya kazançtan yararlanmanın kabul edilmesini içerir. Gerçek öz sigorta bu kategoriye girer. Riski tutma, riske karşı sigortalamanın maliyetinin zaman içinde sürdürülen toplam kayıplardan daha büyük olacağı küçük riskler için geçerli bir stratejidir. Kaçınılmayan veya aktarılmayan tüm riskler varsayılan olarak korunur. Bu, sigortalanamayacak kadar büyük veya felaket olan veya primlerin mümkün olmadığı riskleri içerir. Savaş savaşa atfedilen kaybı sigortalı tarafından korunacak şekilde en mülkiyet ve riskler, savaşa karşı sigortalı olmadığı için bir örnektir. Ayrıca, sigortalanan tutarın üzerindeki herhangi bir potansiyel kayıp (risk) tutarı da tutulan risktir. Bu, aynı zamanda, çok büyük bir kayıp olasılığı küçükse veya daha büyük teminat miktarları için sigorta maliyeti çok büyükse, organizasyonun hedeflerini çok fazla engelleyebilecekse kabul edilebilir.

Risk yönetim Planı

Her riski azaltmak için uygun kontrolleri veya karşı önlemleri seçin. Risk azaltmanın uygun yönetim seviyesi tarafından onaylanması gerekir. Örneğin, kuruluşun imajına ilişkin bir riskin arkasında üst yönetimin kararı olması gerekirken, BT yönetimi bilgisayar virüsü risklerine karar verme yetkisine sahip olacaktır.

Risk yönetim planı, riskleri yönetmek için uygulanabilir ve etkili güvenlik kontrolleri önermelidir. Örneğin, gözlemlenen yüksek bilgisayar virüsü riski, virüsten koruma yazılımı satın alınarak ve uygulanarak azaltılabilir. İyi bir risk yönetim planı, kontrol uygulaması için bir program ve bu eylemlerden sorumlu kişiler içermelidir.

Göre ISO / IEC 27001 , tamamlanması hemen sonra sahneye risk değerlendirme safhasında tespit risklerin her nasıl işleneceğini hakkında kararlar belgelemek gereken bir risk Tedavi Planı hazırlayarak oluşur. Risklerin azaltılması genellikle , standarttan hangi belirli kontrol hedeflerinin ve kontrollerin seçildiğini ve neden seçildiğini tanımlayan bir Uygulanabilirlik Beyanı'nda belgelenmesi gereken güvenlik kontrollerinin seçimi anlamına gelir .

uygulama

Uygulama, risklerin etkisini azaltmak için planlanan tüm yöntemleri takip eder. Bir sigortacıya devredilmesine karar verilen riskler için sigorta poliçesi satın alın, işletmenin hedeflerinden ödün vermeden kaçınılabilecek tüm risklerden kaçının, diğerlerini azaltın ve geri kalanını elinizde tutun.

Planın gözden geçirilmesi ve değerlendirilmesi

İlk risk yönetimi planları asla mükemmel olmayacak. Uygulama, deneyim ve fiili kayıp sonuçları, planda değişiklik yapılmasını gerektirecek ve karşı karşıya kalınan risklerle başa çıkmada olası farklı kararların alınmasına izin verecek bilgilere katkıda bulunacaktır.

Risk analizi sonuçları ve yönetim planları periyodik olarak güncellenmelidir. Bunun başlıca iki nedeni vardır:

  1. önceden seçilen güvenlik kontrollerinin hala uygulanabilir ve etkili olup olmadığını değerlendirmek
  2. iş ortamındaki olası risk seviyesi değişikliklerini değerlendirmek. Örneğin, bilgi riskleri hızla değişen iş ortamına iyi bir örnektir.

sınırlamalar

Risk yönetimi süreçlerine çok fazla öncelik vermek, bir organizasyonun bir projeyi tamamlamasını ve hatta başlamasını engelleyebilir. Bu, özellikle risk yönetimi sürecinin tamamlandığı kabul edilene kadar diğer işlerin askıya alınması durumunda geçerlidir.

Risk ve belirsizlik arasındaki ayrımı akılda tutmak da önemlidir . Risk, etkiler × olasılık ile ölçülebilir.

Riskler uygunsuz bir şekilde değerlendirilir ve önceliklendirilirse, gerçekleşmesi muhtemel olmayan kayıp riskleriyle başa çıkmak için zaman harcanabilir. Olası olmayan riskleri değerlendirmek ve yönetmek için çok fazla zaman harcamaktan kaçınılmalıdır. Muhtemel olmayan olaylar meydana gelir, ancak riskin gerçekleşmesi yeterince olası değilse, riski korumak ve kayıp gerçekten meydana gelirse sonuçla ilgilenmek daha iyi olabilir. Niteliksel risk değerlendirmesi özneldir ve tutarlılıktan yoksundur. Resmi bir risk değerlendirme sürecinin birincil gerekçesi yasal ve bürokratiktir.

Alanlar

Finansal muhasebeye uygulandığında , risk yönetimi , bir firmanın bilançosundaki finansal veya operasyonel riski ölçme, izleme ve kontrol etme tekniğidir , geleneksel bir ölçü riske maruz değerdir (VaR), ancak risk altındaki kâr gibi başka ölçüler de vardır ( PaR) veya risk altındaki marj . Basel II çerçevesi sonları içine riskler piyasa riski (fiyat riski), kredi riski ve operasyonel risk ve aynı zamanda hesaplama metotlarını kapsar sermaye gereksinimleri bu bileşenlerin her biri için.

Bilgi Teknolojisinde risk yönetimi, izinsiz girişler, siber hırsızlık, hizmet reddi, yangın, sel ve diğer güvenlikle ilgili olaylarla başa çıkmak için bir eylem planı olan "Olay Yönetimi"ni içerir. Göre SANS Enstitüsü Öğrenilmiş hazırlanması, Kimlik, kapsama, eradikasyon, Kurtarma ve Dersler: bu altı aşamalı bir işlemdir.

Sözleşmeye dayalı risk yönetimi

"Sözleşmeye dayalı risk yönetimi" kavramı, sözleşmenin uygulanmasında, yani bir sözleşmeye girilerek kabul edilen risklerin yönetilmesinde risk yönetimi tekniklerinin kullanımını vurgular. Norveçli akademisyen Petri Keskitalo, "sözleşmeye dayalı risk yönetimini", "iş faaliyetlerine bağlı riskleri yönetmek için sözleşme planlaması ve yönetişimi kullanan pratik, proaktif ve sistematik bir sözleşme yöntemi" olarak tanımlar. 2010 yılında Samuel Greengard tarafından yayınlanan bir makalede, riskle başa çıkmak için bir stratejiye sahip olmanın önemini vurgulayan iki ABD hukuk davasından söz edilmektedir:

  • UDC v. CH2M Hill , savunma görevinin kabulü de dahil olmak üzere bir tazminat hükmü imzalayan ve bu şekilde üçüncü bir şahıstan gelen bir hak talebine tabi bir müşteriyi savunmanın yasal maliyetlerini üstlenebilecek profesyonel bir danışmanın riskini ele alır.
  • Witt v. La Gorce Country Club davası , belirli yargı alanlarında etkisiz bulunabilecek bir sorumluluğun sınırlandırılması maddesinin etkililiği ile ilgilidir .

Greengard, riski olabildiğince azaltmak için endüstri standardı sözleşme dilinin mümkün olduğunca kullanılmasını ve birkaç yıldır kullanımda olan ve yerleşik mahkeme yorumlarına tabi olan maddelere güvenmeyi önerir.

Hafıza kurumları (müzeler, kütüphaneler ve arşivler)

Girişim

Kurumsal risk yönetiminde risk, söz konusu işletmeyi olumsuz etkileyebilecek olası bir olay veya durum olarak tanımlanmaktadır. Etkisi, işletmenin varlığı, kaynakları (insan ve sermaye), ürünleri ve hizmetleri veya müşterileri üzerinde olabileceği gibi toplum, pazarlar veya çevre üzerindeki dış etkiler de olabilir. Bir finans kuruluşunda kurumsal risk yönetimi, normalde kredi riski, faiz oranı riski veya varlık yükümlülüğü yönetimi , likidite riski, piyasa riski ve operasyonel riskin birleşimi olarak düşünülür .

Daha genel bir durumda, her olası risk, olası sonuçlarıyla başa çıkmak için önceden formüle edilmiş bir plana sahip olabilir ( riskin bir yükümlülük haline gelmesi durumunda beklenmedik durumu sağlamak için ).

Bir proje yöneticisi, yukarıdaki bilgilerden ve zaman içinde çalışan başına ortalama maliyetten veya maliyet tahakkuk oranından aşağıdakileri tahmin edebilir:

  • ortaya çıkması halinde riskle ilişkili maliyet, birim zaman başına çalışan maliyetlerinin tahmini kayıp zamanla çarpılmasıyla hesaplanır ( maliyet etkisi , C burada C = maliyet tahakkuk oranı * S ).
  • bir riskle ilişkili zamanda olası artış ( riske bağlı program varyansı , Rs burada Rs = P * S):
    • Bu değere göre sıralama, çizelge için en yüksek riskleri ilk sıraya koyar. Bu, riskin mümkün olan en kısa sürede en aza indirilmesi için projeye yönelik en büyük risklerin ilk önce denenmesine neden olmayı amaçlamaktadır.
    • Bu biraz yanıltıcıdır, çünkü büyük P ve küçük S ile çizelge varyansları ve bunun tersi de eşdeğer değildir. ( Yolcuların yemeklerinin biraz yanlış zamanda servis edilmesine karşı RMS Titanic'in batma riski ).
  • bir riskle ilişkili maliyette olası artış ( riskten kaynaklanan maliyet farkı , Rc burada Rc = P*C = P*CAR*S = P*S*CAR)
    • bu değere göre sıralama yapmak bütçe için en yüksek riskleri ilk sıraya koyar.
    • yukarıdaki denklemde gösterildiği gibi, bunun bir fonksiyonu olduğundan, program varyansı ile ilgili endişelere bakın .

Bir Risk projesi veya süreç ya bağlı olabilir Varyasyon Nedeni Özel veya Varyasyon Nedeni Common ve uygun tedaviyi gerektirir. Bu, ekstrem vakaların hemen yukarıdaki listede eşdeğer olmadığı endişesini yinelemek içindir.

Kurumsal Güvenlik

ESRM, risk yönetimi yöntemleri aracılığıyla güvenlik faaliyetlerini bir işletmenin misyonu ve iş hedefleri ile ilişkilendiren bir güvenlik programı yönetimi yaklaşımıdır. Güvenlik liderinin ESRM'deki rolü, varlıkları bu risklere maruz kalan iş liderleriyle ortaklaşa kurumsal varlıklara yönelik zarar risklerini yönetmektir. ESRM, iş liderlerini belirlenen risklerin gerçekçi etkileri konusunda eğitmeyi, bu etkileri azaltmak için potansiyel stratejiler sunmayı ve ardından iş tarafından seçilen seçeneği kabul edilen iş risk toleransı seviyelerine uygun olarak hayata geçirmeyi içerir.

Tıbbi cihaz

İçin tıbbi cihazlar , risk yönetimi tanımlanması, değerlendirilmesi ve mal veya çevreye insanlara zarar ve hasar ile ilişkili risklerin azaltılması için bir süreçtir. Risk yönetimi, tıbbi cihaz tasarım ve geliştirme, üretim süreçleri ve saha deneyiminin değerlendirilmesinin ayrılmaz bir parçasıdır ve her türlü tıbbi cihaz için geçerlidir. Uygulamasının kanıtı, ABD FDA gibi çoğu düzenleyici kurum tarafından istenmektedir . Tıbbi cihazlara ilişkin risklerin yönetimi, Uluslararası Standardizasyon Örgütü (ISO) tarafından ISO 14971:2019 , Tıbbi Cihazlar—Bir ürün güvenliği standardı olan Tıbbi Cihazlara risk yönetiminin uygulanması belgesinde açıklanmıştır . Standart, yönetim sorumlulukları, risk analizi ve değerlendirmesi, risk kontrolleri ve yaşam döngüsü risk yönetimi için bir süreç çerçevesi ve ilgili gereksinimleri sağlar. Standardın uygulanmasına ilişkin rehberlik, ISO/TR 24971:2020 aracılığıyla mevcuttur.

Risk yönetimi standardının Avrupa versiyonu 2009'da ve tekrar 2012'de Tıbbi Cihazlar Direktifi (MDD) ve Aktif İmplante Edilebilir Tıbbi Cihaz Direktifi (AIMDD) 2007 revizyonunun yanı sıra In Vitro Tıbbi Cihaz Direktifi'ne (IVDD) atıfta bulunmak üzere güncellendi. ). EN 14971:2012 gereklilikleri, ISO 14971:2007 ile neredeyse aynıdır. Farklılıklar, yeni MDD, AIMDD ve IVDD'ye atıfta bulunan üç "(bilgilendirici)" Z Ekini içerir. Bu ekler, risklerin mümkün olduğunca azaltılması gerekliliğini ve risklerin tıbbi cihaz üzerinde etiketlenerek değil tasarım yoluyla azaltılması gerekliliğini içeren içerik sapmalarını gösterir (yani etiketleme artık riski azaltmak için kullanılamaz).

Tıbbi cihaz endüstrisi tarafından benimsenen tipik risk analizi ve değerlendirme teknikleri arasında tehlike analizi , hata ağacı analizi (FTA), arıza modu ve etki analizi (FMEA), tehlike ve işlerlik çalışması ( HAZOP ) ve risk kontrollerinin uygulanmasını sağlamak için risk izlenebilirlik analizi yer alır. ve etkili (yani ürün gereksinimlerine, tasarım spesifikasyonlarına, doğrulama ve doğrulama sonuçlarına göre belirlenen risklerin izlenmesi vb.). FTA analizi, diyagram oluşturma yazılımı gerektirir. FMEA analizi, bir elektronik tablo programı kullanılarak yapılabilir . Ayrıca entegre tıbbi cihaz risk yönetimi çözümleri de bulunmaktadır.

FDA, bir taslak kılavuz aracılığıyla , tıbbi cihaz güvenlik güvence analizi için "Güvenlik Güvencesi Vakası" adlı başka bir yöntemi tanıttı. Güvenlik güvencesi vakası, belirli bir ortamda belirli bir uygulama için bir sistemin güvenli olduğuna dair ikna edici, anlaşılır ve geçerli bir vaka sağlayan, bilim adamları ve mühendisler için uygun sistemler hakkında, bir dizi kanıtla desteklenen yapılandırılmış argüman muhakemesidir. Kılavuzla birlikte, piyasa öncesi izin sunumunun bir parçası olarak güvenlik açısından kritik cihazlar (ör. infüzyon cihazları) için bir güvenlik güvence vakası beklenmektedir, örneğin 510(k). 2013'te FDA, tıbbi cihaz üreticilerinin siber güvenlik risk analizi bilgilerini göndermelerini bekleyen başka bir kılavuz taslağı sundu.

Proje Yönetimi

Proje risk yönetimi, satın almanın farklı aşamalarında dikkate alınmalıdır. Bir projenin başlangıcında, teknik gelişmelerin ilerlemesi veya bir rakibin projeleri tarafından sunulan tehditler, bir risk veya tehdit değerlendirmesine ve ardından alternatiflerin değerlendirilmesine neden olabilir (bkz . Alternatiflerin Analizi ). Bir karar verildikten ve proje başladıktan sonra, daha tanıdık proje yönetimi uygulamaları kullanılabilir:

  • Belirli bir projede riskin nasıl yönetileceğini planlama. Planlar, risk yönetimi görevlerini, sorumluluklarını, faaliyetlerini ve bütçesini içermelidir.
  • Bir risk görevlisinin atanması – potansiyel proje problemlerini öngörmekten sorumlu proje yöneticisi dışında bir ekip üyesi. Risk görevlisinin tipik özelliği sağlıklı bir şüpheciliktir.
  • Canlı proje risk veritabanının bakımı. Her risk şu özelliklere sahip olmalıdır: açılış tarihi, başlık, kısa açıklama, olasılık ve önem. İsteğe bağlı olarak, bir riskin çözümünden sorumlu atanmış bir kişi ve riskin çözülmesi gereken bir tarih olabilir.
  • Anonim risk raporlama kanalı oluşturma. Her ekip üyesi projede öngördüğü riskleri raporlama olanağına sahip olmalıdır.
  • Azaltılması için seçilen riskler için azaltım planları hazırlamak. Azaltma planının amacı, bu belirli riskin nasıl ele alınacağını - bundan kaçınmak için ne, ne zaman, kim tarafından ve nasıl yapılacağını veya bir yükümlülük haline gelirse sonuçları en aza indireceğini açıklamaktır.
  • Planlanan ve karşı karşıya kalınan riskler, azaltım faaliyetlerinin etkinliği ve risk yönetimi için harcanan çabanın özetlenmesi.

Mega projeler (altyapı)

Megaprojeler (bazen "büyük programlar" olarak da adlandırılır), genellikle proje başına 1 milyar dolardan fazlaya mal olan büyük ölçekli yatırım projeleridir. Mega projeler arasında büyük köprüler, tüneller, otoyollar, demiryolları, havaalanları, limanlar, enerji santralleri, barajlar, atık su projeleri, kıyı taşkın koruma planları, petrol ve doğal gaz çıkarma projeleri, kamu binaları, bilgi teknolojisi sistemleri, havacılık projeleri ve savunma sistemleri yer alıyor. Mega projelerin özellikle finans, güvenlik, sosyal ve çevresel etkiler açısından riskli olduğu gösterilmiştir. Bu nedenle risk yönetimi özellikle mega projeler için geçerlidir ve bu tür risk yönetimi için özel yöntemler ve özel eğitim geliştirilmiştir.

Doğal afetler

Sel , deprem vb. doğal afetlerle ilgili riskleri değerlendirmek önemlidir . Doğal afet risk değerlendirmesinin sonuçları, gelecekteki onarım maliyetleri, iş kesintisi kayıpları ve diğer aksama süreleri, çevre üzerindeki etkiler, sigorta maliyetleri ve riski azaltmanın önerilen maliyetleri göz önüne alındığında değerlidir. Afet Riskini Azaltma Sendai Çerçevesi için amaç ve hedefler belirlemiştir 2015 yılında uluslararası anlaşmanın olduğunu afet riskinin azaltılması , doğal afetler. Davos'ta bütünleşik risk yönetimi ile ilgili düzenli olarak Uluslararası Afet ve Risk Konferansları düzenlenmektedir .

Doğal afetler ve diğer iklim olaylarının risk ve risk yönetimini değerlendirmek için arazi değişikliği biliminin önemli bir bileşeni olan jeo-uzamsal modelleme dahil olmak üzere çeşitli araçlar kullanılabilir . Bu modelleme, doğal bir felaketin meydana gelme olasılığını hesaplama yeteneğinin yanı sıra insanların coğrafi dağılımlarının anlaşılmasını gerektirir.

El değmemiş doğa

Vahşi doğada ve uzak doğal alanlarda insanlara ve mülklere yönelik risklerin yönetimi, açık hava rekreasyonuna katılımın artması ve kayıp için sosyal toleransın azalmasıyla gelişmiştir. Ticari vahşi yaşam deneyimleri sağlayan kuruluşlar artık ANSI /NASBLA 101-2017 (tekne), UIAA 152 (buz tırmanışı araçları) ve Avrupa Normu 13089:2015 + A1:2015 (dağcılık ) gibi eğitim ve ekipman için ulusal ve uluslararası fikir birliği standartlarıyla uyumlu hale gelebilir. teçhizat). Deneysel Eğitim Derneği vahşi macera programları için akreditasyon sunmaktadır. Wilderness Risk Yönetimi Konferansı en iyi uygulamalara erişim sağlar ve uzman kuruluşlar vahşi risk yönetimi danışmanlık ve eğitim vermek.

Açıkhava Liderliği ve Eğitimi adlı kitabında, tırmanıcı, açık hava eğitimcisi ve yazar Ari Schneider , açık hava rekreasyonunun doğası gereği riskli olduğunu ve riski tamamen ortadan kaldırmanın bir yolu olmadığını belirtiyor. Ancak, bunun açık hava eğitim programları için nasıl iyi bir şey olabileceğini açıklıyor. Schneider'e göre, gerçek tehlikeyi düşük ve macera duygusunu yüksek tutmak için gerçek risk yönetildiğinde ve algılanan risk korunduğunda optimal maceraya ulaşılır.

Yeni Zelanda Dağ Güvenliği Konseyi tarafından yayınlanan Dış Mekan Güvenliği - Dış Mekan Liderleri için Risk Yönetimi metni, ulusal dış mekan güvenlik mevzuatının değerini kabul ederek ve yargı rollerine büyük önem vererek, Yeni Zelanda perspektifinden vahşi yaşam risk yönetimine bir bakış sağlar. ve vahşi yaşam risk yönetiminde karar verme süreçleri.

Risk değerlendirmesi için popüler bir model, The Backpacker's Field Manual'ın yazarı Rick Curtis tarafından geliştirilen Risk Değerlendirme ve Güvenlik Yönetimi (RASM) Modelidir. RASM Modelinin formülü şudur: Risk = Kaza Olasılığı × Sonuçların Şiddeti. RASM Modeli, negatif riski - kayıp potansiyelini, pozitif riske karşı - büyüme potansiyelini tartar.

Bilgi Teknolojisi

BT riski , bilgi teknolojisi ile ilgili bir risktir. Bu, bilgi güvenliğinin BT ve desteklediği gerçek dünya süreçleriyle ilgili çok sayıda riskin yalnızca bir yüzü olduğuna dair artan farkındalık nedeniyle nispeten yeni bir terimdir . "Siber güvenlik, teknolojinin ilerlemesiyle yakından bağlantılı. Karaborsalar gibi teşviklerin gelişmesi ve yeni istismarların keşfedilmesi için yeterince uzun sürüyor. Teknolojinin ilerlemesi için görünürde bir son yok, bu yüzden siber güvenlikten de aynısını bekleyebiliriz. "

ISACA 'ın Risk BT çerçeve bağları BT için riske kurumsal risk yönetimi .

Dikkat Görevi Risk Analizi (DoCRA), riskleri ve bunların korumalarını değerlendirir ve bu risklerden potansiyel olarak etkilenen tüm tarafların çıkarlarını dikkate alır.

Petrol ve doğal gaz

Açık deniz petrol ve gaz endüstrisi için, operasyonel risk yönetimi birçok ülkede güvenlik durumu rejimi tarafından düzenlenmektedir . Tehlike tanımlama ve risk değerlendirme araçları ve teknikleri, uluslararası ISO 17776:2000 standardında tanımlanmıştır ve IADC ( Uluslararası Sondaj Müteahhitleri Birliği ) gibi kuruluşlar , Sağlık, Güvenlik ve Çevre (HSE) Vaka geliştirme kılavuzlarını yayınlamaktadır . ISO standardı. Ayrıca, güvenlik vakası sunumlarında risk yönetiminin bir parçası olarak hükümet düzenleyicileri tarafından genellikle tehlikeli olayların şematik temsilleri beklenir; bunlar papyon diyagramları olarak bilinir ( Risk değerlendirmesinde ağ teorisine bakınız ). Teknik aynı zamanda madencilik, havacılık, sağlık, savunma, sanayi ve finans alanlarındaki kuruluşlar ve düzenleyiciler tarafından da kullanılmaktadır.

ilaç sektörü

Kalite risk yönetimi ilkeleri ve araçları, farmasötik kalite sistemlerinin farklı yönlerine giderek daha fazla uygulanmaktadır. Bu yönler, ilaç maddelerinin, ilaç ürünlerinin, biyolojik ve biyoteknolojik ürünlerin (ilaç ürünlerinde hammadde, çözücü, yardımcı madde, ambalaj ve etiketleme malzemelerinin kullanımı dahil) yaşam döngüsü boyunca geliştirme, üretim, dağıtım, denetim ve teslim/inceleme süreçlerini içerir. biyolojik ve biyoteknolojik ürünler). Farmasötik ürünler ve temiz oda üretim ortamları ile ilgili olarak mikrobiyolojik kontaminasyonun değerlendirilmesinde de risk yönetimi uygulanır .

Risk iletişimi

Risk iletişimi, hedeflenen kitlelerin temel değerleriyle ilgili karmaşık, disiplinler arası bir akademik alandır . Risk iletişimcileri için problemler, hedeflenen kitleye nasıl ulaşılacağını, riskin nasıl anlaşılır ve diğer risklerle ilişkilendirilebilir hale getirileceğini, hedef kitlenin riskle ilgili değerlerine nasıl uygun bir şekilde saygı gösterileceğini, izleyicinin iletişime tepkisinin nasıl tahmin edileceğini vb. içerir. Risk iletişiminin temel amacı, toplu ve bireysel karar vermeyi geliştirmektir. Risk iletişimi bir şekilde kriz iletişimi ile ilgilidir , ancak net ayrımlar vardır. Risk iletişimi, olası risklerle ilgilenir ve uzun vadede tehditleri hafifletmek için davranış değişikliklerini teşvik etmek veya ikna etmek için bu riskler hakkında farkındalığı artırmayı amaçlar. Öte yandan, kriz iletişimi, belirli bir tehdit türü, büyüklüğü, sonuçları ve tehdidi azaltmak için benimsenecek belirli davranışlar hakkında farkındalığı artırmayı amaçlar. Bazı uzmanlar, riskin yalnızca iletişim sürecinde kök salmadığı, aynı zamanda dil kullanımından da ayrı tutulamayacağı konusunda hemfikirdir. Her kültür kendi korkularını ve risklerini geliştirmesine rağmen, bu yorumlar sadece ev sahibi kültür tarafından geçerlidir.

Risk iletişimi ve toplum katılımı (RCCE), ağırlıklı olarak gönüllülere, ön saflardaki personele ve bu alanda önceden eğitim almamış kişilere dayanan bir yöntemdir.

Ayrıca bakınız

Referanslar

Dış bağlantılar