2024 ผู้เขียน: Howard Calhoun | [email protected]. แก้ไขล่าสุด: 2023-12-17 10:42
"ใช่ ความเสี่ยงมักจะล้มเหลวโดยธรรมชาติ มิเช่นนั้นจะเรียกว่า "ความมั่นใจในตนเอง" - จิม แม็คมาฮอน
ความเสี่ยง - คือโอกาสที่จะสูญเสียสิ่งล้ำค่า ค่านิยม (เช่น สุขภาพกาย สถานภาพทางสังคม ความผาสุกทางอารมณ์ หรือสุขภาพทางการเงิน) สามารถได้รับหรือสูญเสียได้โดยการรับความเสี่ยงอันเป็นผลมาจากการกระทำหรือการไม่ลงมือทำบางอย่าง ที่คาดการณ์ไว้หรือไม่คาดฝัน (มีการวางแผนหรือไม่ได้วางแผนไว้) เพื่อที่จะดำเนินการอย่างมีประสิทธิภาพภายในองค์กร ผู้จัดการความเสี่ยงจะสร้างระบบการจัดการความเสี่ยงที่หลากหลาย รวมถึงเครื่องมือที่สามารถนำมาใช้ได้
นิยามของแนวคิด
ความเสี่ยงยังสามารถกำหนดได้ว่าเป็นปฏิสัมพันธ์โดยเจตนากับความไม่แน่นอน แนวคิดสุดท้ายคือผลลัพธ์ที่มีศักยภาพ คาดเดาไม่ได้ และควบคุมไม่ได้ ความเสี่ยงเป็นผลมาจากการกระทำทั้งๆที่ความไม่แน่นอน
การรับรู้ความเสี่ยงคือการตัดสินตามอัตวิสัยที่แตกต่างกันไปในแต่ละบุคคล การดำเนินการใด ๆ ก็มีอันตรายอยู่บ้าง แต่บางคนก็มีความเสี่ยงมากกว่าคนอื่นๆ
ความเสี่ยงทางเศรษฐกิจอาจปรากฏเป็นรายได้ที่ต่ำกว่าหรือใช้จ่ายสูงกว่าที่คาดไว้ อาจมีหลายสาเหตุ เช่น การเพิ่มขึ้นของราคาวัตถุดิบ การหมดอายุของการก่อสร้างองค์กรปฏิบัติการใหม่ ความล้มเหลวในกระบวนการผลิต การเกิดขึ้นของคู่แข่งที่ร้ายแรงในตลาด การสูญเสียบุคลากรหลัก การเปลี่ยนแปลงระบอบการเมืองหรือภัยธรรมชาติ
เตรียมความพร้อมสำหรับโปรแกรมบริหารความเสี่ยง
เรียนรู้ขั้นตอนการจัดการความเสี่ยงขั้นพื้นฐานและดำเนินการควบคุมหรือมาตรการที่เหมาะสมเพื่อลดโอกาสที่จะเกิดขึ้น การลดอันตรายต้องได้รับการอนุมัติจากผู้บริหารระดับที่เหมาะสม ตัวอย่างเช่น ความเสี่ยงที่เกี่ยวข้องกับภาพลักษณ์ขององค์กรควรได้รับการยอมรับจากผู้บริหารระดับสูง ในขณะที่ผู้บริหารด้านไอทีจะมีอำนาจในการตัดสินใจเกี่ยวกับการคุกคามของไวรัสคอมพิวเตอร์
แผนการบริหารความเสี่ยงควรเสนอมาตรการป้องกันที่เหมาะสมและมีประสิทธิภาพเพื่อจัดการความเสี่ยง ตัวอย่างเช่น ความเสี่ยงสูงจากไวรัสคอมพิวเตอร์ที่สังเกตพบสามารถลดลงได้โดยการซื้อและใช้งานซอฟต์แวร์ป้องกันไวรัส แผนการจัดการความเสี่ยงที่ดีควรมีตารางเวลาสำหรับการดำเนินการควบคุมและผู้รับผิดชอบสำหรับการดำเนินการเหล่านี้
ตาม ISO / IEC 27001 การดำเนินการทันทีหลังจากเสร็จสิ้นการประเมินความเสี่ยงคือการจัดทำแผนที่ควรจัดทำเอกสารการตัดสินใจว่าจะลดได้อย่างไรให้น้อยที่สุด การลดความเสี่ยงมักจะหมายถึงการเลือกการควบคุมความปลอดภัย ซึ่งควรจัดทำเป็นเอกสารในคำชี้แจงการบังคับใช้ โดยระบุวิธีการและวิธีการเฉพาะที่ได้รับเลือกให้ทำเช่นนั้นและเพราะเหตุใด หากต้องการจัดการความเสี่ยงในองค์กรอย่างมีประสิทธิภาพ คุณต้องทำตามขั้นตอนทั้งหมดตามลำดับที่แนะนำด้านล่าง
การระบุและวิเคราะห์ความเสี่ยง (ระยะแรก)
นี่คือระยะเริ่มต้นของการบริหารความเสี่ยง ประกอบด้วยการทำความเข้าใจความจำเพาะของภัยคุกคามและตำแหน่งของการสำแดงที่เป็นไปได้ การระบุและการวิเคราะห์ความเสี่ยงเป็นที่เข้าใจกันว่าเป็นการศึกษาความจำเพาะและคุณลักษณะ ซึ่งเกิดจากลักษณะและลักษณะเฉพาะอื่นๆ ของกรณีนี้โดยเฉพาะ สิ่งสำคัญคือต้องศึกษาความสูญเสียในอนาคต เช่นเดียวกับการเปลี่ยนแปลงของความเสี่ยงเมื่อเวลาผ่านไป ระดับของภัยคุกคามที่สัมพันธ์กับช่วงเวลาหนึ่งๆ หากไม่มีขั้นตอนเหล่านี้ การวิจัยความเสี่ยงก็ไม่สามารถดำเนินการได้อย่างมีประสิทธิภาพสูงสุด
ในการระบุและวิเคราะห์ความเสี่ยง ผู้จัดการจำเป็นต้องตอบคำถามที่เกี่ยวข้อง เช่น
- สาเหตุของความเสี่ยงคืออะไร
- คุณต้องเสี่ยงทำอะไร
- จะได้รับข้อมูลมากน้อยเพียงใด
- ความเสี่ยงเล็กน้อยจะส่งผลต่อความเสี่ยงที่สำคัญและในทางกลับกันได้อย่างไร
- กลยุทธ์การบริหารความเสี่ยงอะไรที่สามารถใช้ได้
ขั้นตอนนี้สำคัญมาก และนี่ไม่ใช่เพียงเพราะลักษณะเฉพาะของการจัดการระบบความเสี่ยง ซึ่งถูกกล่าวถึงก่อนหน้านี้ แต่เนื่องจากฐานข้อมูล ขั้นตอนนี้ให้ข้อมูลความเสี่ยงที่เชื่อถือได้แก่ผู้จัดการผลข้างเคียงที่เป็นไปได้และการนำไปปฏิบัติ และยังช่วยให้คุณประเมินภัยคุกคามได้เอง พารามิเตอร์ของมัน ปริมาณของการสูญเสียทางเศรษฐกิจที่เป็นไปได้ และตัวชี้วัดอื่น ๆ ที่จำเป็นเพื่อการตัดสินใจในการจัดการ ในทางปฏิบัติ ขั้นตอนนี้ให้ข้อมูลพื้นฐานที่เชื่อถือได้สำหรับผู้จัดการในการคำนวณความเสี่ยงทั้งหมด
ควรคำนึงด้วยว่าหลังจากเสร็จสิ้นขั้นตอนต่อๆ มา ฐานนี้อาจมีขนาดใหญ่ขึ้น ซึ่งจะทำให้ข้อมูลเติบโตอย่างต่อเนื่อง ดังนั้นจึงจำเป็นต้องทำตามลำดับขั้นตอนการบริหารความเสี่ยง
ค้นหาวิธีการและวิธีอื่นๆ (ขั้นตอนที่ 2)
เป้าหมายหลักของขั้นตอนนี้คือการศึกษาเครื่องมือที่จะป้องกันการสำแดงความเสี่ยง ตลอดจนศึกษาผลกระทบเชิงลบต่อการทำงานของรัฐ นิติบุคคลหรือบุคคลหรือองค์กร มีเครื่องมือเหล่านี้ได้มากมายและแตกต่างกัน แต่ผู้จัดการจะหยุดที่เครื่องมือหลัก:
- คุณจะลดความเสี่ยงของเหตุการณ์การประกันต่อเนื่องได้อย่างไร
- จะรับความเสียหายทางการเงินขั้นต่ำได้อย่างไรเมื่อความเสี่ยงเกิดขึ้น
- แหล่งทางการเงินใดที่จะสามารถชดเชยความเสียหายทางการเงินได้หากเกิดขึ้น?
จำเป็นต้องมีแนวทางเฉพาะและแผนการจัดการสำหรับความเสี่ยงแต่ละประเภท
ค้นหาเครื่องมือการจัดการ (ขั้นตอนที่สาม)
ในขั้นตอนนี้ ผู้จัดการจะฟอร์มและเลือกวิธีการเสี่ยงของแต่ละบุคคลภายในองค์กร รัฐ หรือส่วนตัว. ความจำเป็นสำหรับขั้นตอนการคัดเลือกนี้เกี่ยวข้องกับประสิทธิผลที่แตกต่างกันของวิธีการจัดการความเสี่ยงและปริมาณทรัพยากรต่างๆ ที่จำเป็นสำหรับการนำไปปฏิบัติ คำถามหลักที่ผู้จัดการตัดสินใจในขั้นตอนนี้:
- วิธีการจัดการใดที่ปลอดภัยกว่าและเป็นประโยชน์ต่อองค์กรมากกว่า
- ภัยคุกคามโดยรวมจากความเสี่ยงจะเปลี่ยนไปไหมเมื่อใช้วิธีการต่างๆ เพื่อลดขนาดให้เหลือน้อยที่สุด
- กลยุทธ์การบริหารความเสี่ยงบางอย่างจะได้ผลหรือไม่
เมื่อเลือกวิธีการจัดการภัยคุกคาม ผู้จัดการควรพิจารณา:
- ประสิทธิผลและความจำเป็นในความเสี่ยง ตลอดจนวิธีการจัดการภายใต้ข้อจำกัดทางการเงิน
- การคุกคามเพียงครั้งเดียวและวิธีจัดการจะส่งผลต่อจำนวนทั้งหมดหรือไม่
เมื่อเลือกความเสี่ยงและวิธีจัดการความเสี่ยง ควรพิจารณาข้อจำกัดทางการเงินและพยายามปรับการสูญเสียให้เหมาะสมที่สุด เกณฑ์อาจแตกต่างกัน ตัวอย่างเช่น เพื่อเพิ่มประสิทธิภาพทางการเงินขององค์กร
งานหลักอย่างหนึ่งของผู้จัดการในขั้นตอนนี้คือแนวทางที่ถูกต้องและการใช้เครื่องมือบางอย่างเพื่อจัดการกับความเสี่ยงไม่ใช่ทั้งหมด แต่เป็นงานที่ก่อให้เกิดความเสียหายอย่างใหญ่หลวงต่อรัฐ องค์กร หรือบุคคล
ในบางสถานการณ์ เช่น งบประมาณที่จำกัดมาก ผู้จัดการอาจเพิกเฉยต่อความเสี่ยงเล็กน้อย หากเป็นความจริงและไม่น่าจะสร้างความเสียหายมากนัก ในสถานการณ์เช่นนี้ มักกล่าวกันว่ามีการแนะนำการต่อสู้แบบแอคทีฟสำหรับความเสี่ยงที่ร้ายแรง และการต่อสู้แบบพาสซีฟสำหรับผู้ที่ไม่มีนัยสำคัญ
เริ่มดำเนินการตามวิธีการการบริหารความเสี่ยง (ระยะที่สี่)
ในขั้นตอนนี้ ผู้จัดการจะต้องเริ่มดำเนินการตามวิธีที่เขาใช้ก่อนหน้านี้ ดังนั้น ในส่วนหนึ่งของกระบวนการนี้ การเปลี่ยนแปลงประเภทต่างๆ จะถูกนำมาใช้ ตัวอย่างเช่น ในเงื่อนไขทางการเงินหรือทางเทคนิค ลักษณะเฉพาะของการกระทำที่ผู้จัดการความเสี่ยงทำไม่ใช่สิ่งที่จะส่งผลกระทบต่อบริษัท แต่จะดำเนินการอย่างไร
นี่เป็นเพราะการนำวิธีการจัดการความเสี่ยงมาใช้ ซึ่งบังคับให้ผู้จัดการตอบคำถามชุดหนึ่งเกี่ยวกับการนำกลยุทธ์ไปใช้:
- ควรดำเนินการเสี่ยงอะไรบ้าง
- จะเกิดขึ้นเมื่อไหร่และนานแค่ไหน
- ทรัพยากรประเภทใดและจะมีส่วนร่วมในมาตรการเหล่านี้มากน้อยเพียงใด
- ใครจะเป็นผู้ตรวจสอบคุณภาพของงานและใครจะต้องรับผิดชอบหากล้มเหลว
การวิเคราะห์ผลลัพธ์และปรับปรุงวิธีการควบคุมความเสี่ยง (ขั้นตอนที่ 5)
ขั้นตอนนี้เป็นขั้นตอนสุดท้ายสำหรับผู้จัดการความเสี่ยง เนื่องจากการดำเนินการทั้งหมดที่เกี่ยวข้องกับภัยคุกคามเสร็จสิ้นแล้ว และงานหลักคือการวิเคราะห์ผลลัพธ์และปรับปรุงระบบการจัดการความเสี่ยง ขั้นตอนนี้สำคัญมากสำหรับองค์กร เพราะหลังจากนั้นก็สามารถยอมรับและจัดการความเสี่ยงได้เอง โดยไม่ต้องให้ผู้จัดการเข้ามามีส่วนร่วม
ในขั้นตอนนี้ ผู้เชี่ยวชาญต้องตอบคำถามต่อไปนี้:
- ระบบนี้มีประสิทธิภาพหรือไม่และจัดการกับงานของมันอย่างไร
- ที่ทำงานมีจุดอ่อนตรงไหนบ้าง
- ปัจจัยใดที่มีอิทธิพลต่อการรับรู้ความเสี่ยงมากที่สุด ควรเปลี่ยนทั้งระบบด้วยเหตุนี้หรือไม่
- มีมาตรการทั้งหมดอย่างถูกต้องแล้วและได้ส่งผลกระทบต่อการคุ้มครองของบริษัทจากความเสียหายทางการเงินหรือไม่ ควรจะถูกแทนที่ด้วยมาตรการที่มีประสิทธิภาพมากกว่าหรือไม่
- ระบบควบคุมภายในและการจัดการความเสี่ยงมีความยืดหยุ่นเพียงพอตามบทบาทในการปกป้องบริษัทหรือไม่
ในขั้นตอนนี้ จะมีข้อมูลที่เพิ่มขึ้นสูงสุดที่เกี่ยวข้องกับความเสี่ยงและวิธีการจัดการและคงไว้ซึ่งการเพิ่มประสิทธิภาพภายในองค์กร
หลังจากวิเคราะห์ผลลัพธ์ทั้งหมดและติดตามผลแล้ว มีการตัดสินว่าการแทรกแซงนั้นมีประสิทธิภาพหรือไม่ การดำเนินการนี้ซับซ้อนโดยข้อเท็จจริงที่ว่าในขณะที่กำลังวิเคราะห์ความเสี่ยง จะไม่ก่อให้เกิดผลตอบแทนทางการเงิน กล่าวคือ ไม่ได้ดำเนินการ แต่องค์กรยังคงประสบความสูญเสียที่เกี่ยวข้องกับโปรแกรมการจัดการ ดังนั้นจึงมักจะจำเป็นต้องเปรียบเทียบต้นทุนจริงกับการสูญเสียที่สมมุติฐาน
การประเมินการจัดการขั้นตอนความเสี่ยงนี้มีวัตถุประสงค์ที่สำคัญมาก: เพื่อหาวิธีเตรียมองค์กรให้พร้อมรับมือกับภัยคุกคามด้านสิ่งแวดล้อมที่รุนแรงยิ่งขึ้น และลดผลกระทบต่อบริษัทให้เหลือน้อยที่สุด
วิธีจัดการความเสี่ยง
การจัดการความเสี่ยงเป็นเรื่องเกี่ยวกับการระบุ ประเมิน และจัดลำดับความสำคัญ ตามด้วยการใช้ทรัพยากรอย่างประหยัดและประสานงานกันเพื่อลดภัยคุกคาม
ขั้นตอนหลักของกระบวนการจัดการความเสี่ยงทางธุรกิจสามารถดำเนินการได้ตามลำดับต่อไปนี้:
- ระบุและกำหนดลักษณะภัยคุกคาม
- ประเมินความเปราะบางของสินทรัพย์ที่สำคัญต่อความเสี่ยงเฉพาะ
- กำหนดอันตราย (เช่น แนวโน้มและผลที่ตามมาของการโจมตีประเภทใดประเภทหนึ่งบนสินทรัพย์เฉพาะ)
- หาวิธีลดความเสี่ยงเหล่านี้
- จัดลำดับความสำคัญของมาตรการบรรเทาผลกระทบ
วิธีบริหารความเสี่ยงอย่างถูกต้อง
ในทางปฏิบัติ กระบวนการประเมินความเสี่ยงโดยรวมอาจซับซ้อน และการใช้ทรัพยากรที่สมดุลเพื่อบรรเทาภัยคุกคามควรมีจุดมุ่งหมายเพื่อลดการสูญเสีย
การจัดการความเสี่ยงที่จับต้องไม่ได้เป็นภัยคุกคามรูปแบบใหม่ที่มีโอกาสเกิดขึ้น 100% แต่องค์กรไม่สนใจเนื่องจากไม่สามารถระบุได้ ตัวอย่างเช่น เมื่อมีการใช้ความตระหนักไม่เพียงพอกับสถานการณ์ มีความเสี่ยงด้านความรู้
ความสัมพันธ์ที่คุกคามเกิดขึ้นเมื่อเกิดการทำงานร่วมกันที่ไม่มีประสิทธิภาพ ความเสี่ยงของการมีส่วนร่วมในกระบวนการอาจเป็นปัญหาได้เมื่อมีการนำขั้นตอนการปฏิบัติงานที่ไม่มีประสิทธิภาพมาใช้ ความเสี่ยงเหล่านี้โดยตรงจะลดประสิทธิภาพการทำงานของพนักงานที่มีความรู้ ความสามารถในการทำกำไร การทำกำไร คุณภาพการบริการ ชื่อเสียง มูลค่าแบรนด์ และคุณภาพรายได้ การจัดการความเสี่ยงที่ไม่ใช่สาระสำคัญช่วยให้คุณสร้างประโยชน์ได้ทันทีจากการระบุตัวตนและลดผลกระทบที่ตามมา
ปัญหาที่คล้ายกันเกิดขึ้นในการกระจายทรัพยากร นี่คือแนวคิดของต้นทุนค่าเสียโอกาส ทรัพยากรที่ใช้ไปกับการบริหารความเสี่ยงสามารถนำไปใช้ในกิจกรรมที่ทำกำไรได้มากกว่า อีกครั้ง การจัดการความเสี่ยงที่สมบูรณ์แบบลดเหลือลดต้นทุน (หรือแรงงาน ทรัพยากรทางปัญญา) รวมทั้งลดผลกระทบด้านลบ
ตามคำจำกัดความของความเสี่ยง นี่คือความน่าจะเป็นที่เหตุการณ์จะเกิดขึ้นและส่งผลเสียต่อความสำเร็จของเป้าหมาย จึงมีความไม่แน่นอนในตัวเอง การจัดการความเสี่ยงสามารถช่วยผู้จัดการในการควบคุมสถานการณ์ได้ดี แต่ละบริษัทอาจมีองค์ประกอบของการควบคุมภายในที่แตกต่างกัน ซึ่งนำไปสู่ผลลัพธ์ที่แตกต่างกัน ตัวอย่างเช่น โครงสร้างสำหรับองค์ประกอบ ERM รวมถึงสภาพแวดล้อมภายใน การตั้งเป้าหมาย การระบุเหตุการณ์ การประเมินความเสี่ยง การตอบสนองความเสี่ยง การดำเนินการควบคุม ข้อมูลและการสื่อสาร และการตรวจสอบ
ความเสี่ยงในการผลิต
ความเสี่ยงทางการค้า เช่นเดียวกับความเสี่ยงในการผลิต ตามที่ผู้เชี่ยวชาญหลายคนที่ทำงานในองค์กรคุ้มครองแรงงาน มีความสำคัญไม่เพียงแต่สำหรับการประเมินเท่านั้น แต่ยังรวมถึงเหตุการณ์จริงที่เกิดขึ้นในสถานที่ทำงานด้วย นอกจากนี้ยังสามารถจัดประเภทเป็นความเสี่ยงระยะสั้นหรือความเสี่ยงจากการดำเนินงานที่ส่งผลกระทบต่อผลตอบแทนจากสินทรัพย์และรวมถึงราคา ต้นทุนและประสิทธิภาพ ความเสี่ยงทางธุรกิจค่อนข้างง่ายต่อการจัดการเพราะมีแนวทางที่ชัดเจนในการจัดการความเสี่ยงและมีผลกระทบเพียงเล็กน้อยหรือไม่มีเลย
เราทบทวนแนวคิดเรื่องความเสี่ยงทางการเงินและขั้นตอนในการจัดการ
