21/10/2024 |

Kockázatmenedzsment –
folyamat, elemzés és módszerek

A kockázatmenedzsment a vállalatirányítás mellett a GRC alapvető eleme. Így készítheti fel vállalatát a kockázatokra és ismerheti fel a lehetőségeket.

Risk Management

A kockázatmenedzsment definíciója

A kockázatmenedzsment definíció szerint a DIN 31000 szabványon alapuló irányítási feladat, és egy állandó folyamat, amely a Deming-ciklus „tervezés-cselekvés-ellenőrzés-beavatkozás” elvei szerint zajlik megállás nélkül. Támogatja a vállalatokat, szervezeteket és hatóságokat a kockázatok és lehetőségek azonosításában, számszerűsítésében, osztályozásában és értékelésében.

Fontos megjegyezni, hogy a kockázat azonosítása, amely az ellenőrzés szakasz része, a kockázatmenedzsment kiindulópontja. A kockázat azonosítása nélkül annak értékelése és az ebből következő további lépések nem lennének lehetségesek.

Plan-Do-Control-Act Cycle

The Deming circle describes the process of risk management according to the principle: Plan, Do, Check & Act.

Integrált kockázatmenedzsment

Az integrált kockázatmenedzsment (IRM – Integrated Risk Management) a vállalat kockázatmenedzsment gyakorlatainak és folyamatainak holisztikus megközelítése. A vállalatirányítás, a kockázatmenedzsment és a megfelelés a vállalatirányítás, a kockázatmenedzsment és a megfelelés (GRC – governance, risk & compliance) három alapvető összetevője. A vállalat minden területén történő megvalósításával biztosítja a hatékony működést, a célok elérését és a lehetőségek azonosítását elfogadható kockázati feltételek mellett („kockázat-tudatosság” és „kockázati hajlandóság”) a vállalat számára.

Az integrált kockázatmenedzsment fő összetevői:

  • az átfogó stratégia
  • a kockázatok azonosítása és értékelése, valamint azok mérséklésére vagy az adandó válaszokra vonatkozó tervek
  • a kockázatokkal kapcsolatos kommunikációra és jelentéstételre vonatkozó tervek, valamint annak megértése, hogy a kockázatokat hogyan és mikor fogják nyomon követni
  • a technológia és az általános üzleti környezet megértése.

A kockázatvállalás kultúrájának kialakítása teret teremt az innovációnak és a növekedésnek

Az IRC alkalmazásának egyik előnye, hogy az egész szervezet kockázattudatosabbá válik.
A célok, a vállalati stratégiák, a megfelelési szabályok és iránymutatások a vállalatirányítás fontos elemei. Segítségükkel a vezetés kidolgozza a következő lépéseket, a felelősségi köröket, a szükséges erőforrások kiszámítását, valamint a belső és külső kommunikációs stratégiát.

A kockázattudatosság és egy olyan kultúra kialakítása közötti egyensúly, amely egy bizonyos fokú kockázatvállalási hajlandóságot is támogat és elősegít, ma fontosabb, mint valaha egy vállalat számára. Csak így lehet olyan légkört teremteni, amely teret ad az ötleteknek és az innovációnak, és arra ösztönzi a munkavállalókat, hogy új utakat keressenek.

A szervezeti egységek elzártságának csökkentése redukálja a párhuzamos erőfeszítéseket és az egymással versengő prioritásokat

Az üzleti egységek vezetőinek bevonása az integrált kockázatmenedzsmentbe azt jelenti, hogy az adatok megosztása a funkcionális határokon átívelő módon történik, és a folyamatok racionalizálódnak a szervezet egészének támogatása érdekében.

Az is segít, ha a stratégiai és tervezési ülések során szem előtt tartjuk a kockázatmenedzsmentet. Mindenki megérti, hogy egy-egy kockázat milyen hatással lehet az üzletre ma és a jövőben.

Ezzel a szervezet reálisabb képet kap arról, hogy egy-egy kockázatnak milyen különböző hatásai lehetnek, és olyan kárenyhítési erőfeszítéseket tud tenni, amelyek minden szervezeti területet támogatnak.

ISMS és IT-kockázatmenedzsment

Ahogy a világ egyre inkább a digitalizáció felé halad, az IT-kockázatmenedzsment kulcsszerepet játszik a teljes IRM-portfólióban – különösen, ha az információk védelméről van szó. A vállalati kockázatmenedzsmenthez hasonlóan az információbiztonsági kockázatmenedzsment is hatással van a vállalat célkitűzéseire, pénzügyeire és működésére. Ez magában foglalja egy információbiztonsági irányítási rendszer (ISMS – information security management system) alkalmazását, amelynek követelményeit az ISO 27001 határozza meg. Mint máshol a kockázatmenedzsmentben, a kockázatok azonosítása, értékelése és kezelése az alapvető jellemzők közé tartozik.

Az ISMS-szoftver segít a vállalatoknak a kockázatok felügyeletében, mivel lehetővé teszi a vállalat – és az adatok – biztonságának megőrzésére szolgáló ellenőrzések, például eljárások és folyamatok szisztematikus felügyeletét. Egy ilyen megoldás lehetővé teszi a vezetés számára a megfelelő irányítási és megfelelőségi intézkedések megtételét is.

A kockázatmenedzsment folyamata

A kockázatmenedzsment-folyamat a kockázatmenedzsment minden szükséges lépésére kiterjed:

  1. kockázatelemzés (a kockázat valószínűségének és a vállalatra gyakorolt hatásának felmérése és értékelése),
  2. kockázatkezelés (a kockázat bekövetkezésének megakadályozására bevezetett eljárások, politikák, biztonsági intézkedések stb,)
  3. kockázatfigyelés (a biztonsági és üzleti környezet folyamatos értékelése annak biztosítása érdekében, hogy a kockázatok továbbra is jól kontrolláltak maradjanak, és hogy szükség esetén új kockázatokat jegyezzenek fel), és
  4. kockázati jelentés (a lehetséges kockázatokról szóló szükséges információk megosztása).
    A kockázatmenedzsmenthez hasonlóan a kockázatmenedzsment-folyamat is folyamatosnak tekintendő.
Risk Management Process

Kockázatelemzés

A kockázatelemzés magában foglalja a lehetséges kockázat értékelését és súlyozását. Ez az alapja a vállalatirányításnak, a kockázatmenedzsmentnek és a megfelelőségnek a vállalatnál.

A következő területeket elemzik és értékelik:

  • technikai kockázatok
  • szoftveres kockázatok
  • emberi erőforrással kapcsolatos kockázatok
  • projektirányítási kockázatok
  • termékkockázatok
  • gazdasági és pénzügyi kockázatok
  • környezeti kockázatok
  • politikai kockázatok

Számos javasolt kockázatelemzési technika létezik, amelyeket mind a kezdeti értékeléshez, mind a folyamatos nyomon követéshez használhatunk.

SWOT-elemzés

A SWOT-elemzés (Strength – erősségek, Weakness – gyengeségek, Opportunities – lehetőségek, Threats – veszélyek) valószínűleg a legismertebb elemzési módszer a kockázatelemzésben.

Ebben a technikában az erősségeket, gyengeségeket, lehetőségeket és veszélyeket egymáshoz viszonyítva helyezkednek el. Ez képezi a menedzsment stratégiai tervezésének alapját.

SWOT Analysis

Kockázatmenedzsment módszerek

Kockázati mátrix – ALARP

Az ALARP (As Low As Responsible Practicable – elfogadhatóan megvalósítható) módszer egy olyan kockázatértékelési módszer, amely figyelembe veszi a kár valószínűségét és mértékét, ha egy kockázat bekövetkezik. A zöld területek a kiterjedés és a valószínűség szempontjából veszélytelennek tekinthetők – a piros területeket mindenáron el kell kerülni. A sárga közepes területek elfogadható kockázatokat jelentenek, figyelembe véve a lehetséges növekedési lehetőségeket. Ez a módszer az egyik leggyakrabban alkalmazott értékelési módszer.

Risk Matrix

DRBFM (Design Review Based on Failure Modes) – tervezési felülvizsgálat a meghibásodási módok alapján

A DRBFM egy eredetileg a Toyota által kifejlesztett módszer, amely egy folyamat vagy termék fejlesztési folyamatát írja le. A vezetőség a hibák azonosítására és elkerülésére használja, és célja, hogy hozzájáruljon az új fejlesztések minőségbiztosításához.

FTA (Fault Tree Analysis ) – Hibafa-elemzés

A hibafa-elemzést a gyártóüzemek és rendszerek kockázatelemzésére használják. A cél itt az összes olyan egyedi összetevő azonosítása, amelyek meghibásodása az egész rendszer meghibásodásához vezethet.

FMEA (Failure Modes & Effects Analysis) – Hibamódok és hatások elemzése

A hibamódok és hatások elemzése lehetővé teszi, hogy csapatmunkával azonosítsák a termékek vagy folyamatok lehetséges hibáit és befolyásoló forrásait, és megfelelő óvintézkedéseket dolgozzanak ki az azonosított hibák/kockázatok elkerülésére.

Kockázatfigyelés

A kockázatfigyelés szintén szerves része a kockázatmenedzsment-folyamatnak: az azonosított kockázatok nyomon követésére szolgál. Ez lehetővé teszi a vezetőségi csapatok számára, hogy időben reagáljanak a változásokra, és ennek megfelelően igazítsák ki a vállalatirányítást, a kockázat- és megfelelőség-ellenőrzést (GRC).

Legyen szó változó szabályozásról, versenyről, gazdasági vagy politikai tényezőkről, egy kockázat nyomon követése során a következő kérdésekre keressük a választ:

  • Hogyan változott a kockázat?
  • Milyen következményekkel járnak ezek a változások a vállalatirányításra, a megfelelésre vagy más fontos szempontokra?
  • Egészséges egyensúlyban van-e a kockázat és a kockázatkerülés viszonya?
A kockázattal kapcsolatban nem maga a kockázat a veszélyes, hanem az, ahogyan azt kezelik.
Felix M. Gerg

Kockázatmenedzsment szoftver

A kockázatmenedzsment szoftver lehetővé teszi a vállalat kockázati helyzetének dokumentálását és értékelését a belső és külső adatok kombinálásával. Lehetővé teszi a kockázatok időben történő azonosítását, és a vezetés számára fontos segítséget jelent a döntéshozatalban.

A központilag és az osztályok között gyűjtött adatok – például a sérülékenységkezelő vagy biztonságiincidens-kezelő rendszerekből származó adatok – segítségével a vezetőség bármikor felülvizsgálhatja, hogy a célok elérése veszélyben van-e, az irányelveket ki kell-e igazítani, vagy a vállalat számára új lehetőségeket kell/lehet-e azonosítani.

Az alapvető kockázatmenedzsment szoftverfunkciók közé tartoznak a kockázati eszközök:

  • Elemzés
  • Értékelés
  • Ellenőrzés
  • Megfigyelés
  • Jelentéskészítés

Ismerje meg, hogy az OTRS Group megoldásai hogyan segíthetnek szervezetének a kockázatmenedzsmentben:

Lépjen kapcsolatba szakértőinkkel