Riskbedömningar har historiskt sett alltid varit behäftade med subjektivitet, vilket innebär att man helt enkelt inte kan lita på att de uppfyller sina mål. Subjektivitet hindrar bedömningarna från att användas i olika affärssilos och gör det omöjligt att verifiera dem genom revision eller granskning av efterlevnad.
Gemensamma standarder och antaganden gör att information som samlas in i hela organisationen blir objektiv, kvantifierbar och jämförbar, vilket gör det möjligt att göra bättre analyser, lösa problem och eskalera problem vid behov.
Ladda ner vår kostnadsfria mall för riskbedömning med bästa praxis för att komma igång idag.
Gratis mall för riskbedömning: Vår grundläggande mall för riskbedömning är utformad för att hjälpa dig att ta de första stegen i standardiseringen av dina processer. Den hjälper dig att bestämma vilka data du behöver samla in från dina affärsområden, definiera nyckeltermer och beskriva föreslagna svarsval.
Den genererar också automatiskt riskvärmekartor baserat på dina data och innehåller steg-för-steg-instruktioner för användning.
Med hjälp av vår kostnadsfria mall för riskbedömning kommer du att ha goda förutsättningar att bättre hantera risker i din organisation.
Varför bedöma risker
Riskbedömningar är en viktig del av varje framgångsrikt riskhanteringsprogram. Oavsett hur grundläggande eller komplex ramverket är, tjänar standardiserade bedömningsresultat som en grund på vilken resten av ditt ansvar för riskhantering, begränsningsaktiviteter och övervakningskontroller byggs.
Hur vår mall för riskbedömning kan vara till nytta för dig
Succéfulla företagsriskbedömningar kan vara ett kraftfullt verktyg för strategiskt beslutsfattande på hög nivå genom att koppla ihop affärsverksamheterna med målen, och identifiera de risker som hotar att spåra ur dessa strategiska mål. När riskbedömningar utförs enligt samma standarder och antaganden kan de jämföras och användas tvärfunktionellt för att få en mer exakt och uppföljningsbar riskhantering.
Att genomföra en riskbedömning: Steg för steg
Nedan belyser vi steg för steg vad som krävs för att slutföra en riskbedömning både i den kostnadsfria nedladdningen av vår riskbedömningsmall och vidare i riskhanteringslösningen LogicManager.
Enhetlig numerisk skala – LogicManagers poängsättning baseras på en skala från 1 till 10, där 10 har de mest ogynnsamma konsekvenserna för organisationen, och är uppdelad i 5 hinkar för att ge en hög och låg nivå för varje hink. (1-2, 3-4, 5-6 osv.). Att använda en skala på 10 gör det enkelt att räkna och att bara ha 5 hinkar ger de personer som gör bedömningarna flexibilitet att välja den högsta eller lägsta av de 5 hinkarna.
Objektiva utvärderingskriterier – Ofta är en persons 9 en annan persons 7. LogicManagers mall för riskanalys ger en tydlig definition av vad var och en av de 5 hinkarna är i otvetydiga termer. Det finns flera sätt att uttrycka allvaret, både kvalitativt och kvantitativt, t.ex. finansiellt, juridiskt, strategiskt osv. Alla kvalitativa kriterier kan ges en poäng för att bli kvantitativa och jämförbara i hela företaget. Alla standarder kan jämföras, inklusive lagar, förordningar och företagets policyer och rutiner, med nuvarande praxis.
Kalibrerade bedömningskriterier – En mängd olika riskbedömningskriterier används inom LogicManager och alla är på en skala från 1 till 10 och är kalibrerade, vilket innebär att beskrivningen av en 7:a, även om den beskrivs på olika sätt i olika bedömningskriterier, har samma innebörd i fråga om svårighetsgrad. Detta gör det möjligt att aggregera riskbedömningar för att ge en helhetsbild av risken.
Universella affärselement – Riskbedömningar i LogicManager delas upp i grundläggande element som affärsprocesser och resurser, som är standardiserade över affärssilos eller affärsenheter. Med resurser menar vi människor och leverantörer och de fysiska tillgångar, programvarutillämpningar för riskbedömning, tjänster och datalagren som används i organisationen. Genom att bedöma leverantörernas egenskaper separat från de produkter och tjänster som de säljer får man fram riskbedömningar som gör det lätt att identifiera och behålla objektiviteten när förändringar sker, t.ex. sammanslagningar och förvärv eller introduktion av nya produkter osv. Genom att dela upp komplex sammankopplad information i resurser som grundläggande byggstenar ger LogicManagers ramverk för risktaxonomi en struktur för information och ägande. Detta gör det möjligt för alla att förstå, bidra och ta ansvar för förändringshanteringen.
Länk riskbedömningsmallar – LogicManagers taxonomiteknik länkar samman element, vilket innebär att du genom en enkel drag-och-släpp kan koppla leverantörer till de produkter och tjänster som de tillhandahåller till de affärsprocesser som är beroende av dem. Länka varje finansiell del till de affärsprocesser som bidrar till dem. Länka alla internt utvecklade program och datalager till de affärsprocesser som är beroende av dem för att utföra sina uppgifter. Genom att länka samman dessa delar får man en helhetsbild. En leverantör kan till exempel ha flera produkter och tjänster av olika kvalitet och risk. Genom att bedöma produkterna och tjänsterna individuellt och koppla dessa riskbedömningar till leverantörsprofilen får man en mycket tydligare bild av kombinationen av produkter, tjänster och leverantörer som används av en processägare.
Gemensamt resursbibliotek – LogicManagers taxonomi tillhandahåller ett gemensamt resursbibliotek. Att använda information från ett gemensamt ställe gör det möjligt att dramatiskt minska omarbetet, särskilt när det gäller att samla in och hantera information, både för dig och för de processägare du arbetar med. Biblioteket hjälper dig också att veta vem annan som är ansluten till samma information. Nyckeln är att ta reda på hur alla dessa resurser är relaterade till varandra och vilken kombination av dessa resurser som är viktigast för kritiska områden i din verksamhet.
Konsolidera insamlingen av resursdata – LogicManagers riskbedömningsmall för Excel gör det möjligt att skapa anpassningsbara datafält för var och en av dessa resurselement, så att du kan samla in information över silos och identifiera områden där kontroller och tester kan konsolideras. Olika områden i organisationen samlar in samma information för resurser, de vet bara inte om det. Till exempel samlar leverantörsreskontra, kontraktshantering, leverantörshantering, affärskontinuitet och IT in överlappande information om dina leverantörer. Genom att förstå vilken information som samlas in av dessa områden för varje resurs kan du enkelt rationalisera och konsolidera riskbedömningar och datafält.
Holistiska, exakta ERM-rapporter – Du kan analysera, rapportera och fatta beslut med hänsyn till varje relation som rör resursen. LogicManagers mall för bedömning av affärsrisker gör det möjligt för organisationer att få en övergripande riskpoäng för varje resurs, vilket drar ämneskompetens över hela organisationen för att komma fram till ett aggregerat nummer för den resursen. All komplexitet i samband med en resurs, t.ex. en leverantör, förenklas, men stöds av en detaljerad spårning av de objektiva riskbedömningarna för alla andra saker som är relaterade till resursen, t.ex. affärsprocessen, finansiella element, fysiska tillgångar, tillämpningar, data och människor.
Uppgifter & arbetsflöde – I LogicManager kan du för varje resurselement skicka ut uppgiftsmeddelanden via e-post för poängsättning av riskbedömningar eller granskning, bifoga dokument, t.ex. kontrakt, starta arbetsflöden för godkännande, samla in anpassade datafält, se poäng historiskt och mycket mer.
När relationerna mellan resurserna och de affärsprocesser som använder dem blir explicita kan organisationen fastställa affärseffekter. Ju bättre förståelse för affärspåverkan, desto effektivare blir styrningsaktiviteten. Kopplingen till en affärsprocess ger en direkt koppling till ämnesexperten för den verksamhet som använder resursen och vet hur kritisk resursen är för deras verksamhet.
Resultatet är en enda övergripande sammanfattande poäng för varje affärsprocess som kombinerar de enskilda poängen för varje resurs och finansiell post som är kopplad till den processen och själva processpoängen. Med den här informationen, som läggs fram i vår rapportmall för riskbedömning, kan du prioritera och fokusera dina ERM-insatser.
Användning av en mall för riskbedömning för att prioritera affärsmått
Antalet affärsmått inom organisationer ökar typiskt sett. Åtgärder läggs ofta till som en reaktion på förlusthändelser som redan har inträffat. Skulle det inte vara värdefullt att kunna fokusera på framåtblickande åtgärder? I de flesta organisationer kan dessa förebyggande, proaktiva åtgärder inte särskiljas när de grupperas med reaktiva åtgärder, eftersom mätvärdena inte formellt knyter an till några åtaganden eller risker.
Hur blir det om en risk eller verksamhet förändras? Organisationer har inget sätt att veta hur och om dessa förändringar kommer att påverka deras riskmått. Riskbedömningar och koppling av risker till aktiviteter gör det möjligt för organisationer att börja prioritera vilka aktiviteter som behöver övervakas. Genom kvartalsvisa (eller till och med årliga) bedömningar av affärsrisker kan organisationer upptäcka ökade hotnivåer och identifiera nya framväxande risker innan de materialiseras och gör att dina riskmått hamnar utanför toleransgränsen.
Företagsriskmått är viktiga eftersom du inte kan förbättra det du inte kan mäta. Ett stort antal osammanhängande mål är dock problematiskt eftersom:
- Mätningströtthet – personalen kan helt enkelt ignorera många åtgärder på grund av tidsbrist för att bedöma dem.
- Mätningsföråldring – i en föränderlig miljö finns det inget effektivt sätt att veta när åtgärderna inte längre är tillämpliga.
- Bristande prioritering – att välja vilka åtgärder man ska fokusera på sker sannolikt på ad hoc-basis och efter den nuvarande personalens infall.
- Bristande kontinuitet – förändringar i organisationen eller utvecklingen av nya affärsområden kan resultera i nya åtgärder samtidigt som befintliga åtgärder kan vara effektivare.
- Bristande samordning – ofta gäller åtgärderna flera risker eller åtaganden på flera olika funktionella områden. Oförmågan att formellt knyta åtgärder till risker eller åtaganden främjar inte samordningen mellan olika funktioner, vilket leder till affärssilos och dubbelarbete.
- Slöseri med resurser – Den mängd resurser som finns tillgängliga för att uppnå affärsmålen och minska riskerna är begränsad. Personalen fortsätter ofta att hantera föråldrade eller oviktiga åtgärder i stället för att anpassa sig till aktuella krav.
- Motstånd mot förändring – En svårighet att tillämpa tidigare erfarenheter på en föränderlig affärsmiljö, vilket leder till en tendens att ”uppfinna hjulet på nytt”.
En stor del av den nödvändiga informationen finns i organisationerna i dag; den saknade biten är att formalisera dessa kritiska kopplingar. ERM-programvara (Enterprise Risk Management) har funktioner som gör det möjligt att identifiera risker och åtaganden, bedöma dem utifrån sannolikhet, inverkan och säkerhet, utvärdera om åtgärder behövs, vid behov utforma åtgärder för att minska riskerna eller bygga upp verksamheten, specificera och registrera mätningar för att spåra effektiviteten och slutligen formalisera kopplingen mellan alla dessa aktiviteter.
Att koppla samman mätningarna med åtgärderna för att minska riskerna och data om affärsinitiativ och sedan tillbaka till den underliggande risken och åtagandena kommer att ge följande fördelar:
- ERM-rapporter: Explicit prioritering av åtgärder baserat på ett index för risk/belöning och en instrumentpanelpresentation på värmekartans instrumentpanel i LogicManager.
- Operativ riskhantering: Realtidsutveckling av åtgärder på löpande basis med konsolidering av åtgärder som används för att rikta ledningens uppmärksamhet mot problemförhållanden (utanför toleransgränsen).
- Prestandahantering: Underlättar mätningar av nya affärsinitiativ som prioriteras utifrån risk eller affärsåtaganden.
- Resurstilldelning: Effektivare användning av knappa resurser.
Nyckeln är att arbeta med funktionscheferna för att göra kopplingarna. Den omedelbara fördelen är att identifiera åtgärder som inte är kopplade till någon risk eller något initiativ och avgöra om de bör elimineras. När kopplingarna väl är gjorda kan du använda förvaltningsverktygen i din programvara för hantering av företagsrisker på löpande basis för att förbättra utnyttjandet av affärsmått inom organisationen.