当前位置:金融信息化 > 正文
【独家】连载⑥‖如何应对业务中存在的风险

  与业务影响分析相似,国际标准化组织(ISO)和ASIS也要求为风险评估建立正式的流程文件,帮助确保业务连续性管理体系符合组织和利益相关者的目标,并为业务连续性策略的选择提供指导。风险评估过程中,必须根据组织的风险偏好,系统性地识别、分析和处置组织优先活动的中断风险。这就是指支持业务连续性管理体系范围内的任何东西,包括其产品、流程、服务和资源。

  NFPA也将风险评估的目的设定为“制定需要的策略和计划”和确定应急管理要素实施的优先级。

  风险管理标准制定了企业的风险管理框架,将风险管理融入整个组织中。该框架主要围绕风险评估和风险处置的过程。其首先要求在流程各阶段进行沟通和协商,并在最后进行持续改进和反馈。同时结合组织状况,采用根据31000选择的风险管理流程和评估方法进行风险评估。

  一、风险评估

  根据ISO 31010,风险评估包括风险识别、风险分析和风险评估。通过风险评估,组织能够确定他们所面临的风险,以及这些风险如何影响到他们的目标,评估已经到位的控制措施的充分性,并从适当的角度处置这些风险。

  风险评估工具包括:

  1、危险识别

  危害识别的主要目标是预测意外事故。结合历史信息、检查和研究,并利用头脑风暴或情景规划来预测会产生危害的条件,人类行为或自然现象的原因和结果,或危害产生的相关风险。

  对于许多管理人员来说,危险识别可能是风险评估过程中最困难的部分。自然灾害和它们的影响比较容易识别,因为它们有可能在同一区域按照大致的周期再发生。危害还可通过对组织的设施、场地和周边环境进行完整的物理检查来识别。找到周围的组织,并确定他们的运行是否会对自己的组织造成危害,其中也包括对该地区的犯罪统计数据进行审查。

  如果不识别危险,就无法预防、做好准备应对或处置提出的风险。

  2、风险登记册

  风险登记册主要记录所确定的风险、其排名和处置方式,可以作为风险评估其他内容的基准。此登记册可以制作为电子表格、数据库或描述文件的形式,并且由高级管理人员定期审查和更新。

  在确认危险后,将其记入风险日志的第一栏,通常称为风险登记单或风险登记册。风险登记册是所识别风险、其排名以及处置方式的总结,可作为风险评估剩余部分的基准。该登记册有多种形式,例如电子表格、数据库或描述性文件等。

  3、风险分析

  风险分析为风险评估和风险评估及风险处置的决定提供了依据。这是了解某个事件、目标或机会的风险性质,并确定风险级别,来证明适量资源的合理性并将资源集中在最为严重的后果上的一个过程。

  根据标准,风险分析为风险评估和风险评估和风险处置的相关决策提供了依据,是一个了解风险性质并确定某个事件、机会或目标的风险水平,最终获取适当数量的资源来首先集中处置此类风险的过程。

  定量风险分析估计事件或状况发生的概率以及后果的影响。可用下列公式来表示:

  风险(R)=概率(P)×后果(C)

  定性风险分析评定风险高、中、低等级,是业务连续性管理中最常用的分析方法。其可供人员方便、快速使用,且经常可以制成表单或图解形式。

  如图6.1所示,通常在确定值以后,以纵轴表示可能性,以横轴表示后果。

  可能性和结果的数值范围可分别制作成表6.2-6.4:

  二、风险处置

  风险规避是当前处置风险的最有效方式,因为其消除了纯粹风险的来源。降低和管理风险,使其保持在可接受水平内所采取的步骤为风险控制。风险控制也是处置风险的一种方法。其他风险处置方式包括风险转移、风险融资和风险接受与风险承担。

  1、风险控制

  风险控制指为减少和管理风险,使风险保持在可接受水平内所采取的步骤,如预防、准备、缓解、响应和连续性策略。通过实施政策和规程,风险控制可作行政管理用。其也可以作为工程方案,例如在洪水易发区建设堤坝。

  2、风险转移

  风险转移是将风险转移给第三方,普遍使用的方法是购买保险来防止风险的影响。但管理人员必须记住,购买保险并不能降低或消除风险,只能为组织的损失获得赔偿而已。这种方法存在一定的危险。

  3、风险接受与风险承担

  风险接受与风险承担指组织认为无需再采用其它控制措施来处置风险或无法消除的风险。(应急次其

  如图6.1中右下部分识别的一些风险。若组织接受风险,即决定自行承担所有可能产生的损失,除了进行风险融资,无需采取任何措施来管理风险。组织应在风险登记册中记录并说明所承担的风险,作为检查清单,以备后续监测。

  4、风险融资

  风险融资是组织的一种自保方式,通过该方法,组织储备和管理资金,以防范未来可能发生的损失。风险融资通常用作欠款偿还和工人赔偿准备金。

  三、小结

  风险评估必须根据组织的风险偏好有系统地识别、分析和处置造成组织优先活动中断的风险。系统地识别危险,危险存在的可能性以及危险发生造成的后果是一个正式的过程。

  如果未事先识别危险,则无法预防、准备好面对或处置其列出的风险。识别危险后,对危险的可能性和后果进行分析,最后进行风险登记,以处置或监控这些风险。根据所用分析的类型,可使用年预期损失(ALE),来通过风险规避、风险控制、风险转移或风险承担,帮助优化风险和剩余风险的处置。

相关链接:

作者:尤金˙塔克 来源:金融时代网 发布时间:2017-12-29 06:04:18
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任