風險管理

有關其他用途,請參見風險(歧義) 。有關業務風險,請參見風險分析(業務) 。有關該雜誌,請參見風險管理(雜誌)
風險評估的示例: NASA模型顯示了對國際空間站影響的高風險區域

風險管理是風險的識別,評估和優先級(在ISO 31000中定義為不確定性對目標的影響),然後協調和經濟地應用資源以最大程度地減少,監控和控制不幸事件或最大化的可能性或影響實現機會。

風險可能來自各種來源,故意攻擊對手或不確定或不可預測的根本原因的事件。

有兩種類型的事件,即負面事件可以歸類為風險,而積極事件則被歸類為機會。風險管理標準已由各種機構制定,包括項目管理研究所美國國家標準研究所,精算社會和ISO標準(質量管理標準,旨在幫助更有效地工作並減少產品失敗)。方法,定義和目標因風險管理方法是在項目管理,安全,工程工業流程,金融投資組合,精算評估還是公共衛生和安全的背景下而差異很大。某些風險管理標準因沒有可衡量的風險改善而受到批評,而對估計和決策的信心似乎在增加。

管理威脅的策略(負面後果的不確定性)通常包括避免威脅,減少威脅的負面影響或概率,將威脅的全部或部分轉移給另一方,甚至保留了某些或全部或全部的潛在或實際後果一個特殊的威脅。這些策略的相反可以用來響應機遇(不確定未來的州有利益)。

作為專業角色風險經理將“監督組織的全面保險和風險管理計劃,評估和確定可能阻礙組織聲譽,安全,保障或財務成功的風險”,然後製定計劃以最小化和 /或減輕任何負面(財務)​​結果。風險分析師支持組織風險管理方法的技術方面:一旦對風險數據進行了彙編和評估,分析師與經理分享他們的發現,他們使用這些見解來在可能的解決方案中做出決定。另請參見首席風險官內部審計財務風險管理§公司融資

介紹

自1920年代以來,風險管理出現在科學和管理文獻中。它成為1950年代的正式科學,當時標題中具有“風險管理”的文章和書籍也出現在圖書館搜索中。大多數研究最初與金融和保險有關。

ISO指南73:2009 ,“風險管理。詞彙”定義了廣泛使用的風險管理詞彙。

在理想的風險管理中,遵循優先級的過程,從而首先處理損失最大(或影響)和最大可能發生的可能性的風險。以降低和降低損失的概率的風險按降序處理。在實踐中,評估總體風險的過程可能很困難,並且平衡用於減輕風險的資源,而發生的可能性很高,但損失的可能性較低,而損失較高,但發生的可能性較低,但通常會造成不當。

無形的風險管理確定了一種新型的風險,該風險的發生概率為100%,但由於缺乏身份證明能力而被組織忽略。例如,當將不足的知識應用於情況時,知識風險就會實現。當進行無效的協作時,就會出現關係風險。當應用無效的操作程序時,過程參與風險可能是一個問題。這些風險直接降低了知識工作者的生產率,降低了成本效益,盈利能力,服務,質量,聲譽,品牌價值和收入質量。無形的風險管理允許風險管理從降低和降低生產率的風險中產生立即價值。

機會成本代表了風險管理者的獨特挑戰。很難確定何時將資源投入風險管理以及何時在其他地方使用這些資源。同樣,理想的風險管理最大程度地減少了支出(或人力或其他資源),並最大程度地減少了風險的負面影響。

風險被定義為發生事件的可能性會對目標的實現產生不利影響。因此,不確定性是風險的關鍵方面。諸如Treadway委員會企業風險管理(COSO ERM)的讚助組織委員會之類的系統可以幫助管理人員減輕風險因素。每個公司可能具有不同的內部控制組件,從而導致不同的結果。例如,ERM組件的框架包括內部環境,客觀設置,事件識別,風險評估,風險響應,控制活動,信息和通信以及監視。

風險與機會

機會首先出現在1990年代的學術研究或管理書籍中。 PMBOK第一個1987年知識草案的項目管理機構根本沒有提及機會。

現代項目管理學校確實認識到機遇的重要性。自1990年代以來,(例如在PMBOK)已經包括了機會,並在2000年代成為項目風險管理的重要組成部分,當時題為“機會管理”的文章也開始出現在圖書館搜索中。因此,機會管理成為風險管理的重要組成部分。

現代風險管理理論涉及任何類型的外部事件,即積極和負面的事件。積極的風險稱為機會。與風險類似,機會具有特定的緩解策略:利用,共享,增強,忽略。

實際上,風險通常被認為是“負面的”。與風險相關的研究和實踐大大關注威脅而不是機會。這可能導致負面現象,例如目標固定

方法

在大多數情況下,這些方法由以下順序或多或少執行的以下元素組成:

  1. 確定威脅
  2. 評估關鍵資產對特定威脅的脆弱性
  3. 確定風險(即對特定資產的特定類型攻擊的預期可能性和後果)
  4. 確定降低這些風險的方法
  5. 優先降低風險措施

風險管理知識領域由知識PMBOK的項目管理機構定義,包括以下過程:

  1. 計劃風險管理- 定義如何開展風險管理活動。
  2. 確定風險- 確定單個項目風險以及來源。
  3. 進行定性風險分析- 通過評估概率和影響來確定個人項目風險的優先級。
  4. 執行定量風險分析- 效應的數值分析。
  5. 計劃風險響應- 制定選擇,選擇策略和行動。
  6. 實施風險響應- 實施商定的風險響應計劃。在第四版。在PMBOK中,此過程作為監視器和控製過程中的活動包括在內,但後來在PMBOK 6版中作為一個獨特的過程分開。
  7. 監視風險- 監視實施。該過程在上一個PMBOK第四版中被稱為Monitor和Control。還包括“實施風險響應”過程。

原則

國際標準化組織(ISO)確定了以下風險管理原則:

風險管理應:

  • 創建價值- 減輕風險的資源應小於無所作為的結果
  • 成為組織流程不可或缺的一部分
  • 成為決策過程的一部分
  • 明確解決不確定性和假設
  • 成為系統的結構化過程
  • 基於最佳信息
  • 可以量身定制
  • 考慮人為因素
  • 透明和包容
  • 動態,迭代且對改變的反應
  • 能夠不斷改進和增強
  • 不斷或定期重新評估

輕度與野生風險

Benoit Mandelbrot區分了“輕度”和“野生”風險,並認為這兩種風險的風險評估和管理必須在根本上有所不同。輕度的風險遵循正常或近正常的概率分佈,可能會回歸大量的平均值和定律,因此相對可預測。野生風險遵循脂肪尾分佈,例如,帕累托冪律分佈,可能會回歸對尾部(無限均值或差異,使大量法律無效或無效),因此難以預測或無法預測。曼德爾布羅特(Mandelbrot)表示,風險評估和管理的一個常見錯誤是低估了風險的野性,假設風險實際上是野性的,那麼如果風險評估和管理是有效且可靠的,則必須避免這種風險。

過程

根據標準ISO 31000 - “風險管理 - 實施原則和指南”,風險管理過程包括以下幾個步驟:

建立背景

這涉及:

  1. 觀察上下文
    • 風險管理的社會範圍
    • 利益相關者的身份和目標
    • 評估風險的基礎,約束。
  2. 定義活動的框架和標識的議程
  3. 對該過程中涉及的風險進行分析
  4. 使用可用的技術,人力和組織資源來緩解或解決風險

鑑別

建立環境後,管理風險過程的下一步是確定潛在的風險。風險是關於觸發時事件引起問題或收益的事件。因此,風險識別可以始於問題的根源和競爭對手的問題(福利)或問題的後果。

  • 來源分析 - 風險來源可能是系統的內部或外部,這是風險管理的目標(使用緩解而不是管理,因為其自身定義風險涉及無法管理的決策因素)。

風險來源的一些例子是:項目的利益相關者,公司的員工或機場的天氣。

  • 問題分析 - 風險與已確定的威脅有關。例如:損失金錢的威脅,濫用機密信息的威脅或人為錯誤,事故和傷亡的威脅。威脅可能與各種實體存在,最重要的是股東,客戶和立法機構(例如政府)。

當已知源或問題時,可以研究源可能會觸發的事件或可能導致問題的事件。例如:在項目期間撤回的利益相關者可能會危害該項目的資金;即使在封閉的網絡中,機密信息也可能被員工偷走;起飛期間撞上飛機的閃電可能會使船上的所有人立即傷亡。

確定風險的選擇方法可能取決於文化,行業實踐和依從性。識別方法由模板或用於識別源,問題或事件的模板的開發形成。常見的風險識別方法是:

  • 基於目標的風險標識 - 組織和項目團隊有目標。任何可能阻止目標實現目標的事件都被確定為風險。
  • 基於方案的風險標識 - 在方案分析中,創建了不同的方案。這些方案可能是實現目標的替代方法,或者是對力量相互作用的分析,例如市場或戰鬥。任何觸發不希望的方案替代方案的事件都被確定為風險 - 請參閱未來主義者使用的方法論的期貨研究
  • 基於分類法的風險識別 - 基於分類法的風險識別中的分類學是可能的風險來源的細分。基於對最佳實踐的分類學和知識,彙編了問卷。問題的答案揭示了風險。
  • 常見檢查 - 在幾個行業中,有已知風險的清單。可以檢查列表中的每個風險以在特定情況下申請。
  • 風險圖表 - 此方法通過列出有風險的資源,對這些資源的威脅,修改可能增加或減少希望避免的風險和後果的因素來結合上述方法。在這些標題下創建矩陣可以採用各種方法。一個人可以從資源開始,並考慮它們所面臨的威脅以及每種的後果。另外,人們可以從威脅開始並檢查它們會影響哪些資源,或者可以從後果開始,並確定將涉及哪些威脅和資源的組合來實現它們。

評估

主要文章:風險評估

一旦確定了風險,就必須評估它們的潛在影響嚴重程度(通常是負面影響,例如損害或損失)和發生的概率。在丟失的建築物的價值的情況下,這些數量可以很容易衡量,或者在不太可能發生的情況下無法確定的情況下,發生這種情況的可能性是未知的。因此,在評估過程中,至關重要的是要做出最佳教育的決策,以便將風險管理計劃的實施正確確定。

即使是短期積極的改進也會產生長期的負面影響。以“收費公路”示例。高速公路擴大以允許更多的流量。更多的交通能力會導致交通流量改善的領域的進一步發展。隨著時間的流逝,流量隨之增加以滿足可用容量。因此,收費公路需要在看似無盡的周期中擴展。還有許多其他工程示例,可以增加需求增加的能力(執行任何功能)。由於擴展是有代價的,因此在沒有預測和管理的情況下,由此產生的增長可能會變得不可持續。

風險評估的基本困難是確定發生率,因為在過去的各種事件上沒有統計信息,並且在發生災難性事件的情況下尤為少,僅僅是因為它們的頻率不高。此外,評估後果的嚴重程度(影響)對於無形資產通常很難。資產評估是需要解決的另一個問題。因此,最受教育的意見和可用統計數據是信息的主要來源。然而,風險評估應為組織的高級管理人員提供此類信息,即主要風險易於理解,並且風險管理決策可以在公司整體目標中優先考慮。因此,有幾種理論和試圖量化風險。存在許多不同的風險公式,但風險量化的最廣泛接受的公式可能是:“發生的率(或概率)乘以事件的影響等於風險幅度。”

風險選擇

通常根據以下一個或多個主要風險選擇來製定風險降低措施,這是:

  1. 從一開始就設計一個具有足夠內置風險控制和遏制措施的新業務流程。
  2. 定期重新評估在正在進行的過程中被接受的風險作為業務運營的正常特徵並修改緩解措施。
  3. 將風險轉移給外部機構(例如,保險公司)
  4. 完全避免風險(例如,關閉特定的高風險業務區域)

後來的研究表明,風險管理的經濟利益較少依賴於所使用的公式,但更依賴於頻率和風險評估的執行方式。

在業務中,必須能夠在金融,市場或計劃條款中介紹風險評估的發現。小羅伯特·考特尼(Robert Courtney Jr.)(IBM,1970年)提出了一種以財務方式提出風險的公式。考特尼公式被接受為美國政府機構的官方風險分析方法。該公式提出了計算ALE(預期損失)的計算,並將預期損失值與安全控制實施成本進行比較(成本 - 效果分析)。

潛在的風險治療

一旦確定和評估了風險,管理風險的所有技術都屬於這四個主要類別中的一個或多個:

  • 避免(消除,退出或不參與)
  • 減少(優化 - 減輕)
  • 共享(轉移 - 外包或保險)
  • 保留(接受和預算)

這些風險控制策略的理想用途可能是不可能的。其中一些可能涉及對組織或做出風險管理決策的人不接受的權衡。來自美國國防部(請參閱鏈接)的另一個消息來源,國防收購大學,稱這些類別為ACAT,以避免,控制,接受或轉移。 ACAT首字母縮寫的這種使用讓人聯想到美國國防行業採購中使用的另一個ACAT(用於獲取類別),在決策和計劃中,風險管理的數字顯著。

與風險類似,機會具有特定的緩解策略:利用,共享,增強,忽略。

避免風險

這包括不執行可能帶來風險的活動。拒絕購買財產或企業以避免法律責任就是這樣的例子。避免出現飛機航班,以免劫持劫持。迴避似乎是所有風險的答案,但是避免風險也意味著失去接受(保留)風險可能允許的潛在收益。沒有進入企業以避免損失風險也可以避免賺取利潤的可能性。醫院的風險調節增加導致避免治療較高的風險狀況,而有利於降低風險的患者。

降低風險

降低風險或“優化”涉及降低損失的嚴重程度或發生損失的可能性。例如,灑水裝置旨在撲滅火災,以減少火災損失的風險。此方法可能會導致水損傷造成更大的損失,因此可能不合適。 Halon抑制系統可能會降低這種風險,但成本可能會刺激為策略

承認風險可能是正面的或負面的,優化風險意味著在負面風險與操作或活動的好處之間找到平衡;以及在降低風險和努力之間。通過有效應用健康,安全與環境(HSE)管理標準,組織可以達到可忍受的剩餘風險水平。

現代軟件開發方法通過逐步開發和交付軟件來降低風險。早期的方法論遭受了這樣一個事實,即他們僅在開發的最後階段提供了軟件。早期階段遇到的任何問題都意味著昂貴的返工,並且經常危及整個項目。通過開發迭代,軟件項目可以將浪費的精力限制為單個迭代。

如果外包商可以表現出更高的管理或降低風險的能力,則外包可能是風險共享策略的一個例子。例如,一家公司可以在處理業務管理本身的同時,只能將其軟件開發,硬貨或客戶支持所需的產品外包給另一家公司。這樣,公司就可以更多地專注於業務發展,而不必擔心製造過程,管理開發團隊或為中心找到物理位置。同樣,植入控制也可以是降低風險的一種選擇。控制在使用產品期間發生後果之前檢測出不良事件的原因,或者檢測到團隊可以避免的不需要故障的根本原因。控件可以集中於管理或決策過程。所有這些可能有助於做出有關風險的更好決定。

風險共享

簡要定義為“與另一方分享損失的負擔或收益的收益,風險以及降低風險的措施”。

“風險轉移”一詞通常用於誤以為您可以通過保險或外包將風險轉移給第三方的風險分享。實際上,如果保險公司或承包商破產或最終出庭,則最初的風險可能仍會恢復為第一方。因此,在從業人員和學者的術語中,購買保險合同通常被描述為“風險轉移”。但是,從技術上講,合同的買方通常對“轉讓”的損失保留法律責任,這意味著可以更準確地將保險描述為事後的補償機制。例如,個人傷害保險單不會將車禍的風險轉移到保險公司。風險仍然在於保單持有人,即發生事故的人。保險單只是規定,如果發生事故(事件)涉及保單持有人,則可能需要向與苦難/損害相稱的保單持有人支付一些賠償。

管理風險的方法屬於多個類別。從技術上講,驅動風險池正在保留該小組的風險,但是將其傳播到整個小組中涉及該小組各個成員之間的轉移。這與傳統保險不同,因為該小組的成員預先交換了任何溢價,但是將損失評估給該小組的所有成員。

保留風險

保留風險涉及在事件發生時從風險中接受損失或收益。真正的自我保險屬於這一類。保留風險是針對小風險的可行策略,在這種風險中,隨著時間的推移,針對風險的保險成本將比持續的總損失更大。默認情況下,所有未避免或轉移的風險都保留。這包括如此大的風險或災難性的風險,以至於不能為它們提供保險,或者保費是不可行的。戰爭就是一個榜樣,因為大多數財產和風險沒有針對戰爭的保險,因此被保險人保留了歸因於戰爭的損失。同樣,保留金額的任何潛在損失(風險)都是保留風險。如果損失很大的機會很小,或者如果保證更大的覆蓋範圍如此之大,以至於會阻礙組織的目標過多,這也可以接受。

風險管理計劃

主要文章:風險管理計劃

選擇適當的控件或對策來減輕每個風險。降低風險的需要得到適當的管理水平的批准。例如,有關組織形象的風險應在其背後有最高管理決定,而IT管理則有權決定計算機病毒風險。

風險管理計劃應提出適用有效的安全控制,以管理風險。例如,可以通過獲取和實施防病毒軟件來減輕觀察到的計算機病毒的高風險。良好的風險管理計劃應包含用於控制實施的時間表和這些行動的負責人。風險管理計劃的四個基本步驟是威脅評估,脆弱性評估,影響評估和降低風險策略的製定。

根據ISO/IEC 27001的數據風險評估階段完成後的階段包括準備風險治療計劃,該計劃應記錄有關應如何處理每個已確定風險的決定。緩解風險通常意味著選擇安全控制,應在適用性聲明中進行記錄,該聲明確定了從標準中選擇了哪些特定的控制目標和控制。

執行

實施遵循緩解風險影響的所有計劃方法。購買保險單的風險是決定將其轉移到保險公司,避免可以避免的所有風險而不犧牲實體的目標,減少他人並保留其餘的風險。

審查和評估計劃

初始風險管理計劃永遠不會是完美的。練習,經驗和實際損失結果將需要改變計劃,並貢獻信息,以允許在應對面臨的風險時做出不同的決定。

風險分析結果和管理計劃應定期更新。這樣做的主要原因有兩個:

  1. 評估先前選擇的安全控制是否仍然適用且有效
  2. 評估業務環境中可能的風險水平變化。例如,信息風險是快速變化的業務環境的一個很好的例子。

區域

企業

主要文章:企業風險管理

企業風險管理(ERM)將風險定義為可能對有關企業產生負面影響的可能事件或情況企業的客戶以及對社會,市場或環境的外部影響。這裡有各種定義的框架,每個可能的風險都可以製定預先制定的計劃來應對其可能的後果(以確保風險是否成為責任 。因此,管理人員可以分析和監視面臨企業面臨的內部和外部環境,總體上應對業務風險以及對實現其戰略目標的企業的任何影響。因此,ERM與其他各種學科重疊 -運營風險管理財務風險管理等 - 但通過其戰略和長期關注而區分。

金融

主要文章:財務風險管理

適用於金融,風險管理涉及衡量,監控和控制公司資產負債表,銀行交易簿上的市場風險信用風險運營風險的技術和實踐,或重新獲得基金經理的投資組合價值;有關概述,請參見金融§風險管理

信息技術

信息技術中,風險管理包括“事件處理”,一項針對入侵,網絡盜竊,拒絕服務,火災,洪水和其他與安全有關的事件的行動計劃。根據SANS研究所的說法,這是一個六個步驟:準備,識別,遏制,消除,恢復和經驗教訓。

合同風險管理

“合同風險管理”的概念強調了在合同部署中使用風險管理技術,即管理通過簽訂合同所接受的風險。挪威學術彼得里·凱斯基塔羅(Petri Keskitalo)將“合同風險管理”定義為“一種實用,積極主動和系統的合同方法,該方法使用合同計劃和治理來管理與業務活動相關的風險”。在2010年發表的塞繆爾·格林加德(Samuel Greengard)的一篇文章中,提到了兩個美國法律案件,這些案件強調了製定策略應對風險的重要性:

  • UDC訴CH2M Hill案,該案面向簽署賠償規定的專業顧問的風險,包括接受捍衛義務,因此可能會承擔捍衛客戶遵守第三方索賠的法律費用,
  • Wittv。LaGorce鄉村俱樂部涉及責任條款限制的有效性,在某些司法管轄區可能被發現無效。

Greengard建議盡可能多地使用行業標準的合同語言來降低風險,並依靠已使用的條款並在多年來接受已建立的法院解釋。

海關

海關風險管理與國際貿易背景下出現的風險有關,並與安全和保障有關,包括非法毒品偽造商品可以通過邊界傳遞的風險,以及錯誤地宣布貨物及其內容的風險。歐盟已經採用了整個聯盟及其成員國的海關風險管理框架(CRMF),其目標包括建立公共水平的海關控制保護和安全海關控制目標之間的平衡與合法貿易的促進。促使歐盟委員會在2012 - 13年度審查海關風險管理政策的兩項事件是2001年9月11日的襲擊以及2010年跨大西洋飛機炸彈案件,涉及從也門發送給美國的包裹,該委員會稱為“委員會” 2010年10月(也門)事件”。

記憶機構(博物館,圖書館和檔案館)

主要文章:風險管理(文化財產)

企業安全

ESRM是一種安全計劃管理方法,它通過風險管理方法將安全活動與企業的使命和業務目標聯繫起來。安全負責人在ESRM中的作用是與企業領袖合作管理對企業資產的損害風險,他們的資產暴露於這些風險。 ESRM涉及教育業務領導者有關確定風險的現實影響,提出潛在的策略來減輕這些影響

醫療設備

對於醫療設備,風險管理是識別,評估和減輕與對人的傷害以及財產或環境損害相關的風險的過程。風險管理是醫療設備設計和開發,生產過程和現場經驗評估的組成部分,並且適用於所有類型的醫療設備。大多數監管機構(例如美國FDA)需要其應用的證據。 ISO 14971:2019的國際標準化組織(ISO)描述了醫療設備風險的管理,醫療設備 - 風險管理在醫療設備上的應用,這是產品安全標準。該標準為管理責任,風險分析和評估,風險控制和生命週期風險管理提供了過程框架和相關要求。標準應用的指南可通過ISO/TR 24971:2020獲得。

歐洲版本的風險管理標準於2009年更新,並於2012年再次提及2007年的《醫療設備指令》(MDD)和Active植入醫療設備指令(AIMDD)修訂版,以及《體外醫療設備指令》( IVDD) )。 EN 14971:2012的要求幾乎與ISO 14971:2007相同。差異包括三個“(信息)” Z附件,指的是新的MDD,AIMDD和IVDD。這些附件表明內容偏差包括需要盡可能降低風險的要求,以及通過設計來降低風險而不是通過在醫療設備上標記的風險的要求(即不再使用標籤來減輕風險)。

醫療設備行業採用的典型風險分析和評估技術包括危害分析故障樹分析(FTA),失敗模式和效果分析(FMEA),危害和可操作性研究( HAZOP )以及確保風險控制的風險可追溯性分析有效(即跟踪風險,確定為產品需求,設計規格,驗證和驗證結果等)。 FTA分析需要圖解軟件。 FMEA分析可以使用電子表格程序進行。也有集成的醫療設備風險管理解決方案。

通過指導草案,FDA引入了另一種名為“安全保證案例”的方法,用於醫療設備安全保證分析。安全保證案例是關於適合科學家和工程師的系統的結構性論點推理,並得到了一大批證據的支持,這些證據提供了一個引人注目的,可理解的和有效的案例,即係統在給定環境中對於給定的應用是安全的。在該指導下,預計安全關鍵設備(例如輸液設備)的安全保證案例是預先清算提交的一部分,例如510(k)。 2013年,FDA提出了另一項指南草案,期望醫療設備製造商提交網絡安全風險分析信息。

項目管理

主要文章:項目風險管理

必須在收購的不同階段考慮項目風險管理。在項目開始時,技術發展的進步或競爭對手項目提出的威脅可能會導致風險或威脅評估,並隨後對替代方案進行評估(請參閱替代方案的分析)。一旦做出決定,並且該項目開始,就可以使用更熟悉的項目管理應用程序:

  • 計劃在特定項目中如何管理風險。計劃應包括風險管理任務,職責,活動和預算。
  • 分配風險官員 - 除了負責預見潛在項目問題的項目經理以外的團隊成員。風險官員的典型特徵是健康的懷疑。
  • 維護實時項目風險數據庫。每個風險應具有以下屬性:開放日期,標題,簡短描述,概率和重要性。可選的風險可能會使指定的人負責其決議,並且必須解決風險的日期。
  • 創建匿名風險報告渠道。每個團隊成員都應該有可能報告他/她在項目中預見的風險。
  • 準備緩解計劃的緩解計劃,這些風險被選擇緩解。緩解計劃的目的是描述如何處理這種特定風險 - 如果責任成為責任,將如何,何時,何時以及將如何避免後果。
  • 總結計劃和麵臨的風險,緩解活動的有效性以及為風險管理花費的努力。

大型投資(基礎架構)

大型投資項目(有時也稱為“主要計劃”)是大規模的投資項目,通常每個項目的成本超過10億美元。大型投資包括主要橋樑,隧道,高速公路,鐵路,機場,海港,發電廠,水壩,廢水項目,沿海防洪計劃,石油和天然氣提取項目,公共建築,信息技術系統,航空航天項目和國防系統。在金融,安全以及社會和環境影響方面,大型身影已被證明特別冒險。因此,風險管理尤其與大型身份相關,並且已經為這種風險管理開發了特殊的方法和特殊教育。

自然災害

評估洪水地震等自然災害的風險很重要。在考慮未來維修成本,業務中斷損失和其他停機時間,對環境的影響,保險成本以及降低風險的擬議成本時,自然災害風險評估的結果很有價值。 Sentai降低災害風險的框架是一項2015年國際協定,該協議為自然災害設定了減少災害風險的目標和目標。達沃斯有定期的國際災難和風險會議來應對整體風險管理。

幾種工具可用於評估自然災害和其他氣候事件的風險和風險管理,包括地理空間建​​模,這是土地變化科學的關鍵組成部分。這種建模需要了解人們的地理分佈以及計算自然災害可能發生的可能性的能力。

荒野

隨著戶外娛樂參與的增加,對荒野和偏遠自然地區的人和財產的風險管理已經發展出來,社會對損失的耐受性降低。提供商業荒野體驗的組織現在可以符合國家和國際共識標準的培訓和設備,例如ANSI /NASBLA 101-2017(划船), UIAA 152(攀冰工具)和歐洲規範13089:2015 + A1:2015:設備) 。體驗教育協會為荒野冒險計劃提供了認證。荒野風險管理會議提供了對最佳實踐的訪問權限,專業組織提供荒野風險管理諮詢和培訓。

新西蘭山區安全委員會出版的文本戶外安全 - 室外領導的風險管理,從新西蘭的角度提供了荒野風險管理的看法,認識到國家戶外安全立法的價值,並大大關注判決的作用和荒野風險管理中的決策過程。

風險評估的一種流行模型是Rick Curtis(背包客現場手冊的作者)開發的風險評估和安全管理(RASM)模型。 RASM模型的公式是:風險=事故×後果嚴重程度的概率。 RASM模型重量負面風險 - 損失的潛力,抵抗正風險 - 增長的潛力。

信息技術

主要文章: IT風險管理

它的風險是與信息技術有關的風險。這是一個相對較新的術語,因為人們對信息安全性只是與之相關的多種風險及其支持的現實世界過程的一個方面的一個方面。 “網絡安全與技術的進步緊密相關。它僅滯後了足夠長的時間,可以發現黑市等激勵措施和新的利用。 。”

Isaca風險IT框架將其風險與企業風險管理聯繫起來。

護理風險分析義務(DOCRA)評估風險及其保障措施,並考慮所有可能受這些風險影響的各方的利益。

營運

主要文章:運營風險管理

操作風險管理(ORM)是對操作風險的監督,包括損失的風險:內部流程不足或失敗;人為因素;或外部事件。鑑於操作的性質,ORM通常是一個“持續”過程,將包括持續的風險評估,風險決策和風險控制的實施。

石油和天然氣

對於海上石油和天然氣行業,許多國家的安全案件制度受到運營風險管理的監管。國際標準ISO 17776:2000中描述了危險識別和風險評估工具和技術,以及IADC(國際鑽探承包商協會)等組織發布健康,安全與環境(HSE)案件的指南,這些指南基於基於ISO標準。此外,政府監管機構通常會期望有危險事件的示意圖作為安全案件提交的風險管理的一部分;這些被稱為領結圖(請參閱風險評估中的網絡理論)。該技術還被組織和監管機構用於採礦,航空,健康,國防,工業和金融。

藥物領域

質量風險管理的原理和工具越來越多地應用於藥物質量系統的不同方面。這些方麵包括在藥物,藥品,生物學和生物技術產品的整個生命週期中的開發,製造,分配,檢查和提交/審查過程(包括使用原材料,溶劑,賦形劑,包裝,包裝和標記材料,生物學和生物技術產品)。風險管理還適用於與藥品和潔淨室製造環境有關的微生物污染評估。

供應鏈

主要文章:供應鏈風險管理

供應鏈風險管理(SCRM)旨在在情況或事件中保持供應鏈連續性,從而中斷正常業務並因此盈利能力。供應鏈的風險範圍從日常到卓越,包括不可預測的自然事件(例如海嘯流浪漢)到偽造產品,並跨越質量,安全性,再到彈性和產品完整性。緩解這些風險可能涉及業務的各種要素,包括物流和網絡安全以及財務和運營領域。

風險交流

本節是風險通信的摘錄。

風險交流是一個複雜的跨學科學術領域,是風險管理的一部分,與危機交流等領域有關。目標是確保有針對性的受眾通過吸引其價值觀來了解對他們或其社區的風險影響。

風險交流在準備災難公共衛生和為全球重大災難性風險的準備方面尤為重要。例如,氣候變化氣候風險效應的影響,社會的每個部分,因此溝通風險是重要的氣候傳播實踐,以便社會計劃氣候適應。同樣,在大流行預防中,對風險的理解有助於社區停止疾病的傳播並改善反應。

風險溝通涉及可能的風險,並旨在提高人們對這些風險的認識,以鼓勵或說服行為變化以減輕威脅的長期變化。另一方面,危機交流旨在提高人們對採用特定類型的威脅,規模,結果和特定行為以減少威脅的認識。

食品安全中的風險交流是風險分析框架的一部分。連同風險評估和風險管理,風險交流旨在減少食源性疾病。食品安全風險交流是國家對食品安全當局的強制性活動,該活動通過了有關衛生和植物檢疫措施的適用協議

風險交流也較小。例如,必須將與個人醫療決策相關的風險與家人一起傳達給該人。

也可以看看