Podpora učinkovitemu obvladovanju tveganj (III)

Odgovor na tveganja: Glede na oceno tveganja se lahko odločimo med različnimi scenariji reševanja. Tveganjem se lahko izognemo, lahko jih sprejmemo, zmanjšamo ali delimo. Praviloma je za primeren odgovor na tveganje zadolžen lastnik procesa, ki mu pomaga oseba odgovorna za tveganje.

Tipi odgovorov na tveganja

Primeri štirih možnih odgovorov na tveganja:

  • zmanjšanje:  vpeljava kontrolne aktivnosti podrobnega pregledovanja novih poslovnih partnerjev
  • deljenje: protipožarno zavarovanje zgradbe
  • sprejemanje: ker je cena zmanjševanja tveganja prevelika, se sprijaznimo s tveganjem in izgubami, ki jih prinaša
  • izogibanje: zapiranje proizvodnje na določeni lokaciji

Kontrolne aktivnosti: Za učinkovito izvedbo izbranih odgovorov na tveganja, je potrebno vzpostaviti in vpeljati primerne procedure kot so vpeljava kontrolnih ukrepov za zmanjšanje tveganja, vodstveni pregledi , fizične kontrole (premoženja, zalog in virov), vpeljava kontrol v spremljanje kazalnikov učinkovitosti in/ali določanje odgovornosti. Velikokrat za zmanjšanje posameznega tveganja ni dovolj en sam ukrep  ampak moramo razmišljati o kombinaciji ukrepov. Pri tem moramo paziti, da so stroški kontrolnih aktivnosti usklajeni s izgubami, ki so lahko posledica tveganja.

Določanje kontrol in odgovornih vlog za zmanjševanje tveganj - ARIS

Strukturiranje tveganj in pripadajočih kontrol izvedemo v ARIS Architect/Designerju. Za to uporabimo model tipa "Model kontrol" kjer tveganju, ki ga želimo zmanjšati, dodelimo primerne kontrolne aktivnosti in osebe za odgovorne za njih. Glede na pomembnost kontrolne aktivnosti določimo kdaj in kako  se kontrolna aktivnost preverja, testira njena   struktura in/ali učinkovitost. Model nam tudi omogoča, da tveganja povežemo z zakonodajo, pravili ali standardi s katerimi morajo biti v skladu.

Trije koraki obvladovanja zakonodaje in pravilnikov v povezavi s poslovnimi procesi:

  • Določanje obsega skladnosti: V prvem koraku je potrebno določiti katere zakone, pravila in standarde moramo upoštevati
  • Analiziranje in interpretacija: V drugem koraku je potrebno analizirati in interpretirati vse dele zakonodaje in pravil. Na osnovi teh analiz se izvede mapiranje posameznih členov na specifične integrirane zahteve/kontrole organizacije.
  • Integracija zahtev v poslovne procese: V tretjem koraku je potrebno vpeljati integrirane zahteve/kontrole v poslovne procese.

Pristop je osnovan na ideji, da se zakonodaja, regulacije in standardi delno prekrivajo. S tem, ko določimo integrirane zahteve, ki pokrivajo več členov zakonodaje in pravilnikov, zmanjšamo potrebni napor za njihovo vpeljavo ter kasneje presojo. Tako ni več potrebe, da bi presojali vsako zahtevo posebej, dovolj je, da izvedemo presojo kontrole/procesa v katerem je vpeljana integrirana zahteva. Orodje nam omogoča, do so nam vsa poročila o vplivu na povezane kontrole, poslovne procese in odgovorne vloge takoj na voljo. Na ta način zelo učinkovito dosežemo skladnost z več pravili hkrati.

Mapiranje zakonodaje in pravil na poslovne procese.

Integracija zahtev zakonodaje in/ali pravilnikov v poslovne procese

Prednosti zapisa vseh zahtev za sistem obvladovanja tveganj v skupnem repozitoriju orodij ARIS platforme je enostavno in pregledno obvladovanje in analiziranje sistema.

Primer: Ker so zakonodaja in pravila (preko integriranih zahtev) povezane s kontrolami in poslovnimi procesi je zelo enostavno izvesti analizo vpliva sprememb zakonodaje na organizacijo. Spodnja slika prikazuje primer analize povezav med standardom, tveganji in poslovnimi procesi v katerih se tveganja pojavljajo.

Analiza vpliva standarda na tveganja in povezane procese - ARIS query

Objavljeno v Obvladovanje tveganj.