การจัดการความเสี่ยง

การจัดการความเสี่ยงคือการระบุ การประเมิน และการจัดลำดับความสำคัญของ^{ความเสี่ยง [ 1} ]ตาม^{ด้วยการ}ลด การติดตาม และการควบคุมผลกระทบหรือความน่าจะเป็นของการเกิดความเสี่ยงเหล่านั้น^{[ 2 ]}ความเสี่ยงอาจมาจากแหล่งต่างๆ (เช่นภัยคุกคาม ) รวมถึงความไม่แน่นอนในตลาดระหว่างประเทศความไม่มั่นคงทางการเมืองอันตรายจากความล้มเหลวของโครงการ (ในทุกขั้นตอนของการออกแบบ การพัฒนา การผลิต หรือการบำรุงรักษาตลอดวงจรชีวิต) ความรับผิดทางกฎหมาย ความเสี่ยง ด้านเครดิตอุบัติเหตุสาเหตุและภัยพิบัติทางธรรมชาติการโจมตีโดยเจตนาจากฝ่ายตรงข้าม หรือเหตุการณ์ที่มีสาเหตุ ไม่แน่นอนหรือไม่สามารถคาด เดา ได้ ^{[ 3 ]}ผู้ค้ารายย่อยยังใช้การจัดการความเสี่ยงโดยใช้การกำหนดขนาดตำแหน่งเป็นเปอร์เซ็นต์คงที่และกรอบความเสี่ยงต่อผลตอบแทนเพื่อหลีกเลี่ยงการขาดทุนจำนวนมากและสนับสนุนการตัดสินใจที่สม่ำเสมอภายใต้แรงกดดัน

ในการจัดการความเสี่ยงมีการวิเคราะห์เหตุการณ์สองประเภท ได้แก่ ความเสี่ยงและโอกาส เหตุการณ์เชิงลบจัดเป็นความเสี่ยง ในขณะที่เหตุการณ์เชิงบวกจัดเป็นโอกาสมาตรฐาน การจัดการความเสี่ยง ได้รับการพัฒนาโดยสถาบันต่างๆ รวมถึงสถาบันการจัดการโครงการสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สมาคมนัก คณิตศาสตร์ประกันภัยและองค์การมาตรฐานสากล [ ^{4 ] [}^{5 ] [}^{6 ] วิธี}การ คำจำกัดความ และเป้าหมายแตกต่างกันอย่างมาก ขึ้นอยู่กับว่าวิธีการจัดการความเสี่ยงนั้นอยู่ในบริบทของการจัดการโครงการ ความปลอดภัยวิศวกรรมกระบวนการทางอุตสาหกรรมพอร์ตการ ลงทุนทางการเงินการประเมินทางคณิตศาสตร์ประกันภัยหรือสาธารณสุขและความปลอดภัยมาตรฐานการจัดการความเสี่ยงบางอย่างถูกวิพากษ์วิจารณ์ว่าไม่มีการปรับปรุงความเสี่ยงที่วัดได้ ในขณะที่ความเชื่อมั่นในการประมาณการและการตัดสินใจดูเหมือนจะเพิ่มขึ้น^[²^]

กลยุทธ์ในการจัดการภัยคุกคาม (ความไม่แน่นอนที่มีผลเสีย) โดยทั่วไปได้แก่ การหลีกเลี่ยงภัยคุกคาม การลดผลกระทบเชิงลบหรือความน่าจะเป็นของภัยคุกคาม การถ่ายโอนภัยคุกคามทั้งหมดหรือบางส่วนไปยังฝ่ายอื่น และแม้กระทั่งการคงไว้ซึ่งผลที่อาจเกิดขึ้นหรือเกิดขึ้นจริงบางส่วนของภัยคุกคามนั้นๆ กลยุทธ์ตรงกันข้ามกับกลยุทธ์เหล่านี้สามารถนำมาใช้เพื่อตอบสนองต่อโอกาส (สถานะในอนาคตที่ไม่แน่นอนที่มีผลประโยชน์) ^{[ 7 ]}

ในฐานะบทบาทมืออาชีพผู้จัดการความเสี่ยง^{[ 8 ]}จะ "ดูแลโปรแกรมการประกันภัยและการจัดการความเสี่ยงที่ครอบคลุมขององค์กร ประเมินและระบุความเสี่ยงที่อาจขัดขวางชื่อเสียง ความปลอดภัย ความมั่นคง หรือความสำเร็จทางการเงินขององค์กร" จากนั้นจึงพัฒนาแผนเพื่อลดและ/หรือบรรเทาผลกระทบเชิงลบ (ทางการเงิน) นักวิเคราะห์ความเสี่ยง^{[ 9 ]}สนับสนุนด้านเทคนิคของแนวทางการจัดการความเสี่ยงขององค์กร: เมื่อรวบรวมและประเมินข้อมูลความเสี่ยงแล้ว นักวิเคราะห์จะแบ่งปันผลการค้นพบกับผู้จัดการ ซึ่งจะใช้ข้อมูลเชิงลึกเหล่านั้นในการตัดสินใจเลือกวิธีแก้ปัญหาที่เป็นไปได้ ดูเพิ่มเติมที่หัวหน้าเจ้าหน้าที่บริหารความเสี่ยงการตรวจสอบภายในและการจัดการความเสี่ยงทางการเงิน § การเงินขององค์กร

การแนะนำ

ความเสี่ยงถูกนิยามว่าเป็นความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้นซึ่งส่งผลเสียต่อการบรรลุเป้าหมาย^{[ 10 ]}ดังนั้น ความไม่แน่นอนจึงเป็นแง่มุมสำคัญของความเสี่ยง^{[ 11 ]}การจัดการความเสี่ยงปรากฏในวรรณกรรมทางวิทยาศาสตร์และการจัดการตั้งแต่ทศวรรษ 1920 ^{[ 12 ]}กลายเป็นวิทยาศาสตร์อย่างเป็นทางการในทศวรรษ 1950 เมื่อบทความและหนังสือที่มีคำว่า "การจัดการความเสี่ยง" อยู่ในชื่อเรื่องปรากฏในการค้นหาในห้องสมุด^{[ 13 ]}การวิจัยส่วนใหญ่ในตอนแรกเกี่ยวข้องกับการเงินและการประกันภัย^{[ 14 ]}^{[ 15 ]}มาตรฐานที่เป็นที่นิยมอย่างหนึ่งที่ชี้แจงคำศัพท์ที่ใช้ในการจัดการความเสี่ยงคือISO Guide 31073:2022 "การจัดการความเสี่ยง — คำศัพท์" ^{[ 4 ]}

ในอุดมคติของการบริหารความเสี่ยง ควรปฏิบัติตามกระบวนการจัดลำดับความสำคัญ^{[ 16 ]}โดยความเสี่ยงที่มีการสูญเสีย (หรือผลกระทบ) มากที่สุดและมีโอกาสเกิดขึ้นมากที่สุดจะได้รับการจัดการก่อน ความเสี่ยงที่มีโอกาสเกิดขึ้นน้อยกว่าและมีการสูญเสียน้อยกว่าจะได้รับการจัดการตามลำดับ ในทางปฏิบัติ กระบวนการประเมินความเสี่ยงโดยรวมอาจยุ่งยาก และองค์กรต้องสร้างสมดุลระหว่างทรัพยากรที่ใช้ในการลดความเสี่ยงที่มีโอกาสเกิดขึ้นสูงแต่มีการสูญเสียต่ำกว่า กับความเสี่ยงที่มีการสูญเสียสูงกว่าแต่มีโอกาสเกิดขึ้นต่ำกว่าต้นทุนค่าเสียโอกาสเป็นความท้าทายที่ไม่เหมือนใครสำหรับผู้จัดการความเสี่ยง อาจเป็นเรื่องยากที่จะกำหนดว่าเมื่อใดควรจัดสรรทรัพยากรเพื่อการบริหารความเสี่ยงและเมื่อใดควรใช้ทรัพยากรเหล่านั้นในที่อื่น อีกครั้ง การบริหารความเสี่ยงในอุดมคติจะเพิ่มประสิทธิภาพการใช้ทรัพยากร (การใช้จ่าย กำลังคน ฯลฯ) และลดผลกระทบเชิงลบของความเสี่ยงให้น้อยที่สุด

ความเสี่ยงเทียบกับโอกาส

แนวคิดเรื่องโอกาสเริ่มปรากฏในงานวิจัยทางวิชาการหรือหนังสือเกี่ยวกับการบริหารจัดการในช่วงทศวรรษ 1990 ร่างแรกของ PMBoK ( Project Management Body of Knowledge)ในปี 1987 ไม่ได้กล่าวถึงโอกาสเลย

โรงเรียนการจัดการโครงการสมัยใหม่ตระหนักถึงความสำคัญของโอกาส โอกาสได้รับการกล่าวถึงในวรรณกรรมการจัดการโครงการตั้งแต่ทศวรรษ 1990 เช่น ใน PMBoK และกลายเป็นส่วนสำคัญของการจัดการความเสี่ยงของโครงการในช่วงทศวรรษ 2000 ^{[ 17 ]}เมื่อบทความที่มีชื่อว่า "การจัดการโอกาส" เริ่มปรากฏในการค้นหาในห้องสมุดการจัดการโอกาสจึงกลายเป็นส่วนสำคัญของการจัดการความเสี่ยง

ทฤษฎีการจัดการความเสี่ยงสมัยใหม่กล่าวถึงเหตุการณ์ภายนอกทุกประเภท ทั้งเชิงบวกและเชิงลบ ความเสี่ยงเชิงบวกเรียกว่าโอกาสเช่นเดียวกับความเสี่ยง โอกาสก็มีกลยุทธ์การลดความเสี่ยงเฉพาะเจาะจง ได้แก่ การใช้ประโยชน์ การแบ่งปัน การเพิ่มพูน หรือการเพิกเฉย

ในทางปฏิบัติ ความเสี่ยงถือว่า "โดยทั่วไปแล้วเป็นลบ" การวิจัยและการปฏิบัติที่เกี่ยวข้องกับความเสี่ยงมุ่งเน้นไปที่ภัยคุกคามมากกว่าโอกาสอย่างมีนัยสำคัญ ซึ่งอาจนำไปสู่ปรากฏการณ์เชิงลบ เช่นการยึดติดกับเป้าหมาย^{[ 18 ]}

วิธี

โดยส่วนใหญ่ วิธีการเหล่านี้ประกอบด้วยองค์ประกอบดังต่อไปนี้ ซึ่งดำเนินการตามลำดับโดยประมาณดังนี้:

ระบุภัยคุกคาม
ประเมินความเสี่ยงของสินทรัพย์ที่สำคัญต่อภัยคุกคามเฉพาะด้าน
ประเมินความเสี่ยง (เช่น โอกาสที่คาดการณ์ไว้และผลกระทบของการโจมตีเฉพาะเจาะจงต่อสินทรัพย์เฉพาะเจาะจง)
ระบุแนวทางในการลดความเสี่ยงเหล่านั้น
ให้ความสำคัญกับมาตรการลดความเสี่ยงเป็นอันดับแรก

ขอบเขตความรู้ด้าน การบริหารความเสี่ยงตามที่กำหนดไว้ในองค์ความรู้ด้านการบริหารโครงการ (Project Management Body of Knowledgeหรือ PMBoK) ประกอบด้วยกระบวนการดังต่อไปนี้:

วางแผนการบริหารความเสี่ยง – กำหนดวิธีการดำเนินกิจกรรมการบริหารความเสี่ยง
ระบุความเสี่ยง – การระบุความเสี่ยงของโครงการแต่ละโครงการ รวมถึงแหล่งที่มาของความเสี่ยงเหล่านั้น
ดำเนินการวิเคราะห์ความเสี่ยงเชิงคุณภาพ – จัดลำดับความสำคัญของความเสี่ยงในแต่ละโครงการโดยประเมินความน่าจะเป็นและผลกระทบ
ดำเนินการวิเคราะห์ความเสี่ยงเชิงปริมาณ – การวิเคราะห์ผลกระทบในเชิงตัวเลข
วางแผนรับมือความเสี่ยง – พัฒนาทางเลือก เลือกกลยุทธ์ และดำเนินการ
ดำเนินการตอบสนองต่อความเสี่ยง – การนำแผนการตอบสนองต่อความเสี่ยงที่ตกลงกันไว้ไปใช้ ใน PMBoK ฉบับที่ 4 กระบวนการนี้ถูกรวมไว้เป็นกิจกรรมในกระบวนการตรวจสอบและควบคุม แต่ต่อมาได้แยกออกเป็นกระบวนการที่แยกต่างหากใน PMBoK ฉบับที่ 6 ^{[ 19 ]}
ตรวจสอบความเสี่ยง – การติดตามการดำเนินการ กระบวนการนี้เคยเรียกว่า การตรวจสอบและควบคุม ในคู่มือ PMBoK ฉบับที่ 4 ซึ่งรวมถึงกระบวนการ " ดำเนินการตอบสนองต่อความเสี่ยง " ด้วย

หลักการ

องค์การมาตรฐานสากล (ISO) ระบุหลักการต่อไปนี้สำหรับการจัดการความเสี่ยง: ^{[ 5 ]}

สร้างมูลค่า – ทรัพยากรที่ใช้ไปในการลดความเสี่ยงควรน้อยกว่าผลที่ตามมาจากการไม่ดำเนินการใดๆ
เป็นส่วนสำคัญของกระบวนการทำงานขององค์กร
มีส่วนร่วมในกระบวนการตัดสินใจ
ระบุถึงความไม่แน่นอนและข้อสมมติฐาน อย่างชัดเจน
ใช้กระบวนการที่เป็นระบบและมีโครงสร้าง
ใช้ข้อมูลที่มีอยู่ให้เกิดประโยชน์สูงสุด
จงมีความยืดหยุ่น
ควรคำนึงถึงปัจจัยด้านมนุษย์ด้วย
ต้องมีความโปร่งใสและครอบคลุม
ต้องมีความยืดหยุ่น ปรับเปลี่ยนได้ และตอบสนองต่อการเปลี่ยนแปลงอย่างรวดเร็ว
สามารถพัฒนาและปรับปรุงตนเองได้อย่างต่อเนื่อง
การประเมินผลอย่างต่อเนื่อง

ความเสี่ยงระดับอ่อนเทียบกับความเสี่ยงระดับสูง

เบอนัวต์ แมนเดลบร็อตแยกแยะความเสี่ยง "อ่อน" และ "รุนแรง" และโต้แย้งว่าการประเมินและการจัดการความเสี่ยงต้องแตกต่างกันโดยพื้นฐานสำหรับความเสี่ยงทั้งสองประเภท^{[ 20 ]}ความเสี่ยงอ่อนเป็นไปตามการกระจายความน่าจะเป็น แบบปกติหรือใกล้เคียงปกติอยู่ภายใต้การถดถอยสู่ค่าเฉลี่ยและกฎของจำนวนมากและจึงสามารถคาดการณ์ได้ค่อนข้างง่าย ความเสี่ยงรุนแรงเป็นไปตามการกระจายแบบหางหนาเช่น การกระจายแบบ พาเรโตหรือกฎกำลังอยู่ภายใต้การถดถอยสู่หาง (ค่าเฉลี่ยหรือความแปรปรวนอนันต์ ทำให้กฎของจำนวนมากไม่ถูกต้องหรือไม่มีประสิทธิภาพ) และจึงยากหรือเป็นไปไม่ได้ที่จะคาดการณ์ ข้อผิดพลาดทั่วไปในการประเมินและการจัดการความเสี่ยงคือการประเมินความรุนแรงของความเสี่ยงต่ำเกินไป โดยสมมติว่าความเสี่ยงนั้นอ่อนในขณะที่ความจริงแล้วมันรุนแรง ซึ่งต้องหลีกเลี่ยงหากการประเมินและการจัดการความเสี่ยงจะถูกต้องและน่าเชื่อถือ ตามที่แมนเดลบร็อตกล่าวไว้

กระบวนการ

ตามมาตรฐานISO 31000 "การจัดการความเสี่ยง - แนวทางปฏิบัติ" กระบวนการจัดการความเสี่ยงประกอบด้วยขั้นตอนต่างๆ ดังนี้: ^{[ 5 ]}

การกำหนดบริบท

ซึ่งประกอบด้วย:

การพิจารณาบริบท (สภาพแวดล้อมขององค์กร)
- ขอบเขตทางสังคมของการจัดการความเสี่ยง
- อัตลักษณ์และวัตถุประสงค์ของผู้มีส่วนได้ส่วนเสีย
- หลักเกณฑ์ที่จะใช้ในการประเมินความเสี่ยงและข้อจำกัด
การกำหนดกรอบสำหรับกิจกรรมและวาระสำหรับการระบุตัวตน
การพัฒนาการวิเคราะห์ความเสี่ยงที่เกี่ยวข้องในกระบวนการ
การลดหรือแก้ไขความเสี่ยงโดยใช้ทรัพยากรทางเทคโนโลยี บุคลากร และองค์กรที่มีอยู่

การระบุตัวตน

หลังจากกำหนดบริบทแล้ว ขั้นตอนต่อไปในกระบวนการบริหารความเสี่ยงคือการระบุความเสี่ยงที่อาจเกิดขึ้น ความเสี่ยงเกี่ยวข้องกับเหตุการณ์ที่เมื่อเกิดขึ้นแล้วจะก่อให้เกิดปัญหาหรือผลประโยชน์ ดังนั้น การระบุความเสี่ยงสามารถเริ่มต้นได้จากแหล่งที่มาของปัญหาและคู่แข่ง (ผลประโยชน์) หรือจากผลที่ตามมาของปัญหา

การวิเคราะห์แหล่งที่มา^{[ 21 ]} – แหล่งที่มาของความเสี่ยงอาจเป็นภายในหรือภายนอกระบบที่เป็นเป้าหมายของการจัดการความเสี่ยง (ใช้การบรรเทาแทนการจัดการ เนื่องจากตามนิยามของความเสี่ยงเองนั้นเกี่ยวข้องกับปัจจัยในการตัดสินใจที่ไม่สามารถจัดการได้)

ตัวอย่างของแหล่งที่มาของความเสี่ยง ได้แก่ ผู้มีส่วนได้ส่วนเสียในโครงการ พนักงานของบริษัท หรือสภาพอากาศเหนือสนามบิน

การวิเคราะห์ปัญหา – ความเสี่ยงเกี่ยวข้องกับภัยคุกคามที่ระบุไว้ ตัวอย่างเช่น ภัยคุกคามจากการสูญเสียเงิน ภัยคุกคามจากการนำข้อมูลลับไปใช้ในทางที่ผิด หรือภัยคุกคามจากความผิดพลาดของมนุษย์ อุบัติเหตุ และการบาดเจ็บล้มตาย ภัยคุกคามเหล่านี้อาจเกิดขึ้นกับหลายฝ่าย โดยที่สำคัญที่สุดคือผู้ถือหุ้น ลูกค้า และหน่วยงานด้านกฎหมาย เช่น รัฐบาล

เมื่อทราบแหล่งที่มาหรือปัญหาแล้ว ก็สามารถตรวจสอบเหตุการณ์ที่แหล่งที่มานั้นอาจก่อให้เกิด หรือเหตุการณ์ที่อาจนำไปสู่ปัญหาได้ ตัวอย่างเช่น การที่ผู้มีส่วนได้ส่วนเสียถอนตัวระหว่างโครงการอาจทำให้การจัดหาเงินทุนของโครงการตกอยู่ในอันตราย ข้อมูลที่เป็นความลับอาจถูกขโมยโดยพนักงานแม้ภายในเครือข่ายปิด การที่ฟ้าผ่าเครื่องบินขณะกำลังขึ้นบินอาจทำให้ผู้โดยสารและลูกเรือเสียชีวิตทันที

วิธีการเลือกใช้ในการระบุความเสี่ยงอาจขึ้นอยู่กับวัฒนธรรม แนวปฏิบัติในอุตสาหกรรม และข้อกำหนดต่างๆ วิธีการระบุความเสี่ยงนั้นเกิดขึ้นจากแม่แบบหรือการพัฒนาแม่แบบสำหรับการระบุแหล่งที่มา ปัญหา หรือเหตุการณ์ วิธีการระบุความเสี่ยงที่ใช้กันทั่วไป ได้แก่:

การระบุความเสี่ยงโดยอิงตามวัตถุประสงค์ – องค์กรและทีมงานโครงการมีวัตถุประสงค์ เหตุการณ์ใดๆ ที่อาจขัดขวางการบรรลุวัตถุประสงค์จะถูกระบุว่าเป็นความเสี่ยง
การระบุความเสี่ยงโดยใช้สถานการณ์จำลอง – ในการวิเคราะห์สถานการณ์จำลองจะมีการสร้างสถานการณ์จำลองต่างๆ ขึ้นมา สถานการณ์จำลองเหล่านั้นอาจเป็นวิธีการทางเลือกต่างๆ ในการบรรลุเป้าหมาย หรือเป็นการวิเคราะห์ปฏิสัมพันธ์ของแรงต่างๆ ในสถานการณ์ เช่น ตลาดหรือการสู้รบ เหตุการณ์ใดๆ ที่กระตุ้นให้เกิดสถานการณ์จำลองทางเลือกที่ไม่พึงประสงค์ จะถูกระบุว่าเป็นความเสี่ยง – ดู วิธีการที่ นักอนาคตศาสตร์ใช้ได้ในหัวข้อการศึกษาอนาคต (Futures Studies )
การระบุความเสี่ยงตามระบบจำแนกประเภท – ระบบจำแนกประเภทในการระบุความเสี่ยงตามระบบจำแนกประเภทคือการจำแนกแหล่งที่มาของความเสี่ยงที่เป็นไปได้ โดยอิงตามระบบจำแนกประเภทและความรู้เกี่ยวกับแนวปฏิบัติที่ดีที่สุด จะมีการรวบรวมแบบสอบถาม คำตอบของคำถามจะเปิดเผยความเสี่ยง^{[ 22 ]}
การตรวจสอบความเสี่ยงทั่วไป^{[ 23 ]} – ในหลายอุตสาหกรรม มีรายการความเสี่ยงที่ทราบอยู่แล้ว ความเสี่ยงแต่ละรายการในรายการสามารถตรวจสอบเพื่อนำไปใช้กับสถานการณ์เฉพาะได้^{[ 24 ]}
การจัด ทำแผนภูมิความเสี่ยง^{[ 25 ]} – วิธีนี้รวมวิธีการข้างต้นเข้าด้วยกันโดยการระบุทรัพยากรที่มีความเสี่ยง ภัยคุกคามต่อทรัพยากรเหล่านั้น ปัจจัยปรับเปลี่ยนที่อาจเพิ่มหรือลดความเสี่ยง และผลที่ตามมาที่ต้องการหลีกเลี่ยง การสร้างเมทริกซ์ภายใต้หัวข้อเหล่านี้ทำให้สามารถใช้วิธีการที่หลากหลายได้ อาจเริ่มต้นด้วยทรัพยากรและพิจารณาภัยคุกคามที่ทรัพยากรเหล่านั้นเผชิญและผลที่ตามมาของแต่ละภัยคุกคาม หรืออาจเริ่มต้นด้วยภัยคุกคามและตรวจสอบว่าทรัพยากรใดที่จะได้รับผลกระทบ หรืออาจเริ่มต้นด้วยผลที่ตามมาและพิจารณาว่าภัยคุกคามและทรัพยากรใดบ้างที่จะเกี่ยวข้องเพื่อให้เกิดผลที่ตามมานั้น

การประเมิน

เมื่อระบุความเสี่ยงแล้ว จะต้องประเมินความรุนแรงของผลกระทบที่อาจเกิดขึ้น (โดยทั่วไปคือผลกระทบเชิงลบ เช่น ความเสียหายหรือการสูญเสีย) และความน่าจะเป็นของการเกิดขึ้น ^{[ 26 ]} ปริมาณเหล่านี้อาจวัดได้ง่าย เช่น ในกรณีของมูลค่าของอาคารที่สูญหาย หรือเป็นไปไม่ได้ที่จะทราบแน่ชัดในกรณีของเหตุการณ์ที่ไม่น่าจะเกิดขึ้น ซึ่งความน่าจะเป็นของการเกิดขึ้นนั้นไม่เป็นที่ทราบ ดังนั้น ในกระบวนการประเมิน จึงจำเป็นอย่างยิ่งที่จะต้องตัดสินใจอย่างรอบคอบที่สุดเพื่อจัดลำดับความสำคัญของการดำเนินการตามแผนการ จัดการความเสี่ยง อย่างเหมาะสม

แม้แต่การปรับปรุงในเชิงบวกในระยะสั้นก็อาจส่งผลกระทบเชิงลบในระยะยาวได้ ลองพิจารณาตัวอย่าง "ทางด่วน" ทางหลวงถูกขยายเพื่อรองรับปริมาณการจราจรที่มากขึ้น ความจุการจราจรที่เพิ่มขึ้นนำไปสู่การพัฒนาที่มากขึ้นในพื้นที่โดยรอบที่ได้รับการปรับปรุง เมื่อเวลาผ่านไป การจราจรจึงเพิ่มขึ้นจนเต็มความจุที่มีอยู่ ดังนั้นทางด่วนจึงจำเป็นต้องขยายออกไปในวงจรที่ดูเหมือนไม่มีที่สิ้นสุด มีตัวอย่างทางวิศวกรรมอื่นๆ อีกมากมายที่ความจุที่ขยายออกไป (เพื่อทำหน้าที่ใดๆ ก็ตาม) มักจะเต็มด้วยความต้องการที่เพิ่มขึ้นในไม่ช้า เนื่องจากการขยายตัวย่อมมีต้นทุน การเติบโตที่เกิดขึ้นจึงอาจไม่ยั่งยืนหากไม่มีการคาดการณ์และการจัดการ

ความยากลำบากพื้นฐานในการประเมินความเสี่ยงคือการกำหนดอัตราการเกิด เนื่องจากข้อมูลทางสถิติไม่สามารถหาได้สำหรับเหตุการณ์ในอดีตทุกประเภท และยิ่งน้อยลงไปอีกในกรณีของเหตุการณ์ร้ายแรง เนื่องจากเกิดขึ้นไม่บ่อยนัก นอกจากนี้ การประเมินความรุนแรงของผลกระทบมักทำได้ยากมากสำหรับสินทรัพย์ที่จับต้องไม่ได้ การประเมินมูลค่าสินทรัพย์เป็นอีกประเด็นหนึ่งที่ต้องพิจารณา ดังนั้น ความเห็นของผู้เชี่ยวชาญและสถิติที่มีอยู่จึงเป็นแหล่งข้อมูลหลัก อย่างไรก็ตาม การประเมินความเสี่ยงควรสร้างข้อมูลสำหรับผู้บริหารระดับสูงขององค์กรเพื่อให้เข้าใจความเสี่ยงหลักได้ง่าย และสามารถจัดลำดับความสำคัญของการตัดสินใจด้านการจัดการความเสี่ยงให้สอดคล้องกับเป้าหมายโดยรวมของบริษัท ดังนั้นจึงมีทฤษฎีและความพยายามหลายอย่างในการวัดปริมาณความเสี่ยง มีสูตรความเสี่ยงที่แตกต่างกันมากมาย แต่สูตรที่ได้รับการยอมรับมากที่สุดสำหรับการวัดปริมาณความเสี่ยงคือ: "อัตรา (หรือความน่าจะเป็น) ของการเกิดคูณด้วยผลกระทบของเหตุการณ์เท่ากับขนาดของความเสี่ยง"

ตัวเลือกความเสี่ยง

มาตรการลดความเสี่ยงมักถูกกำหนดขึ้นตามตัวเลือกความเสี่ยงหลักอย่างน้อยหนึ่งข้อต่อไปนี้ ซึ่งได้แก่:

ออกแบบกระบวนการทางธุรกิจใหม่โดยมีการควบคุมและจำกัดความเสี่ยงที่เหมาะสมตั้งแต่เริ่มต้น
ประเมินความเสี่ยงที่ยอมรับได้ในกระบวนการดำเนินงานปกติของธุรกิจเป็นระยะ และปรับเปลี่ยนมาตรการลดความเสี่ยงให้เหมาะสม
โอนความเสี่ยงไปยังหน่วยงานภายนอก (เช่น บริษัทประกันภัย)
หลีกเลี่ยงความเสี่ยงโดยสิ้นเชิง (เช่น โดยการปิดส่วนธุรกิจที่มีความเสี่ยงสูงโดยเฉพาะ)

งานวิจัยในภายหลังแสดงให้เห็นว่า ผลประโยชน์ทางการเงินของการบริหารความเสี่ยงนั้นขึ้นอยู่กับความถี่และวิธีการประเมินความเสี่ยงมากกว่าสูตรที่ใช้

ในภาคธุรกิจ จำเป็นอย่างยิ่งที่จะต้องสามารถนำเสนอผลการประเมินความเสี่ยงในแง่ของการเงิน ตลาด หรือตารางเวลา โรเบิร์ต คอร์ทนีย์ จูเนียร์ (IBM, 1970) ได้เสนอสูตรสำหรับการนำเสนอความเสี่ยงในแง่ของการเงิน สูตรของคอร์ทนีย์ได้รับการยอมรับให้เป็นวิธีการวิเคราะห์ความเสี่ยงอย่างเป็นทางการสำหรับหน่วยงานรัฐบาลของสหรัฐอเมริกา สูตรนี้เสนอการคำนวณ ALE (ค่าคาดการณ์ความสูญเสียรายปี) และเปรียบเทียบมูลค่าความสูญเสียที่คาดการณ์ไว้กับต้นทุนการดำเนินการควบคุมความปลอดภัย ( การวิเคราะห์ต้นทุนและผลประโยชน์ )

การรักษาที่มีความเสี่ยงที่อาจเกิดขึ้น

การวางแผนการจัดการความเสี่ยงใช้เทคนิคสำคัญสี่ประการ ภายใต้เทคนิคการยอมรับ ธุรกิจจะรับความเสี่ยงโดยเจตนาโดยไม่มีการคุ้มครองทางการเงิน โดยหวังว่าผลกำไรที่อาจเกิดขึ้นจะมากกว่าการขาดทุนที่คาดการณ์ไว้ วิธีการโอนย้ายจะปกป้องธุรกิจจากการขาดทุนโดยการถ่ายโอนความเสี่ยงไปยังบุคคลที่สาม ซึ่งมักจะแลกเปลี่ยนกับค่าธรรมเนียม ในขณะที่บุคคลที่สามได้รับประโยชน์จากโครงการ กลยุทธ์การหลีกเลี่ยงคือการเลือกที่จะไม่เข้าร่วมในโครงการที่มีความเสี่ยงสูง ซึ่งช่วยหลีกเลี่ยงการขาดทุน แต่ก็สูญเสียโอกาสไปด้วย สุดท้ายแต่ไม่ท้ายสุด วิธีการลดความเสี่ยงจะช่วยลดความเสี่ยงโดยการใช้กลยุทธ์ต่างๆ เช่น การประกันภัย ซึ่งให้การคุ้มครองสำหรับสินทรัพย์หลายประเภทและรับประกันการชดเชยในกรณีที่เกิดความเสียหาย^{[ 27 ]}

เมื่อระบุและประเมินความเสี่ยงแล้ว เทคนิคทั้งหมดในการจัดการความเสี่ยงจะอยู่ในหมวดหมู่หลักสี่ประการต่อไปนี้: ^{[ 28 ]}

การหลีกเลี่ยง (กำจัด ถอนตัว หรือไม่เข้าไปเกี่ยวข้อง)
การลดลง (ปรับให้เหมาะสม – บรรเทา)
การแบ่งปัน (การโอนย้าย – จ้างบุคคลภายนอกหรือทำประกัน)
การรักษาฐานลูกค้า (การยอมรับและงบประมาณ)

การใช้ กลยุทธ์ควบคุมความเสี่ยงเหล่านี้อย่างเหมาะสมที่สุดอาจเป็นไปไม่ได้ บางกลยุทธ์อาจเกี่ยวข้องกับการแลกเปลี่ยนที่ไม่เป็นที่ยอมรับสำหรับองค์กรหรือบุคคลที่ทำการตัดสินใจด้านการจัดการความเสี่ยง แหล่งข้อมูลอีกแหล่งหนึ่งจากกระทรวงกลาโหมสหรัฐฯ (ดูลิงก์) Defense Acquisition Universityเรียกหมวดหมู่เหล่านี้ว่า ACAT ซึ่งย่อมาจาก Avoid (หลีกเลี่ยง), Control (ควบคุม), Accept (ยอมรับ) หรือ Transfer (โอนถ่าย) การใช้คำย่อ ACAT ในลักษณะนี้ชวนให้นึกถึง ACAT อีกแบบหนึ่ง (Acquisition Category) ที่ใช้ในการจัดซื้อจัดจ้างในอุตสาหกรรมกลาโหมของสหรัฐฯ ซึ่งการจัดการความเสี่ยงมีบทบาทสำคัญในการตัดสินใจและการวางแผน

เช่นเดียวกับความเสี่ยง โอกาสก็มีกลยุทธ์ในการลดความเสี่ยงที่เฉพาะเจาะจงเช่นกัน ได้แก่ การใช้ประโยชน์ การแบ่งปัน การเพิ่มพูน และการเพิกเฉย

การหลีกเลี่ยงความเสี่ยง

ซึ่งรวมถึงการไม่ดำเนินกิจกรรมที่อาจก่อให้เกิดความเสี่ยง การปฏิเสธที่จะซื้ออสังหาริมทรัพย์หรือธุรกิจเพื่อหลีกเลี่ยงความรับผิดทางกฎหมายก็เป็นตัวอย่างหนึ่ง การหลีกเลี่ยง เที่ยว บินเพราะกลัวการถูกจี้การหลีกเลี่ยงอาจดูเหมือนเป็นคำตอบสำหรับความเสี่ยงทั้งหมด แต่การหลีกเลี่ยงความเสี่ยงยังหมายถึงการสูญเสียผลกำไรที่อาจเกิดขึ้นจากการยอมรับ (การคงไว้) ความเสี่ยงนั้น การไม่เข้าสู่ธุรกิจเพื่อหลีกเลี่ยงความเสี่ยงที่จะขาดทุนยังหมายถึงการหลีกเลี่ยงโอกาสที่จะได้รับผลกำไร การควบคุมความเสี่ยงที่เพิ่มขึ้นในโรงพยาบาลนำไปสู่การหลีกเลี่ยงการรักษาภาวะที่มีความเสี่ยงสูง โดยหันไปรักษาผู้ป่วยที่มีความเสี่ยงต่ำกว่าแทน^{[ 29 ]}

การลดความเสี่ยง

การลดความเสี่ยงหรือ "การเพิ่มประสิทธิภาพ" เกี่ยวข้องกับการลดความรุนแรงของความเสียหายหรือโอกาสที่จะเกิดความเสียหาย ตัวอย่างเช่นระบบฉีดน้ำดับเพลิงถูกออกแบบมาเพื่อดับไฟเพื่อลดความเสี่ยงจากความเสียหายจากไฟไหม้ วิธีนี้อาจทำให้เกิดความเสียหายจากน้ำมากขึ้น ดังนั้นจึงอาจไม่เหมาะสม ระบบดับเพลิงด้วยสาร ฮาลอนอาจช่วยลดความเสี่ยงนั้นได้ แต่ต้นทุนอาจสูงเกินไปจนไม่คุ้มค่าที่จะนำมา ใช้

การยอมรับว่าความเสี่ยงอาจเป็นได้ทั้งเชิงบวกหรือเชิงลบ การเพิ่มประสิทธิภาพความเสี่ยงหมายถึงการหาความสมดุลระหว่างความเสี่ยงเชิงลบและผลประโยชน์ของการดำเนินงานหรือกิจกรรม และระหว่างการลดความเสี่ยงและความพยายามที่ใช้ โดยการประยุกต์ใช้ มาตรฐานการจัดการด้าน สุขภาพ ความปลอดภัย และสิ่งแวดล้อม (HSE) อย่างมีประสิทธิภาพ องค์กรต่างๆ สามารถบรรลุระดับความเสี่ยงที่เหลืออยู่ที่ ยอมรับได้ ^{[ 30 ]}

วิธีการพัฒนาซอฟต์แวร์สมัยใหม่ช่วยลดความเสี่ยงโดยการพัฒนาและส่งมอบซอฟต์แวร์ทีละขั้นตอน วิธีการแบบดั้งเดิมมีข้อเสียคือส่งมอบซอฟต์แวร์เฉพาะในขั้นตอนสุดท้ายของการพัฒนาเท่านั้น ปัญหาใดๆ ที่พบในขั้นตอนก่อนหน้านั้นหมายถึงการทำงานซ้ำที่สิ้นเปลืองและมักเป็นอันตรายต่อโครงการทั้งหมด การพัฒนาแบบวนซ้ำช่วยให้โครงการซอฟต์แวร์จำกัดความพยายามที่สูญเปล่าให้อยู่ในรอบการพัฒนาเดียวได้

การเอาต์ซอร์สซิ่งอาจเป็นตัวอย่างของกลยุทธ์การแบ่งปันความเสี่ยง หากเอาต์ซอร์สซิ่งสามารถแสดงให้เห็นถึงความสามารถที่สูงขึ้นในการจัดการหรือลดความเสี่ยงได้^{[ 31 ]}ตัวอย่างเช่น บริษัทอาจเอาต์ซอร์สซิ่งเฉพาะการพัฒนาซอฟต์แวร์ การผลิตสินค้า หรือความต้องการด้านการสนับสนุนลูกค้าให้กับบริษัทอื่น ในขณะที่ยังคงจัดการธุรกิจเอง ด้วยวิธีนี้ บริษัทสามารถมุ่งเน้นไปที่การพัฒนาธุรกิจได้มากขึ้นโดยไม่ต้องกังวลมากนักเกี่ยวกับกระบวนการผลิต การจัดการทีมพัฒนา หรือการหาสถานที่ตั้งศูนย์ นอกจากนี้ การนำระบบควบคุมมาใช้ก็เป็นอีกทางเลือกหนึ่งในการลดความเสี่ยง ระบบควบคุมที่ตรวจจับสาเหตุของเหตุการณ์ที่ไม่พึงประสงค์ก่อนที่จะเกิดผลกระทบระหว่างการใช้ผลิตภัณฑ์ หรือการตรวจจับสาเหตุหลักของความล้มเหลวที่ไม่พึงประสงค์ที่ทีมสามารถหลีกเลี่ยงได้ ระบบควบคุมอาจมุ่งเน้นไปที่กระบวนการจัดการหรือการตัดสินใจ ทั้งหมดนี้อาจช่วยให้ตัดสินใจได้ดีขึ้นเกี่ยวกับความเสี่ยง^{[ 32 ]}

การแบ่งปันความเสี่ยง

โดยสรุปแล้ว หมายถึง "การแบ่งปันภาระความสูญเสียหรือผลประโยชน์จากความเสี่ยงกับอีกฝ่ายหนึ่ง รวมถึงมาตรการในการลดความเสี่ยง"

คำว่า "การโอนความเสี่ยง" มักถูกใช้แทนคำว่า "การแบ่งปันความเสี่ยง" ด้วยความเข้าใจผิดว่าสามารถโอนความเสี่ยงไปยังบุคคลที่สามได้ผ่านการประกันภัยหรือการว่าจ้างภายนอก ในทางปฏิบัติ หากบริษัทประกันภัยหรือผู้รับเหมาล้มละลายหรือถูกฟ้องร้อง ความเสี่ยงเดิมก็มักจะกลับไปอยู่ที่ฝ่ายแรกอยู่ดี ดังนั้น ในศัพท์เฉพาะของผู้ปฏิบัติงานและนักวิชาการ การซื้อสัญญาประกันภัยจึงมักถูกอธิบายว่าเป็น "การโอนความเสี่ยง" อย่างไรก็ตาม ในทางเทคนิคแล้ว ผู้ซื้อสัญญายังคงรับผิดชอบทางกฎหมายต่อความสูญเสียที่ "โอน" ไป ซึ่งหมายความว่าการประกันภัยอาจถูกอธิบายได้แม่นยำกว่าว่าเป็นกลไกการชดเชยหลังเกิดเหตุ ตัวอย่างเช่น กรมธรรม์ประกันภัยการบาดเจ็บส่วนบุคคลไม่ได้โอนความเสี่ยงจากอุบัติเหตุทางรถยนต์ไปยังบริษัทประกันภัย ความเสี่ยงยังคงอยู่กับผู้ถือกรมธรรม์ กล่าวคือ บุคคลที่ประสบอุบัติเหตุ กรมธรรม์ประกันภัยเพียงระบุว่า หากเกิดอุบัติเหตุ (เหตุการณ์) ที่เกี่ยวข้องกับผู้ถือกรมธรรม์ อาจมีการจ่ายค่าชดเชยให้แก่ผู้ถือกรมธรรม์ตามความทุกข์ทรมาน/ความเสียหายที่เกิดขึ้น

วิธีการจัดการความเสี่ยงแบ่งออกเป็นหลายประเภท การรวมกลุ่มเพื่อรับความเสี่ยง (Risk-retention pools) นั้น ในทางเทคนิคแล้วเป็นการรับความเสี่ยงไว้สำหรับกลุ่ม แต่การกระจายความเสี่ยงไปทั่วทั้งกลุ่มนั้นเกี่ยวข้องกับการโอนความเสี่ยงระหว่างสมาชิกแต่ละคนในกลุ่ม ซึ่งแตกต่างจากการประกันภัยแบบดั้งเดิมตรงที่ไม่มีการจ่ายเบี้ยประกันล่วงหน้าระหว่างสมาชิกในกลุ่ม แต่ความเสียหายจะถูกประเมินให้กับสมาชิกทุกคนในกลุ่มแทน

การถือครองความเสี่ยง

การคงความเสี่ยงไว้ หมายถึง การยอมรับความสูญเสีย หรือผลประโยชน์ที่ได้รับจากความเสี่ยงเมื่อเหตุการณ์เกิดขึ้นการประกันตนเอง อย่างแท้จริง จัดอยู่ในประเภทนี้ การคงความเสี่ยงไว้เป็นกลยุทธ์ที่ใช้ได้ผลสำหรับความเสี่ยงเล็กน้อย ซึ่งต้นทุนในการประกันความเสี่ยงนั้นจะสูงกว่าความสูญเสียทั้งหมดที่เกิดขึ้นในระยะยาว ความเสี่ยงทั้งหมดที่ไม่สามารถหลีกเลี่ยงหรือโอนถ่ายได้จะถูกคงไว้โดยปริยาย ซึ่งรวมถึงความเสี่ยงที่มีขนาดใหญ่หรือร้ายแรงมากจนไม่สามารถประกันได้ หรือเบี้ยประกันสูงเกินไปสงครามเป็นตัวอย่างหนึ่ง เนื่องจากทรัพย์สินและความเสี่ยงส่วนใหญ่ไม่ได้ประกันไว้ ดังนั้นความสูญเสียที่เกิดจากสงครามจึงตกอยู่กับผู้เอาประกัน นอกจากนี้ จำนวนความสูญเสีย (ความเสี่ยง) ที่อาจเกิดขึ้นเกินกว่าจำนวนเงินที่ประกันไว้ก็ถือเป็นความเสี่ยงที่คงไว้เช่นกัน ซึ่งอาจยอมรับได้หากโอกาสที่จะเกิดความสูญเสียครั้งใหญ่มีน้อย หรือหากต้นทุนในการประกันความคุ้มครองที่สูงกว่านั้นสูงมากจนขัดขวางเป้าหมายขององค์กรมากเกินไป

แผนการบริหารความเสี่ยง

เลือกมาตรการควบคุมหรือมาตรการรับมือที่เหมาะสมเพื่อลดความเสี่ยงแต่ละอย่าง การลดความเสี่ยงต้องได้รับการอนุมัติจากผู้บริหารในระดับที่เหมาะสม ตัวอย่างเช่น ความเสี่ยงที่เกี่ยวข้องกับภาพลักษณ์ขององค์กรควรได้รับการตัดสินใจจากผู้บริหารระดับสูง ในขณะที่ฝ่ายบริหารด้านไอทีจะมีอำนาจในการตัดสินใจเกี่ยวกับความเสี่ยงจากไวรัสคอมพิวเตอร์

แผนการจัดการความเสี่ยงควรเสนอการควบคุมความปลอดภัยที่เหมาะสมและมีประสิทธิภาพสำหรับการจัดการความเสี่ยง ตัวอย่างเช่น ความเสี่ยงสูงที่สังเกตได้จากไวรัสคอมพิวเตอร์สามารถลดลงได้โดยการจัดหาและใช้งานซอฟต์แวร์ป้องกันไวรัส แผนการจัดการความเสี่ยงที่ดีควรมีกำหนดการสำหรับการดำเนินการควบคุมและผู้รับผิดชอบสำหรับการดำเนินการเหล่านั้น มีขั้นตอนพื้นฐานสี่ขั้นตอนของแผนการจัดการความเสี่ยง ได้แก่ การประเมินภัยคุกคาม การประเมินช่องโหว่ การประเมินผลกระทบ และการพัฒนากลยุทธ์การลดความเสี่ยง^{[ 33 ]}

ตามมาตรฐาน ISO/IEC 27001ขั้นตอนถัดจากขั้น ตอน การประเมินความเสี่ยงคือการจัดทำแผนการจัดการความเสี่ยง ซึ่งควรบันทึกการตัดสินใจเกี่ยวกับวิธีการจัดการความเสี่ยงแต่ละรายการที่ระบุไว้ การลดความเสี่ยงมักหมายถึงการเลือกมาตรการควบคุมความปลอดภัยซึ่งควรบันทึกไว้ในคำแถลงการบังคับใช้ โดยระบุว่าได้เลือกวัตถุประสงค์และมาตรการควบคุมใดจากมาตรฐาน และเพราะเหตุใด

การดำเนินการ

การดำเนินการหมายถึงการนำวิธีการทั้งหมดที่วางแผนไว้มาใช้เพื่อลดผลกระทบของความเสี่ยง ซึ่งรวมถึงการซื้อกรมธรรม์ประกันภัยสำหรับความเสี่ยงที่ได้ตัดสินใจโอนไปยังบริษัทประกันภัย การหลีกเลี่ยงความเสี่ยงทั้งหมดที่สามารถหลีกเลี่ยงได้โดยไม่กระทบต่อเป้าหมายขององค์กร การลดความเสี่ยงอื่นๆ และการคงไว้ซึ่งส่วนที่เหลือ

การทบทวนและประเมินแผน

แผนการบริหารความเสี่ยงเบื้องต้นจะไม่มีทางสมบูรณ์แบบ การปฏิบัติ ประสบการณ์ และผลพวงจากการสูญเสียจริง จะทำให้จำเป็นต้องมีการเปลี่ยนแปลงแผน และให้ข้อมูลที่จะช่วยให้สามารถตัดสินใจแตกต่างออกไปในการรับมือกับความเสี่ยงที่เผชิญอยู่ได้

ผล การวิเคราะห์ความเสี่ยงและแผนการจัดการความเสี่ยงควรได้รับการปรับปรุงอย่างสม่ำเสมอ โดยมีเหตุผลหลักสองประการดังนี้:

เพื่อประเมินว่ามาตรการควบคุมความปลอดภัยที่เลือกไว้ก่อนหน้านี้ยังคงใช้ได้และมีประสิทธิภาพหรือไม่
เพื่อประเมินระดับความเสี่ยงที่อาจเปลี่ยนแปลงไปในสภาพแวดล้อมทางธุรกิจ ตัวอย่างเช่น ความเสี่ยงด้านข้อมูลเป็นตัวอย่างที่ดีของสภาพแวดล้อมทางธุรกิจที่เปลี่ยนแปลงอย่างรวดเร็ว

พื้นที่

องค์กร

การจัดการความเสี่ยงขององค์กร (ERM) นิยามความเสี่ยงว่าเป็นเหตุการณ์หรือสถานการณ์ที่อาจเกิดขึ้นซึ่งอาจส่งผลเสียต่อองค์กรโดยผลกระทบอาจส่งผลต่อการดำรงอยู่ ทรัพยากร (มนุษย์และทุน) ผลิตภัณฑ์และบริการ หรือลูกค้าขององค์กร รวมถึงผลกระทบภายนอกต่อสังคม ตลาด หรือสิ่งแวดล้อม มีกรอบการทำงานที่กำหนดไว้หลากหลายซึ่งความเสี่ยงที่อาจเกิดขึ้นแต่ละอย่างสามารถมีแผนที่กำหนดไว้ล่วงหน้าเพื่อจัดการกับผลที่ตามมา (เพื่อให้แน่ใจว่ามีการเตรียมพร้อมหากความเสี่ยงกลายเป็นภาระผูกพัน ) ดังนั้น ผู้จัดการจึงวิเคราะห์และตรวจสอบทั้งสภาพแวดล้อมภายในและภายนอกที่องค์กรเผชิญอยู่ โดยจัดการ กับ ความเสี่ยงทางธุรกิจโดยทั่วไป และผลกระทบใดๆ ต่อการบรรลุเป้าหมายเชิงกลยุทธ์ ขององค์กร ERM จึงทับซ้อนกับสาขาวิชาอื่นๆ หลายสาขา เช่นการจัดการความเสี่ยงด้านการดำเนินงานการจัดการความเสี่ยงด้านการเงินเป็นต้น แต่มีความแตกต่างกันที่การมุ่งเน้นเชิงกลยุทธ์และระยะยาว^{[ 34 ]}ระบบ ERM มักมุ่งเน้นไปที่การปกป้องชื่อเสียง โดยตระหนักถึงบทบาทสำคัญในกลยุทธ์การจัดการความเสี่ยงที่ครอบคลุม^{[ 35 ]}

การเงิน

เมื่อนำมาประยุกต์ใช้ในด้านการเงินการบริหารความเสี่ยงเกี่ยวข้องกับเทคนิคและแนวปฏิบัติในการวัด ตรวจสอบ และควบคุม ความเสี่ยง ด้านตลาดและเครดิต (รวมถึงความเสี่ยงด้านการดำเนินงาน ) ใน งบดุลของบริษัทอันเนื่องมาจากความเสี่ยงด้านเครดิตและการซื้อขายของธนาคาร หรือเกี่ยวกับมูลค่าพอร์ตการลงทุนของผู้จัดการกองทุน สำหรับภาพรวม โปรดดูที่ การเงิน § การบริหารความเสี่ยง

มาตรการดั้งเดิมในภาคการธนาคารคือมูลค่าความเสี่ยง (Value at Riskหรือ VaR) ซึ่งหมายถึงการสูญเสียที่อาจเกิดขึ้นจากเหตุการณ์ด้านเครดิตและตลาดที่ไม่พึงประสงค์ ธนาคารต่างพยายามป้องกันความเสี่ยงเหล่านี้ และจะถือเงินทุนสำรอง ไว้ สำหรับสถานะสุทธิ กรอบงาน Basel IIIกำหนด ข้อกำหนด ด้านเงินทุนตามกฎระเบียบ คู่ขนาน รวมถึงความเสี่ยงด้านการดำเนินงานด้วย
ผู้จัดการกองทุนใช้กลยุทธ์ต่างๆเพื่อปกป้องมูลค่าของกองทุน โดยอิงตามขอบเขตอำนาจหน้าที่และ ดัชนี อ้างอิงของ กองทุน
บริษัทที่ไม่ใช่สถาบันการเงินจะมุ่งเน้นไปที่ความเสี่ยงทางธุรกิจโดยทั่วไป ซึ่งทับซ้อนกับการบริหารความเสี่ยงขององค์กรกล่าวคือ เหตุการณ์และสถานการณ์ที่อาจส่งผลกระทบในเชิงลบต่อกระแสเงินสดหรือผลกำไร และส่งผลให้มูลค่าธุรกิจ ลดลงหรือ ราคาหุ้นตกต่ำลง

การจัดการความเสี่ยงตามสัญญา

แนวคิดเรื่อง "การจัดการความเสี่ยงตามสัญญา" เน้นการใช้เทคนิคการจัดการความเสี่ยงในการทำสัญญา กล่าวคือ การจัดการความเสี่ยงที่ยอมรับผ่านการทำสัญญา นักวิชาการชาวนอร์เวย์ Petri Keskitalo นิยาม "การจัดการความเสี่ยงตามสัญญา" ว่าเป็น "วิธีการทำสัญญาเชิงปฏิบัติ เชิงรุก และเป็นระบบที่ใช้การวางแผนและการกำกับดูแลสัญญาเพื่อจัดการความเสี่ยงที่เกี่ยวข้องกับกิจกรรมทางธุรกิจ" ^{[ 36 ]}ในบทความของ Samuel Greengard ที่ตีพิมพ์ในปี 2010 มีการกล่าวถึงคดีทางกฎหมายของสหรัฐฯ สองคดีที่เน้นความสำคัญของการมีกลยุทธ์ในการจัดการความเสี่ยง: ^{[ 37 ]}

UDC v. CH2M Hillซึ่งเกี่ยวข้องกับความเสี่ยงต่อที่ปรึกษามืออาชีพที่ลงนามใน ข้อกำหนด การชดเชยซึ่งรวมถึงการยอมรับหน้าที่ในการปกป้องซึ่งอาจต้องรับภาระค่าใช้จ่ายทางกฎหมายในการปกป้องลูกค้าที่ถูกเรียกร้องจากบุคคลที่สาม^{[ 38 ]}
Witt v. La Gorce Country Club ซึ่งเกี่ยวข้องกับประสิทธิผลของ ข้อ จำกัดความรับผิดซึ่งในบางเขตอำนาจศาลอาจพบว่าไม่มีผลบังคับใช้^{[ 39 ]}

Greengard แนะนำให้ใช้ภาษาสัญญามาตรฐานอุตสาหกรรมให้มากที่สุดเท่าที่จะเป็นไปได้เพื่อลดความเสี่ยงให้มากที่สุดเท่าที่จะเป็นไปได้ และอาศัยข้อกำหนดที่ใช้กันมานานหลายปีและอยู่ภายใต้การตีความของศาลที่กำหนดไว้แล้ว^{[ 37 ]}

ศุลกากร

การจัดการความเสี่ยงด้านศุลกากรเกี่ยวข้องกับความเสี่ยงที่เกิดขึ้นในบริบทของการค้าระหว่างประเทศและมีผลต่อความปลอดภัยและความมั่นคง รวมถึงความเสี่ยงที่ยาเสพติดผิดกฎหมายและสินค้าปลอมแปลงสามารถผ่านพรมแดนได้ และความเสี่ยงที่สินค้าและสิ่งของภายในสินค้าจะถูกสำแดงอย่างไม่ถูกต้อง^{[ 40 ]}สหภาพยุโรปได้นำกรอบการจัดการความเสี่ยงด้านศุลกากร (CRMF) มาใช้ ซึ่งใช้ได้ทั่วทั้งสหภาพและทั่วทั้งรัฐสมาชิกโดยมีเป้าหมายรวมถึงการสร้างระดับการคุ้มครองการควบคุมศุลกากรที่เป็นมาตรฐานเดียวกัน และความสมดุลระหว่างวัตถุประสงค์ของการควบคุมศุลกากรที่ปลอดภัยและการอำนวยความสะดวกในการค้าที่ถูกต้องตามกฎหมาย^{[ 41 ]}เหตุการณ์สองเหตุการณ์ที่กระตุ้นให้คณะกรรมาธิการยุโรปทบทวนนโยบายการจัดการความเสี่ยงด้านศุลกากรในปี 2012-13 ได้แก่การโจมตีเมื่อวันที่ 11 กันยายน 2001 และแผนการวางระเบิดเครื่องบินข้ามมหาสมุทรแอตแลนติกในปี 2010ที่เกี่ยวข้องกับพัสดุที่ส่งจากเยเมนไปยังสหรัฐอเมริกาซึ่งคณะกรรมาธิการเรียกว่า "เหตุการณ์เดือนตุลาคม 2010 (เยเมน)" ^{[ 42 ]}

สถาบันเก็บรักษาความทรงจำ (พิพิธภัณฑ์ ห้องสมุด และหอจดหมายเหตุ)

ความปลอดภัยขององค์กร

ESRM เป็นแนวทางการจัดการโปรแกรมความปลอดภัยที่เชื่อมโยงกิจกรรมด้านความปลอดภัยเข้ากับภารกิจและเป้าหมายทางธุรกิจขององค์กรผ่านวิธีการบริหารความเสี่ยง บทบาทของผู้นำด้านความปลอดภัยใน ESRM คือการจัดการความเสี่ยงต่อความเสียหายต่อสินทรัพย์ขององค์กรโดยร่วมมือกับผู้นำทางธุรกิจที่มีสินทรัพย์ที่เสี่ยงต่อความเสี่ยงเหล่านั้น ESRM เกี่ยวข้องกับการให้ความรู้แก่ผู้นำทางธุรกิจเกี่ยวกับผลกระทบที่แท้จริงของความเสี่ยงที่ระบุ การนำเสนอกลยุทธ์ที่เป็นไปได้เพื่อลดผลกระทบเหล่านั้น จากนั้นดำเนินการตามตัวเลือกที่ธุรกิจเลือกโดยสอดคล้องกับระดับความอดทนต่อความเสี่ยงทางธุรกิจที่ยอมรับได้^{[ 43 ]}

อุปกรณ์ทางการแพทย์

สำหรับอุปกรณ์ทางการแพทย์การจัดการความเสี่ยงเป็นกระบวนการในการระบุ ประเมิน และลดความเสี่ยงที่เกี่ยวข้องกับอันตรายต่อบุคคลและความเสียหายต่อทรัพย์สินหรือสิ่งแวดล้อม^{[ 44 ]}การจัดการความเสี่ยงเป็นส่วนสำคัญของการออกแบบและพัฒนาอุปกรณ์ทางการแพทย์ กระบวนการผลิต และการประเมินประสบการณ์ภาคสนาม และสามารถนำไปใช้กับอุปกรณ์ทางการแพทย์ทุกประเภท หน่วยงานกำกับดูแลส่วนใหญ่ เช่น สำนักงานคณะกรรมการอาหารและยาของสหรัฐอเมริกา (US FDA ) กำหนดให้ต้องมีหลักฐานการนำไปใช้ การจัดการความเสี่ยงสำหรับอุปกรณ์ทางการแพทย์ได้รับการอธิบายโดยองค์การมาตรฐานสากล (ISO) ในISO 14971:2019อุปกรณ์ทางการแพทย์—การประยุกต์ใช้การจัดการความเสี่ยงกับอุปกรณ์ทางการแพทย์ ซึ่งเป็นมาตรฐานความปลอดภัยของผลิตภัณฑ์ มาตรฐานนี้ให้กรอบกระบวนการและข้อกำหนดที่เกี่ยวข้องสำหรับความรับผิดชอบในการจัดการ การวิเคราะห์และการประเมินความเสี่ยง การควบคุมความเสี่ยง และการจัดการความเสี่ยงตลอดวงจรชีวิต คำแนะนำเกี่ยวกับการประยุกต์ใช้มาตรฐานมีอยู่ใน ISO/TR 24971:2020

มาตรฐานการจัดการความเสี่ยงฉบับยุโรปได้รับการปรับปรุงในปี 2552 และอีกครั้งในปี 2555 เพื่อให้สอดคล้องกับข้อกำหนดเกี่ยวกับอุปกรณ์ทางการแพทย์ (Medical Devices Directive: MDD) และข้อกำหนดเกี่ยวกับอุปกรณ์ทางการแพทย์ฝังในร่างกาย (Active Implantable Medical Device Directive: AIMDD) ฉบับแก้ไขปี 2550 รวมถึงข้อกำหนดเกี่ยวกับอุปกรณ์ทางการแพทย์ในหลอดทดลอง (In Vitro Medical Device Directive: IVDD) ข้อกำหนดของ EN 14971:2012 เกือบจะเหมือนกับ ISO 14971:2007 ความแตกต่างอยู่ที่ภาคผนวก Z สามส่วน (ที่ให้ข้อมูล) ซึ่งอ้างอิงถึง MDD, AIMDD และ IVDD ฉบับใหม่ ภาคผนวกเหล่านี้ระบุถึงความคลาดเคลื่อนของเนื้อหา ซึ่งรวมถึงข้อกำหนดให้ลดความเสี่ยงให้มากที่สุดเท่าที่จะเป็นไปได้และข้อกำหนดให้ลดความเสี่ยงด้วยการออกแบบ ไม่ใช่ด้วยการติดฉลากบนอุปกรณ์ทางการแพทย์ (กล่าวคือ การติดฉลากไม่สามารถใช้เพื่อลดความเสี่ยงได้อีกต่อไป)

เทคนิคการวิเคราะห์และประเมินความเสี่ยงทั่วไปที่ใช้ในอุตสาหกรรมเครื่องมือแพทย์ ได้แก่การวิเคราะห์อันตราย ( Hazard Analysis : FTA) การวิเคราะห์แผนผังความผิดพลาด ( Fault Tree Analysis : FTA) การวิเคราะห์โหมด ความล้มเหลวและผลกระทบ (Failure Mode and Effects Analysis: FMEA) การศึกษาอันตรายและความสามารถในการปฏิบัติงาน (Hazard and Operability Study: HAZOP ) และการวิเคราะห์การติดตามความเสี่ยง เพื่อให้มั่นใจว่ามีการนำมาตรการควบคุมความเสี่ยงไปใช้และมีประสิทธิภาพ (เช่น การติดตามความเสี่ยงที่ระบุไปยังข้อกำหนดของผลิตภัณฑ์ ข้อกำหนดการออกแบบ ผลการตรวจสอบและการรับรอง ฯลฯ) การวิเคราะห์ FTA ต้องใช้ซอฟต์แวร์สร้างแผนภาพ ส่วนการวิเคราะห์ FMEA สามารถทำได้โดยใช้ โปรแกรม สเปรดชีตนอกจากนี้ยังมีโซลูชันการจัดการความเสี่ยงด้านเครื่องมือแพทย์แบบบูรณาการอีกด้วย

สำนักงานคณะกรรมการอาหารและยา (FDA) ได้ออกร่างแนวทางปฏิบัติเพื่อนำเสนอวิธีการใหม่ชื่อ "กรณีการรับรองความปลอดภัย" (Safety Assurance Case) สำหรับการวิเคราะห์ความปลอดภัยของอุปกรณ์ทางการแพทย์ กรณีการรับรองความปลอดภัยคือการให้เหตุผลเชิงโครงสร้างเกี่ยวกับระบบที่เหมาะสมสำหรับนักวิทยาศาสตร์และวิศวกร โดยมีหลักฐานสนับสนุน ซึ่งให้เหตุผลที่น่าเชื่อถือ เข้าใจได้ และถูกต้องว่าระบบนั้นปลอดภัยสำหรับการใช้งานในสภาพแวดล้อมที่กำหนด ตามแนวทางปฏิบัตินี้ อุปกรณ์ที่สำคัญต่อความปลอดภัย (เช่น อุปกรณ์ให้สารละลายทางหลอดเลือด) จะต้องยื่นกรณีการรับรองความปลอดภัยเป็นส่วนหนึ่งของการยื่นขออนุมัติก่อนวางจำหน่าย เช่น 510(k) ในปี 2556 FDA ได้ออกร่างแนวทางปฏิบัติอีกฉบับหนึ่งที่คาดหวังให้ผู้ผลิตอุปกรณ์ทางการแพทย์ส่งข้อมูลการวิเคราะห์ความเสี่ยงด้านความปลอดภัยทางไซเบอร์

การบริหารโครงการ

การจัดการความเสี่ยงของโครงการต้องได้รับการพิจารณาในแต่ละขั้นตอนของการได้มาซึ่งโครงการ ในช่วงเริ่มต้นของโครงการ ความก้าวหน้าของการพัฒนาทางเทคนิค หรือภัยคุกคามที่เกิดจากโครงการของคู่แข่ง อาจทำให้เกิดการประเมินความเสี่ยงหรือภัยคุกคาม และการประเมินทางเลือกในภายหลัง (ดูการวิเคราะห์ทางเลือก ) เมื่อมีการตัดสินใจและเริ่มโครงการแล้ว สามารถใช้แอปพลิเคชันการจัดการโครงการที่คุ้นเคยมากขึ้นได้: ^{[ 45 ]}^{[ 46 ]}^{[ 47 ]}

วางแผนวิธีการบริหารจัดการความเสี่ยงในโครงการนั้นๆ แผนควรประกอบด้วยภารกิจการบริหารจัดการความเสี่ยง ความรับผิดชอบ กิจกรรม และงบประมาณ
การแต่งตั้งเจ้าหน้าที่บริหารความเสี่ยง – สมาชิกในทีมที่ไม่ใช่ผู้จัดการโครงการ ซึ่งมีหน้าที่ในการคาดการณ์ปัญหาที่อาจเกิดขึ้นในโครงการ คุณลักษณะทั่วไปของเจ้าหน้าที่บริหารความเสี่ยงคือการมีวิจารณญาณที่ดี
การดูแลรักษาฐานข้อมูลความเสี่ยงของโครงการแบบเรียลไทม์ ความเสี่ยงแต่ละรายการควรมีคุณลักษณะดังต่อไปนี้: วันที่เปิดความเสี่ยง ชื่อเรื่อง คำอธิบายโดยย่อ ความน่าจะเป็น และความสำคัญ นอกจากนี้ อาจมีการกำหนดบุคคลที่รับผิดชอบในการแก้ไขความเสี่ยง และกำหนดวันที่ต้องแก้ไขความเสี่ยงให้แล้วเสร็จ
สร้างช่องทางการรายงานความเสี่ยงแบบไม่ระบุชื่อ สมาชิกในทีมแต่ละคนควรมีโอกาสรายงานความเสี่ยงที่ตนเองคาดการณ์ไว้ในโครงการได้
จัดทำแผนการบรรเทาความเสี่ยงสำหรับความเสี่ยงที่เลือกไว้ วัตถุประสงค์ของแผนการบรรเทาความเสี่ยงคือการอธิบายว่าความเสี่ยงเฉพาะนี้จะได้รับการจัดการอย่างไร – อะไร เมื่อไหร่ โดยใคร และจะทำอย่างไรเพื่อหลีกเลี่ยงหรือลดผลกระทบหากความเสี่ยงนั้นกลายเป็นความรับผิดชอบ
สรุปความเสี่ยงที่วางแผนไว้และความเสี่ยงที่เกิดขึ้นจริง ประสิทธิภาพของมาตรการลดความเสี่ยง และความพยายามที่ใช้ในการบริหารความเสี่ยง

โครงการขนาดใหญ่ (โครงสร้างพื้นฐาน)

เมกะโปรเจกต์ (บางครั้งเรียกว่า "โครงการขนาดใหญ่") คือโครงการลงทุนขนาดใหญ่ โดยทั่วไปมีค่าใช้จ่ายมากกว่า 1 พันล้านดอลลาร์ต่อโครงการ เมกะโปรเจกต์ ได้แก่ สะพานขนาดใหญ่ อุโมงค์ ทางหลวง ทางรถไฟ สนามบิน ท่าเรือ โรงไฟฟ้า เขื่อน โครงการบำบัดน้ำเสีย โครงการป้องกันน้ำท่วมชายฝั่ง โครงการสกัดน้ำมันและก๊าซธรรมชาติ อาคารสาธารณะ ระบบเทคโนโลยีสารสนเทศ โครงการด้านอวกาศ และระบบป้องกันประเทศ เมกะโปรเจกต์ได้รับการพิสูจน์แล้วว่ามีความเสี่ยงสูงเป็นพิเศษในแง่ของการเงิน ความปลอดภัย และผลกระทบทางสังคมและสิ่งแวดล้อม ดังนั้นการจัดการความเสี่ยงจึงมีความเกี่ยวข้องอย่างยิ่งสำหรับเมกะโปรเจกต์ และได้มีการพัฒนาวิธีการพิเศษและการศึกษาพิเศษสำหรับการจัดการความเสี่ยงดังกล่าว^{[ 48 ]}

ภัยพิบัติทางธรรมชาติ

การประเมินความเสี่ยงเกี่ยวกับภัยพิบัติทางธรรมชาติ เช่นน้ำท่วมแผ่นดินไหวและอื่นๆ เป็นสิ่งสำคัญ ผลลัพธ์ของการประเมินความเสี่ยงจากภัยพิบัติทางธรรมชาติมีคุณค่าเมื่อพิจารณาถึงค่าใช้จ่ายในการซ่อมแซมในอนาคต การสูญเสียจากการหยุดชะงักทางธุรกิจและเวลาหยุดทำงานอื่นๆ ผลกระทบต่อสิ่งแวดล้อม ค่าใช้จ่ายด้านประกันภัย และค่าใช้จ่ายที่เสนอในการลดความเสี่ยง^{[ 49 ]}^{[ 50 ]}กรอบความร่วมมือเซนไดเพื่อการลดความเสี่ยงจากภัยพิบัติเป็นข้อตกลงระหว่างประเทศในปี 2015 ซึ่งได้กำหนดเป้าหมายและตัวชี้วัดสำหรับการลดความเสี่ยงจากภัยพิบัติเพื่อตอบสนองต่อภัยพิบัติทางธรรมชาติ^{[ 51 ]}มีการประชุมระหว่างประเทศว่าด้วยภัยพิบัติและความเสี่ยง เป็นประจำ ที่เมืองดาว อส เพื่อจัดการกับการจัดการความเสี่ยงแบบบูร ณาการ

สามารถใช้เครื่องมือหลายอย่างในการประเมินความเสี่ยงและการจัดการความเสี่ยงจากภัยพิบัติทางธรรมชาติและเหตุการณ์สภาพภูมิอากาศอื่นๆ รวมถึงการสร้างแบบจำลองเชิงพื้นที่ ซึ่งเป็นองค์ประกอบสำคัญของวิทยาศาสตร์การเปลี่ยนแปลงที่ดินการสร้างแบบจำลองนี้จำเป็นต้องมีความเข้าใจเกี่ยวกับการกระจายตัวทางภูมิศาสตร์ของประชากร ตลอดจนความสามารถในการคำนวณโอกาสที่จะเกิดภัยพิบัติทางธรรมชาติ

ป่าธรรมชาติ

การจัดการความเสี่ยงต่อบุคคลและทรัพย์สินในพื้นที่ป่าและพื้นที่ธรรมชาติห่างไกลได้รับการพัฒนาควบคู่ไปกับการเพิ่มขึ้นของการมีส่วนร่วมในการพักผ่อนหย่อนใจกลางแจ้งและการลดลงของความอดทนทางสังคมต่อการสูญเสีย องค์กรที่ให้บริการประสบการณ์ในป่าเชิงพาณิชย์สามารถปรับให้สอดคล้องกับมาตรฐานฉันทามติระดับชาติและระดับนานาชาติสำหรับการฝึกอบรมและอุปกรณ์ เช่นANSI /NASBLA 101-2017 (การพายเรือ) ^{[ 52 ]} UIAA 152 (เครื่องมือปีนน้ำแข็ง) ^{[ 53 ]}และมาตรฐานยุโรป 13089:2015 + A1:2015 (อุปกรณ์ปีนเขา) ^{[ 54 ]}^{[ 55 ]}สมาคมเพื่อการศึกษาเชิงประสบการณ์ให้การรับรองสำหรับโปรแกรมการผจญภัยในป่า^{[ 56 ]}การประชุมการจัดการความเสี่ยงในป่าให้การเข้าถึงแนวปฏิบัติที่ดีที่สุด และองค์กรผู้เชี่ยวชาญให้คำปรึกษาและการฝึกอบรมด้านการจัดการความเสี่ยงในป่า^{[ 57 ]}

ข้อความ Outdoor Safety – Risk Management for Outdoor Leaders ^{[ 58 ]}ที่เผยแพร่โดย New Zealand Mountain Safety Council ให้มุมมองเกี่ยวกับการจัดการความเสี่ยงในพื้นที่ทุรกันดารจากมุมมองของนิวซีแลนด์ โดยตระหนักถึงคุณค่าของกฎหมายความปลอดภัยกลางแจ้งระดับชาติ และให้ความสำคัญอย่างมากกับบทบาทของการตัดสินใจและกระบวนการตัดสินใจในการจัดการความเสี่ยงในพื้นที่ทุรกันดาร

แบบจำลองที่เป็นที่นิยมสำหรับการประเมินความเสี่ยงคือแบบจำลองการประเมินความเสี่ยงและการจัดการความปลอดภัย (RASM) ซึ่งพัฒนาโดย Rick Curtis ผู้เขียน The Backpacker's Field Manual ^{[ 59 ]}สูตรสำหรับแบบจำลอง RASM คือ: ความเสี่ยง = ความน่าจะเป็นของอุบัติเหตุ × ความรุนแรงของผลที่ตามมา แบบจำลอง RASM ชั่งน้ำหนักความเสี่ยงเชิงลบ—ศักยภาพในการสูญเสีย—เทียบกับความเสี่ยงเชิงบวก—ศักยภาพในการเติบโต

เทคโนโลยีสารสนเทศ

ความเสี่ยงด้านไอทีคือความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ นี่เป็นคำศัพท์ที่ค่อนข้างใหม่เนื่องจากความตระหนักที่เพิ่มขึ้นว่าความปลอดภัยของข้อมูลเป็นเพียงแง่มุมหนึ่งของความเสี่ยงมากมายที่เกี่ยวข้องกับไอทีและกระบวนการในโลกแห่งความเป็นจริงที่ไอทีสนับสนุน “ความปลอดภัยทางไซเบอร์มีความเชื่อมโยงอย่างใกล้ชิดกับความก้าวหน้าของเทคโนโลยี มันล้าหลังเพียงช่วงเวลาสั้นๆ เพื่อให้แรงจูงใจเช่นตลาดมืดพัฒนาขึ้นและมีการค้นพบช่องโหว่ใหม่ๆ ความก้าวหน้าของเทคโนโลยีไม่มีที่สิ้นสุด ดังนั้นเราจึงคาดหวังได้เช่นเดียวกันจากความปลอดภัยทางไซเบอร์” ^{[ 60 ]}

กรอบการบริหาร ความเสี่ยงด้านไอทีของISACAเชื่อมโยงความเสี่ยงด้านไอทีเข้ากับการบริหารความเสี่ยงขององค์กร

การจัดการความเสี่ยงด้านไอทีประกอบด้วย " การจัดการเหตุการณ์ " ซึ่งเป็นแผนปฏิบัติการสำหรับการรับมือกับการบุกรุก การโจรกรรมทางไซเบอร์ การโจมตีแบบปฏิเสธการให้บริการ ไฟไหม้ น้ำท่วม และเหตุการณ์อื่นๆ ที่เกี่ยวข้องกับความปลอดภัย ตามที่สถาบัน SANS ระบุ ไว้ กระบวนการนี้มีทั้งหมดหกขั้นตอน ได้แก่ การเตรียมการ การระบุ การควบคุม การกำจัด การกู้คืน และบทเรียนที่ได้รับ^{[ 61 ]}

การดำเนินงาน

การบริหารความเสี่ยงด้านการดำเนินงาน (ORM) คือการกำกับดูแลความเสี่ยงด้านการดำเนินงานซึ่งรวมถึงความเสี่ยงต่อการสูญเสียที่เกิดจาก: กระบวนการและระบบภายในที่ไม่เพียงพอหรือล้มเหลว; ปัจจัยด้านมนุษย์; หรือเหตุการณ์ภายนอก เนื่องจากลักษณะของการดำเนินงาน ORM จึงมักเป็นกระบวนการ "ต่อเนื่อง" และจะรวมถึงการประเมินความเสี่ยงอย่างต่อเนื่อง การตัดสินใจเกี่ยวกับความเสี่ยง และการนำมาตรการควบคุมความเสี่ยงไปใช้

ปิโตรเลียมและก๊าซธรรมชาติ

สำหรับอุตสาหกรรมน้ำมันและก๊าซนอกชายฝั่ง การจัดการความเสี่ยงในการดำเนินงานอยู่ภายใต้การกำกับดูแลของ ระบบ รายงานความปลอดภัยในหลายประเทศ เครื่องมือและเทคนิคการระบุอันตรายและการประเมินความเสี่ยงได้ถูกอธิบายไว้ในมาตรฐานสากล ISO 17776:2000 และองค์กรต่างๆ เช่น IADC ( สมาคมผู้รับเหมาขุดเจาะระหว่างประเทศ ) ได้เผยแพร่แนวทางสำหรับ การพัฒนารายงาน ด้านสุขภาพ ความปลอดภัย และสิ่งแวดล้อม (HSE) ซึ่งอิงตามมาตรฐาน ISO นอกจากนี้ หน่วยงานกำกับดูแลของรัฐบาลมักคาดหวังให้มีการแสดงภาพเหตุการณ์อันตรายในรูปแบบแผนภาพเป็นส่วนหนึ่งของการจัดการความเสี่ยงในการยื่นรายงานความปลอดภัย ซึ่งเรียกว่าแผนภาพโบว์ไท (ดูทฤษฎีเครือข่ายในการประเมินความเสี่ยง ) เทคนิคนี้ยังถูกใช้โดยองค์กรและหน่วยงานกำกับดูแลในอุตสาหกรรมเหมืองแร่ การบิน สุขภาพ การป้องกันประเทศ อุตสาหกรรม และการเงินด้วย

ภาคอุตสาหกรรมยา

หลักการและเครื่องมือสำหรับการจัดการความเสี่ยงด้านคุณภาพกำลังถูกนำไปประยุกต์ใช้กับแง่มุมต่างๆ ของระบบคุณภาพทางเภสัชกรรมมากขึ้นเรื่อยๆ แง่มุมเหล่านี้รวมถึงกระบวนการพัฒนา การผลิต การจัดจำหน่าย การตรวจสอบ และการส่ง/การทบทวนตลอดวงจรชีวิตของสารออกฤทธิ์ ผลิตภัณฑ์ยา ผลิตภัณฑ์ชีวภาพและเทคโนโลยีชีวภาพ (รวมถึงการใช้วัตถุดิบ ตัวทำละลาย สารช่วย บรรจุภัณฑ์ และวัสดุติดฉลากในผลิตภัณฑ์ยา ผลิตภัณฑ์ชีวภาพและเทคโนโลยีชีวภาพ) การจัดการความเสี่ยงยังถูกนำไปใช้ในการประเมินการปนเปื้อนทางจุลชีววิทยาที่เกี่ยวข้องกับผลิตภัณฑ์ยาและสภาพแวดล้อมการผลิตในห้องปลอดเชื้อด้วย^{[ 62 ]}

ห่วงโซ่อุปทาน

การบริหารความเสี่ยงในห่วงโซ่อุปทาน (SCRM) มีเป้าหมายเพื่อรักษา ความต่อเนื่องของ ห่วงโซ่อุปทานในกรณีที่เกิดสถานการณ์หรือเหตุการณ์ที่อาจขัดขวางการดำเนินธุรกิจตามปกติและส่งผลกระทบต่อผลกำไร ความเสี่ยงต่อห่วงโซ่อุปทานมีตั้งแต่เรื่องปกติไปจนถึงเรื่องพิเศษ รวมถึงภัยธรรมชาติที่คาดเดาไม่ได้ (เช่นสึนามิและโรคระบาด ) ไปจนถึงสินค้าลอกเลียนแบบ และครอบคลุมถึงคุณภาพ ความปลอดภัย ความยืดหยุ่น และความสมบูรณ์ของผลิตภัณฑ์ การลดความเสี่ยงเหล่านี้อาจเกี่ยวข้องกับองค์ประกอบต่างๆ ของธุรกิจ รวมถึงโลจิสติกส์และความปลอดภัยทางไซเบอร์ ตลอดจนด้านการเงินและการดำเนินงาน

การท่องเที่ยว

การจัดการความเสี่ยงในการเดินทางเกี่ยวข้องกับวิธีที่องค์กรประเมินความเสี่ยงต่อพนักงานเมื่อเดินทาง โดยเฉพาะอย่างยิ่งเมื่อเดินทางไปต่างประเทศ ในด้านมาตรฐานสากล ISO 31030:2021 กล่าวถึงแนวปฏิบัติที่ดีในการจัดการความเสี่ยงในการเดินทาง^{[ 63 ]}

หน่วยงานด้านการศึกษาและการวิจัยของสมาคมการเดินทางเพื่อธุรกิจระดับโลก (Global Business Travel Association) ซึ่งก็คือมูลนิธิ GBTA พบในปี 2015 ว่าธุรกิจส่วนใหญ่ที่ครอบคลุมในการวิจัยของพวกเขาใช้โปรโตคอลการจัดการความเสี่ยงในการเดินทางโดยมุ่งเน้นที่การรับรองความปลอดภัยและความเป็นอยู่ที่ดีของนักเดินทางเพื่อธุรกิจ^{[ 64 ]}หลักการสำคัญ 6 ประการของการตระหนักรู้ถึงความเสี่ยงในการเดินทางที่สมาคมเสนอ ได้แก่ การเตรียมตัว การตระหนักถึงสภาพแวดล้อมและผู้คน การรักษาความเป็นส่วนตัว การปรับตัวให้เข้ากับกิจวัตรที่ไม่สามารถคาดเดาได้ การสื่อสาร และการป้องกันหลายชั้น^{[ 65 ]}การติดตามนักเดินทางโดยใช้เทคโนโลยีการติดตามและการส่งข้อความผ่านมือถือได้กลายเป็นส่วนหนึ่งของการจัดการความเสี่ยงในการเดินทางที่ใช้กันอย่างแพร่หลายในปี 2015 ^{[ 64 ]}

การสื่อสารความเสี่ยง

การสื่อสารความเสี่ยงเป็นสาขาวิชาการข้ามสาขาที่ซับซ้อนซึ่งเป็นส่วนหนึ่งของการจัดการความเสี่ยงและเกี่ยวข้องกับสาขาต่างๆ เช่นการสื่อสารในภาวะวิกฤตเป้าหมายคือการทำให้กลุ่มเป้าหมายเข้าใจว่าความเสี่ยงส่งผลกระทบต่อพวกเขาหรือชุมชนของพวกเขาอย่างไร โดยการดึงดูดความสนใจไปยังค่านิยมของพวกเขา^{[ 66 ]}^{[ 67 ]}

การสื่อสารความเสี่ยงมีความสำคัญอย่างยิ่งในการเตรียมความพร้อมรับมือภัยพิบัติ [ ^{68 ] สาธารณสุข} [ 69 ^]^และการเตรียมพร้อมสำหรับความเสี่ยงภัยพิบัติระดับโลก ครั้ง ^{ใหญ่ [}⁶⁸^]^{ตัวอย่าง}เช่นผลกระทบของการเปลี่ยนแปลงสภาพภูมิอากาศและความเสี่ยงด้านสภาพภูมิอากาศ ส่งผลกระทบต่อทุกภาคส่วนของสังคม ดังนั้นการสื่อสารความเสี่ยงดังกล่าวจึงเป็นแนวทาง การสื่อสารด้านสภาพภูมิอากาศที่สำคัญเพื่อให้สังคมสามารถวางแผนการปรับตัวต่อสภาพภูมิอากาศได้^[⁷⁰^]ในทำนองเดียวกัน ในการป้องกันการระบาดใหญ่ความเข้าใจเกี่ยวกับความเสี่ยงจะช่วยให้ชุมชนสามารถหยุดยั้งการแพร่กระจายของโรคและปรับปรุงการตอบสนองได้^[⁷¹^]

การสื่อสารความเสี่ยงเกี่ยวข้องกับความเสี่ยงที่อาจเกิดขึ้นและมีจุดมุ่งหมายเพื่อสร้างความตระหนักรู้เกี่ยวกับความเสี่ยงเหล่านั้นเพื่อกระตุ้นหรือโน้มน้าวให้เกิดการเปลี่ยนแปลงพฤติกรรมเพื่อบรรเทาภัยคุกคามในระยะยาว ในทางกลับกัน การสื่อสารวิกฤตมีจุดมุ่งหมายเพื่อสร้างความตระหนักรู้เกี่ยวกับภัยคุกคามประเภทใดประเภทหนึ่งโดยเฉพาะ ขนาด ผลลัพธ์ และพฤติกรรมเฉพาะที่ต้องนำมาใช้เพื่อลดภัยคุกคาม^{[ 72 ]}

การสื่อสารความเสี่ยงในความปลอดภัยของอาหารเป็นส่วนหนึ่งของกรอบการวิเคราะห์ความเสี่ยงร่วมกับการประเมินความเสี่ยงและการจัดการความเสี่ยง การสื่อสารความเสี่ยงมีเป้าหมายเพื่อลดโรคที่เกิดจากอาหารการสื่อสารความเสี่ยงด้านความปลอดภัยของอาหารเป็นกิจกรรมบังคับสำหรับหน่วยงานความปลอดภัยของอาหาร^{[ 73 ]}ในประเทศที่นำ ข้อตกลงว่าด้วยการประยุกต์ ใช้ มาตรการสุขอนามัยและสุขอนามัยพืชมาใช้

การสื่อสารความเสี่ยงยังมีอยู่ในระดับที่เล็กกว่าด้วย ตัวอย่างเช่น ความเสี่ยงที่เกี่ยวข้องกับการตัดสินใจทางการแพทย์ส่วนบุคคลจะต้องได้รับการสื่อสารไปยังบุคคลนั้นและครอบครัวของพวกเขา^{[ 74 ]}

ดูเพิ่มเติม

ลิงก์ภายนอก

แหล่งข้อมูลการบริหารความเสี่ยงสถาบันบริหารความเสี่ยงระดับโลก
คลังความรู้ด้านความเสี่ยงสมาคมบริหารความเสี่ยงและการประกันภัย
วารสารความเสี่ยง , Risk.net
คำศัพท์เกี่ยวกับการบริหารความเสี่ยงทางการเงิน , Risk.net
คู่มือการบริหารความเสี่ยงของกระทรวงกลาโหมสำหรับโครงการจัดซื้อจัด จ้างด้านกลาโหม เก็บถาวรเมื่อวันที่ 4 กรกฎาคม 2017 ที่Wayback Machine (2017)

ความเสี่ยง [ 1

[ 2 ]

[ 3 ]

4 ] [

5 ] [

6 ] วิธี

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 42 ]

[ 43 ]

[ 44 ]

[ 45 ]

[ 46 ]

[ 47 ]

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 52 ]

[ 53 ]

[ 54 ]

[ 55 ]

[ 56 ]

[ 57 ]

[ 58 ]

[ 60 ]

[ 61 ]

[ 62 ]

[ 63 ]

[ 64 ]

[ 65 ]

[ 66 ]

[ 67 ]

]

[

[

[ 72 ]

[ 73 ]