การบริหารความเสี่ยง

จากวิกิพีเดีย สารานุกรมเสรี
ข้ามไปที่การนำทาง ข้ามไปที่การค้นหา
ตัวอย่างการประเมินความเสี่ยง: แบบจำลองของNASA ที่แสดงพื้นที่ที่มีความเสี่ยงสูงจากผลกระทบต่อสถานีอวกาศนานาชาติ

การจัดการความเสี่ยงคือการระบุ การประเมิน และการจัดลำดับความสำคัญของความเสี่ยง (กำหนดไว้ในISO 31000ว่าเป็นผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ ) ตามด้วยการใช้ทรัพยากรที่มีการประสานงานและประหยัดเพื่อลด ตรวจสอบ และควบคุมความน่าจะเป็นหรือผลกระทบของเหตุการณ์ที่โชคร้าย[1]หรือเพื่อให้เกิดโอกาสสูงสุด

ความเสี่ยงอาจมาจากแหล่งต่างๆ รวมถึงความไม่แน่นอนในตลาดต่างประเทศภัยคุกคามจากความล้มเหลวของโครงการ (ในขั้นตอนใดๆ ของการออกแบบ การพัฒนา การผลิต หรือการคงอยู่ของวงจรชีวิต) หนี้สินทางกฎหมาย ความเสี่ยงด้านเครดิต อุบัติเหตุสาเหตุธรรมชาติและภัยพิบัติการโจมตีโดยเจตนา จากปฏิปักษ์ หรือเหตุการณ์ที่ต้นเหตุที่ไม่แน่นอนหรือคาดเดาไม่ได้ เหตุการณ์มีสองประเภทคือ เหตุการณ์เชิงลบสามารถจัดเป็นความเสี่ยง ในขณะที่เหตุการณ์เชิงบวกจัดเป็นโอกาส การบริหารความเสี่ยงตามมาตรฐานได้รับการพัฒนาโดยสถาบันต่าง ๆ รวมทั้งสถาบันการบริหารจัดการโครงการที่สถาบันมาตรฐานและเทคโนโลยี, สมาคมคณิตศาสตร์ประกันภัย และมาตรฐาน ISO [2] [3]วิธีการนิยามและเป้าหมายที่แตกต่างกันตามไปไม่ว่าวิธีการบริหารความเสี่ยงอยู่ในบริบทของการบริหารโครงการ, การรักษาความปลอดภัยทางวิศวกรรม , กระบวนการทางอุตสาหกรรมพอร์ตการลงทุนการเงินการประเมินตามหลักคณิตศาสตร์ประกันภัยหรือสุขภาพของประชาชนและความปลอดภัย

กลยุทธ์ในการจัดการภัยคุกคาม (ความไม่แน่นอนที่มีผลกระทบด้านลบ) โดยทั่วไปรวมถึงการหลีกเลี่ยงภัยคุกคาม การลดผลกระทบเชิงลบหรือความน่าจะเป็นของภัยคุกคาม การถ่ายโอนภัยคุกคามทั้งหมดหรือบางส่วนไปยังอีกฝ่ายหนึ่ง และแม้กระทั่งการรักษาผลที่อาจเกิดขึ้นหรือจริงบางส่วนหรือทั้งหมดของ ภัยคุกคามโดยเฉพาะ กลยุทธ์ตรงกันข้ามสามารถใช้เพื่อตอบสนองต่อโอกาส (สถานการณ์ในอนาคตที่ไม่แน่นอนพร้อมผลประโยชน์)

มาตรฐานการจัดการความเสี่ยงบางอย่างได้รับการวิพากษ์วิจารณ์ว่าไม่มีการปรับปรุงความเสี่ยงที่วัดได้ ในขณะที่ความเชื่อมั่นในการประมาณการและการตัดสินใจดูเหมือนจะเพิ่มขึ้น [1]

บทนำ

คำศัพท์ที่ใช้กันอย่างแพร่หลายสำหรับการบริหารความเสี่ยงถูกกำหนดโดยISO Guide 73:2009 "การบริหารความเสี่ยง คำศัพท์" [2]

ในการบริหารความเสี่ยงในอุดมคติ กระบวนการจัดลำดับความสำคัญจะตามมาด้วยความเสี่ยงที่มีการสูญเสียมากที่สุด (หรือผลกระทบ) และความน่าจะเป็นที่จะเกิดขึ้นมากที่สุดก่อน ความเสี่ยงที่มีโอกาสเกิดขึ้นน้อยกว่าและการสูญเสียที่ต่ำกว่าจะได้รับการจัดการโดยเรียงลำดับจากมากไปน้อย ในทางปฏิบัติ กระบวนการประเมินความเสี่ยงโดยรวมอาจเป็นเรื่องยาก และการสร้างสมดุลของทรัพยากรที่ใช้เพื่อบรรเทาระหว่างความเสี่ยงที่มีโอกาสเกิดขึ้นสูงแต่สูญเสียน้อยกว่า เมื่อเทียบกับความเสี่ยงที่มีการสูญเสียสูงแต่มีโอกาสเกิดขึ้นน้อยกว่ามักจะถูกจัดการอย่างผิดๆ

การจัดการความเสี่ยงที่จับต้องไม่ได้ระบุประเภทของความเสี่ยงใหม่ที่มีโอกาสเกิดขึ้น 100% แต่องค์กรละเลยไปเนื่องจากขาดความสามารถในการระบุ ตัวอย่างเช่น เมื่อความรู้ที่ไม่เพียงพอถูกนำไปใช้กับสถานการณ์ความเสี่ยงจากความรู้ก็ปรากฏขึ้น ความเสี่ยงด้านความสัมพันธ์ปรากฏขึ้นเมื่อเกิดการทำงานร่วมกันที่ไม่มีประสิทธิภาพ ความเสี่ยงจากการมีส่วนร่วมในกระบวนการอาจเป็นปัญหาเมื่อใช้ขั้นตอนการปฏิบัติงานที่ไม่มีประสิทธิภาพ ความเสี่ยงเหล่านี้จะลดประสิทธิภาพการทำงานของพนักงานที่มีความรู้โดยตรง ลดความคุ้มค่า ความสามารถในการทำกำไร การบริการ คุณภาพ ชื่อเสียง มูลค่าแบรนด์ และคุณภาพรายได้ การจัดการความเสี่ยงที่จับต้องไม่ได้ช่วยให้การบริหารความเสี่ยงสร้างมูลค่าได้ทันทีจากการระบุและลดความเสี่ยงที่ลดผลิตภาพ

ค่าเสียโอกาสแสดงถึงความท้าทายที่ไม่เหมือนใครสำหรับผู้จัดการความเสี่ยง อาจเป็นเรื่องยากที่จะตัดสินว่าเมื่อใดควรนำทรัพยากรไปใช้ในการจัดการความเสี่ยง และเมื่อใดควรใช้ทรัพยากรเหล่านั้นในที่อื่น อีกครั้ง การจัดการความเสี่ยงในอุดมคติช่วยลดการใช้จ่าย (หรือกำลังคนหรือทรัพยากรอื่นๆ) และยังลดผลกระทบด้านลบของความเสี่ยงอีกด้วย

ความเสี่ยงถูกกำหนดให้เป็นความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้นซึ่งส่งผลเสียต่อการบรรลุวัตถุประสงค์ ความไม่แน่นอนจึงเป็นลักษณะสำคัญของความเสี่ยง ระบบต่างๆ เช่น คณะกรรมการสนับสนุนองค์กรของ Treadway Commission Enterprise Risk Management (COSO ERM) สามารถช่วยเหลือผู้จัดการในการบรรเทาปัจจัยเสี่ยงได้ แต่ละบริษัทอาจมีองค์ประกอบการควบคุมภายในที่แตกต่างกัน ซึ่งนำไปสู่ผลลัพธ์ที่แตกต่างกัน ตัวอย่างเช่น กรอบงานสำหรับส่วนประกอบ ERM รวมถึงสภาพแวดล้อมภายใน การตั้งค่าวัตถุประสงค์ การระบุเหตุการณ์ การประเมินความเสี่ยง การตอบสนองความเสี่ยง กิจกรรมการควบคุม ข้อมูลและการสื่อสาร และการตรวจสอบ

วิธีการ

โดยส่วนใหญ่ วิธีการเหล่านี้ประกอบด้วยองค์ประกอบต่อไปนี้ ดำเนินการ มากหรือน้อย ตามลำดับต่อไปนี้

  1. ระบุภัยคุกคาม
  2. ประเมินช่องโหว่ของสินทรัพย์ที่สำคัญต่อภัยคุกคามเฉพาะ
  3. กำหนดความเสี่ยง (กล่าวคือ แนวโน้มและผลที่ตามมาของการโจมตีประเภทเฉพาะบนสินทรัพย์เฉพาะ)
  4. ระบุวิธีการลดความเสี่ยงเหล่านั้น
  5. จัดลำดับความสำคัญของมาตรการลดความเสี่ยง

หลักการ

องค์การระหว่างประเทศเพื่อการมาตรฐาน (ISO) ระบุหลักการดังต่อไปของการบริหารความเสี่ยง: [4]

การจัดการความเสี่ยงควร:

  • สร้างมูลค่า – ทรัพยากรที่ใช้จ่ายเพื่อลดความเสี่ยงควรน้อยกว่าผลที่ตามมาของการไม่ดำเนินการ
  • เป็นส่วนหนึ่งของกระบวนการขององค์กร
  • ร่วมเป็นส่วนหนึ่งของกระบวนการตัดสินใจ
  • ระบุความไม่แน่นอนและสมมติฐานอย่างชัดเจน
  • เป็นกระบวนการที่เป็นระบบและมีโครงสร้าง
  • อยู่บนพื้นฐานของข้อมูลที่ดีที่สุด
  • ปรับแต่งได้
  • คำนึงถึงปัจจัยมนุษย์
  • โปร่งใสและครอบคลุม
  • เป็นไดนามิก ทำซ้ำ และตอบสนองต่อการเปลี่ยนแปลง
  • มีความสามารถในการปรับปรุงและปรับปรุงอย่างต่อเนื่อง
  • ได้รับการประเมินใหม่อย่างต่อเนื่องหรือเป็นระยะ

ความเสี่ยงเล็กน้อยกับความเสี่ยง

Benoit Mandelbrotแยกความแตกต่างระหว่างความเสี่ยง "เล็กน้อย" และ "รุนแรง" และให้เหตุผลว่าการประเมินความเสี่ยงและการจัดการจะต้องแตกต่างกันโดยพื้นฐานสำหรับความเสี่ยงทั้งสองประเภท[5]ความเสี่ยงเล็กน้อยเกิดขึ้นจากการแจกแจงความน่าจะเป็นแบบปกติหรือใกล้เคียงปกติอยู่ภายใต้การถดถอยของค่าเฉลี่ยและกฎของตัวเลขจำนวนมากดังนั้นจึงค่อนข้างคาดเดาได้ ความเสี่ยงตามธรรมชาติเกิดขึ้นจากการแจกแจงแบบ fat-tailedเช่นParetoหรือการกระจายอำนาจตามกฎหมายอยู่ภายใต้การถดถอยที่ส่วนท้าย (ค่าเฉลี่ยหรือความแปรปรวนอนันต์ทำให้กฎของตัวเลขจำนวนมากไม่ถูกต้องหรือไม่ได้ผล) และดังนั้นจึงยากหรือเป็นไปไม่ได้ที่จะทำนาย ข้อผิดพลาดทั่วไปในการประเมินความเสี่ยงและการจัดการคือการประเมินความเสี่ยงที่ดุร้าย โดยถือว่าความเสี่ยงนั้นไม่รุนแรงทั้งที่จริงแล้วเป็นความเสี่ยง ซึ่งต้องหลีกเลี่ยงหากการประเมินและการจัดการความเสี่ยงนั้นถูกต้องและเชื่อถือได้ ตามคำบอกของ Mandelbrot

กระบวนการ

ตามมาตรฐานISO 31000 "การบริหารความเสี่ยง – หลักการและแนวทางปฏิบัติในการนำไปปฏิบัติ" [3]กระบวนการจัดการความเสี่ยงประกอบด้วยหลายขั้นตอนดังนี้

การสร้างบริบท

สิ่งนี้เกี่ยวข้องกับ:

  1. การสังเกตบริบท
    • ขอบเขตทางสังคมของการบริหารความเสี่ยง
    • เอกลักษณ์และวัตถุประสงค์ของผู้มีส่วนได้เสีย
    • เกณฑ์การประเมินความเสี่ยง ข้อ จำกัด
  2. กำหนดกรอบการดำเนินงานและวาระเพื่อระบุตัวตน
  3. การพัฒนาการวิเคราะห์ความเสี่ยงที่เกี่ยวข้องในกระบวนการ
  4. บรรเทาหรือแก้ไขความเสี่ยงโดยใช้ทรัพยากรทางเทคโนโลยี มนุษย์ และองค์กรที่มีอยู่

บัตรประจำตัว

หลังจากกำหนดบริบทแล้ว ขั้นตอนต่อไปในกระบวนการจัดการความเสี่ยงคือการระบุความเสี่ยงที่อาจเกิดขึ้น ความเสี่ยงเกี่ยวกับเหตุการณ์ที่เมื่อถูกกระตุ้น ทำให้เกิดปัญหาหรือผลประโยชน์ ดังนั้นการระบุความเสี่ยงสามารถเริ่มต้นด้วยแหล่งที่มาของปัญหาและแหล่งที่มาของปัญหาของคู่แข่ง (ผลประโยชน์) หรือด้วยผลของปัญหา

  • การวิเคราะห์แหล่งที่มา[6] – แหล่งที่มาของความเสี่ยงอาจอยู่ภายในหรือภายนอกระบบที่เป็นเป้าหมายของการบริหารความเสี่ยง (ใช้การบรรเทาผลกระทบแทนการจัดการ เนื่องจากความเสี่ยงในคำจำกัดความของตัวเองเกี่ยวข้องกับปัจจัยในการตัดสินใจที่ไม่สามารถจัดการได้)

ตัวอย่างของแหล่งที่มาของความเสี่ยง ได้แก่ ผู้มีส่วนได้ส่วนเสียของโครงการ พนักงานของบริษัท หรือสภาพอากาศในสนามบิน

  • การวิเคราะห์ปัญหา[ ต้องการการอ้างอิง ] – ความเสี่ยงเกี่ยวข้องกับภัยคุกคามที่ระบุ ตัวอย่างเช่น การคุกคามของการสูญเสียเงิน การคุกคามของการใช้ข้อมูลลับในทางที่ผิด หรือการคุกคามของความผิดพลาดของมนุษย์ อุบัติเหตุและการบาดเจ็บล้มตาย ภัยคุกคามอาจเกิดขึ้นกับหน่วยงานต่างๆ ที่สำคัญที่สุดสำหรับผู้ถือหุ้น ลูกค้า และหน่วยงานด้านกฎหมาย เช่น รัฐบาล

เมื่อทราบแหล่งที่มาหรือปัญหาอย่างใดอย่างหนึ่ง สามารถตรวจสอบเหตุการณ์ที่แหล่งที่มาอาจทริกเกอร์หรือเหตุการณ์ที่อาจนำไปสู่ปัญหาได้ ตัวอย่างเช่น ผู้มีส่วนได้ส่วนเสียที่ถอนตัวระหว่างโครงการอาจเป็นอันตรายต่อเงินทุนของโครงการ ข้อมูลที่เป็นความลับอาจถูกขโมยโดยพนักงานแม้ภายในเครือข่ายปิด ฟ้าผ่ากระทบเครื่องบินในระหว่างการบินขึ้นอาจทำให้ทุกคนบนเครื่องเสียชีวิตทันที

วิธีการระบุความเสี่ยงที่เลือกอาจขึ้นอยู่กับวัฒนธรรม แนวปฏิบัติในอุตสาหกรรม และการปฏิบัติตามข้อกำหนด วิธีการระบุตัวตนเกิดขึ้นจากเทมเพลตหรือการพัฒนาเทมเพลตเพื่อระบุแหล่งที่มา ปัญหาหรือเหตุการณ์ วิธีการระบุความเสี่ยงทั่วไปคือ:

  • การระบุความเสี่ยงตามวัตถุประสงค์[ ต้องการอ้างอิง ] – องค์กรและทีมงานโครงการมีเป้าหมาย เหตุการณ์ใดๆ ที่อาจขัดขวางไม่ให้บรรลุวัตถุประสงค์จะถูกระบุเป็นความเสี่ยง
  • การระบุความเสี่ยงตามสถานการณ์ – ในการวิเคราะห์สถานการณ์จำลอง สถานการณ์จำลองต่างๆ จะถูกสร้างขึ้น สถานการณ์อาจเป็นอีกทางเลือกหนึ่งในการบรรลุวัตถุประสงค์ หรือการวิเคราะห์ปฏิสัมพันธ์ของกองกำลังใน ตัวอย่างเช่น ตลาดหรือการต่อสู้ เหตุการณ์ใดๆ ที่ก่อให้เกิดทางเลือกในสถานการณ์ที่ไม่ต้องการจะถูกระบุเป็นความเสี่ยง – ดูการศึกษาในอนาคตสำหรับวิธีการที่นักอนาคตนิยมใช้
  • การระบุความเสี่ยงตามอนุกรมวิธาน – อนุกรมวิธานในการระบุความเสี่ยงตามอนุกรมวิธานเป็นการแจกแจงแหล่งที่มาของความเสี่ยงที่เป็นไปได้ รวบรวมแบบสอบถามตามอนุกรมวิธานและความรู้เกี่ยวกับแนวทางปฏิบัติที่ดีที่สุด คำตอบของคำถามเผยให้เห็นความเสี่ยง [7]
  • การตรวจสอบความเสี่ยงทั่วไป[8] – ในหลายอุตสาหกรรม รายการมีความเสี่ยงที่ทราบอยู่แล้ว ความเสี่ยงแต่ละรายการในรายการสามารถตรวจสอบได้สำหรับการใช้งานกับสถานการณ์เฉพาะ [9]
  • แผนภูมิความเสี่ยง[10] – วิธีการนี้รวมแนวทางข้างต้นโดยแสดงรายการทรัพยากรที่มีความเสี่ยง ภัยคุกคามต่อทรัพยากรเหล่านั้น ปรับเปลี่ยนปัจจัยที่อาจเพิ่มหรือลดความเสี่ยงและผลที่ตามมาที่ต้องการหลีกเลี่ยง การสร้างเมทริกซ์ภายใต้หัวข้อเหล่านี้ทำให้เกิดแนวทางที่หลากหลาย เราสามารถเริ่มต้นด้วยทรัพยากรและพิจารณาภัยคุกคามที่พวกเขาเผชิญและผลที่ตามมาของแต่ละรายการ อีกทางหนึ่งสามารถเริ่มต้นด้วยภัยคุกคามและตรวจสอบว่าทรัพยากรใดบ้างที่จะได้รับผลกระทบ หรืออาจเริ่มต้นด้วยผลที่ตามมาและกำหนดว่าการผสมผสานระหว่างภัยคุกคามและทรัพยากรจะเกี่ยวข้องอย่างไร

การประเมิน

เมื่อมีการระบุความเสี่ยงแล้ว จะต้องประเมินความเสี่ยงต่อความรุนแรงของผลกระทบที่อาจเกิดขึ้น (โดยทั่วไปคือผลกระทบเชิงลบ เช่น ความเสียหายหรือการสูญเสีย) และความน่าจะเป็นที่จะเกิดขึ้น ปริมาณเหล่านี้สามารถวัดได้ง่าย ในกรณีของมูลค่าของอาคารที่สูญหาย หรือไม่สามารถทราบได้อย่างแน่นอนในกรณีที่เกิดเหตุการณ์ที่ไม่น่าจะเกิดขึ้น ซึ่งไม่ทราบความน่าจะเป็นของการเกิด ดังนั้นในการประเมินมันเป็นสิ่งสำคัญที่จะทำให้การตัดสินใจการศึกษาที่ดีที่สุดในการสั่งซื้อที่จะต้องจัดลำดับความสำคัญการดำเนินการตามแผนบริหารความเสี่ยง

แม้แต่การปรับปรุงในเชิงบวกในระยะสั้นก็สามารถส่งผลกระทบเชิงลบในระยะยาวได้ ยกตัวอย่าง "ทางด่วน" ขยายทางหลวงเพื่อให้สัญจรได้มากขึ้น ความจุของทราฟฟิกที่มากขึ้นนำไปสู่การพัฒนาที่มากขึ้นในพื้นที่โดยรอบความจุของทราฟฟิกที่ได้รับการปรับปรุง เมื่อเวลาผ่านไป การรับส่งข้อมูลจะเพิ่มขึ้นเพื่อเติมเต็มความจุที่มีอยู่ ทางด่วนจึงต้องขยายเป็นวงจรที่ดูเหมือนไม่มีที่สิ้นสุด มีตัวอย่างทางวิศวกรรมอื่นๆ อีกมากมายที่กำลังการผลิตที่เพิ่มขึ้น (เพื่อทำหน้าที่ใด ๆ ) จะถูกเติมเต็มโดยความต้องการที่เพิ่มขึ้นในไม่ช้า เนื่องจากการขยายตัวมีค่าใช้จ่าย การเติบโตที่ได้อาจไม่ยั่งยืนหากปราศจากการคาดการณ์และการจัดการ

ความยากลำบากพื้นฐานในการประเมินความเสี่ยงคือการกำหนดอัตราการเกิดขึ้น เนื่องจากข้อมูลทางสถิติไม่สามารถใช้ได้กับเหตุการณ์ในอดีตทุกประเภท และขาดแคลนโดยเฉพาะอย่างยิ่งในกรณีของเหตุการณ์ภัยพิบัติ เพียงเพราะไม่บ่อยนัก นอกจากนี้ การประเมินความรุนแรงของผลที่ตามมา (ผลกระทบ) มักจะเป็นเรื่องยากสำหรับสินทรัพย์ที่ไม่มีตัวตน การประเมินมูลค่าสินทรัพย์เป็นอีกคำถามหนึ่งที่ต้องแก้ไข ดังนั้นความคิดเห็นที่มีการศึกษาดีที่สุดและสถิติที่มีอยู่จึงเป็นแหล่งข้อมูลหลัก อย่างไรก็ตาม การประเมินความเสี่ยงควรจัดทำข้อมูลดังกล่าวสำหรับผู้บริหารระดับสูงขององค์กรว่าความเสี่ยงหลักนั้นง่ายต่อการเข้าใจ และอาจจัดลำดับความสำคัญของการตัดสินใจในการบริหารความเสี่ยงภายในเป้าหมายโดยรวมของบริษัท ดังนั้นจึงมีหลายทฤษฎีและพยายามหาปริมาณความเสี่ยงมีสูตรความเสี่ยงที่แตกต่างกันมากมาย แต่บางทีสูตรที่ยอมรับกันอย่างแพร่หลายสำหรับการวัดปริมาณความเสี่ยงคือ: "อัตรา (หรือความน่าจะเป็น) ของการเกิดคูณด้วยผลกระทบของเหตุการณ์เท่ากับขนาดความเสี่ยง"[ คลุมเครือ ]

ตัวเลือกความเสี่ยง

มาตรการบรรเทาความเสี่ยงมักจะกำหนดขึ้นตามตัวเลือกความเสี่ยงหลักอย่างน้อยหนึ่งตัวเลือกต่อไปนี้ ซึ่งได้แก่:

  1. ออกแบบกระบวนการทางธุรกิจใหม่ด้วยการควบคุมความเสี่ยงและมาตรการควบคุมที่มีอยู่ภายในอย่างเพียงพอตั้งแต่เริ่มต้น
  2. ประเมินความเสี่ยงที่ยอมรับในกระบวนการต่อเนื่องเป็นระยะๆ ซึ่งเป็นลักษณะปกติของการดำเนินธุรกิจและปรับเปลี่ยนมาตรการบรรเทาผลกระทบ
  3. โอนความเสี่ยงไปยังหน่วยงานภายนอก (เช่น บริษัทประกันภัย)
  4. หลีกเลี่ยงความเสี่ยงทั้งหมด (เช่น โดยการปิดพื้นที่ธุรกิจที่มีความเสี่ยงสูงโดยเฉพาะ)

การวิจัยในภายหลัง[11]แสดงให้เห็นว่าผลประโยชน์ทางการเงินของการบริหารความเสี่ยงนั้นขึ้นอยู่กับสูตรที่ใช้น้อยกว่า แต่ขึ้นอยู่กับความถี่และวิธีการประเมินความเสี่ยงมากกว่า

ในธุรกิจ จำเป็นต้องสามารถนำเสนอผลการประเมินความเสี่ยงในด้านการเงิน ตลาด หรือกำหนดการได้ Robert Courtney Jr. (IBM, 1970) เสนอสูตรสำหรับการนำเสนอความเสี่ยงในแง่การเงิน สูตรของคอร์ทนี่ย์ได้รับการยอมรับว่าเป็นวิธีวิเคราะห์ความเสี่ยงอย่างเป็นทางการสำหรับหน่วยงานรัฐบาลสหรัฐฯ สูตรนี้เสนอการคำนวณ ALE (อายุคาดการสูญเสียรายปี) และเปรียบเทียบมูลค่าการสูญเสียที่คาดหวังกับค่าใช้จ่ายในการดำเนินการควบคุมความปลอดภัย ( การวิเคราะห์ต้นทุนและผลประโยชน์ )

การรักษาความเสี่ยงที่อาจเกิดขึ้น

เมื่อระบุและประเมินความเสี่ยงแล้ว เทคนิคทั้งหมดในการจัดการความเสี่ยงจะจัดอยู่ในหมวดหมู่หลักสี่ประเภทหลักดังต่อไปนี้: [12]

  • การหลีกเลี่ยง (กำจัด ถอนตัว หรือไม่เข้ามาเกี่ยวข้อง)
  • ลด (เพิ่มประสิทธิภาพ – บรรเทา)
  • การแบ่งปัน (โอน – จ้างภายนอกหรือประกัน)
  • การเก็บรักษา (ยอมรับและงบประมาณ)

การใช้กลยุทธ์การควบคุมความเสี่ยงเหล่านี้ในอุดมคติอาจไม่สามารถทำได้ บางส่วนอาจเกี่ยวข้องกับการแลกเปลี่ยนที่ไม่เป็นที่ยอมรับขององค์กรหรือบุคคลที่ทำการตัดสินใจด้านการบริหารความเสี่ยง แหล่งข้อมูลอื่นจากกระทรวงกลาโหมสหรัฐฯ (ดูลิงก์) Defense Acquisition Universityเรียกหมวดหมู่เหล่านี้ว่า ACAT เพื่อการหลีกเลี่ยง ควบคุม ยอมรับ หรือโอน การใช้ตัวย่อ ACAT นี้ทำให้นึกถึง ACAT อื่น (สำหรับหมวดการจัดหา) ที่ใช้ในการจัดซื้อจัดจ้างในอุตสาหกรรมการป้องกันประเทศของสหรัฐฯ ซึ่งการบริหารความเสี่ยงมีบทบาทสำคัญในการตัดสินใจและการวางแผน

การหลีกเลี่ยงความเสี่ยง

ซึ่งรวมถึงการไม่ทำกิจกรรมที่อาจก่อให้เกิดความเสี่ยง การปฏิเสธที่จะซื้อทรัพย์สินหรือธุรกิจเพื่อหลีกเลี่ยงความรับผิดทางกฎหมายเป็นตัวอย่างหนึ่งดังกล่าว หลีกเลี่ยงเครื่องบินเที่ยวบินความกลัวของการหักหลัง การหลีกเลี่ยงอาจดูเหมือนเป็นคำตอบของความเสี่ยงทั้งหมด แต่การหลีกเลี่ยงความเสี่ยงยังหมายถึงการสูญเสียกำไรที่อาจเกิดขึ้นซึ่งยอมรับ (รักษา) ความเสี่ยงที่อาจอนุญาตไว้ การไม่เข้าสู่ธุรกิจเพื่อหลีกเลี่ยงความเสี่ยงของการสูญเสีย ยังหลีกเลี่ยงความเป็นไปได้ในการสร้างรายได้ด้วย การควบคุมความเสี่ยงที่เพิ่มขึ้นในโรงพยาบาลนำไปสู่การหลีกเลี่ยงการรักษาภาวะเสี่ยงสูง เพื่อประโยชน์ของผู้ป่วยที่มีความเสี่ยงต่ำ [13]

การลดความเสี่ยง

การลดความเสี่ยงหรือ "การเพิ่มประสิทธิภาพ" เกี่ยวข้องกับการลดความรุนแรงของการสูญเสียหรือโอกาสที่การสูญเสียจะเกิดขึ้น ตัวอย่างเช่นสปริงเกลอร์ถูกออกแบบมาเพื่อดับไฟเพื่อลดความเสี่ยงของการสูญเสียจากไฟไหม้ วิธีนี้อาจทำให้สูญเสียมากขึ้นจากความเสียหายจากน้ำ ดังนั้นจึงอาจไม่เหมาะฮาลอนระบบดับเพลิงอาจลดความเสี่ยงที่ แต่ค่าใช้จ่ายอาจจะห้ามปรามเป็นกลยุทธ์

การยอมรับว่าความเสี่ยงอาจเป็นบวกหรือลบ การเพิ่มความเสี่ยงหมายถึงการหาสมดุลระหว่างความเสี่ยงด้านลบกับประโยชน์ของการดำเนินการหรือกิจกรรม และระหว่างการลดความเสี่ยงและความพยายามที่ใช้ ด้วยการใช้มาตรฐานการจัดการด้านสุขภาพ ความปลอดภัย และสิ่งแวดล้อม (HSE) อย่างมีประสิทธิภาพองค์กรสามารถบรรลุระดับความเสี่ยงที่เหลือที่ยอมรับได้ [14]

วิธีการพัฒนาซอฟต์แวร์สมัยใหม่ช่วยลดความเสี่ยงโดยการพัฒนาและส่งมอบซอฟต์แวร์ทีละน้อย วิธีการในช่วงต้นได้รับความเดือดร้อนจากข้อเท็จจริงที่ว่าพวกเขาส่งมอบซอฟต์แวร์ในช่วงสุดท้ายของการพัฒนาเท่านั้น ปัญหาใดๆ ที่พบในระยะก่อนหน้านี้หมายถึงการทำงานซ้ำที่มีราคาแพง และมักจะเป็นอันตรายต่อทั้งโครงการ ด้วยการพัฒนาแบบวนซ้ำ โครงการซอฟต์แวร์สามารถจำกัดความพยายามที่สูญเปล่าให้เหลือเพียงการทำซ้ำเพียงครั้งเดียว

การเอาท์ซอร์สอาจเป็นตัวอย่างหนึ่งของกลยุทธ์การแบ่งปันความเสี่ยง หากผู้เอาต์ซอร์ซสามารถแสดงให้เห็นถึงความสามารถที่สูงขึ้นในการจัดการหรือลดความเสี่ยง [15]ตัวอย่างเช่น บริษัทอาจจ้างเฉพาะการพัฒนาซอฟต์แวร์ การผลิตสินค้าหนัก หรือการสนับสนุนลูกค้าไปยังบริษัทอื่น ในขณะที่จัดการธุรกิจด้วยตัวมันเอง ด้วยวิธีนี้ บริษัทสามารถมุ่งความสนใจไปที่การพัฒนาธุรกิจมากขึ้นโดยไม่ต้องกังวลเรื่องกระบวนการผลิต การจัดการทีมพัฒนา หรือการหาที่ตั้งจริงสำหรับศูนย์

การแบ่งปันความเสี่ยง

กำหนดโดยย่อว่า "การแบ่งปันภาระของการสูญเสียหรือผลประโยชน์กับอีกฝ่ายหนึ่งจากความเสี่ยงและมาตรการเพื่อลดความเสี่ยง"

คำว่า 'การโอนความเสี่ยง' มักใช้แทนการแบ่งปันความเสี่ยงในความเชื่อที่ผิดพลาดว่าคุณสามารถโอนความเสี่ยงไปยังบุคคลที่สามได้ผ่านการประกันภัยหรือการเอาท์ซอร์ส ในทางปฏิบัติ หากบริษัทประกันภัยหรือผู้รับเหมาล้มละลายหรือต้องขึ้นศาล ความเสี่ยงเดิมมีแนวโน้มที่จะเปลี่ยนกลับเป็นฝ่ายที่หนึ่ง ดังนั้น ในคำศัพท์ของผู้ปฏิบัติงานและนักวิชาการ การซื้อสัญญาประกันจึงมักถูกอธิบายว่าเป็น "การโอนความเสี่ยง" อย่างไรก็ตาม ในทางเทคนิคแล้ว ผู้ซื้อสัญญาโดยทั่วไปยังคงรับผิดชอบทางกฎหมายสำหรับความสูญเสียที่ "โอน" ซึ่งหมายความว่าการประกันภัยอาจอธิบายได้แม่นยำยิ่งขึ้นว่าเป็นกลไกการชดเชยหลังเหตุการณ์ ตัวอย่างเช่น กรมธรรม์ประกันภัยการบาดเจ็บส่วนบุคคลไม่ได้โอนความเสี่ยงของอุบัติเหตุทางรถยนต์ให้กับบริษัทประกันภัยความเสี่ยงยังคงอยู่กับผู้ถือกรมธรรม์คือผู้ประสบอุบัติเหตุ กรมธรรม์ประกันภัยระบุว่า หากเกิดอุบัติเหตุ (เหตุการณ์) ขึ้นที่เกี่ยวข้องกับผู้ถือกรมธรรม์ อาจมีการจ่ายค่าชดเชยบางส่วนให้กับผู้ถือกรมธรรม์ที่สอดคล้องกับความทุกข์ทรมาน/ความเสียหาย

วิธีการจัดการความเสี่ยงแบ่งออกเป็นหลายประเภท กลุ่มการรักษาความเสี่ยงเป็นการรักษาความเสี่ยงสำหรับกลุ่มในทางเทคนิค แต่การแพร่กระจายไปทั่วทั้งกลุ่มเกี่ยวข้องกับการถ่ายโอนระหว่างสมาชิกแต่ละคนในกลุ่ม ซึ่งแตกต่างจากการประกันภัยแบบเดิม คือ ไม่มีการแลกเปลี่ยนเบี้ยประกันภัยระหว่างสมาชิกของกลุ่มล่วงหน้า แต่จะประเมินความสูญเสียให้กับสมาชิกทุกคนในกลุ่ม

การรักษาความเสี่ยง

การรักษาความเสี่ยงเกี่ยวข้องกับการยอมรับความสูญเสียหรือผลประโยชน์ที่ได้รับจากความเสี่ยงเมื่อเกิดเหตุการณ์ขึ้นการประกันภัยตนเองที่แท้จริงอยู่ในหมวดนี้ การรักษาความเสี่ยงเป็นกลยุทธ์ที่ใช้ได้จริงสำหรับความเสี่ยงเล็กๆ น้อยๆ ซึ่งค่าใช้จ่ายในการประกันความเสี่ยงจะเพิ่มขึ้นเมื่อเวลาผ่านไปมากกว่าความสูญเสียทั้งหมดที่เกิดขึ้น ความเสี่ยงทั้งหมดที่ไม่ได้หลีกเลี่ยงหรือโอนจะถูกเก็บไว้โดยค่าเริ่มต้น ซึ่งรวมถึงความเสี่ยงที่มีขนาดใหญ่หรือร้ายแรงจนไม่สามารถทำประกันได้หรือเบี้ยประกันจะเป็นไปไม่ได้สงครามเป็นตัวอย่างเนื่องจากทรัพย์สินและความเสี่ยงส่วนใหญ่ไม่ได้รับการประกันจากสงคราม ดังนั้นความสูญเสียที่เกิดจากสงครามจะยังคงอยู่โดยผู้เอาประกันภัย นอกจากนี้ จำนวนเงินที่อาจสูญเสีย (ความเสี่ยง) ที่อาจเกิดขึ้นจากจำนวนเงินเอาประกันภัยจะยังคงมีความเสี่ยงอยู่ สิ่งนี้อาจยอมรับได้เช่นกันหากโอกาสของการสูญเสียครั้งใหญ่มากมีน้อยหรือหากค่าใช้จ่ายในการประกันสำหรับจำนวนเงินที่มากขึ้นนั้นสูงมากจนจะเป็นอุปสรรคต่อเป้าหมายขององค์กรมากเกินไป

แผนการบริหารความเสี่ยง

เลือกการควบคุมหรือมาตรการรับมือที่เหมาะสมเพื่อลดความเสี่ยงแต่ละอย่าง การลดความเสี่ยงต้องได้รับการอนุมัติจากผู้บริหารระดับที่เหมาะสม ตัวอย่างเช่น ความเสี่ยงเกี่ยวกับภาพลักษณ์ขององค์กรควรมีการตัดสินใจของผู้บริหารระดับสูงอยู่เบื้องหลัง ในขณะที่ฝ่ายบริหารไอทีจะมีอำนาจตัดสินใจเกี่ยวกับความเสี่ยงจากไวรัสคอมพิวเตอร์

แผนการจัดการความเสี่ยงควรเสนอการควบคุมความปลอดภัยที่เกี่ยวข้องและมีประสิทธิภาพสำหรับการจัดการความเสี่ยง ตัวอย่างเช่น ความเสี่ยงสูงจากไวรัสคอมพิวเตอร์ที่สังเกตพบสามารถบรรเทาได้ด้วยการซื้อและใช้ซอฟต์แวร์ป้องกันไวรัส แผนการจัดการความเสี่ยงที่ดีควรมีกำหนดการสำหรับการดำเนินการควบคุมและผู้รับผิดชอบในการดำเนินการดังกล่าว

ตามISO/IEC 27001ขั้นตอนทันทีหลังจากเสร็จสิ้นขั้นตอนการประเมินความเสี่ยงประกอบด้วยการเตรียมแผนการรักษาความเสี่ยง ซึ่งควรจัดทำเอกสารประกอบการตัดสินใจเกี่ยวกับวิธีจัดการกับความเสี่ยงที่ระบุแต่ละรายการ การลดความเสี่ยงมักจะหมายถึงการเลือกการควบคุมความปลอดภัยซึ่งควรจัดทำเป็นเอกสารในแถลงการณ์การบังคับใช้ ซึ่งระบุว่าวัตถุประสงค์การควบคุมและการควบคุมใดจากมาตรฐานที่ได้รับเลือก และเพราะเหตุใด

การนำไปใช้

การดำเนินการเป็นไปตามวิธีการที่วางแผนไว้ทั้งหมดเพื่อบรรเทาผลกระทบของความเสี่ยง ซื้อกรมธรรม์ประกันภัยสำหรับความเสี่ยงที่ตัดสินใจโอนไปยังผู้ประกันตน หลีกเลี่ยงความเสี่ยงทั้งหมดที่สามารถหลีกเลี่ยงได้โดยไม่ต้องเสียสละเป้าหมายของกิจการ ลดผู้อื่น และรักษาส่วนที่เหลือ

ทบทวนและประเมินผลแผน

แผนการจัดการความเสี่ยงเบื้องต้นจะไม่มีวันสมบูรณ์แบบ การปฏิบัติ ประสบการณ์ และผลการสูญเสียที่แท้จริงจะทำให้แผนมีการเปลี่ยนแปลงและให้ข้อมูลเพื่อให้สามารถตัดสินใจที่แตกต่างกันได้ในการจัดการกับความเสี่ยงที่กำลังเผชิญ

ควรมีการปรับปรุงผลการวิเคราะห์ความเสี่ยงและแผนการจัดการเป็นระยะ มีเหตุผลหลักสองประการสำหรับสิ่งนี้:

  1. เพื่อประเมินว่าการควบคุมความปลอดภัยที่เลือกไว้ก่อนหน้านี้ยังคงใช้บังคับและมีประสิทธิภาพอยู่หรือไม่
  2. เพื่อประเมินการเปลี่ยนแปลงระดับความเสี่ยงที่อาจเกิดขึ้นในสภาพแวดล้อมทางธุรกิจ ตัวอย่างเช่น ความเสี่ยงด้านข้อมูลเป็นตัวอย่างที่ดีของสภาพแวดล้อมทางธุรกิจที่เปลี่ยนแปลงอย่างรวดเร็ว

ข้อจำกัด

การจัดลำดับความสำคัญของกระบวนการบริหารความเสี่ยงสูงเกินไปอาจทำให้องค์กรไม่สามารถทำโครงการให้เสร็จหรือเริ่มต้นได้ โดยเฉพาะอย่างยิ่งหากงานอื่นถูกระงับจนกว่ากระบวนการบริหารความเสี่ยงจะถือว่าสมบูรณ์

นอกจากนี้ยังเป็นสิ่งสำคัญที่จะเก็บไว้ในใจความแตกต่างระหว่างความเสี่ยงและความไม่แน่นอน ความเสี่ยงสามารถวัดได้จากผลกระทบ x ความน่าจะเป็น

หากความเสี่ยงได้รับการประเมินและจัดลำดับความสำคัญอย่างไม่เหมาะสม อาจเสียเวลาในการจัดการกับความเสี่ยงที่จะสูญเสียที่ไม่น่าจะเกิดขึ้นได้ ควรหลีกเลี่ยงการใช้เวลามากเกินไปในการประเมินและจัดการความเสี่ยงที่ไม่น่าจะเกิดขึ้น เหตุการณ์ที่ไม่น่าจะเกิดขึ้นได้เกิดขึ้น แต่ถ้าความเสี่ยงไม่น่าจะเกิดขึ้นได้ มันอาจจะดีกว่าที่จะรักษาความเสี่ยงไว้และจัดการกับผลลัพธ์หากความสูญเสียเกิดขึ้นจริง การประเมินความเสี่ยงเชิงคุณภาพเป็นเรื่องส่วนตัวและขาดความสม่ำเสมอ เหตุผลหลักสำหรับกระบวนการประเมินความเสี่ยงอย่างเป็นทางการคือถูกกฎหมายและเป็นทางการ

พื้นที่

การเงิน

ในฐานะที่นำไปใช้กับการบัญชีการเงิน , การบริหารความเสี่ยงเป็นเทคนิคสำหรับการวัดการตรวจสอบและการควบคุมทางการเงินหรือความเสี่ยงในการดำเนินงานเกี่ยวกับ บริษัท ของงบดุลวัดแบบดั้งเดิมเป็นค่าที่มีความเสี่ยงมี (VaR) แต่ยังมีมาตรการอื่น ๆ เช่นผลกำไรที่มีความเสี่ยง ( PAR) หรืออัตรากำไรขั้นต้นที่มีความเสี่ยง Basel IIแบ่งกรอบความเสี่ยงเข้าสู่ความเสี่ยงด้านตลาด (ความเสี่ยงด้านราคา) ความเสี่ยงด้านเครดิตและความเสี่ยงในการดำเนินงานและยังระบุวิธีการสำหรับการคำนวณความต้องการเงินทุนสำหรับแต่ละองค์ประกอบเหล่านี้

เทคโนโลยีสารสนเทศ

ในเทคโนโลยีสารสนเทศ การจัดการความเสี่ยงรวมถึง "การจัดการเหตุการณ์" แผนปฏิบัติการสำหรับการจัดการกับการบุกรุก การโจรกรรมทางไซเบอร์ การปฏิเสธการบริการ อัคคีภัย น้ำท่วม และเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยอื่นๆ ตามที่สถาบัน SANS , [16]มันเป็นกระบวนการขั้นตอนที่หก: การเตรียมบัตรประจำตัว, บรรจุกำจัด, การกู้คืนและบทเรียน

การบริหารความเสี่ยงตามสัญญา

แนวคิดของ "การบริหารความเสี่ยงตามสัญญา" เน้นการใช้เทคนิคการบริหารความเสี่ยงในการปรับใช้สัญญา กล่าวคือ การจัดการความเสี่ยงที่ยอมรับผ่านการทำสัญญา Petri Keskitalo นักวิชาการชาวนอร์เวย์ให้คำจำกัดความ "การบริหารความเสี่ยงตามสัญญา" ว่าเป็น "วิธีการทำสัญญาเชิงปฏิบัติเชิงรุกและเป็นระบบที่ใช้การวางแผนสัญญาและการกำกับดูแลเพื่อจัดการความเสี่ยงที่เกี่ยวข้องกับกิจกรรมทางธุรกิจ" [17]ในบทความของซามูเอล กรีนการ์ดที่ตีพิมพ์ในปี 2010 มีการกล่าวถึงคดีทางกฎหมายสองคดีของสหรัฐฯ ซึ่งเน้นย้ำถึงความสำคัญของการมีกลยุทธ์ในการจัดการกับความเสี่ยง: [18]

  • UDC v. CH2M Hillซึ่งเกี่ยวข้องกับความเสี่ยงกับที่ปรึกษามืออาชีพที่ลงนามในข้อกำหนดการชดใช้ค่าเสียหายรวมถึงการยอมรับหน้าที่ในการปกป้องซึ่งอาจรับค่าใช้จ่ายทางกฎหมายในการปกป้องลูกค้าภายใต้การเรียกร้องจากบุคคลที่สาม[ 19]
  • Witt v. La Gorce Country Club ซึ่งเกี่ยวข้องกับประสิทธิผลของข้อจำกัดความรับผิดซึ่งอาจพบว่าใช้ไม่ได้ผลในเขตอำนาจศาลบางแห่ง (20)

กรีนการ์ดแนะนำให้ใช้ภาษาสัญญาที่เป็นมาตรฐานอุตสาหกรรมให้มากที่สุดเพื่อลดความเสี่ยงได้มากที่สุด และอาศัยประโยคที่มีการใช้งานและอยู่ภายใต้การตีความของศาลในช่วงหลายปีที่ผ่านมา [18]

สถาบันหน่วยความจำ (พิพิธภัณฑ์ ห้องสมุด และจดหมายเหตุ)

องค์กร

ในการบริหารความเสี่ยงขององค์กร ความเสี่ยงถูกกำหนดให้เป็นเหตุการณ์หรือสถานการณ์ที่เป็นไปได้ที่อาจมีอิทธิพลเชิงลบต่อองค์กรที่เป็นปัญหา ผลกระทบของมันสามารถต่อการมีอยู่จริง ทรัพยากร (มนุษย์และทุน) ผลิตภัณฑ์และบริการ หรือลูกค้าขององค์กร ตลอดจนผลกระทบภายนอกต่อสังคม ตลาด หรือสิ่งแวดล้อม ในสถาบันการเงิน การบริหารความเสี่ยงขององค์กรมักถูกมองว่าเป็นการรวมความเสี่ยงด้านเครดิต ความเสี่ยงจากอัตราดอกเบี้ยหรือการจัดการหนี้สินของสินทรัพย์ความเสี่ยงด้านสภาพคล่อง ความเสี่ยงด้านตลาด และความเสี่ยงด้านปฏิบัติการ

ในกรณีทั่วไป ความเสี่ยงที่เป็นไปได้ทั้งหมดสามารถมีแผนที่กำหนดไว้ล่วงหน้าเพื่อจัดการกับผลที่ตามมา (เพื่อให้แน่ใจว่ามีเหตุการณ์ฉุกเฉินเกิดขึ้นหากความเสี่ยงกลายเป็นหนี้สิน )

จากข้อมูลข้างต้นและต้นทุนเฉลี่ยต่อพนักงานในช่วงเวลาหนึ่ง หรืออัตราส่วนต้นทุนคงค้างผู้จัดการโครงการสามารถประมาณการ:

  • ต้นทุนที่เกี่ยวข้องกับความเสี่ยงหากเกิดขึ้น ประมาณการโดยการคูณต้นทุนพนักงานต่อหน่วยเวลาด้วยเวลาที่สูญเสียไปโดยประมาณ ( ผลกระทบต่อต้นทุน , Cโดยที่C = อัตราส่วนต้นทุนคงค้าง * S ).
  • เวลาที่น่าจะเพิ่มขึ้นที่เกี่ยวข้องกับความเสี่ยง ( ความแปรปรวนของกำหนดการเนื่องจากความเสี่ยง , Rsโดยที่ Rs = P * S):
    • การจัดเรียงตามค่านี้ทำให้เกิดความเสี่ยงสูงสุดกับกำหนดการก่อน สิ่งนี้มีจุดมุ่งหมายเพื่อก่อให้เกิดความเสี่ยงที่ยิ่งใหญ่ที่สุดต่อโครงการที่จะดำเนินการก่อน เพื่อลดความเสี่ยงให้น้อยที่สุดโดยเร็วที่สุด
    • สิ่งนี้ทำให้เข้าใจผิดเล็กน้อยเนื่องจากความแปรปรวนของกำหนดการกับ P ขนาดใหญ่และ S ขนาดเล็ก และในทางกลับกันนั้นไม่เท่ากัน (ความเสี่ยงที่เรือ RMS Titanic จะจม เทียบกับการเสิร์ฟอาหารของผู้โดยสารผิดเวลาเล็กน้อย)
  • การเพิ่มขึ้นของต้นทุนที่น่าจะเกี่ยวข้องกับความเสี่ยง ( ความแปรปรวนของต้นทุนเนื่องจากความเสี่ยง , Rcโดยที่ Rc = P*C = P*CAR*S = P*S*CAR)
    • การจัดเรียงตามค่านี้ทำให้เกิดความเสี่ยงสูงสุดกับงบประมาณก่อน
    • ดูข้อกังวลเกี่ยวกับความแปรปรวนของกำหนดการเนื่องจากนี่คือฟังก์ชันของมัน ดังที่แสดงไว้ในสมการข้างต้น

ความเสี่ยงในโครงการหรือกระบวนการอาจเกิดจากความแปรปรวนของสาเหตุพิเศษหรือสาเหตุทั่วไปและต้องได้รับการดูแลอย่างเหมาะสม นั่นคือการตอกย้ำข้อกังวลเกี่ยวกับกรณีสุดโต่งที่ไม่เท่ากันในรายการด้านบนทันที

ความปลอดภัยขององค์กร

ESRM เป็นแนวทางการจัดการโปรแกรมความปลอดภัยที่เชื่อมโยงกิจกรรมความปลอดภัยกับภารกิจขององค์กรและเป้าหมายทางธุรกิจผ่านวิธีการจัดการความเสี่ยง บทบาทของผู้นำด้านความปลอดภัยใน ESRM คือการจัดการความเสี่ยงของความเสียหายต่อทรัพย์สินขององค์กรโดยร่วมมือกับผู้นำธุรกิจที่ทรัพย์สินมีความเสี่ยงเหล่านั้น ESRM เกี่ยวข้องกับการให้ความรู้แก่ผู้นำธุรกิจเกี่ยวกับผลกระทบที่เป็นจริงของความเสี่ยงที่ระบุ การนำเสนอกลยุทธ์ที่เป็นไปได้เพื่อลดผลกระทบเหล่านั้น จากนั้นจึงใช้ตัวเลือกที่ธุรกิจเลือกโดยสอดคล้องกับระดับการยอมรับความเสี่ยงทางธุรกิจที่ยอมรับได้[21]

เครื่องมือแพทย์

สำหรับอุปกรณ์ทางการแพทย์การจัดการความเสี่ยงเป็นกระบวนการในการระบุ ประเมิน และบรรเทาความเสี่ยงที่เกี่ยวข้องกับอันตรายต่อผู้คนและความเสียหายต่อทรัพย์สินหรือสิ่งแวดล้อม การจัดการความเสี่ยงเป็นส่วนสำคัญของการออกแบบและพัฒนาเครื่องมือแพทย์ กระบวนการผลิต และการประเมินประสบการณ์ภาคสนาม และใช้ได้กับเครื่องมือแพทย์ทุกประเภท หลักฐานของการประยุกต์ใช้เป็นสิ่งจำเป็นโดยหน่วยงานกำกับดูแลมากที่สุดเช่นองค์การอาหารและยาสหรัฐการจัดการความเสี่ยงสำหรับอุปกรณ์การแพทย์ได้รับการอธิบายโดยองค์การระหว่างประเทศเพื่อการมาตรฐาน (ISO) ในISO 14971: 2019, Medical Devices— การนำการบริหารความเสี่ยงมาประยุกต์ใช้กับอุปกรณ์การแพทย์ มาตรฐานความปลอดภัยของผลิตภัณฑ์ มาตรฐานกำหนดกรอบกระบวนการและข้อกำหนดที่เกี่ยวข้องสำหรับความรับผิดชอบในการจัดการ การวิเคราะห์และประเมินความเสี่ยง การควบคุมความเสี่ยง และการจัดการความเสี่ยงตลอดอายุการใช้งาน คำแนะนำในการใช้งานมาตรฐานสามารถดูได้ทาง ISO/TR 24971:2020

มาตรฐานการจัดการความเสี่ยงเวอร์ชันยุโรปได้รับการปรับปรุงในปี 2552 และอีกครั้งในปี 2555 เพื่ออ้างถึงการแก้ไขข้อกำหนดอุปกรณ์การแพทย์ (MDD) และการแก้ไขคำสั่งอุปกรณ์ทางการแพทย์ที่ปลูกถ่ายได้ (AIMDD) ในปี 2550 รวมถึงข้อกำหนดอุปกรณ์การแพทย์ในหลอดทดลอง (IVDD) ). ข้อกำหนดของ EN 14971:2012 เกือบจะเหมือนกับ ISO 14971:2007 ความแตกต่างรวมถึงภาคผนวก Z "(ข้อมูล)" สามภาคที่อ้างถึง MDD, AIMDD และ IVDD ใหม่ ภาคผนวกเหล่านี้ระบุการเบี่ยงเบนของเนื้อหาซึ่งรวมถึงข้อกำหนดสำหรับความเสี่ยงที่จะลดลงให้มากที่สุดและข้อกำหนดที่ความเสี่ยงจะได้รับการบรรเทาโดยการออกแบบและไม่ได้โดยการติดฉลากบนอุปกรณ์ทางการแพทย์ (กล่าวคือ ไม่สามารถใช้การติดฉลากเพื่อลดความเสี่ยงได้อีกต่อไป)

โดยทั่วไปการวิเคราะห์และการประเมินความเสี่ยงเทคนิคนำโดยอุตสาหกรรมอุปกรณ์ทางการแพทย์รวมถึงการวิเคราะห์อันตราย , การวิเคราะห์ต้นไม้ความผิด (FTA) โหมดความล้มเหลวและการวิเคราะห์ผลกระทบ (FMEA) อันตรายและการศึกษาการทำงาน ( HAZOP ) และการวิเคราะห์ตรวจสอบย้อนกลับมีความเสี่ยงในการตรวจสอบการควบคุมความเสี่ยงที่จะดำเนินการ และมีประสิทธิภาพ (เช่น ความเสี่ยงในการติดตามข้อกำหนดของผลิตภัณฑ์ ข้อกำหนดการออกแบบ ผลการตรวจสอบและการตรวจสอบ ฯลฯ) การวิเคราะห์ FTA ต้องใช้ซอฟต์แวร์สร้างไดอะแกรม การวิเคราะห์ FMEA สามารถทำได้โดยใช้โปรแกรมสเปรดชีตนอกจากนี้ยังมีโซลูชันการจัดการความเสี่ยงด้านเครื่องมือแพทย์แบบบูรณาการอีกด้วย

ผ่านร่างคำแนะนำอย. ได้แนะนำวิธีการอื่นที่เรียกว่า "Safety Assurance Case" สำหรับการวิเคราะห์การประกันความปลอดภัยของอุปกรณ์ทางการแพทย์ กรณีการประกันความปลอดภัยเป็นการโต้แย้งที่มีโครงสร้างโดยให้เหตุผลเกี่ยวกับระบบที่เหมาะสมสำหรับนักวิทยาศาสตร์และวิศวกร ซึ่งได้รับการสนับสนุนจากหลักฐานที่เป็นหลักฐาน ซึ่งให้กรณีที่น่าสนใจ เข้าใจได้ และใช้ได้จริงว่าระบบนั้นปลอดภัยสำหรับการใช้งานที่กำหนดในสภาพแวดล้อมที่กำหนด ตามแนวทางนี้ เราคาดหวังให้มีการประกันความปลอดภัยสำหรับอุปกรณ์ที่มีความสำคัญต่อความปลอดภัย (เช่น อุปกรณ์สำหรับการฉีด) ซึ่งเป็นส่วนหนึ่งของการยื่นขอใบอนุญาตก่อนออกสู่ตลาด เช่น 510(k) ในปี พ.ศ. 2556 องค์การอาหารและยา (FDA) ได้แนะนำร่างคำแนะนำอีกฉบับหนึ่งซึ่งคาดว่าผู้ผลิตอุปกรณ์ทางการแพทย์จะส่งข้อมูลการวิเคราะห์ความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์

การจัดการโครงการ

การบริหารความเสี่ยงของโครงการต้องได้รับการพิจารณาในขั้นตอนต่างๆ ของการได้มา ในช่วงเริ่มต้นของโครงการ ความก้าวหน้าของการพัฒนาทางเทคนิคหรือภัยคุกคามที่นำเสนอโดยโครงการของคู่แข่ง อาจทำให้เกิดการประเมินความเสี่ยงหรือภัยคุกคาม และการประเมินทางเลือกในภายหลัง (ดู การวิเคราะห์ทางเลือก ) เมื่อตัดสินใจและเริ่มโครงการแล้ว สามารถใช้แอปพลิเคชันการจัดการโครงการที่คุ้นเคยมากขึ้น: [22] [23] [24]

  • การวางแผนว่าจะจัดการความเสี่ยงอย่างไรในโครงการนั้นๆ แผนควรรวมถึงงานบริหารความเสี่ยง ความรับผิดชอบ กิจกรรมและงบประมาณ
  • การมอบหมายเจ้าหน้าที่ความเสี่ยง – สมาชิกในทีมนอกเหนือจากผู้จัดการโครงการที่รับผิดชอบในการคาดการณ์ปัญหาที่อาจเกิดขึ้นของโครงการ ลักษณะทั่วไปของเจ้าหน้าที่ความเสี่ยงคือความกังขาที่ดี
  • การรักษาฐานข้อมูลความเสี่ยงโครงการสด ความเสี่ยงแต่ละอย่างควรมีลักษณะดังต่อไปนี้: วันที่เปิด ชื่อ คำอธิบายสั้นๆ ความน่าจะเป็น และความสำคัญ ทางเลือกความเสี่ยงอาจมีบุคคลที่ได้รับมอบหมายซึ่งรับผิดชอบในการแก้ปัญหาและวันที่จะต้องแก้ไขความเสี่ยง
  • การสร้างช่องทางการรายงานความเสี่ยงแบบไม่เปิดเผยตัวตน สมาชิกในทีมแต่ละคนควรมีความเป็นไปได้ที่จะรายงานความเสี่ยงที่เขา/เธอคาดการณ์ไว้ในโครงการ
  • จัดทำแผนบรรเทาความเสี่ยงที่เลือกบรรเทา วัตถุประสงค์ของแผนการบรรเทาผลกระทบคือการอธิบายว่าจะจัดการกับความเสี่ยงนี้อย่างไร เมื่อใด โดยใคร และจะทำอย่างไรเพื่อหลีกเลี่ยงหรือลดผลที่ตามมาหากกลายเป็นความรับผิดชอบ
  • สรุปความเสี่ยงที่วางแผนไว้และเผชิญหน้า ประสิทธิผลของกิจกรรมบรรเทาผลกระทบ และความพยายามที่ใช้ไปในการบริหารความเสี่ยง

เมกะโปรเจกต์ (โครงสร้างพื้นฐาน)

เมกะโปรเจกต์ (บางครั้งเรียกอีกอย่างว่า "โปรแกรมหลัก") เป็นโครงการลงทุนขนาดใหญ่ โดยทั่วไปแล้วจะมีราคามากกว่า 1 พันล้านดอลลาร์ต่อโครงการ โครงการขนาดใหญ่ประกอบด้วยสะพาน อุโมงค์ ทางหลวง ทางรถไฟ สนามบิน ท่าเรือ โรงไฟฟ้า เขื่อน โครงการน้ำเสีย แผนป้องกันน้ำท่วมชายฝั่ง โครงการสกัดน้ำมันและก๊าซธรรมชาติ อาคารสาธารณะ ระบบเทคโนโลยีสารสนเทศ โครงการการบินและอวกาศ และระบบป้องกัน โครงการเมกะโปรเจกต์มีความเสี่ยงเป็นพิเศษในแง่ของการเงิน ความปลอดภัย และผลกระทบทางสังคมและสิ่งแวดล้อม การบริหารความเสี่ยงจึงมีความเกี่ยวข้องเป็นพิเศษสำหรับเมกะโปรเจกต์และวิธีการพิเศษ และได้มีการพัฒนาการศึกษาพิเศษเพื่อการบริหารความเสี่ยงดังกล่าว [25]

ภัยธรรมชาติ

มันเป็นสิ่งสำคัญในการประเมินความเสี่ยงในเรื่องภัยพิบัติทางธรรมชาติเช่นน้ำท่วม , แผ่นดินไหวและอื่น ๆ ผลลัพธ์ของการประเมินความเสี่ยงจากภัยพิบัติทางธรรมชาติมีค่าเมื่อพิจารณาถึงต้นทุนการซ่อมแซมในอนาคต การสูญเสียการหยุดชะงักของธุรกิจและการหยุดทำงานอื่นๆ ผลกระทบต่อสิ่งแวดล้อม ต้นทุนการประกันภัย และต้นทุนที่เสนอเพื่อลดความเสี่ยง [26] [27] Sendai กรอบสำหรับการลดความเสี่ยงจากภัยพิบัติเป็นคอร์ดนานาชาติ 2015 ที่ได้มีการกำหนดเป้าหมายและเป้าหมายในการลดความเสี่ยงจากภัยพิบัติในการตอบสนองต่อภัยพิบัติทางธรรมชาติ [28]มีการประชุมนานาชาติเรื่องภัยพิบัติและความเสี่ยงเป็นประจำในดาวอส เพื่อจัดการกับการบริหารความเสี่ยงแบบบูรณาการ

เครื่องมือต่างๆสามารถนำมาใช้ในการประเมินความเสี่ยงและการบริหารความเสี่ยงจากภัยธรรมชาติและเหตุการณ์สภาพอากาศอื่น ๆ รวมทั้งการสร้างแบบจำลองเชิงพื้นที่เป็นองค์ประกอบสำคัญของวิทยาศาสตร์การเปลี่ยนแปลงที่ดิน แบบจำลองนี้ต้องการความเข้าใจเกี่ยวกับการกระจายตัวของประชากรตามพื้นที่ ตลอดจนความสามารถในการคำนวณความน่าจะเป็นที่จะเกิดภัยธรรมชาติ

ถิ่นทุรกันดาร

การจัดการความเสี่ยงต่อบุคคลและทรัพย์สินในถิ่นทุรกันดารและพื้นที่ธรรมชาติที่ห่างไกลได้พัฒนาขึ้นด้วยการเพิ่มการมีส่วนร่วมในนันทนาการกลางแจ้งและความอดทนต่อการสูญเสียทางสังคมลดลง องค์กรที่มอบประสบการณ์ความเป็นป่าเชิงพาณิชย์ในเชิงพาณิชย์สามารถจัดให้สอดคล้องกับมาตรฐานฉันทามติระดับชาติและระดับนานาชาติสำหรับการฝึกอบรมและอุปกรณ์ เช่นANSI /NASBLA 101-2017 (การล่องเรือ) [29] UIAA 152 (เครื่องมือปีนเขาน้ำแข็ง) [30]และมาตรฐานยุโรป 13089:2015 + A1:2015 (อุปกรณ์ปีนเขา) [31] [32]สมาคมเพื่อประสบการณ์การศึกษาข้อเสนอได้รับการรับรองสำหรับโปรแกรมการผจญภัยที่รกร้างว่างเปล่า[33]ดิการประชุมการจัดการความเสี่ยงด้านความเป็นป่าให้การเข้าถึงแนวทางปฏิบัติที่ดีที่สุด และองค์กรผู้เชี่ยวชาญจะให้คำปรึกษาและฝึกอบรมการจัดการความเสี่ยงด้านความเป็นป่า [34]

ในหนังสือของเขาOutdoor Leadership and Educationนักปีนเขา นักการศึกษากลางแจ้ง และผู้แต่งAri Schneiderตั้งข้อสังเกตว่าการพักผ่อนหย่อนใจกลางแจ้งนั้นมีความเสี่ยงโดยเนื้อแท้ และไม่มีทางที่จะขจัดความเสี่ยงได้ทั้งหมด อย่างไรก็ตาม เขาอธิบายว่านั่นเป็นสิ่งที่ดีสำหรับโปรแกรมการศึกษากลางแจ้งได้อย่างไร ตามคำบอกเล่าของชไนเดอร์ การผจญภัยที่เหมาะสมที่สุดจะเกิดขึ้นได้ก็ต่อเมื่อความเสี่ยงที่แท้จริงได้รับการจัดการและรับรู้ความเสี่ยงนั้นคงอยู่ เพื่อรักษาอันตรายที่เกิดขึ้นจริงให้ต่ำและความรู้สึกของการผจญภัยอยู่ในระดับสูง [35]

ข้อความ Outdoor Safety - Risk Management for Outdoor Leaders, [36] ซึ่งจัดพิมพ์โดย New Zealand Mountain Safety Council ให้ทัศนะเกี่ยวกับการจัดการความเสี่ยงความเป็นป่าจากมุมมองของนิวซีแลนด์ โดยตระหนักถึงคุณค่าของกฎหมายว่าด้วยความปลอดภัยกลางแจ้งระดับชาติ และให้ความสำคัญกับ บทบาทของกระบวนการตัดสินและตัดสินใจในการจัดการความเสี่ยงความเป็นป่า

โมเดลยอดนิยมสำหรับการประเมินความเสี่ยงคือ โมเดลการประเมินความเสี่ยงและการจัดการความปลอดภัย (RASM) ที่พัฒนาโดย Rick Curtis ผู้เขียน The Backpacker's Field Manual [35]สูตรสำหรับแบบจำลอง RASM คือ: ความเสี่ยง = ความน่าจะเป็นของอุบัติเหตุ x ความรุนแรงของผลที่ตามมา แบบจำลอง RASM ชั่งน้ำหนักความเสี่ยงด้านลบ—ศักยภาพในการสูญเสีย เทียบกับความเสี่ยงเชิงบวก—ศักยภาพในการเติบโต

เทคโนโลยีสารสนเทศ

ความเสี่ยงด้านไอทีเป็นความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ นี่เป็นคำศัพท์ที่ค่อนข้างใหม่เนื่องจากการรับรู้ที่เพิ่มขึ้นว่าความปลอดภัยของข้อมูลเป็นเพียงความเสี่ยงด้านหนึ่งที่เกี่ยวข้องกับไอทีและกระบวนการในโลกแห่งความเป็นจริงที่สนับสนุน "ความปลอดภัยทางไซเบอร์เชื่อมโยงกับความก้าวหน้าของเทคโนโลยีอย่างใกล้ชิด มันล่าช้าเพียงนานพอสำหรับสิ่งจูงใจเช่นตลาดมืดที่จะวิวัฒนาการและการค้นพบการหาประโยชน์ใหม่ ๆ ความก้าวหน้าของเทคโนโลยีไม่มีที่สิ้นสุดดังนั้นเราจึงคาดหวังได้เช่นเดียวกันจากความปลอดภัยทางไซเบอร์ ." [37]

ISACA 's ความเสี่ยงไอทีสัมพันธ์กรอบไอทีความเสี่ยงที่จะบริหารความเสี่ยงขององค์กร

Duty of Care Risk Analysis (DoCRA) [38]ประเมินความเสี่ยงและการป้องกันและพิจารณาผลประโยชน์ของทุกฝ่ายที่อาจได้รับผลกระทบจากความเสี่ยงเหล่านั้น

ปิโตรเลียมและก๊าซธรรมชาติ

สำหรับอุตสาหกรรมน้ำมันและก๊าซนอกชายฝั่ง การจัดการความเสี่ยงด้านปฏิบัติการถูกควบคุมโดยระบบกรณีด้านความปลอดภัยในหลายประเทศ เครื่องมือและเทคนิคในการระบุอันตรายและการประเมินความเสี่ยงได้อธิบายไว้ในมาตรฐานสากล ISO 17776:2000 และองค์กรต่างๆ เช่น IADC ( International Association of Drilling Contractors ) เผยแพร่แนวทางการพัฒนากรณีด้านสุขภาพ ความปลอดภัย และสิ่งแวดล้อม (HSE) ซึ่งอิงตาม มาตรฐานไอเอสโอ นอกจากนี้ หน่วยงานกำกับดูแลของรัฐบาลมักคาดหวังให้การแสดงแผนภาพของเหตุการณ์ที่เป็นอันตรายซึ่งเป็นส่วนหนึ่งของการจัดการความเสี่ยงในการยื่นเรื่องความปลอดภัย เหล่านี้เรียกว่าไดอะแกรมผูกโบว์ (ดูทฤษฎีเครือข่ายในการประเมินความเสี่ยง). เทคนิคนี้ยังใช้โดยองค์กรและหน่วยงานกำกับดูแลในการทำเหมือง การบิน สุขภาพ การป้องกันประเทศ อุตสาหกรรม และการเงิน

ภาคเภสัชกรรม

มีการใช้หลักการและเครื่องมือสำหรับการจัดการความเสี่ยงด้านคุณภาพกับแง่มุมต่างๆ ของระบบคุณภาพยามากขึ้น ประเด็นเหล่านี้รวมถึงกระบวนการพัฒนา การผลิต การจัดจำหน่าย การตรวจสอบ และการส่ง/ทบทวนตลอดวงจรชีวิตของสารยา ผลิตภัณฑ์ยา ผลิตภัณฑ์ชีวภาพและเทคโนโลยีชีวภาพ (รวมถึงการใช้วัตถุดิบ ตัวทำละลาย สารเพิ่มปริมาณ บรรจุภัณฑ์และฉลากในผลิตภัณฑ์ยา ผลิตภัณฑ์ชีวภาพและเทคโนโลยีชีวภาพ) การจัดการความเสี่ยงยังนำไปใช้กับการประเมินการปนเปื้อนทางจุลชีววิทยาที่เกี่ยวข้องกับผลิตภัณฑ์ยาและสภาพแวดล้อมการผลิตในห้องปลอดเชื้อ [39]

การสื่อสารความเสี่ยง

การสื่อสารความเสี่ยงเป็นสาขาวิชาการข้ามสาขาที่ซับซ้อนซึ่งเกี่ยวข้องกับค่านิยมหลักของกลุ่มเป้าหมาย[40] [41]ปัญหาสำหรับผู้สื่อสารความเสี่ยงเกี่ยวข้องกับการเข้าถึงกลุ่มเป้าหมาย วิธีทำให้ความเสี่ยงเข้าใจได้และสัมพันธ์กับความเสี่ยงอื่น ๆ วิธีการให้ความเคารพอย่างเหมาะสมกับค่านิยมที่เกี่ยวข้องกับความเสี่ยง วิธีทำนายการตอบสนองของผู้ฟัง เพื่อการสื่อสาร ฯลฯ เป้าหมายหลักของการสื่อสารความเสี่ยงคือการปรับปรุงการตัดสินใจโดยรวมและส่วนบุคคล การสื่อสารความเสี่ยงค่อนข้างเกี่ยวข้องกับการสื่อสารในภาวะวิกฤตแต่มีความแตกต่างที่ชัดเจน การสื่อสารความเสี่ยงเกี่ยวข้องกับความเสี่ยงที่อาจเกิดขึ้นและมีเป้าหมายเพื่อสร้างความตระหนักในความเสี่ยงเหล่านั้นเพื่อส่งเสริมหรือชักชวนให้มีการเปลี่ยนแปลงพฤติกรรมเพื่อบรรเทาภัยคุกคามในระยะยาว ในทางกลับกัน การสื่อสารในภาวะวิกฤตมีเป้าหมายเพื่อสร้างความตระหนักรู้ถึงภัยคุกคามประเภทใดประเภทหนึ่ง ขนาด ผลลัพธ์ และพฤติกรรมเฉพาะที่จะนำมาใช้เพื่อลดภัยคุกคาม[42]ผู้เชี่ยวชาญบางคนตรงกันว่าความเสี่ยงไม่เพียงแต่ฝังรากอยู่ในกระบวนการสื่อสารเท่านั้น แต่ยังไม่สามารถแยกออกจากการใช้ภาษาได้ แม้ว่าแต่ละวัฒนธรรมจะพัฒนาความกลัวและความเสี่ยงของตนเอง แต่การตีความเหล่านี้ใช้ได้เฉพาะกับวัฒนธรรมการเป็นเจ้าภาพเท่านั้น

การสื่อสารความเสี่ยงและการมีส่วนร่วมของชุมชน (RCCE) เป็นวิธีการที่ใช้อาสาสมัคร บุคลากรแนวหน้า และผู้คนโดยไม่ได้รับการฝึกอบรมล่วงหน้าในด้านนี้ [43]

ดูเพิ่มเติม

อ้างอิง

  1. อรรถเป็น ฮับบาร์ด ดักลาส (2009) ความล้มเหลวของการจัดการความเสี่ยง: เหตุใดจึงใช้งานไม่ได้และจะแก้ไขได้อย่างไร จอห์น ไวลีย์ แอนด์ ซันส์. NS. 46.
  2. ^ a b ISO/IEC Guide 73:2009 (2009). การบริหารความเสี่ยง - คำศัพท์ องค์การระหว่างประเทศเพื่อการมาตรฐาน
  3. ^ ISO / DIS 31000 (2009) การบริหารความเสี่ยง - หลักการและแนวทางในการดำเนินงาน องค์การระหว่างประเทศเพื่อการมาตรฐาน .
  4. ^ "ร่างคณะกรรมการบริหารความเสี่ยง ISO 31000" (PDF) . องค์การระหว่างประเทศเพื่อการมาตรฐาน . 2550-06-15. เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2009-03-25
  5. ^ ทาจิกิสถาน, เบอนัวต์และริชาร์ดแอลฮัดสัน (2008) (ที่ผิดพลาด) พฤติกรรมของตลาด: เศษส่วนมุมมองของความเสี่ยงและความเสียหายของรางวัล ลอนดอน: หนังสือโปรไฟล์. ISBN 9781846682629.
  6. ^ "การระบุความเสี่ยง" (PDF) . โคมูนิแดด เดอ มาดริด NS. 3.
  7. ^ การระบุความเสี่ยงมหาวิทยาลัยเชียงใหม่ / SEI-93-TR-6 อนุกรมวิธานตามในอุตสาหกรรมซอฟต์แวร์ Sei.cmu.edu. สืบค้นเมื่อ 2012-04-17.
  8. ^ "การบริหารความเสี่ยงระบบรายการตรวจสอบ (รายการทั่วไป)" (PDF) www.fsa.go.jpn
  9. ^ รายการช่องโหว่และการเปิดเผยทั่วไป Cve.mitre.org สืบค้นเมื่อ 2012-04-17.
  10. ^ Crockford นีล (1986) บทนำสู่การบริหารความเสี่ยง (2 ed.) เคมบริดจ์ สหราชอาณาจักร: วูดเฮด-โฟล์คเนอร์ NS. 18. ISBN 0-85941-332-2.
  11. ^ "คำถามสอบ CRISC" . สืบค้นเมื่อ23 ก.พ. 2018 .
  12. ^ Dorfman, มาร์คเอ (2007) ความรู้เบื้องต้นเกี่ยวกับการบริหารความเสี่ยงและการประกันภัย (9 ed.). หน้าผาแองเกิลวูด รัฐนิวเจอร์ซี: Prentice Hall ISBN 978-0-13-224227-1.
  13. ^ McGivern เจอร์รี่; ฟิสเชอร์, ไมเคิล ดี. (1 กุมภาพันธ์ 2555). "การเกิดปฏิกิริยาและปฏิกิริยาความโปร่งใสกฎระเบียบในยาจิตบำบัดและการให้คำปรึกษา" (PDF) สังคมศาสตร์และการแพทย์ . 74 (3): 289–296. ดอย : 10.1016/j.socscimed.2011.09.035 . PMID 22104085 .  
  14. ^ IADC HSE Case Guidelines for Mobile Offshore Drilling Units 3.2, Section 4.7
  15. ^ โรห์ ริก พี (2006). "เดิมพันในการกำกับดูแลการบริหารความเสี่ยงเอาท์ซอร์ส" ธุรกิจแนวโน้มไตรมาส
  16. ^ SANS Glossary of Security Termsสืบค้นเมื่อ 2016-11-13
  17. ^ University of Tromsø, Contractual Risk Management (C-RM)เข้าถึงเมื่อ 6 มกราคม 2021
  18. ^ a b Greengard, S. (2010), The Difference Is in the Details , Engineering Inc., กันยายน/ตุลาคม 2010, หน้า 13-15
  19. ^ UDC–UNIVERSAL DEVELOPMENT, LP, Cross–Complainant and Respondent, v. CH2M HILL, Cross–Defendant and Appellant , Court of Appeal, Sixth District, California, 15 มกราคม 2010, เข้าถึงเมื่อ 7 มกราคม 2021
  20. State of Florida, Witt v. La Gorce Country Club , Third District Court of Appeal, 10 มิถุนายน 2009, เข้าถึงเมื่อ 6 มกราคม 2021
  21. ^ ASIS https://www.asisonline.org/publications--resources/news/blog/esrm-an-enduring-security-risk-model/
  22. ^ Lev Virine และไมเคิล Trumper การตัดสินใจโครงการ: ศิลปะและวิทยาศาสตร์ . (2007). แนวคิดการจัดการ เวียนนา. เวอร์จิเนีย ไอ978-1-56726-217-9 
  23. ^ Lev Virine และไมเคิล Trumper ProjectThink: ทำไมผู้จัดการที่ดีสร้างทางเลือกโครงการที่น่าสงสาร Gower Pub Co. ISBN 978-1409454984 
  24. ^ Peter Simon และ David Hillson, การจัดการความเสี่ยงเชิงปฏิบัติ: วิธีการของ ATOM (2012) แนวคิดการจัดการ เวียนนา เวอร์จิเนีย ISBN 978-1567263664 
  25. ^ Oxford BT Center for Major Program Management
  26. ^ เบอร์แมน, อลัน. การสร้างแผนความต่อเนื่องทางธุรกิจที่ประสบความสำเร็จ นิตยสารประกันภัยธุรกิจ , 9 มีนาคม 2558. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan
  27. เครก เทย์เลอร์; อีริค แวนมาร์ค สหพันธ์ (2002). กระบวนการความเสี่ยงที่ยอมรับได้: สายใยและภัยธรรมชาติ เรสตัน เวอร์จิเนีย: ASCE, TCLEE ISBN 9780784406236. เก็บถาวรจากต้นฉบับเมื่อ 2013-12-03
  28. ^ โรว์ลิ่ง, เมแกน (2015-03-18). "แผนภัยพิบัติระดับโลกใหม่ ตั้งเป้าลดความเสี่ยง ขาดทุน | Reuters" . สำนักข่าวรอยเตอร์ สืบค้นเมื่อ2016-01-13 .
  29. ^ "แห่งชาติอเมริกันมาตรฐาน ANSI / NASBLA 101-2017: พื้นฐานความรู้ของพายเรือ - มนุษย์ขับเคลื่อน" (PDF) สืบค้นเมื่อ2018-11-01 .
  30. ^ "UIAA มาตรฐาน 152: เครื่องมือน้ำแข็ง" (PDF) สืบค้นเมื่อ2018-11-01 .
  31. ^ "EN 13089 อุปกรณ์ปีนเขา - เครื่องมือทำน้ำแข็ง - ข้อกำหนดด้านความปลอดภัยและวิธีการทดสอบ (รวมถึงการแก้ไข A1:2015)" . สืบค้นเมื่อ2018-11-01 .
  32. ^ "ไอริชมาตรฐาน Isen 13089: 2011 + A1: 2015 ปีนเขาอุปกรณ์ - ไอซ์เครื่องมือ - ความต้องการความปลอดภัยและวิธีการทดสอบ" (PDF) สืบค้นเมื่อ2018-11-01 .
  33. ^ "สมาคมเพื่อการศึกษาเชิงประสบการณ์" . สืบค้นเมื่อ2018-11-01 .
  34. ^ "บริการความเสี่ยงของ NOLS" . สืบค้นเมื่อ2018-11-01 .
  35. a b Schneider, Ari (23 พฤษภาคม 2018). ผู้นำกลางแจ้งและการศึกษา ISBN 9781732348202.
  36. ^ Haddock (2013). ความปลอดภัยกลางแจ้ง: การบริหารความเสี่ยงสำหรับผู้นำกลางแจ้ง เวลลิงตัน นิวซีแลนด์: สภาความปลอดภัยบนภูเขาแห่งนิวซีแลนด์ ISBN 9780908931309.
  37. ^ อาร์โนลด์, ร็อบ (2017). Cybersecurity: โซลูชันทางธุรกิจ ร่างภัยคุกคาม NS. 4. ISBN 978-0692944158.
  38. ^ "หน้าที่ในการดูแลการวิเคราะห์ความเสี่ยงมาตรฐาน (DoCRA)" โดครา .
  39. ^ Saghee M, Sandle T, Tidswell E (บรรณาธิการ) (2011) จุลชีววิทยาและการประกันความเป็นหมันในยาและอุปกรณ์การแพทย์ (ฉบับที่ 1) ขอบฟ้าธุรกิจ ISBN 978-8190646741.CS1 maint: multiple names: authors list (link) CS1 maint: extra text: authors list (link)
  40. ^ การสื่อสารความเสี่ยงรองพื้นเครื่องมือและเทคนิค ศูนย์สาธารณสุขกองทัพเรือและนาวิกโยธิน
  41. ^ ความเสี่ยงความเข้าใจทฤษฎีการสื่อสาร: คู่มือสำหรับผู้จัดการฉุกเฉินและการสื่อสาร รายงานต่อฝ่ายปัจจัยมนุษย์/พฤติกรรมศาสตร์ ผู้อำนวยการฝ่ายวิทยาศาสตร์และเทคโนโลยี กระทรวงความมั่นคงแห่งมาตุภูมิแห่งสหรัฐอเมริกา (พฤษภาคม 2555)
  42. ^ REYNOLDS บาร์บาร่า; ซีเกอร์, แมทธิว ดับเบิลยู. (2005-02-23). "การสื่อสารวิกฤตและความเสี่ยงฉุกเฉินในรูปแบบเชิงบูรณาการ" . วารสาร สื่อสาร สุขภาพ . 10 (1): 43–55. ดอย : 10.1080/10810730590904571 . ISSN 1081-0730 . PMID 15764443 . S2CID 16810613 .   
  43. ^ "การสื่อสารความเสี่ยงและความผูกพันของชุมชน (RCCE) การพิจารณา: Ebola การตอบสนองในสาธารณรัฐประชาธิปไตยคองโก" ใคร . 2018 . สืบค้นเมื่อ1 พฤษภาคม 2020 .

ลิงค์ภายนอก