Mengapa risiko terbesar adalah risiko yang belum anda petakan lagi
Imran Zia MSc., CPA, FCA, FCCA, CIA, CISA, CFE, CRMA, CRMP
Pengurusan risiko gagal. Bukan kerana organisasi tidak menilai risiko, tetapi kerana mereka tersilap klasifikasi untuk kawalan. Peta haba, metrik risiko dan senarai risiko sepuluh teratas menawarkan ilusi ketepatan, namun ia melakukan sedikit untuk memacu tindakan sebenar. Persoalan sebenar mungkin bukan, "Apakah risiko terbesar kita?" tetapi sebaliknya, "Di mana kita harus bertindak, dan pada kos apa?"
Untuk menyampaikan nilai sebenar, kita perlu mencabar amalan pengurusan risiko konvensional dan memikirkan semula cara kita menilai, mengutamakan dan bertindak balas terhadap ketidakpastian. Mari kita bongkar perkara ini dengan lebih lanjut.
1. Mengemukakan Soalan yang Betul – Ujian Sebenar Pengurusan Risiko
Ukuran pertama dan paling asas bagi kaedah pengurusan risiko yang berkesan adalah mudah. Adakah ia memberitahu kita di mana dan berapa banyak kita boleh mengurangkan risiko, dan pada kos berapa? Sebarang pendekatan yang gagal menjawab soalan ini secara eksplisit dan khusus tidak memenuhi standard pengurusan risiko sebenar.
Terlalu kerap, organisasi bergantung pada kaedah yang mengklasifikasikan risiko ke dalam kategori tinggi, sederhana atau rendah atau membuat senarai "sepuluh risiko teratas". Walaupun ini mungkin merupakan langkah awal dalam proses pengurusan risiko, ia tidak menutup gelung. Peta haba sahaja tidak memacu tindakan; ia hanya menyusun risiko ke dalam segmen berkod warna.
2. Perangkap Pengkategorian – Ilusi Kawalan
Menyenaraikan risiko dan memberikannya kepada kategori yang luas boleh mewujudkan rasa selamat yang palsu. Masalahnya bukan sahaja organisasi menggunakan alat ini, tetapi mereka tersilap klasifikasi untuk tindakan.
Sebagai contoh, syarikat mungkin melabelkan risiko projek sebagai 42, risiko siber sebagai "kuning", risiko keselamatan sebagai "sederhana", dan risiko portfolio dengan Nisbah Sharpe 1.1. Tetapi apa yang sebenarnya diberitahu oleh ini kepada kita? Bolehkah pembuat keputusan bertindak dengan yakin berdasarkan maklumat ini? Jika pelancaran produk baharu mempunyai peluang kegagalan 5%, bagaimanakah ia dibandingkan dengan risiko kewangan, kawal selia atau reputasi? Jika klasifikasi risiko tidak membawa kepada tindakan yang boleh diukur, ia tidak lebih daripada latihan akademik.
3. Pengurus Risiko Mesti Mengandaikan Senarai Mereka Tidak Lengkap
Kelemahan kritikal banyak rangka kerja risiko ialah andaian bahawa risiko yang dikenal pasti adalah satu-satunya yang penting. Risiko yang tidak ada dalam radar tidak boleh diuruskan sama sekali.
Pengurus risiko mesti menyedari bahawa senarai risiko mereka, tidak kira betapa komprehensifnya, sememangnya tidak lengkap. Cabarannya bukan sahaja mengenal pasti risiko yang diketahui tetapi memastikan titik buta tidak menyebabkan organisasi terdedah. Taksonomi risiko boleh membantu menyusun pemikiran, tetapi ia tidak menjamin bahawa semua risiko kritikal ditangkap.
4. Mengukur Keberkesanan Pengurangan Risiko
Pengurusan risiko mesti melangkaui klasifikasi dan memberi tumpuan kepada keberkesanan strategi mitigasi. Organisasi tidak boleh hanya bertanya, "Apakah risiko terbesar kita?" tetapi sebaliknya, "Di manakah kita perlu melabur untuk mengurangkan risiko dengan paling berkesan?"
Pertimbangkan senario di mana syarikat mempunyai $2 juta untuk diperuntukkan untuk pengurangan risiko. Sekiranya ia:
a) Belanjakannya untuk mengurangkan risiko kedua terbesar sebanyak 50%?
b) Gunakan jumlah yang sama untuk menghapuskan tiga risiko yang berada di luar lima teratas?
Tanpa rangka kerja penilaian untuk pulangan mitigasi, keputusan seperti ini dibuat sewenang-wenangnya dan bukannya strategik. Pengurusan risiko mesti diutamakan berdasarkan kesan sebenar, bukan hanya keterukan yang dirasakan.
5. Keberkesanan Kaedah Pengurusan Risiko yang Tidak Disahkan
Satu lagi isu utama ialah banyak teknik pengurusan risiko yang digunakan secara meluas tidak mempunyai bukti empirikal tentang keberkesanannya. Walaupun beberapa komponen pengurusan risiko telah diuji dengan teliti, yang lain berterusan semata-mata kerana ia adalah amalan biasa, bukan kerana ia berfungsi.
Yang mengejutkan, beberapa pendekatan pengurusan risiko telah terbukti memperkenalkan lebih banyak kesilapan daripada meningkatkan hasil. Jika organisasi bergantung pada kaedah tanpa rekod prestasi yang terbukti, ia pada asasnya membuat keputusan berdasarkan andaian dan bukannya data.
6. Masa Depan Pengurusan Risiko – Integrasi ke dalam Strategi
Untuk benar-benar berkesan, pengurusan risiko mesti dijalin ke dalam perancangan strategik dan membuat keputusan dan bukannya wujud sebagai fungsi kendiri. Melihat risiko secara berasingan mengehadkan kaitannya. Sebaliknya, risiko harus dinilai dalam konteks bagaimana ia mempengaruhi objektif perniagaan.
Pengurus risiko perlu bergerak melangkaui alat statik dan:
Bergantung pada peta haba dan sistem klasifikasi mungkin terasa seperti pengurusan risiko, tetapi tanpa tindakan langsung, ia hanyalah ilusi kawalan. Untuk menyampaikan nilai sebenar, organisasi mesti beralih daripada menilai risiko secara pasif kepada mengurangkannya secara aktif.
Pengurus risiko yang paling berkesan bukan sahaja mengenal pasti dan melabelkan risiko, mereka membenamkan risikan risiko ke dalam membuat keputusan, memastikan bahawa organisasi bukan sahaja menyedari risiko tetapi menguruskannya secara aktif.
Good list .. especially: 1) the sense that a risk listing would never be complete, 2) the fact that risk assessments without appropriate actions is key 3) the reality that there are tough choices to make in terms of resourcing mitigation actions I would add some key points as follows: A) The importance of risk appetite choices B) The importance of timely and clear MI (KPIs and KRIs) and the power of using tools such as the BowTie diagram to better design risk mitigations and measures C) The whole “human factors” question, which means behavioural risks must always be in the mix (including office politics) .. and there’s a huge amount to learn from aviation, D) When you look at the root causes of project /strategy failures this can be because of resourcing blind spots (as discussed) but also because of unclear priorities as well as a failure to recognise dilemmas - eg deliver the project to budget OR on time ?
Asim Ali Abid - FCCA, CIA Agreed. A risk heat map might highlight concerns, but it doesn’t drive decisions. The real value lies in understanding which risks impact strategic objectives and warrant action. Risk management should be dynamic, not just a classification exercise.
Mapped? Perhaps: defined or analyzed? It’s not like a risk is traveling and needs directions.
#4 is sorely lacking in the sub-field of compliance risk management, where remedial strategies are often put into place without considering their effectiveness.
This is absent the context of what you are trying to achieve: your enterprise objectives. Without that, you can't determine what the ROI (the R being the improvement in likelihood and/or extent of success) would be. nor how much you really need to invest.