Bedriftsrisiko kommer fra å ha ufullkommen informasjon. De potensielle konsekvensene av risiko er hovedsakelig økonomisk tap på grunn av investeringer i produkter, vekst, oppkjøp eller aksjer som mislykkes. Men eksistensen av risiko er også det som skaper profitt, og høyere risiko og høyere potensielle belønninger går hånd i hånd. Risiko er lik sannsynligheten for svikt ganger konsekvensene av svikt, noe som gjør at vi kan ta en kvantitativ tilnærming til måling av risiko. Utfør en risikovurdering før du gjør disse investeringene slik at du forstår de potensielle nedsidene og kan legge til rette for strategier for å redusere arbeidet.
Lag en risikoanalysematrise. Dette er et regneark som inneholder rader for risikoområdene, inkludert produkter, markeder, finans og utførelse eller operasjoner, og kolonner for hver del av analysen, inkludert aktiviteter eller aspekter av disse aktivitetene, trussel, unmitigated risikonivå, sannsynlighet for Threat Occurrence, Mitigation Strategy, og redusert risikonivå.
Oppgi de spesifikke aktivitetene i hvert av de risikoområdene du vil analysere. For eksempel, i produktrisikoområdet, kan aktiviteten være ny produktutvikling, og operasjonsrisikoen kan være å inngå en ny leverandør for en av dine kritiske komponenter. Du kan ha flere aktiviteter for hvert risikoområde.
For hver aktivitet bestemme trusselen, sannsynligheten for at det vil oppstå, og utfallet hvis det er uberørt. For eksempel, hvis aktiviteten din distribuerer et nytt stykke programvare over hele bedriften, kan en trussel være at den mislykkes mens du er midt i bytte fra den gamle programvaren. Sannsynligheten for denne feilen i henhold til produsenten er 5 prosent, og konsekvensene, forutsatt at du ikke har noen begrensende strategier på plass, er 2 timer tapt arbeid for alle i selskapet mens du setter den gamle programvaren tilbake online. Beregn det 2 timer i forhold til den totale økonomiske virkningen på selskapet, og formidle den ganger 5 prosent sannsynligheten. Oppgi dette nummeret som det unmitigated Risk Level. (Hvis det ikke er noen kvantifiserbar dollarfigur, bruk en 1 til 5 skala, hvor 1 er tilfeldig og 5 er katastrofale.)
Beskriv begrensningsstrategien for hver aktivitet og beregne dens innvirkning på risikonivået. I eksemplet ovenfor kan det hende at IT-avdelingen din oppretter et automatisert backup-system som kan gjenopprette den gamle programvaren innen 5 minutter i stedet for 2 timer. Du kan også kjøpe en ekstra støttepakke som reduserer sannsynligheten for katastrofale svikt til 0,1 prosent. Beregn kostnadene for organisasjonen av det 5 minutter pluss kostnaden for å opprette den automatiske sikkerhetskopien, eller støttepakken pluss den nye verdien av 2 timer ganger 0,01 prosent. Dette er ditt reduserte risikonivå.
Når du har beregnet de reduserte risikonivåene for hver av aktivitetene dine, legger du til risikonivåene for hver aktivitet innenfor et risikofelt for å komme frem til risikoen for dette området av virksomheten. Du bør da kunne se om risikoen din er høyest i produkt, økonomi, drift og så videre. Dette bør tillate deg å bestemme hvilket område av virksomheten du trenger mest oppmerksomhet for å lindre og / eller redusere risiko.
