Bedrijfsrisico komt van het hebben van onvolmaakte informatie. De potentiële gevolgen van risico zijn voornamelijk financieel verlies als gevolg van investeringen in producten, groei, overnames of aandelen die falen. Het bestaan van risico is echter ook wat winst creëert, en hogere risico's en hogere potentiële beloningen gaan hand in hand. Risico is gelijk aan de kans op falen keer de gevolgen van falen, wat ons in staat stelt een kwantitatieve benadering te hanteren bij het meten van risico's. Voer een risicobeoordeling uit voordat u die investeringen doet, zodat u de mogelijke negatieve kanten begrijpt en de beperkingsstrategieën kunt gebruiken.
Maak een matrix voor risicoanalyse. Dit is een spreadsheet met rijen voor de risicogebieden, waaronder Producten, Markten, Financiën en Uitvoering of Operaties, en kolommen voor elk onderdeel van de analyse, inclusief Activiteiten of Aspecten van die activiteiten, Bedreiging, Onverminderd Risiconiveau, Waarschijnlijkheid van Dreigingsvoorval, beperkingsstrategie en gemitigeerd risiconiveau.
Maak een lijst van de specifieke activiteiten in elk van de risicogebieden die u zult analyseren. In het gebied Productrisico bijvoorbeeld, kan de activiteit New Product Development zijn en kan het Operations-risico een nieuwe leverancier zijn voor een van uw kritieke componenten. Mogelijk hebt u meerdere activiteiten voor elk risicogebied.
Bepaal voor elke activiteit de dreiging, de waarschijnlijkheid dat deze plaatsvindt en de uitkomst als deze onverkort is. Als uw activiteit bijvoorbeeld een nieuw stuk software in het hele bedrijf implementeert, kan het een bedreiging zijn dat deze mislukt terwijl u midden in het overschakelen van de oude software zit. De kans dat dit falen volgens de fabrikant is 5 procent, en de gevolgen, ervan uitgaande dat je geen mitigatiestrategieën hebt, is 2 uur verloren werk voor iedereen in het bedrijf terwijl je de oude software weer online zet. Bereken dat 2 uur in termen van de totale financiële impact op het bedrijf, en vermenigvuldig dit maal de 5 procent kans. Noteer dat nummer als het onverminderde risiconiveau. (Als er geen kwantificeerbaar dollarcijfer is, gebruik dan een schaal van 1 tot 5, waarbij 1 incidenteel is en 5 rampzalig.)
Beschrijf de Mitigation Strategy voor elke activiteit en bereken de impact ervan op het risiconiveau. In het bovenstaande voorbeeld kunt u uw IT-afdeling een geautomatiseerd back-upsysteem laten maken dat de oude software binnen 5 minuten in plaats van 2 uur kan herstellen. Of misschien koopt u een extra ondersteuningspakket dat de kans op catastrofaal falen tot 0,1 procent vermindert. Bereken de kosten voor de organisatie van die 5 minuten plus de kosten voor het maken van de automatische back-up, of het ondersteuningspakket plus de nieuwe waarde van 2 uur maal 0,01 procent. Dit is uw gemitigeerde risiconiveau.
Nadat u de gemitigeerde risiconiveaus voor elk van uw activiteiten hebt berekend, voegt u de risiconiveaus voor elke activiteit binnen een risicogebied toe om het risico voor dat deel van het bedrijf te bereiken. U moet dan kunnen zien of uw risico het hoogst is in Product, Financiën, Bewerkingen, enzovoort. Op deze manier kunt u bepalen welk deel van uw bedrijf de meeste aandacht nodig heeft om het risico te verlichten en / of te verminderen.
