Editor’s note: 以下是互惠赞助的博客文章.
In the early 2000s, 制药公司葛兰素史克(GSK)面临着严重的风险:它的一家生产厂不符合现行良好生产规范(CGMP)的要求。.
不符合CGMP会产生严重的后果, including warnings, product recalls, legal action, and criminal prosecution. In 2010, the U.S. 美国司法部(DoJ)证实,葛兰素史克工厂生产的药物违反了几项安全标准. 葛兰素史克最终支付了7.5亿美元的巨额罚款.
但葛兰素史克本可以避免这种情况.
2001年,它收到了美国农业部的警告.S. FDA对工厂不安全操作的调查. 然而,由于其有问题的ERM过程,它未能量化并对这些警告采取行动. In so doing, GSK不仅在其产品中引入了不安全的细菌, 但最终也导致了巨额的财务损失.
→ Key Takeaway:
每个组织都面临可能影响其业务连续性的多重风险, financial stability, reputation, cybersecurity posture, and compliance. 为了避免或减轻此类风险,您需要一个健壮的 Enterprise Risk Management (ERM) strategy.
ERM is a holistic, 澳门赌场官方下载范围的识别方法, 处理和管理影响组织的主要风险. 这些风险可能是操作性的、财务的、战略的、战术的、声誉的、监管的或 cybersecurity-related. With an ERM program, 您可以实现正确的控制以保证组织的安全, operational, productive and compliant.
风险热图是ERM的一个重要元素,本文将解释其中的原因. 它还将向您展示如何为您的组织创建一个.
澳门赌场官方下载风险管理中的风险图是什么?
风险热图是澳门赌场官方下载风险管理的一种强大的可视化工具. 也被称为风险热图或风险矩阵,它显示 risk likelihood on the horizontal axis (X) and risk impact on the vertical axis (Y). Together, 这些轴可以帮助您分析风险,并决定采取什么行动来最小化任何可能的不利后果.
矩阵可以包括“信号灯颜色”,根据您的组织的风险偏好,有效和直观地传达哪些风险是最关心的,哪些风险是最不关心的. 通常,绿色代表低风险,黄色代表中风险,红色代表高风险. 这些信息可以指导您的风险缓解和最小化策略.
在热图上绘制风险后,您可以使用以下公式计算每个风险:
风险=潜在影响×发生概率
风险热图的好处是什么?
风险热图是一种流行的ERM工具, 因为它为风险分析师和从业者提供了许多实实在在的好处:
Show a Holistic View of Risks
该地图展示了一幅“大图景”,并对风险进行了简明扼要的描述, 特别是如果您使用基于场景的ERM方法. 如果您确定未来场景的最大数量, 风险因素和每个场景的风险, 你可以更好地了解公司的整体风险健康状况, coverage and profile. 您还可以识别和处理任何被忽视的ERM和内部控制流程领域.
与利益相关者沟通风险信息
您可以向涉众传达有关已识别风险的信息. Since the map is a visual tool, 这样更容易理解每个风险的严重性,并采取更快的行动来解决它们.
Improves Risk Prioritization
您可以为每个风险分配权重,以帮助确定风险的优先级, 这样你就可以更好地了解在哪里集中你的ERM精力.
Improves Decision-Making
You can make better, 根据风险的可能性和可能的影响,就实施哪些缓解战略作出更多的战略决策.
帮助创建澳门赌场官方下载范围的风险语言
创建一种共同的风险语言,这在以下情况下非常有用:
- 你需要和高层领导讨论风险评估过程, business units, 审计委员会和董事会.
- 不同的部门需要了解一个部门的风险如何影响其他部门.
定量和定性风险热图
A risk heat map can be qualitative 所以你可以描述一个风险的影响强度,或者它可以 quantitative 你可以在哪里用具体的数字、优先级或等级来量化风险强度.
To build a qualitative heat map, 您可以为术语“潜在影响”和“可能性”添加定义.” Thus, if you are building a 3x3 risk map, 在影响和可能性下,您将有三个参数.
在“潜在影响”下,添加“高风险”、“中等风险”和“低风险”的定义.“添加红绿灯颜色来匹配这些不同的撞击类型. 对于“可能性”,为“可能的”、“可能的”和“远的”等参数添加百分比范围.”
这取决于您的组织的风险概况, you can create a 4x4, 5x5, 或者更详细的风险热图. 所以,你的5x5地图可以包含以下参数:
- 可能性:遥远的,不可能的,可能的,可能的,可能的
- 潜在影响:可忽略,低,中,高,极端
As with the 3x3 matrix, 您可以为每个可能性参数分配一个百分比范围,并为每个单元格分配颜色,以直观地表示风险的严重性.
如何创建和优化风险热图:最佳实践
在创建组织的风险热图时,请记住以下一些良好的实践:
头脑风暴列出可能存在的风险
Even the best risk analyst, 风险经理或首席财务官可能对影响组织的所有风险没有一个完整的和最新的视图. 这就是为什么与全公司的人协商是很重要的, including department heads, 职能领导和项目经理.
这些人可能会强调进化, previously-unknown risks, 并帮助你理解为什么特定的风险或多或少是严重的. 使用这些见解来构建一个更完整的热图,捕获影响整个组织的所有风险.
Seek Expert Guidance
Talk to external risk experts. 询问他们的见解,并使用这些信息来指导您的风险热图创建过程.
Consider Historical Data
您的组织面临的一些风险可能不是新的. 它们甚至可能导致不利的风险事件,给你的公司造成一些损失或损害. 通过以下问题来识别和评估这些风险:
- 这种风险何时导致不良事件?
- How many times?
- 这次事件的影响有多严重?
在创建风险热图时,这些历史信息可以帮助您判断风险的严重性和潜在影响. 请记住,严重程度或影响可能已经改变, 所以你应该做一个更深入的评估当你创建你的风险热图.
按频率和严重程度对风险进行排序
一旦您确定了所有现有的和潜在的风险,就可以根据频率和严重程度对它们进行排序. 你也可以通过在热图上绘制点来进行比较风险分析. 为两个方面的每个风险分配数值,以帮助进行比较, mitigation, planning and execution.
Determine the Cause of Risks
确定最严重风险的原因,以帮助您有效地实施优先排序和缓解策略. 然后,在讨论ERM计划的有效性时,您可以将结果传达给高级管理人员.
Revisit the Risk Heat Map
由于技术的变化,风险也在不断变化, market and industry forces, geopolitical situations, and customer preferences. To keep up, your risk management process实践和风险热图也必须发展.
定期检查地图,以评估是否有特定的风险发生了变化. 至少每季度与相关利益相关者讨论一次热点图,以确定是否应该添加任何风险, removed or updated.
Involve the Rank and File
风险影响着组织的各个层面, 因此,你应该使用热图向所有员工解释ERM计划的目的和目标. 解释为什么他们应该注意已识别的风险,以及它们在尽量减少影响和潜在损害方面的作用.
同时获得他们的意见来更新和改进热图, formalize ERM, 并确保它是组织风险意识文化的一部分.
Get Buy-In from the Top
在创建或更新风险热图时,请确保您还获得了高级管理人员的输入和签字. 来自高层的支持对于制定有效的风险缓解战略至关重要, 监测其有效性并改进风险决策.
将ZenGRC与您的风险管理策略相结合
ZenGRC 能否帮助您在组织的业务和战略目标框架内评估和管理风险. With its single source of truth, you can aggregate all records, reports, policies, procedures, 并将上市控制在一个地方,以改善风险沟通和决策.
利用实时更新捕捉并修复漏洞和风险,这样您就可以建立一个成功的ERM程序. 利用其报告工具来了解您的风险概况和热图,以实施ERM,并向利益相关者传达当前的风险状态. 您甚至可以通过SCF和NIST框架以及网络风险目录来评估跨连接的风险.
See more 我们业界领先的风险管理工具和能力. Or schedule a demo.
