返回ITIL4Foundation中文翻译目录,点击
5.1.10风险管理
关键词:风险管理实践的目的是确保组织理解并有效地处理风险。管理风险对于确保组织的持续可持续性和为客户创造价值至关重要。风险管理是所有组织活动的一个组成部分,因此对组织的SVS至关重要(有关风险的定义,请参阅第2.5.3节)。
风险通常被认为是可以避免的,因为它与威胁有关,虽然这通常是正确的,但风险也与机会有关。不抓住机会本身就是一种风险。服务不足的市场空间和未满足的需求的机会成本是一个可以避免的风险。
组织的投资组合可以映射到要管理的基础风险组合。当服务管理有效时,服务目录和管道中的产品和服务代表了为客户,组织和其他利益相关者创造和获取价值的机会。否则,这些产品和服务可能会代表威胁,因为它们可能会出现与其吸引的需求模式相关的故障,所需的承诺以及产生的成本。实施策略通常需要变更产品和服务组合,这意味着管理相关风险需要平衡有关风险的决策,以便潜在的利益对组织的价值高于解决风险的成本。例如,创新本质上具有风险,但可以在改进产品和服务,获得竞争优势以及提高灵活性和弹性方面提供重大好处。组织限制风险敞口的能力也具有相关性。目标应该是对特定情况下的风险进行准确评估,并分析潜在的好处。应确定每个行动方案所呈现的风险和机会,以确定适当的对策。 要使风险管理有效,风险必须是:
●确定:影响特定组织活动背景下目标实现的不确定因素。必须考虑这些不确定性,然后进行描述,以确保达成共识。
●评估:必须估计个别风险的概率,影响和接近程度,以便对其进行优先排序,并了解与组织活动相关的整体风险水平(风险)。
●处理:必须计划对风险的适当响应,分配所有者和行动者,然后实施,监控和控制。
以下原则特别适用于风险管理实践:
●风险是业务的一部分:组织应确保妥善管理风险。这并不意味着要避免所有风险。相反,需要承担风险以确保长期可持续性。但是,需要根据组织愿意承担的风险水平(即风险偏好),以及适当管理和监控的风险来识别,理解和评估风险。
●整个组织的风险管理必须保持一致:风险管理实践必须全面管理,以实现整个组织的一致性。为确保有效性,应与利益相关方进行持续磋商,并为组织的不同部门提供适当的灵活性。这种灵活性将允许开发定制的风险管理程序,以便解决组织单位和/或客户特定情况。
●风险管理文化和行为很重要:组织各级人员展示的适当文化和行为至关重要,必须作为“我们做事方式”的一部分。这将通过行为和信念得到证明,例如:
Ø了解有效的风险管理对组织的可持续性至关重要,并支持实现业务目标
Ø使用主动风险管理行为
Ø确保风险管理程序,角色,职责和责任的透明度和清晰度
Ø积极鼓励并跟进风险,事件和机会的报告
Ø确保薪酬结构支持所需行为(即,这不应阻止事件报告,也不应鼓励过度报告)
Ø从组织的经验和其他组织的经验中积极鼓励成熟的学习和成长。
理论:
ISO31000:2018风险管理
这些指导原则提供了风险管理目的和原则的总体和一般视角。它们适用于任何类型的组织中的所有级别。ISO31000声明“风险管理的目的是创造和保护价值”,风险管理“提高绩效,鼓励创新并支持实现目标”。
图5.10显示了风险管理对服务价值链的贡献,实践涉及所有价值链活动:
计划:风险管理为组织的战略和规划提供必要的输入,重点关注可以推动结果变化的风险。
这些包括:
Ø转变客户需求和优先事项
Ø法律和监管方面的变化
Ø竞争对手
Ø对供应商和合作伙伴的依赖
Ø技术变革
Ø利益相关者要求相互冲突。
●改进:所有改进措施应由风险管理评估和持续控制。该实践为改进优先级划分,规划和审查建立了重要的视角。
●驱动:风险管理实践有助于识别关键利益相关者,并根据风险偏好和风险概况等信息优化参与度。
●设计和转换:产品和服务应设计为解决优先级风险。例如,它们应该是可扩展的,以支持随时间变化的需求变化。对于组织而言,新的或变更的服务具有不同级别的风险,应在变更批准之前进行识别和评估。如果获得批准,则应将风险作为变更的一部分进行管理,包括发布,部署和项目。
●获取/构建:风险管理应告知有关获取或构建产品,服务或服务组件的决策。
●交付和支持:风险管理有助于确保持续交付的产品和服务保持在商定的水平,并确保所有事件都根据其引入的风险进行管理。
|