* ریسک محیطی زمانی رخ میدهد که نیروهای خارجی می تواند بر کارایی واحد تجاری تاثیر گذارد، و یا انتخابش را در مورد استراتژی، عملیات، روابط مشتری و فروشنده، ساختار سازمانی منسوخ و یا بی اثر مالی تحت تاثیر قرار دهد. این نیروهای خارجی شامل اقدامات رقبا و تنظیم کننده ها، تغییرات قیمت در بازار، نوآوری در فن آوری، تغییر در اصول صنعت، در دسترس بودن سرمایه و یا عوامل دیگر خارج از توانایی مستقیم شرکت برای کنترل می باشد.
* پردازش ریسک شکل می گیرد زمانی که فرآیندهای داخلی به اهدافش که آنها برای دستیابی به مدل کسب و کار حمایتی شرکت طراحی شده دست نمی یابد. به عنوان مثال، ویژگی هایی از فرآیندهای ضعیف بازیگر، و یا ریسکهای فرایند، شامل تنظیم ضعیف با اهداف و استراتژی کسب و کار ، مشتریان ناراضی و عملیات ناکارآمد می باشد. آنها همچنین شامل رقیق شدن (به جای ایجاد و یا حفظ) ارزش شرکت و قصور در حمایت مالی، فیزیکی، مشتری، کارمند/تامین کننده، دانش و اطلاعات قابل توجهی از تلفات غیر قابل قبول دارایی، خطر جویی، اختلاس یا سوء استفاده می باشد.
* اطلاعاتی برای تصمیم گیری برای ریسک زمانی به وجود می آید که اطلاعات مورد استفاده برای حمایت از تصمیم گیری کسب و کار ناقص ، تاریخ گذشته، نادرست، و یا به سادگی بی ربط با فرایند تصمیم گیری می باشد. این ریسکها، عدم قطعیت موثر را بر قابلیت اطمینان از اطلاعات مورد استفاده برای حمایت از تصمیم گیری برای ایجاد و محافظت از ارزش شرکت را سبب می شود.
این سه گروه از ریسک با هم مرتبط هستند. ریسکهای محیطی و فرآیند ریسک ، چهره شرکت ها توسط واقعیت خارجی و داخلی کسب و کار را هدایت می کند. اطلاعات برای تصمیم گیری درباره ریسک به طور مستقیم توسط اثربخشی و قابلیت اطمینان سیستم های پردازش اطلاعات و پروسه های “جمع آوری اطلاعات” غیر رسمی برای گرفتن داده های مربوطه، تبدیل داده ها به اطلاعات و ارائه این اطلاعات برای مدیران مناسب در قالب گزارش به موقع نوشته شده و ارتباطات شفاهی تحت تاثیر قرار می دهد. ریسک تهیه شده گاهی اوقات از این اطلاعات غیر قابل تشخیص، برای تصمیم گیری درباره ریسک استفاده می کند به این دلیل که اطلاعات برای تصمیم گیری آگاهانه در مورد یک فرایند مورد نیاز می باشد. یک جریان ثابت اطلاعات باید بینش تصمیم گیرندگان را آماده کند تا آنها نیاز به محیط خارجی و کارایی فرآیندهای شرکت داشته باشند به طوری که آنها بتوانند ریسکهای سازمانی را به طور موثر مدیریت کنند. به طور خلاصه، این سه گروه از ریسک، یک مبنای گسترده ای از مقوله های خاص ریسک را شناسایی و به طور دقیق فراهم می سازد.
سه گروه از ریسک با استفاده از مدل ریسک Protiviti SM در زیر نشان داده شده است.
به عنوان مثال، ریسک تلفات فاجعه بار درماندگی را برای حفظ عملیات در بردارد، محصولات و خدمات ضروری را مهیا ، و یا هزینه های عملیاتی به عنوان یک نتیجه فاجعه بزرگ را بازیابی می کند. ناتوانی برای بهبود یافتن چنین رویدادهایی در یک شیوه با صلاحیت می تواند به اعتبار شرکت، توانایی برای به دست آوردن سرمایه، روابط با سرمایه گذار آسیب برساند. دو منبع که می تواند منجر به تلفات فاجعه بار شود به شرح زیر می باشد:
*حوادث غیر قابل کنترل: حوادث ناشی از جنگ، تروریسم، آتش سوزی، زلزله، آب و هوایی شدید و جاری شدن سیل و دیگر حوادث مشابه که فراتر از کنترل شرکت می باشد. در حالی که از این حوادث نمی توان جلوگیری کرد و یا حتی آنها را پیش بینی نمود، اثرات آنها بر دارایی ها و عملیات سازمان می تواند مدیریت شود.
*حوادث قابل کنترل: برخی از وقایع می تواند در اثر آنها حادثه فاجعه بار برای کسب و کار رخ دهد که قابل کنترل نیست به عنوان مثال، فجایع زیست محیطی، نقص در ایمنی و سلامت، توقیف هزینه های سرسام آور، هزینه های بالای دادخواهی، زیان بزرگ از مشتقات، تقلب در کسب و کار عظیم، و زیان های قابل توجهی در سهم بازار به علت عدم رهاسازی کار می باشند. فعالیت های شرکت به این وقایع در کنترل شرکت کمک می کند به عنوان مثال، آنها ممکن است توسط انتخابات مدیریت و یا با اثر محیط کنترل داخلی تحت تأثیر قرار بگیرد.
COSO رویکرد “بالا به پایین” را توصیه می کند یعنی مدیریت، اهداف سازمانی را تعریف و مولفه های مرتبط به ریسک که بر این اهداف تاثیر می گذارد را وضع کند. وقایع خاص سپس در هر طبقه مشخص شده است.
بنابراین استفاده از یک زبان مشترک ریسک کسب و کار در سطح استراتژیک، با شروع با یک مدل مثل آنچه در صفحه قبل بیان شده شروع و سپس شرایط منحصر به هر واحد کسب و کار سفارشی می شود. یک مدل مفهومی خوب سکوی پرشی برای بحث های عمیق تر و درک ریسک است که یک گام ضروری یا بناکننده مدیریت ریسک کسب و کار می باشد.