Før en virksomhet kan vurdere eller avbøte forretningsrisiko, må den først identifisere sannsynlige eller sannsynlige risikoer for bunnlinjen. Det er ingen sikkerhetsmetode for å identifisere disse risikoene, men selskaper er avhengige av erfaringer fra tidligere for å tilnærme hva som kan skje. Risikoprosesser utvikles og modnes naturlig over tid, men det er noen grunnleggende prinsipper som holder seg konstante.
Vurdering av forretningsrisiko
Forretningsrisiko kommer i alle former og størrelser. Dette betyr at effektiv risikovurdering må være tilpassbar eller unikt designet for spesifikke farer. Når det er mulig, bør et firma gruppere lignende risikoer i sammenlignbare analytiske prosesser.
Ideelt sett bør et selskap fordele kapital basert på risiko som bestemt av kostnads-nytte-analyse. Hver risikoidentifiseringsprosess skal føre til effektiv analyse, og hver analyse skal informere om virksomhetsstyring.
Intern versus ekstern risikoanalyse
To brede risikoformer påvirker først og fremst en virksomhet: intern og ekstern.
Eksterne risikoer
Ekstern risiko er risikoen som stammer utenfor firmaet og inkluderer økonomiske trender, myndighetsregulering, konkurranse i markedet og forbrukers smakendringer. Intern (firma-spesifikk) risiko inkluderer ansattes ytelse, prosedyrefeil og mangelfull eller utilstrekkelig infrastruktur.
Ekstern risikovurdering er nesten alltid datatung. Siden de fleste eksterne risikoer er systemiske for et økonomisk system - og derfor utenfor kontrollen av selskapet - kan ikke prognoser justeres basert på forskjellige beslutninger om selskapsstyring.
Den eksterne vurderingen begynner med å kategorisere potensielle risikoer. Noen skalaer er nominelle, og andre er ordinære. Bedrifter foretrekker nominelle kategorier fordi de er lettere å manipulere og sammenligne. Kvantitative teknikker, for eksempel benchmarking eller sannsynlig modellering, tilpasser seg nye data når de kommer. Bedrifter kan da spore relevante indikatorer og lage terskler for akseptabel risiko for et gitt prosjekt.
Intern risiko
Intern risiko påvirker langt mer spesifikke og kontrollerbare prosesser. Bedrifter bruker operativ risikovurdering for risiko for tap som følge av mangelfulle forretningsbeslutninger. Samsvarsrisikovurdering er avgjørende, spesielt i tett kontrollerte bransjer, som bank eller landbruk.
Risiko for intern revisjon må vurderes, spesielt for børsnoterte selskaper. Det var ikke lenge siden at selskaper ganske enkelt opererte i bransjestandard. Moderne selskaper vurderer imidlertid interne risikoer ved å vurdere sannsynligheten og innvirkningen på spesifikke mål.
