1.76k likes | 2.35k Views
PRACTICAL RISK MANAGEMENT AN APPLICATION OF ISO 31000 STANDARD AND RISK ASSESSMENT TECHNIQUES IEC 31010. RAJAMANGALA UNIVERSITY OF TECHNOLOGY THANYABURI 8-9 APRIL 2010 Siri Thongsiri & Winai Plueksawan siri.thongsiri@railcorp.nsw.gov.au winaiplus@yahoo.com
E N D
PRACTICAL RISK MANAGEMENTAN APPLICATION OF ISO 31000 STANDARDAND RISK ASSESSMENT TECHNIQUES IEC 31010 RAJAMANGALA UNIVERSITY OF TECHNOLOGY THANYABURI 8-9 APRIL 2010 Siri Thongsiri & Winai Plueksawan siri.thongsiri@railcorp.nsw.gov.au winaiplus@yahoo.com Office Tel 001 612 8922 1712 Mobile 081 407 7885
SESSION OBJECTIVES วัตถุประสงค์ของการสัมมนา • Understand the Principles and Application of Modern Risk Management & Internal Control • Understand the Principles of Enterprise Risk Management and its Application • Able to Apply International Risk Management Standard ISO 31000 at both Strategic and Operational Levels • Gain Hand-on Experience in the Application of ISO/IEC 31010 Risk Management Risk Assessment Techniques
The ISO 31000 Risk Management Risk and Risk Management Risk Management Process Enterprise Risk Management Internal Control Risk Identification Tools The Thongsiri Risk Identification Methodology (TRIM) Risk and Analysis Techniques IEC 31010 Risk Analysis and Decisions COURSE CONTENTS
1. THE ISO 31000:2009 RISK MANAGEMENTมาตรฐานการบริหารความเสี่ยงของ ISO
Contents of ISO Documents RISK MANAGEMENT INTERNATIONAL STANDARD ISO 31000:2009 ISO Guide 73 Risk Management - Vocabulary ISO 31000 Risk Management – Principles and guidelines IEC 31010 Risk Management Risk Assessment Techniques
ISO 31000:2009 - SCOPE • To provide principles and generic guidelines on risk management • It can be used by any public, private or community enterprise, association, group or individual • It can be applied throughout the life of an organisation, and to a wide range of activities, including strategies and decisions, operations, processes, functions, projects, products, services and assets • It can be applied to any type of risk, whatever its nature, whether having positive or negative consequences • It is not intended to promote uniformity of risk management across organisations • To harmonize risk management processes in existing and future standards • ISO 31000 is not intended for the purpose of certification
ISO 31000:2009 - USERS ISO 31000:2009 is intended to meet the needs of a wide range of stakeholders including: • those responsible for developing risk management policy within their organisation; • those accountable for ensuring that risk is effectively managed within the organisation as a whole or within a specific area, project or activity; • those who need to evaluate an organisation effectiveness in managing risk; and • developers of standards, guides, procedures, and codes of practice that, in whole or in part, set out how risk is to be managed within the specific context of these documents.
a) Creates value b) Integral part of organizational processes c) Part of decision making d) Explicitly addresses uncertainty e) Systematic, structured and timely f) Based on the best available information g) Tailored h) Takes human and cultural factors into account i) Transparent and inclusive j) Dynamic, iterative and responsive to change k) Facilitates continual improvement and enhancement of the organization Mandate and Commitment (4.2) Establishing the context (5.3) C o m u n i c a t i o n & c o n s u l t a t i o n 5.2 M o n i t o r i n g & r e v i e w (5.6) Risk assessment (5.4) Design of framework (4.3) Risk identification (5.4.2) Continual improvement of the Framework (4.6) Implementing risk Management (4.4) Risk analysis (5.4.3) Risk evaluation (5.4.4) Monitoring and review of the Framework (4.5) Risk treatment (5.5) Principles (Clause 3) Framework (Clause 4) Process (Clause 5) ISO 31000:2009 Relationship between the Principles, Framework and Process
Principles (Clause 3) Risk management should…. • Create value • An integral part of organisational processes • Part of decision making • Explicitly address uncertainty • Be systematic and structured • Be based on the best available information • Be tailored • Take into account human factors • Be transparent and inclusive • Be dynamic, iterative and responsive to change • Be capable of continual improvement and enhancement
Mandate and commitment (4.2) • 4.3Design of framework • 5.3.1 Understanding the organization and its context • 5.3.2 Risk management policy • 5.3.3 Integration into organizational processes • 5.3.4 Accountability • 5.3.5 Resources • 5.3.6 Establishing internal communication and reporting mechanisms • 5.3.7 Establishing external communication and reporting mechanisms • 4.4Implementing risk management • 4.4.1Implementing the framework • 4.4.2Implementing the risk management process 4.6Continual improvement of the framework 4.5Monitoring and review of the framework ISO 31000 Relationship between the components of the framework for managing risk
ISO 31000: MANDATE AND COMMITMENT Articulate and endorse the risk management policy แสดงจุดยืนที่ชัดเจนและรับรองนโยบายการบริหารความเสี่ยง Ensure that the necessary resources are allocated to risk management ดำเนินการจัดหาทรัพยากรที่จำเป็นสำหรับการบริหารความเสี่ยง Communicate the benefits of risk management to all stake holders สื่อสารกับผู้มีส่วนได้เสียทั้งหลายให้เข้าใจถึงประโยชน์ของการบริหารความเสี่ยง The Management Should ผู้บริหารจะต้อง Define risk management performance indicators that align with organizational performance จัดทำดัชนีชี้วัดผลของการบริหารความเสี่ยงให้สอดคล้องกับผลประกอบการขององค์กร Ensure legal and regulatory compliance ดำเนินการบริหารความเสี่ยงให้ถูกต้องตามระเบียบและกฎหมาย Ensure alignment of risk management objectives with the objectives and strategies of the organization ดำเนินการให้วัตถุประสงค์ของการบริหารความเสี่ยงสอดคล้องกับวัตถุประสงค์และกลยุทธ์ขององค์กร
ISO 31000: FRAMEWORK DESIGN FOR MANAGING RISK • Understand the organization and its environment • ความเข้าใจในองค์กรและสิ่งแวดล้อมขององค์กร 7. Establishing external communication and reporting mechanisms การจัดทำกลไกการสื่อสารและการรายงานสำหรับผู้มีส่วนได้เสียนอกองค์กร 2. Risk Management policy นโยบายบริหารความเสี่ยงที่ชัดเจน Risk Management Framework Elements ส่วนประกอบของกรอบการบริหารความเสี่ยง 6. Establishing internal communication and reporting mechanisms การจัดทำกลไกการสื่อสารและการรายงานภายในองค์กร 3. Integration into organizational processes การบูรณาการการบริหารความเสี่ยงเข้ากับกระบวนการขององค์กร 5. Resources ทรัพยากรพอเพียงและเหมาะสมสำหรับการบริหารความเสี่ยง 4. Accountability การมอบหมายความรับผิดชอบที่ชัดเจนเป็นลายลักษณ์อักษร
ISO 31000 Risk Management Process Communication and Consultation (5.2) Monitoring and Review (5.6) Establishing the context (5.3) Risk assessment (5.4 ) Risk identification (5.4.2) Risk analysis (5.4.3) Risk evaluation (5.4.4) Risk treatment (5.5)
Risk Management Process(Clause 5) • Should be an integral part of management, be embedded in culture and practices and tailored to the business processes of the organization. • Includes five activities: communication and consultation; establishing the context; risk assessment; risk treatment; and monitoring and review.
Reporting • Reporting is incidental to good Risk Management, not the sole focus of it! • If you only focus on reporting, you will not motivate the required culture change • Advanced Governance Codes (e.g. ASX, LSX) require two sets of reports: • The maturity and performance of the RM framework • The risk profile and how/why it has changed
ISO Guide 73 - Scope • Provides a basic vocabulary of the definitions of generic terms related to risk management • Aims to encourage a mutual and consistent understanding, a coherent approach to the description of activities relating to the management of risk, and use of risk management terminology in processes and frameworks dealing with the management of risk.
COMMUNICATION & CONSULTATION CONSEQUENCE CONTROL ESTABLISHING THE CONTEXT EVENT EXPOSURE EXTERNAL CONTEXT FREQUENCY HAZARD INTERNAL CONTEXT LEVEL OF RISK LIKELIHOOD MONITORING PROBABILITY RESIDUAL RISK RESILIENCE REVIEW RISK RISK ACCEPTANCE RISK AGGREGATION RISK ANALYSIS RISK APPETITE RISK ASSESSMENT RISK ATTITUDE RISK AVERSION RISK AVOIDANCE RISK CRITERIA RISK EVALUATION RISK FINANCING RISK IDENTIFICATION RISK MANAGEMENT RISK MANAGEMENT AUDIT RISK MANAGEMENT FRAMEWORK RISK MANAGEMENT PLAN RISK MANAGEMENT POLICY RISK MANAGEMENT PROCESS RISK MATRIX RISK OWNER RISK PERCEPTION RISK PROFILE RISK REGISTER RISK REPORTING RISK RETENTION RISK SHARING RISK SOURCE RISK TOLERANCE RISK TREATMENT STAKEHOLDER VULNERABILITY Terms included in Guide 73 in Alphabetical order
ISO 31000Reducing the Risk in Risk Management • Avoids organisations re-inventing the wheel • Allows all to benefit from proven best practice • Provides a universal benchmark • Reduces barriers to trade • Advises exactly what you need to do and how you need to do it – no wasted effort and no false starts • Scalable – works for all sizes of organisation • Risk management = Making optimal decisions in the face of uncertainty
ISO 31000:2009 เปรียบเทียบกับERM(COSO II)The Leading Edge ISO31000:2009 • ISO 31000 fully complying with COSO ERM . • ISO 31000 is more practical • Easy to apply (less than 30 pages) • Applicable to organisations in all industries, large or small • More clearly written and terms are explicitly defined • Wider acceptance as reference for risk management in existing and future standards • No need to redesign existing management system to apply • Apply to all levels of organisation for any type of risk, both positive and negative consequences ERM (COSO II) • COSO ERM does not comply with ISO 31000 • COSO is very theoretical • Very complicate (over 200 pages) • Better suited for large financial organisations • COSO is not easy to understand • Limited acceptance, mainly in the US within financial industry • Major system modification is required to comply with COSO • Focus on negative risk at corporate level, often very confusing when apply at operational level
Why 31000? • ISO 31000:2009 is a natural successor to AS/NZS 4360:2004 • Hopefully it will influence a revision of COSO • It fits ‘ERM’ requirements, but also allows silo/project risk management • Following ISO 31000 will provide a low cost, high chance of success approach to ERM • ISO 31000 adds value and reduces risk in risk management • ISO 31000 provides generic guidance on how to embed risk management, and reinforce the concept of “positive” risk • Managing risk is about creating value out of uncertainty
What is Risk? ความเสี่ยงคืออะไร ISO 31000:2009 defines risk as: “The effect of uncertainty on objectives” A deviation from the expected – positive and/or negative Deficiency of information relating to an event,its consequence, or likelihood • Can have different aspects e.g. finance, safety, environment goal • Can apply at different levels e.g. strategic, department, project What can go wrong? How likely is it? What are the consequences?
How to Describe a Risk? Risk Register Minimum Records A source of risk (hazard) An event (including when and where) An outcome (consequence) A cause (how and why) Fire Fire at head office Estimated cost 100 million Baht Short circuit Virus H1N1 Pandemic Operations Interruption Employees contact virus
Describing Risk – Poor Example Poor example “ there is a risk that a fraud occurs” It leaves too many questions: • How might it occur? • What parts of the organisation might be affected? • Who in the organisation might be affected? • What are the consequences? • What clues are there for developing treatments? 26
Describing Risk – Good Example A better description “ there is a risk that a researcher falsifies research findings resulting in cancelation of the program, loss of grant funds and reputational harm to the university” • Allows better consideration of causal factors • Allows us to better frame consequence and likelihood • Allows us to consider what controls are in place and how effective they are. For example: • Staff codes and professional conduct • Peer review and quality assurance mechanisms • Relationship management • Reputational management 27
UNDERSTANDING RISK A RISK IS GENERALLY DESCRIBED AS AN EVENT WHICH LEADS TO A RANGE OF CONSEQUENCES. DO NOT CONFUSE A RISK WITH A RISK CAUSE, RISK FACTOR, AND CONTROL FAILURE. A risk cause is something that leads to the source of risk, to an exposure to it, or to a risk event. A cause can also be called contributory factor particularly when it does not necessarily result in the risk occurring but increases its likelihood. RISK CAUSE A risk factor is something that makes the magnitude of risk (likelihood or consequence) higher or lower without being specifically a cause. It may also be called a vulnerability. RISK FACTOR A control failure can be considered to be an uncertain event with an outcome that affects objectives. However a control failure only becomes a problem if there is a source of risk and an event occurs, i.e. it is a conditional risk. CONTROL FAILURE
DO NOT CONFUSE TYPES OF RISK Distinguish Between Indirect Risk (Control Failure) Direct Risk An event which is described as control failure (but not necessarily causes harm) An event by which a source of risk causes harm e.g. e.g. A supplier goes out of business resulting in delay to the project Failure to organise back up suppliers may result in delay to a project A person gets his hand caught in a machine resulting in serious injury A machine guard is missing which may result in hand being caught in a machine
Risk Management is Part of Our Daily Lives Annual Risk of dying from…. • Heart disease 1 in 397 • Motor vehicle accident 1 in 6,745 • Homicide 1 in 15,440 • Drowning 1 in 64,031 • Fire 1 in 82,977 • Bicycle accident 1 in 376,175 • Lightening 1 in 4,478,159 • Bioterrorism 1 in 56,424,800 Don’t forget Risk Factor (Vulnerability) that may apply to you!
UNDERSTANDING RISKSเข้าใจความหมาย ความเสี่ยง ปัจจัยเสี่ยง และ ผลกระทบ Distinguish Between Effect of a Risk (Risk Outcome) ผลกระทบ ความเสี่ยง ความเสียหาย Cause of a Risk (Risk Cause) สาเหตุของความเสี่ยง ปัจจัยเสี่ยง The Ultimate Consequence, the Harm is Done when the Risk is Realised ผลกระทบที่เกิดขึ้น(มากหรือน้อย) The Reason why the Risk might be Realised เหตุที่อาจทำให้เกิดความเสี่ยง Example: Staff Failed to Follow Regulations ตัวอย่าง: พนักงานปฏิบัติผิดระเบียบ Example: Heavy Financial Penalties Incurred ตัวอย่าง: องค์กรเสียค่าปรับเป็นมูลค่าสูง More Effective to Design Controls to Manage the “Causes” of the Risk การควบคุมที่ต้นเหตุจะได้ผลมากกว่า Often Too Late, Now that We are in Trouble, What do We Do? มักสายเกินไป เมื่อเกิดความเสียหายแล้วเราจะทำอย่างไร
How can Risk be Measured? Level of Risk (Magnitude of a risk) Consequence of an event Likelihood of occurrence Risk is often expressed in terms of the consequences of an event or a change in circumstances and the associated likelihood of occurrence
RISK CLASSIFICATION(BY TYPE)การจัดประเภทความเสี่ยง Risks may be classified in a variety of risk frameworks as follows: • Strategic Riskความเสี่ยงด้านกลยุทธ์ – examples include risks related to strategy, political, economic, regulatory, and global market conditions; also include reputation risk, leadership risk, brand risk, and changing customer needs.ตัวอย่างรวมถึงความเสี่ยงเชิงกลยุทธ์ที่เกี่ยวกับ การเมืองเศรษฐกิจ กฎระเบียบ ภาวะตลาดโลก ชื่อเสียง ภาวะผู้นำ ตราสัญลักษณ์ฯลฯ • Operational Riskความเสี่ยงด้านการดำเนินงาน – risks related to the organisation’s systems, processes, technology, and people.ความเสี่ยงเกี่ยวกับระบบ กระบวนการ เทคโนโลยี และบุคลากร • Financial Riskความเสี่ยงด้านการเงิน– includes risks from volatility in foreign currencies, interest rates, and commodities; also include credit risk, liquidity risk, and market risk.เช่น ความอ่อนไหวในอัตราแลกเปลี่ยน ดอกเบี้ย ตลาดซื้อขาย เครดิต สภาพคล่อง และ การลงทุน • Hazard Riskความเสี่ยงด้านอันตราย – risks that are insurable such as natural disasters; various insurable liabilities; impairment of physical assets; terrorism.ความเสี่ยงที่เกี่ยวกับความปลอดภัยซึ่งโดยทั่วไปสามารถประกันได้ เช่น ความเสี่ยงจากภัยธรรมชาติ ความเสียหายของทรัพย์สิน การก่อการร้าย
Business Objectives Missing, non-compliance Commercial Decline in profit, commercial contract, business partners Competition Increased competition, decrease market share, new competitor Corporate Governance Environment Low integrity, lack motivation, weak internal control Customers Key customer left, increasing pressure/demand Diseases Affecting humans, animals and plants Economic Currency fluctuations, interest rates, recession Employees Corrupt culture, lack motivation, knowledge gap Environmental Noise, contamination, pollution Financial/Economic Contractual risks, misappropriation of funds, fraud, fines Fraud/Corruption Corrupted culture, weak control, frequent fraud Human Riots, strikes, sabotage, error Information Unreliable, irrelevant, untimely, insecure Legal/Regulatory New unfavorable regulation, litigation action, non-compliance Natural Hazards Climatic conditions, earthquakes, flood, bushfires Occupational Health & Safety Inadequate safety measures, poor safety management Political Influences Intervention by politician, new government policy/direction Product/Service Liability Design error, substandard quality, inadequate testing Professional Liability Wrong advice, negligence, design error Property Damage Fire, water damage, earthquake, contamination, human error Public Liability Public access, egress and safety Public Perception Poor public image, bad reputation, brand name erosion Security Cash handlings, vandalism, theft, misappropriation of information, illegal entry Suppliers Out of business, poor quality/services, high price Technological/Equipment Obsolescence, innovation, dependability RISK CLASSIFICATION(BY SOURCE OF RISK)
Taking a risk: isn’t all bad • Risk taking is positive, not implicitly negative. • การยอมเสี่ยงเป็นเรื่องบวก ไม่ใช่หมายถึงแต่เพียงเรื่องลบ • We take risks not to avoid harm, but to achieve benefits and gains. • เรายอมเสี่ยงไม่ใช่เพื่อเพียงหลีกเลี่ยงความเสียหาย แต่เพื่อได้รับผลประโยชน์และกำไร • Taking controlled, informed risks is a sensible and everyday essential part of life. • การยอมเสี่ยงในสิ่งที่เราทราบและควบคุมได้เป็นสิ่งที่สมเหตุสมผลและจำเป็นในชีวิตประจำวัน • The higher the risk the higher the reward. • ความเสี่ยงยิ่งสูง ผลตอบแทนยิ่งสูง • Without risk there is no progress. • ไม่มีความเสี่ยงไม่มีความก้าวหน้า
C O M M U N I C A T E C O N S U L T M O N I T O R & R E V I E W A S S E S S 1. Strategic Ct 2. Identify Threats 3. Analyze 4. Assess 5. Assess/ 7. Manage the Risk Opportunities Risks Risk Management as defined By ISO 31000:2009 “COORDINATED ACTIVITIES TO DIRECT AND CONTROL AN ORGANISATION WITH REGARD TO RISK” Activities Processes
Managing Risk • We all manage risk consciously or unconsciously – but rarely systematically. • เราทุกคนจัดการความเสี่ยงโดยรู้ตัวหรือไม่รู้ตัว-แต่น้อยมากที่จะทำอย่างเป็นระบบ • Managing risk involves both threats and opportunities. • การจัดการความเสี่ยงเกี่ยวข้องทั้งภัยคุกคามและผลประโยชน์ • Managing risk requires rigorous thinking. • การจัดการความเสี่ยงต้องอาศัยความคิดที่ทรงพลัง • Managing risk means forward thinking. • การจัดการความเสี่ยงหมายถึงการคิดไปข้างหน้า • Managing risk requires accountability and authority for decision making. • การจัดการความเสี่ยงต้องอาศัยความรับผิดชอบที่เป็นลายลักษณ์อักษรและการมอบอำนาจในการตัดสินใจ • Managing risk requires communication. • การจัดการความเสี่ยงต้องอาศัยการสื่อสารที่ดีและทั่วถึง • Managing risk requires balanced thinking. • การจัดการความเสี่ยงต้องอาศัยความคิดสมดุล • Risk management provides a framework to facilitate effective decision making. • การบริหารความเสี่ยงทำให้ได้กรอบที่ช่วยในการตัดสินใจอย่างมีประสิทธิผล
THE THREE KEY PROCESSES The Future Risk Assessment “Foresight” • Threats and opportunities • when changes occurs • What are the ramifications • Cost effective risk treatment The Present Control Assurance “Insight” • Are controls adequate? • Are they effective? • Can they be cost effectively • improved? The Past Root Cause Analysis “Hindsight” • Root cause analysis of • successes and failures • Dissemination of learnings • Codification of learnings
3. Risk Management Process Communication and Consultation Monitoring and Review Establishing the context Risk assessment Risk identification Risk analysis Risk evaluation Risk treatment
3.1 ESTABLISH THE CONTEXT กำหนดวัตถุประสงค์ ขอบเขต และ สิ่งแวดล้อม 2. Identify the Internal and External Environment ระบุสิ่งแวดล้อมภายในและภายนอก 3. Identify and Analyse Relevant Stakeholders ระบุและวิเคราะห์ผู้มีส่วนได้เสีย 1. Identify the Organisation and/or Function Objectives ระบุวัตถุประสงค์ขององค์กรหรือกิจกรรม THE SIX STEPS TO ESTABLISH THE CONTEXT 6 ขั้นตอนของการกำหนดวัตถุประสงค์ ขอบเขตและสิ่งแวดล้อม 4. Specify the Main Scope of the Risk Management Activities กำหนดขอบเขตหลักของกิจกรรมบริหารความเสี่ยง 6. Define Key Elements for Structuring the Risk Assessment Process กำหนดองค์ประกอบหลักสำหรับกระบวนการประเมินความเสี่ยง 5. Identify Criteria for Risks Measurement and Acceptable Level of Risks กำหนดเกณฑ์สำหรับการวัดค่าความเสี่ยงและระดับความเสี่ยงที่ยอมรับได้
3.2 COMMUNICATION AND CONSULTATIONการสื่อสารและการให้คำปรึกษา Internal and External Stakeholders ผู้มีส่วนได้เสีย ทั้งภายใน และ ภายนอก Two-Way Communication and Consultation at Each Stage of Risk Management ใช้การสื่อสารและให้คำปรึกษาแบบสองทางทุกขั้นตอน Improve Understanding of risks and risk management Process เพิ่มความเข้าใจในเรื่องความเสี่ยง และกระบวนการบริหารความเสี่ยง Ensure varied views of stakeholders are considered ทำให้มั่นใจได้ว่า ความเห็นทั้งหลาย ของผู้มีส่วนได้เสียได้รับการพิจารณา Ensure all participants are aware of their roles and responsibilities ทำให้มั่นใจได้ว่าผู้เข้าร่วมโครงการ ทั้งหลายทราบและตระหนักในบทบาท และความรับผิดชอบของตนเอง
WHAT NEED TO BE IDENTIFIED? Generate a comprehensive list of risks, based on those events that may enhance, prevent, degrade or delay the achievement of the objectives (including risks associated with not pursuing an opportunity) Risk Identification is critical because what is not identified cannot be managed Minimum Records A source of risk (hazard) An event (including when and where) An outcome (consequence) A cause (how and why) Disease An outbreak of Bird Flu epidemic Many people die People contact with affected chicken
Top 10 Emerging Risks – The Heat Map(January 2010 Survey Results by the Risk Integration Strategy Council, USA)
THE RISK IDENTIFICATION PROCESSกระบวนการระบุความเสี่ยง Brainstorm Workshop ระดมสมอง Establish Risk Identification Team แต่งตั้งคณะทำงานเพื่อระบุความเสี่ยง Knowledge, Commitment and Ownership ความรู้ ความมุ่งมั่น และความเป็นเจ้าของ Relevant Business Issues กรณีธุรกรรมที่เกี่ยวข้อง Identify Key Business/Function Elements ระบุองค์ประกอบหลักของกิจกรรม/ธุรกรรม Business/Function Life Cycle วงรอบชีวิตของกิจกรรม/ธุรกรรม Organisation Objectives วัตถุประสงค์ขององค์กร Identify/Clarify Business and Key Elements Objectives ระบุวัตถุประสงค์ของกิจกรรม/ธุรกรรม Elements/Activities Objectives วัตถุประสงค์ของ ธุรกรรม/กิจกรรม Identify Events/Risks that might Impact the Objectives ระบุ เหตุการณ์/ความเสี่ยง ที่อาจมีผลกระทบต่อวัตถุประสงค์ Threats ภัยคุกคาม Opportunities โอกาส Root Cause of Risks ต้นเหตุของความเสี่ยง Effect of Risks on Objectives ผลกระทบของความเสี่ยงต่อวัตถุประสงค์ Determine the Cause/Effect of the Risks Identified หาสาเหตุ/ผลกระทบ ของความเสี่ยงที่ถูกระบุ Effectiveness of the Existing Controls ประสิทธิผลของการควบคุมที่มีอยู่เดิม Controls that are Already in Place การควบคุมเดิมที่มีอยู่แล้ว Evaluate the Existing Controls that Mitigate the Risks ประเมินการควบคุมที่มีอยู่ที่บรรเทาความเสี่ยง
NEED TO SEPARATE RISK FROM CONTROL FAILURE The level of risks cannot be compared against control failures • Bird flu might enter country (event) • People die • Closing the chicken industry in the country • Other businesses close due to staff absent TRUE RISKS – HAZARD AND/OR SOURCE BASED • Control restrictions fail (increased probability) • Slow quarantine action (increased probability) • Inadequate medicine (increased consequences) CONTROL FAILURE • Insufficient research staff in labs doing analysis MANAGEMENT SYSTEM FAILURE