A kockázati önértékelés és a forgatókönyv-elemzés nem tökéletes szinonimái egymásnak, mégis sokszor – nem meglepően - azonos értelemben, hasonló értelmezésben használják ezeket. A terület összefoglalásáról igen jó cikk olvasható a Hitelintézeti Szemlében.
A kockázati önértékelés (self risk assessment - SRA) során az intézmény vezetői, dolgozói feltárják a lehetséges kockázati tényezőket, és megbecsülik ezek várható veszteségét. A forgatókönyv-elemzés lehet ennek egy speciális formája, mely során elsősorban a súlyos események hatásait igyekeznek meghatározni. A forgatókönyv-elemzések során ezek az események meghatározása mellett vizsgálják ezek okát (így megelőzhetőek), illetve lehetséges kimeneteleit (így kezelési lehetőségeket állapítanak meg. A forgatókönyvek elemzése segít feltárni a sebezhető területeket, és megbecsülni a kockázatok várható, illetve maximális értékét. Megjegyzendő, hogy a forgatókönyv-elemzés is egyfajta önértékelésnek tekinthető.
A forgatókönyv elemzés során elterjedt elemzési segítség a Fault Tree Analysis, mely során az egyes tevékenységek, szolgáltatások hátterét tárhatjuk fel: mivel a bevételek elsősorban bizonyos szolgáltatások végrehajtásából származnak, ezért ez a módszer segít az ezeket akadályozó kockázatok, veszélyeztetett elemek azonosításában.
Ezekben az esetekben arra kell törekednünk, hogy mind a kockázatokat, mind a várható (és nem várható) veszteségeket azok állapítsák meg, akik leginkább érintettek. Ebből adódóan a kockázatok azonosítás, illetve azok értékelése nem feltétlenül kerül egyszerre megállapításra (bár lehet workshop-okat szervezni az együttes értelmezés érdekében. Például egy informatikai kockázatot valószínűleg a legjobban az informatikusok tudnak azonosítani, de a kapcsolódó veszteséget már az érintett üzletág(ak) jobban fogja becsülni.
A kockázatok azonosításának egyik lehetősége a szervezet folyamatainak feltérképezése, és az egyes tevékenységekhez kapcsolódó kockázatok azonosítása. Ez a megközelítés lehetővé teszi, hogy a közvetlenül kapcsolódó kockázatok könnyed azonosíthatóak legyenek, a folyamatokat mintegy sorvezetőként használva. Természetesen léteznek olyan működési kockázatok, melyek nem csak egy tevékenységhez, vagy folyamathoz köthetőek.
A további kockázatok azonosításához az vizsgált területek szakértőivel és vezetőivel folytatott strukturált megbeszélések szükségesek.
Az önértékelés, forgatókönyv-elemzés – bármilyen pontos is legyen – becslés eredménye. Éppen ezért szükséges a körültekintő alkalmazás, illetve az eredmények megbízhatóságának érdekében a független kockázatkezelő szakértők mellett akár a belső ellenőrzés bevonása is indokolt lehet.
Az ellenőrzés történhet a meglévő tényadatokkal való összevetés segítségével is, de ezen adatok esetében eleve probléma a teljesség hiánya, illetve az, hogy nem veszik figyelembe az esetleges szervezeti, vagy környezeti változásokat.
A becslések folyamán problémát jelenthet, ha a szakértők nem képesek becsülni: ismerik a kockázatokat, de nem tudják meghatározni azok várható veszteségét. Ilyenkor elfogadott külső adatokra, benchmarkok-ra támaszkodni, persze a szokásos fenntartásokkal.
A kockázati önértékelés és forgatókönyv-elemzés elsősorban abban segít, hogy segít feltárni a szervezetben a kockázatok okait is, a veszteségeloszlások mellett. Sok esetben a veszteségeloszlás alapú megközelítések nem is igazán vezetnek eredményre, mivel sokszor nem áll elégséges múltbeli adat rendelkezésre.
A folyamat alapú kockázatfelmérés arra is lehetőséget ad, hogy a vizsgált kockázatokhoz kapcsolódóan a folyamatokba kontrollpontokat, vagy ellenintézkedéseket illesszünk be.
