بازگشت
ریسک

ارزیابی ریسک یک الزام در استانداردهای سیستم مدیریت

در دهه‌های اخیر، اهمیت مدیریت ریسک در سازمان‌ها به عنوان یک عنصر اساسی در دستیابی به اهداف و مأموریت‌ها به شدت افزایش یافته است. یکی از ابزارهای مؤثر برای ارتقاء مدیریت ریسک، استفاده از استانداردهای سیستم‌های مدیریت است که شامل ISO 31000 و ISO 27001 می‌شود. در این مقاله، ابتداء به تاریخچه ارزیابی ریسک پرداخته و در ادامه به کاربرد آن در استانداردهای سیستم مدیریت می پردازیم و در انتهاء به یک مثال ساده از ارزیابی ریسک که در زندگی روزمره ما اتفاق می‌افتد، اشاره خواهیم کرد.

تاریخچه ارزیابی ریسک در استانداردهای سیستم مدیریت

۱- دهه ۱۹۷۰ و ۱۹۸۰:

ابتدایی‌ترین روش‌های مدیریت ریسک در دهه‌های ۱۹۵۰ و ۱۹۶۰ مربوط به صنعت بیمه بود. روش‌هایی برای تخمین و ارزیابی خطرات و تعیین تعرفه‌های بیمه به کار گرفته می‌شد.

۲- دهه ۱۹۷۰ و ۱۹۸۰:

در این دوره، توجه به مدیریت ریسک در حوزه‌های مختلف، از جمله محیط زیست، بهداشت و ایمنی شغلی، و مدیریت پروژه‌ها افزایش یافت. ایجاد مدل‌ها و فرآیندهای ارزیابی ریسک به منظور کاهش اثرات منفی و افزایش بهره‌وری اجرای پروژه‌ها انجام شد.

۳- دهه ۱۹۹۰:

استفاده از استانداردهای مدیریت کیفیت مانند ISO 9001، بهبود فرآیندهای کسب و کار و کاهش ریسک‌های مرتبط با کیفیت محصولات و خدمات را مد نظر قرار داد. این دوره شاهد توسعه اولین استانداردهای مرتبط با مدیریت ریسک نیز بود.

۴- دهه ۲۰۰۰:

در این دهه، استانداردهای مدیریت ریسک به عنوان یک بخش اساسی از استانداردهای سیستم مدیریت ظهور کردند. استانداردهایی مانند ISO 31000 “مدیریت ریسک – راهنمای عمومی برای ارزیابی ریسک” در سال ۲۰۰۹ منتشر شد.

۵- دهه ۲۰۱۰ و پس از آن:

استفاده از استانداردهای مدیریت ریسک در حوزه‌های مختلف مانند امنیت اطلاعات (ISO 27001)، محیط زیست (ISO 14001)، و مدیریت کیفیت (ISO 9001) به عنوان یک قسمت اساسی از سیستم‌های مدیریت کسب و کار، به تدریج افزایش یافته است.

۶- اکنون:

استانداردهای جدید و به‌روزتر مدیریت ریسک معرفی می‌شوند و توسعه می‌یابند. این استانداردها نه تنها به سازمان‌ها کمک می‌کنند تا ریسک‌های مختلف را شناسایی و مدیریت کنند بلکه بهبود پایداری و عملکرد سازمانی را نیز ترویج می‌کنند

ارزیابی ریسک از انتخاب تا یک الزام در سیستم‌های مدیریت

ارزیابی ریسک (مخاطرات) فرآیندی است که به وسیله آن، مخاطرات و تهدیدات محتمل در یک سازمان، پروژه یا فعالیت خاص شناسایی، تجزیه و تحلیل، و ارزیابی می‌شوند. هدف اصلی ارزیابی ریسک، تعیین احتمال وقوع ریسک‌ها و اندازه‌گیری تأثیرات آنها بر بهره‌وری یا اهداف سازمان است. این فرآیند به سازمان امکان می‌دهد تا برنامه‌های موثر مدیریت ریسک را تدوین کند و اقدامات پیشگیرانه را اجرا کند تا اثرات منفی ریسک‌ها کاهش یابد یا به حداقل رسانده شود. ارزیابی ریسک معمولاً شامل مراحل تشخیص و شناسایی ریسک، تعیین احتمال و تأثیرات، ارزیابی ماتریس ریسک، و انتخاب راهکارهای مدیریتی مناسب به منظور کاهش ریسک‌ها می‌شود.

به عنوان یک مثال عملی از ارزیابی ریسک، فرض کنید که یک سازمان فناوری اطلاعات است که به تازگی نرم‌افزار جدیدی را توسعه داده است. این نرم‌افزار برای مدیریت اطلاعات مشتریان در حوزه بانکداری استفاده می‌شود. در این سناریو، ارزیابی ریسک می‌تواند به ویژه در موارد زیر مفید باشد:

  1. تشخیص و شناسایی ریسک‌ها:

    • مثال: یکی از ریسک‌های احتمالی ممکن است ناکارآمدی در حفاظت از اطلاعات حساب‌های بانکی مشتریان باشد. ارزیابی این مسئله می‌تواند با بررسی سیستم امنیتی و کنترل‌های دسترسی، احتمال وقوع و تأثیرات مختلف را تعیین کند.

  2. ارزیابی تأثیرات مالی:

    • مثال: در صورت حمله به سیستم و دسترسی غیرمجاز به اطلاعات حساب‌های بانکی، سازمان ممکن است با هزینه‌های مالی عظیمی برای اصلاح امنیت سیستم و جبران خسارت به مشتریان روبه‌رو شود. ارزیابی ریسک می‌تواند به تعیین این هزینه‌ها کمک کند.

  3. مدیریت ریسک با استفاده از استانداردها:

    • مثال: اگر سازمان از استانداردهای مدیریت ریسک مانند ISO 27001 استفاده کند، ارزیابی می‌تواند نشان دهد که در چه میزان این استانداردها رعایت شده‌اند و آیا کنترل‌های امنیتی به‌درستی پیاده‌سازی شده‌اند یا خیر.

  4. تعیین راهکارهای مدیریت ریسک:

    • مثال: اگر ارزیابی نشان دهد که یکی از ریسک‌های اصلی، ضعف در فرآیند پشتیبانی داده و بازیابی اطلاعات است، سازمان می‌تواند راهکارهایی برای بهبود این فرآیند ارائه دهد، مانند ایجاد نسخه‌های پشتیبان منظم و آزمایشی.

  5. پیشگیری از ریسک:

    • مثال: ارزیابی ممکن است به نتایجی برسد که نشان دهد یکی از راهکارهای پیشگیری از ریسک، آموزش کارکنان در زمینه امنیت اطلاعات است. این آموزش‌ها می‌توانند کارکنان را آگاه‌سازی کنند و به جلوگیری از رفتارهای نامناسب و دسترسی‌های غیرمجاز کمک کنند.

این مثال نشان‌دهنده‌ی چگونگی استفاده از ارزیابی ریسک در یک سناریو واقعی است. این فرآیند به سازمان کمک می‌کند تا ریسک‌های محتمل را شناسایی کرده و راهکارهایی برای مدیریت بهتر آنها را ارائه دهد.

ارزیابی مدیریت ریسک

استاندارد ISO 31000 مرجع ارزیابی ریسک 

استاندارد ISO 31000 یک استاندارد بین‌المللی مرتبط با مدیریت ریسک است. این استاندارد با نام “مدیریت ریسک – راهنمای عمومی برای ارزیابی ریسک” شناخته می‌شود. ISO 31000 به عنوان یک چارچوب عمومی برای مدیریت ریسک در هر نوع سازمانی عمل می‌کند و توسط سازمان جهانی استاندارد (ISO) تدوین شده است.

در ادامه، برخی از ویژگی‌ها و اهداف ISO 31000 را معرفی می‌کنم:

  1. تعریف ریسک:

    • ISO 31000 به ریسک را به عنوان “تأثیرات ناخواسته” تعریف کرده و این تأثیرات ممکن است موجب تحلیل تأثیرات مالی، ایمنی، سلامتی، یا موارد دیگر گردند.

  2. اصول راهبردی :

    • این استاندارد یک چارچوب عمومی و راهبردی ارائه می‌دهد که برای مدیریت ریسک در هر سازمانی قابل استفاده است. استاندارد ISO 31000 ، این امکان را فراهم می‌کند که سازمان‌ها با در نظر گرفتن شرایط و ویژگی‌های خود، مدیریت ریسک را اجرا کنند.

  3. اصول مدیریت ریسک:

    • استاندارد ISO 31000 بر اصول اصلی مدیریت ریسک تأکید دارد که شامل تعهد به مدیریت ریسک به عنوان یک فرآیند بهبود مستمر، تعهد به هماهنگی با سیاست‌ها و اهداف سازمان، و مشارکت فعال مدیران و کارکنان در فرآیند مدیریت ریسک می‌شود.

  4. چرخه مدیریت ریسک:

    • ISO 31000 فرآیند مدیریت ریسک را به عنوان یک چرخه مستمر از مراحل تعریف محدوده، ارزیابی ریسک، مدیریت ریسک، و پایش و بازبینی توصیف می‌کند.

  5. استفاده از ابزارها و فنون:

    • این استاندارد به سازمان‌ها اجازه می‌دهد تا از ابزارها و فنون متعددی برای ارزیابی و مدیریت ریسک استفاده کنند، از جمله تحلیل ماتریسی، مدل‌های شبکه، و تحلیل احتمالات.

  6. تعهد به بهبود مستمر:

    • ISO 31000 تأکید دارد که مدیریت ریسک یک فرآیند پویا است و سازمان‌ها باید بهبودهای مستمر را اعمال کنند.

با استفاده از استاندارد ISO 31000، سازمان‌ها قادرند تا رویکردهای یکپارچه و اثربخش برای مدیریت ریسک خود را ایجاد کرده و از فرآیند مدیریت ریسک به نحو بهینه‌تری بهره‌مند شوند

مثالی از کاربرد ارزیابی ریسک در زندگی روزمره

حتی در زندگی روزانه ما، ارزیابی ریسک می‌تواند در مواقع مختلفی کمک کند. یک مثال ساده از ارزیابی ریسک در زندگی روزانه می‌تواند مربوط به انتخاب مسیر جدید برای رفتن به محل کار یا تحصیل باشد. در اینجا چند مرحله از ارزیابی ریسک در این زمینه را مطرح می‌کنم:

  1. شناسایی ریسک:

    • مثال: تصمیم به تغییر مسیر روزانه برای رسیدن به محل کار جدید. ما می توانیم مسیر های مختلفی برای رفتن به محل کار داشته باشیم : با دوچرخه از مسیر معمول جاده ای، با دوچرخه از یک مسیر جنگلی، عبور از اتوبان بدون استفاده از پل عابر پیاده ، اتوبوس، خودرو شخصی . این تغییر ممکن است با خطراتی مانند افزایش زمان سفر، ترافیک بیشتر، یا عدم آشنایی با محیط جدید همراه باشد.

  2. تعیین احتمال وقوع ریسک:

    • مثال: تحقیق در مورد ترافیک روزانه در ساعات مختلف، میزان تغییرات جوی، و شناخت محیط جدید با مسیر جدید. این اطلاعات به شما کمک می‌کنند تا احتمال وقوع هر ریسک را بسنجید.

  3. ارزیابی تأثیرات مختلف:

    • مثال: بررسی تأثیر افزایش زمان سفر بر روی زمان آزاد شما، احتمال تأخیر در محل کار یا تحصیل، و تأثیرات مالی (اگر از وسیله نقلیه عمومی استفاده کنید).

  4. تعیین راهکارهای مدیریت ریسک:

    • مثال: ممکن است شما تصمیم بگیرید یکبار مسیر جدید را آزمایش کنید و زمان سفر را اندازه‌گیری کنید تا ببینید چقدر افزایش پیدا می‌کند. همچنین، می‌توانید گزینه‌های مختلفی را برای انتقال انتخاب کنید، مثل استفاده از وسیله نقلیه عمومی یا دوچرخه.

  5. پیشگیری از ریسک:

    • مثال: اگر متوجه می‌شوید که مسیر جدید دارای ترافیک زیاد است، ممکن است تصمیم بگیرید ساعات سفر خود را تغییر دهید تا از ترافیک کاسته شود یا از ابزارهای نقلیه متفرقه استفاده کنید.

در این مثال، ارزیابی ریسک به شما کمک می‌کند تا قبل از انجام تغییرات، مزایا و معایب مختلف را در نظر بگیرید و تصمیم بهتری برای انجام این تغییرات بگیرید. این ایده ارزیابی ریسک را به عنوان یک ابزار مفید در مواجهه با تصمیمات روزمره در زندگی شخصی ما نشان می‌دهد.

یک روش محاسباتی برای ارزیابی ریسک

در استاندارد ISO 31000، ارزیابی ریسک به عنوان یک قسمت اساسی از مدیریت ریسک تلقی می‌شود. ساده‌ترین روش برای ارزیابی ریسک در این استاندارد، به عنوان یک راهکار عمومی و راهبردی، از مفهوم ساده “احتمال و تأثیر” استفاده می‌کند.  شما برای هر ریسک شناسایی شده باید شاخص سطح ریسک را که حاصل ضرب  شاخص احتمال وقوع در شدت تاثیر ریسک ( مخاطره ) تعیین شود به این عدد بدست آمده شاخص تعیین سطح ریسک می گویند. این مفهوم به صورت زیر توضیح داده می‌شود:

  1. تعیین احتمال وقوع:

    • در این مرحله، احتمال وقوع هر ریسک بر اساس اطلاعات موجود و تجربیات قبلی تخمین زده می‌شود. احتمال ممکن است از پایین، متوسط، تا بالا مشخص شود.

  2. تعیین تأثیرات:

    • سپس، تأثیرات مختلف هر ریسک بر عملکرد سازمان یا پروژه مورد ارزیابی قرار می‌گیرد. این تأثیرات ممکن است به صورت مالی، زمانی، ایمنی، یا سایر ابعاد مهم تعریف شوند.

  3. تعیین سطح ریسک:

    • با ترکیب احتمال و تأثیرات، سطح ریسک برای هر ریسک محاسبه می‌شود. این سطح می‌تواند به صورت ساده به سه دسته پایین، متوسط، یا بالا تعیین شود.

  4. تصمیم‌گیری در مورد مدیریت ریسک:

    • با توجه به سطح ریسک، تصمیمات مربوط به مدیریت ریسک اتخاذ می‌شود. این ممکن است شامل اجرای اقدامات پیشگیرانه، تبدیل ریسک، پذیرش ریسک، یا کاهش ریسک باشد.

این روش ساده از اصول اساسی ارزیابی ریسک در ISO 31000 استفاده می‌کند و به سازمان‌ها امکان می‌دهد با استفاده از یک چشم‌انداز کلان و قابل فهم، ریسک‌ها را مدیریت کنند. البته، این تنها یکی از روش‌های ساده ممکن است و در موارد پیچیده‌تر، می‌توان به تکنیک‌ها و ابزارهای پیشرفته‌تر مراجعه کرد.

برچسب:, , ,

آواتار نویسنده
محمدرضا آبادیان

شما همچنین ممکن است دوست داشته باشید

فرمهای انبارداری
راهنمای کامل ایجاد فرمهای انبارداری مدرن
۱۹ فروردین, ۱۴۰۳
سوالات ممیزی داخلی رایگان
چک لیست ممیزی داخلی را برای سازمان خودت بساز
۱۲ آذر, ۱۴۰۲
درباره ایزو
آنچه باید در مورد سیستم مدیریت کیفیت ISO 9001 بدانید
۱۶ آبان, ۱۴۰۲

یک دیدگاه ارسال کنید

enemad-logo