فهرست

مدیریت ریسک – اصول و رهنمودها ۱

۱-  هدف و دامنه کاربرد ۱

۲- اصطلاحات و تعاریف.. ۱

۲-۱- ریسک Risk. 1

۲-۲- مدیریت ریسک                            Risk Management 1

۲-۳- چارچوب مدیریت ریسک  Risk Management Framework. 1

۲-۴- خط مشی مدیریت ریسک Risk Management Policy. 1

۲-۵- نگرش به ریسک Risk Attitude. 1

۲-۶- طرح ریسکRisk Management Plan. 1

۲-۷- صاحب ریسک  Risk Owner 1

۲-۸- فرآیند مدیریت ریسکRisk Management Process 1

۲-۹- برقراری فضا Establishing the Context 1

۲-۱۰- فضای خارجیExternal Context 1

۲-۱۱- فضای داخلی Internal Context 1

۲-۱۲- تبادل اطلاعات و مشاوره Communication And Consultation. 1

۲-۱۳- علاقمند Stakeholder 1

۲-۱۴- ارزیابی ریسک Risk Assessment 1

۲-۱۵- شناسایی ریسک Risk Identification. 1

۲-۱۶- منبع ریسک Risk Source. 1

۲-۱۷- رخداد Event 1

۲-۱۸- عاقبت Eonsequence. 1

۲-۱۹- راستنمایی Likelihood. 1

۲-۲۰- پروفایل ریسک Risk Profile. 1

۲-۲۱- تحلیل ریسک Risk Analysis 1

۲-۲۲- معیارهای ریسک Risk Criteria. 1

۲-۲۳- سطح ریسک Level Of Risk. 1

۲-۲۴- سنجش ریسک Risk Evaluation. 1

۲-۲۵- برخورد با ریسک Risk Treatment 1

۲-۲۶- کنترل Control 1

۲-۲۷- ریسک باقی مانده Residual Risk. 1

۲-۲۸- پایش Monitoring. 1

۲-۲۹- بازنگری Review.. 1

۳- اصول. ۱

۴- چارچوب.. ۱

۴ – ۱ کلیات.. ۱

۴ – ۲ اختیار و تعهد ۱

۴ ـ ۳ طراحی چارچوب برای اداره ی ریسک.. ۱

۴ ـ ۳ ـ ۱ فهمیدن سازمان و فضای آن. ۱

۴ ـ۳ ـ ۲ برقراری خط مشی مدیریت ریسک.. ۱

۴ ـ ۳ ـ ۳ پاسخگویی. ۱

۴-۳-۴- انسجام با فرآیندهای سازمان. ۱

۴-۳-۵- منابع. ۱

۴-۳-۶- برقراری تبادل اطلاعات داخلی و ساز و کارهای گزارش دهی. ۱

۴-۳-۷- برقراری تبادل اطلاعات خارجی و ساز و کارهای گزارش دهی. ۱

۴-۴- پیاده سازی مدیریت ریسک.. ۱

۴-۴-۱- پیاده سازی چارچوب برای اداره ی ریسک.. ۱

۴-۴-۲- پیاده سازی فرآیند مدیریت ریسک.. ۱

۴-۵- پایش و بازنگری چارچوب.. ۱

۴-۶- بهبود مداوم چارچوب.. ۱

۵- فرآیند ۱

۵-۱- کلیات.. ۱

۵-۲- تبادل اطلاعات و مشاوره ۱

۵-۳- برقراری فضا ۱

۵-۳-۱- کلیات.. ۱

۵-۳-۲- برقراری فضای خارجی. ۱

۵-۳-۳- برقراری فضای داخلی. ۱

۵-۳-۴- برقراری فضای فرآیند مدیریت ریسک.. ۱

۵-۳-۵- تعریف معیارهای ریسک.. ۱

۵-۴- ترزیابی ریسک.. ۱

۵-۴-۱- کلیات.. ۱

۵-۴-۲- شناسایی ریسک.. ۱

۵-۴-۳- تحلیل ریسک.. ۱

۵-۴-۴- سنجش ریسک.. ۱

۵-۵- برخورد با ریسک.. ۱

۵-۵-۱- کلیات.. ۱

۵-۵-۲- انتخاب گزینه های برخورد با ریسک.. ۱

۵-۵-۳- آماده سازی و پیاده سازی طرح های برخورد با ریسک.. ۱

۵-۶- پایش و بازنگری. ۱

۵-۷- ثبت فرآیند مدیریت ریسک.. ۱

پیوست الف.. ۱

(اطلاعاتی) ۱

وصفی های مدیریت ریسک ارتقا یافته ۱

الف- ۱- کلیات.. ۱

الف-۲- پیامدهای کلیدی. ۱

الف-۲-۱- سازمان دارای درک جاری، صحیح و جامعی از ریسک هایش است. ۱

الف-۲-۲- ریسک های سازمان در معیارهای ریسکش هستند. ۱

الف-۳- وصفی ها ۱

الف-۳-۱- بهبود مداوم ۱

الف-۳-۲- پاسخگویی کامل برای ریسک ها ۱

الف-۳-۳- کاربرد مدیریت ریسک در کل تصکیک گیری ها ۱

الف-۳-۴- تبادل اطلاعات مداوم ۱

الف-۳-۵- انسجام کامل در ساختار حکمرانی سازمان. ۱

کتابنامه ۱

 

 

۱-    هدف و دامنه کاربرد

هدف از تدوین این استاندارد ارائه ی اصول و رهنمودهایی عام در مورد مدیریت ریسک است.

این استاندارد می تواند مورد استفاده هر بنگاه عمومی، خصوصی یا اجتماعی، انجمن، گروه یا فرد قرار گیرد. بنابراین این استاندارد خاص هیچ صنعت یا بخشی نیست.

یادآوری: برای راحتی، به تمام کاربران مختلف این استاندارد با اصطلاح کلی «سازمان» اشاره می شود.

این استاندارد را می توان در کل عمر یک سازمان و در گستره ای وسیع از فعالیت ها به کار برد، از جمله راهبردها و تصمیمات، عملیات، فرآیندها، وظایف، پروژه ها، محصولات، خدمات و دارایی ها.

این استاندارد را می توان در مورد هر نوع ریسک با هر به کار برد، چه دارای عواقب مثبت باشد و چه منفی.

گرچه این استاندارد رهنمودهایی عام ارائه می دهد، ولی مقصود از آن ترویج مدیریت ریسک هم شکل بین سازمان ها نیست. طراحی و پیاده سازی طرح ها و چارچوب های مدیریت ریسک نیازمند در نظر گرفته شدن نیازهای مختلف سازمانی خاص، اهداف، فضا، ساختار، عملیات، فرآیندها، وظایف، پروژه ها، محصولات، خدمات یا دارایی های خاص آن و رویه های خاص به کار گرفته شده، می باشد.

مقصود از این استاندارد استفاده از آن برای هماهنگ سازی فرآیندهای مدیریت ریسک در استانداردهای موجود و استانداردهای آتی است. این استاندارد رویکردی مشترک در پششتیبانی از استانداردهایی ارائه می دهد که به ریسک ها و یا بخش های خاصی می پردازند و جایگزینی برای آن استانداردها نیست. این استانداردها برای مقصود صدور گواهی در نظر گرفته نشده است.

 

۲-   اصطلاحات و تعاریف

در این استاندارد، اصطلاحات و تعاریف زیر به کار می روند .

۲-۱- ریسک Risk

تأثیر عدم قطعیت بر اهداف

یادآوری ۱: تاثیر انحراف از آن چه مورد انتظار است – مثبت و یا منفی

یاد آوری ۲: اهداف ممکن است جنبه های مختلفی داشته باشند (مانند اهداف مالی، بهداشت و ایمنی و محیطی) و ممکن است در سطوح مختلفی به کار روند ( مانند راهبردی ،در سطح سازمان پروژه ، محصول و فرآیند).

یاد آوری ۳: ریسک اغلب با رجوع به رخدادهای (۲-۱۷) بالقوه و عواقب (۲-۱۸) یا ترکیبی از این ها توصیف می شود.

یادآوری ۴: ریسک اغلب به صورت ترکیبی از عواقب یک رخداد (از جمله تغییراتی در اوضاع و احوال) و احتمال (۲-۱۹) وقوع مربوطه بیان می شود.

یادآوری ۵: عدم قطعیت، حالت یا حتی جزئی از نقض اطلاعات مربوط به درک یا دانش یک رخداد، عاقبت یا احتمال آن است.

(ISO Guide 73:2009، تعریف ۱-۱)

۲-۲- مدیریت ریسک                            Risk Management

فعالیت های هماهنگ شده برای هدایت و کنترل یک سازمان با توجه به ریسک (۲-۱)

(SO Guide 73:2009، تعریف ۱-۱)

۲-۳- چارچوب مدیریت ریسک  Risk Management Framework

مجموعه ای از اجزاء که بنیادها و تمهیدات سازمانی را برای طراحی، پیاده سازی، پایش (۲-۲۸) بازنگری و بهبود مداوم مدیریت ریسک (۲-۲) در کل سازمان فراهم می سازند.

یادآوری ۱: بنیادهای شامل خط مشی، اهداف، دستور و تعهد به مدیریت ریسک (۲-۱) می شوند.

یاد آوری ۲: تمهیدات سازمانی شامل طرح ها، روابط، مسئولیت ها، منابع، فرآیندها و فعالیت ها می شوند.

یادآوری ۳: چارچوب مدیریت ریسک در خط مشی ها و رویه ها ی کلی راهبردی و بهره برداری سازمان تعبیه شده است.

(ISO Guide 73:2009، تعریف۲-۱-۱)

۲-۴- خط مشی مدیریت ریسک Risk Management Policy

بیانیه ی مقاصد کلی و هدایت یک سازمان که مربوط به مدیریت ریسک (۲-۲)

(ISO Guide 73:2009، تعریف۲-۱-۲)

۲-۵- نگرش به ریسک Risk Attitude

رویکرد سازمان به ارزیابی و در نهایت دنبال کردن ، حفظ ، پذیرفتن یا دور شدن از ریسک (۲-۱)

(SO Guide 73:2009، تعریف۳-۷-۱-۱)

۲-۶- طرح ریسکRisk Management Plan

برنامه درون چارچوب مدیریت ریسک (۲-۳) که رویکرد اجزاء مدیریت و منابعی را که قرار است در مدیریت ریسک (۲-۱) به کار روند، مشخص می کند.

یاد آوری ۱: اجزاء مدیریت معمولا شامل روش های اجرایی، رویه ها، انتصاب مسئولیت ها، توالی و زمان بندی فعالیت ها می شوند.

یاد آوری ۲: طرح مدیریت ریسک را می توان در محصول، فرآیند و پروژ ای خاص و قسمتی از سازمان یا کل آن به کار برد

(ISO Guide 73:2009، تعریف۲-۱-۳)

۲-۷- صاحب ریسک  Risk Owner

فرد یا مقوله ای با مسئولیت و اختیار برای اداره ی ریسک (۲-۱)

(ISO Guide 73:2009، تعریف۳-۵-۱-۵)

۲-۸- فرآیند مدیریت ریسکRisk Management Process

به کارگیری سیستماتیک خط مشی ها ، روش های اجرایی و رویه های مدیریت در فعالیت های تبادل اطلاعات، مشاوره، ایجاد فضا و شناسایی، تحلیل، سنجش، برخورد، پایش (۲-۲۸) و بازنگری ریسک (۲-۱)

(ISO Guide 73:2009، تعریف۳-۱)

۲-۹- برقراری فضا Establishing the Context

تعریف پارامترهای خارجی و داخلی که هنگام اداره کردن ریسک و تنظیم دامنه کاربرد و معیارهای ریسک (۲-۲۲) برای خط مشی مدیریت ریسک (۲-۴) در نظر گرفته می شوند.

(ISO Guide 73:2009، تعریف۳-۱)

۲-۱۰- فضای خارجیExternal Context

محیط خارجی که در آن سازمان به دنبال دستیابی به اهدافش است

یادآوری: فضای خارجی می تواند شامل موارد زیر باشد:

• محیط فرهنگی، اجتماعی، سیاسی، قانونی، مالی، فناوری، اقتصادی، طبیعی و رقابتی، چه بین المللی باشد و چه ملی، منطقه ای یا محلی
• محرک های کلیدی و روندهای تاثیر گذار بر اهداف سازمان
• روابط با و برداشت ها و ارزش های علاقمندان (۲-۱۳) خارجی.

(ISO Guide 73:2009، تعریف۳-۳-۱-۱)

۲-۱۱- فضای داخلی Internal Context

محیط داخلی که در آن سازمان به دنبال دستیابی به اهدافش است

یادآوری: فضای داخلی می تواند شامل موارد زیر باشد:

• حکمرانی، ساختار سازمانی، نقش ها و مسئولیت ها.
• خط مشی ها، اهداف و راهبردهایی که برای دستیابی به آن ها در کارند.
• توانمندی ها که با توجه به منابع و دانش درک می شوند ( مثلا سرمایه، زمان،افراد، فرآیندها، سیستم ها و فناوری ها).
• سیستم های اطلاعاتی، جریان های اطلاعات و فرآیندهای تصمیم گیری (هم رسمی و هم غیر رسمی).
• روابط با علاقمندان داخلی (۲-۱۳) و برداشت ها و ارزش های آنان.
• فرهنگ سازمان.
• استاندارد ها، رهنمودها و مدل اتخاذ شده توسط سازمان.
• شکل و میزان روابط قراردادی.

(ISO Guide 73:2009، تعریف۳-۳-۱-۲)

۲-۱۲- تبادل اطلاعات و مشاوره Communication And Consultation

فرآیندهای مداوم و تکرار شونده که سازمانی انجام می دهد تا اطلاعات را فراهم سازد، در اطلاعات شریک شود یا اطلاعات را کسب کند و وارد گفتگویی در مورد مدیریت ریسک (۲-۱) با علاقمندان (۲-۱۳) شود.

یادآوری۱: اطلاعات می تواند مربوط به وجود، ماهیت، شکل، احتمال (۲-۱۹)، اهمیت، سنجش، قابلیت پذیرش و برخورد با مدیریت ریسک باشد.

یادآوری ۲: مشاوره فرآیندی دو سویه از تبادل آگاهانه اطلاعات است بین یک سازمان و علاقمندانش در مورد مسئله ای پیش از تصمیم گیری یا تعیین سمت و سویی در مورد آن مسئله مشاوره عبارت است از:

• فرآیندی که از طریق تأثیر و نه قدرت بر تصمیمی اثر می گذارد
• یک ورودی به تصمیم گیری و نه تصمیم گیری مشترک.

(ISO Guide 73:2009، تعریف ۳-۲-۱)

۲-۱۳- علاقمند Stakeholder

فرد یا سازمانی که می تواند بر تصمیم یا فعالیت تأثیر بگذارد، از آن تأثیر بپذیرد یا خود را تحت تأثیر آن بداند.

یادآوری – تصمیم گیرنده می تواند علاقمند باشد.

(ISO Guide 73:2009، تعریف ۳-۲-۱-۱)

۲-۱۴- ارزیابی ریسک Risk Assessment

فرآیند کلی شناسایی ریسک (۲-۱۵)، تحلیل ریسک(۲-۲۱) و سنجش ریسک (۲-۲۴)

(ISO GUIDE 73:2009، تعریف ۳-۴-۱)

۲-۱۵- شناسایی ریسک Risk Identification

فرآیند یافتن، به رسمیت شناختن و توصیف ریسک ها (۲-۱)

یادآوری ۱: شناسایی ریسک شامل شناسایی منابع ریسک (۲-۱۶)، رخدادها (۲-۱۷)، دلایل آن ها و عواقب (۲-۱۸) بالقوه آن ها می شود.

یادآوری ۲: شناسایی ریسک می تواند شامل داده های تاریخچه ای، تحلیل نظری، نظرات افراد مطلع و متخصص و نیازهای علاقمند (۲-۱۳) باشد.

(ISO GUIDE 73:2009، تعریف ۳-۵-۱)

۲-۱۶- منبع ریسک Risk Source

عنصری که به تنهایی یا به صورت ترکیبی دارای قابلیت ذاتی افزایش ریسک (۲-۱) است.

یادآوری: منبع ریسک می تواند ملموس یا ناملموس باشد.

(ISO GUIDE 73:2009، تعریف ۳-۵-۱-۲)

۲-۱۷- رخداد Event

وقوع یا تغییر مجموعه ای خاص از اوضاع و احوال

یادآوری ۱: رخداد می تواند یک یا چند اتفاق باشد و می تواند چندین دلیل متعدد داشته باشد.

یادآوری ۲: رخداد می تواند متشکل از چیزی باشد که اتفاق نمی افتد.

یادآوری ۳: رخداد گاهی می تواند «رویداد» یا «حادثه» نام گیرد.

(ISO GUIDE 73:2009، تعریف ۳-۵-۱-۳)

۲-۱۸- عاقبت Eonsequence

پیامد یک رخداد (۲-۱۷) که بر اهداف تأثیر می گذارد.

یادآوری ۱: یک رخداد می تواند منجر به گستره ای از عواقب شود.

یادآوری ۲: عاقبت می تواند قطعی یا غیر قطعی باشد و بر اهداف تأثیرات مثبت یا منفی بگذارد.

یادآوری ۳: عواقب را می توان به صورت کمی یا کیفی بیان کرد.

یادآوری۴: عواقب اولیه می توانند از طریق تأثیرات ثانوی[۱] افزایش یابند.

(ISO GUIDE 73:2009، تعریف ۳-۶-۱-۳)

۲-۱۹- راستنمایی Likelihood

شانس وقوع یک امر

یادآوری ۱: در اصطلاح شناسی مدیریت ریسک، واژه «احتمال» به معنای شانس وقوع یک امر به کار می رود، چه تعریف شده باشد و چه اندازه گیری شده یا به طور عینی یا فردی، کیفی یا کمی تعریف شده باشد و یا با استفاده از اصطلاحات کلی یا به صورت ریاضیاتی توصیف شده باشد(مانند احتمال یا فراوانی در مدت زمانی معیین).

یادآوری ۲: واژه احتمال[۲] دارای تعبیر ریاضیاتی می باشد، بنابراین در اصطلاح شناسی مدیریت ریسک از راستنمایی[۳] استفاده می شود و مقصود این است که تعبیری گسترده تر داشته باشد.

(ISO GUIDE 73:2009، تعریف ۳-۵-۱-۱)

۲-۲۰- پروفایل ریسک Risk Profile

توصیف هر مجموعه ای از ریسک ها (۲-۱)

یادآوری: مجموعه ی ریسک ها می تواند در بردارنده ریسک هایی باشد که مربوط به کل سازمان یا بخشی از آن هستند یا به صورتی دیگر تعریف شوند.

(ISO GUIDE 73:2009، تعریف ۳-۸-۲-۵)

۲-۲۱- تحلیل ریسک Risk Analysis

فرآیندی برای درک ماهیت ریسک(۲-۱) و تعیین سطح ریسک (۲-۲۳)

یادآوری ۱: تحلیل ریسک، پایه ای برای سنجش ریسک (۲-۲۴) و تصمیماتی در مورد برخورد با ریسک (۲-۲۵) فراهم می سازد.

یادآوری ۲: تحلیل ریسک شامل برآورد ریسک می شود.

(ISO GUIDE 73:2009، تعریف ۳-۶-۱)

۲-۲۲- معیارهای ریسک Risk Criteria

حدود اختیار که اهمیت ریسک (۲-۱) در مقابل آنها سنجیده می شود.

یادآوری ۱: معیارهای ریسک بر پایه اهداف سازمانی و فضای خارجی (۲-۱۰) و داخلی (۲-۱۱) هستند.

(ISO GUIDE 73:2009، تعریف ۳-۳-۱-۳)

یادآوری ۲: معیارهای ریسک را می توان از استاندارها،  قوانین، خط مشی ها و دیگر الزامات به دست آورد.

۲-۲۳- سطح ریسک Level Of Risk

بزرگی یک ریسک (۲-۱) یا ترکیبی از ریسک ها، که به صورت ترکیبی از عواقب (۲-۱۸) و راستنمایی (۲-۱۹) آن ها بیان می شود.

(ISO GUIDE 73:2009، تعریف ۳-۶-۱-۸)

۲-۲۴- سنجش ریسک Risk Evaluation

فرآیند مقایسه نتایج تحلیل ریسک (۲-۲۱) با معیارهای ریسک (۲-۲۲) برای تعیین این که آیا ریسک (۱-۱) و یا بزرگی آن قابل قبول یا قابل تحمل است.

یادآوری: سنجش ریسک در تصمیم گیری در مورد برخورد با ریسک (۲-۲۵) کمک کننده است.

(ISO GUIDE 73:2009، تعریف ۳-۷-۱)

۲-۲۵- برخورد با ریسک Risk Treatment

فرآیندی برای تعدیل ریسک (۲-۱)

یادآوری ۱: برخورد با ریسک می تواند شامل موارد زیر باشد:

• اجتناب از ریسک از طریق تصمیم به عدم آغاز یا ادامه فعالیتی که ریسک را افزایش می دهد.
• پذیرش ریسک یا افزایش آن به منظور دنبال کردن یک فرصت.
• از میان برداشتن منبع ریسک (۲-۱۶).
• تغییر دادن راستنمایی (۲-۱۹).
• تغییر دادن عواقب (۲-۱۸).
• به اشتراک گذاشتن ریسک با طرف یا طرف های دیگر (از جمله قراردادها و تأمین مالی ریسک.
• حفظ ریسک با تصمیم آگاهانه.

یادآوری ۲: برخورد با ریسک هایی که به عواقب منفی می پردازند، گاهی «تخفیف ریسک»، «رفع ریسک»، «ممانعت از ریسک» و «کاهش ریسک» نام می گیرند.

یادآوری ۳: برخورد با ریسک می تواند ریسک هایی جدید ایجاد کند یا ریسک های موجود را تعدیل نماید

(ISO GUIDE 73:2009، تعریف ۳-۸-۱)

۲-۲۶- کنترل Control

اقدامی که ریسک (۲-۱) را تعدیل می کند.

یادآوری ۱: کنترل ها شامل هر فرآیند، خط مشی، تدبیر، رویه یا اقدام دیگری هستند که ریسک را تعدیل می کند.

یادآوری۲: کنترل ها ممکن است همیشه تأثیر تعدیلی مورد نظر یا مفروض را در بر نداشته باشند.

(ISO GUIDE 73:2009، تعریف ۳-۸-۱-۱)

۲-۲۷- ریسک باقی مانده Residual Risk

ریسک (۱-۱) باقی مانده پس از برخورد با ریسم (۲-۲۵)

یادآوری ۱: ریسک باقی مانده می تواند در بردارنده ریسک شناسایی نشده باشد.

یادآوری ۲: ریسک باقی مانده همچنین می تواند «ریسک حفظ شده» نام گیرد.

(ISO GUIDE 73:2009، تعریف ۳-۸-۱-۶)

۲-۲۸- پایش Monitoring

وارسی، نظارت و مشاهده نقادانه مداوم یا تعیین وضعیت به منظور شناسایی تغییر از سطح عملکرد مورد الزام یا انتظار.

یادآوری ۱: پایش می تواند در چارچوب مدیریت ریسک (۲-۳)، فرآیند مدیریت ریسک (۲-۸)، ریسک (۲-۱) یا کنترل (۲-۲۶) به کار رود.

(ISO GUIDE 73:2009، تعریف ۳-۸-۲-۱)

۲-۲۹- بازنگری Review

فعالیتی که برای تعیین مناسب بودن، کفایت و اثر بخشی موضوع برای دستیابی به اهداف برقرار شده انجام می گیرد

یادآوری: بازنگری می تواند در چارچوب مدیریت ریسک (۲-۳)، فرآیند مدیریت ریسک(۲-۸)، ریسک (۲-۱) یا کنترل (۲-۲۶) به کار رود.

(ISO GUIDE 73:2009، تعریف ۳-۸-۲-۲)

 

۳-  اصول

برای این که مدیریت ریسک اثر بخش واقع شود، سازمان بایستی در تمامی سطوح، منطبق با اصول زیر باشد.

• مدیریت ریسک ارزش را ایجاد و حفاظت می کند.

مدیریت ریسک در دستیابی قابل اثبات اهداف و بهبود عملکرد مثلا در بهداشت و ایمنی انسان، امنیت، انطباق قانونی و نظارتی، پذیرش عمومی، حفاظت محیطی، کیفیت محصول، پروژه، کارایی در بهره برداری ها، حکمرانی و اعتبار، مشارکت می کند.

• مدیریت ریسک به عنوان یک قسمت جدایی ناپذیر از فرایندهای سازمانی

مدیریت ریسک یک فعالیت مستقل مجزا از فعالیت ها و فرآیندهای اصلی سازمان نیست. مدیریت ریسک قسمتی از مسئولیت های مدیریت و یک قسمت جدایی ناپذیر تمام فرآیند های سازمانی است، از جمله طرح ریزی راهبردی و کل فرآیندهای مدیریت پروژه و مدیریت تغییر.

• مدیریت ریسک قسمتی از تصمیم گیری است.

مدیریت ریسک به تصمیم گیرندگان کمک می کند انتخاب های آگاهانه ای داشه باشند، اقدامات را اولویت بندی کنند و بین راه کارهای مختلف تمایز قائل شوند.

• مدیریت ریسک تصریحاً به عدم قطعیت می پردازد.

مدیریت ریسک تصریح قطعیت، ماهیت این عدم قطعیت و نحوه پرداختن به آن را در نظر می گیرد.

• مدیریت ریسک سیستماتیک، ساختار یافته و به هنگام است.

رویکردی سیستماتیک، به هنگام و ساختاریافته به مدیریت ریسک در کارایی و نتایجی پایدار، قابل مقایسه و قابل اطمینان کمک می کند.

• مدیریت ریسک بر اساس بهترین اطلاعات موجود قرار دارد.

ورودی ها به فرآیند اداره ی ریسک بر اساس منابع اطلاعاتی مانند داده های تاریخچه ای، تجربه، بازخورد علاقمند، مشاهده، پیش بینی ها و کارشناسی تخصصی قرار دارند. با این حال، تصمیم گیرندگان بایستی خود را از هر محدویت در داده ها یا مدلسازی به کار رفته یا احتمال تباین[۴] بین متخصصین آگاه ساخته و این موارد را به حساب آورند.

• مدیریت ریسک سازگاری شده است.

مدیریت ریسک با فضای خارجی و داخلی سازمان و پروفایل ریسک همراستا است.

• مدیریت ریسک عوامل انسانی و فرهنگی را به حساب می آورد.

مدیریت ریسک توانمندی ها، ادراک ها و مقاصد افراد خارجی و داخلی را که می توانند دستیابی به اهداف سازمان را تسهیل نموده یا مانع آن هاشوند، به رسمیت می شناسد.

• مدیریت ریسک شفاف و جامع است.

مداخله مناسب و به هنگام علاقمندان و به ویژه تصمیم گیرندگان در تمامی سطوح سازمان، مرتبط و به روز باقی ماندن مدیریت ریسک را تأمین می کند. مداخله همچنین به علاقمندان این امکان را می دهد که نظراتشان را به طور مناسب نشان داده شوند و در تعیین معیارهای ریسک به حساب آید.

• مدیریت ریسک پویا، تکراری[۵] و پاسخگو به تغییر است.

مدیریت ریسک بطور مداوم تغییر را حس می کند و به آن پاسخ می گوید. با وقوع رخدادهای خارجی و داخلی، فضا و دانش تغییر می کند، پایش و بازنگری ریسک ها روی می دهد، ریسک های جدیدی ظاهر می شوند، برخی از آن ها تغییر می یابند و بقیه ناپدید می شوند.

• مدیریت ریسک بهبود مداوم سازمان را میسر می کند.

سازمان ها بایستی راهبردهایی برای بهبود تکامل مدیریت ریسکشان در کنار تمام جنبه های دیگر سازمانشان تکوین و پیاده سازی کنند.

پیوست الف توصیه های بیشتری برای سازمان ارائه می دهد که ماینپلند ریسک را به صورتی اثر بخش تر مدیریت کنند.

 

۴- چارچوب

۴ – ۱ کلیات

موفقیت مدیریت ریسک بسته به اثر بخشی چارچوب مدیریت است که بنیادها و تمهیداتی را که در کل سازمان در تمامی سطوح در آن تعبیه شده اند ، فراهم می سازد . چارچوب در اداره ی اثر بخش ریسک ها از طریق به کار گیری فرآیند مدیریت ریسک (به بند ۵ مراجعه کنید) در سطوح مختلف و در فضای خاص سازمان ، کمک کننده است . چارچوب اطمینان می دهد که اطلاعات در مورد ریسک که از فرآیند مدیریت ریسک به دست آمده است، به نحو مناسب گزارش شده و به عنوان اساسی برای تصمیم گیری و پاسخگویی در تمام سطوح سازمانی مربوطه به کار می رود.

این بند اجزاء ضروری چارچوب را برای اداره ی ریسک و نحوه ارتباط آن ها با یکدیگر به صورتی تکراری را چنان که در شکل ۲ نشان داده شده است ، توصیف می کند.

 

 

شکل ۲ – ارتباط بین اجزاء چارچوب برای اداره ی ریسک

مقصود از چارچوب، تجویز سیستم مدیریت نیست، بلکه کمک به سازمان در گنجاندن مدیریت ریسک در سیستم کلی مدیریتش است. بنابراین سازمان ها بایستی اجزاء چارچوب را با نیاز های خاصشان منطبق سازند. اگر رویه ها و فرآیند های موجود سازمانی شامل اجزاء مدیریت ریسک میشود یا اگر سازمان از قبل یک فرآیند مدیریت ریسک رسمی را برای انواع خاصی از ریسک ها یا موقعیت ها اتخاذ نموده، آن گاه این امور بایستی به صورت نقادانه در مقابل این استاندارد، از جمله وصفی های موجود در پیوست الف ، بازنگری و ارزیابی شوند تا کفایت و اثر بخشی آن ها تعیین شود.

۴ – ۲ اختیار و تعهد

اعمال مدیریت ریسک و حصول اطمینان از اثربخشی پیوسته آن مستلزم تعهد قوی و مداوم مدیریت سازمان و همچنین طراحی راهبردی و شدید برای دستیابی به تعهد در تمامی سطوح است. مدیریت بایستی:

ـ خط مشی مدیریت ریسک را تعریف ذو تأیید کند؛

ـ اطمینان یابد که فرهنگ سازمان و خط مشی مدیریت ریسک همراستا با یکدیگر هستند؛

ـ شاخص های عملکرد مدیریت ریسک را تعیین کند که همراستا با شاخص های عملکرد سازمان هستند؛

ـ اهداف مدیریت ریسک را با اهداف و راهبردهای سازمان همراستا سازد؛

ـ از انطباق قانونی و نظارتی اطمینان حاصل کند؛

ـ پاسخگویی ها و مسئولیت ها را در سطوح مناسبی درون سازمان منصوب کند؛

ـ اطمینان یابد که منابع ضروری به مدیریت ریسک تخصیص می یابند؛

ـ مزایای مدیریت ریسک را به تمام علاقمندان منتقل سازد؛

ـ اطمینان یابد که چارچوب اداره ی ریسک همچنان مناسب باقی می ماند.

۴ ـ ۳ طراحی چارچوب برای اداره ی ریسک

۴ ـ ۳ ـ ۱ فهمیدن سازمان و فضای آن

پیش از آغاز طراحی و پیاده سازی چارچوب برای اداره ی ریسک ، مهم است که هم فضای خارجی و هم داخلی سازمان درک و سنجیده شود ، چرا که این موارد می توانند به طور قابل توجهی بر طراحی چارچوب اثر بگذارند .

سنجش فضای خارجی سازمان ممکن است شامل موارد زیر باشد ، اما محدود به آن ها نیست :

الف) محیط اجتماعی و فرهنگی، سیاسی، قانونی، نظارتی، مالی، فناوری، اقتصادی، طبیعی و رقابتی، چه بین المللی باشد و چه ملی، منطقه ای یا محلی؛

ب) محرک ها و روندهای کلیدی تأثیر گذار بر اهداف سازمان؛

پ) روابط با علاقمندان خارجی و ادراک ها و ارزش های آنان.

سنجش فضای داخلی سازمان ممکن است شامل موارد زیر باشد ، اما محدود به آن ها نیست:

ـ حکمرانی ، ساختار سازمانی ، نقش ها و پاسخگویی ها؛

ـ خط مشی ها ، اهداف و راهبرد هایی که برای دستیابی به آن ها در کارند؛

ـ توانمندی ها ، که با توجه به منابع و دانش درک می شوند (مثلا سرمایه، زمان، افراد، فرآیندها، سیستم ها و فناوری ها)؛

ـ سیستم های اطلاعاتی، جریان های اطلاعاتی و فرآیندهای تصمیم گیری (هم رسمی و هم غیر رسمی)؛

ـ روابط با علاقمندان داخلی و ادراک ها و ارزش های آنان؛

ـ فرهنگ سازمانی؛

ـ استاندارد ها ، رهنمودها و مدل های اتخاذ شده توسط سازمان؛

ـ شکل و میزان روابط قراردادی.

۴ ـ۳ ـ ۲ برقراری خط مشی مدیریت ریسک

خط مشی مدیریت ریسک بایستی به روشنی اهداف سازمان را برای مدیریت ریسک و تعهد آن به مدیریت ریسک را بیان کند و به ویژه به موارد ذیل می پردازد:

ـ منطق اساسی سازمان برای اداره ی ریسک؛

ـ پیوند های بین اهداف و خط مشی های سازمان و خط مشی مدیریت ریسک؛

ـ پاسخگویی ها و مسئولیت ها برای اداره ی ریسک؛

ـ نحوه برخورد با منافع ناسازگار؛

ـ تعهد به در دسترس قرار دادن منابع ضروری برای کمک به افرادی که پاسخگو و مسئول در برابر اداره یریسک هستند؛

ـ نحوه اندازه گیری و گزارش عملکرد مدیریت ریسک؛

ـ تعهد به بازنگری و بهبود خط مشی و چارچوب مدیریت ریسک به صورت دوره ای و در پاسخ به رخداد یا تغییری در اوضاع و احوال.

خط مشی مدیریت ریسک بایستی به طور مناسب در سازمان انتقال داده شود.

۴ ـ ۳ ـ ۳ پاسخگویی

سازمان بایستی اطمینان حاصل کند که برای اداره ی ریسک، پاسخگویی، اختیار و شایستگی مناسبی موجود است، از جمله پیاده سازی و حفظ فرآیند مدیریت ریسک و حصول اطمینان از کفایت، اثر بخشی و کارایی هر کنترل. این امر به طریق زیر میسر می شود:

ـ شناسایی صاحبان ریسک که از پاسخگویی و اختیار برای مدیریت ریسک برخوردارند؛

ـ شناسایی فردی که پاسخگو تکوین، پیاده سازی و حفظ چارچوب برای اداره ی ریسک است؛

ـ شناسایی دیگر مسئولیت های افراد در تمام سطوح سازمان برای فرآیند مدیریت ریسک؛

ـ برقراری اندازه گیری عملکرد و گزارش دهی خارجی و یا داخلی و فرآیند های افزایش؛

ـ تأمین سطوح مناسب شناخت.

۴-۳-۴- انسجام با فرآیندهای سازمان

مدیریت ریسک بایستی در تمام رویه ها و فرآیندهای سازمان تعبیه شود، به نحی که مرتبط، اثر بخش و کارآمد باشد. فرآیند مدیریت ریسک بایستی قسمتی از این فرآیندهای سازمانی باشد و از آنها مجزا نباشد.

به ویژه مدیریت ریسک بایستی در تکوین خط مشی، کسب و کار و طراحی و بازنگری راهبردی تعبیه شود و فرآیندهای مدیریت را تغییر دهد.

بایستی یک طرح مدیریت ریسم در سطح سازمان موجود باشد تا اطمینان حاصل کند که خطی مشی مدیریت ریسک پیاده سازی می شود و اینکه مدیریت ریسک در تمام رویه ها و فرآیندهای سازمان تعبیه شده است. طرح مدیریت ریسک می تواند با دیگر طرح های سازمانی مانند طرح راهبردی، انسجام یابد.

۴-۳-۵- منابع

سازمان بایستی منابع مناسبی به مدیریت ریسک تخصیص دهد.

به موارد زیر بایستی توجه شود:

• افراد، مهارتها، تجربه و شایستگی؛
• منابع مورد نیاز برای هر گام از فرآیند مدیریت ریسک؛
• فرآیندها، روش ها و ابزارهای مورد استفاده سازمان برای اداره ی ریسک؛
• فرآیندها و روش های اجرایی مستند؛
• سیستم های مدیریت اطلاعات و دانش؛
• برنامه های آموزشی؛

۴-۳-۶- برقراری تبادل اطلاعات داخلی و ساز و کارهای گزارش دهی

سازمان بایستی تبادل اطلاعات داخلی و ساز و کارهای گزارش دهی را برقرار نماید تا پاسخگویی و مالکیت ریسک را پشتیبانی و تشویق نماید. این ساز و کارها بایستی اظمینان حاصل کنند که:

• تبادل اطلاعات اجزاأ کلیدی چارچوب مدیریت ریسک و هر تعدیل بعدی به طور مناسب انجام گیرد؛
• گزارش دهی داخلی کافی در مورد چارچوب، اثربخشی و پیامدهای آن موجود است؛
• اطلاعات مربوطه به دست آمده از بکارگیری مدیریت ریسک در سطوح و زمان های مناسب در دسترس است؛
• فرآیندهایی برای مشاوره با علاقمندان داخلی موجود هستند.

این ساز و کارها بایستی (بر حسب اقتضا)، شامل فرآیندهایی برای یکی کردن اطلاعات ریسک از منابع مختلفی شوند و ممکن است نیاز باشد که حساسیت اطلاعات را در نظر بگیرند.

۴-۳-۷- برقراری تبادل اطلاعات خارجی و ساز و کارهای گزارش دهی

سازمان بایستی طرحی مبنی بر اینکه چگونه با علاقمندان خارجی تبادل اطلاعات می کند، تکوین و پیاده سازی کند. این طرح بایستی شامل موارد زیر باشد:

• دخیل کردن علاقمندان خارجی مناسب و حصول اطمینان از مبادله اثر بخش اطلاعات؛
• گزارش دهی خارجی برای انطباق با الزامات قانونی، نظارتی و حکومتی؛
• ارائه ی بازخور و گزارش دهی در مورد تبادل اطلاعات و مشاوره؛
• استفاده از تبادل اطلاعات برای ایجاد اعتماد در سازمان؛
• تبادل اطلاعات با علاقمندان در صورت رخداد بحران یا اتفاقی تصادفی؛

این ساز و کارها بایستی (بر حسب اقتضا)، شامل فرآیندهایی برای یکی کردن اطلاعات ریسک از منابع مختلفی شوند و ممکن است نیاز باشد که حساسیت اطلاعات را در نظر بگیرند.

۴-۴- پیاده سازی مدیریت ریسک

۴-۴-۱- پیاده سازی چارچوب برای اداره ی ریسک

در پیاده سازی چارچوب سازمان برای اداره ی ریسک، سازمان بایستی:

• زمانبندی و راهبرد مناسب را برای پیاده سازی چارچوب تعریف کنید؛
• خط مشی و فرآیند مدیریت ریسک را در فرآیندهای سازمانی به کار برد؛
• منطبق با الزامات قانونی و نظارتی باشد؛
• اطمینان یابد که تصمیم گیری، از جمله تکوین و تنظیم اهداف با پیامدهای فرآیندهای مدیریت ریسک همراستا است؛
• جلسات اطلاعاتی و آموزشی برگزار کند؛
• با علاقمندان تبادل نموده و مشاوره کند تا اطمینان یابد که چارچوب مدیریت ریسک آن مناسب باقی می ماند.

۴-۴-۲- پیاده سازی فرآیند مدیریت ریسک

مدیریت ریسک بایستی با حصول اطمینان از این که فرآیند مدیریت ریسک خلاصه شده در بند ۵ از طریق یک طرح مدیریت ریسک در تمام سطوح وظایف سازمانی مربوطه به عنوان قسمتی از رویه ها و فرآیندهایش به کار می رود، پیاده سازی شود.

۴-۵- پایش و بازنگری چارچوب

به منظور حصول اطمینان از این که مدیریت ریسک اثر بخش است و همچنان عملکرد سازمانی را پشتیبانی می کند، سازمان بایستی:

• عملکرد مدیریت ریسک را در مقابل شاخص هایی اندازه گیری کند که به صورت دوره ای برای مناسب بودن بازنگری می شوند؛
• به صورت دوره ای پیشروی را در مقابل طرح مدیریت ریسک و انحراف از آن، اندازه گیری کند؛
• به صورت دوره ای بازنگری کند که آیا چارچوب، خط مشی و طرح مدیریت ریسک با در نظر گرفتن فضای خارجی و داخلی سازمان، همچنان مناسب هستند؛
• در مورد ریسک، پیشروی طبق طرح مدیریت ریسک و این که خط مشی مدیریت ریسک تا چه حد مورد پیروی قرار می گیرد، گزارش دهد؛
• اثر بخشی چارچوب مدیریت ریسک را بازنگری کند.

۴-۶- بهبود مداوم چارچوب

بر اساس نتایج و بازنگری ها، بایستی تصمیماتی در این مورد اخذ شود که چارچوب، خط مشی و طرح مدیریت ریسک چگونه می تواند بهبود یابد. این تصمیمات بایستی منجر به بهبودهایی در مدیریت ریسک سازمان و فرهنگ مدیریت ریسک آن شوند.

۵- فرآیند

۵-۱- کلیات

فرآیند مدیریت ریسک بایستی

• یک قسمت جدا نشدنی از مدیریت باشد؛
• در فرهنگ و رویه ها تعبیه شده باشد؛
• با فرآیندهای کسب و کار سازمان سازگاری شده باشد.

این امر شامل فعالیت های توصیف شده در بند ۵-۲ تا ۵-۶ است. فرایند مدیریت ریسک در شکل ۳ نشان داده شده است.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

شکل ۳- فرآیند مدیریت ریسک

۵-۲- تبادل اطلاعات و مشاوره

تبادل اطلاعات و مشاوره با علاقمندان خارجی و داخلی بایستی در کلیه مراحل فرآیند مدیریت ریسک رخ دهد.

بنابراین طرح هایی برای تبادل اطلاعات و مشاوره بایستی در اولین مرحله تکوین شوند. این موارد باید به مسائلی مربوط به خود ریسک، دلایل آن، عواقب آن (اگر از آنها اطلاعاتی موجود باشد) و اقداماتی که برای برخورد با آن انجام می گیرند، بپردازند. تبادل اطلاعات اثر بخش خارجی و داخلی و مشاوره بایستی رخ دهد تا اطمینان حاصل شود که افراد پاسخگو برای پیاده سازی فرآیند مدیریت ریسک و علاقمندان پایه تصمیم گیری ها و دلایل نیاز به اقداماتی خاص را درک کنند.

یک رویکرد گروه مشاوره ممکن است:

• به برقراری مناسب فضا کمک کند؛
• اطمینان یابد که منافع علاقمندان درک شده اند و در نظر گرفته می شوند؛
• به اطمینان از این امر کمک کند که ریسک ها به طور کافی شناسایی شده اند؛
• حوزه های مختلف تخصصی را برای تحلیل ریسک ها گرد هم آورد؛
• اطمینان یابد که مظرات مختلف در زمان تعریف معیارهای ریسک و در سنجش ریسک ها به طور مناسب در نظر گرفته شده اند؛
• پشتیبانی و حمایت را برای طرح برخورد با ریسک تأمین کند؛
• مدیریت تغیر مناسب را در طول فرآیند مدیریت ریسک تقویت کند؛
• یک طرح تبادل اطلاعات و مشاوره مناسب داخلی و خارجی را تکوین نماید.

تبادل اطلاعات و مشاوره با علاقمندان اهمیت دارد، چرا که آنها بر اساس ادراکشان از ریسک، در مورد ریسک کارشناسی می کنند. این ادراک ها ممکن است بنا به تفاوتهایی در ارزش ها، نیازها، فرضیات، مفاهیم و دغدغه های علاقمندان متفاوت باشند. از آنجا که نظرات علاقمندان می تواند تأثیری قابل توجه بر تصمیمات گرفته شده داشته باشد، ادراک آن ها بایستی شناسایی و ثبت شده و در فرآیند تصمیم کیری به حساب آید.

تبادل اطلاعت و مشاوره بایستی مبادله اطلاعات صادقانه، مرتبط، صحیح و قابل فهم را میسر سازد و جنبه های انسجام محرمانه و شخصی را به حساب آورد.

۵-۳- برقراری فضا

۵-۳-۱- کلیات

سازمان با برقراری فضا اهدافش را بیان می کند، پرارمترهای خارجی و داخلی را که قرار است در زمان اداره ی ریسک به حساب آیند، تعریف می کند و دامنه کاربرد و معیارهای ریسک را برای فرآیند باقی مانده تنظیم می کند. در عین این که بسیاری از این پارامترها مشابه پارامترهای در نظر گرفته شده در طراحی چارچوب مدیریت ریسک (به ۴-۳-۱- مراجعه کنید) هستند، در زمان برقراری فضا برای فرآیند مدیریت مدیریت ریسک، نیاز است که با تفصیل بیشتری در نظر گرفته شوند و به ویژه به نحوه ارتباط آن ها با دامنه کاربرد فرآیند مدیریت ریسک خاص توجه شود.

۵-۳-۲- برقراری فضای خارجی

فضای خارجی، محیط خارجی است که سازمان در آن به دنبال دستیابی به اهدافش است.

درک فضای خارجی مهم است تا اطمینان حاصل شود که اهداف و دغدغه های علاقمندان خارجی در تکوین معیارهای ریسک در نظر گرفته می شوند. این امر برپایه فضا در کستره سازمان است، اما با جزئیات خاص الزامات قانونی و نظارتی؛ ادراک های علاقمندان و دیگر جنبه های ریسک ها که خاص دامنه کاربرد فرآیند مدیریت ریسک هستند.

فضای خارجی می تواند شامل موارد زیر باشد، اما محدود به آنها نیست:

• محیط اجتماعی و فرهنگی، سیاسی، قانونی، نظارتی، مالی، فناوری، اقتصادی، طبیعی و رقابتی، چه بین المللی باشد چه ملی، چه منطقه ای یا محلی؛
• محرک ها و روندهای کلیدی تأثیرگذار بر اهداف سازمان؛
• روابط با علاقمندان خارجی و ادراک ها و ارزشهای آنان.

۵-۳-۳- برقراری فضای داخلی

فضای داخلی، محیط داخلی است که سازمان در آن به دنبال دستیابی به اهدافش است.

فرآیند مدیریت ریسک بایستی با فرهنگ، فرآیندها، ساختار و راهبرد سازمان اثر بگذارد. این امر باید برقرار شود چون:

الف) اهداف ریسک در فضای اهداف سازمان رخ می دهد؛

ب) اهداف و معیارهای پروژه، فرآیند یا فعالیتی خاص بایستی از لحاظ اهداف سازمان به طور کلی در نظر گرفته شوند؛

پ) برخی سازمان ها نمی توانند فرصت های دستیابی به اهداف راهبردی، پروژه ای یا کسب و کار خودکار را تشخیص دهند و این امر بر تعهد، اعتبار، اعتماد و ارزش پیوسته سازمانی اثر می گذارد.

درک فضای داخلی ضروری است. این امر می تواند شامل موارد زیر باشد، اما محدود به آن ها نیست:

• حکمرانی، ساختار سازمانی، نقش ها و پاسخگویی ها؛
• خط مشی ها، اهداف و راهبردهایی که برای دستیابی به آنها در کارند؛
• توانمندی ها که با توجه به منابع و دانش درک می شوند (مثلا سرمایه، زمان، افراد، فرآیندها، سیستم ها و فناوری ها)؛
• روابط با علاقمندان داخلی و ادراک ها و لرزش های آنان؛
• فرهنگ سازمانی؛
• سیستم های اطلاعات، جریان های اطلاعات و فرآیندهای تصمیم گیری (هم رسمی و هم غیر رسمی)؛
• استانداردها، رهنمودها و مدل های اتخاذ شده توسط سازمان؛
• شکل و میزان روابط قراردادی.

۵-۳-۴- برقراری فضای فرآیند مدیریت ریسک

اهداف، راهبردها، دامنه کاربرد و پارامترهای فعالیت های سازمان یا قسمت هایی از سازمان که در آن ها فرآیند مدیریت ریسک به کار می رود، بایستی برقرار شوند. مدیریت ریسک بایستی با در نظر گرفتن کامل نیاز به توجیه منابع به کار رفته در انجام مدیریت ریسک اجرا شود. منابع مورد الزام، مسئولیت ها و اختیارات و سوابقی که قرار است نگه داشته شوند نیز بایستی مشخص شوند.

فضای فرآیند مدیریت ریسک بنا به نیازهای سازمان متفاوت خواهد بود. این امر می تواند شامل موارد زیر باشد اما محدود به آن ها نیست:

• تعریف اهداف و مقاصد فعالیت های مدیریت ریسک؛
• تعریف مسئولیت ها برای فرآیند مدیریت ریسک و درون آن؛
• تعریف دامنه کاربرد و همچنین عمق و وسعت فعالیت های مدیریت ریسک که قرار است انجام گیرند، از جمله شامل کردن ها[۶] و مستثنی کردن های[۷] خاص؛
• تعریف فعالیت، فرآیند، وظیفه، پروژه، محصول، فرایند، فعالیت و دیگر پروژه ها، فرآیندها یا فعالیت های سازمان؛
• تعریف روش شناسی های ارزیابی ریسک؛
• تعریف نحوه سنجش عملکرد و اثر بخشی در مدیریت ریسک؛
• شناسایی و مشخص کردن تصمیماتی که باید اخذ شوند؛
• شناسایی، تعیین دامنه کاربرد یا تعیین چارچوب مطالعات مورد نیاز، میزان و اهداف آن ها و منافع الزامی برای چنین مطالعاتی.

توجه به این موارد و دیگر فاکتورهای مربوطه بایستی به حصول اطمینان از این امر کمک کند که رویکرد مدیریت ریسک اتخاذ شده برای اوضاع و احوال، سازمان و ریسک های تأثیرگذار بر دستیابی به اهدافش مناسب است.

۵-۳-۵- تعریف معیارهای ریسک

سازمان بایستی معیارهای مورد استفاده برای سنجش اهمیت ریسک را تعریف کند. معیارها بایستی منعکس کننده ارزش ها، اهداف و منابع سازمان باشند. برخی معیارها ممکن است توسط الزامات قانونی و نظارتی و دیگر الزاماتی که سازمان متعهد به آن ها است، تحمیل شوند یا از آن ها مشتق شوند. معیارهای ریسک بایستی سازگار با خط مشی مدیریت ریسک باشند (به بند ۴-۳-۲- مراجعه کنید)، در آغاز هر فرآیند مدیریت ریسک تعریف شوند و به طور مداوم بازنگری شوند.

در تعریف معیارهای ریسک، فاکتورهایی که قرار است در نظر گرفته شوند، بایستی شامل موارد زیر باشند:

• ماهیت و انواع دلایل و عواقبی که ممکن است رخ دهند و نحوه اندازه گیری آن ها؛
• نحوه تعریف راستنمایی؛
• چارچوب(های) زمانی راستنمایی و/یا عاقبت / عواقب؛
• نحوه تعیین سطح ریسک؛
• نظرات علاقمندان؛
• سطحی که در آن ریسک قابل قبول نحمل می شود؛
• این که آیا ترکیباتی از ریسک های چندگانه بایستی به حساب آیند و در این صورت، نحوه در نظر گرفتن ترکیبات و این که کدام ترکیبات بایستی در نظر گرفته شوند.

۵-۴- ترزیابی ریسک

۵-۴-۱- کلیات

ارزیابی ریسک فرایند کلی شناسایی ریسک، تحلیل ریسک و سنجش ریسک است.

یادآوری ISO/IEC 31010[8] رهنمودهایی درباره تکنیک های ارزیابی ریسک ارائه می دهد.

۵-۴-۲- شناسایی ریسک

سازمان بایستی ریسک، حوزه های تأثیرات، رخدادها (از جمله تغییرات در اوضاع و احوال) و دلایل آنها و عواقب احتمالی آن ها را شناسایی کند. هدف از این گام ایجاد فهرستی جامع از ریسک ها بر پایه رخدادهایی است که ممکن است دستیابی به اهداف را ایجاد، تقویت و ممانعت کننده آن را تنزل دهند، سرعت بخشند یا به تأخیر بیاندازند. شناسایی ریسک های مربوط به عدم تعقیب یک فرصت، دارای اهمیت است. شناسایی جامع مهم است، چرا که ریسکی که در این مرحله شناسایی نمی شود، در تحلیلهای آتی گنجانده نخواهد شد.

شناسایی بایستی شامل تمامی ریسک ها شود چه منبع آنها تحت کنترل سازمان باشد و چه نباشد، هرچند منبع ریسک یا دلیل آن ممکن است روشن نباشد. شناسایی ریسک بایستی شامل بررسی تأثیرات پیوسته عواقبی خاص باشد، از جمله تأثیرات آبشاری و تجمعی. شناسایی همچنین بایستی گستره وسیعی از عواقب را در نظر بگیرد، حتی اگر منبع ریسک یا دلیل آن آشکار نباشد. علاوه بر شناسایی آنچه ممکن است روی دهد، ضروری است که دلایل و سنارویهای ممکن در نظر گرفته شوند که نشان می دهند چه عواقبی ممکن است رخ دهند. تمام دلایل و عواقب قابل توجه بایستی در نظر گرفته شوند.

سازمان بایستی ابزارهای شناسایی ریسک و تکنیک هایی را به کار گیرد که برای اعداف و توانمندی های آن و ریسک هایی که با آن مواجه می شود، مناسب هستند. اطلاعات مربوطه و به روز در شناسایی ریسک ها مهم است. این امر بایستی در شناسایی ریسک ها دخیل باشند.

۵-۴-۳- تحلیل ریسک

تحلیل ریسک شامل تکوین درکی از ریسک می شود. تحلیل ریسک یک ورودی به سنجش ریسک و تصمیماتی در مورد این که آیا نیاز است با ریسک ها برخورد شود و مناسب ترین راهبردها و روش های برخورد با ریسک چیست، ارائه می دهد. تحلیل ریسک همچنین یک ورودی به تصمیم گیری در زمانی ارائه می دهد که باید انتخابی صورت گیرد و گزینه ها شامل انواع ریسک، عواقب مثبت و منفی آن ها و احتمال وقوع این عواقب است. فاکتورهایی که بر عواقب و احتمال اثر میگذارد بایستی شناسایی شوند. ریسک با تعیین عواقب و احتمال آن ها و دیگر وصفی های ریسک تحلیل می شود. یک رخداد می تواند عواقب چندگانه ای داشته باشد و می تواند بر چندین هدف اثر بگذارد. کنترل های موجود و اثر بخشی و کارایی آن ها نیز بایستی به حساب آید.

نحوه بیان عواقب و احتمال آن ها و نحوه ترکیب آن ها برای تعیین سطح ریسک بایستی نوع ریسک، اطلاعات موجود و مقصود استفاده از خروجی ارزیابی ریسک را منعکس سازد. این موارد بایستی با معیارهای ریسک سازگار باشند. همچنین در نظر گرفتن وابستگی متقابل ریسک های مختلف و منابع آن ها مهم است.

اطمینان در تعیین سطح ریسک و حساسیت آن به پیش شرط ها و مفروضات بایستی در تحلیل در نظر گرفته شود و به طور اثر بخش به تصمیم گیرندگان  در صورت مناسب بودن، دیگر علاقمندان انتقال یابد. فاکتورهایی چون واگرایی نظرات بین متخصصین، عدم قطعیت، در دسترس بودن، کیفیت، کمیت و مرتبط بودن پیوسته اطلاعات یا محدودیت ها در مدل سازی بایستی بیان شده و می توانند مورد تاکید قرار گیرند.

تحلیل ریسک می تواند با درجات مختلفی از جزئیات انجام گیرد که به ریسک، مقصود از تحلیل و اطلاعات، داده ها و منابع موجود بستگی دارد. تحلیل می تواند بسته به اوضاع و اخوال، کیفی، نیمه کمی یا کمی یا ترکیبی از این ها باشد.

عواقب و احتمال آن ها می تواند با مدلسازی پیامد های یک رخداد یا مجموعه ای از رخدادها یا برون یابی از مطالعات آزمایشی یا از داده های موجود تعیین شود. عواقب را می توان از نظر تأثیرات محسوس و نامحسوس بیان کرد. در برخی موارد بیش از یک مقدار عددی یا توصیف گر برای مشخص کردن عواقب و احتمال  آن ها برای زمان ها، مکان ها، گروه ها یا موقعیت های مختلف مورد الزام است.

۵-۴-۴- سنجش ریسک

مقصود از سنجش ریسک کمک در تصمیم گیری، بر اساس پیامدهای تحلیل ریسک در مورد این است که چه ریسک هایی نیاز به برخورد دارند و ارجحیت برای برخورد کدام است.

سنجش ریسک شامل مقایسه سطح ریسک یافت شده در طول فرآیند تحلیل با معیارهای ریسک است که در زمان بررسی فضا برقرار شده اند. بر اساس این مقایسه، نیاز به برخورد می تواند بررسی شود.

تصمیمات بایستی فضای گسترده تر ریسک را به حساب آورند و شامل در نظر گرفتن رواداری ریسک هایی شوند که طرفین محتمل می شوند، به جز سازمانی که از ریسک سود می برد. تصمیمات باید مطابق با الزامات قانونی و نظارتی و غیره گرفته شوند.

در برخی اوضاع و احوال، سنجش ریسک می تواند منجر به تصمیم به انجام تحلیل بیشتر شود. سنجش ریسک همچنین می تواند منجر به تصمیم به عدم برخورد با ریسک به طریقی جز حفظ کنترل های موجود شود. این تصمیم تحت تأثیر نگرش سازمان به ریسک و معیارهای ریسک برقرار شده است.

۵-۵- برخورد با ریسک

۵-۵-۱- کلیات

برخورد با ریسک شامل انتخاب یک یا چند گزینه برای تعدیل ریسک ها و اجرای این گزینه ها است. به محض اینکه برخوردها اجرا می شوند کنترل ها را فراهم یا تعدیل می کنند.

برخورد با ریسک شامل فرآیند گردشی موارد زیر است:

• ارزیابی برخورد با ریسک؛
• تصمیم در این مورد که آیا سطوح ریسک باقی مانده قابل تحمل هستند؛
• در صورتی که قابل تحمل نباشند، ایجاد برخورد با ریسکی جدید؛
• ارزیابی اثر بخشی این برخورد.

گزینه های برخورد با ریسک لزوماً دو به دو متناظر نبوده یا در تمام اوضواع و احوال مناسب نیستند. گزینه ها می توانند شامل موارد زیر باشند:

الف) اجتناب از ریسک از طریق تصمیم به عدم آغاز یا ادامه به فعالیتی که ریسک را افزایش می دهد؛

ب) پیرش ریسک یا افزایش آن به منظور تعقیب یک فرصت؛

پ) از میان برداشتن منبع ریسک؛

ت) تغییر راستنمایی؛

ث) تغییر عواقب؛

ج) به اشتراک گذاشتن ریسک با طرف یا طرف های دیگر(از جمله قرار دادها و سرمایه گذاری ریسک)؛

چ) حفظ ریسک با تصمیم آگاهانه.

۵-۵-۲- انتخاب گزینه های برخورد با ریسک

انتخاب مناسب ترین گزینه برخورد با ریسک شامل ایجاد تعادل بین هزینه ها و تلاش های پیاده سازی و سود به دست آمده، با توجه به الزامات قانونی، نظارتی و دیگر الزامات از قبیل مسئولیت اجتماعی و حفاظت از محیط طبیعی است. تصمیمات بایستی همچنین ریسک هایی را به حساب آورند که می توانند برخورد با ریسک را گارانتی کنند که بر اساس اقتصاد توجیه پذیر نیست، مانند ریسک های شدید (دارای عواقب بسیار منفی) اما نادر (با احتمال پایین).

تعدادی از گزینه های برخورد را می توان به صورت منفرد یا ترکیبی در نظر گرفته و به کار برد. سازمان معمولاً می تواند از اتخاذ ترکیبی از گزینه های برخورد سود ببرد.

در هنگام انتخاب گزینه های برخورد با ریسک، سازمان بایستی ارزش ها و ادراک های علاقمندان و مناسب ترین راه ها برای تبادل اطلاعات با آنان را در نظر بگیرد. هنگامی که گزینه های برخورد با ریسک می توانند در جای دیگری در سازمان یا بر علاقمندان تأثیرگذار باشند، این موارد بایستی در تصمیم گیری دخالت داشته باشند، برخی برخوردها با ریسک با این که به طور مساوی اثربخش هستند، می توانند برای برخی علاقمندان بیش از بقیه قابل قبول باشند.

طرح برخورد بایستی به روشنی ترتیب اولویتی را که طبق آن هر گزینه ی برخورد با ریسک های بایستی اجرا شوند، شناسایی کند.

خود برخورد با ریسک ممکن است ریسک هایی در بر داشته باشد. یک ریسک قابل توجه می تواند عدم موفقیت یا عدم اثر بخشی اقدامات برخورد با ریسک باشد. نیاز است که پایش یک قسمت جدا نشدنی از طرح برخورد با ریسک باشد تا تضمین شود که اقدامات اثر بخش باقی می مانند.

برخورد با ریسک همچنین می تواند ریسک های ثانوی را معرفی کند که نیاز است ارزیابی شوند، با آن ها برخورد شود و مورد پایش و بازنگری قرار گیرند. این ریسک های ثانوی بایستی در طرح برخوردی یکسان با ریسک اصلی جای گیرند و به عنوان ریسکی جدید با آن ها برخورد نشود. پیوند بین دو ریسک بایستی شناسایی و برقرار شود.

۵-۵-۳- آماده سازی و پیاده سازی طرح های برخورد با ریسک

مقصود از طرح حای برخورد با ریسک، مستند سازی نحوه اجرای گزینه های برخورد انتخاب شده است. اطلاعات ارائه شده در طرح های برخورد بایستی شامل موارد زیر باشد:

• دلایل انتخاب گزینه های برخورد، از جمله سودهایی که انتظار می رود به دست آید؛
• افرادی که پاسخگوی تأیید طرح و افرادی که مسئول پیاده سازی طرح هستند؛
• اقدامات پیشنهادی؛
• الزامات منابع از جمله احتمال وقوع؛
• اقدامات و محدودیت های عملکرد؛
• الزامات گزارش دهی و پایش؛
• زمانبندی و برنامه زمانی.

طرح حای برخورد بایستی در فرآیندهای مدیریت سازمان گنجانده شوند و با علاقمندان مناسب در مورد آن ها بحث شود.

تصمیم گیرندگان و دیگر علاقمندان بایستی از ماهیت و میزان ریسک باقی مانده پس از برخورد با ریسک آگاه باشند. ریسک باقی مانده بایستی مستند شود و مورد پایش، بازنگری و بر حسب اقتضا مورد برخورد بیشتر قرار گیرد.

۵-۶- پایش و بازنگری

پایش و همچنین بازنگری بایستی قسمتی طراحی شده از فرآیند مدیریت ریسک باشند و شامل وارسی یا نظارت منظم قرار گیرند. این امر می تواند دوره ای یا به صورت کاربرد موردی باشد.

مسئولیت های پایش و بازنگری بایستی به روشنی تعریف شوند.

فرآیندهای پایش و بازنگری بایستی برای مقاصد زیر در بردارنده تمام جنبه های فرآیندهای مدیریت ریسک باشند:

• حصول اطمینان از این که کنترل ها هم در طراحی و هم در بهره برداری اثر بخش و کارآمد هستند؛
• کسب اطلاعات بیشتر برای بهبود ارزیابی ریسک؛
• تحلیل و درس گرفتن از رویدادها (از جمله عدم دستیابی به هدف)، تغییرات، روندها، موفقیت ها و شکست ها؛
• کشف تغییرات در فضای خارجی و داخلی، از جمله تغییراتی در معیارهای ریسک و خود ریسک که می تواند مستلزم بازنگری برخورد با ریسک و اولویت ها باشد،
• شناسایی ریسک هایی که ظاهر می شوند.

پیشروی در پیاده سازی طرح های برخورد با ریسک، مقیاسی عملکردی را فراهم می سازد. نتایج را می توان در مدیریت عملکرد کلی سازمان، اندازه یری و فعالیت های گزارش دهی خارجی و داخلی جای داد.

نتایج پایش و بازنگری بایستی ثبت شوند و به طور مناسب به صورت خارجی و داخلی گزارش شوند و همچنین بایستی به عنوان ورودی های بازنگری چارچوب مدیریت ریسک به کار روند (به ۴-۵- مراجعه کنید).

۵-۷- ثبت فرآیند مدیریت ریسک

فعالیت های مدیریت ریسک بایستی قابل ردیابی باشند. در فرآیند مدیریت ریسک، سوابق اساسی را برای بهبود در روش ها و ابزارها و همچنین در فرایند کلی فراهم می سازند.

تصمیمات در مورد ایجاد سوابق بایستی موراد زیر را به حساب آورند:

• نیازهای سازمان برای یادگیری مداوم؛
• مزایای استفاده مجدد از اطلاعات برای مقاصد مدیریتی؛
• هزینه ها و تلاش های به کار رفته در ایجاد و حفظ سوابق؛
• نیازهای قانونی، نظارتی و بهره برداری برای سوابق؛
• روش های دسترسی، راحتی قابلیت بازیابی و رسانه های ذخیره؛
• دوره نگهداری؛
• حساسیت اطلاعات.

 

 

پیوست الف

(اطلاعاتی)

وصفی های مدیریت ریسک ارتقا یافته

الف- ۱- کلیات

تمامی سازمان ها بایستی برای سطح مناسب عملکرد چارچوب مدیریت ریسکشان، در کنار اهمیت تصمیماتی که قرار است اخذ شود، تلاش کنند. فهرست وصفی های زیر نمایش دهنده سطح بالایی از عملکرد در اداره ی ریسک است. برای کمک به سازمان در اندازه گیری عملکرد خود مطابق این معیارها، برخی از شاخص های محسوس برای هر وصفی ارائه شده اند.

الف-۲- پیامدهای کلیدی

الف-۲-۱- سازمان دارای درک جاری، صحیح و جامعی از ریسک هایش است.

الف-۲-۲- ریسک های سازمان در معیارهای ریسکش هستند.

الف-۳- وصفی ها

الف-۳-۱- بهبود مداوم

تاکید بر بهبود مداوم در مدیریت ریسک از طریق تعیین اهداف عملکرد سازمان، اندازه گیری، بازنگری و تعدیل بعدی فرآیندها، سیستم ها، منابع، توانمندی و مهارت ها صورت می گیرد.

این امر را می توان با وجود اهداف عملکرد صریح نشان داد که عملکرد سازمان و عملکرد مدیر در مقایسه با آن اندازه گیری می شود. عملکرد سازمان را می توان منتشر ساخته و انتقال داد. معمولاً حداقل یک بازنگری سالانه عملکرد و سپس تجدید نظر فرآیندها و تنظیم اهداف عملکرد اصلاح شده برای دوره بعدی وجود خواهد داشت.

ارزیابی عملکرد و مدیریت ریسک قسمتی اصلی از ارزیابی عملکرد کلی سازمان و سیستم اندازه گیری برای بخش ها و افراد است.

الف-۳-۲- پاسخگویی کامل برای ریسک ها

مدیریت ریسک ارتقا یافته شامل پاسخگویی جامع، کاملاً تعریف شده و کاملاً پذیرفته شده برای ریسک ها، کنترل و تکالیف برخورد با ریسک است. افراد تعیین شده کاملا پاسخگویی را برعهده می گیرند، دارای مهارت های مناسب هستند و از منابع کافی برای وارسی کنترل ها، پایش ریسک ها، بهبود کنترل ها و تبادل اطلاعات مناسب در مورد ریسک ها و مدیریت آن ها با علاقمندان خارجی و داخلی برخوردارند.

این امر را می توان به این صورت نشان داد که تمام اعضای یک سازمان از ریسک ها، کنترل هل و تکالیفی که پاسخگوی آنها هستند، آگاهی داشته باشند. معمولاً این امر در توصیفات شغل/ منصب، پایگاههای داده ها یا سیستم های اطلاعاتی ثبت می شوند. تعریف نقش های مدیریت ریسک، پاسخگویی ها و مسئولیت ها بایستی قسمتی از تمام برنامه های القا سازمان باشد.

سازمان اطمینان می دهد که افرادی که پاسخگو هستند دارای تجهیزات لازم برای ایفای نقش خود هستند. این کار با هراهم ساختن اختیار، زمان، آموزش، منابع و مهارت های کافی برای انان، برای به عهده گرفتن پاسخگویی شان انجام می گیرد.

الف-۳-۳- کاربرد مدیریت ریسک در کل تصکیک گیری ها

کل تصمیم گیری ها در سازمان، با هر سطح اهمیت و معناداری، به میزان مناسبی شامل در نظر گرفتن آشکار ریسک ها و به کارگیری مدیریت ریسک می باشد.

این امر را می توان با سوابق جلسات و تصمیماتی برای نشان دادن این که بحث های آشکار در مورد ریسک صورت گرفته اند، نشان داد. به علاوه بایستی نمایش تمام اجزاء مدیریت ریسک در فرآیندهای کلیدی برای تصمیم گیری در سازمان امکان پذیر باشد، مثلاً برای تصمیماتی در مورد تخصیص سرمایه، در مورد پروژه های اصلی و در مورد ساختار بندی مجدد و تغییرات سازمانی. به این دلایل مدیریت ریسک با پایه صحیح در سازمان اساس حکمرانی اثر بخش را فراهم می سازد.

الف-۳-۴- تبادل اطلاعات مداوم

مدیریت ریسک ارتقا یافته شامل تبادل اطلاعات مداوم با علاقمندان داخلی و خارجی است. از جمله گزارش دهی جامع و تکراری عملکرد مدیریت ریسک به عنوان قسمتی از حکمرانی خوب.

این امر را می توان با تبادل اطلاعات با علاقمندان به عنوان قسمتی جدانشدنی و اساسی از مدیریت ریسک نشان داد. تبادل اطلاعات به درستی فرآیندی دو طرفه محسوب می شود، چنان که تصمیمات آگاهانه مناسب را می توان در مورد سطح ریسک ها و همچنین نیاز به برخورد با ریسک مطابق با معیارهای ریسک جامع و برقرار شده به طور مناسب اتخاذ کرد.

گزارش دهی جامع و تکراری خارجی و داخلی در مورد ریسک های قابل توجه و عملکرد مدیریت ریسک به طور اساسی به حکمرانی اثر بخش درون سازمان کمک می کند.

الف-۳-۵- انسجام کامل در ساختار حکمرانی سازمان

مدیریت ریسک در بین فرآیندهای مدیریت سازمان، فرآیندی مرکزی محسوب می شود، چنان که ریسک ها را با توجه به تأثیر عدم قطعیت روی اهداف در نظر می گیرند. ساختار و فرآیند حکمرانی بر اساس مدیریت ریسک هستند. مدیران، مدیریت ریسک اثر بخش را برای دستیابی به اهدف سازمانی ضروری می دانند.

این امر با زبان مدیران، و مواد مکتوب مهم در سازمان با استفاده از اصطلاح «عدم قطعیت» در ارتباط با ریسک ها، نشان داده می شود. این وصفی همچنین معمولاً در بیانیه های خط مشی سازمان، به ویژه موارد مربوط به مدیریت منعکس می شود. معمولاً این وصفی از طریق مصاحبه با مدیران و شواهد اقدامات و گفته هایشان تصدیق می شود.

منبع :

***

|

امتیاز مطلب : 0

|

تعداد امتیازدهندگان : 0

|

مجموع امتیاز : 0

موضوعات مرتبط: دانستنی ها , آموزش , صنعت،معدن وتجارت , , برچسب‌ها: مجله دانستنی ها , اطلاعات عمومی , مدیریت ریسک (اصول و رهنمودها) ISO 31000 ,