انتخاب تكنيکهای ارزيابی ريسک
این بند توصیف میكند كه تكنیكهای ارزیابی ریسك را چگونه میتوان انتخاب كرد. پیوستها گسترهای از ابزارها و تكنیكها را فهرست كرده و سپس توضیح میدهند كه می توانند برای اجرای ارزیابی ریسك یا كمك به فرآیند ارزیابی ریسك مورد استفاده قرار گیرند. گاهی ممكن است به كارگیری بیش از یك روش ارزیابی ضروری باشد.
انتخاب تكنیكها
ارزیابی ریسك ممكن است در درجات مختلفی از عمق و تفصیل و با استفاده از یك یا چند روش از ساده گرفته تا پیچیده، انجام گیرد. شكل ارزیابی و خروجی آن بایستی سازگار با معیارهای ریسك باشد كه به عنوان قسمتی از ایجاد اوضاع و احوال تكوین شده است.
به طور كلی تكنیكهای مناسب بایستی دارای ویژگیهای زیر باشند.
- برای موقعیت یا سازمان مورد بررسی توجیه پذیر و مناسب باشد.
- نتایج را به شكلی ارائه دهند كه فهم ماهیت ریسك و نحوه برخورد با آن را ارتقا دهد.
- به نحوی قابل ردیابی، قابل تكرار و قابل تصدیق، بتوان از آنها استفاده كرد.
دلایل انتخاب تكنیكها، با توجه به مرتبط و مناسب بودن بایستی ارائه شود. در یكپارچه نمودن نتایج مطالعات مختلف، تكنیكهای به كار رفته و خروجی بایستی قابل مقایسه باشند. هنگامی كه تصمیم به اجرای ارزیابی ریسك گرفته شد و دامنه كاربرد تعریف شد، تكنیكها بایستی بر اساس عواملی قابل كاربرد از جمله موارد زیر انتخاب شوند.
- اهداف مطالعه، اهداف ارزیابی ریسك تاثیری مستقیم بر تكنیكهای مورد استفاده دارند. مثلاً در صورتی كه مطالعهای مقایسهای بین گزینههای مختلف انجام میگیرد، ممكن است استفاده از مدلهای عواقب با جزئیات كمتر برای قسمتهایی از سیستم كه تحت تاثیر این تغییر نیستند، قابل قبول باشد.
- نیازهای تصمیم گیرندگان در برخی موارد سطح بالایی از جزئیات برای اتخاذ تصمیمی خوب مورد نیاز است. در موارد دیگر دركی كلیتر كافی است.
- نوع و گستره ریسكهایی كه تحلیل میشوند.
- بزرگی بالقوه عواقب. تصمیم درمورد عمق ارزیابی ریسك بایستی ادراك اولیه از عواقب را منعكس سازد ( گرچه ممكن است هنگامی كه سنجش مقدماتی به اتمام رسید، لازم باشد این تصمیم تعدیل شود).
- میزان تخصص، منابع انسانی و دیگر منابع مورد نیاز، روشی ساده كه به خوبی انجام میگیرد، تا جایی كه دامنه ارزیابی را برآورده میسازد، نتایجی بهتر از یك روش اجرایی پیچیده كه بد اجرا میشود، در بردارد. معمولاً تلاشی كه صرف ارزیابی میشود بایستی سازگار با سطح بالقوه ریسك موردتحلیل باشد.
- در دسترس بودن اطلاعات و دادهها. برخی تكنیكها مستلزم اطلاعات و دادههایی بیش از بقیه تكنیكها هستند.
- نیاز به تعدیل / به روز كردن ارزیابی ریسك. ممكن است نیاز باشد ارزیابی در آینده تعدیل / به روز شود و برخی تكنیكها در این زمینه بیش از بقیه قابل اصلاح هستند.
تمام الزامات نظارتی و قراردادی، عوامل مختلفی بر انتخاب رویكرد به ارزیابی ریسك اثر میگذارند، از قبیل در دسترس بودن منابع، ماهیت و میزان عدم قطعیت در دادهها و اطلاعات موجود و پیچیدگی كاربرد.
در دسترس بودن منابع
منابع و توانمندیهایی كه ممكن است بر انتخاب تكنیكهای ارزیابی ریسك اثر بگذارند، شامل موارد زیر است.
- مهارتها، تجربه، ظرفیت و توانمندی گروه ارزیابی ریسك
- محدودیتهای زمانی و دیگر منابع درون سازمان
- بودجه موجود در صورت نیاز به منابع خارجی
ماهیت و میزان عدم قطعیت
ماهیت و میزان عدم قطعیت مستلزم دركی از كیفیت، كمیت و انسجام اطلاعات موجود در مورد ریسك مورد بررسی است. این امر شامل میزان در دسترس بودن اطلاعات كافی در مورد ریسك، منابع و دلایلش و عواقب آن برای دستیابی به اهداف میشود. عدم قطعیت میتواند ناشی از كیفیت پایین دادهها یا كمبود دادههای ضروری و قابل اطمینان باشد. برای شرح دادن، ممكن است روشهای جمع آوری دادهها تغییر كنند، نحوه استفاده سازمانها از چنین روشهایی ممكن است تغییر كند یا این كه سازمان ممكن است روش جمع آوری اثربخشی را برای جمع آوری دادهها در مورد ریسك شناسایی شده به كار نبندد.
عدم قطعیت همچنین میتواند در فضای خارجی و داخلی سازمان ذاتی باشد. دادههای موجود همیشه مبنایی قابل اطمینان برای پیش بینی آینده فراهم نمیسازند. برای انواع منحصر به فرد ریسك، دادههای تاریخچهای ممكن است موجود نباشند یا ممكن است تعبیرهای مختلفی از دادههای موجود توسط علاقمندان مختلف موجود باشد. افرادی كه ارزیابی ریسك را انجام میدهند، نیاز است نوع و ماهیت عدم قطعیت را درك كنند و مفاهیم قابلیت اطمینان نتایج ارزیابی ریسك را درك كنند. این موارد همیشه بایستی به تصمیم گیرندگان منتقل شوند.
پیچیدگی
ریسكها میتوانند به خودی خود پیچیده باشند، مثلاً در سیستمهای پیچیده كه نیاز است ریسكهایشان در سیستم ارزیابی شوند نباید با هر جزء به طور مجزا برخورد شود و نتیجتاً بر هم كنشها نادیده گرفته شوند. در موارد دیگر برخورد با تنها یك ریسك میتواند در جای دیگری معنی داشته باشد و میتواند برفعالیتهای دیگر اثر بگذارد. پیامدها و وابستگیهای ریسك باید درك شوند تا اطمینان حاصل شود كه در مدیریت یك ریسك، موقعیتی غیر قابل تحمل در جای دیگری ایجاد نمیشود. درك پیچیدگی یك ریسك واحد یا مجموعهای از ریسكهای یك سازمان برای انتخاب روش یا تكنیكهای مناسب برای ارزیابی ریسك مهم است.
به كار گیری ارزیابی ریسك در طول فازهای چرخه عمر
بسیاری از فعالیتها، پروژهها و محصولات را میتوان برخوردار از چرخه عمری از مفهوم اولیه و تعریف گرفته تا به رسمیت شناختن و اتمام نهایی دانست كه ممكن است شامل از كار اندازی و وارهایی سخت افزار شود. ارزیابی ریسك را میتوان در تمام مراحل چرخه عمر به كار برد و معمولاً دفعات بسیاری با سطوح مختلفی از تفصیل به كار میرود تا به تصمیماتی كمك كند كه نیاز است در هر فاز گرفته شوند. فازهای چرخههای عمر نیازهای مختلفی دارند و مستلزم تكنیكهای مختلفی هستند. مثلاً در طول فاز مفهوم و تعریف، هنگامی كه فرصتی شناسایی میشود، ارزیابی ریسك میتواند مورد استفاده قرار گیرد تا تصمیم گرفته شود كه آیا پیشروی صورت گیرد یا خیر. هنگامی كه گزینههای متعددی موجودند، ارزیابی ریسك میتواند مورد استفاده قرار گیرد تا مفاهیم مختلف مورد سنجش قرار گیرند و بدین ترتیب به تصمیم گیری در این مورد كمك كنند كه كدام یك بهترین تعادلرا بین ریسكها فراهم میسازد.
در طول فاز طراحی و تكوین، ارزیابی ریسك به موارد زیر كمك میكند.
- حصول اطمینان از این كه ریسكها قابل تحمل هستند.
- فرآیند بهبود طراحی
- مطالعات صرفه اقتصادی
- شناسایی ریسكهایی كه بر فازهای بعدی چرخه عمر اثر میگذارند.
با پیشروی فعالیت، ارزیابی ریسك را میتوان برای ارائه اطلاعات به منظور كمك در تكوین روشهای اجرایی برای وضعیتهای عادی و اضطراری مورد استفاده قرار داد.
انواع تكنیكهای ارزیابی ریسك
تكنیكهای ارزیابی ریسك را میتوان به طرق مختلفی طبقه بندی كرد تا به درك نقاط قوت و ضعف مرتبط آنها كمك شود.
انواع تكنيكها
اولين طبقه بندی، نشان میدهد كه چگونه تكنيكها در هر گام از فرآيند ارزيابی ريسك به كار میروند.
- شناسايی ريسك
- تحليل ريسك – تحليل عواقب
- تحليل ريسك – برآورد كيفی، نيمه كمی يا كمی احتمال
- تحليل ريسك – ارزيابی اثربخشی هر كنترل موجود
- تحليل ريسك – برآورد سطح ريسك
- سنجش ريسك.
عوامل تاثيرگذار بر انتخاب تكنيكهای ارزيابی ريسك
وصفیهای روش از وجوه زیر توصیف میشوند.
- پیچیدگی مشكل و روشهای مورد نیاز برای تحلیل آن
- ماهیت و میزان عدم قطعیت ارزیابی ریسك بر اساس میزان اطلاعاتی كه در دسترس است و آنچه برای برآوردن اهداف مورد نیاز است.
- میزان منابع مورد نیاز از نظر زمان و سطح تخصص، نیازهای دادهها یا هزینه
- این كه آیا روش میتواند خروجی كمی ارائه دهد