مقصود و مزایا
مقصود از ارزیابی ریسك، ارائه اطلاعات بر پایه شواهد و تحلیل برای اتخاذ تصمیمات آگاهانه در مورد نحوه برخورد با ریسكهای خاص و نحوه انتخاب بین گزینهها است. برخی از مزایای اصلی اجرای ارزیابی ریسك شامل موارد زیر است.
- درك ریسك و پیامد بالقوه آن بر اهداف
- ارائه اطلاعات به تصمیم گیرندگان
- كمك به درك ریسكها به منظور كمك در انتخاب گزینههای برخورد با ریسك
- شناسایی عوامل مهم شركت كننده در ریسكها و پیوندهای ضعیف در سیستمها و سازمانها
- مقایسه ریسكها در سیستمها، تكنولوژی ها یا رویكردهای مختلف
- تبادل اطلاعات مربوط به ریسك ها و عدم قطعیتها
كمک در ایجاد اولویتها
- كمك در جهت جلوگیری از رویداد بر اساس تحقیق و تفحص پس از رویداد
- انتخاب اشكال مختلف برخورد با ریسك
- برآورده ساختن الزامات نظارتی
- ارائه اطلاعاتی كه به سنجش این امر كمك میكند كه آیا ریسك بایستی در هنگام مقایسه با معیارهای از قبل تعریف شدهای، پذیرفته شود
- ارزیابی ریسكها برای وارهایی در پایان عمر.
ارزیابی ریسک و چارچوب مدیریت ریسک
فرض این استاندارد بر این است كه ارزیابی ریسك درون چارچوب و فرآیند مدیریت ریسك توصیف شده در استاندارد ISO 31000 اجرا میشود. چارچوب مدیریت ریسك خط مشیها، روشهای اجرایی و توافقات سازمانی را ارائه میدهد كه در كل سازمان و در تمام سطوح مدیریت ریسك تعبیه میشوند. سازمان به عنوان قسمتی از این چارچوب بایستی خط مشی یا راهبردی داشته باشد تا تصمیم بگیرد كه ریسكها در چه زمانی و چگونه بایستی ارزیابی شوند.
به ویژه افرادی كه ارزیابیهای ریسك را انجام میدهند، بایستی در خصوص موارد زیر مطمئن باشند.
- فضای سازمانی و اهداف آن
- میزان و نوع ریسكهایی كه قابل تحمل هستند و نحوه برخورد با ریسكهای غیر قابل قبول
- نحوه انسجام ارزیابی ریسك با فرآیندهای سازمانی
- روشها و تكنیكهای مورد استفاده برای ارزیابی ریسك و كمك آنها به فرآیند مدیریت ریسك
- پاسخگویی، مسئولیت و اختیار برای اجرای ارزیابی ریسك
- منابع موجود برای انجام ارزیابی ریسك
نحوه گزارش دهی و بازنگری ارزیابی ریسک
ارزیابی ریسک و فرآیند مدیریت ریسک
ارزیابی ریسك دربردارنده عناصر هستهای فرآیند مدیریت ریسك است كه در ISO 31000 تعریف شدهاند و شامل عناصر زیر هستند.
- تبادل اطلاعات و مشاوره
- برقراری فضا
- ارزیابی ریسك (شامل شناسایی ریسك، تحلیل ریسك و سنجش ریسك)
- برخورد با ریسك
- پایش و بازنگری
ارزیابی ریسك فعالیتی مستقل نیست و بایستی كاملاً با دیگر اجزاء در فرآیند مدیریت ریسك وحدت داشته باشد.
تبادل اطلاعات و مشاوره
یك ارزیابی ریسك موفقت آمیز، به تبادل اطلاعات و مشاوره اثربخش با علاقمندان وابسته است. دخالت دادن علاقمندان در فرآیند مدیریت ریسك در موارد زیر كمك میكند.
- تكوین یك طرح تبادل اطلاعات
- تعریف فضا به طور مناسب
- حصول اطمینان از این كه منافع علاقمندان درك شده و در نظر گرفته میشوند
- گرد هم آوردن حوزههای مختلف تخصصی برای شناسایی و تحلیل ریسك
- حصول اطمینان از این كه نظرات مختلف در سنجش ریسكها به طور مناسب در نظر گرفته میشوند
- حصول اطمینان از این كه ریسكها به نحو مناسب شناسایی میشوند
- تامین پشتیبانی و حمایت برای طرح برخورد
علاقمندان بایستی به وساطت بین فرآیند ارزیابی ریسك با دیگر رشتههای مدیریتی از جمله مدیریت تغییر،مدیریت پروژه و برنامه و همچنین مدیریت مالی كمك كنند.
برقراری فضا
برقراری فضا، پارامترهای اساسی را برای مدیریت ریسك تعریف میكند و دامنه و معیارها را برای بقیه فرآیند تنظیم مینماید. برقراری فضا شامل در نظر گرفتن پارامترهای داخلی و خارجی مرتبط با كل سازمان و همچنین پس زمینه ریسكهای خاصی است كه مورد ارزیابی قرار گرفتهاند. در برقراری فضا، اهداف ارزیابی ریسك، معیارهای ریسك و برنامه ارزیابی ریسك تعیین شده و مورد توافق قرار میگیرند. برای یك ارزیابی ریسك خاص، برقراری فضا بایستی شامل تعریف فضای مدیریت ریسك خارجی و داخلی و طبقه بندی معیارهای ریسك شود.
الف) برقراری فضای خارجی شامل آشنا شدن با محیطی است كه سازمان و سیستم در آن كار میكند، از جمله:
- عوامل محیط فرهنگی، سیاسی، قانونی، نظارتی، مالی، اقتصادی و رقابتی، چه بین المللی باشند و چه ملی، منطقهای یا محلی
- محركها و روندهای كلیدی كه پیامدهایی بر اهداف سازمان دارند
- ادراك و ارزشهای علاقمندان خارجی
ب) برقراری فضای داخلی شامل درك موارد زیر است.
- توانمندیهای سازمان از نظر منابع و دانش
- جریانهای اطلاعات و فرآیندهای تصمیم گیری
- علاقمندان داخلی
- اهداف و راهبردهایی كه برای دستیابی به اهداف دخیل هستند
- ادراك، ارزشها و فرهنگ
- خط مشیها و فرآیندها
- استانداردها و مدلهای مرجعی كه سازمان اتخاذ نموده است
- ساختارها (مثلاً حكمرانی، نقشها و پاسخگوییها)
پ) برقراری فضای فرآیند مدیریت ریسك شامل موارد زیر است.
- تعریف پاسخگوییها و مسئولیتها.
- تعریف گسترهی فعالیتهای مدیریت ریسك كه قرار است انجام شوند، از جمله شمولها و حذفهای خاص
- تعریف گسترهی پروژه، فرآیند، وظیفه یا فعالیت از نظر زمان و مكان
- تعریف روابط بین پروژه یا فعالیتی خاص و دیگر پروژهها و فعالیتهای سازمان
- تعریف متدولوژیهای ارزیابی ریسك
- تعریف معیارهای ریسك
- تعریف نحوه سنجش عملكرد مدیریت ریسك
- شناسایی و مشخص كردن تصمیمات و اقداماتی كه باید صورت گیرند
- شناسایی مطالعات مورد نیاز برای تعیین حوزه یا چارچوب، وسعت آنها، اهدافشان و همچنین منابع مورد نیاز برای چنین مطالعاتی.
ت) تعریف معیارهای ریسك شامل تصمیم گیری دربارهی موارد زیر است.
- ماهیت و انواع عواقبی كه قرار است گنجانده شوند و نحوه اندازه گیری آنها
- نحوه بیان احتمالات
- نحوه تعیین سطح ریسك
- معیارهایی كه مطابق با آنها در خصوص زمان برخورد با ریسك تصمیمگیری میشود
- معیارهایی برای تصمیم گیری در این مورد كه یك ریسك در چه صورت قابل قبول و یا قابل تحمل است.
- آیا تركیب ریسكها در نظر گرفته میشود و در این صورت چگونه.
معیارها میتوانند بر اساس منابعی چون موارد زیر باشند.
- اهداف فرآیند مورد توافق
- معیارهای شناسایی شده توسط مشخصات
- منابع كلی دادهها
- معیارهای عموما پذیرفته شده در صنعت مانند سطوح انسجام ایمنی تمایل و رغبت سازمان به ریسكپذیری
الزامات قانونی و دیگر الزامات برای تجهیزات یا كاربردهای خاص
ارزیابی ریسک
ارزیابی ریسك فرآیند كلی شناسایی، تحلیل و سنجش ریسك است. ریسكها را میتوان در سطح سازمانی، در سطح شعبهای، برای پروژهها، فعالیتهای منفرد یا ریسكهای خاص ارزیابی نمود. ابزارها و تكنیكهای مختلفی ممكن است در فضاهای مختلف، مناسب باشند. ارزیابی ریسك دركی از ریسكها، دلایل آنها، عواقب و احتمالات آنها را فراهم میسازد. این امر یك ورودی به تصمیمگیری در مورد مسائل زیر است.
- آیا فعالیتی بایستی انجام گیرد.
- نحوه به حداكثر رساندن فرصتها
- آیا نیاز است كه با ریسكها برخورد شود
- انتخاب بین گزینههایی با ریسكهای مختلف
- تعیین اولویت گزینههای برخورد با ریسك
- انتخاب مناسبترین راهبردهای برخورد با ریسك كه ریسكهای نامطلوب را به سطحی قابل تحمل میرساند.
برخورد با ریسک
با به اتمام رساندن ارزیابی ریسك، برخورد با ریسك طراحی میشود. برخورد با ریسك شامل انتخاب و موافقت با یك یا چند گزینه مرتبط برای تغییر احتمال رویداد، تاثیر ریسكها، یا هر دو و پیاده سازی این گزینهها، است.
پس از آن فرآیند گردشی باز ارزیابی سطح جدید ریسك، با نگاهی به تعیین قابلیت تحمل آن طبق معیارهای از پیش تنظیم شده، انجام میگیرد. این امر به منظور تصمیم گیری در مورد این كه آیا برخورد بیشتری مورد نیاز است یا خیر، صورت میپذیرد.
پایش و بازنگری
ریسكها و كنترلها، به عنوان قسمتی از فرآیند مدیریت ریسك، بایستی بر مبنایی منظم مورد پایش و بازنگری قرار گیرند تا موارد زیر را تصدیق نمایند.
- مفروضات در مورد ریسكها معتبر میمانند.
- مفروضات كه ارزیابی ریسك بر اساس آنها صورت میگیرد، از جمله فضای خارجی و داخلی، معتبر باقی میمانند.
- نتایج مورد انتظار كسب میشوند.
- نتایج ارزیابی ریسك مطابق با تجربه واقعی هستند.
- تكنیكهای ارزیابی ریسك به طور مناسب به كار میروند.
- برخورد با ریسكها اثربخش هستند.
- تعهد و پاسخگویی برای پایش و اجرای بازنگریها بایستی برقرار شوند.