رشته مدیریت ریسک مجموعهای از دانش را منتشر کرده است که سازمانها باید چه کارهایی را برای مدیریت ریسک انجام دهند. یکی از شناختهشدهترین منابع استاندارد ISO 31000، مدیریت ریسک دستورالعملها است که توسط سازمان بینالمللی استاندارد، یک نهاد استاندارد که معمولاً به عنوان ISO شناخته میشود، تهیه شده است.
فرآیند مدیریت ریسک پنج مرحله ای ISO شامل موارد زیر است و می تواند توسط هر نوع نهادی مورد استفاده قرار گیرد:
- خطرات را شناسایی کنید.
- احتمال و تأثیر هر یک را تجزیه و تحلیل کنید.
- اولویت بندی ریسک ها بر اساس اهداف تجاری
- شرایط خطر را درمان کنید (یا به آنها پاسخ دهید).
- نتایج را پایش کرده و در صورت لزوم تنظیم کنید.
مراحل ساده هستند، اما کمیته های مدیریت ریسک نباید کار مورد نیاز برای تکمیل فرآیند را دست کم بگیرند. برای شروع، نیاز به درک کاملی از آنچه که سازمان را وادار می کند، دارد. هدف نهایی، ایجاد مجموعه ای از فرآیندها برای شناسایی ریسک هایی است که سازمان با آن مواجه است، احتمال و تأثیر این خطرات مختلف، چگونگی ارتباط هر یک با حداکثر ریسکی که سازمان مایل به پذیرش آن است، و اقداماتی که باید برای حفظ و نگهداری انجام شود.
گرگ ویت، کارشناس ریسک، مهندس امنیت ارشد صنایع هانتینگتون اینگالز و معمار چارچوبهای انستیتوی ملی استاندارد و فناوری (NIST) در زمینه امنیت سایبری، میگوید: «برای در نظر گرفتن اینکه چه چیزی ممکن است اشتباه پیش برود، باید با آنچه باید درست پیش برود، شروع کنید. حریم خصوصی و خطرات نیروی کار هر آنچه که مرتبط است.
ویت گفت: هنگام شناسایی خطرات، درک این نکته مهم است که طبق تعریف، چیزی فقط در صورتی یک خطر است که تأثیر داشته باشد. برای مثال، طبق دستورالعمل گزارش بین سازمانی NIST (NISTIR 8286A) در مورد شناسایی خطر امنیت سایبری در ERM، چهار عامل زیر باید برای یک سناریوی ریسک منفی وجود داشته باشد:
- دارایی یا منابع ارزشمندی که ممکن است تحت تأثیر قرار گیرد؛
- منبع اقدام تهدیدآمیز که علیه آن دارایی عمل می کند.
- یک شرایط یا آسیب پذیری از قبل موجود که آن منبع تهدید را قادر می سازد تا عمل کند.
- برخی از اثرات مضری که از منبع تهدید که از آن آسیب پذیری سوء استفاده می کند، رخ می دهد.
در حالی که معیارهای NIST به ریسک های منفی مربوط می شود، فرآیندهای مشابهی را می توان برای مدیریت ریسک های مثبت اعمال کرد.
روندهای مدیریت ریسک سازمانی
کارشناسان در مورد چگونگی تکامل مدیریت ریسک شرکت می سنجید.
ویت گفت که در شناسایی سناریوهای ریسکی که میتوانند اهداف سازمان را مختل یا تقویت کنند، بسیاری از کمیتههای ریسک اتخاذ رویکردی از بالا به پایین و پایین به بالا را مفید میدانند.
در تمرین از بالا به پایین، رهبری فرآیندهای حیاتی سازمان را شناسایی می کند و با ذینفعان داخلی و خارجی همکاری می کند تا شرایطی را که می تواند مانع آنها شود را تعیین کند. دیدگاه پایین به بالا با منابع تهدید (زلزله، رکود اقتصادی، حملات سایبری و غیره) شروع می شود و تأثیر بالقوه آنها را بر دارایی های حیاتی در نظر می گیرد.
ریسک بر اساس دسته بندی ها سازماندهی ریسک ها بر اساس دسته ها نیز می تواند در کنترل ریسک مفید باشد. راهنمای ذکر شده توسط Witte از کمیته سازمان های حامی کمیسیون ترد وی (COSO) از چهار دسته زیر استفاده می کند:
- ریسک استراتژیک (به عنوان مثال، شهرت، روابط با مشتری، نوآوری های فنی)؛
- ریسک مالی و گزارشگری (به عنوان مثال، بازار، مالیات، اعتبار)؛
- ریسک انطباق و حاکمیت (به عنوان مثال، اخلاق، مقررات، تجارت بین المللی، حریم خصوصی)؛
- ریسک عملیاتی (به عنوان مثال، امنیت و حریم خصوصی فناوری اطلاعات، زنجیره تامین، مسائل کارگری، بلایای طبیعی).
به گفته پل کروان، کارشناس انطباق، راه دیگری برای دستهبندی ریسکها برای کسبوکارها این است که آنها را در چهار نوع ریسک اساسی زیر برای کسبوکارها قرار دهند: ریسکهای مردم، ریسکهای تسهیلات، ریسکهای فرآیند و ریسکهای فناوری.
وظیفه نهایی در مرحله شناسایی ریسک این است که سازمان ها یافته های خود را در یک ثبت ریسک ثبت کنند. این به ردیابی ریسک ها از طریق چهار مرحله بعدی فرآیند مدیریت ریسک کمک می کند. نمونه ای از چنین ثبت ریسک را می توان در گزارش NISTIR 8286A که در بالا ذکر شد یافت.
استانداردها و چارچوب های مدیریت ریسک
همانطور که قوانین انطباق دولت و صنعت در دو دهه گذشته گسترش یافته است، بررسی نظارتی و در سطح هیئت مدیره روی شیوه های مدیریت ریسک شرکت نیز افزایش یافته است، و تجزیه و تحلیل ریسک، ممیزی داخلی، ارزیابی ریسک و سایر ویژگی های مدیریت ریسک را جزء اصلی استراتژی کسب و کار قرار داده است.
آیا یک سازمان می تواند همه اینها را کنار هم بگذارد؟
چارچوبهای توسعهیافته و در حال توسعهیافته توسط حوزه مدیریت ریسک کمک خواهد کرد.
در اینجا یک نمونه آورده شده است که با توضیحات مختصری از دو چارچوب شناخته شده شروع می شود. برای جزئیات بیشتر در مورد آنها، خوانندگان باید به تحلیل مایکل کاب، کارشناس امنیتی در مورد ISO 31000 در مقابل COSO مراجعه کنند، که به شباهت ها و تفاوت های آنها و نحوه انتخاب بین این دو می پردازد:
چارچوب COSO ERM:
چارچوب COSO که در سال 2004 راه اندازی شد، در سال 2017 برای رسیدگی به پیچیدگی فزاینده ERM به روز شد. مفاهیم و اصول کلیدی ERM را تعریف می کند، زبان مشترک ERM را پیشنهاد می کند و جهت روشنی را برای مدیریت ریسک ارائه می دهد. این چارچوب که با ورودی پنج سازمان عضو COSO و مشاوران خارجی توسعه یافته است، مجموعه ای از 20 اصل است که در پنج جزء مرتبط به هم سازماندهی شده اند:
- حکومت و فرهنگ
- استراتژی و هدف گذاری
- کارایی
- بررسی و بازنگری
- اطلاعات، ارتباطات و گزارش
همانطور که کاب در مقاله مقایسه ای خود اشاره می کند، نسخه به روز شده COSO بر اهمیت گنجاندن ریسک در استراتژی های تجاری و پیوند ریسک و عملکرد عملیاتی تاکید می کند.
ISO 31000:
استاندارد ISO که در سال 2009 منتشر شد و در سال 2018 مورد بازنگری قرار گرفت، شامل فهرستی از اصول ERM، چارچوبی برای کمک به سازمان ها برای اعمال مکانیسم های مدیریت ریسک در عملیات، و فرآیندی برای شناسایی، ارزیابی، اولویت بندی و کاهش ریسک است.
به گفته کاب، نسخه جدید ISO یک سند کوتاه تر، واضح تر و مختصرتر است که خواندن آن آسان تر از نسخه قبلی خود است. استاندارد 2018 که توسط کمیته فنی مدیریت ریسک ISO با نظرات نهادهای عضو ملی ISO توسعه یافته است، شامل راهنمایی استراتژیک بیشتری در ERM نسبت به نسخه اصلی است. استاندارد جدید همچنین بر نقش مهم مدیریت ارشد در مدیریت ریسک و ادغام مدیریت ریسک در سراسر سازمان تاکید دارد.
استاندارد بریتانیا (BS) 31100:
نسخه فعلی این آیین نامه مدیریت ریسک در سال 2011 صادر شد و فرآیندی را برای اجرای مفاهیم شرح داده شده در ISO 31000 ارائه می کند که شامل کارکردهایی مانند شناسایی، ارزیابی، پاسخ، گزارش و بررسی.
مدل سررسید ریسک جامعه مدیریت ریسک و بیمه (RMM):
چارچوب RMM در حال حاضر در حال به روز رسانی است، اما در نسخه اصلی 2006 به راحتی در دسترس است. RMM هفت ویژگی یک برنامه مدیریت ریسک را فهرست میکند و به سازمانها کمک میکند تا هر یک را در مقیاسی از سطح عدم وجود تا سطح رهبری ارزیابی کنند.
نتیجه:
شرکتها همچنین ممکن است ایجاد چارچوبهایی را برای دستههای خاصی از ریسکها در نظر بگیرند. به عنوان مثال، چارچوب مدیریت ریسک سازمانی دانشگاه کارنگی ملون، خطرات و فرصتهای بالقوه را بر اساس دستههای ریسک زیر بررسی میکند: شهرت، ایمنی زندگی/سلامت، مالی، مأموریت، عملیاتی و انطباق/قانونی.
بدون دیدگاه