حسابرسی فناوری اطلاعات

فرایند مدیریت ریسک براساس استاندارد ISO 31000

براساس استاندارد ISO 31000  فرایند مدیریت ریسک باید بخشی جدایی ناپذیر از نظام مديريتي سازمان بوده، در فرهنگ و  رويه هاي سازمان تعبیه شده و با فرآیندهای كسب و كار سازمان متناسب باشد. فرایند مدیریت ریسک باید جزئی جدایی ناپذیر از مدیریت و تصمیم گیری باشد و در ساختار، عملیات و فرآیندهای سازمان یکپارچه شود. می توان در سطوح استراتژیک، عملیاتی، برنامه ای یا پروژه ای آنرا به کار برد. می توان بسیاری از کاربردهای فرآیند مدیریت ریسک را در یک سازمان به کار بست که برای دستیابی به اهداف و متناسب با زمینه های بیرونی و داخلی آن، سفارشی سازی شده اند. ماهیت پویا و متغیر رفتار و فرهنگ انسان باید در فرآیند مدیریت ریسک در نظر گرفته شود. اگرچه فرآیند مدیریت ریسک اغلب به صورت  قدم های متوالی طراحی می شود، اما در عمل تکرارآمیز است.

فرآیند مدیریت ریسک در شکل زیر نشان داده است.

 

ارتباط و مشورت

اولین مرحله در فرایند مدیریت ریسک ارتباطات و مشورت (Communication and Consultation)  است. ارتباط و مشورت با ذینفعان خارجی و داخلی باید در تمام مراحل مدیریت ریسک انجام شود. بنابراین، برنامه های ارتباط و مشورت باید در مراحل اولیه تدوین شود. این موارد باید به موضوعات مربوط به خود ريسك، علل آن، پیامدهای آن در صورت شناخته شدن و اقدامات انجام شده برای رويارويي با آن بپردازد. برای اطمینان از ارتباط و مشاوره مؤثر بايد اطمينان حاصل شود كه افراد مسئول برای اجرای فرآیند مدیریت ریسک و ذینفعان دروني و بيروني سازمان، نياز به مديريت ريسك را درك كرده و دلايل اقدام در خصوص مديريت ريسك بشناسند.

در صورت اتخاذ رویکرد مناسب توسط تيم مشاوره:

  • به ایجاد زمینه مناسب براي مديريت ريسك کمک می شود.
  • اطمینان حاصل شود که منافع ذینفعان درك شده
    و مورد توجه قرار گرفته است.
  • اطمینان حاصل مي شود که ریسک ها به درستی شناسایی شده اند.
  • زمینه های مختلف تخصص مورد نياز برای تجزیه و تحلیل ريسك در کنار هم قرار گرفته مي شود.
  • اطمینان حاصل شده که هنگام تعیین معیارهای ريسك و در ارزیابی ريسك، نظرات مختلفی در نظر گرفته می شود.
  • اطمينان حاصل مي شود كه برنامه رويارويي با ريسك تاييد شده و حمايت لازم براي اجراي برنامه دريافت شده است.
  • یک برنامه ارتباطات و مشورت موثر داخلي و خارجي مناسب تهیه شده است.

 

ارتباط و مشورت با ذینفعان از آن جهت که داوری در مورد ريسك را براساس درک آنها از ریسک انجام می دهند، مهم است. این برداشت ها به دلیل تفاوت در ارزش ها، نیازها، فرضیات، مفاهیم و نگرانی های ذینفعان می تواند متفاوت باشد. از آنجا که نظرات آنها می تواند تأثیر چشمگیری در تصمیمات گرفته شده داشته باشد، برداشت ذینفعان باید در فرآیند تصمیم گیری، شناسایی، ثبت و در نظر گرفته شود. ارتباطات و مشاوره باید با در نظر گرفتن جنبه های محرمانه و اخلاق، تبادل اطلاعات صادقانه، مرتبط، دقیق و قابل فهم را تسهیل کند.

ایجاد زمینه مديريت ريسك

دومین مرحله در فرایند مدیریت ریسک ایجاد زمینه مدیریت ریسک است. با ایجاد زمینه، سازمان اهداف خود را بیان می کند، پارامترهای خارجی و داخلی را که هنگام مدیریت ریسک در نظر گرفته می شود، را تعریف كرده و دامنه و معیارهای ريسك را برای ريسك هاي باقی مانده تعیین می کند. در حالی که بسیاری از این پارامترها شبیه به مواردی هستند که در طراحی چارچوب مدیریت ریسک در نظر گرفته شده است، در هنگام ایجاد زمینه برای فرآیند مدیریت ریسک، آنها باید با جزئیات بیشتری مورد بررسی قرار گیرند و خصوصاً چگونگی ارتباط آنها با دامنه و محدوده فرآیند مدیریت ریسک.

 

ایجاد زمینه خارجی

بستر بیرونی مديريت ريسك، محیط خارجی است که سازمان در آن به دنبال دستیابی به اهداف خود است. شناخت چارچوب خارجی برای اطمینان از اینكه اهداف و دغدغه هاي ذینفعان خارجی هنگام تهیه معیارهای ریسك در نظر گرفته می شود، مهم است. زمينه خارجي بر مبناي زمينه كلي مديريت ريسك سازمان براساس ايجاد شده، اما جزییات بيشتري از جمله الزامات قانونی و نظارتی، درک ذینفعان و سایر جنبه های محيط بيروني را در ارتباط با چارچوب مديريت ريسك در بر مي گيرد. زمينه خارجی می تواند شامل موارد زیر باشد:

  • محیط اجتماعی و فرهنگی، سیاسی، حقوقی، نظارتی، مالی، فناوری، اقتصادی، طبیعی و رقابتی، اعم از بین المللی، ملی، منطقه ای یا محلی.
  • محرک ها و گرایش های کلیدی که بر اهداف سازمان تأثیر می گذارند
  • روابط، ادراک و ارزش های ذینفعان خارجی

سازمان باید معیارهایی را برای ارزیابی اهمیت ریسک تعریف کند. این معیارها باید منعکس کننده ارزش ها، اهداف و منابع سازمان باشد. برخی از معیارها را می توان با الزامات قانونی و نظارتی و سایر الزاماتی که سازمان در آن عضویت دارد تحمیل یا منشأ شود. معیارهای ريسك باید با سیاست مدیریت ریسک سازمان مطابقت داشته باشد. معيارها در ابتدای هر فرآیند مدیریت ریسک تعریف شده و به طور مداوم مورد بازنگری قرار می گیرد. هنگام تعیین معیارهای ريسك، عواملی که باید مورد توجه قرار گیرند

  • ماهیت و انواع دلایل و عواقبی که می تواند رخ دهد و نحوه سنجش آنها
  • چگونه تعریف خواهد شد
  • بازه هاي زمانی احتمال و یا پیامدهاي آنها
  • چگونگی تعیین سطح خطر
  • نظرات سهامداران
  • سطحی که در آن ریسک قابل قبول یا تحمل می شود.

 

اینکه آیا باید از ترکیبات خطرات متعدد در نظر گرفته شود و در صورت چنین شرایطی، چگونه و کدام یک از ترکیب ها باید مورد توجه قرار گیرد.

 

ایجاد زمینه داخلی
زمینه داخلی محیط داخلی است که در آن سازمان به دنبال دستیابی به اهداف خود است. فرایند مدیریت ریسک باید با فرهنگ ، فرایندها ، ساختار و استراتژی سازمان مطابقت داشته باشد. زمینه داخلی هر چیزی در درون سازمان است که می تواند در نحوه مدیریت ریسک سازمان تأثیر بگذارد. چرا که:
الف) مدیریت ریسک در چارچوب اهداف سازمان صورت می گیرد.
ب) اهداف و معیارهای یک پروژه ، فرآیند یا فعالیت خاص باید با توجه به اهداف سازمان به عنوان یک کل در نظر گرفته شود. و
ج) برخی سازمانها نتوانسته اند فرصتها را برای دستیابی به اهداف استراتژیک، پروژه یا کسب و کار خود تشخیص دهند و این بر تعهد سازمانی، اعتبار ، اعتماد و ارزش تأثیر می گذارد.

لازم است زمینه داخلی را درک کنید. زمینه  داخلی شامل موارد زیر است:

  • حاکمیت ، ساختار سازمانی ، نقش ها و پاسخگویی ها
  • سیاست ها ، اهداف و استراتژی هایی که برای دستیابی به آنها وجود دارد
  • قابلیت هایی که از نظر منابع و دانش درک شوند (به عنوان مثال سرمایه ، زمان ، افراد ، فرایندها ، سیستم ها و فناوری ها)
  • روابط با و درک و ارزش های ذینفعان داخلی
  • فرهنگ سازمان
  • سیستم های اطلاعاتی ، جریان اطلاعات و فرآیندهای تصمیم گیری (رسمی و غیر رسمی).
  • استانداردها ، دستورالعمل ها و مدل های اتخاذ شده توسط سازمان
  • شکل و میزان روابط قراردادی.

 

ایجاد زمینه فرآیند مدیریت ریسک

اهداف، استراتژی ها، دامنه و پارامترهای فعالیت های سازمان یا آن بخش هایی از سازمان که فرآیند مدیریت ریسک در آن اعمال می شود ، باید به روشنی تعریف شوند.  منابع مورد نیاز ، مسئولیت ها و مقامات و سوابق مورد نیاز برای نگهداری نظام مدیریت ریسک نیز باید مشخص شود. زمینه فرایند مدیریت ریسک با توجه به نیازهای سازمان متفاوت خواهد بود. مولفه های زمینه مدیریت ریسک سازمان می تواند موارد زیر بوده ، اما فقط به موارد زیر محدود نمی شود:

  • تعیین اهداف و اهداف فعالیتهای مدیریت ریسک
  • تعیین مسئولیت ها برای و در فرایند مدیریت ریسک
  • تعریف محدوده ، و همچنین عمق و وسعت فعالیتهای مدیریت ریسک که باید انجام شود ، از جمله موارد و شمایل خاص
  • تعریف فعالیت ، فرآیند ، عملکرد ، پروژه ، محصول ، خدمات یا دارایی از نظر زمان و مکان
  • تعیین روابط بین یک پروژه خاص ، فرآیند یا فعالیت با سایر پروژه ها ، فرآیندها یا فعالیت های سازمان
  • تعریف روشهای ارزیابی ریسک
  • تعریف تعریف نحوه ارزیابی عملکرد و اثربخشی در مدیریت ریسک
  • شناسایی و مشخص کردن تصمیماتی که باید اتخاذ شود و
  • شناسایی مطالعات ، تعیین محدودیت ها یا بررسی های مورد نیاز ، میزان و اهداف آنها و منابع مورد نیاز برای انجام چنین مطالعاتی.

در توجه به اینها و سایر عوامل مرتبط باید اطمینان حاصل شود که رویکرد مدیریت ریسک اتخاذ شده متناسب با شرایط ، سازمان و خطرات مؤثر در دستیابی به اهداف آن است.

تعیین معیارهای ریسک
سازمان باید معیارهایی را برای ارزیابی اهمیت ریسک تعریف کند. این معیارها باید منعکس کننده ارزشها ، اهداف و منابع سازمان باشد. برخی از معیارها را می توان با الزامات قانونی و نظارتی و سایر الزاماتی که سازمان در آن عضویت دارد تبیین شود. معیارهای ریسک باید مطابق با سیاست مدیریت ریسک سازمان بوده، در ابتدای هر فرآیند مدیریت ریسک تعریف شده و به طور مداوم مورد بررسی قرار می گیرد. هنگام تعیین معیارهای ریسک، عواملی که باید مورد توجه قرار گیرند شامل موارد زیر است:
  • ماهیت و انواع دلایل و پیامدهای ناشی از وقوع و نحوه سنجش آنها.
  • چگونه تعیین احتمال بروز ریسک
  • بازه زمانی (های) احتمال و یا پیامد (ها)
  • چگونگی تعیین سطح ریسک
  • دیدگاه های سهامداران
  • سطحی که در آن ریسک قابل قبول یا تحمل پذیر می شود و
  • آیا ترکیب ریسک متعددی باید در نظر گرفته شود یا خیر ، در این صورت ، چگونه و کدام ترکیب ها باید در نظر گرفته شود.

 

ارزیابی ريسك

یکی دیگر از مراحل فرایند مدیریت ریسک ، ارزیابی ریسک است. که خود شامل فعالیت های زیر  است:

 

شناسایی ریسک

سازمان باید منابع ریسک، مناطق تأثیر ، رویدادها (از جمله تغییر شرایط) و علل و پیامدهای احتمالی آنها را شناسایی کند. هدف از این مرحله ، تهیه لیست جامع از ریسک ها بر اساس وقایعی است که می تواند موجب دستیابی ، تقویت ، جلوگیری ، تخریب ، تسریع یا تأخیر در دستیابی به اهداف شود. شناسایی ریسک های مرتبط با عدم بهره برداری از فرصتها نیز مهم است. شناسایی جامع بسیار مهم است ، زیرا ریسکی که در این مرحله مشخص نشود ، در تجزیه و تحلیل بیشتر گنجانده نخواهد شد.

شناسایی باید شامل ریسک هایی باشد که منشأ آنها تحت کنترل سازمان باشد یا خیر ، اگرچه ممکن است منبع ریسک یا علت آن مشهود نباشد. شناسایی ریسک باید شامل بررسی اثرات ضربه ناگهانی پیامدهای خاص ، از جمله تاثیرات زنجیره ای و اثرات تجمعی باشد. همچنین باید طیف گسترده ای از عواقب را در نظر گرفت حتی اگر منبع ریسک یا علت آن مشهود نباشد و همچنین مشخص کردن آنچه ممکن است اتفاق بیفتد. لازم است دلایل و سناریوهای احتمالی را که نشان دهنده پیامدهای ممکن است در نظر بگیرند. همه دلایل و پیامدهای مهم باید در نظر گرفته شود.

سازمان باید از ابزارها و تکنیک های شناسایی ریسک متناسب با اهداف و قابلیت های آن و ریسک های پیش بینی شده استفاده کند. اطلاعات مرتبط و به روز در شناسایی ریسک ها از اهمیت برخوردار است. این شناسایی باید شامل اطلاعات زمینه مناسب باشد. افراد با دانش مناسب باید در شناسایی ریسک ها نقش داشته باشند.

نظر دهید