حسابرسی فناوری اطلاعات

مروری بر استاندارد ISO 31000 ، بخش اول

ISO 31000 یکی از استانداردهای سازمان بین المللی استاندارد است که به موضوع مدیریت ریسک می پردازد. هدف اصلی این استاندارد ارائه اصول و راهنماهای کلی برای استقرار نظام مدیریت ریسک در سازمان است. این استاندارد به دنبال اشاعه مفاهیم عمومی و چارچوبی فراگیر در خصوص مدیریت ریسک در سراسر سازمان ها است. از این رو بیشتر به کلیات و مفاهیم مدیریت ریسک و ارکان اصلی نظام مدیریت ریسک پرداخته است. از این رو این استاندارد بیشتر جنبه توصیفی دارد. با رجوع به این استاندارد ویژگی ها و مولفه های کلان مدیریت ریسک در سازمان ها شناسایی می شود. لیکن این استاندارد یک راهنمای قدم به قدم برای شناسایی و تحلیل ریسک ارائه ننموده است. آخرین نسخه این استاندارد در سال 2018 میلادی توسط سازمان بین المللی استاندارد انتشار یافته است.

سازمان بین المللی استاندارد در توصیف این استاندارد اذعان می کند که سازمان ها با استفاده از این استاندارد می توانند احتمال تحقق اهدافشان را ارتقاء بخشند، شناسایی فرصت ها و تهدید را بهبود بخشیده و به نحو موثری منابع را برای رویارویی با ریسک ها تخصیص نمایند.

این استاندارد برای مقاصد صدور گواهینامه (Certification) به کار نمی رود. لیکن راهنماهایی را برای ممیزی داخلی و خارجی ارائه می کند. سازمان هایی که از این استاندارد استفاده می کنند می توانند اقدامات مدیریت ریسک خود را با برترین تجربیات و اقدامات مورد قبول در سطح بین المللی مقایسه کنند. همچنین این استاندارد در مسیر استقرار نظام حاکمیت شرکتی (Corporate Governance) نیز کاربرد دارد.

 

در کنار این استاندارد، سازمان ها می توانند از سایر مستندات مرتبط سازمان بین المللی استاندارد نیز بهره مند شوند:

ISO Guide 73: 2009, Risk Management: این مستند مجموعه ای از واژگان مرتبط با استاندارد ISO 31000 را در بر می گیرد.

IEC 31010:2009, Risk management – Risk assessment techniques: این استاندارد بر تحلیل ریسک تمرکز یافته است. مفاهیم، فرآیند و برخی از تکنیکهای مدیریت ریسک در این استاندارد تشریح شده است.

نظر دهید