مدیریت ریسک

این مقاله برای تقویت ارتباط آن با روانشناسان نیاز به بازنویسی دارد. وادلطفا در صورت امکان برای بهبود این صفحه خود کمک کنید ..

هدف مدیریت ریسک کاهش خطرات مختلف مربوط به یک دامنه از پیش تعیین شده به سطح پذیرفته شده توسط جامعه است. این ممکن است به انواع مختلفی از تهدیدهای ناشی از محیط ، فناوری ، انسان ، سازمان ها و سیاست ها اشاره کند. از طرف دیگر ، همه وسایل موجود برای انسان یا به ویژه برای یک نهاد مدیریت ریسک (شخص ، کارمندان ، سازمان) در دسترس است. استانداردهای اصلی ISO در مورد مدیریت ریسک شامل [1] ، [2] است.

مدیریت ریسک یک رویکرد ساختاری برای مدیریت عدم اطمینان مربوط به تهدید ، دنباله ای از فعالیت های انسانی از جمله: ارزیابی ریسک ، توسعه استراتژی ها برای مدیریت آن و کاهش ریسک با استفاده از منابع مدیریتی است.

این استراتژی ها شامل انتقال ریسک به طرف دیگر ، جلوگیری از ریسک ، کاهش تأثیر منفی خطر و پذیرش برخی یا همه پیامدهای یک خطر خاص است.

برخی از مدیریت های ریسک سنتی بر خطرات ناشی از دلایل جسمی یا قانونی (به عنوان مثال بلایای طبیعی یا آتش سوزی ، تصادفات ، ارگونومی ، مرگ و دعاوی) متمرکز شده اند.

فهرست

مقدمه

در این بخش مقدمه ای بر اصول مدیریت ریسک ارائه شده است. واژگان مدیریت ریسک در ISO راهنمای 73 ، "مدیریت ریسک. واژگان" تعریف شده است [1].

در مدیریت ریسک ایده آل ، یک فرایند اولویت بندی دنبال می شود که به موجب آن خطرات با بیشترین ضرر و بیشترین احتمال وقوع در ابتدا انجام می شود و خطرات با احتمال کمتر وقوع و ضرر پایین تر به ترتیب نزولی انجام می شود. در عمل این روند می تواند بسیار دشوار باشد ، و تعادل بین خطرات با احتمال زیاد وقوع اما ضرر پایین در مقابل خطر با ضرر بالا اما احتمال کمتری از وقوع اغلب قابل سوء استفاده است.

مدیریت ریسک ناملموس نوع جدیدی از ریسک را شناسایی می کند - ریسکی که احتمال وقوع آن 100% است اما به دلیل عدم توانایی شناسایی توسط سازمان نادیده گرفته می شود. به عنوان مثال، هنگامی که دانش ناقصی برای یک موقعیت اعمال می شود، خطر دانش تحقق می یابد. خطر رابطه زمانی ظاهر می شود که همکاری ناکارآمد رخ دهد. زمانی که رویه های عملیاتی ناکارآمد اعمال می شوند، ریسک تعامل فرآیند ممکن است یک موضوع باشد. این ریسک ها به طور مستقیم بهره وری کارکنان دانش را کاهش می دهد، اثربخشی هزینه، سودآوری، خدمات، کیفیت، شهرت، ارزش برند و کیفیت درآمد را کاهش می دهد. مدیریت ریسک نامشهود به مدیریت ریسک اجازه می دهد تا ارزش فوری از شناسایی و کاهش ریسک هایی که بهره وری را کاهش می دهد ایجاد کند.

مدیریت ریسک نیز در تخصیص منابع با مشکلاتی مواجه است. این ایده اصول مدیریت ریسک است

• مدیریت ریسک باید ارزش ایجاد کند.
• مدیریت ریسک باید بخشی جدایی ناپذیر از فرآیندهای سازمانی باشد.
• مدیریت ریسک باید بخشی از تصمیم گیری باشد.
• مدیریت ریسک باید به صراحت به عدم قطعیت بپردازد.
• مدیریت ریسک باید سیستماتیک و ساختارمند باشد.
• مدیریت ریسک باید بر اساس بهترین اطلاعات موجود باشد.
• مدیریت ریسک باید طراحی شود.
• مدیریت ریسک باید عوامل انسانی را در نظر بگیرد.
• مدیریت ریسک باید شفاف و فراگیر باشد.
• مدیریت ریسک باید پویا، تکراری و پاسخگو به تغییرات باشد.
• مدیریت ریسک باید قابلیت بهبود و ارتقای مستمر را داشته باشد.

فرآیند

بر اساس استاندارد ISO/DIS 31000 «مدیریت ریسک -- اصول و دستورالعمل های پیاده سازی» [2]، فرآیند مدیریت ریسک شامل چند مرحله به شرح زیر است:

زمینه را ایجاد کنید

ایجاد زمینه شامل

1. شناسایی ریسک در حوزه انتخابی مورد علاقه
2. برنامه ریزی بقیه فرآیند
3. ترسیم نقشه موارد زیر:
   • حوزه اجتماعی مدیریت ریسک
   • هویت و اهداف ذینفعان
   • مبنایی که ریسک ها بر اساس آن ارزیابی خواهند شد، محدودیت ها.
4. تعریف چارچوبی برای فعالیت و دستور کار برای شناسایی.
5. توسعه تجزیه و تحلیل ریسک های موجود در فرآیند.
6. کاهش خطرات با استفاده از منابع فناورانه، انسانی و سازمانی موجود.

شناسایی

پس از ایجاد زمینه ، مرحله بعدی در روند مدیریت ریسک شناسایی خطرات احتمالی است. خطرات مربوط به حوادثی است که ، در صورت ایجاد ، باعث ایجاد مشکل می شوند. از این رو ، شناسایی ریسک می تواند با منبع مشکلات یا خود مشکل شروع شود.

• منابع ریسک تجزیه و تحلیل منبع ممکن است داخلی یا خارجی برای سیستم باشد که هدف مدیریت ریسک باشد. نمونه هایی از منابع ریسک عبارتند از: ذینفعان یک پروژه ، کارمندان یک شرکت یا آب و هوا در یک فرودگاه.
• خطرات تجزیه و تحلیل مسئله مربوط به تهدیدهای مشخص شده است. به عنوان مثال: تهدید از دست دادن پول ، تهدید به سوء استفاده از اطلاعات حریم خصوصی یا تهدید تصادفات و تلفات. این تهدیدها ممکن است در مورد اشخاص مختلف وجود داشته باشد ، مهمترین آنها برای سهامداران ، مشتریان و نهادهای قانونگذاری مانند دولت.

هنگامی که هر یک از منبع یا مشکل شناخته شده است ، رویدادهایی که ممکن است یک منبع ایجاد کند یا رویدادهایی که می تواند منجر به یک مشکل شود ، قابل بررسی است. به عنوان مثال: پس گرفتن ذینفعان در طی یک پروژه ممکن است بودجه پروژه را به خطر بیندازد. اطلاعات مربوط به حفظ حریم خصوصی ممکن است توسط کارمندان حتی در یک شبکه بسته به سرقت برود. رعد و برق اعتصاب یک بوئینگ 747 در هنگام برخاستن ممکن است همه افراد تلفات فوری را وارد کنند.

روش انتخاب شده برای شناسایی خطرات ممکن است به فرهنگ ، عمل صنعت و انطباق بستگی داشته باشد. روشهای شناسایی توسط الگوها یا توسعه الگوهای برای شناسایی منبع ، مشکل یا رویداد تشکیل می شوند. روشهای شناسایی ریسک رایج عبارتند از:

• سازمان های شناسایی ریسک مبتنی بر اهداف و تیم های پروژه اهداف دارند. هر رویدادی که ممکن است دستیابی به یک هدف را به طور جزئی یا کاملاً به خطر بیاندازد ، به عنوان ریسک شناخته می شود.
• شناسایی ریسک مبتنی بر سناریو در تجزیه و تحلیل سناریو سناریوهای مختلفی ایجاد می شود. سناریوها ممکن است راههای جایگزین برای دستیابی به یک هدف یا تحلیلی از تعامل نیروها در مثلاً یک بازار یا نبرد باشد. هر رویدادی که باعث ایجاد جایگزین سناریوی ناخواسته شود ، به عنوان ریسک شناخته می شود-به CMU/SEI-93-TR-6 مراجعه کنید.
• بررسی ریسک مشترک در لیست های مختلف صنایع با خطرات شناخته شده در دسترس است. هر ریسک موجود در لیست را می توان برای درخواست در یک وضعیت خاص بررسی کرد. نمونه ای از خطرات شناخته شده در صنعت نرم افزار ، لیست آسیب پذیری و قرار گرفتن در معرض رایج است که در http://cve. mitre.org یافت می شود.
• نمودار ریسک این روش رویکردهای فوق را با ذکر منابع در معرض خطر ، تهدیدات مربوط به آن منابع که عوامل تغییر دهنده ای دارند که ممکن است خطر و عواقب آن را افزایش دهد یا کاهش می دهد ، ترکیب می کند. ایجاد یک ماتریس در زیر این عناوین ، رویکردهای مختلفی را امکان پذیر می کند. می توان با منابع شروع کرد و تهدیدهایی را که در معرض آنها قرار می گیرد و عواقب هر یک را در نظر می گیرد. از طرف دیگر می توان با تهدیدها شروع کرد و بررسی کرد که کدام منابع را تحت تأثیر قرار می دهد ، یا می توان با عواقب آن شروع کرد و تعیین کرد که ترکیب تهدیدات و منابع برای ایجاد آنها درگیر است.

ارزیابی

پس از شناسایی خطرات ، آنها باید در مورد شدت بالقوه از دست دادن آنها و احتمال وقوع ارزیابی شوند. این مقادیر می توانند یا اندازه گیری ساده باشند ، در مورد ارزش یک ساختمان گمشده ، یا غیرممکن بودن در مورد احتمال وقوع یک واقعه بعید غیرممکن است. بنابراین ، در فرایند ارزیابی ، به منظور اولویت بندی صحیح اجرای برنامه مدیریت ریسک ، بهترین حدس های تحصیل کرده ممکن است.

مشکل اساسی در ارزیابی ریسک تعیین میزان وقوع است زیرا اطلاعات آماری در انواع حوادث گذشته در دسترس نیست. علاوه بر این ، ارزیابی شدت عواقب (تأثیر) اغلب برای دارایی های غیرمادی بسیار دشوار است. ارزیابی دارایی سؤال دیگری است که باید مورد توجه قرار گیرد. بنابراین ، بهترین نظرات تحصیل کرده و آمار موجود منابع اصلی اطلاعات هستند. با این وجود ، ارزیابی ریسک باید چنین اطلاعاتی را برای مدیریت سازمان ایجاد کند که خطرات اصلی قابل درک باشد و تصمیمات مدیریت ریسک ممکن است در اولویت قرار گیرد. بنابراین ، چندین تئوری و تلاش برای تعیین کمیت خطرات وجود داشته است. فرمول های مختلف ریسک مختلف وجود دارد ، اما شاید بسیار پذیرفته ترین فرمول برای اندازه گیری ریسک باشد:

میزان وقوع ضرب شده با تأثیر این رویداد برابر است با ریسک

تحقیقات بعدی نشان داده است که مزایای مالی مدیریت ریسک کمتر به فرمول مورد استفاده وابسته است اما بیشتر به فرکانس و نحوه انجام ارزیابی ریسک وابسته است.

در تجارت ضروری است که بتوانیم یافته های ارزیابی ریسک را از نظر مالی ارائه دهیم. رابرت کورتنی جونیور (IBM ، 1970) فرمولی را برای ارائه خطرات از نظر مالی پیشنهاد داد. فرمول کورتنی به عنوان روش رسمی تحلیل ریسک برای سازمان های دولتی ایالات متحده پذیرفته شد. این فرمول محاسبه ALE (انتظار از دست دادن سالانه) را پیشنهاد می کند و ارزش ضرر مورد انتظار را با هزینه های اجرای کنترل امنیت (تجزیه و تحلیل هزینه و فایده) مقایسه می کند.

درمان های خطر بالقوه

پس از شناسایی و ارزیابی خطرات ، تمام تکنیک های مدیریت ریسک در یک یا چند مورد از این چهار دسته اصلی قرار می گیرند: [2]

• اجتناب (حذف)
• کاهش (کاهش)
• انتقال (برون سپاری یا بیمه)
• حفظ (قبول و بودجه)

استفاده ایده آل از این استراتژی ها ممکن است امکان پذیر نباشد. برخی از آنها ممکن است شامل معاملات تجاری باشد که برای سازمان یا شخصی که تصمیمات مدیریت ریسک را می گیرند قابل قبول نیستند. منبع دیگر ، از دسته کسب) که در تهیه صنعت دفاعی ایالات متحده مورد استفاده قرار می گیرد ، که در آن مدیریت ریسک به طور برجسته در تصمیم گیری و برنامه ریزی انجام می شود.

جلوگیری از خطر

شامل عدم انجام فعالیتی است که می تواند خطر داشته باشد. به عنوان مثال خرید ملک یا تجارت به منظور کاهش ریسک نیست

روش هایی را شامل می شود که شدت از دست دادن یا احتمال از دست دادن از دست دادن را کاهش می دهد. مثالها شامل آتش سوزی برای کاهش خطر از دست دادن در اثر آتش سوزی است. این روش ممکن است باعث از بین رفتن بیشتر در اثر آسیب آب شود و بنابراین ممکن است مناسب نباشد. سیستم های سرکوب آتش هالون ممکن است این خطر را کاهش دهد ، اما ممکن است هزینه به عنوان یک استراتژی منع باشد.

روشهای توسعه نرم افزار مدرن با توسعه و ارائه نرم افزاری به صورت تدریجی ، ریسک را کاهش می دهد. روشهای اولیه از این واقعیت رنج می برد که آنها فقط در مرحله نهایی توسعه نرم افزار را تحویل داده اند. هرگونه مشکلی که در مراحل قبلی با آن روبرو می شود ، به معنای بازپرداخت پر هزینه است و اغلب کل پروژه را به خطر می اندازد. با توسعه در تکرارها ، پروژه های نرم افزاری می توانند تلاش هدر رفته در یک تکرار واحد را محدود کنند.

اگر برون سپاری بتواند توانایی بالاتری را در مدیریت یا کاهش خطرات نشان دهد ، برون سپاری می تواند نمونه ای از کاهش خطر باشد.[3] در این حالت شرکت ها فقط برخی از نیازهای دپارتمان خود را برون سپاری می کنند. به عنوان مثال ، یک شرکت ممکن است فقط در حالی که خود مدیریت تجارت را اداره می کند ، فقط توسعه نرم افزار خود ، تولید کالاهای سخت یا پشتیبانی مشتری را به یک شرکت دیگر نیاز داشته باشد. به این ترتیب ، این شرکت می تواند بدون نیاز به نگرانی در مورد روند تولید ، مدیریت تیم توسعه یا یافتن مکان فیزیکی برای یک مرکز تماس ، بیشتر روی توسعه تجارت تمرکز کند.

حفظ خطر

شامل پذیرش ضرر در هنگام بروز آن است. بیمه واقعی خود در این گروه قرار می گیرد. حفظ ریسک یک استراتژی مناسب برای خطرات کوچک است که در آن هزینه بیمه در برابر ریسک با گذشت زمان بیشتر از کل خسارات تحمل شده است. تمام خطرات که از آن اجتناب یا منتقل نمی شود ، به طور پیش فرض حفظ می شوند. این شامل خطرات آنقدر بزرگ یا فاجعه بار است که یا نمی توان آنها را در برابر آنها بیمه کرد یا حق بیمه غیر ممکن است. جنگ نمونه ای است زیرا بیشتر املاک و خطرات در برابر جنگ بیمه نمی شوند ، بنابراین ضرر منتسب به جنگ توسط بیمه شده حفظ می شود. همچنین هر مقدار از دست دادن بالقوه (ریسک) نسبت به میزان بیمه شده ریسک حفظ می شود. این امر همچنین ممکن است قابل قبول باشد اگر احتمال ضرر بسیار بزرگ اندک باشد یا اینکه هزینه اطمینان از مبلغ پوشش بیشتر آنقدر عالی باشد ، می تواند اهداف سازمان را بیش از حد مانع کند.

انتقال خطر

بسیاری از بخش ها مدت طولانی است که بیمه را انتقال ریسک می دانند. این درست نیستبیمه یک مکانیسم جبرانی پس از رویداد است. یعنی ، حتی اگر بیمه نامه برآورده شود ، این بدان معنی نیست که ریسک منتقل شده است. به عنوان مثال ، یک بیمه نامه صدمات شخصی خطر تصادف رانندگی را به شرکت بیمه منتقل نمی کند. این خطر هنوز هم مربوط به دارنده سیاست یعنی شخصی است که در این تصادف بوده است. این بیمه نامه به سادگی مقرر می کند که اگر یک حادثه (این رویداد) مربوط به دارنده سیاست رخ دهد ، ممکن است برخی از جبران خسارت به دارنده سیاست که متناسب با رنج/آسیب است ، پرداخت شود.

یک برنامه مدیریت ریسک ایجاد کنید

برای اندازه گیری هر خطر ، کنترل های مناسب یا اقدامات متقابل را انتخاب کنید. کاهش ریسک باید توسط سطح مناسب مدیریت تأیید شود. به عنوان مثال ، یک ریسک در مورد تصویر سازمان باید تصمیم عالی مدیریت در پشت آن داشته باشد ، در حالی که مدیریت فناوری اطلاعات صلاحیت تصمیم گیری در مورد خطرات ویروس رایانه را دارد.

برنامه مدیریت ریسک باید کنترل های امنیتی قابل اجرا و مؤثر را برای مدیریت خطرات پیشنهاد دهد. به عنوان مثال ، با دستیابی و اجرای نرم افزار آنتی ویروس ، می توان با ریسک بالای ویروس های رایانه ای مشاهده شد. یک برنامه مدیریت ریسک خوب باید شامل برنامه ای برای اجرای کنترل و افراد مسئول برای آن اقدامات باشد.

با توجه به کنترل های امنیتی ، که باید در بیانیه کاربردی مستند شود ، که مشخص می کند کدام اجرای خاص است

برای کاهش تأثیر خطرات ، تمام روشهای برنامه ریزی شده را دنبال کنید. بیمه نامه های خرید برای خطری که تصمیم گرفته شده به یک بیمه گذار منتقل شده است ، از همه خطرات جلوگیری شده و بدون قربانی کردن اهداف نهاد جلوگیری کنید ، دیگران را کاهش داده و بقیه را حفظ کنید.

بررسی و ارزیابی برنامه

برنامه های اولیه مدیریت ریسک هرگز کامل نخواهد بود. تمرین ، تجربه و نتایج از دست دادن واقعی نیاز به تغییر در برنامه و کمک به اطلاعات دارد تا تصمیمات مختلف احتمالی در برخورد با خطرات پیش رو انجام شود.

نتایج تجزیه و تحلیل ریسک و برنامه های مدیریتی باید به صورت دوره ای به روز شود. دو دلیل اصلی برای این وجود دارد:

1. برای ارزیابی اینکه آیا کنترل های امنیتی قبلاً انتخاب شده هنوز هم قابل اجرا و مؤثر هستند ، و
2. برای ارزیابی تغییرات احتمالی سطح ریسک در محیط کسب و کار. به عنوان مثال ، خطرات اطلاعاتی نمونه خوبی از تغییر سریع محیط کسب و کار است.

محدودیت ها

اگر خطرات به طور نادرست ارزیابی و اولویت بندی شوند ، می توان زمان را در برخورد با خطر خسارات که احتمالاً رخ نمی دهد هدر داد. صرف وقت زیاد برای ارزیابی و مدیریت خطرات بعید می تواند منابعی را که می توانند از سود بیشتری استفاده کنند منحرف کنند. اتفاقات بعید رخ می دهد اما اگر خطر به اندازه کافی رخ دهد ممکن است بهتر باشد خطر را حفظ کرده و در صورت بروز ضرر در نتیجه با نتیجه برخورد کنید.

اولویت بندی بیش از حد فرایندهای مدیریت ریسک می تواند یک سازمان را از اتمام یک پروژه یا حتی شروع کار باز دارد. این امر به ویژه در صورتی که کار دیگر به حالت تعلیق درآمده باشد تا زمانی که روند مدیریت ریسک کامل در نظر گرفته شود ، صادق است.

همچنین مهم است که تمایز بین ریسک و عدم اطمینان را در نظر داشته باشید. ریسک را می توان با تأثیر X احتمال اندازه گیری کرد.

زمینه های مدیریت ریسک

همانطور که در زمینه تأمین مالی شرکت ها اعمال می شود ، مدیریت ریسک تکنیکی برای اندازه گیری ، نظارت و کنترل چارچوب مالی یا بازل دوم است که خطرات را به ریسک بازار (ریسک قیمت) ، ریسک اعتباری و نیازهای سرمایه برای هر یک از این مؤلفه ها می اندازد.

مدیریت ریسک شرکت

در مدیریت ریسک سازمانی ، یک ریسک به عنوان یک رویداد یا شرایطی احتمالی تعریف می شود که می تواند تأثیرات منفی بر شرکت مورد نظر داشته باشد. تأثیر آن می تواند بر وجود ، منابع (انسانی و سرمایه) ، محصولات و خدمات یا مشتریان شرکت و همچنین تأثیرات خارجی بر جامعه ، بازارها یا محیط زیست باشد. در یک موسسه مالی ، مدیریت ریسک سازمانی معمولاً به عنوان ترکیبی از ریسک اعتباری ، ریسک نرخ بهره یا مدیریت مسئولیت دارایی ، ریسک بازار و ریسک عملیاتی تصور می شود.

در حالت کلی تر ، هر خطر احتمالی می تواند یک برنامه از پیش شکل گیری برای مقابله با پیامدهای احتمالی خود داشته باشد (برای اطمینان از احتمالی در صورت تبدیل شدن به یک مسئولیت).

• مرتب سازی بر روی این ارزش ، بالاترین خطرات را در ابتدا بودجه قرار می دهد.
• نگرانی های مربوط به واریانس برنامه را مشاهده کنید زیرا این تابعی از آن است ، همانطور که در معادله بالا نشان داده شده است.

ریسک در یک فرآیند می تواند ناشی از تغییر علت خاص یا فعالیت های مدیریت ریسک باشد که در مدیریت پروژه اعمال می شود

در مدیریت پروژه ، مدیریت ریسک شامل فعالیتهای زیر است:

• برنامه ریزی نحوه مدیریت ریسک در پروژه خاص. برنامه باید شامل وظایف مدیریت ریسک ، مسئولیت ها ، فعالیت ها و بودجه باشد.
• اختصاص یک افسر ریسک - یک عضو تیم به غیر از یک مدیر پروژه که مسئولیت پیش بینی مشکلات احتمالی پروژه را بر عهده دارد. ویژگی معمولی افسر ریسک یک شک و تردید سالم است.
• حفظ بانک اطلاعاتی ریسک پروژه زنده. هر ریسک باید ویژگی های زیر را داشته باشد: تاریخ افتتاح ، عنوان ، توضیحات کوتاه ، احتمال و اهمیت. به صورت اختیاری یک ریسک ممکن است یک شخص اختصاص داده شده را مسئول وضوح خود و تاریخی که باید آن را برطرف کند ، داشته باشد.
• ایجاد کانال گزارش ریسک ناشناس. هر یک از اعضای تیم باید امکان گزارش خطر پیش بینی شده در این پروژه را داشته باشند.
• تهیه برنامه های کاهش برای خطرات انتخاب شده برای کاهش. هدف از برنامه کاهش ، توصیف چگونگی رسیدگی به این خطر خاص است - چه ، چه زمانی ، توسط چه کسی و چگونه انجام می شود تا از آن جلوگیری شود یا عواقب آن را به حداقل برساند.
• خلاصه خطرات برنامه ریزی شده و مواجهه ، اثربخشی فعالیتهای کاهش و تلاش برای مدیریت ریسک.

مدیریت ریسک و استمرار تجارت

مدیریت ریسک صرفاً روشی برای انتخاب سیستماتیک رویکردهای مقرون به صرفه برای به حداقل رساندن تأثیر تحقق تهدید به سازمان است. فقط به دلیل محدودیت های مالی و عملی هرگز نمی توان از همه خطرات به طور کامل اجتناب کرد و یا کاهش یافت. بنابراین همه سازمان ها باید برخی از خطرات باقیمانده را بپذیرند.< SPAN> تهیه برنامه های کاهش برای خطرات که برای کاهش آنها انتخاب می شوند. هدف از برنامه کاهش ، توصیف چگونگی رسیدگی به این خطر خاص است - چه ، چه زمانی ، توسط چه کسی و چگونه انجام می شود تا از آن جلوگیری شود یا عواقب آن را به حداقل برساند.