مدیریت ریسک

Share on email
Share on twitter
Share on linkedin
Share on facebook

۱- هدف و دامنه کاربرد
هدف از تدوین این استاندارد ارائه ی اصول و رهنمودهایی عام در مورد مدیریت ریسک است.
این استاندارد می تواند مورد استفاده هر بنگاه عمومی، خصوصی یا اجتماعی، انجمن، گروه یا فرد قرار گیرد. بنابراین
این استاندارد خاص هیچ صنعت یا بخشی نیست.
اشاره می شود. » سازمان « یادآوری :برای راحتی، به تمام کاربران مختلف این استاندارد با اصطلاح کلی
این استاندارد را می توان در کل عمر یک سازمان و در گستره ای وسیع از فعالیت ها به کار برد، از جمله راهبردها و
تصمیمات، عملیات، فرآیندها، وظایف، پروژه ها، محصولات، خدمات و دارایی ها.
این استاندارد را می توان در مورد هر نوع ریسک با هر ماهیتی به کار برد، چه دارای عواقب مثبت باشد و چه منفی.
گرچه این استاندارد رهنمودهایی عام ارائه می دهد، ولی مقصود از آن ترویج مدیریت ریسک هم شکل بین سازمان
ها نیست. طراحی و پیاده سازی طرح ها و چارچوب های مدیریت ریسک نیازمند در نرر گرفته شدن نیازهای
مختلف سازمانی خاص، اهداف، فضا، ساختار، عملیات، فرآیندها، وظایف، پروژه ها، محصولات، خدمات یا دارایی های
خاص آن و رویه های خاص به کار گرفته شده، می باشد.
مقصود از این استاندارد استفاده از آن برای هماهنگ سازی فرآیندهای مدیریت ریسک در استانداردهای موجود و
استانداردهای آتی است. این استاندارد رویکردی مشترک در پشتیبانی از استانداردهایی ارائه می دهد که به ریسک ها
و یا بخش های خاصی می پردازند و جایگزینی برای آن استانداردها نیست. این استانداردها برای مقصود صدور
گواهی در نرر گرفته نشده است.
۲ – اصطلالاحات و تعاریف
در این استاندارد، اصطلاحات و تعاریف زیر به کار می روند.
Risk ۱ – ریسک -۲
تأثیر عدم قطعیت بر اهداف
یادآوری ۱ :تاثیر انحراف از آن چه مورد انتظار است – مثبت و یا منفی
یاد آوری ۲ :اهداف ممکن است جنبه های مختلفی داشته باشند )مانند اهداف مالی، بهداشت و ایمنی و محیطی( و
ممکن است در سطوح مختلفی به کار روند ) مانند راهبردی ،در سطح سازمان پروژه ، محصول و فرآیند
۱۸ ( یا ترکیبی از این ها توصیف – ۱۷ ( بالقوه و عواقب ) ۲ – یاد آوری ۳ :ریسک اغلب با رجوع به رخدادهای ) ۲
می شود.
یادآوری ۴ :ریسک اغلب به صورت ترکیبی از عواقب یک رخداد )از جمل ه تغییراتی در اوااع و احوال( و احتمال
۱۹ ( وقوع مربوطه بیان می شود. -۲(
یادآوری ۵ :عدم قطعیت، حالت یا حتی جزئی از نقص اطلاعات مربوط به درک یا دانش یک رخداد، عاقبت یا احتمال
آن است.
(۱- تعریف ۱ ،ISO Guide 73:2009)
Risk Management ۲ -مدیریت ریسک -۲
(۱- فعالیت های هماهنگ شده برای هدایت و کنترل یک سازمان با توجه به ریسک ) ۲
)۱- تعریف ۲ ISO Guide 73:2009)
Risk Management Framework ۳ -چارچوب مدیریت ریسک -۲
۲۸ ( بازنگری و بهبود – مجموعه ای از اجزاء که بنیادها و تمهیدات سازمانی را برای طراحی، پیاده سازی، پایش ) ۲
۲( در کل سازمان فراهم می سازند. – مداوم مدیریت ریسک ) ۲
۱( می شوند. – یادآوری ۱ :بنیادها شامل خط مشی، اهداف، دستور و تعهد به مدیریت ریسک ) ۲
یاد آوری ۲ :تمهیدات سازمانی شامل طرح ها، روابط، مسئولیت ها، منابع، فرآیندها و فعالیت ها می شوند.
یادآوری ۳ :چارچوب مدیریت ریسک در خط مشی ها و رویه ها ی کلی راهبردی و بهره برداری سازمان تعبیه شده
است.
)۱-۱- تعریف ۲ ISO Guide 73:2009)
Risk Management Policy ۴ -خط مشی مدیریت ریسک -۲
(۲- بیانیه ی مقاصد کلی و هدایت یک سازمان که مربوط به مدیریت ریسک ) ۲
(۲-۱- تعریف ۲ ISO Guide 73:2009)
Risk Attitude ۵ -نگرش به ریسک -۲
(۱- رویکرد سازمان به ارزیابی و در نهایت دنبال کردن ، حفظ ، پذیرفتن یا دور شدن از ریسک ) ۲
(۱-۱-۷- تعریف ۳ ISO Guide 73:2009)
Risk Management Plan ۲ -طرح ریسک -۲
۳( که رویکرد اجزاء مدیریت و منابعی را که قرار است در مدیریت ریسک – برنامه درون چارچوب مدیریت ریسک ) ۲
۱( به کار روند، مشخص می کند. -۲(
یاد آوری ۱ : اجزاء مدیریت معمولا شامل روش های اجرایی، رویه ها، انتصاب مسئولیت ها، توالی و زمان بندی
فعالیت ها می شوند.
یاد آوری ۲ :طرح مدیریت ریسک را می توان در محصول، فرآیند و پروژه ای خاص و قسمتی از سازمان یا کل آن
به کار برد.
)۳-۱- تعریف ۲ ISO Guide 73:2009)
Risk Owner ۷ -صاحب ریسک -۲
(۱- فرد یا مقوله ای با مسئولیت و اختیار برای اداره ی ریسک ) ۲
(۵-۱-۵- تعریف ۳ ISO Guide 73:2009)
Risk Management Process ۸ -فرآیند مدیریت ریسک -۲
به کارگیری سیستماتیک خط مشی ها ، روش های اجرایی و رویه های مدیریت در فعالیت های تبادل اطلاعات،
(۱- ۲۸ ( و بازنگری ریسک ) ۲ – مشاوره، ایجاد فضا و شناسایی، تحلیل، سنجش، برخورد، پایش ) ۲
(۱- تعریف ۳ ISO Guide 73:2009)
Establishing the Context ۲ -برقراری فضا -۲
)۲۲- تعریف پارامترهای خارجی و داخلی که هنگام اداره کردن ریسک و تنریم دامنه کاربرد و معیارهای ریسک ) ۲
۴( در نرر گرفته می شوند. – برای خط مشی مدیریت ریسک ) ۲
(۱- تعریف ۳ ISO Guide 73:2009)
External Context ۱۱ -فضای خارجی -۲
محیط خارجی که در آن سازمان به دنبال دستیابی به اهدافش است
یادآوری :فضای خارجی می تواند شامل موارد زیر باشد:
محیط فرهنگی، اجتماعی، سیاسی، قانونی، مالی، فناوری، اقتصادی، طبیعی و رقابتی، چه بین المللی باشد و چه 
ملی، منطقه ای یا محلی
محرک های کلیدی و روندهای تاثیر گذار بر اهداف سازمان 
۱۳ ( خارجی. – روابط با و برداشت ها و ارزش های علاقمندان ) ۲ 
(۱-۱-۳- تعریف ۳ ISO Guide 73:2009)
Internal Context ۱۱ -فضای داخلی -۲
محیط داخلی که در آن سازمان به دنبال دستیابی به اهدافش است
یادآوری :فضای داخلی می تواند شامل موارد زیر باشد:
حکمرانی، ساختار سازمانی، نقش ها و مسئولیت ها. 
خط مشی ها، اهداف و راهبردهایی که برای دستیابی به آن ها در کارند. 
توانمندی ها که با توجه به منابع و دانش درک می شوند ) مثلا سرمایه، زمان،افراد، فرآیندها، سیستم ها و 
فناوری ها.(
سیستم های اطلاعاتی، جریان های اطلاعات و فرآیندهای تصمیم گیری )هم رسمی و هم غیر رسمی( 
۱۳ ( و برداشت ها و ارزش های آنان. – روابط با علاقمندان داخلی ) ۲ 
فرهنگ سازمان. 
استاندارد ها، رهنمودها و مدل اتخاذ شده توسط سازمان. 
شکل و میزان روابط قراردادی. 
)۲-۱-۳- تعریف ۳ ISO Guide 73:2009)
Communication And Consultation ۱۲ -تبادل اطلاعات و مشاوره -۲
فرآیندهای مداوم و تکرار شونده که سازمانی انجام می دهد تا اطلاعات را فراهم سازد، در اطلاعات شریک شود یا
۱۳ ( شود. – ۱( با علاقمندان ) ۲ – اطلاعات را کسب کند و وارد گفتگویی در مورد مدیریت ریسک ) ۲
۱۹ (، اهمیت، س نجش، قابلیت پذیرش و – یادآوری ۱ :اطلاعات می تواند مربوط به وجود، ماهیت، شکل، احتمال ) ۲
برخورد با مدیریت ریسک باشد.
یادآوری ۲ :مشاوره فرآیندی دو سویه از تبادل آگاهانه اطلاعات است بین یک سازمان و علاقمندانش در مورد
مسئله ای پیش از تصمیم گیری یا تعیین سمت و سویی در مورد آن مسئله .مشاوره عبارت است از:
فرآیندی که از طریق تأثیر و نه قدرت بر تصمیمی اثر می گذارد 
یک ورودی به تصمیم گیری و نه تصمیم گیری مشترک. 
)۱-۲- تعریف ۳ ISO Guide 73:2009)
Stakeholder ۱۳ -علاقمند -۲
فرد یا سازمانی که می تواند بر تصمیم یا فعالیت تأثیر بگذارد، از آن تأثیر بپذیرد یا خود را تحت تأثیر آن بداند.
یادآوری – تصمیم گیرنده می تواند علاقمند باشد.
)۱-۱-۲- تعریف ۳ ISO Guide 73:2009)
Risk Assessment ۱۴ -ارزیابی ریسک -۲
(۲۴- ۲۱ ( و سنجش ریسک ) ۲ – ۱۵ (، تحلیل ریسک) ۲ – فرآیند کلی شناسایی ریسک ) ۲
(۱-۴- تعریف ۳ ISO GUIDE 73:2009)
Risk Identification ۱۵ -شناسایی ریسک -۲
(۱- فرآیند یافتن، به رسمیت شناختن و توصیف ریسک ها ) ۲
)۱۸- ۱۷ (، دلایل آن ها و عواقب ) ۲ – ۱۶ (، رخدادها ) ۲ – یادآوری ۱ :شناسایی ریسک شامل شناسایی منابع ریسک ) ۲
بالقوه آن ها می شود.
یادآوری ۲ :شناسایی ریسک می تواند شامل داده های تاریخچه ای، تحلیل نرری، نررات افراد مطلع و متخصص و
۱۳ ( باشد. – نیازهای علاقمند ) ۲
(۱-۵- تعریف ۳ ISO GUIDE 73:2009)
Risk Source ۱۲ -منبع ریسک -۲
۱( است. – عنصری که به تنهایی یا به صورت ترکیبی دارای قابلیت ذاتی افزایش ریسک ) ۲
یادآوری :منبع ریسک می تواند ملموس یا ناملموس باشد.
)۲-۱-۵- تعریف ۳ ISO GUIDE 73:2009)
Event ۱۷ -رخداد -۲
وقوع یا تغییر مجموعه ای خاص از اوااع و احوال
یادآوری ۱ :رخداد می تواند یک یا چند اتفاق باشد و می تواند چندین دلیل متعدد داشته باشد.
یادآوری ۲ :رخداد می تواند متشکل از چیزی باشد که اتفاق نمی افتد.
نام گیرد. » حادثه « یا » رویداد « یادآوری ۳ :رخداد گاهی می تواند
)۳-۱-۵- تعریف ۳ ISO GUIDE 73:2009)
Eonsequence ۱۸ -عاقبت -۲
۱۷ ( که بر اهداف تأثیر می گذارد. – پیامد یک رخداد ) ۲
یادآوری ۱ :یک رخداد می تواند منجر به گستره ای از عواقب شود.
یادآوری ۲ :عاقبت می تواند قطعی یا غیر قطعی باشد و بر اهداف تأثیرات مثبت یا منفی بگذارد.
یادآوری ۳ :عواقب را می توان به صورت کمی یا کیفی بیان کرد.
یادآوری ۴ :عواقب اولیه می توانند از طریق تأثیرات ثانوی افزایش یابند.
(۳-۱-۶- تعریف ۳ ISO GUIDE 73:2009)
Likelihood ۱۲ -راستنمایی -۲
شانس وقوع یک امر
یادآوری ۱ :در اصطلاح شناسی مدیریت ریسک، واژه “احتمال” به معنای شانس وقوع یک امر به کار می رود، چه
تعریف شده باشد و چه اندازه گیری شده یا به طور عینی یا فردی، کیفی یا کمی تعریف شده باشد و یا با استفاده از
اصطلاحات کلی یا به صورت ریاایاتی توصیف شده باشد)مانند احتمال یا فراوانی در مدت زمانی معین(.
یادآوری ۲ :واژه احتمال دارای تعبیر ریاایاتی می باشد، بنابراین در اصطلاح شناسی مدیریت ریسک از راستنمایی
استفاده می شود و مقصود این است که تعبیری گسترده تر داشته باشد.
)۱-۱-۵- تعریف ۳ ISO GUIDE 73:2009)
Risk Profile ۲۱ -پروفایل ریسک -۲
(۱- توصیف هر مجموعه ای از ریسک ها ) ۲
یادآوری :مجموعه ی ریسک ها می تواند در بردارنده ریسک هایی باشد که مربوط به کل سازمان یا بخشی از آن
هستند یا به صورتی دیگر تعریف شوند.
)۵-۲-۸- تعریف ۳ ISO GUIDE 73:2009)
Risk Analysis ۲۱ -تحلیل ریسک -۲
(۲۳- ۱( و تعیین سطح ریسک ) ۲ – فرآیندی برای درک ماهیت ریسک) ۲
۲۵ ( فراهم – ۲۴ ( و تصمیماتی در مورد برخورد با ریسک ) ۲ – یادآوری ۱ :تحلیل ریسک، پایه ای برای سنجش ریسک ) ۲
می سازد.
یادآوری ۲ :تحلیل ریسک شامل برآورد ریسک می شود.
(۱-۶- تعریف ۳ ISO GUIDE 73:2009)
Risk Criteria ۲۲ -معیارهای ریسک -۲
۱( در مقابل آنها سنجیده می شود. – حدود اختیار که اهمیت ریسک ) ۲
۱۱ ( هستند. – ۱۱ ( و داخلی ) ۲ – یادآوری ۱ :معیارهای ریسک بر پایه اهداف سازمانی و فضای خارجی ) ۲
(۳-۱-۳- تعریف ۳ ISO GUIDE 73:2009)
یادآوری ۲ :معیارهای ریسک را می توان از استاندارها، قوانین، خط مشی ها و دیگر الزامات به دست آورد.
Level Of Risk ۲۳ -سطح ریسک -۲
۱۹ ( آن ها – ۱۸ ( و راستنمایی ) ۲ – ۱( یا ترکیبی از ریسک ها، که به صورت ترکیبی از عواقب ) ۲ – بزرگی یک ریسک ) ۲
بیان می شود.
(۸-۱-۶- تعریف ۳ ISO GUIDE 73:2009)
Risk Evaluation ۲۴ -سنجش ریسک -۲
۱( و یا بزرگی – ۲۲ ( برای تعیین این که آیا ریسک ) ۱ – ۲۱ ( با معیارهای ریسک ) ۲ – فرآیند مقایسه نتایج تحلیل ریسک
آن قابل قبول یا قابل تحمل است.
۲۵ ( کمک کننده است. – یادآوری :سنجش ریسک در تصمیم گیری در مورد برخورد با ریسک ) ۲
(۱-۷- تعریف ۳ ISO GUIDE 73:2009)
Risk Treatment ۲۵ -برخورد با ریسک -۲
(۱- فرآیندی برای تعدیل ریسک ) ۲
یادآوری ۱ :برخورد با ریسک می تواند شامل موارد زیر باشد:
اجتناب از ریسک از طریق تصمیم به عدم آغاز یا ادامه فعالیتی که ریسک را افزایش می دهد. 
پذیرش ریسک یا افزایش آن به منرور دنبال کردن یک فرصت. 
(۱۶- از میان برداشتن منبع ریسک ) ۲ 
(۱۹- تغییر دادن راستنمایی ) ۲ 
(۱۸- تغییر دادن عواقب ) ۲ 
به اشتراک گذاشتن ریسک با طرف یا طرف های دیگر )از جمله قراردادها و تأمین مالی ریسک. 
حفظ ریسک با تصمیم آگاهانه. 
ممانعت « ،» رفع ریسک « ،» تخفیف ریسک « یادآوری ۲ :برخورد با ریسک هایی که به عواقب منفی می پردازند، گاهی
نام می گیرند. » کاهش ریسک « و » از ریسک
یادآوری ۳ :برخورد با ریسک می تواند ریسک هایی جدید ایجاد کند یا ریسک های موجود را تعدیل نماید
)۱-۸- تعریف ۳ ISO GUIDE 73:2009)
Control ۲۲ -کنترل -۲
۱( را تعدیل می کند. – اقدامی که ریسک ) ۲
یادآوری ۱ :کنترل ها شامل هر فرآیند، خط مشی، تدبیر، رویه یا اقدام دیگری هستند که ریسک را تعدیل می کند.
یادآوری ۲ :کنترل ها ممکن است همیشه تأثیر تعدیلی مورد نرر یا مفروض را در بر نداشته باشند.
)۱-۱-۸- تعریف ۳ ISO GUIDE 73:2009)
Residual Risk ۲۷ -ریسک باقی مانده -۲
(۲۵- ۱( باقی مانده پس از برخورد با ریسک ) ۲ – ریسک ) ۱
یادآوری ۱ :ریسک باقی مانده می تواند در بردارنده ریسک شناسایی نشده باشد.
نام گیرد. » ریسک حفظ شده « یادآوری ۲ :ریسک باقی مانده همچنین می تواند
)۶-۱-۸- تعریف ۳ ISO GUIDE 73:2009)
Monitoring ۲۸ -پایش -۲
وارسی، نرارت و مشاهده نقادانه مداوم یا تعیین واعیت به منرور شناسایی تغییر از سطح عملکرد مورد الزام یا
انترار.
۱( یا کنترل – ۸(، ریسک ) ۲ – ۳(، فرآیند مدیریت ریسک ) ۲ – یادآوری ۱: پایش می تواند در چارچوب مدیریت ریسک ) ۲
۲۶ ( به کار رود. -۲(
)۱-۲-۸- تعریف ۳ ISO GUIDE 73:2009)
Review ۲۲ -بازنگری -۲
فعالیتی که برای تعیین مناسب بودن، کفایت و اثر بخشی مواوع برای دستیابی به اهداف برقرار شده انجام می گیرد
۱( یا کنترل – ۸(، ریسک ) ۲ – ۳(، فرآیند مدیریت ریسک) ۲ – یادآوری: بازنگری می تواند در چارچوب مدیریت ریسک ) ۲
۲۶ ( به کار رود. -۲(
)۲-۲-۸- تعریف ۳ ،ISO GUIDE 73:2009)
۳ -اصول
برای این که مدیریت ریسک اثر بخش واقع شود، سازمان بایستی در تمامی سطوح، منطبق با اصول زیر باشد.
مدیریت ریسک ارزش را ایجاد و حفاظت می کند. 
مدیریت ریسک در دستیابی قابل اثبات اهداف و بهبود عملکرد مثلا در بهداشت و ایمنی انسان، امنیت، انطباق قانونی و
نرارتی، پذیرش عمومی، حفاظت محیطی، کیفیت محصول، پروژه، کارایی در بهره برداری ها، حکمرانی و اعتبار،
مشارکت می کند.
مدیریت ریسک به عنوان یک قسمت جدایی ناپذیر از فرایندهای سازمانی 
مدیریت ریسک یک فعالیت مستقل مجزا از فعالیت ها و فرآیندهای اصلی سازمان نیست. مدیریت ریسک قسمتی از
مسئولیت های مدیریت و یک قسمت جدایی ناپذیر تمام فرآیند های سازمانی است، از جمله طرح ریزی راهبردی و
کل فرآیندهای مدیریت پروژه و مدیریت تغییر.
مدیریت ریسک قسمتی از تصمیم گیری است. 
مدیریت ریسک به تصمیم گیرندگان کمک می کند انتخاب های آگاهانه ای داش ته باشند، اقدام ات را اولویت بندی
کنند و بین راهکارهای مختلف ، تمایز قائل شوند.
مدیریت ریسک تصریحاً به عدم قطعیت می پردازد. 
مدیریت ریسک تصریح قطعیت، ماهیت این عدم قطعیت و نحوه پرداختن به آن را در نرر می گیرد.
مدیریت ریسک سیستماتیک، ساختار یافته و به هنگام است. 
رویکردی سیستماتیک، به هنگام و ساختاریافته به مدیریت ریسک در کارایی و نتایجی پایدار، قابل مقایسه و قابل
اطمینان کمک می کند.
مدیریت ریسک بر اساس بهترین اطلاعات موجود قرار دارد. 
ورودی ها به فرآیند اداره ی ریسک بر اساس منابع اطلاعاتی مانند داده های تاریخچه ای، تجربه، باز خورد علاقمند،
مشاهده، پیش بینی ها و کارشناسی تخصصی قرار دارند. با این حال، تصمیم گیرندگان بایستی خود را از هر محدویت
در داده ها یا مدلسازی به کار رفته یا احتمال تباین بین متخصصین آگاه ساخته و این موارد را به حساب آورند.
مدیریت ریسک سازگاری شده است. 
مدیریت ریسک با فضای خارجی و داخلی سازمان و پروفایل ریسک همراستا است.
مدیریت ریسک عوامل انسانی و فرهنگی را به حساب می آورد. 
مدیریت ریسک توانمندی ها، ادراک ها و مقاصد افراد خارجی و داخلی را که می توانند دستیابی به اهداف سازمان را
تسهیل نموده یا مانع آن هاشوند، به رسمیت می شناسد.
مدیریت ریسک شفاف و جامع است. 
مداخله مناسب و به هنگام علاقمندان و به ویژه تصمیم گیرندگان در تمامی سطوح سازمان، مرتبط و به روز باقی
ماندن مدیریت ریسک را تأمین می کند .مداخله همچنین به علاقمندان این امکان را می دهد که نرراتشان به طور
مناسب نشان داده شوند و در تعیین معیارهای ریسک به حساب آید.
مدیریت ریسک پویا، تکراری و پاسخگو به تغییر است. 
مدیریت ریسک بطور مداوم تغییر را حس می کند و به آن پاسخ می گوید. با وقوع رخدادهای خارجی و داخلی، فضا و
دانش تغییر می کند، پایش و بازنگری ریسک ها روی می دهد، ریسک های جدیدی ظاهر می شوند، برخی از آن ها
تغییر می یابند و بقیه ناپدید می شوند.
مدیریت ریسک بهبود مداوم سازمان را میسر می کند. 
سازمان ها بایستی راهبردهایی برای بهبود تکامل مدیریت ریسکشان در کنار تمام جنبه های دیگر سازمانشان تکوین و
پیاده سازی کنند.
پیوست الف توصیه های بیشتری برای سازمان ارائه می دهد که مایلند ریسک را به صورتی اثر بخش تر مدیریت
کنند.
۴ -چارچوب
۱ کلیات – ۴
موفقیت مدیریت ریسک بسته به اثر بخشی چارچوب مدیریت است که بنیادها و تمهیداتی را که در کل سازمان در
تمامی سطوح در آن تعبیه شده اند ، فراهم می سازد . چارچوب در اداره ی اثر بخش ریسک ها از طریق به کار گیری
فرآیند مدیریت ریسک )به بند ۵ مراجعه کنید( در سطوح مختلف و در فضای خاص سازمان ، کمک کننده است .
چارچوب اطمینان می دهد که اطلاعات در مورد ریسک که از فرآیند مدیریت ریسک به دست آمده است، به نحو
مناسب گزارش شده و به عنوان اساسی برای تصمیم گیری و پاسخگویی در تمام سطوح سازمانی مربوطه به کار می
رود.
این بند اجزاء ضروری چارچوب را برای اداره ی ریسک و نحوه ارتباط آن ها با یکدیگر توصیف می کند.
مقصود از چارچوب، تجویز سیستم مدیریت نیست، بلکه کمک به سازمان در گنجاندن مدیریت ریسک در سیستم کلی
مدیریتش است. بنابراین سازمان ها بایستی اجزاء چارچوب را با نیاز های خاصشان منطبق سازند. اگر رویه ها و
فرآیند های موجود سازمانی شامل اجزاء مدیریت ریسک میشود یا اگر سازمان از قبل یک فرآیند مدیریت ریسک
رسمی را برای انواع خاصی از ریسک ها یا موقعیت ها اتخاذ نموده، آن گاه این امور بایستی به صورت نقادانه در مقابل
این استاندارد، از جمله وصفی های موجود در پیوست الف ، بازنگری و ارزیابی شوند تا کفایت و اثر بخشی آن ها تعیین
شود.
۲ اختیار و تعهد – ۴
اعمال مدیریت ریسک و حصول اطمینان از اثربخشی پیوسته آن مستلزم تعهد قوی و مداوم مدیریت سازمان و
همچنین طراحی راهبردی و شدید برای دستیابی به تعهد در تمامی سطوح است. مدیریت بایستی:
خط مشی مدیریت ریسک را تعریف و تأیید کند؛
اطمینان یابد که فرهنگ سازمان و خط مشی مدیریت ریسک همراستا با یکدیگر هستند؛
شاخص های عملکرد مدیریت ریسک را تعیین کند که همراستا با شاخص های عملکرد سازمان هستند؛
اهداف مدیریت ریسک را با اهداف و راهبردهای سازمان همراستا سازد؛
از انطباق قانونی و نرارتی اطمینان حاصل کند؛
پاسخگویی ها و مسئولیت ها را در سطوح مناسبی درون سازمان منصوب کند؛
اطمینان یابد که منابع اروری به مدیریت ریسک تخصیص می یابند؛
مزایای مدیریت ریسک را به تمام علاقمندان منتقل سازد؛
اطمینان یابد که چارچوب اداره ی ریسک همچنان مناسب باقی می ماند.
۴ ۳ طراحی چارچوب برای اداره ی ریسک
۴ ۳ ۱ فهمیدن سازمان و فضای آن
پیش از آغاز طراحی و پیاده سازی چارچوب برای اداره ی ریسک ، مهم است که هم فضای خارجی و هم داخلی
سازمان درک و سنجیده شود ، چرا که این موارد می توانند به طور قابل توجهی بر طراحی چارچوب اثر بگذارند.
سنجش فضای خارجی سازمان ممکن است شامل موارد زیر باشد ، اما محدود به آن ها نیست:
الف( محیط اجتماعی و فرهنگی، سیاسی، قانونی، نرارتی، مالی، فناوری، اقتصادی، طبیعی و رقابتی، چه بین المللی باشد
و چه ملی، منطقه ای یا محلی؛
ب( محرک ها و روندهای کلیدی تأثیر گذار بر اهداف سازمان؛
پ( روابط با علاقمندان خارجی و ادراک ها و ارزش های آنان.
سنجش فضای داخلی سازمان ممکن است شامل موارد زیر باشد ، اما محدود به آن ها نیست:
حکمرانی ، ساختار سازمانی ، نقش ها و پاسخگویی ها؛
خط مشی ها ، اهداف و راهبرد هایی که برای دستیابی به آن ها در کارند؛
توانمندی ها ، که با توجه به منابع و دانش درک می شوند )مثلا سرمایه، زمان، افراد، فرآیندها، سیستم ها و فناوری
ها(؛
سیستم های اطلاعاتی، جریان های اطلاعاتی و فرآیندهای تصمیم گیری )هم رسمی و هم غیر رسمی(؛
روابط با علاقمندان داخلی و ادراک ها و ارزش های آنان؛
فرهنگ سازمانی؛
استاندارد ها ، رهنمودها و مدل های اتخاذ شده توسط سازمان؛
شکل و میزان روابط قراردادی.
۴ ۳ ۲ برقراری خط مشی مدیریت ریسک
خط مشی مدیریت ریسک بایستی به روشنی اهداف سازمان را برای مدیریت ریسک و تعهد آن به مدیریت ریسک را
بیان کند و به ویژه به موارد ذیل می پردازد:
منطق اساسی سازمان برای اداره ی ریسک؛
پیوند های بین اهداف و خط مشی های سازمان و خط مشی مدیریت ریسک؛
پاسخگویی ها و مسئولیت ها برای اداره ی ریسک؛
نحوه برخورد با منافع ناسازگار؛
تعهد به در دسترس قرار دادن منابع اروری برای کمک به افرادی که پاسخگو و مسئول در برابر اداره ی ریسک
هستند؛
نحوه اندازه گیری و گزارش عملکرد مدیریت ریسک؛
تعهد به بازنگری و بهبود خط مشی و چارچوب مدیریت ریسک به صورت دوره ای و در پاسخ به رخداد یا تغییری در
اوااع و احوال.
خط مشی مدیریت ریسک بایستی به طور مناسب در سازمان انتقال داده شود.
۴ ۳ ۳ پاسخگویی
سازمان بایستی اطمینان حاصل کند که برای اداره ی ریسک، پاسخگویی، اختیار و شایستگی مناسبی موج ود است، از
جمله پیاده سازی و حفظ فرآیند مدیریت ریسک و حصول اطمینان از کفایت، اثر بخشی و کارایی هر کنترل. این امر به
طریق زیر میسر می شود:
شناسایی صاحبان ریسک که از پاسخگویی و اختیار برای مدیریت ریسک برخوردارند؛
شناسایی فردی که پاسخگو تکوین، پیاده سازی و حفظ چارچوب برای اداره ی ریسک است؛
شناسایی دیگر مسئولیت های افراد در تمام سطوح سازمان برای فرآیند مدیریت ریسک؛
برقراری اندازه گیری عملکرد و گزارش دهی خارجی و یا داخلی و فرآیند های افزایش؛
تأمین سطوح مناسب شناخت.
۴ -انسجام با فرآیندهای سازمان -۳-۴
مدیریت ریسک بایستی در تمام رویه ها و فرآیندهای سازمان تعبیه شود، به نحوی که مرتبط، اثر بخش و کارآمد
باشد. فرآیند مدیریت ریسک بایستی قسمتی از این فرآیندهای سازمانی باشد و از آنها مجزا نباشد.
به ویژه مدیریت ریسک بایستی در تکوین خط مشی، کسب و کار و طراحی و باز نگری راهبردی تعبیه شود و
فرآیندهای مدیریت را تغییر دهد.
بایستی یک طرح مدیریت ریسک در سطح سازمان موجود باشد تا اطمینان حاصل کند که خطی مشی مدیریت ریسک
پیاده سازی می شود و اینکه مدیریت ریسک در تمام رویه ها و فرآیندهای سازمان تعبیه شده است. طرح مدیریت
ریسک می تواند با دیگر طرح های سازمانی مانند طرح راهبردی، انسجام یابد.
۵ -منابع -۳-۴
سازمان بایستی منابع مناسبی به مدیریت ریسک تخصیص دهد.
به موارد زیر بایستی توجه شود:
افراد، مهارتها، تجربه و شایستگی؛ 
منابع مورد نیاز برای هر گام از فرآیند مدیریت ریسک؛ 
فرآیندها، روش ها و ابزارهای مورد استفاده سازمان برای اداره ی ریسک؛ 
فرآیندها و روش های اجرایی مستند؛ 
سیستم های مدیریت اطلاعات و دانش؛ 
برنامه های آموزشی؛ 
۲ -برقراری تبادل اطلاعات داخلی و ساز و کارهای گزارش دهی -۳-۴
سازمان بایستی تبادل اطلاعات داخلی و ساز و کارهای گزارش دهی را برقرار نماید تا پاسخگویی و مالکیت ریسک را
پشتیبانی و تشویق نماید. این ساز و کارها بایستی اطمینان حاصل کنند که:
تبادل اطلاعات اجزا کلیدی چارچوب مدیریت ریسک و هر تعدیل بعدی به طور مناسب انجام گیرد؛ 
گزارش دهی داخلی کافی در مورد چارچوب، اثربخشی و پیامدهای آن موجود است؛ 
اطلاعات مربوطه به دست آمده از بکارگیری مدیریت ریسک در سطوح و زمان های مناسب در دسترس 
است؛
فرآیندهایی برای مشاوره با علاقمندان داخلی موجود هستند. 
این ساز و کارها بایستی )بر حسب اقتضا(، شامل فرآیندهایی برای یکی کردن اطلاعات ریسک از منابع مختلفی شوند و
ممکن است نیاز باشد که حساسیت اطلاعات را در نرر بگیرند.
۷ -برقراری تبادل اطلاعات خارجی و ساز و کارهای گزارش دهی -۳-۴
سازمان بایستی طرحی مبنی بر اینکه چگونه با علاقمندان خارجی تبادل اطلاعات می کند، تکوین و پیاده سازی کند. این
طرح بایستی شامل موارد زیر باشد:
دخیل کردن علاقمندان خارجی مناسب و حصول اطمینان از مبادله اثر بخش اطلاعات؛ 
گزارش دهی خارجی برای انطباق با الزامات قانونی، نرارتی و حکومتی؛ 
ارائه ی بازخور و گزارش دهی در مورد تبادل اطلاعات و مشاوره؛ 
استفاده از تبادل اطلاعات برای ایجاد اعتماد در سازمان؛ 
تبادل اطلاعات با علاقمندان در صورت رخداد بحران یا اتفاقی تصادفی؛ 
این ساز و کارها بایستی )بر حسب اقتضا(، شامل فرآیندهایی برای یکی کردن اطلاعات ریسک از منابع مختلفی شوند و
ممکن است نیاز باشد که حساسیت اطلاعات را در نرر بگیرند.
۴ -پیاده سازی مدیریت ریسک -۴
۱ -پیاده سازی چارچوب برای اداره ی ریسک -۴-۴
در پیاده سازی چارچوب سازمان برای اداره ی ریسک، سازمان بایستی:
زمانبندی و راهبرد مناسب را برای پیاده سازی چارچوب تعریف کند؛ 
خط مشی و فرآیند مدیریت ریسک را در فرآیندهای سازمانی به کار برد؛ 
منطبق با الزامات قانونی و نرارتی باشد؛ 
اطمینان یابد که تصمیم گیری، از جمله تکوین و تنریم اهداف با پیامدهای فرآیندهای مدیریت ریسک 
همراستا است؛
جلسات اطلاعاتی و آموزشی برگزار کند؛ 
با علاقمندان تبادل نموده و مشاوره کند تا اطمینان یابد که چارچوب مدیریت ریسک آن مناسب باقی می 
ماند.
۲ -پیاده سازی فرآیند مدیریت ریسک -۴-۴
مدیریت ریسک بایستی با حصول اطمینان از این که فرآیند مدیریت ریسک خلاصه شده در بند ۵ از طریق یک طرح
مدیریت ریسک در تمام سطوح وظایف سازمانی مربوطه به عنوان قسمتی از رویه ها و فرآیندهایش به کار می رود،
پیاده سازی شود.
۵ -پایش و بازنگری چارچوب -۴
به منرور حصول اطمینان از این که مدیریت ریسک اثر بخش است و همچنان عملکرد سازمانی را پشتیبانی می کند،
سازمان بایستی:
عملکرد مدیریت ریسک را در مقابل شاخص هایی اندازه گیری کند که به صورت دوره ای برای مناسب 
بودن بازنگری می شوند؛
به صورت دوره ای پیشروی را در مقابل طرح مدیریت ریسک و انحراف از آن، اندازه گیری کند؛ 
به صورت دوره ای بازنگری کند که آیا چارچوب، خط مشی و طرح مدیریت ریسک با در نرر گرفتن فضای 
خارجی و داخلی سازمان، همچنان مناسب هستند؛
در مورد ریسک، پیشروی طبق طرح مدیریت ریسک و این که خط مشی مدیریت ریسک تا چه حد مورد 
پیروی قرار می گیرد، گزارش دهد؛
اثر بخشی چارچوب مدیریت ریسک را بازنگری کند. 
۲ -بهبود مداوم چارچوب -۴
بر اساس نتایج و بازنگری ها، بایستی تصمیماتی در این مورد اخذ شود که چارچوب، خط مشی و طرح مدیریت ریسک
چگونه می تواند بهبود یابد. این تصمیمات بایستی منجر به بهبودهایی در مدیریت ریسک سازمان و فرهنگ مدیریت
ریسک آن شوند.
۵ -فرآیند
۱ -کلیات -۵
فرآیند مدیریت ریسک بایستی
یک قسمت جدا نشدنی از مدیریت باشد؛ 
در فرهنگ و رویه ها تعبیه شده باشد؛ 
با فرآیندهای کسب و کار سازمان سازگاری شده باشد. 
۶ است. فرایند مدیریت ریسک در شکل ۳ نشان داده شده – ۲ تا ۵ – این امر شامل فعالیت های توصیف شده در بند ۵
است.
شکل ۳- فرآیند مدیریت ریسک
۲ -تبادل اطلاعات و مشاوره -۵
تبادل اطلاعات و مشاوره با علاقمندان خارجی و داخلی بایستی در کلیه مراحل فرآیند مدیریت ریسک رخ دهد.
بنابراین طرح هایی برای تبادل اطلاعات و مشاوره بایستی در اولین مرحله تکوین شوند. این موارد باید به مسائلی
مربوط به خود ریسک، دلایل آن، عواقب آن )اگر از آنها اطلاعاتی موجود باشد( و اقداماتی که برای برخورد با آن
انجام می گیرند، بپردازند. تبادل اطلاعات اثر بخش خارجی و داخلی و مشاوره بایستی رخ دهد تا اطمینان حاصل شود
که افراد پاسخگو برای پیاده سازی فرآیند مدیریت ریسک و علاقمندان پایه تصمیم گیری ها و دلایل نیاز به اقداماتی
خاص را درک کنند.
یک رویکرد گروه مشاوره ممکن است:
به برقراری مناسب فضا کمک کند؛ 
اطمینان یابد که منافع علاقمندان درک شده اند و در نرر گرفته می شوند؛ 
به اطمینان از این امر کمک کند که ریسک ها به طور کافی شناسایی شده اند؛ 
حوزه های مختلف تخصصی را برای تحلیل ریسک ها گرد هم آورد؛ 
اطمینان یابد که مررات مختلف در زمان تعریف معیارهای ریسک و در سنجش ریسک ها به طور مناسب در 
نرر گرفته شده اند؛
پشتیبانی و حمایت را برای طرح برخورد با ریسک تأمین کند؛ 
مدیریت تغیر مناسب را در طول فرآیند مدیریت ریسک تقویت کند؛ 
یک طرح تبادل اطلاعات و مشاوره مناسب داخلی و خارجی را تکوین نماید. 
تبادل اطلاعات و مشاوره با علاقمندان اهمیت دارد، چرا که آنها بر اساس ادراکشان از ریسک، در مورد ریسک
کارشناسی می کنند. این ادراک ها ممکن است بنا به تفاوتهایی در ارزش ها، نیازها، فرایات، مفاهیم و دغدغه های
علاقمندان متفاوت باشند. از آنجا که نررات علاقمندان می تواند تأثیری قابل توجه بر تصمیمات گرفته ش ده داشته
باشد، ادراک آن ها بایستی شناسایی و ثبت شده و در فرآیند تصمیم کیری به حساب آید.
تبادل اطلاعات و مشاوره بایستی مبادله اطلاعات صادقانه، مرتبط، صحیح و قابل فهم را میسر سازد و جنبه های انسجام
محرمانه و شخصی را به حساب آورد.
۳ -برقراری فضا -۵
۱ -کلیات -۳-۵
سازمان با برقراری فضا اهدافش را بیان می کند، پارارمترهای خارجی و داخلی را که قرار است در زمان اداره ی
ریسک به حساب آیند، تعریف می کند و دامنه کاربرد و معیارهای ریسک را برای فرآیند باقی مانده تنریم می کند.
در عین این که بسیاری از این پارامترها مشابه پارامترهای در نرر گرفته شده در طراحی چارچوب مدیریت ریسک
۱- مراجعه کنید( هستند، در زمان برقراری فضا برای فرآیند مدیریت مدیریت ریسک، نیاز است که با -۳- )به ۴
تفصیل بیشتری در نرر گرفته شوند و به ویژه به نحوه ارتباط آن ها با دامنه کاربرد فرآیند مدیریت ریسک خاص
توجه شود.
۲ -برقراری فضای خارجی -۳-۵
فضای خارجی، محیط خارجی است که سازمان در آن به دنبال دستیابی به اهدافش است.
درک فضای خارجی مهم است تا اطمینان حاصل شود که اهداف و دغدغه های علاقمندان خارجی در تکوین معیارهای
ریسک در نرر گرفته می شوند. این امر برپایه فضا در کستره سازمان است، اما با جزئیات خاص الزامات قانونی و
نرارتی؛ ادراک های علاقمندان و دیگر جنبه های ریسک ها که خاص دامنه کاربرد فرآیند مدیریت ریسک هستند.
فضای خارجی می تواند شامل موارد زیر باشد، اما محدود به آنها نیست:
محیط اجتماعی و فرهنگی، سیاسی، قانونی، نرارتی، مالی، فناوری، اقتصادی، طبیعی و رقابتی، چه بین المللی 
باشد چه ملی، چه منطقه ای یا محلی؛
محرک ها و روندهای کلیدی تأثیرگذار بر اهداف سازمان؛ 
روابط با علاقمندان خارجی و ادراک ها و ارزشهای آنان. 
۳ -برقراری فضای داخلی -۳-۵
فضای داخلی، محیط داخلی است که سازمان در آن به دنبال دستیابی به اهدافش است.
فرآیند مدیریت ریسک بایستی با فرهنگ، فرآیندها، ساختار و راهبرد سازمان اثر بگذارد. این امر باید برقرار شود
چون:
الف( اهداف ریسک در فضای اهداف سازمان رخ می دهد؛
ب( اهداف و معیارهای پروژه، فرآیند یا فعالیتی خاص بایستی از لحاظ اهداف سازمان به طور کلی در نرر گرفته
شوند؛
پ( برخی سازمان ها نمی توانند فرصت های دستیابی به اهداف راهبردی، پروژه ای یا کسب و کار خودکار را
تشخیص دهند و این امر بر تعهد، اعتبار، اعتماد و ارزش پیوسته سازمانی اثر می گذارد.
درک فضای داخلی اروری است. این امر می تواند شامل موارد زیر باشد، اما محدود به آن ها نیست:
حکمرانی، ساختار سازمانی، نقش ها و پاسخگویی ها؛ 
خط مشی ها، اهداف و راهبردهایی که برای دستیابی به آنها در کارند؛ 
توانمندی ها که با توجه به منابع و دانش درک می شوند )مثلا سرمایه، زمان، افراد، فرآیندها، سیستم ها و 
فناوری ها(؛
روابط با علاقمندان داخلی و ادراک ها و ارزش های آنان؛ 
فرهنگ سازمانی؛ 
سیستم های اطلاعات، جریان های اطلاعات و فرآیندهای تصمیم گیری )هم رسمی و هم غیر رسمی(؛ 
استانداردها، رهنمودها و مدل های اتخاذ شده توسط سازمان؛ 
شکل و میزان روابط قراردادی. 
۴ -برقراری فضای فرآیند مدیریت ریسک -۳-۵
اهداف، راهبردها، دامنه کاربرد و پارامترهای فعالیت های سازمان یا قسمت هایی از سازمان که در آن ها فرآیند
مدیریت ریسک به کار می رود، بایستی برقرار شوند. مدیریت ریسک بایستی با در نرر گرفتن کامل نیاز به توجیه
منابع به کار رفته در انجام مدیریت ریسک اجرا شود. منابع مورد الزام، مسئولیت ها و اختیارات و سوابقی که قرار
است نگه داشته شوند نیز بایستی مشخص شوند.
فضای فرآیند مدیریت ریسک بنا به نیازهای سازمان متفاوت خواهد بود. این امر می تواند شامل موارد زیر باشد اما
محدود به آن ها نیست:
تعریف اهداف و مقاصد فعالیت های مدیریت ریسک؛ 
تعریف مسئولیت ها برای فرآیند مدیریت ریسک و درون آن؛ 
تعریف دامنه کاربرد و همچنین عمق و وسعت فعالیت های مدیریت ریسک که قرار است انجام گیرند، از 
جمله شامل کردن ها و مستثنی کردن های خاص؛
تعریف فعالیت، فرآیند، وظیفه، پروژه، محصول، فرایند، فعالیت و دیگر پروژه ها، فرآیندها یا فعالیت های 
سازمان؛
تعریف روش شناسی های ارزیابی ریسک؛ 
تعریف نحوه سنجش عملکرد و اثر بخشی در مدیریت ریسک؛ 
شناسایی و مشخص کردن تصمیماتی که باید اخذ شوند؛ 
شناسایی، تعیین دامنه کاربرد یا تعیین چارچوب مطالعات مورد نیاز، میزان و اهداف آن ها و منافع الزامی 
برای چنین مطالعاتی.
توجه به این موارد و دیگر فاکتورهای مربوطه بایستی به حصول اطمینان از این امر کمک کند که رویکرد مدیریت
ریسک اتخاذ شده برای اوااع و احوال، سازمان و ریسک های تأثیرگذار بر دستیابی به اهدافش مناسب است.
۵ -تعریف معیارهای ریسک -۳-۵
سازمان بایستی معیارهای مورد استفاده برای سنجش اهمیت ریسک را تعریف کند. معیارها بایستی منعکس کننده
ارزش ها، اهداف و منابع سازمان باشند .برخی معیارها ممکن است توسط الزامات قانونی و نرارتی و دیگر الزاماتی که
سازمان متعهد به آن ها است، تحمیل شوند یا از آن ها مشتق شوند. معیارهای ریسک بایستی سازگار با خط مشی
۲- مراجعه کنید(، در آغاز هر فرآیند مدیریت ریسک تعریف شوند و به طور -۳- مدیریت ریسک باشند )به بند ۴
مداوم بازنگری شوند.
در تعریف معیارهای ریسک، فاکتورهایی که قرار است در نرر گرفته شوند، بایستی شامل موارد زیر باشند:
ماهیت و انواع دلایل و عواقبی که ممکن است رخ دهند و نحوه اندازه گیری آن ها؛ 
نحوه تعریف راستنمایی؛ 
چارچوب)های( زمانی راستنمایی و/یا عاقبت / عواقب؛ 
نحوه تعیین سطح ریسک؛ 
نررات علاقمندان؛ 
سطحی که در آن ریسک قابل قبول نحمل می شود؛ 
این که آیا ترکیباتی از ریسک های چندگانه بایستی به حساب آیند و در این صورت، نحوه در نرر گرفتن 
ترکیبات و این که کدام ترکیبات بایستی در نرر گرفته شوند.
۴ -ارزیابی ریسک -۵
۱ -کلیات -۴-۵
ارزیابی ریسک فرایند کلی شناسایی ریسک، تحلیل ریسک و سنجش ریسک است.
رهنمودهایی درباره تکنیک های ارزیابی ریسک ارائه می دهد. ISO/IEC یادآوری 31010
۲ -شناسایی ریسک -۴-۵
سازمان بایستی ریسک، حوزه های تأثیرات، رخدادها )از جمله تغییرات در اوااع و احوال( و دلایل آنها و عواقب
احتمالی آن ها را شناسایی کند. هدف از این گام ایجاد فهرستی جامع از ریسک ها بر پایه رخدادهایی است که ممکن
است دستیابی به اهداف را ایجاد، تقویت و ممانعت کننده آن را تنزل دهند، سرعت بخشند یا به تأخیر بیاندازند.
شناسایی ریسک های مربوط به عدم تعقیب یک فرصت، دارای اهمیت است. شناسایی جامع مهم است، چرا که ریسک ی
که در این مرحله شناسایی نمی شود، در تحلیلهای آتی گنجانده نخواهد شد.
شناسایی بایستی شامل تمامی ریسک ها شود چه منبع آنها تحت کنترل سازمان باشد و چه نباشد، هرچند منبع ریسک یا
دلیل آن ممکن است روشن نباشد. شناسایی ریسک بایستی شامل بررسی تأثیرات پیوسته عواقبی خاص باشد، از جمله
تأثیرات آبشاری و تجمعی. شناسایی همچنین بایستی گستره وسیعی از عواقب را در نرر بگیرد، حتی اگر منبع ریسک یا
دلیل آن آشکار نباشد. علاوه بر شناسایی آنچه ممکن است روی دهد، اروری است که دلایل و سناریوهای ممکن در
نرر گرفته شوند که نشان می دهند چه عواقبی ممکن است رخ دهند. تمام دلایل و عواقب قابل توجه بایستی در نرر
گرفته شوند.
سازمان بایستی ابزارهای شناسایی ریسک و تکنیک هایی را به کار گیرد که برای اهداف و توانمندی های آن و ریسک
هایی که با آن مواجه می شود، مناسب هستند. اطلاعات مربوطه و به روز در شناسایی ریسک ها مهم است. این امر
بایستی در شناسایی ریسک ها دخیل باشند.
۳ -تحلیل ریسک -۴-۵
تحلیل ریسک شامل تکوین درکی از ریسک می شود. تحلیل ریسک یک ورودی به سنجش ریسک و تصمیماتی در مورد
این که آیا نیاز است با ریسک ها برخورد شود و مناسب ترین راهبردها و روش های برخورد با ریسک چیست ، ارائه
می دهد. تحلیل ریسک همچنین یک ورودی به تصمیم گیری در زمانی ارائه می دهد که باید انتخابی صورت گیرد و
گزینه ها شامل انواع ریسک، عواقب مثبت و منفی آن ها و احتمال وقوع این عواقب است. فاکتورهایی که بر عواقب و
احتمال اثر میگذارد بایستی شناسایی شوند. ریسک با تعیین عواقب و احتمال آن ها و دیگر وصفی های ریسک تحلیل می
شود. یک رخداد می تواند عواقب چندگانه ای داشته باشد و می تواند بر چندین هدف اثر بگذارد. کنترل های موجود
و اثر بخشی و کارایی آن ها نیز بایستی به حساب آید.
نحوه بیان عواقب و احتمال آن ها و نحوه ترکیب آن ها برای تعیین سطح ریسک بایستی نوع ریسک، اطلاعات موجود و
مقصود استفاده از خروجی ارزیابی ریسک را منعکس سازد. این موارد بایستی با معیارهای ریسک سازگار باشند.
همچنین در نرر گرفتن وابستگی متقابل ریسک های مختلف و منابع آن ها مهم است.
اطمینان در تعیین سطح ریسک و حساسیت آن به پیش شرط ها و مفرواات بایستی در تحلیل در نرر گرفته شود و
به طور اثر بخش به تصمیم گیرندگان در صورت مناسب بودن، دیگر علاقمندان انتقال یابد. فاکتورهایی چون واگرایی
نررات بین متخصصین، عدم قطعیت، در دسترس بودن، کیفیت، کمیت و مرتبط بودن پیوسته اطلاعات یا محدودیت
ها در مدل سازی بایستی بیان شده و می توانند مورد تاکید قرار گیرند.
تحلیل ریسک می تواند با درجات مختلفی از جزئیات انجام گیرد که به ریسک، مقصود از تحلیل و اطلاعات، داده ها و
منابع موجود بستگی دارد. تحلیل می تواند بسته به اوااع و احوال، کیفی، نیمه کمی یا کمی یا ترکیبی از این ها باشد.
عواقب و احتمال آن ها می تواند با مدلسازی پیامد های یک رخداد یا مجموعه ای از رخدادها یا برون یابی از مطالعات
آزمایشی یا از داده های موجود تعیین شود. عواقب را می توان از نرر تأثیرات محسوس و نامحسوس بیان کرد. در
برخی موارد بیش از یک مقدار عددی یا توصیف گر برای مشخص کردن عواقب و احتمال آن ها برای زمان ها، مکان
ها، گروه ها یا موقعیت های مختلف مورد الزام است.
۴ -سنجش ریسک -۴-۵
مقصود از سنجش ریسک کمک در تصمیم گیری، بر اساس پیامدهای تحلیل ریسک در مورد این است که چه ریسک
هایی نیاز به برخورد دارند و ارجحیت برای برخورد کدام است.
سنجش ریسک شامل مقایسه سطح ریسک یافت شده در طول فرآیند تحلیل با معیارهای ریسک است که در زمان
بررسی فضا برقرار شده اند. بر اساس این مقایسه، نیاز به برخورد می تواند بررسی شود.
تصمیمات بایستی فضای گسترده تر ریسک را به حساب آورند و شامل در نرر گرفتن رواداری ریسک هایی شوند که
طرفین محتمل می شوند، به جز سازمانی که از ریسک سود می برد. تصمیمات باید مطابق با الزامات قانونی و نرارتی
و غیره گرفته شوند.
در برخی اوااع و احوال، سنجش ریسک می تواند منجر به تصمیم به انجام تحلیل بیشتر شود .سنجش ریسک همچنین
می تواند منجر به تصمیم به عدم برخورد با ریسک به طریقی جز حفظ کنترل های موجود شود. این تصمیم تحت
تأثیر نگرش سازمان به ریسک و معیارهای ریسک برقرار شده است.
۵ -برخورد با ریسک -۵
۱ -کلیات -۵-۵
برخورد با ریسک شامل انتخاب یک یا چند گزینه برای تعدیل ریسک ها و اجرای این گزینه ها است. به محن اینکه
برخوردها اجرا می شوند کنترل ها را فراهم یا تعدیل می کنند.
برخورد با ریسک شامل فرآیند گردشی موارد زیر است:
ارزیابی برخورد با ریسک؛ 
تصمیم در این مورد که آیا سطوح ریسک باقی مانده قابل تحمل هستند؛ 
در صورتی که قابل تحمل نباشند، ایجاد برخورد با ریسکی جدید؛ 
ارزیابی اثر بخشی این برخورد. 
گزینه های برخورد با ریسک لزوماً دو به دو متناظر نبوده یا در تمام اواواع و احوال مناسب نیستند. گزینه ها می
توانند شامل موارد زیر باشند:
الف( اجتناب از ریسک از طریق تصمیم به عدم آغاز یا ادامه به فعالیتی که ریسک را افزایش می دهد؛
ب( پذیرش ریسک یا افزایش آن به منرور تعقیب یک فرصت؛
پ( از میان برداشتن منبع ریسک؛
ت( تغییر راستنمایی؛
ث( تغییر عواقب؛
ج( به اشتراک گذاشتن ریسک با طرف یا طرف های دیگر)از جمله قرار دادها و سرمایه گذاری ریسک(؛
چ( حفظ ریسک با تصمیم آگاهانه.
۲ -انتخاب گزینه های برخورد با ریسک -۵-۵
انتخاب مناسب ترین گزینه برخورد با ریسک شامل ایجاد تعادل بین هزینه ها و تلاش های پیاده سازی و سود به
دست آمده، با توجه به الزامات قانونی، نرارتی و دیگر الزامات از قبیل مسئولیت اجتماعی و حفاظت از محیط طبیعی
است .تصمیمات بایستی همچنین ریسک هایی را به حساب آورند که می توانند برخورد با ریسک را گارانتی کنند که بر
اساس اقتصاد توجیه پذیر نیست، مانند ریسک های شدید )دارای عواقب بسیار منفی( اما نادر )با احتمال پایین(
تعدادی از گزینه های برخورد را می توان به صورت منفرد یا ترکیبی در نرر گرفته و به کار برد. سازمان معمولاً می
تواند از اتخاذ ترکیبی از گزینه های برخورد سود ببرد.
در هنگام انتخاب گزینه های برخورد با ریسک، سازمان بایستی ارزش ها و ادراک های علاقمندان و مناسب ت رین راه
ها برای تبادل اطلاعات با آنان را در نرر بگیرد. هنگامی که گزینه های برخورد با ریسک می توانند در جای دیگری در
سازمان یا بر علاقمندان تأثیرگذار باشند، این موارد بایستی در تصمیم گیری دخالت داشته باشند، برخی برخوردها با
ریسک با این که به طور مساوی اثربخش هستند، می توانند برای برخی علاقمندان بیش از بقیه قابل قبول باشند.
طرح برخورد بایستی به روشنی ترتیب اولویتی را که طبق آن هر گزینه ی برخورد با ریسک های بایستی اجرا شوند،
شناسایی کند.
خود برخورد با ریسک ممکن است ریسک هایی در بر داشته باشد. یک ریسک قابل توجه می تواند عدم موفقیت یا
عدم اثر بخشی اقدامات برخورد با ریسک باشد .نیاز است که پایش یک قسمت جدا نشدنی از طرح برخورد با ریسک
باشد تا تضمین شود که اقدامات اثر بخش باقی می مانند.
برخورد با ریسک همچنین می تواند ریسک های ثانوی را معرفی کند که نیاز است ارزیابی شو ند، با آن ها برخورد
شود و مورد پایش و بازنگری قرار گیرند .این ریسک های ثانوی بایستی در طرح برخوردی یکسان با ریسک اصلی
جای گیرند و به عنوان ریسکی جدید با آن ها برخورد نشود. پیوند بین دو ریسک بایستی شناسایی و برقرار شود.
۳ -آماده سازی و پیاده سازی طرح های برخورد با ریسک -۵-۵
مقصود از طرح های برخورد با ریسک، مستند سازی نحوه اجرای گزینه های برخورد انتخاب شده است. اطلاعات ارائه
شده در طرح های برخورد بایستی شامل موارد زیر باشد:
دلایل انتخاب گزینه های برخورد، از جمله سودهایی که انترار می رود به دست آید؛ 
افرادی که پاسخگوی تأیید طرح و افرادی که مسئول پیاده سازی طرح هستند؛ 
اقدامات پیشنهادی؛ 
الزامات منابع از جمله احتمال وقوع؛ 
اقدامات و محدودیت های عملکرد؛ 
الزامات گزارش دهی و پایش؛ 
زمانبندی و برنامه زمانی. 
طرح های برخورد بایستی در فرآیندهای مدیریت سازمان گنجانده شوند و با علاقمندان مناسب در مورد آن ها
بحث شود.
تصمیم گیرندگان و دیگر علاقمندان بایستی از ماهیت و میزان ریسک باقی مانده پس از برخورد با ریسک آگاه باشند.
ریسک باقی مانده بایستی مستند شود و مورد پایش، بازنگری و بر حسب اقتضا مورد برخورد بیشتر قرار گیرد.
۲ -پایش و بازنگری -۵
پایش و همچنین بازنگری بایستی قسمتی طراحی شده از فرآیند مدیریت ریسک باشند و شامل وارسی یا نرارت
منرم قرار گیرند. این امر می تواند دوره ای یا به صورت کاربرد موردی باشد.
مسئولیت های پایش و بازنگری بایستی به روشنی تعریف شوند.
فرآیندهای پایش و بازنگری بایستی برای مقاصد زیر در بردارنده تمام جنبه های فرآیندهای مدیریت ریسک باشند:
حصول اطمینان از این که کنترل ها هم در طراحی و هم در بهره برداری اثر بخش و کارآمد هستند؛ 
کسب اطلاعات بیشتر برای بهبود ارزیابی ریسک؛ 
تحلیل و درس گرفتن از رویدادها )از جمله عدم دستیابی به هدف(، تغییرات، روندها، موفقیت ها و شکست 
ها؛
کشف تغییرات در فضای خارجی و داخلی، از جمله تغییراتی در معیارهای ریسک و خود ریسک که می تواند 
مستلزم بازنگری برخورد با ریسک و اولویت ها باشد،
شناسایی ریسک هایی که ظاهر می شوند. 
پیشروی در پیاده سازی طرح های برخورد با ریسک، مقیاسی عملکردی را فراهم می سازد. نتایج را می توان در
مدیریت عملکرد کلی سازمان، اندازه یری و فعالیت های گزارش دهی خارجی و داخلی جای داد.
نتایج پایش و بازنگری بایستی ثبت شوند و به طور مناسب به صورت خارجی و داخلی گزارش شوند و همچنین بایستی
۵- مراجعه کنید. – به عنوان ورودی های بازنگری چارچوب مدیریت ریسک به کار روند )به ۴
۷ -ثبت فرآیند مدیریت ریسک -۵
فعالیت های مدیریت ریسک بایستی قابل ردیابی باشند. در فرآیند مدیریت ریسک، سوابق اساسی را برای بهبود در
روش ها و ابزارها و همچنین در فرایند کلی فراهم می سازند.
تصمیمات در مورد ایجاد سوابق بایستی موراد زیر را به حساب آورند:
نیازهای سازمان برای یادگیری مداوم؛ 
مزایای استفاده مجدد از اطلاعات برای مقاصد مدیریتی؛ 
هزینه ها و تلاش های به کار رفته در ایجاد و حفظ سوابق؛ 
نیازهای قانونی، نرارتی و بهره برداری برای سوابق؛ 
روش های دسترسی، راحتی قابلیت بازیابی و رسانه های ذخیره؛ 
دوره نگهداری؛ 
حساسیت اطلاعات. 
پیوست الف
)اطلاعاتی(
وصفی های مدیریت ریسک ارتقا یافته
الف- ۱- کلیات
تمامی سازمان ها بایستی برای سطح مناسب عملکرد چارچوب مدیریت ریسکشان، در کنار اهمیت تصمیماتی که قرار
است اخذ شود، تلاش کنند. فهرست وصفی های زیر نمایش دهنده سطح بالایی از عملکرد در اداره ی ریسک است.
برای کمک به سازمان در اندازه گیری عملکرد خود مطابق این معیارها، برخی از شاخص های محسوس برای هر
وصفی ارائه شده اند.
الف- ۲- پیامدهای کلیدی
۱- سازمان دارای درک جاری، صحیح و جامعی از ریسک هایش است. – الف- ۲
۲- ریسک های سازمان در معیارهای ریسکش هستند. – الف- ۲
الف- ۳- وصفی ها
۱- بهبود مداوم – الف- ۳
تاکید بر بهبود مداوم در مدیریت ریسک از طریق تعیین اهداف عملکرد سازمان، اندازه گیری، بازنگری و تعدیل
بعدی فرآیندها، سیستم ها، منابع، توانمندی و مهارت ها صورت می گیرد.
این امر را می توان با وجود اهداف عملکرد صریح نشان داد که عملکرد سازمان و عملکرد مدیر در مقایسه با آن
اندازه گیری می شود. عملکرد سازمان را می توان منتشر ساخته و انتقال داد. معمولا حًداقل یک بازنگری سالانه
عملکرد و سپس تجدید نرر فرآیندها و تنریم اهداف عملکرد اصلاح شده برای دوره بعدی وجود خواهد داشت.
ارزیابی عملکرد و مدیریت ریسک قسمتی اصلی از ارزیابی عملکرد کلی سازمان و سیستم اندازه گیری برای بخش ها
و افراد است.
۲- پاسخگویی کامل برای ریسک ها – الف- ۳
مدیریت ریسک ارتقا یافته شامل پاسخگویی جامع، کاملاً تعریف شده و کاملاً پذیرفته شده برای ریسک ها، کنترل و
تکالیف برخورد با ریسک است. افراد تعیین شده کاملا پاسخگویی را برعهده می گیرند، دارای مهارت های مناسب
هستند و از منابع کافی برای وارسی کنترل ها، پایش ریسک ها، بهبود کنترل ها و تب ادل اطلاعات مناسب در مورد
ریسک ها و مدیریت آن ها با علاقمندان خارجی و داخلی برخوردارند.
این امر را می توان به این صورت نشان داد که تمام اعضای یک سازمان از ریسک ها، کنترل هل و تکالیفی که پاسخگوی
آنها هستند، آگاهی داشته باشند .معمولاً این امر در توصیفات شغل/ منصب، پایگاههای داده ها یا سیستم های اطلاعاتی
ثبت می شوند. تعریف نقش های مدیریت ریسک، پاسخگویی ها و مسئولیت ها بایستی قسمتی از تمام برنامه های القا
سازمان باشد.
سازمان اطمینان می دهد که افرادی که پاسخگو هستند دارای تجهیزات لازم برای ایفای نقش خود هستند. این کار با
هراهم ساختن اختیار، زمان، آموزش، منابع و مهارت های کافی برای انان، برای به عهده گرفتن پاسخگویی شان انجام
می گیرد.
۳- کاربرد مدیریت ریسک در کل تصمیم گیری ها – الف- ۳
کل تصمیم گیری ها در سازمان، با هر سطح اهمیت و معناداری، به میزان مناسبی شامل در نرر گرفتن آشکار ریسک
ها و به کارگیری مدیریت ریسک می باشد.
این امر را می توان با سوابق جلسات و تصمیماتی برای نشان دادن این که بحث های آشکار در مورد ریسک صورت
گرفته اند، نشان داد. به علاوه بایستی نمایش تمام اجزاء مدیریت ریسک در فرآیندهای کلیدی برای تصمیم گیری در
سازمان امکان پذیر باشد، مثلاً برای تصمیماتی در مورد تخصیص سرمایه، در مورد پروژه های اصلی و در مورد
ساختار بندی مجدد و تغییرات سازمانی. به این دلایل مدیریت ریسک با پایه صحیح در سازمان اساس حکمرانی اثر
بخش را فراهم می سازد.
۴- تبادل اطلاعات مداوم – الف- ۳
مدیریت ریسک ارتقا یافته شامل تبادل اطلاعات مداوم با علاقمندان داخلی و خارجی است. از جمله گزارش دهی جامع
و تکراری عملکرد مدیریت ریسک به عنوان قسمتی از حکمرانی خوب.
این امر را می توان با تبادل اطلاعات با علاقمندان به عنوان قسمتی جدانشدنی و اساسی از مدیریت ریسک ن شان داد.
تبادل اطلاعات به درستی فرآیندی دو طرفه محسوب می شود، چنان که تصمیمات آگاهانه مناسب را می توان در
مورد سطح ریسک ها و همچنین نیاز به برخورد با ریسک مطابق با معیارهای ریسک جامع و برقرار شده به طور
مناسب اتخاذ کرد.
گزارش دهی جامع و تکراری خارجی و داخلی در مورد ریسک های قابل توجه و عملکرد مدیریت ریسک به طور
اساسی به حکمرانی اثر بخش درون سازمان کمک می کند.
۵- انسجام کامل در ساختار حکمرانی سازمان – الف- ۳
مدیریت ریسک در بین فرآیندهای مدیریت سازمان، فرآیندی مرکزی محسوب می شود، چنان که ریسک ها را با
توجه به تأ ثیر عدم قطعیت روی اهداف در نرر می گیرند. ساختار و فرآیند حکمرانی بر اساس مدیریت ریسک
هستند. مدیران، مدیریت ریسک اثر بخش را برای دستیابی به اهدف سازمانی اروری می دانند.
در ارتباط با ریسک ها، » عدم قطعیت « این امر با زبان مدیران، و مواد مکتوب مهم در سازمان با استفاده از اصطلاح
نشان داده می شود. این وصفی همچنین معمولاً در بیانیه های خط مشی سازمان، به ویژه موارد مربوط به مدیریت
منعکس می شود. معمولاً این وصفی از طریق مصاحبه با مدیران و شواهد اقدامات و گفته هایشان تصدیق می شود.

Authors

Entrepreneur
Entrepreneur
مشاور مدیریت، کسب و کار، تولید و کیفیت