ایزو ۳۱۰۰۰ – استاندارد مدیریت ریسک ( ISO 31000:2018 )
ایزو ۳۱۰۰۰ (استاندارد مدیریت ریسک)
ایزو ۳۱۰۰۰ – استاندارد مدیریت ریسک، دستورالعمل ها، اصول، چارچوب و فرایند مدیریت ریسک را فراهم کرده و هر سازمان بدون توجه به اندازه، فعالیت یا بخش خود میتواند از آن استفاده کند. ریسک هایی که بر سازمان ها تاثیر می گذارد، می توانند عواقبی را از لحاظ عملکرد اقتصادی و اعتبار حرفه ای، و همچنین نتایج محیط زیستی، ایمنی و اجتماعی داشته باشند. بنابراین مدیریت ریسک، به طور مؤثری به سازمانها کمک می کند تا در محیطی سرشار از عدم اطمینان، عملکرد خوبی داشته باشند.
ایزو ۳۱۰۰۰:۲۰۱۸
ISO ۳۱۰۰۰ میتواند به سازمانها در افزایش احتمال دستیابی به اهداف، بهبود شناسایی فرصتها و تهدیدها و استفاده موثر از منابع برای مدیریت ریسک کمک کند.
سازمان هایی که از آن استفاده می کنند می توانند اقدامات مدیریت ریسک خود را با یک معیار بین المللی بسنجند و اصولی برای مدیریت موثر و حاکمیت شرکتی فراهم کنند. گواهینامه های صادره برای این استاندارد به دلیل ماهیت راهنما بودن آن به صورت non accredited بوده و صرفا با اعتبارات CB صادر می گردد.
استانداردهای مرتبط با ایزو ۳۱۰۰۰
تعدادی از استانداردهای دیگر وجود دارند که مربوط به مدیریت ریسک هستند:
راهنمای ISO 73: 2009 ، مدیریت ریسک – واژگان با ارائه مجموعهای از اصطلاحات و تعاریف مربوط به مدیریت ریسک ، ایزو ۳۱۰۰۰ را تکمیل میکنند.
IEC 31010: 2009 ، مدیریت ریسک – تکنیک های ارزیابی ریسک بر ارزیابی خطر تمرکز دارد. ارزیابی ریسک به تصمیم گیران کمک می کند تا خطراتی را که ممکن است بر دستیابی به اهداف و همچنین کفایت کنترل ها که در حال حاضر وجود دارد را درک کند. IEC 31010: 2009 بر روی مفاهیم ارزیابی ریسک، فرآیندها و انتخاب تکنیکهای ارزیابی خطرات تمرکز دارد.
ورژن جدید ایزو ۳۱۰۰۰، مدیریت ریسک را ساده تر می کند
آسیب به شهرت یا نام تجاری، جرم و جنایت سایبری، خطر سیاسی و تروریسم، از جمله خطراتی است که سازمان های خصوصی و عمومی از هر نوع و اندازه در سراسر جهان با افزایش فرکانس مواجه هستند. سازمان ISO آخرین نسخه از ایزو ۳۱۰۰۰ را به تازگی منتشر کرده است که به مدیریت عدم قطعیت کمک می کند.
ریسک، وارد هر تصمیمی در زندگی میشود اما به وضوح برخی تصمیمات نیاز به رویکرد ساختاری دارند. به عنوان مثال، یک مقام ارشد اجرایی یا دولتی ممکن است نیاز به تصمیم گیری های خطرناک در شرایط بسیار پیچیده داشته باشد. برخورد با ریسک بخشی از حاکمیت و رهبری است و مهم است که چگونه یک سازمان در تمامی سطوح مدیریت میشود.
امروزه شیوه های مدیریت ریسک دیگر برای مقابله با تهدیدات امروز مناسب نیستند و نیاز به تکامل دارند. این ملاحظات در قلب بازنگری ISO 31000، – دستورالعمل های مدیریت ریسک قرار دارند که آخرین نسخه آن به تازگی منتشر شده است. ISO 31000:2018 راهنمایی واضح تر، کوتاه تر و مختصرتری ارائه می دهد که به سازمان ها در زمینه اصول مدیریت ریسک برای بهبود برنامه ریزی و تصمیم گیری بهتر کمک می کند. در زیر به تغییرات اصلی از زمان ویرایش قبلی می پردازیم:
بررسی اصول مدیریت ریسک، که معیار کلیدی موفقیت آن است
- تمرکز بر رهبری توسط مدیران ارشد که باید مطمئن شد که مدیریت ریسک در تمام فعالیت های سازمانی، با حاکمیت سازمان آغاز می شود
- تاکید بیشتر بر ماهیت تکراری مدیریت ریسک، استفاده از تجربیات جدید، دانش و تجزیه و تحلیل برای بازنگری عناصر فرایند، اقدامات و کنترل در هر مرحله از فرآیند
- بهینه سازی محتوا با توجه بیشتر به حفظ یک سیستم باز که به طور منظم بازخورد با محیط خارجی خود را متناسب با نیازها و زمینه های مختلف انجام میدهد
جیسون براون، رئیس کمیته فنی ISO / TC 262 در مورد ویرایش جدید مدیریت ریسک می گوید: ” نسخه بازبینیشده ایزو ۳۱۰۰۰ بر یکپارچگی سازمان و نقش رهبران و مسئولیت آنها تمرکز دارد. متخصصان ریسک، اغلب در حاشیه مدیریت سازمان قرار دارند و این تاکید به آنها کمک خواهد کرد تا نشان دهند که مدیریت ریسک بخش مهمی از کسب و کار است.
هر بخش استاندارد به طور واضح با استفاده از زبان سادهتر برای تسهیل درک و دسترسی به تمام بخش ها مورد بررسی قرار گرفته میشود. نسخه ۲۰۱۸ استاندارد ایزو ۳۱۰۰۰ تمرکز بیشتری بر ایجاد و حفاظت از ارزش به عنوان هدایت کننده اصلی مدیریت ریسک و ویژگیهای دیگر مرتبط با آن مانند بهبود مستمر، گنجاندن سهام داران، در نظر گرفتن عوامل انسانی و فرهنگی دارد.
در حال حاضر ریسک به عنوان «تأثیر عدم قطعیت در اهداف» تعریف شده است که بر شرایط در تصمیم گیری سازمان تمرکز دارد. این استاندارد بر تغییر درک سنتی از ریسک نیز تاثیر دارد و سازمانها را مجبور میکند تا مدیریت ریسک را به نیازها و اهداف خود تطبیق دهند.
چارچوب مدیریت ریسک
ISO 31000 چارچوب مدیریت ریسک را فراهم کرده که از تمام فعالیت ها پشتیبانی می کند، از جمله تصمیم گیری در تمامی سطوح سازمان. چارچوب ایزو ۳۱۰۰۰ و فرایندهای آن باید با سیستمهای مدیریت ادغام شود تا ثبات و اثربخشی کنترل مدیریت در تمام مناطق سازمان تضمین شود. این شامل استراتژی و برنامهریزی، انعطافپذیری سازمانی، منابع انسانی ، سازگاری، کیفیت، سلامت و ایمنی، تداوم کسبوکار، مدیریت بحران و امنیت میباشد.
استاندارد حاصله فقط یک نسخه جدید از ISO 31000 نیست بلکه در این ورژن جدید معنای جدیدی به نحوه مدیریت ریسک داده می شود. در رابطه با صدور گواهینامه، ISO 31000: 2018 رهنمودهای لازم را ارائه می دهد ، این امر به مدیران امکان انعطاف پذیری برای اجرای استاندارد را به شیوه ای که مناسب با نیازها و اهداف سازمان آنهاست، می دهد.
این استاندارد نیز جزو دسته استانداردهای راهنما بوده و صدور گواهینامه برای آن به صورت non accredite یعنی بدون تایید نهاد بالادستی (AB) و صرفا با اعتبارات داخلی CB صورت می پذیرد. لذا این استاندارد بیشتر به منظور اجرا و بهره مندی از مزایای آن در نظر گرفته شده تا صدور گواهینامه برای آن.
مفهوم و اهمیت مدیریت ریسک
مدیریت ریسک به معنای شناسایی، ارزیابی، کنترل، و نظارت بر ریسکهای موجود در یک سازمان است. ریسکها میتوانند از جنبههای مختلفی مانند مالی، عملیاتی، محیطی، حقوقی و غیره به سازمان آسیب برسانند و مدیریت صحیح آنها میتواند از بروز خسارتها جلوگیری کند. در واقع، مدیریت ریسک به عنوان یک فرآیند استراتژیک به ارتقای عملکرد و تضمین پایداری سازمان کمک میکند.
استاندارد ایزو ۳۱۰۰۰
در دنیای پیچیده و متغیر امروزی، مدیریت ریسک یکی از مهمترین عوامل موفقیت سازمانها و شرکتها محسوب میشود. با توجه به اهمیت این مسئله، استفاده از استانداردهای ایزو مرتبط با مدیریت ریسک برای افزایش کارایی و کاهش خطرات ممکن است برای سازمانها بسیار مفید باشد.
ایزو ۳۱۰۰۰ یکی از مهمترین استانداردهای مرتبط با مدیریت ریسک است. این استاندارد به سازمانها کمک میکند تا فرایند مدیریت ریسک را بر اساس رویکردی سیستماتیک و همچنین شناسایی و ارزیابی ریسکها انجام دهند. استفاده از این استاندارد میتواند بهبود عملکرد و تصمیمگیریهای سازمان را تسهیل و از عواقب ناگوار ریسکها جلوگیری کند.
مزایای استفاده از استاندارد ایزو
مواجهه با ریسک و عدم قطعیتها در محیط کار خود بسیار اهمیت دارد. برای مواجهه با این چالشها و کاهش تأثیرات منفی آنها، از استانداردهای مدیریت ریسک استفاده میشود. استفاده از استانداردهای ایزو مرتبط با مدیریت ریسک دارای مزایای بسیاری است. این استانداردها به سازمانها کمک میکنند تا:
- رویکردی سازمانی برای مدیریت ریسک ایجاد کنند و برای همه بخشهای سازمان یک فرهنگ مدیریت ریسک ایجاد نمایند.
- ریسکهایی که ممکن است سازمان را تهدید کنند، شناسایی و ارزیابی کنند.
- اقدامات اصلاحی و پیشگیرانه را برای کاهش اثرات ریسکها بهینهسازی کنند.
- تصمیمگیریهای بهتر و برنامهریزی استراتژیک دقیقتر را ممکن سازند.
- اطمینان حاصل کنند که سازمان از نظر تضمین کیفیت و امنیت در مقابل ریسکها آماده است.
مراحل پیادهسازی مدیریت ریسک با کمک ایزو ۳۱۰۰۰
یکی از اهمیتهای بزرگ مدیریت ریسک، تأمین تداوم کسبوکار است. این رویکرد به سازمانها کمک میکند تا از بروز رخدادهای ناگوار محافظت کنند و تداوم فعالیتهای خود را بهخوبی تضمین کنند. برای پیادهسازی موفق مدیریت ریسک با استفاده از استاندارد ایزو ۳۱۰۰۰، میتوانید مراحل زیر را دنبال کنید:
شناخت محیط: شناخت دقیق محیط کاری و شناسایی عوامل داخلی و خارجی مؤثر بر سازمان از جمله اقدامات ابتدایی در مراحل پیادهسازی مدیریت ریسک است.
شناسایی ریسکها: در این مرحله، ریسکهای موجود در سازمان به دقت شناسایی و دستهبندی میشوند تا در مراحل بعدی بتوان به بهترین شکل با آنها برخورد کرد.
ارزیابی و اولویتبندی ریسکها: ریسکهای شناسایی شده بر اساس احتمال و تأثیر آنها بر سازمان ارزیابی و اولویتبندی میشوند تا بتوان مدیریت ریسک را بهینه کرد.
برنامهریزی و اقدامات پیشگیرانه: بر اساس ارزیابیها، برنامهریزی مناسبی انجام میشود و اقدامات پیشگیرانه برای کاهش ریسکها به عمل میآید.
نظارت و بازبینی: فرآیند مدیریت ریسک به صورت مداوم نظارت و بازبینی میشود تا اطمینان حاصل شود که اقدامات انجام شده مؤثر بودهاند.
استاندارد ایزو ۲۷۰۰۱: مدیریت امنیت اطلاعات
یکی دیگر از استانداردهای مهم ایزو که به مدیریت ریسک مرتبط است، استاندارد ایزو ۲۷۰۰۱ است. این استاندارد بر امنیت اطلاعات تمرکز دارد و به سازمانها کمک میکند تا اطلاعات محرمانه و حساس خود را محافظت کنند و در برابر تهدیدات امنیتی مختلف مقاومت نمایند.
چالشها و راهکارهای مدیریت ریسک
در دنیای پویا و پیچیده کسبوکار، مواجهه با ریسکها و مسائل ناشی از عدم قطعیت برای سازمانها امری بسیار رایج است. این ریسکها میتوانند منجر به افت کیفیت خدمات، ضرر مالی و از دست دادن فرصتهای کاری شوند. به منظور کاهش تأثیرات منفی ریسکها و بهبود عملکرد سازمانها، نیاز به یک استراتژی مدیریت ریسک مؤثر احساس میشود.
اما سیستم مدیریت ریسک هم با چالشها و مشکلات خاص خود همراه است. در این بخش، به برخی از این چالشها و راهکارهای مواجهه با آنها میپردازیم:
تغییر پویای ریسکها: ریسکها در طول زمان ممکن است تغییر کنند و این امر نیازمند نظارت مستمر و بهروزرسانی استراتژیهای مدیریت ریسک است.
کمبود منابع: برخی سازمانها به دلیل محدودیت منابع، ممکن است نتوانند به بهترین شکل به مدیریت ریسکها پرداخته و به بهترین روشها عمل کنند.
مقاومت در اجرای استراتژیها: تغییرات و اصلاحات مدیریت ریسک ممکن است در برخی از بخشهای سازمان مقاومت ایجاد کند. ارتقاء فرهنگ سازمانی و آموزش کارکنان اهمیت دارد.
سوالات متداول
ایزو ۳۱۰۰۰ به عنوان یک راهنمای موثر برای مدیریت ریسک در سازمانها شناخته میشود و اجرای آن میتواند بهبودی چشمگیر در عملکرد سازمانها ایجاد کند. در ادامه به برخی از سوالات متداول در این رابطه پاسخ میدهیم:
رابطه بین مدیریت ریسک و استانداردهای ایزو چیست؟
استانداردهای ایزو مرتبط با مدیریت ریسک مانند ایزو ۳۱۰۰۰ و ایزو ۲۷۰۰۱ با یکدیگر ارتباط چندانی ندارند؛ اما هدف اصلی هر دو، بهبود مدیریت ریسکها و ایجاد یک رویکرد سیستماتیک به مسئله است.
نحوه استفاده از مدیریت ریسک در سازمانها و شرکتها چگونه است؟
استفاده از مدیریت ریسک نهتنها محدود به بزرگترین سازمانها و شرکتها نیست، بلکه سازمانهای کوچکتر نیز میتوانند از این رویکرد بهرهبرداری کنند. مدیریت ریسک در همه ابعاد و اندازههای سازمانها بهبود کارایی و کاهش خطرات به همراه دارد.
موارد کاربردی مدیریت ریسک در صنایع مختلف چیست؟
مدیریت ریسک در هر صنعتی که فعالیت داشته باشد، کاربردهای خاص خود را دارد. این رویکرد در صنایع نفت و گاز، فناوری اطلاعات، بهداشت و درمان، بانکداری و مالی، حمل و نقل و غیره کاربرد دارد.
جمعبندی
در این مقاله، به بررسی مدیریت ریسک و استاندارد ایزو مرتبط با آن پرداختیم. مدیریت ریسک به عنوان یک فرآیند استراتژیک برای شناسایی و کاهش ریسکهای موجود در سازمانها مهم است. استفاده از استانداردهای ایزو مرتبط با مدیریت ریسک میتواند بهبود عملکرد و کارایی سازمانها را تسهیل کند و از خطرات ناگوار جلوگیری نماید.
در نهایت، برای دستیابی به یک مدیریت ریسک اثربخش و استفاده بهینه از استانداردهای ایزو، سازمانها نیازمند توجه به جزئیات، برنامهریزی دقیق و تمرکز بر آموزش کارکنان هستند.
این مقاله به صورت اختصاصی توسط تیم فنی ایزوسیستم آماده شده است، هرگونه بهره برداری بدون ذکر نام و آدرس منبع شرعا و قانونا ممنوع می باشد.