مدیریت ریسک چیست؟

امروزه دنيا در حال تحولات و تغييرات سريع و عمده‎اي است، تغييرات در محيط‎ هاي كسب و كار، به ‎وجود آمدن پديده جهاني شدن، تغييرات عمده در عوامل تكنولوژيك فني باعث تغيير در رشد، عوامل مرتبط با ساير پديده‎ ها شده است. دنياي اطلاعات با تغييرات سريع باعث به‎ وجود آمدن خواسته‎ ها و نيازهاي متفاوت بيشتر از پديده‎هاي اجتماعي و از جمله سازمان‎ها گرديده. تقاضا برای نیازمندی‎ های جدید بازنگري شيوه‎هاي مختلف رفتاري در سازمان‎ها را امري اجتناب‎ ناپذير نموده است.
سازمان‎ها به‎ عنوان سيستم ‎هاي زنده و پویا لازم است كه روش‎ها و شيوه‎ هاي مختلف رفتاري تبعيت كنند تا بتوانند خود را با تقاضا و نياز‎های جدید هم‎سو و هماهنگ نمايند.
در محیط های متلاطم که سازمانها با تهدیداتی برای بقاء و عملکرد موفق مواجه اند، رویکرد های مبتنی بر مدیریت ریسک می تواند در بسیاری موارد اثربخش باشد.
امروزه مديريت ريسك و تكنيك‎ هاي آن يكي از ابزارهاي مهم تصميم‎ گيري در بسياري از سازمان‎ ها است. از مديريت ريسك مي‎توان در بسياري از حوادث رويدادها و يا روندهاي كاري كه تأثير به‎ سزایي بر اهداف يك سازمان دارند استفاده كرد.
استفاده از تكنيك‎هاي مديريت ريسك و تجزيه و تحليل ريسك در سازمان مي‎تواند باعث بهينه‎ سازي بسياري از منابع مالي و انساني شده و هزينه‎ هاي مرتبط با كار را به ‎شدت كاهش دهد.

6 مرحله مدیریت ریسک چیست؟

یکی از الزاماتی که در استاندراد ایزو 9001 و استانداردهایی دیگری که بعد از 9001 در سال 2015 بروز شدند، مدیریت ریسک فرآیندها است. سازمان جهانی استاندارد ایزو از سال 2015 به بعد در استانداردهایی که ارائه کرد، اقدام پیشگیرانه را حذف کرد و موضوع همه جانبه تری با عنوان مدیریت ریسک را به استانداردها اضافه کرد تا علاوه بر اقدام پیشگیرانه مسائل دیگری هم در سازمان ها دیده شود.

تا مدیریت ریسک چیست؟ قبل از این موضوع سازمان ها اقدام های اندکی را به عنوان اقدام پیشگیرانه تعریف می کردند، اما اکنون در ورژن جدید این استانداردها باید ریسک تمام فرآیندها را شناسایی کنند و این عملاً یک اقدام پیشگیرانه برای تمام اتفاق هایی است که ممکن است برای هر فرآیند رخ بدهد و این می تواند برای یک سازمان عالی باشد، چرا که خود را برای هر اتفاقی از قبل آماده کرده است.

در این مطلب تصمیم داریم درخصوص گام ها اجرایی مدیریت ریسک صحبت کنیم:

گام اول: تعریف هدف

اولین گام مدیریت ریسک را تعیین هدف می دانند، یعنی اینکه سازمانی که قصد اجرای مدیریت ریسک را دارد، باید تصمیم بگیرید و هدف گذاری کند که ریسک کدام بخش و کدام فرآیند سازمان را می خواهد شناسایی کند. برخی مدیریت ریسک چیست؟ شرکت ها ریسک را برای حفظ بقا اندازه گیری می کنند و برخی برای موضوع درآمد و یا مشتری مداری.

اما الزام استاندارد ایزو 9001:2015 این است که مدیریت ریسک برای تمام فرآیندهای سازمان بایستی شناسایی و اندازه گیری شود. پس با توجه به این موضوع باید فرآیندهای سازمان بصورت کامل و دقیق شناسایی و لیست شود.

گام دوم: شناسایی ریسک ها

پس از اینکه فرآیندها مشخص شد، باید ریسک های هر فرآیند هم شناسایی شود. در این مرحله می توان با برگزاری جلسات طوفان فکری و همفکری گروهی ریسک های هر فرآیند را شناسایی کرد. در شناسایی ریسک ها باید به دنبال این باشیم که اگر فلان اتفاق افتاد، آنگاه چه پیامدهایی برای ما بوجود می آید. (توصیه می شود از دو کلمه اگر . آنگاه استفاده شود تا ریسک ها بهتر شناخته شوند.) به عنوان مثال اگر در تولید مشکلی بوجود بیاید، پیامد آن تحویل با تاخیر محصول برای مشتری است و پیامد نهایی نارضایتی مشتری و احتمالاً پرداخت جریمه تاخیر است.

برای تمام فرآیند بایستی همه ریسک ها و پیامدهای آن ها را محاسبه کنیم.

این نکته را هم باید مد نظر قرار داد که فرآیند شناسایی ریسک یک اقدام یک روزه نیست، بلکه با توجه به ماهیت فرآیندها و چرخه عمر یک پروژه، ممکن است ریسک های جدید بوجود بیاید یا ریسک هایی که قبلاً شناسایی نشده بود، شناسایی شود. لذا لازم است فرایند شناسایی ریسک همواره فعال باشد.

گام سوم: ارزیابی ریسک ها

پس از شناسایی ریسک ها ما با تعداد زیادی از ریسک ها روبرو هستیم و مسلماً برنامه ریزی و کنترل همه این ریسک ها نمی تواند بصورت یکجا انجام شود، لذا باید این ریسک ها اولویت بندی شوند. سازمان ها باید با استفاده از روش های مختلف مانند روش FMEA ریسک ها را ارزیابی کرده و آن ها را اولویت دهی کنند.

به عنوان مثال می توان به هر ریسک یک عدد شدت ریسک و یک عدد احتمال وقوع ریسک اختصاص داد و با ضرب این دو عدد، میزان عددی هر ریسک را شناسایی کرد و با همین روش ریسک ها را اولویت بندی نمود. (این موضوع در دوره مجازی ایزو 9001 بصورت کامل و به همراه مثال توضیح داده شده است.)

گام چهارم: مدیریت و کنترل ریسک ها

بعد از اولویت بندی ریسک ها و شناسایی مهم ترین ریسک ها و آن هایی که نیاز به اقدام فوری دارند، باید برنامه کنترل و مدیریت ریسک را تهیه کرد. اینکه با هر ریسک چگونه باید رفتار کرد.

معمولاً روش های زیر را برای کنترل و مدیریت ریسک توصیه می کنند:

حذف ریسک:

در این روش از سازمان ها خواسته می شود که ریسک خود را حذف کنند. به عنوان مثال وقتی در فرآیند تولید خطری وجود دارد که می تواند به پرسنل من آسیب بزند، اگر بتوانم با بازمهندسی دستگاه، بگونه آن را بروز کنم که میزان بروز خطر صفر شود، توانسته ام ریسک را حذف کنم.

یا سازمانی که می خواهد وارد یک قرارداد پر ریسک شود و پس از بررسی متوجه می شود که کوچکترین اشتباه در این پروژه ریسک سنگینی دارد و در مقابل پروژه عواید مالی قابل توجهی هم ندارد، تصمیم می گیرد اصلاً وارد این پروژه و وارد این ریسک نشود. در این مواقع اصطلاحاً گفته می شود از ریسک اجتناب شده است.

کنترل ریسک یا کاهش احتمال وقوع:

اگر بتوانم اقدامی تعریف کنم که احتمال وقوع ریسک کم شود و یا پیامدهای بروز ریسک پایین بیاید توانسته ام ریسک ها کنترل کنم. به عنوان مثال در مذاکره با مشتری سعی می کنم جریمه تاخیر ارسال محصول را به عدد ناچیزی کاهش دهم یا برای دستگاهی که احتمال برق گرفتگی برای پرسنل سازمان با برق ولتاژ بالا را دارد، اقدامی تعریف می کنم که ولتاژ برق ناحیه خطر کم شود تا در صورت بروز خطر، پرسنل آسیبی نبینند.

به اشتراک گذاری ریسک:

وقتی سازمانی از بیمه آتش سوزی یا بیمه بار استفاده می کند، عملاً ریسک خودش را با شرکت بیمه ای به اشتراک گذاشته است و در صورت بروز اتفاق، شرکت بیمه می تواند پاسخ گو و کمک کننده شرکت باشد.

در دوره مجازی ایزو 9001:2015 این مباحث بصورت مدیریت ریسک چیست؟ کاملتر توضیح داده شده است.(توضیحات دوره را مشاهده نمایید.)

گام پنجم: اجرای فعالیت های تعریف شده

پس از شناسایی ریسک ها، ارزیابی آن ها و تدوین برنامه هایی برای کنترل و مدیریت ریسک، سازمان باید به سراغ اجرای فعالیت ها برود تا بتواند ریسک ها را مدیریت کند. شاید بتوان گفت قسمت مهم مدیریت ریسک اینجاست، چرا که تا زمانی که فعالیت ها انجام نشوند، عملاً هیچ کاری صورت نگرفته است.

گام ششم: ارزیابی

لازم است مدیران و کارشناسان شرکت پس از اجرا فعالیت ها، ارزیابی مجددی داشته باشند تا علاوه بر کنترل روش ها و کارآمدی آن ها، مطمئن شوند که عدد ریسک (در مثال این مطلب، حاصلضرب عدد شدت و عدد وقوع) پایین آمده باشد.

نتیجه گیری:

فرآیند مدیریت ریسک قرار است به سازمان ها کمک کند تا سازمان ها از قبل برای هر حادثه و اتفاقی آماده باشند و با اقدام های کنترلی از بروز هر اتفاقی جلوگیری نمایند. زمانی که اتفاق و رخدادی برای سازمان ها پیش می آید که سازمان آمادگی کافی ندارد، معمولاً تنش ها و استرس های فراوانی به مدیران و کارکنان سازمان وارد می شود. پس با مدیریت ریسک می توان در وهله اول از بروز رخدادها جلوگیری کنیم و در وهله دوم در صورتی که اتفاقی رخ داد، سازمان آمادگی کامل دارد.

مطلب فوق برگرفته از کتاب مدیر نوشته دکتر آقایی است.

مدیریت ریسک

مدیریت خطر یا مدیریت ریسک کاربرد سیستماتیک سیاست های مدیریتی، رویه ها و فرایندهای مربوط به فعالیت های تحلیل، ارزیابی و کنترل ریسک می باشد. مدیریت ریسک عبارت از فرایند مستندسازی مدیریت ریسک چیست؟ تصمیمات نهایی اتخاذ شده و شناسایی و به کارگیری معیارهایی است که می توان از آن ها جهت رساندن ریسک تا سطحی قابل قبول استفاده کرد.
تعریف مؤسسه مدیریت پروژه: مدیریت ریسک به عنوان یکی از دوازده سطح اصلی «کلیات دانش مدیریت پروژه» معرفی شده است. در تعریف این مؤسسه، در این تعریف، مدیریت ریسک پروژه عبارت است از «کلیه فرایندهای مرتبط با شناسایی، تحلیل و پاسخگویی به هرگونه عدم اطمینان که شامل حداکثری نتایج رخدادهای مطلوب و به حداقل رساندن نتایج وقایع نامطلوب می باشد».
مؤسسه مهندسی نرم افزار، به عنوان یکی از سازمان های پیشرو در ارائه روش های جدید در مدیریت پروژه های نرم افزاری، به مدیریت ریسک پروژه به عنوان فرایندی با ۵ فاز مجزا نگاه می کند (شناسایی، تحلیل، طراحی پاسخ، ردیابی و کنترل) که با یک سری عملیات انتقال ریسک مرتبط است.
بوهم: مدیریت ریسک فرایندی شامل دو فاز اصلی است؛ فاز تخمین ریسک (شامل شناسایی، تحلیل و اولویت بندی) و فاز کنترل ریسک (شامل مراحل برنامه ریزی مدیریت ریسک، برنامه ریزی نظارت ریسک و اقدامات اصلاحی) می باشد. بنا به اعتقاد فیرلی مدیریت ریسک دارای هفت فاز است: ۱) شناسایی فاکتورهای ریسک؛ ۲) تخمین احتمال رخداد ریسک و میزان تأثیر آن؛ ۳) ارائه راهکارهایی جهت تعدیل ریسک های شناسایی شده؛ ۴) نظارت بر فاکتورهای ریسک؛ ۵) ارائه یک طرح احتمالی؛ ۶) مدیریت بحران؛ ۷) احیا سازمان بعد از بحران.
چاپمن و وارد: یک فرایند مدیریت ریسک پروژه کلی را ارائه کرده اند که از نه فاز تشکیل شده است: ۱) شناسایی جنبه های کلیدی پروژه؛ ۲) تمرکز بر یک رویکرد استراتژیک در مدیریت ریسک؛ ۳) شناسایی زمان بروز ریسک ها؛ ۴) تخمین ریسک ها و بررسی روابط میان آنها؛ ۵) تخصیص مالکیت ریسک ها و ارائه پاسخ مناسب؛ ۶) تخمین میزان عدم اطمینان؛ ۷) تخمین اهمیت رابطه میان ریسک های مختلف؛ ۸) طراحی پاسخ ها و نظارت بر وضعیت ریسک و ۹) کنترل مراحل اجرا.
کرزنر: مدیریت خطر را به صورت فرایند مقابله با ریسک تعریف کرده و آن را شامل مراحل چهارگانه زیر می داند: ۱) برنامه ریزی ریسک، ۲) ارزیابی (شناسایی و تحلیل) ریسک، ۳) توسعه روش های مقابله با ریسک و ۴) نظارت بر وضعیت ریسکها.
بنا به تعریف ایزو ۳۱۰۰۰، فرایند مدیریت خطر دارای چندین مرحله است:
مدیریت ریسک یک از قسمت های محوری مدیریت استراتژیک هر سازمان به شمار می رود. این شیوه شامل فرایندهایی است که از طریق آن سازمان ها می توانند به صورت روش مند خطرهای مرتبط با فعالیت هایشان را شناسایی کنند. یک رویکرد مدیریت خطر موفق باید با سطح خطر در سازمان متناسب و با دیگر فعالیت های سازمان هم مدیریت ریسک چیست؟ راستا باشد. از دیگر ویژگی های مدیریت خطر موفق می توان به جامعیت گستره کار، گره خوردگی با فعالیت روزمره، و پویایی در پاسخگویی به شرایط نام برد.
بسیاری از پروژه ها که فرض می شود تحت کنترل هستند، با ریسک به عنوان رخدادی شناخته نشده روبرو گردیده و کوشش می کنند آن را کنترل کنند.با در نظر گرفتن این مفاهیم پایه ای، امکان مقابله با ریسک به وجود می آید؛ لذا ابتدا باید نسبت به شناسایی ریسک های محتمل پروژه اقدام کرد. این کار با دسته بندی ساختار کارها و با پرسش چند سؤال از خود یا اعضای گروه پروژه، امکان پذیر است. برای تخصیص مقادیر احتمالی به ریسک ها از مقادیر پیشنهادی زیر می توان استفاده کرد:قریب الوقوع بزرگ تر از ۸۵٪بالا = ۸۵٪محتمل = ۶۰٪متوسط = ۵۰٪ممکن = ۴۰٪پایین = ۱۵٪غیرمحتمل = ۱۵٪اکنون احتمال وقوع هر ریسک قابل محاسبه است. راه دیگر، نسبت دادن درصد وزنی به هریک از ریسک هاست. مشکل اصلی این روش آن است که همواره داده های تجربی به اندازه کافی در دسترس نیستند تا این کار به دقت انجام گیرد. در این روش معمولاً افراد باتجربه ای مبادرت به این کار می کنند که تجارب جامعی از انواع رویدادها در پروژه های مختلف کسب کرده اند؛ مجموع درصدهای تخصیصی به رویدادها بایستی صد باشد.مدیریت ریسک چیست؟

پیشنهاد کاربران

مدیریت ریسک ( Risk Management )
:[اصطلاح بیمه]مدیریت ریسک شامل فرایندی است که طی آن با انتخاب تکنیک های مناسب برای برخورد با ریسک های خالص که شامل بیمه نیز می شود درگیر است. � که شامل ارزیابی ریسک، کنترل ریسک، تامین مالی ریسک، اجرا و مراقبت از آن می باشد.

مدیریت ریسک چیست؟

مدیریت ریسک چیست؟ در این مقاله قصد داریم به بحث مدیریت ریسک به عنوان یک مقوله مهم در مدیریت بپردازیم. با ما همراه باشید.

مدیریت ریسک شامل شناسایی، تجزیه‌وتحلیل و پاسخ به عوامل خطر است که بخشی از چرخه زندگی یک کسب‌وکار است. مدیریت ریسک موثر به معنای تلاش برای کنترل نتایج خطراتی که در آینده پیش می‌آید، تا حد امکان با اقدام پیشگیرانه و نه فقط واکنشی است. بنابراین، مدیریت ریسک مؤثر، فرصتی را برای کاهش احتمال وقوع یک ریسک و تأثیرات بالقوه آن فراهم می‌کند.

فهرست مطالب و عناوین

ساختارهای مدیریت ریسک چیست؟

ساختارهای مدیریت ریسک به گونه‌ای طراحی شده‌اند که کاری بیش از نشان دادن ریسک‌های موجود انجام دهند. یک چارچوب مدیریت ریسک خوب هم‌چنین باید عدم قطعیت‌ها را محاسبه کرده و تأثیر آنها را بر یک تجارت پیش‌بینی کند. بنابراین، نتیجه انتخاب بین پذیرش ریسک یا رد آنهاست. پذیرش یا رد ریسک‌ها بستگی به سطوح تحملی دارد که یک کسب‌وکار قبلاً برای خود تعیین کرده است.

اگر یک شرکت مدیریت ریسک را به عنوان یک فرآیند منظم و مستمر با هدف شناسایی و حل ریسک تعریف کند، می‌توان از ساختارهای مدیریت ریسک برای حمایت از سایر سیستم‌های کاهش ریسک استفاده کرد. آن‌ها شامل برنامه‌ریزی، سازمان‌دهی، کنترل هزینه و بودجه‌لندی هستند. در چنین حالتی، شرکت معمولاً با سورپرایز زیادی روبرو نخواهد شد، زیرا تمرکز بر روی مدیریت ریسک فعال است.

پاسخ به ریسک

واکنش به ریسک معمولاً یکی از اشکال زیر را دارد:

۱. اجتناب: یک شرکت در تلاش است تا با خلاص شدن از شر یک خطر خاص، آن را از بین ببرد.

۲. کاهش: کاهش ارزش مالی پیش‌بینی‌شده مرتبط با یک ریسک از طریق کاهش احتمال وقوع ریسک.

۳. پذیرش: در برخی موارد ممکن است یک شرکت مجبور به پذیرش ریسک شود. این گزینه در صورتی امکان‌پذیر است که یک واحد تجاری برای کاهش تأثیر ریسک، در صورت وقوع، موارد احتمالی ایجاد کند.

هنگام ایجاد موارد احتمالی، یک کسب‌وکار باید در یک رویکرد حل مشکل مشارکت کند. نتیجه یک طرح با جزئیات است که می‌تواند هر زمان که نیاز باشد اجرا شود. چنین طرحی یک سازمان تجاری را قادر می‌سازد تا موانع موفقیت خود را مدیریت کند، زیرا می‌تواند با خطرات ناشی از آنها مقابله کند.

اهمیت مدیریت ریسک چیست؟

مدیریت ریسک فرآیند مهمی است زیرا ابزارهایی را برای شناسایی و مدیریت صحیح ریسک‌های احتمالی در اختیار کسب‌وکار قرار می‌دهد. هنگامی که یک خطر شناسایی شد، کاهش دادن آن آسان است. علاوه بر این، مدیریت ریسک مبنایی برای تصمیم‌گیری آگاهانه برای کسب‌وکار را فراهم می‌کند.

برای یک تجارت، ارزیابی و مدیریت ریسک بهترین راه برای آماده شدن برای احتمالاتی است که می‌تواند مانع پیشرفت و رشد آن تجارت شود. هنگامی که یک شرکت برنامه خود را برای مقابله با تهدیدات بالقوه ارزیابی می‌کند و سپس ساختارهایی را برای مقابله با آن‌ها ایجاد می‌کند، شانس خود را برای تبدیل شدن به یک نهاد موفق افزایش می‌دهد.

به‌علاوه، مدیریت ریسک پیش‌رونده تضمین می‌کند که ریسک‌های با اولویت بالا تا حد امکان تهاجمی برخورد می‌کنند. علاوه بر این، مدیریت اطلاعات لازم را در اختیار خواهد داشت که می‌تواند برای تصمیم‌گیری آگاهانه و اطمینان از سودآور بودن کسب‌وکار استفاده کند.

فرآیند تحلیل ریسک

تحلیل ریسک یک رویکرد حل مسئله کیفی است که از ابزارهای ارزیابی مختلف برای شناسایی و رتبه‌بندی ریسک‌ها با هدف ارزیابی و حل آنها استفاده می‌کند. در اینجا فرآیند تحلیل ریسک آمده است:

۱. خطرات موجود را شناسایی کنید

شناسایی خطرات عمدتاً شامل طوفان فکری است. یک شرکت کارکنان خود را گرد هم می‌آورد تا بتوانند همه منابع مختلف ریسک را بررسی کنند. مرحله بعدی این است که تمام ریسک‌های شناسایی شده را به ترتیب اولویت رتبه‌بندی کنید. از آن‌جایی که کاهش همه ریسک‌های موجود امکان‌پذیر نیست، اولویت‌بندی تضمین می‌کند که ریسک‌هایی که می‌توانند به طور قابل‌توجهی بر یک کسب‌وکار تأثیر بگذارند، فوری‌تر رسیدگی می‌شوند.

۲. خطرات را ارزیابی کنید

در بسیاری از موارد، حل یک مشکل شامل:

الف) شناسایی مشکل

ب) یافتن راه حل مدیریت ریسک چیست؟ مناسب

با این حال، قبل از تعیین بهترین راه برای مدیریت ریسک‌ها، یک کسب‌وکار باید با طرح این سوال که “چه چیزی باعث ایجاد چنین ریسکی شده و چگونه می‌تواند بر کسب‌وکار تاثیر بگذارد؟” علت ریسک‌ها را پیدا کند.

۳. یک پاسخ مناسب ایجاد کنید

هنگامی که یک واحد تجاری آماده ارزیابی راه‌حل‌های احتمالی برای کاهش خطرات شناسایی شده و جلوگیری از عود آنها است، باید سوالات زیر را از خود بپرسد:

۱) برای جلوگیری از تکرار خطر شناسایی شده چه اقداماتی می توان انجام داد؟ همچنین، اگر دوباره تکرار شود، بهترین کار چیست؟

۴. ایجاد مکانیسم‌های پیشگیری برای خطرات شناسایی شده

در اینجا، ایده‌هایی که در کاهش ریسک مفید هستند، در تعدادی از وظایف و سپس به طرح‌های احتمالی که می‌توانند در آینده به کار گرفته شوند، توسعه داده می‌شوند. در صورت بروز خطر، می توان برنامه‌ها را اجرا کرد.

جمع‌بندی و خلاصه

شرکت‌های تجاری ما با خطرات زیادی روبرو هستند که می‌تواند بر بقا و رشد آن‌ها تأثیر نامطلوب بگذارد. بنابراین، درک اصول اساسی مدیریت ریسک و چگونگی استفاده از آن‌ها برای کمک به کاهش اثرات ریسک بر واحدهای تجاری مهم است.

در این مقاله درباره این که مدیریت ریسک چیست، مطالبی آموختیم. با تشکر از همراهی شما.

مدیریت ریسک چیست و ارزیابی ریسک چیست

بررسی عوامل و تشخیص نقاط حادثه خیز و خطرآفرین در واحدهای اطلاعاتی سازمانها به منظور پیشگیری از بروز حوادث از اهمیت ویژه ای برخوردار است. ریسک در پروژه رویدادها یا وضعیتهای ممکن الوقوعی هستند که در صورت وقوع، بصورت پیامدهای منفی یا مثبت بر اهداف پروژه مؤثر می باشد. هر یک از این رویدادها یا وضعیتها، دارای علل مشخص و نتایج و پیامدهای قابل تشخیص هستند. پیامدهای این رویدادها مستقیماً در زمان، هزینه و کیفیت پروژه مؤثر می باشد. بنابراین شناسایی ریسک و تعیین میزان پیامدهای مثبت و منفی آن بر اهداف پروژه از اهمیت خاصی برخوردار است.

مقدمه

امروزه شرکتها مواجه با افزایش پیچیدگی و عدم قطعیتی هستند که مدیریت ریسکهای تخصصی و کسب و کار را مشکل تر می نماید. تلورانسهای شکست در مدیریت ریسک از سوی جامعه و سهامداران کاهش یافته اند. قوانین و مقررات نیز به نوبه خود الزامات سخت گیرانه تری را مطرح می نمایند. شکست در مدیریت این ریسکها می‌تواند مهلک باشد؛ حفظ یکپارچگی و کنترل روز به روز بحرانی تر می گردد. پس چرامی بایست به ریسک توجه کنیم .همه برنامه‌ها کاملاً مساوی نیستند دو برنامه باROI مشابه، هزینه‌های مشابه و مباحث مشابه ممکن است از نظر ویژگی ریسک با هم متفاوت باشند.ارزیابی ریسک این اجازه را به شما می دهد که تفاوت بین برنامه‌ها را مد نظر بگیرید.

فرآیند Risk Assessment یا ارزیابی ریسک اولین فاز از مجموعه فعالیتهای مدیریت ریسک است. این فرآیند حیاتی جایگاه ویژه ای در سیستم مدیریت امنیت اطلاعات (ISMS) دارد. در واقع تست نفوذ پذیری ((Penetration Testingg) که از فعالیتهای مهم نفوذ گران است، جزیی از فرآیند ارزیابی ریسک به شمار می‌آید.

ارزیابی ریسک برای پاسخ به سوالات زیر انجام می‌شود: -اگر یک ریسک خاص اتفاق بیافتد چقدر آسیب در پی خواهد داشت؟ - احتمال وقوع هر ریسک چقدر است؟ - کنترل هر ریسک چقدر هزینه دارد، آیا مقرون به صرفه است یا نه؟

مهمترین فایده ارزیابی ریسک، کمک به تصمیم گیری صحیح برای انتخاب راه حلهای امنیتی است. طبعا مدیران وقت و حوصله ورود به جزئیات فوق را ندارند، لذا خروجی ارائه شده به آنها توسط ما که معمولاً مسئول انجام ارزیابی هستیم اعداد و ارقام و نمودارهاییست که به تصمیم گیری آنها کمک می‌کند. ارزیابی ریسک می‌تواند لزوم هزینه کردن برای امنیت را به تصمیم گیران سازمان اثبات ‌کند. نتایج ارزیابی ریسک به جهت گیری صحیح در انتخاب راه حلها (که همانا دفع تهدیدهای اصلی است) کمک می‌کند، همچنین می‌تواند در تولید و اصلاح خط مشی‌های امنیت سازمان (Security Policy) استفاده شود

مدیریت ریسک چیست؟

امروزه دنيا در حال تحولات و تغييرات سريع و عمده‎اي است، تغييرات در محيط‎ هاي كسب و كار، به ‎وجود آمدن پديده جهاني شدن، تغييرات عمده در عوامل تكنولوژيك فني باعث تغيير در رشد، عوامل مرتبط با ساير پديده‎ ها شده است. دنياي اطلاعات با تغييرات سريع باعث به‎ وجود آمدن خواسته‎ ها و نيازهاي متفاوت بيشتر از پديده‎هاي اجتماعي و از جمله سازمان‎ها گرديده. تقاضا برای نیازمندی‎ های جدید بازنگري شيوه‎هاي مختلف رفتاري در سازمان‎ها را امري اجتناب‎ ناپذير نموده است.
سازمان‎ها به‎ عنوان سيستم ‎هاي زنده و پویا لازم است كه روش‎ها و شيوه‎ هاي مختلف رفتاري تبعيت كنند تا بتوانند خود را با تقاضا و نياز‎های جدید هم‎سو و هماهنگ نمايند.
در محیط های متلاطم که سازمانها با تهدیداتی برای بقاء و عملکرد موفق مواجه اند، رویکرد های مبتنی بر مدیریت ریسک می تواند در بسیاری موارد اثربخش باشد.
امروزه مديريت ريسك و تكنيك‎ هاي آن يكي از ابزارهاي مهم تصميم‎ گيري در بسياري از سازمان‎ ها است. از مديريت ريسك مي‎توان در بسياري از حوادث رويدادها و يا روندهاي كاري كه تأثير به‎ سزایي بر اهداف يك سازمان دارند استفاده كرد.
استفاده از تكنيك‎هاي مديريت ريسك و تجزيه و تحليل ريسك در سازمان مي‎تواند باعث بهينه‎ سازي بسياري از منابع مالي و انساني شده و هزينه‎ هاي مرتبط با كار را به ‎شدت كاهش دهد.

ريسك يا خطر چيست؟

ريسك يعني احتمال متحمل شدن زيان، اين تعريف شامل دو جنبه اصلي از ريسك است.
1) مقدار زيان مي‎بايستي ممكن باشد.
2) عدم مدیریت ریسک چیست؟ اطمينان در رابطه با آن زيان نيز مي‎ بايست وجود داشته باشد.
پس زيان و عدم اطمينان دو عنصر برجسته در تعريف ريسك مي‎باشند. ولي جنبه سومي نيز در اين تعريف نهفته است و آن جنبه انتخاب ريسك است. درريسك اغلب هم فرصت سودآوري نهفته است. و امكان بالقوه زيان و چنانچه در ريسك صرفاً جنبه زيان مطرح باشد. مثل حفاظت از گاوصندوق اشياء عتيقه كه احتمال دزديده شدن آن وجود دارد. قدرت مانور مديريت آن كاهش پيدا مي‎كند. و هر چه امكان زيان و سوددهي در ريسك با هم وجود داشته باشد. قدرت مديريت آن و شيوه ‎هاي مديريت آن نيز افزايش مي‎ يابد.

عناصر اصلي مرتبط ريسك:

معمولاً در مديريت ريسك به عناصر مختلفي دخالت دارند.
۱)محتوا

4) پيامدها
محتوا: یعنی زمینه، وضعیت، یا محیطی که ریسک در آن منظور شده و مشخص‎ کننده فعالیت‎ها و شرایط مرتبط با آن وضعیت است. به‌عبارت دیگر، محتوا نمایی از تمامی پیامدهای سنجیده شده فراهم می‌سازد. بدون تعیین یک محتوای مناسب، به‌طور قطع نمی‌توان تعیین نماید، کدامین فعالیت‎ها، شرایط و پیامدها می‌بایست در تجزیه و تحلیل ریسک و فعالیت ‎های مدیریتی در نظر گرفته شوند. بنابراین، محتوا، مبنایی برای تمامی فعالیت ‎های بعدی مدیریت ریسک فراهم می‎کند.
شرایط : این شرایط تعیین‎ کننده وضعیت جاری یا یک مجموعه از اوضاع و احوال است که مدیریت ریسک چیست؟ می‌تواند به ریسک منجر شود. شرایط، وقتی با یک فعالیت آغازگر خاص ترکیب می‎شود، می‎تواند یک مجموعه از پیامدها یا خروجی‎ ها را تولید کند.
پیامدها: به‌عنوان آخرین عنصر ریسک، نتایج یا اثرات بالقوه یک فعالیت در ترکیب با یک شرط یا شرایط خاص است.

مديريت ريسك چيست:

مديريت ريسك فرآيند سنجش، ارزيابي و سپس طرح استراتژي ‎هاي مقابله براي اداره ريسك است. استراتژی‌های مورد استفاده برای مدیریت ریسک عبارتند از:
1- انتقال ریسک به بخش‎های دیگر
2- اجتناب از ریسک
3- کاهش اثرات منفی ریسک
4- پذیرش قسمتی یا تمامی پیامدهای یک ریسک خاص
در مدیریت ریسک مطلوب، یک فرآیند اولویت ‎بندی منظور گردیده که بدان طریق ریسک‌هایی با بیشترین زیان دهی و بالاترین احتمال وقوع در ابتدا و ریسک‎ هایی با احتمال وقوع کمتر و زیاندهی پایین‎ تر در ادامه مورد رسیدگی قرار می‌گیرند. در عمل، این فرآیند ممکن است خیلی مشکل باشد و همچنین در اغلب اوقات ایجاد توازن میان ریسک ‌هایی که احتمال وقوع‎شان بالا و زیان دهی‎ شان پایین و ریسک‌هایی که احتمال وقوع‎شان پایین و زیان دهی‎ شان بالاست، ممکن است به‌طور مناسبی مورد رسیدگی قرار نگیرند.

مراحل انجام مدیریت ریسک

در مديريت ريسك معمولاً پنج مرحله اصلي انجام مي‎گيرد. كه اين مراحل عبارتند از:
1- جمع‎ آوري اطلاعات و شناسایي ريسك با استفاده از منابع مختلف و بانك‎ هاي اطلاعاتي
2- تجزيه و تحليل اطلاعات به‎ دست آمده و پالايش اطلاعات
3- برنامه‎ ريزي و طراحي شيوه ‎هاي برخورد با ريسك
4- پيگيري و مداومت مراحل سه ‎گانه
5- گزارش در مورد خطرات موجود
فناوری اطلاعات و سیستم های اطلاعاتی در تمام بخش های زندگی بشر ریشه دوانیده اند و اگر چه به تسهیل زندگی و ارتباطات بشر کمک می کنند ،اما مانند هر تکنولوژی نوظهور دیگر با خود ، خطراتی را نیز به همراه می آورند. به عنوان مثال ، سازمانی که برای افزایش اثربخشی و کارایی خود در ارتباطات، از شبکه های مخابراتی و اینترنت کمک می گیرد، بایستی ریسک ناشی از دسترسی افراد غیر مجاز یا رقبا به اطلاعات سازمان را پذیرفته و یا آن را مدیریت کند.
با توجه به نكات ذکر شده ، در تصمیم گیری برای پیاده سازی سیستم های اطلاعاتی و بهره گیری از مزایای فناوری اطلاعات ، مانند هر نوع تصمیم گیری دیگر در زندگی ، باید به بررسی خطرات احتمالی آن پرداخته و با مدیریت ریسکهای موجود ، اثربخشی سیستم را ارتقاء بخشید.

مدیریت ریسک بر پروژه های فناوری اطلاعات

‏ مدیریت ریسک پروسه ای است که به مدیران IT اجازه می‌دهد تا از سیستم‌ها و داده ‌های سازمان خود حفاظت کرده، هزینه‌های اقتصادی و عملی سنجش‌های حفاظتی را متعادل نموده و به دستاوردهای مورد نظر در مأموریت دست یابند.
مدیران IT هزینه‌های بسیاری را به حفاظت فناوری اطلاعات اختصاص می‌ دهند که با یک متدولوژی خوش ساخت که به‌طور مؤثر به خدمت گرفته شود می‌توان مدیریت در جهت شناخت کنترل‌های مناسب برای قابلیت‌های حفاظتی مهیا شده را به‌طور محسوسی بهینه نمود. «کمینه کردن تاثیرهای منفی سازمان و نیاز به یک پایه در تصمیم گیری»، دلایل اساسی است که سازمان‌ها را به ایجاد یک پروسه مدیریت ریسک برای سیستم‌های IT سوق داده است.