مفهوم مدیریت ریسک


لیلا یزدی مومن در یادداشت ارسالی خود به پایگاه خبری گزارش خبر با موضوع آشنایی با مفاهیم مدیریت ریسک سازمانی در بخش اول آورده است؛ در سال های اخیر، بحران های مالی و شرایط متغیر اقتصادی سبب شده است، تدوین کنندگان مقررات و همچنین شرکتها برای حفظ و بقا خود نیازمند اتخاذ سیاست ها و رویه های مؤثری باشند که عدم اطمینان پیشروی سازمان را کاهش دهند و به فکر مدیریت این شرایط ناپایدار باشند. در این شرایط، توجه پژوهشگران به مفهوم مدیریت ریسک جلب شده است.

مدیریت سرمایه و ریسک چیست؟

مدیریت سرمایه بدین معنی که بخشی از پس‌انداز خود را سرمایه‌گذاری کنید، مفهوم خیلی کلی است. مثلا شاید به فکر خرید سکه، دلار، ماشین یا سهام بیفتید. در شرایط اقتصادی حاکم بر جامعه کدام سرمایه‌گذاری سودآور است؟ آیا تمامی سرمایه‌گذاری‌ها بازده یکسان دارند؟ آیا ریسک سرمایه‌گذار‌ی‌ها با هم برابر است؟ برای پاسخ دادن به این سوالات بهتر است ابتدا با مفهوم مدیریت سرمایه آشنا شویم.

مدیریت سرمایه به صورت مدیریت حرفه‌ای انواع دارایی‌ها به منظور تحقق اهداف سرمایه‌گذار تعریف می‌شود، چه دارایی‌های ملموس مانند مسکن و چه دارایی‌های ناملموس مثل سرقفلی و ارزش برند.

استراتژی مناسب برای سرمایه‌گذاریِ هر فرد با دیگری متفاوت است. عواملی مثل میزان تحصیلات و سواد مالی، سن، میزان درآمد، میزان سرمایه اولیه، ریسک‌پذیری و. باعث پیدایش استراتژی‌های متفاوت سرمایه‌گذاری می‌شود.

ریسک چیست؟

کلمه ریسک بیشتر افراد را به یاد خطر و ضرر می‌اندازد. اما ریسک موقعیتی است که از ترکیب خطر و فرصت به دست می‌آید. وقتی شما ریسک می‌کنید، خطری را به‌جان می‌خرید، به امید آن‌که فرصتی به دست بیاورید. شما با توجه به میزان توانایی‌های فردی خود در کنار شناخت کامل از تهدیدهای احتمالی، می‌توانید از این فرصت‌ها استفاده کنید تا به اهداف خود برسید.

مدیریت سرمایه

بیشتر روش‌های سرمایه‌گذاری با درصدی از ریسک همراه هستند. تنها سرمایه‌گذاری در دارایی‌هایی چون سپرده‌گذاری در بانک یا مواردی چون سرمایه‌گذاری در اوراق خزانه است که ریسک بسیار پایینی دارند.

این موارد (که می‌توان آن‌ها را سرمایه‌گذاری بدون ریسک نیز نامید) یک بازدهی مشخص، قطعی ولی محدود دارند. یعنی با سرمایه‌گذاری روی آن‌ها، امیدی هم به کسب یک بازدهی چشم‌گیر نباید داشت.

مدیریت سرمایه صحیح

اما آشنایی با مدیریت سرمایه به‌صورت صحیح، به شما امکان کسب بازدهی بالاتر خواهد داد. برای مثال خرید مستقیم سهام ریسک بیشتری دارد. اما در کنار ریسک بیشتر، سرمایه‌گذاران می‌توانند به بازدهی بیشتر هم دست‌پیدا کنند. از این منظر شاید بتوانیم بگوییم که ریسک «بهای بازدهیِ بیشتر» است.

پس دیدیم که احتمالِ کسب سود بیشتر، معادل است با پذیرش ریسک بالاتر. پس چرا افراد تنها به سپرده‌گذاری در بانک و کسب یک بازده قطعی اکتفا نمی‌کنند و به سمت نوعی دیگر از سرمایه‌گذاری‌ها متمایل می‌شوند؟ آیا این کار درستی است که در بازارهای دیگر، مثل بورس دست به سرمایه‌گذاری زد؟

یکی از دلایلی که باعث می‌شود بازار سرمایه محبوب‌تر از بانک‌ها باشد، این است که شما با سپرده‌گذاری در بانک حداکثر میزان بازدهی که می‌توانید کسب کنید محدود (مثلا بیست درصد به طور سالیانه) است. در حالی که بازاری مانند بورس و اوراق بهادار به شما امکان کسب بازدهی‌های بیشتر از 100 درصد را هم می‌دهد.

مدیریت سرمایه با توجه به نرخ تورم

علاوه بر موضوع ریسک و بازده با توجه به شرایط سیاسی و تحریم‌های بی‌شماری که بر کشور اعمال شده است و با توجه به وضعیت اقتصادی حاکم، شاهد رشد بی‌اندازه نرخ تورم (41%) در سال اخیر بوده‌ایم.

وقتی نرخ تورم در کشوری افزایش می‌یابد شاهد کاهش قدرت خرید پول خواهیم بود، که به اصطلاح می‌گویند پول ارزش خود را از دست داده است. بنابراین سپرده‌‌گذاریِ تمامِ پول خود در بانک کار منطقی مفهوم مدیریت ریسک به نظر نمی‌رسد، چون نرخ تورم، بیشتر از نرخ بهره سالانهِ بانک است و پول شما نمی‌تواند متناسب با نرخ تورم رشد کند. یعنی پول شما نمی‌تواند قدرت خرید خود را حفظ کند. این در حالی است که بازار سرمایه (بورس اوراق بهادار) می‌تواند متناسب با رشد تورم رشد ‌کند. در این بازار افراد با سرمایه‌گذاری مناسب و مدیریت سرمایه می‌توانند ارزش پول خود را حفظ کنند و حتی به سودهای جذابی دست یابند.

تشکیل سبد سرمایه‌گذاری

برای پوشش ریسک در سرمایه‌گذاری، بهترین کار تشکیل سبد سرمایه‌گذاری است. برای این کار فرد، سرمایه خود را به چند قسمت تقسیم می‌کند و هر قسمت از آن را به بازارهای مختلف می‌برد. مثلا درصدی از سرمایه‌اش را به خرید ملک و درصدی دیگر را به خرید طلا اختصاص می‌دهد و مابقی را صرف خرید سهام و یا کالاهای سرمایه‌ای، مانند ماشین‌آلات و تجهیزات می‌کند. برای مطالعه بیشتر در این رابطه روی اینجا کلیک کنید.

مدیریت سرمایه

هرکدام از بازارهای موجود ریسک متفاوتی دارند و مدت‌زمان بازدهی و میزان بازدهی مورد انتظار از آن‌ها نیز متفاوت است. هنگام انتخاب یک بازار هدف برای سرمایه‌گذاری، باید به دو متغیر ریسک و بازده به طور همزمان توجه کرد، در واقع ریسک و بازده مفهوم مدیریت ریسک به‌عنوان دو رکن اصلی در اتخاذ تصمیمات سرمایه‌گذاری هستند.

در واقع ریسک و بازده به‌عنوان دو رکن اصلی در اتخاذ تصمیمات سرمایه‌گذاری هستند.

همواره بیشترین بازدهی، با توجه به حداقل مقدار ریسک، معیاری مناسب برای سرمایه‌گذاری به‌حساب می‌آید. شکل بالا تنها مثالی از چند بازار است که افراد می‌توانند در آن با توجه به شرایط خود بازارهای متفاوتی را برای سرمایه‌گذاری و توزیع ریسک انتخاب کنند. حتی می‌توانند بر تعداد بازارهای انتخابی بیفزایند و یا از تعداد آن بکاهند.

مدیریت سرمایه در شرکت ها

مدیریت سرمایه امری بسیار مهم به خصوص در امور شرکت‌ها است. برای مثال اگر یک شرکت به دنبال احداث یک خط تولیدی جدید باشد، برای احداث این خط به مقدار زیادی وجه نقد نیاز دارد. در این مواقع مدیر، سبد سرمایه‌گذاریِ شرکت را بررسی می‌کند تا مشخص کند کدام سرمایه‌گذاری‌ها سریع‌تر به وجه نقد تبدیل می‌شوند. اگر درصد عمده‌ای از سبد شرکت را ملک و ساختمان تشکیل داده باشد مدت زمان زیادی طول می‌کشد تا این املاک به وجه نقد تبدیل شوند. در حالی که اگر بخش عمده‌ای از سبد را سهام تشکیل دهد بسیار راحت‌تر و سریع‌تر می‌تواند آن را به وجه نقد تبدیل کند و از پول به دست آمده برای راه اندازی خط تولید جدید استفاده کند.

بنابراین هر فردی چه برای تشکیل سبد شخصی و چه در سمت مدیریت برای تشکیل سبد سرمایه شرکت، می‌تواند بر اساس اهداف و نیازهای احتمالی خود، یک سبد سرمایه‌گذاری مطمئن بسازد به‌شکلی که در صورت لزوم بتواند از آن استفاده کند.

فرآیند مدیریت سبد سهام

برای اینکه بتوانید یک سبد سهام (پرتفوی) بهینه تشکیل دهید و آن را به طور صحیح مدیریت کنید، در مرحله اول لازم است که با مفاهیم مالی و اصول اساسی آن آشنا شوید. بعد از آشنایی با این موارد می‌توان اقدام به ایجاد یک سبد سرمایه‌گذاری متناسب با ویژگی‌های شخصی خود کرد.

هر فرد بعد از یادگیری اصول اساسی مالی می‌تواند با توجه به میزان ریسک‌پذیری و بازده مورد انتظار خود اقدام به ایجاد یک پرتفوی بهینه کند و در گذر زمان با توجه به تغییر شرایط، در صورت لزوم پرتفوی خود را اصلاح کند.

یکی از راه‌های کم کردن ریسک یک پرتفوی تنوع‌بخشی به آن است. تنوع‌بخشی با هدف کاهش ریسک پرتفوی تا حداقل مقدارِ ریسک و افزایش بازده پرتفوی تا بالاترین اندازه ممکن انجام می‌شود.

با تقسیم کردن مبلغ سرمایه‌گذاری در سهم‌های متنوع، می‌توان بخشی از ریسک پرتفوی را حذف کرد. برای انجام این کار بهتر است که سهم‌ها، از صنایع و گروه‌های متفاوت از هم انتخاب شوند تا اگر یک صنعتی دچار مشکل شد تنها بخش کوچکی از سبد سرمایه‌گذاری شما به‌خطر بیفتد.

مدیریت سرمایه

تنوع‌بخشی به سبد سرمایه‌گذاری و سبد سهام

نقل قولی معروف در رابطه با تنوع‌بخشی وجود دارد که بیان می‌کند: تمامی تخم‌مرغ‌های خود را در یک سبد قرار ندهید، تا در صورت افتادن سبد همه تخم مرغ‌هایتان از بین نروند.

نکته‌ی قابل توجه این است که شما با تنوع‌بخشی نمی‌توانید کل ریسک سبد خود را از بین ببرید، اما می‌توانید آن را کم کنید.

ریسک کل

ریسک کل از دو بخش ریسک سیستماتیک و ریسک غیرسیستماتیک تشکیل شده است. ریسک غیرسیستماتیک منحصر به یک دارایی نظیر سهم یک شرکت است، که این ریسک با تنوع‌بخشی قابل کاهش است.

اما بخش دیگری از ریسک کل، ریسک سیستماتیک یا ریسک بازار است، که به آن ریسک حذف‌نشدنی هم می‌گویند. این ریسک از طریق تنوع‌بخشی کاهش پیدا نمی‌کند.

نمونه‌ای از ایجاد سبد سهام متنوع را در شکل بالا می‌بینید. می‌توان از گروه‌ها و صنعت‌های مختلف یک سهم مناسب انتخاب کرد و تشکیل سبد داد. افراد با استراتژی‌های متفاوت می‌توانند سبدهای متفاوتی ایجاد کنند.

انواع سرمایه‌گذاری

سرمایه‌گذاران به دو طریق می‌توانند دست به خرید اوراق بهادار بزنند: اولین شیوه آن است که افراد به طور مستقیم اقدام به خریدوفروش سهام کنند که به آن سرمایه‌گذاری مستقیم می‌گویند؛ یا اینکه این کار را از طریق واسطه‌های مالی انجام دهند، که به آن سرمایه‌گذاری غیرمستقیم می‌گویند.

انواع سرمایه گذاران بر مبنای میزان تحمل ریسک

نظریه مطلوبیت مورد انتظار، سه نوع گرایش را بر مبنای میزان تحمل ریسک توسط سرمایه‌گذاران معرفی کرده است. بر طبق این نظریه سرمایه گذاران به سه دسته تقسیم می‌شوند:

  • ریسک‌گریز
  • ریسک‌پذیر
  • ریسک خنثی

سرمایه‌گذاران ریسک خنثی افرادی هستند که به میزان ریسک سرمایه‌گذاری توجهی نمی‌کنند و تنها به دنبال حداکثر کردن بازدهی خود هستند و میزان مطلوبیت آن‌ها توسط بازدهی سرمایه‌گذاری تعیین می‌شود.

برخی از سرمایه‌گذاری‌ها و دارایی‌ها نوسانات بیشتری نسبت به سایر دارایی‌ها دارند. در نتیجه سرمایه‌گذاری در آن‌ها ریسک بیشتری دارد.

گروهی از سرمایه‌گذاران نسبت به سایرین ریسک‌پذیر‌تر هستند؛ در نتیجه می‌توانند نسبت به دیگران بهتر با این نوسانات کنار بیایند و آن را تحمل کنند. این افراد زمانی که با دو پروژه با بازدهی یکسان رو‌به‌رو می‌شوند، پروژه‌ای که ریسک بیشتری دارد را برای سرمایه‌گذاری انتخاب می‌کنند، زیرا مطلوبیت ناشی از موفق شدن در پروژه پرریسک بیشتر از عدم مطلوبیت ناشی از زیان آن‌ها است.

این افراد تمایل بیشتری به فعالیت در بورس دارند و تمایل کمی به سپرده‌گذاری در بانک دارند.

سرمایه‌گذاران ریسک‌گریز

آخرین دسته، سرمایه‌گذاران ریسک‌گریز هستند. این افراد بیشتر به سرمایه‌گذاری در مواردی که بازدهی مطمئن داشته‌ باشند علاقه‌مند هستند و از سرمایه‌گذاری در پروژه‌های پرریسک دوری می‌کنند. بیشتر این افراد به سپرده‌گذاری در بانک روی می‌آورند و معتقدند که سپرده‌گذاری در بانک نوعی سرمایه‌گذاری ایمن است.

این سه طبقه، خود می‌توانند هرکدام به سه طبقه متفاوت نیز تقسیم شوند. برای مثال افرادی که در بورس سرمایه‌گذاری می‌کنند، همه حاضر به پذیرش سطح یکسانی از ریسک نیستند. مثلا برخی از آن‌ها در سهم‌هایی که ریسک بسیار زیادی دارند (مثل سهم‌هایی با وضعیت بنیادی نه چندان خوب که در وضعیت تکنیکالی مناسبی قرار دارند و انتظار رشد سریعی از آن‌ها در آینده‌ای نزدیک می‌رود) سرمایه‌گذاری می‌کنند. در حالی که برخی دیگر تنها در سهام شرکت‌هایی بزرگ که وضعیت بنیادی قوی و سود تقسیمی بالا دارند سرمایه‌گذاری می‌کنند، در حالی که ممکن است این سهم‌ها رشد آهسته‌ای داشته باشند.

نظریه مطلوبیت مورد انتظار با انتقادهایی نیز مواجه شده که در مقالات بعدی راجع‌به آن توضیح داده خواهد شد.

ریسک دارایی‌های مالی از منظر مدت زمان نگهداری

می‌توان ریسک دارایی‌های مالی را از نظر دوره نگهداری آن‌ها نیز طبقه‌بندی کرد. به بیانی دیگر ریسک یک سرمایه‌گذاری زمانی که به دید کوتاه‌مدت خریداری می‌شود با ریسک آن وقتی که با دید بلند‌مدت خریداری می‌شود، متفاوت است.

با افزایش مدت‌زمان نگهداری یک دارایی، نوسانات آن کاهش می‌یابد و ریسک آن تا حدی قابل کنترل خواهد بود.

مدیریت ریسک در پروژه‌های عمرانی ؛ تعریف، عوامل و راهکارها

مدیریت ریسک در پروژه‌های عمرانی یا به طور صحیح‌تر مدیریت ریسک شاخه‌ای از علم مدیریت است که امروزه به کمک مدیران شرکت‌های بزرگ که پروژه‌های بزرگی مانند پروژه‌های عمرانی را انجام می‌دهند، آمده است. در این مقاله به بیان پاره‌ای توضیحات در زمینه مدیریت ریسک در پروژه‌های عمرانی می‌پردازیم و آشنایی مختصری با اصطلاحات و روش کار آن پیدا می‌کنیم. در ادامه با ویکی ساختمون همراه باشید.

در ادامه به بررسی برخی اصطلاحات رایج در مدیریت ریسک می‌پردازیم. در این مقاله با اصلاحاتی چون ریسک، عدم قطعیت، مدیریت ریسک و … روبرو می‌شویم و لازم است مفهوم کلی هرکدام از آن‌ها را بدانیم.

ریسک و عدم قطعیت چیست؟

ریسک یا فرصت به وضعیتی از یک رویداد که نتیجه آن غیرقطعی ولی قابل اندازه‌گیری است، گفته می‌شود؛ نتیجه مفهوم مدیریت ریسک این رویداد می‌تواند مثبت یا منفی باشد.

عدم قطعیت را بسیاری مساوی با ریسک قلمداد می‌کنند ولی در واقع این طور نیست. ریسک یک وضعیت از یک رویداد است که قابل محاسبه است ولی عدم قطعیت این قابلیت را ندارد و نمی‌توان آن را اندازه‌گیری کرد.

احتمال وقوع و میزان ریسک مالی رویداد

میزان رخداد پیامد خوشایند یا ناخوشایند است که به صورت ‌در‌صد‌ و یا به طور جامع‌تر به صورت نمودار توزیع احتمالات بیان می‌شود. حاصلضرب هزینه پیامد ناخوشایند یا خوشایند در احتمال وقوع آن است.

مدیریت ریسک چیست؟

مدیریت ریسک گرایش تازه‌ای از علم مدیریت است که در گستره متنوعی از انواع شاخه‌ها از جمله امور مالی و سرمایه‌گذاری، تجارت، بیمه، ایمنی، بهداشت و درمان، مسایل سیاسی، اجتماعی، نظامی و‌‌ پروژه های صنعتی و عمرانی جایگاه خود را پیدا کرده است.

مدیریت ریسک یک فرآیند سیستماتیک از شناسایی، تحلیل و پاسخ به ریسک‌های پروژه است و در آن احتمال و اثرات وقایع مثبت به حداکثر و اثرات و وقایع منفی به حداقل می‌رسد. در واقع مدیریت ریسک مجموعه فرآیندهای مورد نیاز برای شناسایی، تجزیه و تحلیل و واکنش در مقابل ریسک پروژه به منظور بیشینه نمودن نتایج وقایع مثبت و کمینه نمودن پیامدهای وقایع ناگواراست.

مدیریت ریسک پروژه های عمرانی، ریسک چیست

در پروژه‌های عمرانی چه ریسک‌هایی وجود دارد؟

در پروژه‌های عمرانی مانند هر پروژه دیگری ریسک‌های زیادی وجود دارد که توسط کار گروهی تخصصی شناسایی، ارزیابی و برنامه‌ریزی برای کاهش آنها انجام می‌شود. از جمله ریسک‌هایی که در پروژه های عمرانی با آن‌ها برخور

د می‌شود، می‌توان به ریسک تکنیکی، ریسک ساخت، ریسک موقعت کار، ریسک اداری و سازمانی، ریسک اجتماعی و فرهنگی و ریسک مالی اشاره کرد که در کشورهایی با اقتصاد ضعیف و مریض مانند ایران وجود دارد.

ریسک‌های فنی و تکنولوژیکی شامل عدم کفایت مطالعات صورت گرفته و اطلاعات ناکافی از شرایط زمین و محل کار، کمبود دسترسی به مواد و مصالح، نامناسب بودن طراحی و اطلاعات طرح برای برآورد صحیح هزینه و برنامه‌ریزی، دسترسی کم به مواد و مصالح ساختمانی و استاندارد نبودن مواد و مصالح مورد نیاز می‌شوند.

از بین ریسک‌های ساخت هم می‌توان از بازدهی و بهره وری ناکافی، ناپایداری آب و هوا و عوامل جوی، خطرات ناشی از تخریب، رانش و …، خطرات جانی پرسنل در کارگاه‌هایی که مشغول به کار هستند، عدم کفایت پیمانکار و کم بودن دانش وی، مسائل صنعتی، تاخیر پیش‌بینی نشده در برنامه زمان‌بندی برای تهیه و دسترسی به منابع ساخت و ساز، کار با کارفرمایان فاقد تخصص و ضعیف از نظر مالی و مدیریتی، طولانی شدن زمان اجرا و اتمام پروژه‌ها و بیمه نکردن تمامی پروژه‌های عمرانی از سوی شرکت‌های بیمه نام برد.

ریسک موقعیت کار را هم می‌توان نبود یا کمبود منابع مانند مواد، زمین و کارگر، کمبود نیروی متخصص در اجرای سیستم‌های حساس فنی و کارگری، تعهد به انجام کارهایی که سازنده، کارفرما یا هر نهاد نظارتی دیگر که سابقه انجام موارد مشابه را ندارد، کار در مناطق مرزی، محروم یا جنگی به دلیل وجود مواد منفجره و وقوع خطرات جانی و مالی بعدی ناشی از آن دانست.

ریسک مالی را هم تورم (کوتاه مدت) یا نبود مقیاس برای هزینه فعالیت‌ها، زمان‌بندی نادرست پرداخت‌ حقوق، اعتصابات و ناآرامی‌های کارگری، کمبود مالی کارفرما، عدم همکاری موسسات مالی در پرداخت تسهیلات، انجام کارهای مقطوع و بدون تعدیل در مناطق با تورم و غیر قابل پیش بینی، تغییر در تعرفه‌های اداری، عدم تنظیم و ارائه به موقع صورت جلسه و صورت وضعیت‌ها تشکیل می‌دهند.

ریسک اداری و سازمانی شامل مدیریت نامناسب و ناکارآمد، بروکراسی اداری، تغییرات ساختاری، مدیریتی و احتمال تغییر در برنامه‌ها و هدف گذاری‌ها، عدم همکاری ادارات و سازمان‌های اثرا گذار در اجرای پروژه‌های ساختمانی، ضعف قوانین و برداشت سلیقه‌ای از آن در سازمان‌های فوق و ناهماهنگی ادارات و سازمان‌های اثرگذار در اجرای پروژ‌ه‌های ساختمانی هستند.

ریسک فرهنگی و اجتماعی نیز نامناسب بودن فرهنگ کاری و فنی عوامل اجرایی و استادکاران، عدم توجه به مسائل فرهنگی و هنجارهای اجتماعی در طراحی ساختمان‌ها، افزایش جمعیت، مهاجرت و ساخت و ساز غیر استاندارد در مناطق حاشیه‌ای و ضعف فرهنگی در استفاده از ساختمان را شامل می‌شود.

بیشتر بخوانید: نرم افزار مدیریت پروژه ؛ ۶ تا از بهترین‌ها

مدیریت ریسک پروژه های عمرانی، انواع ریسک ها

احتمال رویداد کدامیک از ریسک‌های گفته شده چقدر است؟

در بررسی‌های صورت گرفته نشان داده شده که میزان ریسک اقتصادی و مالی است که مقدار به صورت حداقل و حداکثر از ۳/۴ تا ۳/۸ درصد است و احتمال وقوع آن نیز زیاد است. پس از آن ریسک فنی و تکنولوژی است که حداقل ۲/۸ و حداکثر ۳/۴ درصد است و احتمال وقوع آن نیز زیاد است. ریسک اداری و سازمانی احتمال وقوع زیادی دارد و میزان آن حداقل ۳/۱ و حداکثر ۳/۴ درصد است. ریسک ساخت هم احتمال وقوع متوسطی دارد و میزان بین ۲/۸ تا ۳ درصد است. ریسک فرهنگی و اجتماعی نیز احتمال وقوع متوسط دارد و میزان آن ۲/۹ تا ۳/۲ درصد است. در نهایت مفهوم مدیریت ریسک ریسک موقعیت کار هم میزان ۲/۴ تا ۲/۷ درصدی دارد و احتمال وقوع آن اندک است.

ریسک‌ها و عدم قطعیت‌ها متوجه چه کسانی هستند؟

به طور کلی در پروژه‌های عمرانی عدم قطعیت‌ها متوجه پیمانکار و کارفرما (شرکت‌های عمرانی) است. از این رو برای مدیریت ریسک در یک پروژه عمرانی کارفرمایان به دنبال روش‌هایی برای کاهش بار عدم قطعیت‌ها از کارفرما و انتقال بخشی از آن‌ها به مفهوم مدیریت ریسک سازندگان خصوصی هستند. استفاده از روش‌هایی مانند شراکت در ساخت، قراردادهای تفکیک شده بر اساس تخصص، جذب سرمایه خصوصی (مثل ساخت خانه با هزینه سازنده در زمین کارفرما و شراکت در سود) می‌تواند راه حلی برای کاهش ریسک و عدم قطعیت در پروژه‌های عمرانی وارد شده بر کارفرما شود.

ریسک‌ها و عدم قطعیت‌هایی که پیمانکاران را تحت تاثیر قرار می‌دهند، شامل طرح و بازار است و بستگی زیادی به نوع قرارداد با کارفرما دارد. پس پیمانکاران باید در هنگام بستن قرارداد به شرایط آن دقت کنند و هزینه را با توجه به شرایط مندرج در قرارداد بسنجد و تلاطم بازار را هم در نظر بگیرد. تجربه یک پیمانکار در این راه می‌تواند کمک زیادی به وی کند تا تصمیم درست را اتخاذ کند.

مدیریت ریسک پروژه های عمرانی، چه کسی متوجه ریسک ها می شود

سخن آخر

کارفرمایان به منظور مدیریت ریسک در پروژه‌های عمرانی باید از بهترین مشاوران استفاده کنند و با پیمانکاران خبره قرارداد ببندند. برای کاهش ریسک اداری و سازمانی از وکلای برجسته برای انجام کارهای اداری استفاده کنند و برای کاهش ریسک‌های مالی هم از اقتصاددانان کمک بخواهند و حسابداران ماهر استخدام کنند تا با کمترین ضرر مالی و جانی پروژه را به اتمام برسانند.

مدیریت ریسک چیست؟

مدیریت ریسک چیست؟

مدیریت ریسک چیست؟ در این مقاله قصد داریم به بحث مدیریت ریسک به‌عنوان یک مقوله مهم در مدیریت بپردازیم. با ما همراه باشید.

مدیریت ریسک شامل شناسایی، تجزیه‌وتحلیل و پاسخ به عوامل خطر است که بخشی از چرخه زندگی یک کسب‌وکار است. مدیریت ریسک موثر به معنای تلاش برای کنترل نتایج خطراتی که در آینده پیش می‌آید، تا حد امکان با اقدام پیشگیرانه و نه فقط واکنشی است. بنابراین، مدیریت ریسک مؤثر، فرصتی را برای کاهش احتمال وقوع یک ریسک و تأثیرات بالقوه آن فراهم می‌کند.

فهرست مطالب و عناوین

ساختارهای مدیریت ریسک چیست؟

ساختارهای مدیریت ریسک به‌گونه‌ای طراحی شده‌اند که کاری بیش از شناسایی ریسک‌های موجود انجام دهند. یک چارچوب مدیریت ریسک خوب می‌تواند عدم‌قطعیت‌ها را محاسبه کرده و تأثیر آنها را بر یک کسب‌وکار پیش‌بینی کند؛ بنابراین، نتیجه نهایی معمولاً انتخابی بین پذیرش ریسک یا رد آن است. پذیرش یا رد ریسک‌ها به طور معمول، بستگی به سطحی دارد که یک کسب‌وکار قبلاً برای خود تعیین کرده است.

اگر یک شرکت، مدیریت ریسک را به‌عنوان یک فرایند منظم و مستمر باهدف شناسایی و مقابله با ریسک تعریف کند، می‌توان از ساختارهای مدیریت ریسک برای حمایت از سایر سیستم‌های کاهش ریسک استفاده کرد. سیستم‌های کاهش ریسک شامل برنامه‌ریزی، سازمان‌دهی، کنترل هزینه و بودجه‌بندی هستند. این سیستم‌ها به شرکت‌ها و کسب‌وکارها کمک خواهند کرد که در بحران‌ها غافل‌گیر نشوند.

پاسخ به ریسک

واکنش به ریسک معمولاً به یکی از اشکال زیر روی می‌دهد:

۱. اجتناب: یک شرکت در تلاش است تا با خلاص شدن از شر یک خطر خاص، آن را از بین ببرد.

۲. کاهش: کاهش ارزش مالی پیش‌بینی‌شده مرتبط با یک ریسک از طریق کاهش احتمال وقوع ریسک.

۳. پذیرش: در برخی موارد ممکن است یک شرکت مجبور به پذیرش ریسک شود که به طور معمول برای کاهش تأثیر ریسک در یک واحد تجاری انجام می‌پذیرد.

هنگام ایجاد خطرات احتمالی، یک کسب‌وکار باید در یک رویکرد حل مشکل مشارکت کند. نتیجه یک طرح با جزئیات است که می‌تواند هر زمان که نیاز باشد اجرا شود. چنین طرحی یک سازمان تجاری را قادر می‌سازد تا موانع موفقیت خود را مدیریت کند.

اهمیت مدیریت ریسک چیست؟

مدیریت ریسک فرایند مهمی است زیرا ابزارهایی را برای شناسایی و مدیریت صحیح ریسک‌های احتمالی در اختیار کسب‌وکار قرار می‌دهد. هنگامی که خطری شناسایی شد، مقابله یا رفع آن آسان است. علاوه بر این، مدیریت ریسک مبنایی برای تصمیم‌گیری آگاهانه برای مسیر پیشروی یک کسب‌وکار را فراهم می‌کند.

برای یک تجارت، ارزیابی و مدیریت ریسک بهترین راه برای آماده‌شدن برای احتمالاتی است که می‌تواند مانع پیشرفت و رشد آن تجارت شود. هنگامی که یک شرکت برنامه خود را برای رویارویی با تهدیدات بالقوه ارزیابی و سپس ساختارهایی را برای آن طراحی می‌کند، طبیعتاً شانس خود را برای تبدیل‌شدن به یک کسب‌وکار موفق افزایش می‌دهد

به‌علاوه، مدیریت ریسک پیش‌رونده تضمین می‌کند که ریسک‌های با اولویت بالا تاحدامکان تهاجمی برخورد می‌کنند. علاوه بر این، مدیریت اطلاعات لازم را در اختیار خواهد داشت که می‌تواند برای تصمیم‌گیری آگاهانه و اطمینان از سودآور بودن کسب‌وکار استفاده کند

فرآیند تحلیل ریسک

تحلیل ریسک یک رویکرد حل مسئله کیفی است که از ابزارهای ارزیابی مختلف برای شناسایی و رتبه‌بندی ریسک‌ها باهدف ارزیابی و حل آنها استفاده می‌کند. در اینجا فرایند تحلیل ریسک آمده است:

۱. خطرات موجود را شناسایی کنید

شناسایی خطرات مفهوم مدیریت ریسک عمدتاً شامل طوفان فکری است. یک شرکت کارکنان خود را گرد هم می‌آورد تا بتوانند همه ریسک‌های موجود را بررسی کنند. مرحله بعدی این است که تمام ریسک‌های شناسایی شده را به ترتیب اولویت، رتبه‌بندی کنند. (ازآنجایی‌که کاهش همه ریسک‌های موجود امکان‌پذیر نیست، اولویت‌بندی موجب می‌شود تا همه ریسک‌هایی که می‌توانند به طور قابل‌توجهی بر یک کسب‌وکار تأثیر بگذارند، سریع‌تر رسیدگی ‌شوند.).

۲. خطرات را ارزیابی کنید

در بسیاری از موارد، حل یک مشکل شامل دو مرحله کلی است:

الف) شناسایی مشکل

ب) یافتن راه‌حل مناسب

بااین‌حال، قبل از تعیین بهترین راه برای مدیریت ریسک‌ها، یک کسب‌وکار باید با طرح این سؤال که «چه چیزی باعث ایجاد چنین ریسکی شده است و چگونه می‌تواند بر کسب‌وکار تأثیر بگذارد؟» علت ریسک‌ها را پیدا کند.

۳. یک پاسخ مناسب ایجاد کنید

هنگامی که یک واحد تجاری آماده ارزیابی راه‌حل‌های احتمالی برای کاهش خطرات شناسایی شده و جلوگیری از شدت‌گرفتن آنها است، باید در ابتدا سؤالات زیر را از خود بپرسد:

۱) برای جلوگیری از تکرار خطر شناسایی شده چه اقداماتی می توان انجام داد؟ همچنین، اگر دوباره تکرار شود، بهترین کار چیست؟

در اینجا، ایده‌هایی که در کاهش ریسک مفید هستند، در تعدادی از وظایف و سپس به طرح‌های احتمالی که مفهوم مدیریت ریسک می‌توانند در آینده به کار گرفته شوند، توسعه داده می‌شوند. در صورت بروز خطر، می‌توان برنامه‌ها را اجرا کرد.

جمع‌بندی و خلاصه

شرکت‌های تجاری ما با خطرات زیادی روبرو هستند که می‌تواند بر بقا و رشد آن‌ها تأثیر نامطلوب بگذارد؛ بنابراین، درک اصول اساسی مدیریت ریسک و چگونگی استفاده از آن‌ها برای کمک به کاهش اثرات ریسک بر واحدهای تجاری مهم است.

در این مقاله درباره این که مدیریت ریسک چیست، مطالبی آموختیم. با تشکر از همراهی شما.

مدیریت ریسک جهت ارتقاء امنیت اطلاعات

مدیریت ریسک جهت ارتقاء امنیت اطلاعات

اصولا افرادی که در حوزه‌ی فناوری اطلاعات فعالیت دارند، ریسک را عملکرد و نتیجه حاصل از سازمان توسط یک منبع تهدید مفروض که یک آسیب‌پذیری بالقوه را به کار می‌گیرد، شناسایی می کنند. بنابراین اجزاء اصلیِ سنجشِ ریسک موارد زیر هستند:

  • تهدیدات
  • آسیب‌پذیری
  • تاثیرات یا خسارت احتمالی
  • احتمال وقوع (احتمال اینکه رخداد یا سوءاستفاده‌ی موفقی از یک آسیب‌پذیری واقع شود.)

بطور کلی هر چیزی که بتواند به‌صورت تصادفی یا به‌طور هدفمند از یک آسیب‌پذیری سوءاستفاده کند و به یک دارایی آسیب برساند یا آن را نابود کند،تهدید نامیده می شود؛ این دارایی یا Asset ممکن است هر شخص، تجهیز یا اطلاعاتی باشد، به عبارتی دیگر Asset هر چیزی است که می‌کوشیم از آن محافظت کنیم و تهدید هر چیزی است که می‌کوشیم در مقابل آن ایستادگی نماییم؛ از طرفی Vulnerability یا آسیب‌پذیری نوعی شکاف یا ضعف در تلاش‌های ما در جهت محاظت از دارایی های سازمانی است.

منبع تهدید روشی برای سوءاستفاده‌ی عمدی یا غیرعمدی از نوعی آسیب‌پذیری یا یک موقعیت است. برای مثال از طریق یک نرم‌افزار مخرب که ویروس یا Worm به آن‌ می‌چسبد یا از طریق ایمیل‌های حاوی ویروسی که به ایمیل مربوطه ضمیمه شده است یا لینکی که حاوی ویروس است، خود را در سیستم یا کامپیوترهای دیگر منتشر می‌کند. اگر فرستنده این ایمیل را بدون آگاهی از هدف مخرب Attach کند و یا لینک مخرب را به اشتراک بگذارد، این نوعی منبع تهدید غیرعمدی محسوب می‌شود، درغیر این‌صورت منبع تهدید، عمدی خواهد بود.

می‌توان فرایند‌ کامل رسیدگی به ریسک را طی مراحلی انجام داد که در این مقاله به آن می پردازیم.

ایجاد Context

در این مرحله اطلاعات مربوط به سازمان و معیارها، اهداف، گستره و محدودیت‌های ابتدایی فعالیت‌ها در جهت مدیریت ریسک جمع‌آوری می‌شود. علاوه بر این اطلاعات، جمع‌آوری جزئیات درباره‌ی سازمان مسئول فعالیت در جهت مدیریت ریسک، اهمیت دارد. ماموریت های سازمانی، مقادیر، ساختار، استراتژی، لوکیشن‌ها و محیط فرهنگیِ سازمان بررسی می‌شود تا دریافت جامعی از گستره و محدودیت‌های کاری آن به‌دست آید.به طور کلی سلسله مراتب سازمانی افراد حاضر در تیم مدیریت ریسک به‌صورت زیر تعریف می گردد:

  1. مدیریت ارشد
  2. مدیر ارشد فناوری اطلاعات (CIO)
  3. صاحبان سیستم و اطلاعات
  4. مدیران تجاری و عملیاتی
  5. مسئول امنیت سیستم اطلاعات (ISSO) یا مدیر ارشد امنیت اطلاعات (CISO)
  6. مسئولین امنیت IT
  7. مربیان افزایش آگاهی درباره‌ی امنیت

تشخیص ریسک

مدیریت ریسک فعالیت تکرارشونده‌ای است؛ از طرف دیگر، سنجش ریسک به‌صورت ناپیوسته انجام می‌شود و هر بار تا اجرای سنجش بعد فاصله وجود دارد. سنجش ریسک فرایند‌ ارزیابی تهدیدات شناخته شده و فرضی و آسیب‌پذیری‌ها برای تعیین ضررهای مورد انتظار است و همچنین تثبیت میزان قابل‌قبول بودن برای عملکرهای سیستم را شامل می‌شود. سنجش ریسک از مرحله‌ی ایجاد Context، ورودی ها و خروجی های مورد نیاز را دریافت می‌کند و نتیجه‌ی تحلیل‌های آن فهرستی از ریسک‌های ارزیابی شده است، که در آن مطابق با معیارهای ارزیابیِ ریسک، ریسک‌ها در اولویت قرار می گیرند.

شناسایی ریسک

در این مرحله مواردی همچون منابع، تهدیدات، اقدامات امنیتی موجود و برنامه ریزی شده، آسیب پذیری ها، عواقب و فرآیندهای مرتبط با سازمان شناسایی می‌گردد. بنابراین خروجی موارد زیر را شامل می شود:

  • فهرستی از منابع و فرایند‌های مرتبط تجاری با فهرست تهدیدات و اقدامات امنیتی موجود و از قبل برنامه‌ریزی شده
  • فهرست آسیب‌پذیری‌های نامرتبط با هر تهدید شناسایی شده
  • فهرست سناریوی رخداد‌ها و پیامدهای آن‌ها

تخمین ریسک

دو روش برای تخمین ریسک وجود دارد:

  • ارزیابیِ ریسک کمی

اکثرا سازمان‌ها از این روش ارزیابی استفاده نمی‌کنند، مگر موسسات مالی و شرکت‌های بیمه. در ریاضیات به ریسک کمی، پیش‌بینیِ ضرر سالانه یا به اختصار (ALE)، گفته می‌شود. ALE ضرر مالیِ پیش‌بینی شده‌ای برای یک منبع است که از عملی شدن یک ریسک طی دوره‌ای یک ساله انتظار می‌رود.

پیشبینی ضرر واحد Single Loss Expectancy یا SLE، ارزش یک ضرر واحد از منبع است. این مقدار ممکن است تمامیِ منبع را شامل شود یا نشود و نشان‌دهنده‌ی تاثیر ضرر است. نرخ وقوع سالانه (Annualised Rate of Occurrence) یا به‌اختصار ARO، نشان می‌دهد که ضرر هر چند وقت یک بار اتفاق می‌افتد و بیانگر احتمال وقوع ضرر است.

در ظاهر ارزیابی ریسک کمی ساده به نظر می‌رسد اما در منسوب کردن ارزش به پارامترها مشکلاتی وجود دارد. گرچه تعریف هزینه‌ی سیستم آسان است، اما تعیین دقیق هزینه‌های غیرمستقیم مثل ارزش اطلاعات، فعالیت تولیدی از دست رفته و هزینه‌ی بازیابی سخت می‌باشد. احتمال عامل دیگر دقیقا مشخص نیست. بنابراین در ارزیابی ریسک کمی حاشیه خطای بسیار زیادی وجود دارد. به‌دلیل در دسترس نبودن اطلاعات دقیق و کافی اجرای ارزیابیِ ریسک کمی برای یک سیستم IT مقرون به‌صرفه نیست.

  • ارزیابیِ ریسک کیفی

ارزیابی ریسک کیفی احتمال، با درنظر داشتن اینکه احتمال و ارزش‌های اثر بسیار نامشخص هستند، ارزش تاثیر و ریسک را به‌صورت نسبی (Subjective) مشخص می‌کند. ارزیابی ریسک کمی نتایج ریسک را به‌صورت «زیاد»، «متوسط» و «کم» نشان می‌دهد. مراحل ارزیابی ریسک کیفی در ادامه آمده است:

شناسایی تهدیدها: تهدیدات و منابع آن باید شناسایی شوند. تهدیدات باید شامل منبع تهدید باشند تا تخمین دقیق امکان‌پذیر گردد. باید فهرستی از تمام تهدیدات ممکن در سراسر سازمان جمع‌آوری شود و از این ریسک به‌عنوان مبنای تمام فعالیت‌ها در جهت مدیریت ریسک استفاده گردد. برخی از نمونه‌های تهدید و منبع تهدید به شرح زیر هستند:

  • تهدیدات طبیعی: سیل، زلزله و غیره.
  • تهدیدات انسانی: ویروس، Worm و غیره.
  • تهدیدات محیطی: قطی برق، آلودگی و غیره.

شناسایی آسیب‌پذیری‌ها: آسیب‌پذیری‌ها به روش‌های بی‌شماری شناسایی می‌شوند. بعضی از این ابزارها در زیر آمده‌اند:

  1. اسکنر آسیب‌پذیری: نرم‌افزاری که سیستم عامل یا کد را برای شناسایی نقص‌ها با دیتابیس Signatureهای نقص‌ها مقایسه می‌کند.
  2. تست نفوذ: تحلیلگر امنیت انسانی تهدیداتی را در مقابل سیستم تست می‌کند، از جمله آسیب‌پذیری‌های عملیاتی مثل مهندسی اجتماعی
  3. Audit کنترل‌های عملیاتی و مدیریتی: کنترل‌های عملیاتی و مدیریتی از طریق مقایسه‌ی سند‌های موجود با بهترین راهکارها مثل ISO 17799 و با مقایسه‌ی راهکارهای واقعی با فرایند‌های مستند فعلی، بازبینی می‌شوند.

مرتبط سازیِ تهدیدات با آسیب‌پذیری‌ها

این سخت‌ترین و ضروری‌ترین فعالیت در ارزیابی ریسک است. شکل‌گیری فهرستِ جفت تهدیدات به آسیب‌پذیری‌ها به این ترتیب است: بازبینیِ فهرست آسیب‌پذیری و جفت کردن یک آسیب‌پذیری با هر تهدیدی که به آن قابل اعمال است، سپس بازبینی لیست تهدیدات و اطمینان حاصل کردن از این که تمام آسیب‌پذیری‌هایی Threat-Action می‌تواند با آن‌ها مقابله کند، شناسایی شده‌‌اند.

تعریف میزان احتمال

احتمال، امکان وقوع یک تهدید ایجاد شده توسط منبع تهدید، در برابر یک آسیب‌پذیری است. نمونه‌هایی از تعاریف احتمال ممکن است به‌شرح زیر باشند:

پایین: 0 الی 30 درصد، احتمال عملکرد موفق یک تهدید در دوره‌ای یکساله.

متوسط: 31 الی 70 درصد احتمال عملکرد موفق یک تهدید در دوره‌ای یکساله.

بالا: 71 الی 100 درصد احتمال عملکرد موفق یک تهدید در دوره‌ای یکساله.

این تعاریف صرفا نمونه هستند. سازمان‌ها می‌توانند از تعاریف مخصوص خودشان مثل: خیلی پایین، پایین، متوسط، بالا و خیلی بالا استفاده کنند.

تعریف میزان اثرگذاری

بهترین تعریف اثرگذاری، از نظر تاثیر بر میزان محرمانه بودن، یکپارچگی و دردسترس بودن ارائه شده است. نمونه‌هایی از تعاریف ارائه شده برای اثر در جدول زیر آمده است:

در دسترس بودن یکپارچه بودن محرمانه بودن
ضعف در در دسترس بودن تاثیری محدود روی سازمان، دارد. ضعف در یکپارچگی تاثیری محدود روی سازمان، دارد. ضعف در محرمانه بودن تاثیری محدود روی سازمان، دارد. پایین
ضعف در در دسترس بودن تاثیری جدی روی سازمان، دارد. ضعف در یکپارچگی تاثیری جدی روی سازمان، دارد. ضعف در محرمانه بودن تاثیری جدی روی سازمان، دارد. متوسط
ضعف در در دسترس بودن تاثیری شدید روی سازمان، دارد. ضعف در یکپارچگی تاثیری شدید روی سازمان، دارد. ضعف در محرمانه بودن تاثیری شدید روی سازمان، دارد. بالا

ارزیابی ریسک

ارزیابیِ ریسک فرایند‌ مشخص کردن احتمال عملی شدنِ تهدید مقابل آسیب‌پذیری و نتیجه‌ی حاصل از یک توافق موفق است. ماتریکس نمونه‌ی مشخص کردن ریسک به ‌شکل زیر است:

تاثیر
احتمال زیاد متوسط کم
زیاد زیاد زیاد متوسط
متوسط زیاد متوسط کم
کم متوسط کم کم

مانیتورینگ ریسک

فرایند‌ ارزیابیِ ریسک، خروجی فرایند‌ تحلیل را به‌صورت ورودی دریافت می‌کند. این فرایند در ابتدا هر سطح ریسک را در مقابل معیار قابل‌قبول بودن ریسک (Risk Acceptance) قرار می‌دهد و سپس فهرست ریسک را با نشانه‌های رفع ریسک الویت‌بندی می‌کند.

مدیریت یا کاهش ریسک

فرایند کاهش ریسک متضمن اولویت‌بندی، ارزیابی و اجرایی کردن کنترل‌های مناسب برای رسیدگی به ریسک است که در فرایند‌ ارزیابیِ ریسک پیشنهاد شده است. از آنجایی که از بین بردن تمام ریسک‌ها در یک سازمان امری تقریبا غیر ممکن است، وظیفه‌ی مدیر ارشد و مدیران تجاری و عملیاتی این است که کم‌هزینه‌ترین روش و مناسب‌ترین کنترل‌ها را به‌کار ببرند تا ریسک را تا سطحی قابل قبول کاهش دهند.

مطابق هر چارچوب پیشرفته ای، شش مرحله در کاهش ریسک وجود دارد.

  • فرض وجود ریسک: به معنای پذیرفتن ریسک و ادامه‌ی عملکرد سیستم و همزمان به‌کاربردن کنترل‌ها است که به مرحله‌ی بعدی ختم می‌شود.
  • اجتناب از ریسک: یعنی از بین بردنِ مسبب یا پیامدِ ریسک برای اجتناب از آن، برای مثال Shutdown کردن سیستم درصورتِ شناسایی ریسک.
  • محدود کردن ریسک: محدود کردن ریسک با به‌کار بردن کنترل‌هایی انجام می‌شود که اثرات مخرب تهدیدی را که یک آسیب‌پذیری را هدف گرفته است، به حداقل می رسانند (برای مثال: استفاده از کنترل‌های حمایت‌گر، جلوگیری کننده و شناساگر).
  • برنامه‌ریزی برای ریسک: مدیریت کردن ریسک با طراحی برنامه‌ای برای کاهش ریسک که کنترل‌ها را الویت‌بندی کرده، به‌کار می‌بندد و حفظ و نگهداری می‌کند.
  • جست و جو و تایید: در این مرحله آسیب‌پذیری یا نقص تایید می‌شود و برای راه حل تصحیح آسیب‌پذیری‌ها جستجو انجام می‌گردد.
  • انتقال ریسک: به‌معنای منتقل کردن ریسک برای جبران خسارت می‌باشد، برای مثال خرید گارانتی‌های بیمه، نه 100% در تمام موارد اما حداقل مقداری بازیابی از ضررها انجام می‌پذیرد.

ارتباطات ریسک

هدف اصلی این مرحله ارتباط برقرار کردن است جهت ارائه‌ی توضیحی جامع از تمامی جنبه‌های ریسک به سهامداران سازمان. ایجاد درک متقابل اهمیت دارد، زیرا روی تصمیماتی که در آینده گرفته می‌شود تاثیرگذار خواهد بود.

مانیتور و بازبینی ریسک

اقدامات امنیتی مرتبا بازبینی می‌شوند تا اطمینان حاصل شود که طبق برنامه کار می‌کنند و تغییرات محیط آن‌ها را بی اثر نکرده است. با وجود تغییرات عمده در محیط کار، اقدامات و تمهیدات امنیتی باید بروزرسانی بشوند. الزامات تجارتی، آسیب‌پذیری‌ها و تهدیدات می‌توانند در طول زمان تغییر کنند. باید برای Auditها به صورت منظم برنامه‌ریزی شود و باید توسط نهادی مستقل اجرا شوند.

ارزیابی و تشخیص IT

کنترل‌های امنیتی باید تایید گردند. کنترل‌های فنی سیستم‌هایی هستند که باید تست و تایید شوند. ارزیابی آسیب‌پذیری و تست نفوذ برای تایید وضعیت کنترل‌های امنیتی استفاده می‌شوند. مانیتور کردن رخدادهای سیستم طبق استراتژیِ مانیتور کردن امنیت، برنامه‌ی Incident Response و تایید امنیت و متریک‌ها، فعالیت‌های بنیادی برای اطمینان حاصل کردن از این هستند که بیشترین میزان امنیت به دست خواهد آمد. آسیب‌پذیری‌ها باید چک شوند و کنترل‌های دوره‌ای و فنی مثل بروزرسانی مرتب نرم‌افزارها باید به کار گرفته شوند.

آشنایی با مدیریت ریسک سازمانی

در سال های اخیر، بحران های مالی و شرایط متغیر اقتصادی سبب شده است، تدوین کنندگان مقررات و همچنین شرکتها برای حفظ و بقا خود نیازمند اتخاذ سیاست ها و رویه های مؤثری باشند که عدم اطمینان پیشروی سازمان را کاهش دهند و به فکر مدیریت این شرایط ناپایدار باشند. در این شرایط، توجه پژوهشگران به مفهوم مدیریت ریسک جلب شده است.

آشنایی با مدیریت ریسک سازمانی

لیلا یزدی مومن در یادداشت ارسالی خود به پایگاه خبری گزارش خبر با موضوع آشنایی با مفاهیم مدیریت ریسک سازمانی در بخش اول آورده است؛ در سال های اخیر، بحران های مالی و شرایط متغیر اقتصادی سبب شده است، تدوین کنندگان مقررات و همچنین شرکتها برای حفظ و بقا خود نیازمند اتخاذ سیاست ها و رویه های مؤثری باشند که عدم اطمینان پیشروی سازمان را کاهش دهند و به فکر مدیریت این شرایط ناپایدار باشند. در این شرایط، توجه پژوهشگران به مفهوم مدیریت ریسک جلب شده است.

مدیریت ریسک، مجموعه اقدامات در مفهوم مدیریت ریسک یک سازمان است که جهت کسب بازدهی مطلوب و کاهش نوسانات و تغییرات آن بازدهی ها انجام میشود.

در این راستا، تدوین کنندگان مقررات و سازمان های حرفه ای چارچوب ها و دستورالعمل هایی را در جهت استقرار مدیریت ریسک سازمانی تدوین کرده اند همچنین پژوهشگران به بررسی وضعیت به کارگیری چارچوب مدیریت ریسک سازمانی و چالش های به کارگیری آن و همچنین بررسی پیامدهای اقتصادی حاصل از به کارگیری آن پرداخته اند.

برای آشنایی بیشتر با مفهوم ریسک نیازمند بررسی تعریف های این واژه هستیم :

ریسک به معنای عدم اطمینان در مورد وقوع حادثه ای در آینده است. هرچه این عدم اطمینان بیشتر باشد ریسک بیشتر است. مدیران به دلیل عدم اطمینان محیطی و شدت رقابت در سازمان ها، با چالش های متعددی در تصمیم گیری مواجه اند. علاوه براین هر شرکت با توجه به شرایط درون سازمانی و صنعت و کشوری که در آن قرارگرفته است، ممکن است با ریسک های متعددی روبه رو باشد.

تعاریف متفاوتی برای ریسک وجود دارد. ریسک احتمال رخداد یک رویداد نامطلوب است که ممکن است تأثیر منفی بر سازمان داشته باشد. در در حیطه مالی نیز فدراسیون بین المللی حسابداران , ریسک را به عنوان رویداد بالقوه آتی تعریف میکند که میتواند دستیابی سازمان به اهداف راهبردی، عملیاتی و مالی را تحت تأثیر قرار دهد.

تعاریف مختلف از ریسک، ریسک را پدیده ای دووجهی تعریف کرده اند که از یکسو ممکن است اثرات مخرب بر دستیابی به اهداف سازمانی داشته باشد و از طرف دیگر ممکن است منجر به فرصت شود. نگرش به ریسک به عنوان آمیزه ای از مخاطره و فرصت ازیک طرف و نیز چندوجهی بـودن آن از طرف دیگر مستلزم اتخاذ رویکرد جامع نسبت به مدیریت ریسک است. در مقایسه با مدیریت ریسک سنتی، مدیریت ریسک سازمانی، مجموعه ریسک های یک شرکت را با روشی جامع و یکپارچه مورد بررسی قرار میدهد.

این روش مدیریت ریسک، به منزله بخشی از استراتژِی کسب وکار در نظر گرفته شده و یکی از اهداف اصلی آن افزایش ارزش سرمایه سهامداران است . در سال های اخیر تعاریف متعددی برای مدیریت ریسک سازمانی ارائه شده است. یکی از متداولترین تعاریف به صورت زیر است:

"مدیریت ریسک سازمانی فرآیندی است که توسط هیئت مدیره، مدیریت و سایر کارکنان واحد استقرار مییابد. این فرآیند در تدوین استراتژی های کلی واحد اقتصادی و تشخیص رویدادهایی که ممکن است به طور بالقوه بر واحد اثر گذارد، به کار گرفته میشود.

بعلاوه ریسک را در دامنه ریسک قابل پذیرش مدیریت کرده و اطمینانی معقول در رابطه با اهداف واحد فراهم میسازد هم چنین اطلاعات ریسک را با استفاده از ابزارهای مجزا مانند نقشه های ریسک،آزمونهای استرس و سناریوها مرتبط میکنند درمجموع به کنترل ریسک هایی میپردازند که سایر کنترل های عملیاتی مانند حسابرسی داخلی یا سایر کنترل های محدودکننده قادر به انجام آن نیستند، و با انجام این کنترلها تکمیل کننده رویه های کنترلی موجود مدیریت هستند. مدیریت ریسک دارای چارچوبها و اجزای مختلفی است.

ازآنجایی که، مدیریت ریسک در برخی شرکتها فقط شامل سیاستهای واحد تجاری برای رعایت تعداد محدودی ریسک است درحالیکه در برخی شرکتها این عدم قطعیت تا سطح استراتژِی شرکتها منعکس میشود و در محیط رقابتی و خارج آنها نیز بکار گرفته میشود لذا، به کارگیری چارچوب ها و رویه های مدیریت ریسک در سازمانهای مختلف با توجه به نوع صنعت و زمینه فرهنگی و ملی متفاوت است.

یکی از موارد مهم مورد اشاره نقش راهبری شرکتی و حمایت مدیریت ارشد است. علاوه بر آن چالش های مهمی مانند فرهنگ ریسک درک مفهوم مدیریت ریسک و استفاده مؤثر از فناوری نیز اشاره شده است. علاوه بر آن به کارگیری مدیریت ریسک دارای پیامدهای زیادی برای ذینفعان است.

مطابق ادبیات و دستورالعملهای مدیریت ریسک سازمانی، پیش فرض اصلی مدیریت ریسک سازمانی خلق ارزش برای ذینفعانش است. مدیریت ریسک سازمانی میتواند از طریق کاهش هزینه سرمایه، بهبود اعتماد سرمایه گذاران و همچنین بهبود رتبه اعتباری شرکت که نشان دهنده توانایی شرکت در بازپرداخت بدهیهای آن است و تصمیم گیری مدیران را بهبود بخشد موجب بهبود عملکرد شرکت شده علاوه بر آن فواید به کارگیری مدیریت ریسک سازمانی شامل افزایش حساب دهی و همکاران مدیران،بهبود رویه های حاکمیت شرکتی، درک بهتر مدیریت از استراتژِی شرکت و توافق نظر در مورد استراتژی شرکت است.

بیان میکنند که رویه های کیفیت مدیریت ریسک سازمانی عملکرد شرکت را افزایش میدهند و برای شرکت ارزش افزوده ایجاد میکنند. با بررسی مقایسه ای مطالعات صورت گرفته در حوزه مدیریت ریسک بیان میکنند که مدیریت ریسک سازمانی بر عملکرد و ارزش شرکت تأثیر مثبتی دارد.

در نهایت , پس از آشنایی با مفاهیم اولیه ی ریسک سازمانی وپذیرش این نکته که درک مفهوم ریسک و ارزیابی آن به سازمان چه کمکی مینماید , نیازمند آشنایی با جنبه های دیگر از ریسک سازمانی و مدیریت آن هستیم که در مقالات بعدی به آنها خواهیم پرداخت.



اشتراک گذاری

دیدگاه شما

اولین دیدگاه را شما ارسال نمایید.