چرا ایزو 31000 برای سازمان ها مهم است؟
ISO 31000 با استفاده از AS/NZS 4360:2004 به عنوان اولین پیش نویس آن. در سال 2009، ISO 31000 با استقبال گسترده ای منتشر شد. امروزه ISO 31000:2009 استاندارد بین المللی مدیریت ریسک باقی مانده است. اما چرا ایزو 31000 برای سازمان ها مهم است؟.
چرا ایزو 31000 برای سازمان ها مهم است؟ ممکن است هر روز تجزیه و تحلیل ریسک، انجام دهیم. مثلا هنگامی که از خیابان عبور می کنیم، یا تصمیم می گیریم کمربند ایمنی خود را ببندیم، و یا زود حرکت کنیم تا به موقع به قرار مهم برسیم. اما وقتی صحبت از ریسک هایی می شود که در شرکت ها اتفاق می افتد، رویکرد رسمی لازم است. تجزیه و تحلیل ریسک می تواند مشکلات سازمان را پیش بینی کند.
با افزودن تجزیه و تحلیل ریسک در فرآیندهای کلیدی کسب و کار، می توان به مراحلی متعهد شد که اطمینان حاصل شود که مشکلات پیش بینی شده رخ نمی دهند یا مراحلی که در صورت وقوع پاسخ داده می شوند. زمان و پول می تواند بسیار مهم باشد. یک فرآیند ارزیابی ریسک عمومی توسط سازمان ایزو و از طریق استاندارد ایزو 31000 تعریف شده است. این رویکرد می تواند برای همه انواع ریسک در هر نوع سازمانی اعمال شود.
ISO 31000 چیست؟
ISO 31000 با استفاده از AS/NZS 4360:2004 به عنوان اولین پیش نویس آن در سال 2009 توسط سازمان بین المللی ISO تدوین و منتشر شد. پس از انتشار استاندارد ISO 31000 مورد استقبال گسترده ای توسط سازمان ها شد. امروزه ISO 31000:2009 استاندارد بین المللی مدیریت ریسک باقی مانده است. این سند 34 صفحه دارد و یک چارچوب کلی برای ایجاد زمینه، شناسایی، تجزیه و تحلیل، ارزیابی، درمان، نظارت و اطلاع رسانی ریسک ارائه می کند. ISO 31000 اولین سند منتشر شده در سری مدیریت ریسک ISO 31000 است و همچنین شامل موارد زیر است:
راهنمای ISO 73:2009 (1)، مربوط به مدیریت ریسک است و شامل واژگان، ارائه تعاریف اصطلاحات عمومی مربوط به مدیریت ریسک و شرح فعالیت های مربوط به مدیریت ریسک می باشد.
ISO/IEC 31010، هم مربوط به مدیریت ریسک می باشد و شامل تکنیک های ارزیابی ریسک، راهنمای پشتیبانی از استاندارد ISO 31000 که راهنمایی در مورد انتخاب و کاربرد تکنیک های سیستماتیک برای ارزیابی ریسک ارائه می دهد، می باشد.
چرا ایزو 31000 برای سازمان ها مهم است در حالی که سازمان من قبلاً به COSO در زمینه انطباق با Sox پایبند است؟
ISO 31000 را می توان به عنوان به روز رسانی COSO در نظر گرفت که تفکر مدیریت ریسک فعلی را در سطح بین المللی منعکس می کند. با این حال، ISO 31000 در مقایسه با COSO مزایای مرتبطی را ارائه می دهد:
- عملی تر است
- جزئیات بیشتری را ارائه می دهد
- اصطلاحات را به صراحت تعریف می کند
- واضحتر نوشته شده است و برای CXOها و متخصصان ریسک راحتتر قابل درک است
- اطلاعات موجود در استاندارد را می توان برای توسعه دستورالعمل هایی برای ارزیابی روش های مدیریت ریسک موجود تطبیق داد
- پایه ای برای اجرای سایر استانداردها و دستورالعمل های مدیریت ریسک ISO فراهم می کند
مهم ترین تفاوت در تعریف ریسک برای ISO 31000 و COSO ERM مدیریت ریسک سازمانی است.
ISO ریسک را به عنوان “اثر عدم قطعیت بر اهداف” تعریف می کند، که پیامدهای عدم قطعیت را برجسته می کند و بنابراین دیدگاه متفاوتی نسبت به COSO از ریسک ارائه می دهد.
از سوی دیگر، COSO ERM ریسک را به عنوان “احتمال رخ دادن یک رویداد و تأثیر نامطلوب بر دستیابی به اهداف” تعریف می کند. COSO تلاش را بر تجزیه و تحلیل رویدادها متمرکز می کند تا پیامدهای این رویدادها برای سازمان را کاهش دهد.
پیشگیری از ریسک، بخشی از فرآیند مدیریت کیفیت
پیشگیری و تصحیح اقدامات و نتایج ناخواسته از دیرباز بخشی از ISO 9001 بوده است، اما به عناصر خاصی از فرآیند مدیریت کیفیت محدود شده است.
ISO ریسک مشاغل را در استاندارد ISO 31000 خود گنجانده است که یک رویکرد مدیریت ریسک در سطح سازمانی را ارائه می دهد. ISO 31000 با مفاهیم مهم مدیریت ریسک هماهنگ است، مانند:
- هنگام استفاده از یک فرصت کلیدی، چه زمانی باید ریسک پذیرفت یا خیر.
- روش های قابل قبول برای حذف کامل یک منبع خطر
- اجتناب از فعالیت های مرتبط با یک خطر خاص
چه مزایای اضافی در پذیرش استاندارد ISO31000 خواهم داشت؟
علاوه بر ایزو 31000، مقدمه ایزو 31010 اصول کلی مدیریت ریسک را ارائه می کند. ضمیمه ها به جزئیات بیشتری در مورد انواع مختلف تکنیک های ارزیابی ریسک می پردازند و جنبه های مثبت و منفی هر یک از آنها را توضیح می دهند.
برای سازمانی که اجرای موثر ایزو 31000 را خواهد داشت، مدیریت ریسک مزایای زیر را به همراه خواهد داشت:
- ارزش ایجاد می کند و از آن محافظت می کند.
- بخشی جدایی ناپذیر از تمام فرآیندهای سازمانی است.
- بخشی از تصمیم گیری است.
- به صراحت به عدم قطعیت می پردازد.
- سیستماتیک، ساختارمند و به موقع است.
- بر اساس بهترین اطلاعات موجود است.
- عوامل انسانی و فرهنگی را در نظر می گیرد.
- شفاف و فراگیر است.
- پویا، پر تکرار و پاسخگو به تغییر است.
- بهبود مستمر سازمان را تسهیل می کند.
نتیجه گیری
مدیران باید اهمیت مدیریت ریسک را به عنوان ابزاری برای رفع نیازهای کسب و کار و توسعه برنامه مدیریتی برای حمایت از این نیازها درک کنند. هدف مدیریت ریسک شناسایی، تجزیه و تحلیل، کمی سازی و مدیریت ریسک های اطلاعاتی (مرتبط با امنیت) برای دستیابی به اهداف تجاری از طریق تعدادی از وظایف است.
مدیریت ریسک فرآیندی است با هدف دستیابی به تعادل بهینه بین تحقق فرصتهای سود و به حداقل رساندن آسیبپذیریها و زیانها. این معمولاً با حصول اطمینان از اینکه تأثیر تهدیدهایی که از آسیبپذیریها استفاده میکنند در محدودههای قابل قبول و با هزینه قابل قبول انجام میشود.
خطرات مؤثر بر سازمان ها می تواند پیامدهایی از نظر عملکرد اقتصادی و شهرت حرفه ای و همچنین پیامدهای زیست محیطی، ایمنی و اجتماعی داشته باشد. بنابراین، مدیریت ریسک به طور موثر به سازمان ها کمک می کند تا در محیطی پر از عدم قطعیت عملکرد خوبی داشته باشند.
سوالات متداول
مدیریت ریسک چه مزایایی برای سازمان ها دارد؟
برای سازمانی که اجرای موثر ایزو 31000 را خواهد داشت، مدیریت ریسک مزایای زیر را به همراه خواهد داشت:
– ارزش ایجاد می کند و از آن محافظت می کند.
– بخشی جدایی ناپذیر از تمام فرآیندهای سازمانی است.
– بخشی از تصمیم گیری است.
– به صراحت به عدم قطعیت می پردازد.
– سیستماتیک، ساختارمند و به موقع است.
– بر اساس بهترین اطلاعات موجود است.
– عوامل انسانی و فرهنگی را در نظر می گیرد.
– شفاف و فراگیر است.
– پویا، پر تکرار و پاسخگو به تغییر است.
– بهبود مستمر سازمان را تسهیل می کند.
