راهنمای جامع مدیریت ریسک: از شناسایی تا پاسخ (بر اساس استاندارد DEA)

پیشگفتار

مفهوم مدیریت ریسک برای بخش خدمات عمومی جدید نیست؛ زیرا اصول بنیادین ارائه خدمات (باتو پله، ۱۹۹۷) به‌روشنی نیاز به مدیریت ریسک محتاطانه را برای پشتیبانی از تحقق اهداف دولت بیان می‌کند.

کتاب راهنمای مدیریت ریسک سازمانی وزارت امور محیط زیست (DEA)، اساس تلاش‌های ما برای بهبود قابلیت مدیریت ریسک در این وزارتخانه را به‌منظور دستیابی به فرهنگی هوشمندانه در قبال ریسک، تشکیل می‌دهد.

ما باید توانایی خود را در شناسایی، مدیریت و نظارت بر ریسک‌ها در سطوح استراتژیک، عملیاتی و فرآیندی افزایش دهیم؛ ریسک‌هایی که ممکن است بر دستیابی وزارت امور محیط زیست به مأموریت و اهداف استراتژیک خود تأثیر (مثبت یا منفی) بگذارند.

علاوه بر این، برای همه ما مهم است که درک کنیم مسئولیت مدیریت ریسک بر عهده تمام سطوح مدیریتی است و تنها به مقام حسابدهی، اداره کل مدیریت ریسک سازمانی و حسابرسی داخلی محدود نمی‌شود. بنابراین، فرآیندهای تصمیم‌گیری وزارت امور محیط زیست باید همواره ریسک و پاداش را در نظر بگیرند و در عین حال، نیازها و انتظارات ذی‌نفعان و شرکای ما را برآورده سازند.

این کتاب راهنما، رویکردی ساختاریافته و یکپارچه برای دستیابی به موارد فوق ارائه می‌دهد.

آقای الف ویلیس
مدیر کل (سرپرست)
تاریخ: ۲۰۱۳/۰۶/۱۹

---

مقدمه

۱.۱ هدف

راهنمای مدیریت ریسک سازمانی وزارت امور محیط زیست (DEA) به‌عنوان یک راهنمای مرجع برای مدیریت و کارکنان در زمینه راهبری، پیاده‌سازی و اجرای مدیریت ریسک در سازمان عمل می‌کند.

هدف این راهنما، ایجاد رویکردی ساختاریافته و منسجم برای مدیریت ریسک، از طریق همسو کردن استراتژی، فرآیندها، افراد، فناوری و سیستم‌های اطلاعاتی است تا بتوان عدم‌قطعیت‌هایی را که وزارت امور محیط زیست به دلیل ماهیت فعالیت‌های خود، تغییر در محیط، قوانین و مقررات و محیط کنترلی با آن‌ها مواجه است، ارزیابی و مدیریت کرد.

با این فرض که ریسک، پیامد اجتناب‌ناپذیر فعالیت‌های هر سازمانی است، این راهنما جهت‌گیری کلی را ارائه می‌دهد تا مدیریت و کارمندان بتوانند در چارچوب آن، فرهنگ استوار مدیریت ریسک را در سراسر وزارت امور محیط زیست نهادینه سازند.

این راهنما دیدگاه‌های وزارت امور محیط زیست در قبال ریسک و نحوه مدیریت آن را تشریح کرده و ارزشی را که این وزارتخانه به دنبال آن است، منعکس می‌کند. راهنمای مذکور، تعهد وزارت امور محیط زیست به مدیریت ریسک سازمانی (ERM) و رویکردی را که باید در پیاده‌سازی ERM و مدیریت ریسک‌ها دنبال شود، به‌تفصیل بیان می‌کند. این راهنما بنیانی برای ایجاد فرهنگ مدیریت ریسک در سازمان فراهم می‌آورد که در تمام فرآیندهای عملیاتی آن گنجانده شده است.

این راهنما همچنین به‌عنوان مبنایی برای تعیین اهداف مربوط به سطح عملکرد و مسئولیت‌پذیری در حوزه ERM عمل می‌کند که وزارت امور محیط زیست برای دستیابی به آن تلاش خواهد کرد و معیاری است که تمام فعالیت‌ها و عملیات ERM بر اساس آن ارزیابی خواهند شد.

در سطح عملی، این راهنما همچنین تضمین می‌کند که نتایج و اطلاعات به‌دست‌آمده از فرآیندهای مدیریت ریسک، برای تصمیم‌گیری‌ها و اولویت‌بندی‌ها در تمام سطوح سازمان مورد استفاده قرار می‌گیرد.

در نهایت، این راهنما چارچوب مدیریت ریسک بخش عمومی را به رسمیت می‌شناسد و تلاش می‌کند تا با اصول مدیریت ریسک توصیه‌شده در این بخش همسو شود.

۱.۲ ساختار

این راهنما از موارد زیر تشکیل شده است:

1. چارچوب مدیریت ریسک سازمانی (ERM) وزارت امور محیط زیست (نمودار گرافیکی)
2. مجموعه‌ای از راهنماها:

• الف) مدیریت ریسک چیست؟
• ب) شناسایی ریسک
• ج) فعالیت‌های کنترلی
• د) ارزیابی ریسک
• ه) رتبه‌بندی ریسک
• و) استراتژی پاسخ به ریسک
• ز) واژه‌نامه اصطلاحات مدیریت ریسک

---

چارچوب مدیریت ریسک سازمانی وزارت امور محیط زیست

شکل ۱: چارچوب مدیریت ریسک سازمانی (ERM) وزارت امور محیط زیست

این چارچوب بر اساس استراتژی کلی وزارت امور محیط زیست بنا شده و شامل اجزای زیر است:

• ۱. مدیریت ریسک سازمانی وزارت امور محیط زیست
• ۲. الزامات قانونی:
  • PFMA
  • بند ۳۸ (۱) (الف) (i)
  • بند ۴۵
  • مقررات خزانه‌داری
  • بخش‌های ۳.۲.۱، ۳.۲.۷ (الف)
• ۳. سیاست‌ها:
  • سیاست مدیریت ریسک سازمانی
  • سیاست مدیریت ریسک تقلب
• ۴. ساختارها و مسئولیت‌ها:
  • نظارت: کمیته پیشگیری از تقلب (FPC)، کمیته مدیریت ریسک (RMC)، کمیته حسابرسی (AC)، کمیته‌های پارلمانی، خزانه‌داری ملی
  • اطمینان‌بخشی: حسابرسی داخلی، حسابرس کل
  • نقش‌ها و مسئولیت‌ها (شامل خطوط گزارش‌دهی)
• ۵. آموزش و مربیگری
• ۶. فرآیند ERM:
  • تعیین بستر
  • شناسایی رویداد(ها) (شامل عوامل مؤثر و پیامدها)
  • اطلاع‌رسانی فرصت‌ها (رویداد مثبت) به واحد استراتژی
  • انجام ارزیابی ریسک
  • تدوین برنامه‌های اقدام
  • اجرای برنامه‌ها
  • نظارت، بازبینی و گزارش‌دهی در مورد کاهش ریسک
• ۷. سیستم اطلاعاتی ERM:
  • پایگاه(های) داده
• ۸. گزارش‌دهی اطلاعات ERM:
  • دفاتر ثبت ریسک
  • گزارش‌های مدیریت ریسک برنامه/واحد
  • گزارش به کمیته حسابرسی
  • گزارش به کمیته پیشگیری از تقلب
  • افشا در گزارش سالانه
• ۹. متدولوژی‌های ERM (ابزارها و تکنیک‌ها):
  • خودارزیابی کنترلی (CSA)
  • تحلیل علل ریشه‌ای
  • شاخص‌های کلیدی ریسک (KRI)
  • برنامه‌ریزی سناریو
  • ارزیابی ریسک
  • ماتریس تحلیل ریسک
• ۱۰. کنترل‌های داخلی
• ۱۱. نظارت و بازبینی

---

راهنمای اول: مدیریت ریسک چیست؟

۱. مقدمه

اصطلاح «مدیریت ریسک» امروزه به‌طور گسترده در سازمان‌ها به کار می‌رود. برای مثال، ایمنی، امنیت، مدیریت بحران، تداوم کسب‌وکار، بیمه و حسابرسی داخلی اغلب «مدیریت ریسک» نامیده می‌شوند.

اینکه این کارکردها بخشی از موضوع گسترده‌تر مدیریت ریسک را تشکیل می‌ده دهند، کاملاً درست است. اما اصطلاح «مدیریت ریسک» به معنای تمرکز هدفمند بر تمام ریسک‌های یک سازمان است.

اصطلاح «مدیریت ریسک سازمانی» (ERM) به روشی محبوب برای توصیف کاربرد مدیریت ریسک در سراسر سازمان تبدیل شده است، نه فقط در حوزه‌ها یا رشته‌های کاری منتخب.

مدیریت ریسک یک رشته مدیریتی با تکنیک‌ها و اصول خاص خود است. این یک علم مدیریتی شناخته‌شده است که توسط آیین‌نامه‌ها، استانداردها، مقررات و قوانین ملی و بین‌المللی مانند استاندارد ISO 31000 رسمیت یافته است.

مدیریت ریسک بخشی از مسئولیت‌های اصلی مدیریت را تشکیل می‌دهد و جزء جدایی‌ناپذیر فرآیندهای داخلی یک سازمان است.

این راهنما از اصطلاح ساده‌تر «مدیریت ریسک» استفاده کرده و این کارکرد را به‌صورت کلی توضیح می‌دهد و نشان می‌دهد که چگونه رشته‌های فنی مختلف مرتبط با ریسک، بخشی از این حوزه گسترده‌تر را تشکیل می‌ده دهند.

۲. تعریف

مدیریت ریسک، فرآیندی سیستماتیک برای شناسایی، ارزیابی و رسیدگی مستمر به ریسک‌هاست، پیش از آنکه این ریسک‌ها بتوانند تأثیر منفی بر ظرفیت ارائه خدمات سازمان بگذارند.

این تنها تعریف ERM نیست و تعاریف جایگزین دیگری نیز در این حوزه استفاده می‌شود.

وزارت امور محیط زیست (DEA)، مدیریت ریسک را فرهنگ، فرآیندها و ساختارهایی تعریف می‌کند که در جهت تحقق فرصت‌های بالقوه و در عین حال، مدیریت اثرات نامطلوب هدایت می‌شوند.

مدیریت ریسک در صورت اجرای صحیح، اطمینان معقول، اما نه مطلق، را فراهم می‌کند که سازمان در دستیابی به اهداف و مقاصد خود موفق خواهد بود.

۳. نگاه کلی

مدیریت ریسک به انواع ریسک‌های مهمی می‌پردازد که با اهداف سازمان مرتبط هستند. این رویکرد، هیچ‌گونه سوگیری نسبت به کارکرد خاصی برای کنترل ریسک ندارد. مدیریت ریسک باید به تمام بخش‌های سازمان رسیدگی کند و هیچ بخشی نمی‌تواند ادعا کند که نیازی به مشارکت در فرآیندهای آن ندارد. در نهایت، مدیریت ریسک در کل سازمان جاری می‌شود، به‌طوری که تمام سطوح مدیریت در فرآیندهای آن شرکت می‌کنند. کارکردهای موجود مرتبط با ریسک مانند مدیریت ریسک امنیتی، مدیریت ریسک بهداشت و ایمنی و غیره نیز باید فعالیت‌های خود را با برنامه مدیریت ریسک سازمان همسو کنند. این همسویی، امکان بازتعریف مدیریت ریسک را در قالب ERM فراهم می‌کند.

بسیاری از مدیران به‌درستی پرسیده‌اند که چرا «ریسک» به تمرکز جداگانه‌ای نیاز دارد و چرا نمی‌توان آن را مانند گذشته مدیریت کرد. دلیل اصلی این است که محیط ارائه خدمات و تعامل بخش عمومی با ذی‌نفعان، بسیار مطالبه‌گرانه‌تر و بی‌ثبات‌تر از گذشته شده است. روش‌های سنتی انجام کارها دیگر مؤثر نیستند، همان‌طور که ناکامی‌ها در ارائه خدمات و راهبری عمومی گواه آن است. در پاسخ به این موضوع، اصول راهبری شرکتی و قوانین مرتبط، سازمان‌های بخش عمومی را ملزم می‌کند که در نحوه مدیریت و گزارش‌دهی ریسک، شفاف‌تر و ساختاریافته‌تر عمل کنند.

ذی‌نفعان باید مشاهده کنند که سازمان، رویکردی پیشگیرانه و سیستماتیک برای مدیریت ریسک‌های خود دارد.

مدیریت ریسک توسط بخش عمومی به‌عنوان روشی مناسب برای مدیریت ریسک شناخته شده است. سازمان‌های مختلف ممکن است واکنش‌های متفاوتی به ریسک داشته باشند، مانند مدیریت ایمنی، مدیریت ریسک‌های قابل‌بیمه شدن، کنترل داخلی و روابط عمومی. مهم است که انواع مختلف ریسک در سطح عملیاتی یا فرآیندی مورد توجه مناسب قرار گیرند. با این حال، ذی‌نفعان می‌خواهند یک استراتژی واحد و منسجم برای مدیریت ریسک‌های مختلف در کل سازمان مشاهده کنند.

۴. چرا به مدیریت ریسک نیاز داریم؟

مردم اغلب می‌پرسند چرا مدیریت ریسک نمی‌تواند در حیطه مدیریت عمومی باقی بماند. حقیقت این است که چنین است، اما مدیریت ریسک به دلایل زیر تمرکز ویژه‌ای بر ریسک فراهم می‌کند:

۴.۱ راهبری شرکتی

قوانینی مانند PFMA به همراه آیین‌نامه‌های راهبری شرکتی مانند King III از یک سازمان انتظار دارند که برنامه مدیریت ریسک را پیاده‌سازی کند. در نتیجه ناکامی‌های سازمانی گذشته، ذی‌نفعان نمی‌خواهند توسط رویدادهای ریسک غافلگیر شوند. آن‌ها انتظار دارند که کنترل داخلی و سایر مکانیسم‌های کاهش ریسک، بر اساس ارزیابی کامل ریسک‌های سراسر سازمان باشد.

پیش از این، اعضای مقام حسابدهی در جزئیات مدیریت ریسک درگیر نبودند، زیرا این امر یک کارکرد عملیاتی تلقی می‌شد.

ذی‌نفعان به اطمینان نیاز دارند که مدیریت، اقدامات لازم را برای حفاظت از منافع آن‌ها انجام داده است. بنابراین، راهبری شرکتی، مسئولیت‌پذیری در قبال مدیریت ریسک را بر عهده مقام حسابدهی قرار می‌دهد.

مقامات اجرایی، مقام‌های حسابدهی، مسئولان حسابدهی و ذی‌نفعان، اکنون می‌خواهند بیشتر درباره ریسک‌های پیش روی یک سازمان بدانند. این امر در محیطی با انتظارات پیچیده و چالش‌برانگیز در ارائه خدمات، قابل درک است.

۴.۲ برنامه‌ریزی و سازماندهی

ارزش مدیریت ریسک زمانی به بهترین شکل محقق می‌شود که اصول و تکنیک‌های آن در طول فرآیندهای برنامه‌ریزی و سازماندهی به کار گرفته شود. با توجه به افزایش سطوح بی‌ثباتی و عدم قطعیت، حیاتی است که برنامه‌ها، به‌ویژه برنامه‌های چندساله، ارزیابی کاملی از ریسک‌ها و استراتژی‌های کاهش ریسک را در بر گیرند.

برای این منظور، می‌توان از ابزارها و متدولوژی‌های موجود مانند تحلیل SWOT، تحلیل PEST، مدل پورتر و بازبینی‌های داخلی برای تکمیل مدل مدیریت ریسک سازمان استفاده کرد.

از این رو، روشن می‌شود که برنامه‌ریزی، سازماندهی و مدیریت ریسک به یکدیگر وابسته‌اند.

۴.۳ ارزیابی مستمر ریسک

پروفایل ریسک یک سازمان پویا است، به این معنی که به‌طور مداوم در حال تغییر است. برخی ریسک‌ها توسط تغییراتی که خود سازمان آغاز کرده‌ است، ایجاد می‌شوند. برخی دیگر نتیجه تغییرات در جامعه، کسب‌وکار، قوانین و مقررات یا جوامع هستند.

حتی بهترین تیم‌های مدیریتی نیز در صورتی که مدیریت ریسک به‌صورت غیررسمی انجام شود، برای حفظ دیدگاهی دقیق از ریسک‌های در حال تغییر با مشکل مواجه خواهند شد.

برنامه مدیریت ریسک باید این توانایی را به سازمان بدهد که به‌طور سیستماتیک ریسک‌های جدید و نوظهور را شناسایی کند و این اطمینان را بدهد که با توجه به محدودیت‌های منابع و سایر چالش‌ها، ریسک‌های موجود به بهترین شکل ممکن مدیریت می‌شوند.

تغییر اغلب خارج از کنترل مدیریت است، اما ریسک‌هایی که ایجاد می‌کند باید مدیریت شوند.

۴.۴ تکامل مدیریت ریسک

مدیریت ریسک در سال‌های اخیر تکامل یافته است. ما شاهد یکپارچگی تکنیک‌های مدیریت ریسک با پیشگیری از تقلب، کنترل داخلی و راهبری شرکتی بوده‌ایم. همچنین، کارکردهای مدیریت ریسک عملیاتی در چتر گسترده‌تر مدیریت ریسک سازمانی یکپارچه شده‌اند. جنبه‌هایی مانند کنترل داخلی، مدیریت ایمنی، پایداری و مدیریت محیط‌زیست، در دوران اخیر اهمیت بیشتری یافته‌اند. گسترش مدیریت ریسک، شاهد تغییر تأکید از ریسک‌ها به‌عنوان خطرات فردی، به ریسک‌ها به‌عنوان عدم‌قطعیت‌های پیرامون اهداف کلیدی بوده است.

مدیریت ریسک همچنین شاهد ورود مشارکت‌کنندگان جدیدی به این فرآیند بوده است. این کارکرد دیگر به کارکنان بیمه، حسابرسان داخلی و واحدهای پیشگیری از زیان محدود نمی‌شود.

رویکرد گسترده‌تر به مدیریت ریسک، این حوزه را در دیدگاه مسئولان منابع انسانی، مسئولان تطبیق، مدیران مالی، متخصصان فناوری اطلاعات و ارتباطات و سایر مدیران عملکردی قرار داده است.

۴.۵ برنامه‌های حسابرسی داخلی

برنامه‌های حسابرسی داخلی اکنون بر اساس نتایج ارزیابی‌های ریسک تنظیم می‌شوند. حسابرسان داخلی به‌طور فزاینده‌ای اولویت‌های خود را بر اساس برنامه مدیریت ریسک قرار می‌دهند و به دارایی‌ها و فرآیندهای پرریسک اولویت می‌بخشند.

حسابرسی داخلی در جایگاه مناسبی برای اعتبارسنجی مستقل کنترل‌های کلیدی قرار دارد. چارچوب‌های کنترل داخلی که توسط حسابرسان استفاده می‌شود، سهم مفیدی در برنامه مدیریت ریسک دارند.

حسابرسی داخلی یک نقش‌آفرین کلیدی در فرآیند اطمینان‌بخشی در خصوص اثربخشی مدیریت ریسک است.

۴.۶ تغییر فرهنگی

رفتارهای اساسی مقامات مسئول در فعالیت‌های مختلف مدیریت ریسک باید تغییر کند. این امر مستلزم تغییری در پویایی فرهنگی در حوزه مدیریت ریسک است که می‌توان از طریق آگاهی‌بخشی، ترویج، ارتباطات، مربیگری، آموزش و ارتباط با معیارهای عملکرد به آن دست یافت.

مدیریت ریسک باید کاتالیزوری برای تغییر رفتار مدیران باشد. مدیران باید شایستگی‌هایی را برای اطمینان از اتخاذ تصمیمات آگاهانه مبتنی بر ریسک توسعه دهند.

مدیران به جای آنکه مدیریت ریسک و فعالیت‌های مرتبط با آن را صرفاً بوروکراسی بدانند، باید به آن به‌عنوان یک محرک قدرتمند برای تعالی در ارائه خدمات نگاه کنند.

۵. نتیجه‌گیری

این خطر وجود دارد که ریسک‌هایی که خارج از حوزه‌های عملکردی سنتی قرار می‌گیرند، مدیریت‌نشده باقی بمانند و پیامدهای جدی بر اهداف سازمانی داشته باشند. بنابراین، نیاز به مدیریت ریسک گسترده حیاتی است، زیرا این امر همچنین تضمین می‌کند که ریسک‌هایی که قبلاً به اندازه کافی مورد توجه قرار نگرفته‌اند، اکنون به‌درستی مدیریت می‌شوند. فرآیندهای مدیریت ریسک که با ساختارهای موجود سازمان یکپارچه شده‌اند، احتمالاً در دستیابی به ارائه خدمات مطلوب و سایر اهداف، اثربخش‌تر خواهند بود.

---

راهنمای دوم: شناسایی ریسک

۱. مقدمه

هدف از فرآیند شناسایی ریسک، شناسایی، بحث و مستندسازی ریسک‌های پیش روی سازمان است.

مدیریت تقریباً همیشه می‌داند که سازمان با چه ریسک‌هایی مواجه است، اما همیشه این ریسک‌ها را به‌طور رسمی ثبت نمی‌کند. این امر، تدوین رهنمودهای شناسایی ریسک را برای اطمینان از مدیریت مؤثر و کارآمد ریسک توسط سازمان‌ها ضروری ساخت.

۲. فرآیند شناسایی ریسک

هدف از شناسایی ریسک، تهیه فهرستی جامع از ریسک‌ها بر اساس رویدادها و شرایطی است که ممکن است دستیابی به اهداف را تقویت، منع، تضعیف یا به تأخیر اندازند. سپس این فهرست برای هدایت تحلیل، ارزیابی، اقدامات کنترلی و نظارت بر ریسک‌های کلیدی مورد استفاده قرار می‌گیرد.

شناسایی و ثبت جامع بسیار حیاتی است، زیرا ریسکی که در این مرحله شناسایی نشود، ممکن است از تحلیل‌های بعدی مستثنی گردد. این فرآیند باید شامل همه ریسک‌ها باشد، چه تحت کنترل سازمان باشند و چه نباشند.

مهم است که فرآیند شناسایی ریسک در جزئیات مفهومی یا نظری گرفتار نشود. همچنین نباید خود را به فهرست ثابتی از دسته‌بندی‌های ریسک محدود کند، اگرچه چنین فهرستی ممکن است مفید باشد.

گام‌های شناسایی ریسک‌ها:

1. درک آنچه در هنگام شناسایی ریسک باید در نظر گرفته شود
2. جمع‌آوری اطلاعات از منابع مختلف برای شناسایی ریسک‌ها
3. به‌کارگیری ابزارها و تکنیک‌های شناسایی ریسک
4. مستندسازی و ثبت ریسک‌های شناسایی‌شده

این گام‌ها در ادامه به‌تفصیل مورد بحث قرار می‌گیرند.

الف. درک آنچه باید در نظر گرفته شود

برای تهیه فهرستی جامع از ریسک‌ها، باید از یک فرآیند سیستماتیک استفاده شود که با تعریف اهداف و معیارهای کلیدی موفقیت برای دستیابی به آن‌ها آغاز می‌شود. این کار می‌تواند به ایجاد اطمینان از کامل بودن فرآیند شناسایی ریسک و نادیده گرفته نشدن مسائل عمده کمک کند.

شکل ۲: شناسایی ریسک – سوالاتی درباره هر یک از عناصر کلیدی

• منبع هر ریسک چیست؟
• چه اتفاقی ممکن است رخ دهد که بتواند:
  • دستیابی مؤثر به اهداف را افزایش یا کاهش دهد.
  • دستیابی به هدف را کارآمدتر یا کم‌کارآمدتر کند (مثلاً از نظر مالی، افراد، زمان).
  • منافع اضافی ایجاد کند.
• سایر ملاحظات:
  • پیامد آن بر اهداف چه خواهد بود؟
  • این ریسک‌ها (چه مثبت و چه منفی) چه زمانی، کجا، چرا و چگونه احتمال دارد رخ دهند؟
  • چه کسی ممکن است درگیر یا متأثر شود؟
  • در حال حاضر چه کنترل‌هایی برای مدیریت این ریسک (حداکثر کردن فرصت‌ها یا به حداقل رساندن تهدیدها) وجود دارد؟
  • چه چیزی می‌تواند باعث شود که کنترل، تأثیر مطلوب را بر ریسک نداشته باشد؟

ب. جمع‌آوری اطلاعات برای شناسایی ریسک‌ها

اطلاعات باکیفیت در شناسایی ریسک‌ها مهم است؛ همچنین داشتن دانش از کسب‌وکار قبل از شروع فرآیند شناسایی، حیاتی است. نقطه شروع برای شناسایی ریسک ممکن است اطلاعات تاریخی درباره این سازمان یا سازمان‌های مشابه باشد. سپس بحث و گفتگو با طیف گسترده‌ای از ذی‌نفعان در مورد مسائل تاریخی، جاری و نوظهور، تحلیل داده‌ها، بررسی شاخص‌های عملکرد، اطلاعات اقتصادی، داده‌های زیان، برنامه‌ریزی سناریو و موارد مشابه می‌تواند اطلاعات مهمی در مورد ریسک ارائه دهد.

علاوه بر این، فرآیندهایی که در طول برنامه‌ریزی استراتژیک مانند تحلیل SWOT، تحلیل PEST(EL) و محک‌زنی (بنچمارکینگ) استفاده می‌شوند، ریسک‌ها و فرصت‌های مهمی را آشکار کرده‌اند که نباید نادیده گرفته شوند و باید لحاظ گردند.

ج. به‌کارگیری ابزارهای شناسایی ریسک

سازمان‌ها باید مجموعه‌ای از ابزارها و تکنیک‌های شناسایی ریسک را به کار گیرند که متناسب با اهداف، توانایی‌ها و ریسک‌هایی باشد که سازمان با آن‌ها مواجه است. اطلاعات مرتبط و به‌روز در شناسایی ریسک‌ها مهم است و در صورت امکان باید شامل اطلاعات پیش‌زمینه‌ای مناسب باشد. افراد با دانش مناسب باید در شناسایی ریسک‌ها مشارکت داشته باشند.

شکل ۳: شناسایی ریسک: ابزارها و تکنیک‌ها

• برنامه‌های استراتژیک و کسب‌وکار
• مصاحبه‌های ساختاریافته
• گزارش‌های حسابرسی
• روال‌های عملیاتی استاندارد / چک‌لیست‌ها
• نظرسنجی‌ها و پرسشنامه‌ها
• گروه‌های متمرکز
• گزارش‌های پسارویداد
• تحقیق / محک‌زنی (بنچمارکینگ)

رویکردهای مورد استفاده برای شناسایی ریسک‌ها می‌تواند شامل استفاده از چک‌لیست‌ها، قضاوت‌های مبتنی بر تجربه و سوابق، فلوچارت‌ها، طوفان فکری، تحلیل سیستم‌ها، تحلیل سناریو و تکنیک‌های مهندسی سیستم باشد.

• رویکرد مورد استفاده به ماهیت فعالیت‌های تحت بررسی، انواع ریسک‌ها، بستر سازمانی و هدف از فرآیند مدیریت ریسک بستگی خواهد داشت.
• به‌عنوان مثال، طوفان فکری تیمی، که در آن کارگاه‌های تسهیل‌شده برگزار می‌شود، یک رویکرد ترجیحی است زیرا تعهد را تشویق می‌کند، دیدگاه‌های مختلف را در نظر می‌گیرد و تجربیات متفاوت را در بر می‌گیرد.
• تکنیک‌های ساختاریافته مانند تهیه فلوچارت، بازبینی طراحی سیستم، تحلیل سیستم، مطالعات خطر و قابلیت عملیاتی (HAZOP) و مدل‌سازی عملیاتی باید در مواردی که پیامدهای بالقوه فاجعه‌بار هستند و استفاده از چنین تکنیک‌های فشرده‌ای مقرون‌به‌صرفه است، مورد استفاده قرار گیرد.
• از آنجا که کارگاه‌های ریسک تنها برای فیلتر کردن و غربالگری ریسک‌های ممکن مفید هستند، مهم است که این کارگاه‌ها با تکنیک‌های پیچیده‌تر یا ساختاریافته‌تری که در بالا شرح داده شد، تکمیل شوند.
• برای موقعیت‌هایی که تعریف واضحی ندارند، مانند شناسایی ریسک‌های استراتژیک، می‌توان از فرآیندهایی با ساختار کلی‌تر، مانند تحلیل «چه می‌شود اگر» و تحلیل سناریو استفاده کرد.
• در مواردی که منابع موجود برای شناسایی و تحلیل ریسک محدود است، ممکن است لازم باشد ساختار و رویکرد برای دستیابی به نتایج کارآمد در چارچوب محدودیت‌های بودجه تطبیق داده شود. به‌عنوان مثال، در جایی که زمان کمتری در دسترس است، ممکن است تعداد کمتری از عناصر کلیدی در سطح بالاتر در نظر گرفته شود یا از یک چک‌لیست استفاده شود.

د. مستندسازی و ثبت ریسک‌های شناسایی‌شده

ریسک‌های شناسایی‌شده در طول فرآیند، معمولاً در یک دفتر ثبت ریسک مستند می‌شوند و در این مرحله، به‌طور معمول شامل موارد زیر است:

• عنوان و شرح ریسک
• چگونگی و چرایی وقوع ریسک (یعنی عوامل مؤثر و پیامدها)
• کنترل‌های داخلی موجود که ممکن است احتمال یا پیامدهای ریسک‌ها را کاهش دهند.

در این مرحله، درک روابط علت و معلولی بین یک ریسک، علل آن و پیامدهای بالقوه در صورت وقوع، بسیار حیاتی است. اگر در این مرحله ریسک «اشتباهی» شناسایی شود (مثلاً علل یا پیامدها، به جای خود ریسک واقعی)، ارزش بقیه فرآیند مدیریت ریسک را کاهش خواهد داد.

هنگام توصیف یک ریسک، در نظر گرفتن سه عنصر زیر ضروری است:

• شرح/رویداد: یک وقوع یا مجموعه‌ای خاص از شرایط
• عوامل مؤثر: عللی که ممکن است به وقوع یک ریسک کمک کنند یا احتمال وقوع آن را افزایش دهند
• پیامدها: نتیجه (نتایج) یا تأثیر (تأثیرات) یک رویداد.

ترکیب این عناصر است که یک ریسک را تشکیل می‌دهد و این سطح از جزئیات، DEA را قادر می‌سازد تا ریسک را بهتر درک و مدیریت کند.

دفتر ثبت ریسک حداقل موارد زیر را ثبت می‌کند:

• ریسک
• چگونگی و چرایی وقوع ریسک – «علت ریسک»
• در صورت تحقق ریسک، چگونه بر سازمان تأثیر خواهد گذاشت – «پیامد برای سازمان»
• کنترل‌های داخلی موجود که ممکن است احتمال وقوع ریسک را به حداقل برسانند
• احتمال و پیامدهای ریسک برای سازمان
• رتبه‌بندی سطح ریسک بر اساس معیارهای از پیش تعیین‌شده
• چارچوب ارزیابی، شامل اینکه آیا ریسک قابل قبول است یا نیاز به اقدام کنترلی دارد
• اولویت‌بندی واضح ریسک‌ها (پروفایل ریسک)
• مسئولیت‌پذیری برای اقدام کنترلی (ممکن است بخشی از برنامه اقدام باشد)
• چارچوب زمانی برای اقدام کنترلی.

پس از شناسایی ریسک‌ها و ارزیابی کنترل‌های موجود، اگر مشخص شود که کنترل‌ها ناکافی هستند، باید ارزیابی شود که آیا ریسک قابل قبول است یا نیاز به اقدام کنترلی دارد.

مثال‌های شناسایی ریسک:

از نمونه‌های زیر می‌توان دید که عدم تعریف صحیح ریسک، بر شناسایی کنترل، برنامه کاهش ریسک و در نهایت گزارش‌دهی تأثیر خواهد گذاشت. این همان قیاس قدیمی «آشغال ورودی، آشغال خروجی» است.

جداول ۱ و ۲ چند نمونه از توصیفات «خوب» و «ضعیف» ریسک را ارائه می‌دهют که از استاندارد AUS/NZ 2004 اقتباس شده‌اند.

جدول ۱: نمونه‌هایی از توصیفات خوب ریسک

مثال ۱: توصیف خوب ریسک

شرح ریسک: نرخ بالای جابجایی کارکنان

عوامل مؤثر: نارضایتی شغلی، جبران خدمات غیررقابتی

پیامدها: از دست دادن دانش سازمانی، تأخیر در تحقق اهداف کسب‌وکار

مثال ۲: توصیف خوب ریسک

شرح ریسک: نقض قانون بهداشت و ایمنی شغلی (OH&S)

عوامل مؤثر: عدم آگاهی از الزامات قانونی، نبود برنامه یا دفتر ثبت تطبیق

پیامدها: تبلیغات منفی، جریمه / مجازات

مثال ۳: توصیف خوب ریسک

شرح ریسک: نقص فناوری اطلاعات

عوامل مؤثر: قطعی برق، نقص نرم‌افزار

پیامدها: از دست دادن داده‌ها، اختلال در کسب‌وکار

 

جدول ۲: نمونه‌هایی از توصیفات ضعیف ریسک

مثال ۱: توصیف ضعیف ریسک

شرح ریسک: فقدان برنامه‌ریزی جانشین‌پروری.

عوامل مؤثر: کمبود زمان برای انتقال مسئولیت، بی‌میلی به انتقال اطلاعات

پیامدها: مالی، کسب‌وکار

توضیح: فقدان برنامه‌ریزی جانشین‌پروری، بیانگر نبودِ یک کنترل است.

مثال ۲: توصیف ضعیف ریسک

شرح ریسک: جریمه‌ها

عوامل مؤثر: عدم آگاهی از الزامات قانونی، نبود برنامه یا دفتر ثبت تطبیق

پیامدها: تبلیغات منفی، جریمه / مجازات

توضیح: جریمه‌ها در واقع پیامد برای سازمان هستند. علاوه بر این، شناسایی علت به این دلیل است که بتوان کنترل‌های صحیح را شناسایی کرد. این توصیف آنقدر گسترده است که تعریف یک کنترل، جز «ایجاد یک برنامه تطبیق کامل»، دشوار است.

مثال ۳: توصیف ضعیف ریسک

شرح ریسک: از سیستم پشتیبان‌گیری نشده است.

عوامل مؤثر: نقص فناوری اطلاعات

پیامدها: از دست دادن داده‌ها

توضیح: پشتیبان‌گیری نشدن از سیستم یک نقص کنترلی است. همچنین، نقص فناوری اطلاعات علت پشتیبان‌گیری نشدن از سیستم نیست، بلکه شیوه‌های کاری ضعیف علت آن است.

۳. مستندسازی فرآیند شناسایی ریسک

علاوه بر مستندسازی ریسک‌های شناسایی‌شده، لازم است فرآیند شناسایی ریسک نیز مستند شود تا به هدایت تمرین‌های آتی کمک کند و اطمینان حاصل شود که شیوه‌های خوب با استفاده از درس‌های آموخته‌شده از تمرین‌های قبلی حفظ می‌شوند.

مستندسازی این مرحله باید شامل موارد زیر باشد:

• رویکرد یا روش مورد استفاده برای شناسایی ریسک‌ها
• دامنه تحت پوشش شناسایی
• شرکت‌کنندگان در فرآیند شناسایی ریسک و منابع اطلاعاتی مورد مشاوره.

تجربه نشان داده است که مدیریت اغلب هنگام مستندسازی پروفایل ریسک سازمان، ریسک‌های به‌خوبی کنترل‌شده را نادیده می‌گیرد.

با این حال باید تأکید کرد که یک ریسک به‌خوبی کنترل‌شده نیز باید در پروفایل ریسک سازمان ثبت شود. منطق این کار این است که فرآیندهای شناسایی ریسک‌ها باید در آن مقطع هرگونه عامل کاهش‌دهنده را نادیده بگیرند (این موارد هنگام ارزیابی ریسک در نظر گرفته خواهند شد).

۴. خروجی‌های شناسایی ریسک

سندی که ریسک‌ها در آن ثبت می‌شوند به عنوان «دفتر ثبت ریسک» شناخته می‌شود و خروجی اصلی فرآیند شناسایی ریسک است.

دفتر ثبت ریسک، یک سابقه جامع از تمام ریسک‌ها در سراسر سازمان یا پروژه است، بسته به هدف و زمینه آن. هیچ طرح واحدی برای قالب دفتر ثبت ریسک وجود ندارد و سازمان‌ها در مورد نحوه تنظیم اسناد خود از انعطاف‌پذیری زیادی برخوردارند.

دفتر ثبت ریسک سه هدف اصلی را دنبال می‌کند:

• اول، منبع اطلاعاتی برای گزارش ریسک‌های کلیدی در سراسر سازمان و همچنین به ذی‌نفعان کلیدی است.
• دوم، به نفع مدیریت است. مدیریت از دفتر ثبت ریسک برای تمرکز بر اولویت‌های خود استفاده می‌کند.
• سوم، به حسابرسان برای متمرکز کردن برنامه‌های خود بر روی ریسک‌های اصلی سازمان کمک می‌کند.

---

راهنمای سوم: فعالیت‌های کنترلی

۱. مقدمه

سازمان می‌تواند از طریق مکانیسم‌های مختلفی مانند اجتناب، انتقال، پذیرش و مدیریت ریسک به آن پاسخ دهد.

هنگامی که سازمان مدیریت ریسک را انتخاب می‌کند، به فعالیت‌های کنترلی برای مدیریت ریسک تا سطح قابل‌تحمل نیاز خواهد داشت.

۲. خروجی‌ها

فعالیت‌های کنترلی، برنامه‌های اقدام دقیقی برای مدیریت تمام ریسک‌های بااهمیت تولید خواهند کرد.

۳. انواع و زمان‌بندی کنترل‌ها

ارزیابی ریسک، دیدگاه مدیریت را در مورد اثربخشی کنترل‌های موجود ارائه کرده است. این امر مدیریت را از مداخلات کنترلی اضافی مورد نیاز برای مدیریت بهتر مواجهه با ریسک تا سطح قابل‌قبول مطلع می‌سازد.

مدیریت قادر خواهد بود بهترین گزینه‌های کنترلی را از میان انواع کنترل‌های جایگزین مختلف در نظر بگیرد:

الف) کنترل‌های مدیریتی

این کنترل‌ها تضمین می‌کنند که ساختار و سیستم‌های سازمان از سیاست‌ها، برنامه‌ها و اهداف آن پشتیبانی کرده و در چارچوب قوانین و مقررات عمل می‌کنند.

ب) کنترل‌های اداری

این کنترل‌ها تضمین می‌کنند که سیاست‌ها و اهداف به شیوه‌ای کارآمد و مؤثر اجرا شده و زیان‌ها به حداقل می‌رسد.

ج) کنترل‌های حسابداری

این کنترل‌ها تضمین می‌کنند که منابع تخصیص‌یافته به‌طور کامل و شفاف حسابداری شده و به‌درستی مستند می‌شوند.

د) کنترل‌های فناوری اطلاعات

این کنترل‌ها به سیستم‌های فناوری اطلاعات مربوط می‌شوند و شامل کنترل دسترسی، کنترل‌های برنامه‌های نرم‌افزاری سیستم، کنترل‌های تداوم کسب‌وکار و سایر کنترل‌ها هستند.

هر نوع کنترل فوق را می‌توان بر اساس زمان‌بندی آن به‌صورت زیر طبقه‌بندی کرد:

i) کنترل‌های پیشگیرانه

این‌ها اقدامات کنترلی هستند که از وقوع یک رویداد زیان‌بار جلوگیری می‌کنند، مانند تفکیک وظایف به‌منظور جلوگیری از تقلب و خطا توسط کارکنان. این کنترل‌ها احتمال وقوع یک ریسک را کاهش می‌دهند.

ii) کنترل‌های کشف‌کننده

این‌ها اقدامات کنترلی هستند که تضمین می‌کنند یک رویداد زیان‌بار به محض وقوع شناسایی شود تا پیامد آن بر سازمان کنترل شده و کنترل‌های پیشگیرانه برای جلوگیری از تکرار آن به کار گرفته شود. این کنترل‌ها پیامد یک ریسک را کاهش می‌دهند.

iii) کنترل‌های اقتضایی

یک اقدام کنترلی که به وقوع یک رویداد وابسته است و به آن کنترل اصلاحی نیز گفته می‌شود. این کنترل، پیامد وقوع رویداد را به حداقل می‌رساند، مانند بیمه کردن یک رویداد قابل‌بیمه. کنترل‌های اقتضایی، به دلیل ماهیتشان، برای ریسک‌هایی با احتمال وقوع پایین اما پیامد شدید، مؤثرتر خواهند بود، مانند بیمه کردن اموال ثابت در برابر زیان ناشی از آتش‌سوزی.

۴. ملاحظاتی برای بهبود کنترل‌ها

سوالات زیر می‌توانند اطلاعات مفیدی برای درک سطح بالا از مسائل اساسی و بهبودهای کنترلی مورد نیاز ارائه دهند:

• الف) ارزیابی ریسک درباره اثربخشی کنترل‌های فعلی چه می‌گوید؟ (چه مواردی نیازمند تقویت هستند؟)
• ب) گزینه‌های مختلف موجود برای رسیدگی به ریسک باقیمانده چیست؟
• ج) چه مقدار و چه کیفیتی از اطلاعات درباره ریسک در اختیار داریم؟ (چه اطلاعات اضافی برای درک کامل و پاسخ به این ریسک مورد نیاز است؟)
• د) هزینه کنترل اضافی چقدر است و این هزینه در مقایسه با منافعی که از آن حاصل می‌شود، چگونه است؟
• ه) آیا ضرورتی برای معرفی سیاست‌ها و رویه‌های جدید، یا به‌روزرسانی سیاست‌ها و رویه‌های موجود وجود دارد؟
• و) چگونه ارزیابی خواهیم کرد که آیا اقدامات کنترلی جدید کار می‌کنند یا خیر؟
• ز) برنامه اقدام برای رفع شکاف‌های کنترلی چیست؟
• ح) چه کسی فرد مسئول است؟
• ط) چه برنامه‌های پروژه‌ای باید اجرا کنیم؟

۵. اطمینان‌بخشی در مورد فعالیت‌های کنترلی

تاکنون، کفایت و اثربخشی کنترل‌ها منحصراً بر اساس برداشت مدیریت بوده است. خطر ذاتی این امر این است که «سوگیری خوش‌بینانه» ممکن است غالب شود، یعنی مدیریت نسبت به محیط کنترلی خوش‌بین‌تر از آن چیزی است که واقعاً باید باشد.

بررسی فعالیت‌های کنترلی توسط یک طرف مستقل این مزیت را دارد که «سوگیری خوش‌بینانه» را حذف کرده و دیدگاه واقع‌بینانه‌تری از فعالیت‌های کنترلی را آشکار می‌سازد.

اطمینان‌بخشی مستقل می‌تواند توسط حسابرسی داخلی، یک واحد شرکتی، مشاوران مستقل یا حسابرس کل ارائه شود.

گزارش‌های ارائه‌شده توسط این ارائه‌دهندگان خدمات اطمینان‌بخشی باید برای به‌روزرسانی ارزیابی‌های منعکس‌شده در دفتر ثبت ریسک مورد استفاده قرار گیرند و باید مبنای توسعه بهبودهای کنترلی اضافی مورد نیاز را تشکیل دهند.

---

راهنمای چهارم: ارزیابی ریسک

۱. مقدمه

ارزیابی ریسک، فرآیندی سیستماتیک برای درک ماهیت ریسک و تعیین سطح آن است. گام ارزیابی ریسک با هدف توسعه درک از ریسک انجام می‌شود. این گام، ورودی برای تصمیم‌گیری در مورد ضرورت پاسخ به ریسک و مناسب‌ترین و مقرون‌به‌صرفه‌ترین استراتژی‌های پاسخ به آن را فراهم می‌کند.

هدف اصلی ارزیابی ریسک، کمک به مدیریت برای اولویت‌بندی ریسک‌های شناسایی‌شده است. این امر مدیریت را قادر می‌سازد تا زمان، تلاش و منابع بیشتری را برای مدیریت ریسک‌های با اولویت بالاتر نسبت به ریسک‌های با اولویت پایین‌تر صرف کند.

ارزیابی ریسک یکی از اجزای اساسی فرآیند مدیریت ریسک است. این فرآیند با تعریف پارامترهای کلیدی ریسک و چگونگی تأثیر آن‌ها بر دستیابی به اهداف سازمان، به هدایت ارزیابی ریسک‌ها کمک می‌کند.

یکی از نتایج کلیدی فرآیند ارزیابی ریسک، تعیین سطوح مواجهه با ریسک برای سازمان است. علاوه بر این، داده‌ها و اطلاعات مرتبط جمع‌آوری‌شده در طول این فرآیند می‌تواند برای کمک به هدایت تصمیمات مربوط به پاسخ به ریسک مورد استفاده قرار گیرد.

۲. رویکرد

ارزیابی ریسک شامل بررسی ریسک‌ها در دو سطح، یعنی سطح ریسک ذاتی و سطح ریسک باقیمانده، با استفاده از معیارهای رتبه‌بندی یکسان برای هر ارزیابی است.

• ریسک ذاتی: سناریوی «بدترین حالت» را در نظر می‌گیرد. این شامل در نظر گرفتن احتمال (فراوانی وقوع ریسک) و پیامد (نتیجه یک رویداد) ریسک در غیاب هرگونه مداخله کنترلی مدیریتی است. این سطح از ارزیابی، چشم‌اندازی از پیامدهای ریسک برای سازمان در حالت مدیریت‌نشده آن ارائه می‌دهد.
• ریسک باقیمانده: سطح ریسکی است که پس از در نظر گرفتن تأثیر کاهنده مداخلات کنترلی موجود، باقی می‌ماند. به‌طور معمول، مدیریت کنترل‌های کافی را برای کاهش ریسک تا سطح از پیش تعیین‌شده‌ای که توسط اشتهای ریسک مشخص شده، اعمال می‌کند. ریسک باقیمانده یک شاخص حیاتی برای این است که آیا کنترل‌های موجود در کاهش ریسک به سطح قابل‌قبول مؤثر هستند یا خیر.

ریسک‌ها را می‌توان بر اساس مبنای کمی یا کیفی ارزیابی کرد. ارزیابی کمی برای ریسک‌هایی که شامل توابع عددی هستند، بهترین عملکرد را دارد. یک مثال خوب، ریسک زیان‌های مالی است، زیرا می‌توان آن را به‌صورت عددی اندازه‌گیری کرد.

تکنیک‌های کمی معمولاً دقت بیشتری به همراه دارند و در فعالیت‌های پیچیده‌تر و پیشرفته‌تر استفاده می‌شوند.

ارزیابی کیفی زمانی به کار می‌رود که ریسک مورد نظر قابلیت سنجش عددی را نداشته باشد. در چنین مواردی از ابزارهای ذهنی‌تری استفاده می‌شود که مهم‌ترین آن‌ها قضاوت کارشناسی مدیریت است.

ارزیابی ریسک شامل مراحل کلیدی زیر است:

1. شناسایی و ارزیابی اثربخشی کنترل‌های موجود
2. تعیین احتمال وقوع ریسک (فراوانی وقوع) و پیامد ریسک (نتیجه یک رویداد)
3. رتبه‌بندی احتمال و پیامد ریسک باید قبل و بعد از اعمال کنترل‌ها انجام شود تا سطح رتبه ریسک تعیین گردد (رتبه‌بندی ذاتی در مقابل رتبه‌بندی باقیمانده).
4. تعیین سطح کلی رتبه ریسک

این مراحل در ادامه به‌تفصیل مورد بحث قرار می‌گیرند:

الف) شناسایی و ارزیابی اثربخشی کنترل‌ها

کنترل‌ها ممکن است احتمال وقوع یک ریسک بالقوه، پیامد چنین ریسکی یا هر دو را کاهش دهند. سپس مدیریت باید اثربخشی کنترل را بر اساس درک خود از محیط کنترلی موجود ارزیابی کند. بنابراین، ریسک باقیمانده، مدیریت را از سطح واقعی اثربخشی کنترل مطلع می‌سازد.

کنترل‌ها باید بر اساس موارد زیر در نظر گرفته شوند:

• اثربخشی طراحی: آیا کنترل در تئوری «متناسب با هدف» است، یعنی آیا کنترل به‌طور مناسب برای عملکردی که برای آن در نظر گرفته شده، طراحی شده است.
• اثربخشی عملیاتی: آیا کنترل در عمل همان‌طور که در نظر گرفته شده بود، کار می‌کند.

بهتر است در هنگام رتبه‌بندی کنترل‌ها، کارکنانی که درکی از آن‌ها دارند را مشارکت داد. حسابرسی داخلی، تحلیلگران کسب‌وکار و مدیریت عملیاتی/مالی همگی می‌توانند در شناسایی و ارزیابی کنترل‌ها ورودی ارائه دهند.

یک کنترل که به‌خوبی طراحی و اجرا شده باشد، اغلب می‌تواند بیش از یک ریسک یا نوعی از ریسک را کاهش دهد.

ب) تعیین پیامد و احتمال ریسک

ریسک‌ها بر اساس احتمال وقوع ریسک و پیامد وقوع آن ارزیابی می‌شوند. (ریسک = احتمال × پیامد)

میزان پیامدهای یک رویداد، در صورت وقوع، و احتمال وقوع آن رویداد و پیامدهای مرتبط با آن، باید در چارچوب اثربخشی استراتژی‌ها و کنترل‌های موجود ارزیابی شود.

پیامدها و احتمال ممکن است با استفاده از ارزیابی و محاسبات آماری تخمین زده شوند. در مواردی که داده‌های گذشته قابل‌اعتماد یا مرتبطی در دسترس نباشد، می‌توان از تخمین‌های ذهنی استفاده کرد که درجه باور یک فرد یا سازمان را در مورد وقوع یک رویداد یا نتیجه خاص منعکس می‌کند.

هنگام تحلیل پیامدها و احتمال، باید از مرتبط‌ترین منابع اطلاعاتی و تکنیک‌ها استفاده شود.

منابع اطلاعاتی:

1. سوابق گذشته؛
2. تجارب عملی و مرتبط؛
3. متون منتشرشده مرتبط؛
4. تحقیقات؛
5. نتایج مشورت‌های عمومی؛
6. آزمایش‌ها و نمونه‌های اولیه؛
7. قضاوت‌های تخصصی و کارشناسی.

تکنیک‌ها:

1. مصاحبه‌های ساختاریافته با کارشناسان در حوزه مورد نظر؛
2. استفاده از گروه‌های چندرشته‌ای از کارشناسان؛
3. ارزیابی‌های فردی با استفاده از پرسشنامه‌ها؛
4. استفاده از مدل‌ها و شبیه‌سازی‌ها.

ارزیابی ریسک باید مطابق با معیارهای رتبه‌بندی تأیید شده برای احتمال و پیامد انجام شود (به راهنمای رتبه‌بندی ریسک مراجعه کنید).

ج) تعیین رتبه کلی ریسک

پس از رتبه‌بندی احتمال و پیامد، این دو را با هم ترکیب کنید تا رتبه کلی ریسک را تعیین نمایید. بر اساس ارزیابی ریسک، ریسک‌ها بر اساس سطح طبقه‌بندی می‌شوند تا سطح پاسخ مناسب به آن ریسک‌ها مشخص شود. پاسخ‌های مشخص در مرحله «پاسخ به ریسک» تعریف می‌شوند (به راهنماهای رتبه‌بندی ریسک و استراتژی پاسخ به ریسک مراجعه کنید).

د) مستندسازی فرآیند ارزیابی ریسک

مستندسازی فرآیند ارزیابی ریسک، سوابقی از چگونگی تحلیل ریسک‌ها در دوره‌های قبلی را فراهم می‌کند و بدین ترتیب، تمرین‌های آتی ارزیابی ریسک را آگاه می‌سازد. یکی از نتایج کلیدی مستندسازی این فرآیند، امکان ردیابی دقیق ریسک‌ها در طول زمان با استفاده از داده‌های مرجع تاریخی است.

مستندات باید شامل موارد زیر باشد:

1. مفروضات و محدودیت‌های کلیدی
2. منابع اطلاعاتی مورد استفاده
3. توضیح روش ارزیابی و تعاریف اصطلاحات مورد استفاده برای مشخص کردن احتمال و پیامدهای هر ریسک
4. کنترل‌های موجود و اثربخشی آن‌ها
5. شرح و شدت پیامدها
6. احتمال این وقایع خاص
7. سطح ریسک حاصل‌شده

ممکن است برای ریسک‌های بسیار پایین نیازی به مستندسازی دقیق نباشد؛ با این حال، باید سوابقی از منطق غربالگری اولیه ریسک‌های بسیار پایین نگهداری شود.

ه) خروجی‌های فرآیند ارزیابی ریسک

خروجی ارزیابی ریسک، یک دفتر ثبت ریسک پیشرفته‌تر است که با افزودن رتبه‌بندی برای هر ریسک، غنی‌تر شده است. این امر به مدیریت اجازه می‌دهد تا ریسک‌های مهم‌تر را از ریسک‌های کم‌اهمیت‌تر جدا کرده و توجه خود را بر اساس آن هدایت کند.

---

راهنمای پنجم: رتبه‌بندی ریسک

۱. پیامد

DEA از یک مقیاس رتبه‌بندی پنج‌نقطه‌ای برای ارزیابی پیامد بالقوه ریسک‌ها استفاده می‌کند که در آن ۱ کمترین پیامد و ۵ بیشترین پیامد است. جدول زیر، جدول رتبه‌بندی مورد استفاده DEA است.

جدول ۳: جدول رتبه‌بندی پیامد

شدت	رتبه	تداوم ارائه خدمات	ایمنی و محیط زیست	پیچیدگی فنی	مالی
بحرانی	۵	رویداد ریسک منجر به کاهش گسترده و طولانی‌مدت در تداوم ارائه خدمات به مشتریان برای دوره‌ای بیش از ۴۸ ساعت خواهد شد.	آسیب عمده زیست‌محیطی. آسیب جدی (ناتوانی دائمی) یا مرگ پرسنل یا افراد عمومی. پوشش رسانه‌ای منفی عمده.	استفاده از فناوری اثبات‌نشده برای سیستم‌های حیاتی / اجزای پروژه. سطح بالای وابستگی‌های متقابل فنی بین اجزای سیستم.	می‌تواند منجر به توقف فعالیت کسب‌وکار شود.
عمده	۴	کاهش در ارائه خدمات یا اختلال برای دوره‌ای بین ۲۴ تا ۴۸ ساعت در یک منطقه قابل‌توجه.	آسیب قابل‌توجه به پرسنل یا عموم. آسیب زیست‌محیطی قابل‌توجه. پوشش رسانه‌ای منفی قابل‌توجه.	استفاده از فناوری جدیدی که قبلاً توسط سازمان برای سیستم‌های حیاتی / اجزای پروژه استفاده نشده است.	افزایش هزینه > ۱۰٪
متوسط	۳	کاهش در ارائه خدمات یا اختلال برای دوره‌ای بین ۸ تا ۲۴ ساعت در یک منطقه قابل‌توجه.	سطح پایین‌تری از پیامدهای زیست‌محیطی، ایمنی یا بهداشتی. پوشش رسانه‌ای منفی.	استفاده از فناوری اثبات‌نشده یا نوظهور برای سیستم‌های حیاتی / اجزای پروژه.	افزایش هزینه > ۵٪
جزئی	۲	ناراحتی موضعی کوتاه‌مدت (امکان راهکار جایگزین وجود دارد). از دست دادن یک دارایی با تأثیر جزئی بر عملیات.	پیامدهای زیست‌محیطی، ایمنی یا بهداشتی اندک. پوشش رسانه‌ای منفی محدود.	استفاده از فناوری اثبات‌نشده یا نوظهور برای سیستم‌ها / اجزای پروژه.	افزایش هزینه < ۱٪
ناچیز	۱	پیامد ناچیز یا بدون پیامد بر کسب‌وکار یا سیستم‌های اصلی.	بدون پیامدهای زیست‌محیطی، ایمنی یا بهداشتی و/یا پوشش رسانه‌ای منفی.	استفاده از فناوری اثبات‌نشده یا نوظهور برای سیستم‌های غیرحیاتی / اجزای پروژه.	پیامد ناچیز یا بدون پیامد بر هزینه.

۲. احتمال

DEA از یک مقیاس رتبه‌بندی پنج‌نقطه‌ای برای ارزیابی احتمال ریسک‌ها استفاده می‌کند که در آن ۱ کمترین احتمال و ۵ بیشترین احتمال است. جدول زیر، جدول رتبه‌بندی مورد استفاده DEA است.

جدول ۴: جدول رتبه‌بندی احتمال

عامل احتمال	معیارهای اندازه‌گیری	معیارهای کیفی	رتبه
شایع	ریسک در حال حاضر در حال وقوع است، یا احتمال وقوع آن بیش از یک بار در ۱۲ ماه آینده بالا است.	تقریباً قطعی است که در شرایط فعلی رخ دهد.	۵
محتمل	ریسک به‌راحتی رخ خواهد داد و احتمالاً حداقل یک بار در ۱۲ ماه آینده رخ می‌دهد.	احتمال وقوع آن بیشتر از عدم وقوع آن است.	۴
متوسط	شانس بالاتر از متوسط برای وقوع ریسک بیش از یک بار در ۳ سال آینده وجود دارد.	ممکن است اغلب رخ دهد.	۳
نامحتمل	ریسک احتمال وقوع پایینی در ۳ سال آینده دارد.	احتمال پایین، اما ممکن است اتفاق بیفتد.	۲
نادر	بعید است که ریسک در ۳ سال آینده رخ دهد.	انتظار نمی‌رود اتفاق بیفتد – رویداد غافلگیرکننده خواهد بود.	۱

۳. مواجهه با ریسک (پیامد × احتمال)

جدول زیر، جدول رتبه‌بندی است که می‌تواند برای دسته‌بندی سطوح مختلف ریسک به کار رود. سازمان‌ها تشویق می‌شوند تا جدول رتبه‌بندی را متناسب با نیازهای خاص خود سفارشی‌سازی کنند.

جدول ۵: مواجهه با ریسک

رتبه ریسک	ارزیابی	تعریف
۲۰ – ۲۵	بسیار بالا	سطح بسیار غیرقابل‌قبول ریسک باقیمانده – به این معنی است که هیچ کنترلی وجود ندارد یا کنترل‌ها کاملاً بی‌اثر هستند. ریسک باید به DDG/DG/DM/MINISTER ارجاع داده شود.
>= ۱۰ تا < ۲۰	بالا	سطح غیرقابل‌قبول ریسک باقیمانده – به این معنی است که کنترل‌ها یا اساساً ناکافی هستند (طراحی ضعیف) یا بی‌اثر هستند (اجرای ضعیف).
> ۵ تا < ۱۰	متوسط	سطح نگران‌کننده ریسک باقیمانده – به این معنی است که کنترل‌ها یا ناکافی هستند (طراحی ضعیف) یا بی‌اثر هستند (اجرای ضعیف).
<= ۵	پایین	سطح غالباً قابل‌قبول ریسک باقیمانده – در سطح عملیاتی با استفاده از کنترل‌های فعلی مدیریت می‌شود.

---

راهنمای ششم: استراتژی پاسخ به ریسک

۱. مقدمه

یکی از نتایج کلیدی فرآیند شناسایی و ارزیابی ریسک، فهرستی دقیق از تمام ریسک‌های کلیدی است، از جمله آن‌هایی که بر اساس سطح کلی ریسک در برابر سطوح تحمل ریسک DEA، نیاز به اقدام کنترلی دارند. با این حال، همه ریسک‌ها نیاز به اقدام کنترلی نخواهند داشت، زیرا برخی ممکن است پذیرفته شوند و تنها نیاز به نظارت گاه‌به‌گاه داشته باشند.

به تمام ریسک‌های کلیدی شناسایی‌شده باید پاسخ داده شود، اما همه این ریسک‌ها نیاز به اقدام کنترلی نخواهند داشت. ریسک‌هایی که خارج از سطوح تحمل ریسک DEA قرار می‌گیرند، آن‌هایی هستند که پیامد بالقوه قابل‌توجهی بر توانایی DEA برای دستیابی به اهداف تعیین‌شده دارند و بنابراین نیازمند اقدام کنترلی هستند.

هدف از پاسخ به ریسک‌ها و اجرای اقدامات کنترلی، به حداقل رساندن یا حذف پیامد بالقوه‌ای است که ریسک ممکن است بر دستیابی به اهداف تعیین‌شده داشته باشد.

پاسخ به ریسک شامل شناسایی طیف وسیعی از گزینه‌ها برای پاسخ به ریسک‌ها، ارزیابی این گزینه‌ها و تهیه و اجرای برنامه‌های پاسخ است.

پاسخ به ریسک ممکن است شامل یک فرآیند چرخه‌ای باشد: ارزیابی یک پاسخ به ریسک، تصمیم‌گیری مبنی بر اینکه سطوح فعلی ریسک قابل‌تحمل نیست، ایجاد پاسخ/پاسخ‌های جدید به ریسک، و ارزیابی تأثیر آن پاسخ تا رسیدن به سطح ریسک مبتنی بر معیارهای توافق‌شده.

۲. توسعه یک استراتژی پاسخ به ریسک

برنامه‌های پاسخ به ریسک، مسئولیت‌ها، برنامه‌های زمانی، نتیجه مورد انتظار، بودجه‌ها، معیارهای عملکرد و فرآیند بازبینی را مشخص می‌کنند.

برنامه پاسخ به ریسک معمولاً جزئیات موارد زیر را ارائه می‌دهد:

1. اقداماتی که باید انجام شود و ریسک‌هایی که به آن‌ها رسیدگی می‌شود؛
2. چه کسی مسئول اجرای برنامه است؛
3. از چه منابعی استفاده خواهد شد؛
4. تخصیص بودجه؛
5. جدول زمانی برای اجرا؛
6. جزئیات مکانیسم و فراوانی بازبینی وضعیت برنامه پاسخ.

چگونه به ریسک‌ها پاسخ دهیم؟

پاسخ به ریسک‌ها شامل مراحل کلیدی زیر است:

1. شناسایی و انتخاب گزینه‌های مناسب پاسخ به ریسک
2. تخصیص مالکیت ریسک
3. تهیه برنامه‌های پاسخ به ریسک

این مراحل به شرح زیر به‌تفصیل مورد بحث قرار می‌گیرند:

الف) شناسایی و انتخاب گزینه مناسب پاسخ به ریسک

طراحی پاسخ به ریسک باید بر اساس درک جامعی از چگونگی بروز ریسک‌ها باشد. این شامل درک نه تنها علل فوری یک رویداد، بلکه عوامل زمینه‌ای است که بر اثربخ-شی پاسخ پیشنهادی تأثیر می‌گذارند.

پس از ارزیابی ریسک‌ها و تخصیص سطح رتبه‌بندی، گزینه‌ای برای پاسخ انتخاب می‌شود. لازم به ذکر است که گزینه‌های پاسخ به ریسک لزوماً مانعة‌الجمع یا در همه شرایط مناسب نیستند.

جدول ۶، گزینه‌های پاسخ به ریسک اتخاذ شده توسط DEA را به‌تفصیل شرح می‌دهد.

جدول ۶: گزینه‌های پاسخ به ریسک

پاسخ به ریسک	تعریف
اجتناب	اقداماتی که برای جلوگیری از وقوع خطرات انجام می‌شود، مانند: توقف فعالیت یا تغییر هدف.
کاهش	اقداماتی که برای کاهش احتمال وقوع یا پیامد یا هر دو انجام می‌شود.
انتقال	اقداماتی که برای انتقال زیان یا مسئولیت به اشخاص ثالث انجام می‌شود، مانند: بیمه یا برون‌سپاری.
پذیرش	تصمیم آگاهانه برای پذیرش هم پیامد و هم احتمال رویدادهای ریسک.

باید به هزینه گزینه پاسخ در مقایسه با کاهش ریسک احتمالی که حاصل خواهد شد، توجه شود. به‌عنوان مثال، اگر تنها گزینه پاسخ موجود برای اجرا بیش از ۱۰ میلیون راند هزینه داشته باشد و پیامد هزینه ریسک تنها ۵ میلیون راند باشد، ممکن است این کار توصیه نشود. به‌منظور درک هزینه‌ها و منافع مرتبط با هر گزینه، لازم است تحلیل هزینه-فایده انجام شود.

مراحل یک تحلیل هزینه-فایده پایه:

• تعریف یا تجزیه ریسک به عناصر آن با ترسیم یک فلوچارت یا لیستی از ورودی‌ها، خروجی‌ها، فعالیت‌ها و رویدادها.
• محاسبه، تحقیق یا تخمین هزینه و فایده مرتبط با هر عنصر (در صورت امکان، هزینه‌ها و منافع مستقیم، غیرمستقیم، مالی و اجتماعی را شامل شود).
• مقایسه مجموع هزینه‌ها با مجموع منافع.

اولویت‌بندی پاسخ به ریسک

اجرای استراتژی‌های پاسخ منتخب باید بر اساس سطح ریسک باقیمانده با ارجاع به جدول ۷ اولویت‌بندی شود.

جدول ۷: اولویت‌بندی پاسخ به ریسک

سطح ریسک	اولویت اقدام	بازه زمانی اقدام	بازه زمانی بازبینی
بسیار بالا	ریسک بسیار غیرقابل‌قبول. اقدام فوری بیشتر برای کاهش ریسک انجام شود؛ برنامه اقتضایی در حالت آماده‌باش.	فوری	بازبینی حداقل ماهانه
بالا	ریسک غیرقابل‌قبول. به‌سرعت اقدام(ات) بیشتری برای کاهش ریسک اجرا شود؛ کنترل‌های موجود ادامه یابد؛ برنامه اقتضایی ایجاد شود.	فوری	بازبینی حداقل هر ۲ ماه
متوسط	سطح نگران‌کننده ریسک باقیمانده. اقدام(ات) برای کاهش ریسک انجام شود؛ کنترل‌ها ادامه یابد؛ برنامه اقتضایی ایجاد شود.	ظرف دو ماه	بازبینی حداقل هر ۳ ماه
پایین	تحمل/پذیرش؛ بدون اقدام. در صورت نیاز، اقدامات کنترلی موجود ادامه یابد.	N/A	بازبینی حداقل هر ۶ ماه

ب) تخصیص مالکیت ریسک

مالکان ریسک که توسط مدیریت اجرایی نامزد شده‌اند باید مسئولیت توسعه برنامه‌های مؤثر پاسخ به ریسک را بر عهده بگیرند. مالک ریسک باید یک کارمند ارشد یا مدیر با دانش فنی کافی در مورد ریسک و/یا حوزه ریسکی باشد که برای آن پاسخ لازم است. مالک ریسک ممکن است مسئولیت (اما نه پاسخگویی) را برای توسعه و اجرای دقیق برنامه به زیردستان مستقیم خود یا مشاوران واگذار کند.

تهیه برنامه‌های پاسخ به ریسک:

پس از انتخاب گزینه‌های پاسخ برای ریسک‌های فردی، تمام گزینه‌ها باید در قالب برنامه‌های اقدام ریسک و/یا استراتژی‌ها تجمیع شوند.

از آنجا که یک پاسخ به ریسک ممکن است بر چندین ریسک تأثیر بگذارد، اقدامات پاسخ برای ریسک‌های مختلف باید ترکیب و مقایسه شوند تا تضادهای بین برنامه‌ها شناسایی و حل شده و از تکرار تلاش‌ها کاسته شود.

برنامه‌های پاسخ باید:

• مسئولیت‌ها، برنامه‌های زمانی، نتیجه مورد انتظار، بودجه‌ها، معیارهای عملکرد و فرآیند بازبینی را مشخص کنند؛
• شامل مکانیسم‌هایی برای ارزیابی و نظارت بر اثربخشی پاسخ، در چارچوب مسئولیت‌های فردی باشند؛ و
• اهداف سازمان و فرآیندهایی برای نظارت بر پیشرفت برنامه پاسخ در برابر نقاط عطف مهم اجرایی را در نظر بگیرند. تمام این اطلاعات باید از فرآیند طراحی پاسخ حاصل شود.
• نحوه اجرای عملی گزینه‌های انتخاب‌شده را مستند کنند.

---

واژه‌نامه

حسابرسی (Audit):

بازبینی و ارزیابی سیستماتیک سطح انطباق یک وضعیت یا سیستم واقعی با یک استاندارد عملکرد.

برنامه اقدام (Action Plan):

اقداماتی که در پی فرآیند ارزیابی ریسک، برای کاهش احتمال و/یا پیامد یک رویداد تدوین و اجرا می‌شوند.

پیامد (Consequence):

نتیجه یا تأثیر یک رویداد.

عامل مؤثر (Contributing Factor):

یک رویداد و/یا مسئله‌ای که ممکن است منجر به تحقق یک رویداد ریسک شود.

کنترل اقتضایی (Contingent Control):

یک اقدام کنترلی که به وقوع یک رویداد بستگی دارد و به آن کنترل اصلاحی نیز گفته می‌شود. این کنترل، پیامد وقوع رویداد را به حداقل می‌رساند، مانند بیمه کردن یک رویداد قابل‌بیمه.

کنترل (Control):

ابزاری که برای مدیریت ریسک استفاده می‌شود. به‌طور خاص، یک سیاست، رویه، دستگاه، سیستم، ارتباطات یا اقدام دیگری که برای محدود کردن عدم قطعیت در دستیابی به اهداف کسب‌وکار و/یا برای اطمینان از انطباق با قانون عمل می‌کند.

کفایت کنترل (Control Adequacy):

ارزیابی اینکه آیا تمام کنترل‌های مرتبط با یک ریسک برای مدیریت آن به‌اندازه کافی مناسب هستند یا خیر.

اثربخشی کنترل (Control Effectiveness):

ارزیابی تک‌تک کنترل‌ها برای تعیین اینکه آیا کنترل در دستیابی به نتیجه مطلوب مؤثر است یا خیر.

کنترل‌های کشفی (Detective Controls):

اقدامات کنترلی که اطمینان حاصل می‌کنند یک رویداد زیان‌بار به محض وقوع شناسایی شود تا پیامد آن بر سازمان کنترل شده و کنترل‌های پیشگیرانه برای جلوگیری از وقوع مجدد آن اعمال شود. این کنترل‌ها پیامد یک ریسک را کاهش می‌دهند.

مدیریت ریسک سازمانی (Enterprise Risk Management – ERM):

رویکردی ساختاریافته و منسجم که استراتژی، فرآیندها، افراد، فناوری و دانش را با هدف ارزیابی و مدیریت عدم‌قطعیت‌هایی که سازمان با آن مواجه است برای ایجاد ارزش، همسو می‌کند. برای اطلاعات بیشتر می‌توانید به چارچوب COSO ERM مراجعه کنید.

ریسک ذاتی (Inherent Risk):

سطح ریسک در غیاب هرگونه کنترلی که مدیریت برای تغییر پیامد یا احتمال آن اعمال کرده باشد.

پیامد (Impact):

اثر ریسک بر DEA. پیامدها ممکن است شامل آسیب به اعتبار، زیان مالی، پیامدهای قانونی و غیره باشد. میزان آسیب، صدمه، زیان یا منفعت بالقوه.

امتیاز پیامد (Impact score):

معیاری برای سنجش میزان پیامدهایی که به احتمال زیاد با یک مسئله ریسک مرتبط هستند. این پیامدها می‌توانند بر DEA و ذی‌نفعان آن تأثیر منفی بگذارند یا سطح مورد انتظار فرصت تحقق‌نیافته برای کسب منفعتی باشند که ممکن است از دست برود.

مسئله (Issue):

رویدادی که در حال حاضر در حال وقوع است و باید با اقدامات اصلاحی و پیشگیرانه مناسب به آن رسیدگی شود.

کنترل‌های پیشگیرانه (Preventative Controls):

اقدامات کنترلی که از وقوع یک رویداد زیان‌بار جلوگیری می‌کنند، مانند تفکیک وظایف به‌منظور جلوگیری از کلاهبرداری و خطا توسط کارکنان. این کنترل‌ها احتمال وقوع یک ریسک را کاهش می‌ده دهند.

احتمال (Probability):

شانس وقوع در هر اقدام، عملیات یا فرصت. به‌صورت عددی بین ۱ تا ۵ بیان می‌شود، بدون واحد و غیرمرتبط با زمان.

ریسک باقیمانده (Residual Risk):

سطحی از ریسک که پس از در نظر گرفتن کنترل‌های موجود و اثربخشی آن‌ها باقی می‌ماند. این کنترل‌ها ممکن است نیاز به تأیید توسط حسابرسی داشته باشند.

نقشه حرارتی ریسک باقیمانده (Residual Risk Heat Map):

نمایشی گرافیکی از پروفایل ریسک سازمان که رابطه بین احتمال وقوع یک ریسک و شدت پیامد آن را پس از اعمال کنترل‌ها نشان می‌دهد.

ریسک (Risk):

یک رویداد نامشخص که اگر رخ دهد، بر دستیابی به اهداف استراتژیک تأثیر خواهد گذاشت.

ارزیابی ریسک (Risk Assessment):

کارگاه یا فرآیند مصاحبه مشارکتی و مشورتی که به واسطه آن ریسک‌ها بر اساس یک روش‌شناسی معین شناسایی، اندازه‌گیری و تحلیل می‌شوند.

مدیریت ریسک (Risk Management):

فرهنگ، فرآیندها و ساختارهایی که در عین مدیریت اثرات نامطلوب، به سمت تحقق فرصت‌های بالقوه هدایت می‌شوند.

اشتهای ریسک (Risk Appetite):

میزان ریسکی که یک نهاد مایل است در راستای کسب ارزش بپذیرد. این مفهوم، فلسفه مدیریت ریسک سازمان را منعکس می‌کند و به نوبه خود بر فرهنگ و سبک عملیاتی سازمان تأثیر می‌گذارد.

رتبه‌بندی ریسک (Risk Ranking):

روشی برای مرتب‌سازی ریسک‌ها یا اقدامات ناشی از ارزیابی ریسک بر اساس بزرگی نسبی ریسک.

درجه‌بندی ریسک (Risk Rating):

درجه‌بندی عددی که به یک ریسک اعمال می‌شود و به‌صورت حاصل‌ضرب یک عامل پیامد و یک عامل احتمال محاسبه می‌گردد.

دفتر ثبت ریسک (Risk Register):

مجموعه‌ای از اطلاعات ریسک که پروفایل ریسک سازمان، واحد تجاری، پروژه یا فعالیت را تعریف می‌کند.

پاسخ به ریسک (Risk Response):

پس از شناسایی و ارزیابی ریسک‌های کلیدی، مدیریت باید نحوه مدیریت آن‌ها و اجرای کنترل‌ها را در نظر بگیرد.

• اجتناب (Avoid): توقف یا اجتناب از فعالیتی که منجر به ایجاد ریسک می‌شود.
• انتقال (Transfer): کاهش احتمال یا پیامد ریسک از طریق انتقال یا اشتراک‌گذاری بخشی از ریسک. تکنیک‌های رایج شامل خرید محصولات بیمه، انجام معاملات پوشش ریسک، یا برون‌سپاری یک فعالیت است.
• کاهش (Treat / Manage): اجرای اقداماتی برای کاهش یا حذف احتمال وقوع ریسک، پیامد آن بر سازمان در صورت وقوع، یا ترکیبی از هر دو، تا ریسک به سطوح قابل‌قبول و همسو با اشتهای ریسک سازمان برسد.
• پذیرش (Accept): تحمل یا پذیرش یک ریسک به این معناست که سازمان مایل است با پیامدهای ناشی از وقوع آن ریسک کنار بیاید.

---

یادداشت‌ها

…