ریسک در تعریف عام، احتمالی است که یک کنش یا کنش وری منجر به پیامد های ناخوشایند و ناخواسته گردد و به احتمال به وجود آمدن آسیب و صدمه از یک خطر معین ریسک می گویند.
در تعاریف دیگر، ریسک عبارت است از انحراف در پیشامدهای ممکن آینده . اگر تنها یک پیشامد ممکن باشد، انحراف و ریسک کمتر می شود. ما در دنیای مخاطرات و ریسک زندگی می کنیم. باید ریسک ها را تحلیل کنیم، اگر با آنها بر خورد داریم باید آنها را شناسایی و در مجموع تمام ریسک ها و نتایج آنها را ارزیابی کنیم.
مدیریت ریسک عبارت است از فرایند مستند سازی تصمیمات نهایی اتخاذ شده و به کار گیری معیارهایی که می توان از آنها جهت رساندن ریسک تا سطحی قابل قبول استفاده کرد . به عبارت دیگر فرآیند شناسائی ، ارزیابی ، انجام اقدامات کنترلی و اصلاح ریسک های اتفاقی بالقوهای که مشخصاً پیشامدهای ممکن آن خسارت با عدم تغییر در وضع موجود می باشد .
مدیریت ریسک مجموعه ای را قادر می سازد که به نحو بهتری ریسک های متداول در فعالیتهای روزمره را مدیریت نموده و با خیالی آسوده از خسارات تصادفی، بطور جامعتر و مؤثرتر فعالیتهای روزمره خود را ادامه دهد ، ضمن اینکه ما را قادر می سازد به نتایج قابل قبول با حداقل هزینه نایل گردیم .
با این اوصاف، مدیریت ریسک به فرایند شناسایی، تحلیل و پاسخ به عوامل خطرساز گفته میشود که در طول عمر یک پروژه یا فرایند ممکن است رخ بدهند. اگر مدیریت ریسک بهدرستی انجام شود میتواند با کنترل وقایع آینده، از خطرات احتمالی پیشگیری کند در واقع مدیریت ریسک عبارت است از فرایند مستند سازی تصمیمات نهایی اتخاذ شده و به کارگیری معیار هایی که می توان از آنها جهت رساندن ریسک تا سطحی قابل قبول استفاده کرد.
در مدیریت ریسک مطلوب یک فرایند اولویت بندی منظور گردیده که از طریق آن ریسکهایی با بیشترین زیان دهی و بالاترین احتمال وقوع در ابتدا و ریسکهایی با احتمال وقوع کمتر و زیان دهی پایین تر در ادامه مورد رسیدگی قرار می گیرند. درعمل، این فرایند ممکن است خیلی مشکل باشد و همچنین اغلب اوقات ایجاد توازن میان ریسک هایی که احتمال وقوعشان بالا و زیان دهی شان پایین و ریسک هایی که احتمال وقوعشان پایین و زیان دهی شان بالاست، ممکن است به طور مناسبی مورد رسیدگی قرار نگیرند.
شناخت ریسک ها مستلزم شناخت هر یک از نقاط این زنجیره است که عوامل خسارت آفرین ( حادثه ها و …. ) ، منابع خسارت پذیر ( پرسنل، اموال، مسئولیتها و درآمدها ) و نوع تأثیر عامل اول برعامل دوم ( انواع خسارت ها ) را بطور دقیق در بر می گیرد. مدیریت ریسک کمک به انسانها برای حفاظت مستمر از خود، داراییها و فعالیتهایشان در برابر حادثه هایی است که در طول تاریخ زندگی انسانها، همواره او را با مخاطره روبرو کرده است. این علم، ضابطه ها و روشهایی را حاصل آورده است که اشخاص، مؤسسه های اقتصادی – صنعتی و تجاری و غیر انتفاعی و دولتها با استفاده از آنها می تواند وظیفه آینده نگری را در ارزیابی، کنترل و تأمین مالی خسارتها انجام دهند. براین پایه مدیریت ریسک برخوردی نظام یافته با ریسک ها را سامان می دهد. بدین منظور همواره در کار پاسخ گفتن به دو پرسش اساسی در باره پیش آمدهای احتمالی آینده است. نخستین پرسش اینکه: چه خواهد شد؟ و دوم اینکه: چه باید کرد؟ مدیریت ریسک همواره در کنار برنامه ریزی برای رویارویی با رویدادهای احتمالی آینده است . بنابر ضابطه هایی که مدیریت ریسک ایجاد نموده، ایمن کردن سازمانها و سرمایه گذاریها در برابر خطرها و خسارتها نیازمند شکل گیری نظامی فکری و عملی است که بوسیله آن سیاست گذاری در برابر ریسکها یکپارچه شود . چنین نظامی به شکل مستمر در کارشناسی مشکل های مؤسسه های در معرض خطر و یافتن راه حل های مناسب و مؤثر برای حل آنهاست. بر این پایه، نظام یادشده باید مشکل های موجود را تشخیص دهد، تعریف کند و تحلیل ساختاری از آنها بدست دهد و با گردآوردن اطلاعات مربوط و طبقه بندی شده، مناسبترین شیوه های پیشگیری، کنترل و تأمین مالی ریسکها را ارائه دهد.
سیستمهای مدیریت ریسک علاوه بر شناسایی ریسکها و تعیین کیفیتشان، میتوانند تأثیراتی را که بر پروژه و امور میگذارند نیز پیشبینی کنند. پذیرش یا عدم پذیرش ریسک معمولا به سطح تابآوری (Tolerance Level) پروژه بستگی دارد.
اگر مدیریت ریسک بهطور منظم برای شناسایی مشکلات احتمالی و یافتن راهحل آنها انجام شود، بهراحتی فرایندهای دیگر ازجمله سازماندهی، برنامهریزی، بودجه و کنترل هزینه را کامل خواهد کرد. مدیر پروژهای که در این زمینه پیشگام باشد، میتواند تا حد زیادی از وقوع اتفاقات غیرمنتظره در طول عمر پروژه پیشگیری کند. هدف از مدیریت ریسک پروژه این است که به حامیان مالی پروژه و تیمهای پروژه برای تصمیمگیری آگاهانه در مورد راه حل های جایگزین کمک کند. مدیریت ریسک تیم پروژه را تشویق می کند که روش های مناسبی را در پیش بگیرند تا تاثیرات منفی بر محدوده، هزینه، برنامه پروژه و همچنین مدیریت در بحران را کمینه کنند. بدون فرایند مدیریت ریسک مناسب رسیدن به اهداف مورد نظر در موارد مالی، زمانی و کیفی با خطر مواجه میشود فرایند مدیریت ریسک تنها در زمانی که فاز اجرای پروژه تکمیل میشود به اتمام میرسد. اگر مدیریت ریسک به درستی صورت پذیرد برنامه ریزی های انجام شده به سهولت انجام می شود و ما چالش کمتری در مدیریت زمان خواهیم داشت.
مدیریت ریسک نهتنها در ابتدای پروژه، که باید در سراسر طول عمر پروژه انجام شود. بهعنوان مثال اگر مدت زمانی که برای انجام یک پروژه برآورد شده سه ماه است، ارزیابی ریسک حداقل باید در پایان ماه اول و پایان ماه دوم صورت گیرد. در هر مرحله از عمر پروژه باید ریسکهای جدید را پس از شناسایی و تعیین کیفیت، ارزیابی و مدیریت کرد و حقیقتاً مدیریت ریسک فرایندی است که هدف آن کاهش آثار زیانآور یک فعالیت از طریق اقدام آگاهانه برای پیشبینی حوادث ناخواسته و برنامهریزی برای اجتناب از آنها است.
بهطور کلی میتوان مدیریت ریسک را فرایند سنجش یا ارزیابی ریسک و سپس طرح استراتژیهایی برای اداره ریسک دانست.
در مجموع، استراتژیهای بهکار رفته شامل انتقال ریسک به بخشهای دیگر، اجتناب از ریسک، کاهش اثرات منفی ریسک، و پذیرش قسمتی یا تمامی پیامدهای یک ریسک خاص هستند.
در این میان اگر مدیریت ریسک بهطور منظم برای شناسایی مشکلات احتمالی و یافتن راهحل آنها انجام شود، بهراحتی فرایندهای دیگر ازجمله سازماندهی، برنامهریزی، بودجه و کنترل هزینه را کامل خواهد کرد. همچنین مدیر پروژهای که در این زمینه پیشگام بوده میتواند تا حد زیادی از وقوع اتفاقات غیرمنتظره در طول عمر پروژه پیشگیری کند.
پاسخ به ریسک بهطورکلی شامل موارد زیر است:
اجتناب: از بین بردن ریسک یا تهدیدی خاص با از بین بردن علت آن؛
تعدیل: کاهش ارزش مالی مورد انتظار یک ریسک از طریق کاهش امکان وقوع آن؛
پذیرش: پذیرش عواقب ناشی از ریسک؛ این کار اغلب از طریق توسعهی یک برنامهی اضطراری برای رویدادی که ممکن است رخ بدهد صورت میگیرد.
مدیریت ریسک ۴ هدف اصلی را دنبال میکند:
شناسایی ریسکهای احتمالی؛
کاهش یا تعدیل ریسکها؛
فراهم کردن اصول منطقی برای تصمیمگیری بهتر در رابطه با ریسکها؛
برنامهریزی.
ارزیابی و مدیریت ریسکها بهترین راه مبارزه با حوادث ناگوار سر راه پروژه است. با ارزیابی برنامه برای مشکلات بالقوه و راهبردهایی برای رفع آنها، شانس موفقیت تیم بهبود خواهد یافت.
با مدیریت صحیح، ریسکهای با اولویت بالاتر شناسایی میشوند و هزینههای احتمالی ناشی از آنها در طول اجرای پروژه مدیریت خواهند شد.
ارزیابی ریسك ممكن است در درجات مختلفی از عمق و تفصیل و با استفاده از یك یا چند روش از ساده گرفته تا پیچیده، انجام گیرد. شكل ارزیابی و خروجی آن بایستی سازگار با معیارهای ریسك باشد كه به عنوان قسمتی از ایجاد اوضاع و احوال تكوین شده است. به طور كلی تكنیكهای مناسب بایستی دارای ویژگیهای زیر باشند.
- برای موقعیت یا سازمان مورد بررسی توجیه پذیر و مناسب باشد.
- نتایج را به شكلی ارائه دهند كه فهم ماهیت ریسك و نحوه برخورد با آن را ارتقا دهد.
- به نحوی قابل ردیابی، قابل تكرار و قابل تصدیق، بتوان از آنها استفاده كرد
- تکنیک ارزیابی ریسک PHA
- PHA روشی ساده و استنتاجیاست که هدف آن شناسایی خطرات و موقعیتها و رخدادهای خطرناکی است که میتوانند به فعالیت، تسهیلات یا سیستمی معین آسیب برسانند. این تکنیک ارزیابی ریسک، معمولاً در ابتدای تکوین پروژه، درزمانی مورد استفاده قرار میگیرد که اطلاعات کمی در مورد جزئیات طراحی یا روشهای اجرایی بهرهبرداری موجود است و اغلب پیشرو مطالعات بیشتر یا ارائه اطلاعات برای مشخص نمودن طراحی سیستم است. همچنین در زمان تحلیل سیستمهای موجود برای تعیین اولویت خطرات و ریسکها برای تحلیل بیشتر یا درجایی که اوضاعواحوال مانع استفاده از فنی گستردهتر میشوند، مفید است.
- تکنیک ارزیابی ریسک HAZOP
فن HAZOP در ابتدا برای تحلیل سیستمهای فرآیند شیمیایی تکوین شد، اما به انواع دیگر از سیستمها و عملیات پیچیده بسط دادهشده است. این موارد عبارتاند از سیستمهای مکانیکی و الکترونیک، روشهای اجرایی و سیستمهای نرمافزار و حتی تغییرات سازمانی و طراحی و بازنگری قرارداد قانونی . فرآیند HAZOP میتواند به تمام اشکال انحراف از مقصود طراحی بنا به نقصهای طراحی، جزء /اجزاء، روشهای اجرایی طراحیشده و اقدامات انسانی، بپردازد. در حال حاضر این تکنیک ارزیابی ریسک بیشتر در فرآیندهای عملیاتی پالایشگاه و پتروشیمیها استفاده میشود.
- تکنیک ارزیابی ریسک BIA
تکنیک BIA، تحلیل پیامد بر کسبوکار که ارزیابی پیامد بر کسبوکار نیز نامیده میشود، تحلیل میکند که چگونه ریسکهای مخل و مخرب کلیدی میتوانند بر بهرهبرداریهای سازمان اثر بگذارند و توانمندیهایی را شناسایی میکند که برای مدیریت آن مورد نیاز هستند. تکنیک ارزیابی ریسک تحلیل علت ریشهای (RCA) Root cause analysis تحلیل ضرر و زیانی بزرگ برای ممانعت از وقوع مجدد آن معمولاً تحلیل علت ریشهای (RCA)، تحلیل وقوع یا تحلیل زیان نام میگیرد. RCA روی از دست دادن داراییها به علت انواع ۲ خرابی علت ریشهای (RCFA) مختلف وقوع خرابی متمرکز است، درحالیکه تحلیل زیان بیشتر مربوط به زیانهای مالی یا اقتصادی به علت عوامل خارجی یا فجایع است. این تحلیل تلاش میکند، بهجای اینکه تنها به نشانههای واضح فوری بپردازد، علل ریشهای یا اصلی را شناسایی کند.
- تکنیک ارزیابی ریسک ، حالات خرابی فرآیند FMEA
تحلیل حالتهای وقوع خرابی و تأثیرات (FMEA)، تکنیکی است برای شناسایی نحوه عدم موفقیت اجزاء، سیستمها یا فرآیندها در انجام مقصود موردنظر است. این تکنیک باِ صورت کمی با بررسی وقوع، شدت و کنترل موضوعات را بررسی می نماید. تکنیک ارزیابی ریسک تحلیل درخت خرابی FTA A فنی است برای شناسایی و تحلیل عواملی که میتوانند به رخداد نامطلوب مشخصی (به نام رخداد بالا) کمک کنند. عوامل علی بهصورت استقرایی شناسایی میشوند، به صورتی منطقی سازماندهی میشوند و بهطور تصویری در نموداری درختی نمایش داده میشوند که عوامل علمی و رابطه منطقی آنها را با رخداد بالا ترسیم میکند تکنیک ارزیابی ریسک ، تحلیل علت و معلولی تحلیل علت و معلولی روشی ساختاریافته برای شناسایی علل احتمالی رخدادی نامطلوب یا یک مشکل است. این تحلیل عوامل کمککننده احتمالی را در دستههای گسترده سازماندهی میکند تا تمام فرضهای ممکن بتوانند بررسی شوند. بااینحال بهخودیخود علل حقیقی را نشان نمیدهد، چراکه این علل را تنها میتوان با شواهد حقیقی و آزمون تجربی فرضها تعیین نمود. اطلاعات در یک نمودار استخوان ماهی (که ایشیکاوا نیز نام دارد) یا گاهی نمودار درختی سازماندهی میشود.
- تکنیک ارزیابی ریسک تحلیل لایههای حفاظت (LOPA )
Layers of protection analysis LOPAروشی برای برآورد ریسکهای مربوط به رخداد یا سناریویی نامطلوب است. این روش تحلیل میکند که آیا اقدامات کافی برای کنترل یا تخفیف ریسک موجود هستند.
- تکنیک ارزیابی ریسک ،ارزیابی قابلیت اطمینان انسانی(HRA)
Human reliability assessmentارزیابی قابلیت اطمینان انسانی (HRA) به پیامد انسانها بر عملکرد سیستم میپردازد و میتوان آن را برای سنجش تأثیرات خطای انسانی بر سیستم به کاربرد. بسیاری از فرآیندها دارای قابلیت خطای انسانی هستند، بهویژه هنگامیکه زمان موجود برای تصمیمگیری اپراتور، کوتاه است. احتمال اینکه مشکلات بهقدر کافی گسترشیافته و جدی شوند، میتواند پایین باشد. بااینحال گاهی اقدام انسانی تنها دفاع برای ممانعت از پیشروی وقوع خرابی اولیه در جهت سانحه است.
- تکنیک ارزیابی ریسک ، نگهداری مبتنیبر قابلیت اطمینانRCM
Reliability centered maintenanceروشی است برای شناسایی خطمشیهایی که بایستی برای نگهداری مبتنی بر قابلیت اطمینان (RCM) مدیریت وقوع خرابیها پیادهسازی شوند تا بهطور کارآمد و اثربخش به ایمنی، آمادگی و اقتصاد مورد نیاز بهرهبرداری برای تمام انواع تجهیزات دست یابند. RCM در حال حاضر یک متدولوژی به اثبات رسیده و پذیرفته شده است که در گستره وسیعی از صنایع به کار میرود.
ادامه دارد….
نویسنده: دکتر امین گلستانی، مدیرکل نظام مدیریت امنیت اطلاعات