ریسک یا خطر می تواند برای سازمان ها مشکلاتی ایجاد کند. مثلا ممکن است برای انجام تجارت تاثیر منفی بگذارد. ارزیابی ریسک به شناسایی ریسک های تجاری پرداخته و اقداماتی را برای کاهش سریع تاثیر این ریسک ها تعیین می نماید. در حقیقت در این فرایند، از سلامت و ایمنی کارکنان و مشتریان اطمینان حاصل می شود. در این مقاله درباره مراحل و اهداف این ارزیابی نکاتی بیان خواهد شد.
تعریف ارزیابی ریسک
ارزیابی ریسک برنامه ای برای شناسایی خطرات احتمالی و حذف یا کاهش آن ها است. نتیجه و هدف نهایی فرایند ارزیابی خطر، ارزیابی خطر ها و تعیین ریسک ذاتی ایجاد شده توسط آن خطر ها است. این ارزیابی نه تنها باید خطرات و آثار بالقوه آن ها را شناسایی کند، بلکه باید اقدامات کنترل ریسک بالقوه را برای جبران هرگونه تأثیر منفی بر فرایند های تجاری یا دارایی های سازمان نیز شناسایی کند. به طور معمول این اقدامات به دو صورت کمی و کیفی انجام می شود. در ارزیابی کیفی تحلیل هایی که در آن احتمال و پیامد های ناشی از وقوع ریسک های شناسایی شده است به صورت غیر عددی محاسبه می شود. اما در ارزیابی های کمی فرمول هایی وجود دارد که مولفه های آن شامل ریسک، یعنی شدت رخداد و احتمال وقوع آن رخداد است.
هدف از فرایند ارزیابی ریسک چیست؟
هدف اصلی این فرایند تعیین این مورد است که چه اقداماتی را باید برای کاهش خطرات احتمالی در یک شرکت یا سازمان انجام داد. به عنوان مثال در این فرایند، خطرات احتمالی درباره نوع ابزار و تجهیزات حفاظتی مورد نیاز کارگر مورد بررسی قرار می گیرد. برخی از اهداف مشترک در سازمان ها، هنگام انجام ارزیابی خطر فناوری اطلاعات میتواند شامل موارد زیر باشد:
- ایجاد یک برنامه تجزیه و تحلیل از انواع تهدید هایی که سازمان با آن مواجه است.
- تعیین یک فهرست دقیق از دارایی های فناوری اطلاعات در سازمان
- تعیین هزینه اقدامات متقابل امنیتی برای کاهش خطرات و آسیب پذیری ها
- شناسایی، اولویت بندی و مستند سازی ریسک ها، تهدید ها و آسیب های شناخته شده برای زیر ساخت های تولیدی و دارایی های سازمان
- تعیین بودجه برای اصلاح یا کاهش خطرات و آسیب های احتمالی
مراحل ارزیابی خطر
نحوه انجام ارزیابی ریسک در سازمان های مختلف بسیار متفاوت است. این تفاوت ها به خطرات منحصر به فرد در یک صنعت یا یک کسب و کار خاص و نیز قوانین مربوط به آن ها وابسته است. با این حال سازمان ها می توانند این پنج مرحله کلی را بدون توجه به نوع کسب و کار یا صنعت خود در نظر بگیرند:
مرحله 1: خطرات را شناسایی کنید.
به این صورت که هر گونه خطر بالقوه ای که در صورت وقوع، بر توانایی سازمان برای انجام امور تجاری تأثیر منفی می گذارد را شناسایی کنید. این خطرات بالقوه که در طول ارزیابی خطر در نظر گرفته می شود شامل بلایای طبیعی، قطع برق و حملات سایبری است.
مرحله 2: پیش بینی کنید که چه چیزی یا چه کسی ممکن است در آینده آسیب ببیند.
دارایی های تجاری ای که ممکن است در معرض تاثیر منفی خطرات قرار گیرند، شامل زیر ساخت های حیاتی، سیستم های فناوری اطلاعات، عملیات تجاری، اعتبار شرکت و حتی ایمنی کارکنان می باشد.
مرحله 3: توسعه دادن اقدامات کنترلی و تجزیه و تحلیل تهدید ها
این مرحله می تواند به شناسایی چگونگی تاثیر خطر ها بر دارایی های تجاری بپردازد. این کار به تعریف چارچوب مدیریت ریسک برای به حداقل رساندن یا حذف تاثیر خطر ها بر دارایی های تجاری کمک می کند. سایر تهدید ها شامل آسیب به اموال، وقفه در تجارت، ضرر مالی و مجازات های قانونی است.
مرحله 4: ثبت کردن داده ها
در این مرحله توصیه می شود که حتما یافته ها را ثبت کنید. یافته های ارزیابی ریسک باید توسط شرکت ثبت شود و به عنوان اسناد رسمی و قابل دسترسی آسان، بایگانی شود. سوابق باید شامل جزئیات خطرات احتمالی، آسیب های مرتبط با آن ها و نیز برنامه هایی برای جلوگیری از خطرات باشد.
مرحله 5: ارزیابی خطر را به طور مرتب انجام دهید.
خطرات بالقوه، تهدید ها و آسیب های احتمالی ممکن است به سرعت در یک محیط تجاری تغییر کنند. برای شرکت ها مهم است که فرایند ارزیابی ریسک را به طور مرتب انجام دهند تا با تغییرات سازگار شوند.
ابزار ها و استاندارد های ارزیابی ریسک
امروزه ابزار ها و چارچوب های ارزیابی خطر در الگو های تعریف شده برای صنایع مختلف در دسترس است. این ابزار ها برای شرکت هایی است که برای اولین بار ارزیابی های ریسک خود را انجام می دهند یا می خواهند ارزیابی های قدیمی خود را به روز کنند. برخی از نمونه های این استاندارد ها مانندISO 27001 برای اهداف فناوری اطلاعات و یا استاندارد CSA Z1002 برای اهداف ایمنی و سلامت می باشند.
جمع بندی
ارزیابی ریسک فرایندی است که برای شناسایی خطرات احتمالی و تجزیه و تحلیل آنچه که در صورت وقوع فاجعه یا خطر اتفاق می افتد، استفاده می شود. در هر سازمان یا شرکت خطرات متعددی وجود دارد که باید در نظر گرفت که هر کدام نیز میتوانند دلایل زیادی داشته باشند. فرایند ارزیابی خطر به دنبال شناسایی این دلایل، آسیب پذیری ها یا نقاط ضعفی است که کسب و کار شما را در معرض آن ها قرار می دهد.