تصویر شاخص پاسخ به ریسک بر اساس چارچوب فناوری اطلاعات ایساکا-min

پاسخ به ریسک در چارچوب ریسک ایساکا (ISAKA For Risk)

رویکرد ایساکا در پاسخ به ریسک فاوا، شامل اجتناب، کاهش، انتقال و پذیرش ریسک است؛ همراه با تجمیع، اولویت‌بندی و سیستم پایش ریسک.
  • مقالات

فهرست مطالب

پاسخ به ریسک

در این بخش اجزای اساسی پاسخ به ریسک تشریح می‌گردد:

  • تمایل به ریسک
  • تجمیع ریسک
  • انتخاب و اولویت‌بندی پاسخ به ریسک

تمایل به ریسک

چهار تمایل زیر به ریسک به سازمان‌ها کمک می‌کند تا ریسک را به‌صورت کارآمد مدیریت کنند، با تمرکز بر ریسک‌هایی که بیشترین تأثیر بالقوه بر اهداف دارند (در صورتی که ریسک محقق شود) :

  • اجتناب از ریسک
  • کاهش ریسک
  • اشتراک یا انتقال ریسک
  • پذیرش ریسک

هدف از پاسخ به ریسک، هم‌راستا کردن ریسک با اشتهای ریسک تعریف‌شده پس از ارزیابی ریسک است. پاسخی باید تعریف شود تا ریسک باقی‌مانده آینده (یعنی ریسک فعلی پس از تعریف و پیاده‌سازی پاسخ به ریسک) تا حد ممکن (معمولاً بسته به بودجه موجود) در محدوده تحمل‌پذیری ریسک حفظ شود. مدیریت ممکن است تصمیم بگیرد هر ریسکی را، صرف‌نظر از شرایط، بپذیرد.

اجتناب از ریسک

اجتناب از ریسک شامل خروج از فعالیت‌ها یا شرایطی است که منجر به ایجاد ریسک می‌شوند. اجتناب زمانی اعمال می‌شود که هیچ پاسخ دیگری به ریسک کافی نباشد:

  • هیچ پاسخ مقرون‌به‌صرفه دیگری نمی‌تواند تأثیر ریسک محقق‌شده را به زیر آستانه‌های تعریف‌شده برای زیان کاهش دهد
  • ریسک نمی‌تواند به اشتراک گذاشته شود یا منتقل شود
  • ریسک توسط مدیریت غیرقابل‌قبول تلقی می‌شود

برخی مثال‌های مرتبط با I&T از اجتناب از ریسک شامل موارد زیر هستند:

  • جابه‌جایی یک مرکز داده از منطقه‌ای با خطرات طبیعی قابل‌توجه
  • امتناع از مشارکت در یک پروژه بسیار بزرگ زمانی که تحلیل کسب‌ و کار نشان‌دهنده ریسک قابل‌توجه شکست باشد

کاهش ریسک

کاهش، فرکانس و/یا تأثیر یک ریسک را کم می‌کند. استراتژی‌های رایج برای کاهش شامل موارد زیر هستند:

  • تقویت شیوه‌های کلی مدیریت ریسک: سازمان‌ها باید مسئولیت شناسایی و/یا مدیریت ریسک را به افرادی که نزدیک‌ترین به فعالیت‌ها یا فرآیندهای ایجادکننده ریسک هستند، اختصاص دهند.
  • جاسازی آگاهی از ریسک در جریان‌های کاری روزمره: افزایش آگاهی از ریسک در طول فعالیت‌های روزانه به کارکنان کمک می‌کند تا رفتارهای ایجادکننده ریسک را قبل از وقوع یک حادثه بهتر درک و شناسایی کنند.
  • بهبود فرآیندهای مدیریت ریسک و توسعه تحمل‌پذیری‌های مرتبط: سازمان‌ها باید به دنبال فرصت‌هایی برای گسترش مدیریت ریسک از استراتژی به خطوط مقدم سازمان باشند.
  • خودکارسازی محرک‌ها یا هشدارها: خودکارسازی معمولاً پیشرفته‌ترین و به‌موقع‌ترین نشانه را ارائه می‌دهد وقتی که آستانه‌ها از تحمل‌پذیری خارج می‌شوند.
  • معرفی کنترل‌ها: کنترل‌ها برای کاهش فرکانس یا تأثیر ریسک محقق‌شده طراحی شده‌اند. تکنیک‌های مختلف کنترل در بخش‌های بعدی بحث می‌شوند.

اشتراک یا انتقال ریسک

اشتراک شامل کاهش فرکانس یا تأثیر ریسک از طریق انتقال بخشی از ریسک است. تکنیک‌های رایج شامل موارد زیر هستند:

  • دریافت پوشش بیمه برای رویدادهای مرتبط با I&T یا حوادث سایبری
  • برون‌سپاری فعالیت‌های مرتبط با I&T
  • اشتراک ریسک پروژه مرتبط با I&T با یک ارائه‌دهنده شخص ثالث از طریق ترتیبات قیمت ثابت یا ترتیبات سرمایه‌گذاری مشترک

نه در تجربه عینی و نه در مفهوم حقوقی انتزاعی‌تر، این تکنیک‌ها سازمان را از ریسک رها نمی‌کنند، با این حال، آن‌ها می‌توانند از مهارت‌های یک طرف دیگر در مدیریت ریسک بهره ببرند و در نتیجه، تأثیر مالی آن را در صورت وقوع یک رویداد نامطلوب کاهش دهند.

پذیرش ریسک

پذیرش به این معناست که هیچ اقدامی نسبت به یک ریسک خاص انجام نمی‌شود و زیان در صورت وقوع پذیرفته می‌شود. این پاسخ کاملاً متفاوت از نادیده گرفتن ساده ریسک است. پذیرش ریسک فرض می‌کند که ریسک شناخته‌شده است – یعنی مدیریت تصمیم آگاهانه‌ای برای پذیرش آن به همان شکل گرفته است.

اگر سازمان موضع پذیرش ریسک را اتخاذ کند، باید به‌دقت در نظر بگیرد چه کسی می‌تواند ریسک را بپذیرد، به‌ویژه در مورد ریسک مرتبط با I&T که باید تنها توسط مدیریت کسب‌ و کار (و مالکان فرآیند کسب‌ و کار) در همکاری با (و با پشتیبانی) دپارتمان IT یا عملکرد پشتیبانی IT پذیرفته شود.

پذیرش باید به ذینفعان مناسب، مانند مدیریت ارشد و هیئت‌مدیره، در صورت لزوم و بر اساس سیاست، اطلاع‌رسانی شود. شناسایی یا کاهش هر ریسک ممکن است مرتبط یا مقرون‌به‌صرفه نباشد.

تجمیع ریسک

تجمیع ریسک روش یا فرآیندی است که از طریق آن ریسک‌های فردی ممکن است برای اهداف گزارش‌دهی یا مدیریت، یا برای به‌دست آوردن یک پروفایل ریسک یکپارچه یا امتیاز ریسک، ترکیب شوند. تصمیم‌گیری در مورد مدیریت ریسک I&T برای سازمان مفیدتر است اگر ریسک از منظر ریسک تجمیع‌شده انتها به انتها مدیریت شود. یک دید تجمیع‌شده از ریسک، بازبینی کامل و جامع اشتهای ریسک و تحمل‌پذیری ریسک را پشتیبانی می‌کند و همیشه از نظر سود سازمانی  از شناسایی یا مدیریت نسبتاً ایزوله ریسک پیشی می‌گیرد.

ریسک مرتبط با I&T اغلب بر اساس نوع ریسک، شباهت پاسخ به ریسک یا مدیریت کنترل خاص گروه‌بندی می‌شود. برای مثال، اگر یک رویکرد مدیریت دسترسی سازمانی به‌طور مکرر یافته‌های حسابرسی یا کمبودهای کنترلی را در حوزه‌های مختلف کسب‌ و کار یا مأموریت ایجاد کند، یک ابتکار سازمانی در مدیریت دسترسی ممکن است مسئله را حل کند.

تأثیر مالی ریسک اغلب برای اهداف گزارش‌دهی به مدیران اجرایی یا هیئت‌مدیره، به محدوده‌های زیان پولی که می‌توان انتظار داشت در صورت تحقق انواع خاصی از ریسک، تجمیع می‌شود. بسیاری از سازمان‌ها مجموعه‌ای از معیارهای تأثیر و تحمل‌پذیری‌های ریسک را به‌صورت مالی حفظ می‌کنند. تجمیع و گزارش‌دهی ریسک یک الزام کنونی برای بسیاری از مؤسسات مالی تحت نظارت فرآیند نظارتی کمیته بازل برای نظارت بانکی (کمیته بازل) است.

این الزام بحثی را بین مدیریت ارشد (یا نمایندگان آن‌ها) واحد/کارکنان مدیریت ریسک و هیئت‌مدیره در مورد سطح مناسب تجمیع و کمی‌سازی ریسک که برای هیئت‌مدیره قابل‌قبول و مفید باشد تا تصمیمات آگاهانه بگیرند، به راه انداخته است. تأثیر مالی ریسک اغلب برای اهداف گزارش‌دهی به مدیران اجرایی یا هیئت‌مدیره، به محدوده‌های زیان پولی که می‌توان انتظار داشت در صورت تحقق انواع خاصی از ریسک، تجمیع می‌شود.

انتخاب و اولویت‌بندی پاسخ به ریسک

بخش‌های قبلی گزینه‌های پاسخ به ریسک را فهرست کردند. این بخش بر تمایز، ارزیابی و انتخاب پاسخ‌های مناسب از بین این گزینه‌ها، با توجه به یک زمینه ریسک خاص، تمرکز دارد. پارامترهای زیر باید در این فرآیند در نظر گرفته شوند:

  • هزینه پاسخ:  در مورد انتقال ریسک، هزینه حق بیمه را در نظر بگیرید؛ در مورد کاهش ریسک، هزینه پیاده‌سازی، نگهداری و آزمایش کنترل‌ها را در نظر بگیرید.
  • اهمیت ریسکی که پاسخ به آن پرداخته می‌شود: اولویت یا رتبه‌بندی در ثبت ریسک را در نظر بگیرید.
  • قابلیت پیاده‌سازی و نگهداری پاسخ در طول زمان: هرچه سازمان در قابلیت مدیریت ریسک خود بالغ‌تر باشد، پاسخ‌های بهتری می‌توانند پیاده‌سازی شوند؛ وقتی سازمان نسبتاً نابالغ است، برخی پاسخ‌های بسیار ابتدایی ممکن است استفاده شوند و با گذشت زمان بهبود یابند.
  • اثربخشی پاسخ: میزان کاهش فرکانس یا تأثیر ریسک در صورت تحقق آن را در نظر بگیرید.
  • سایر سرمایه‌گذاری‌های مرتبط با :I&T سرمایه‌گذاری در اقدامات پاسخ به ریسک همیشه با سایر سرمایه‌گذاری‌های مرتبط با I&T رقابت می‌کند و نیازمند بررسی دقیق است.
  • سایر پاسخ‌ها: یک پاسخ ممکن است چندین نوع ریسک را پوشش دهد در حالی که دیگری ممکن است این کار را نکند؛ ریسک ممکن است تجمیع شود و متعاقباً با یک پاسخ مشترک مدیریت شود.

گاهی اوقات تلاش یا منابع مورد نیاز برای پاسخ‌ها (مثلاً مجموعه کنترل‌هایی که باید پیاده‌سازی یا تقویت شوند) از قابلیت موجود سازمان فراتر می‌رود. در این صورت، تصمیم‌گیری در مورد اولویت‌بندی، مهارت و تخصص سازمانی مورد نیاز است. گزینه‌های ممکن پاسخ به ریسک می‌توانند به‌صورت زیر گروه‌بندی شوند:

  • پیروزی‌های سریع: پیروزی‌های سریع شامل پاسخ‌های کوتاه‌مدت، زمان‌بهینه و مؤثر به ریسک‌های با تأثیر بالا هستند.
  • الزامات انطباق که یک نیاز غیرقابل‌مذاکره دارند: مدیریت ریسک عدم انطباق باید همراه با سایر پاسخ‌های به ریسک انجام شود تا از کارهای تکراری یا هم‌پوشان اجتناب شود.
  • نیازمند تحلیل کسب‌ و کار: پاسخ‌های گران‌تر یا دشوارتر به ریسک‌های با تأثیر بالا نیازمند تحلیل دقیق و تصمیمات مدیریتی قبل از سرمایه‌گذاری هستند. پاسخ‌ها در این دسته ممکن است شامل برون‌سپاری مدیریت ریسکی باشد که سازمان نمی‌تواند به‌صورت داخلی مدیریت کند.
  • تعویق و/یا پایش مداوم شرایط: سازمان‌ها ممکن است پاسخ را به تعویق بیندازند و پایش را ادامه دهند تا مشخص شود آیا تغییرات در ریسک شناسایی‌شده یا محیط، پاسخ متفاوتی را ایجاب می‌کند.

اشتراک گذاری:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *