ایزو 31000

مقدمه ای بر ایزو 31000، استاندارد مدیریت ریسک
ما هر روز ریسک ها را تحلیل و مدیریت می کنیم. از تهیه صحیح غذا، عبور از خیابان، بستن کمربند ایمنی تا هماهنگی سفر از طریق حمل و نقل عمومی. هر یک از اینها نمونه ای از فرآیند مدیریت ریسک است گاهی نتیجه «عقل سلیم» است، گاهی این تصمیمات ناخودآگاه گرفته می شود. وقتی نوبت به مدیریت کسب و کار می رسد، رویکردی دقیق تر و رسمی تر مورد نیاز است.
جهان با سرعت در حال تغییر است و عدم اطمینان به یک واقعیت روزمره تبدیل شده است. فقط به بحران کرونا، درگیری های اقتصادی و الزامات زیست محیطی فکر کنید. نحوه برخورد سازمان ها با این عوامل نامطمئن موفقیت آنها را تعیین می کند. به عبارت دیگر؛ هر چه ریسک ها را بهتر مدیریت کنید، عملکرد بهتری خواهید داشت.
یکی از استراتژی‌ها برای مدیریت ریسک، استفاده از استانداردهایی برای مدیریت ریسک است، مانند ایزو 31000. این رویکرد تقریباً در هر موقعیتی، برای سازمان‌هایی با هر شکل و اندازه، جهت مدیریت ریسک در عملیات روزمره مفید است.
خوشبختانه، ما می توانیم به ایزو 31000، استاندارد بین المللی مدیریت ریسک، اعتماد کنیم. این استاندارد به شما امکان می دهد نتایج و شهرت خود را در دراز مدت افزایش دهید. چرا؟ زیرا ایزو  31000 نه تنها مبنایی برای تجزیه و تحلیل ریسک است، بلکه به شما کمک می کند تا فرصت ها را شناسایی کنید.
عناصر نامشخص و خطرات می توانند تأثیر مثبتی بر دستیابی به اهداف شما داشته باشند. اگر بدانید چگونه به یک سازمان آگاه از ریسک تبدیل شوید، یک مزیت رقابتی به دست خواهید آورد!

ایزو 31000 به شرکت ها و سایر سازمان ها دستورالعمل هایی ارائه می دهد تا تصمیم گیری آگاهانه از ریسک را در حاکمیت، برنامه ریزی، گزارش، سیاست ها، ارزش ها و فرهنگ خود ادغام کنند. در واقع این استاندارد مجموعه ای از دستورالعمل ها را برای ساده کردن مدیریت ریسک برای سازمان ها توصیف می کند. این یک سیستم باز و مبتنی بر اصول است که استاندارد را برای هر زمینه ای مناسب می کند. استاندارد بین المللی هم برای مدیریت ریسک در سطح شرکت و هم برای مدیریت ریسک های استراتژیک و عملیاتی در عملیات یا پروژه های روزانه در نظر گرفته شده است.
ISO 31000 در سال 2018، تقریبا 10 سال پس از اولین انتشار آن در سال 2009، بازنگری شد. به دلیل این بازنگری، این استاندارد اکنون کاملاً مطابق با وضعیت فعلی بازار است و چالش های جدیدی را برای سازمان ها در نظر می گیرد. چند مثال: افزایش پیچیدگی سیستم های اقتصادی و خطرات نوظهور، مانند ارزهای دیجیتال و جرم و جنایت سایبری.
مهم: مفهوم مدیریت ریسک (و ارزیابی ریسک)، همانطور که در ISO 31000 توضیح داده شد، ورودی مهمی برای نسل جدید استانداردهای مدیریتی مبتنی بر ریسک، مانند ISO 9001 (مدیریت کیفیت)، ISO 14001 (مدیریت زیست محیطی) و ISO  45001 (بهداشت و ایمنی شغلی) است.

ISO 31000:2018 یک استاندارد واحد در خانواده بزرگتری از استانداردهای مدیریت ریسک است که عموماً به آن ISO 31000 می گویند. استانداردهای مدیریت ریسک ISO 31000 همگی به گونه ای طراحی شده اند که به طور گسترده در صنایع مختلف، جایگاه ها و انواع کسب و کار مورد استفاده قرار گیرند. ارائه بهترین ساختار و راهنمایی برای کلیه عملیاتی که به دنبال استفاده از اصول مدیریت ریسک هستند.

تعریف ریسک طبق ایزو 31000 «اثر عدم قطعیت بر اهداف شما» است، بنابراین مدیریت ریسک اساساً ابزاری برای مدیریت تهدیدها (اثرات منفی) و بهره مندی از فرصت ها (اثرات مثبت) است. این باید به بهبود عملکرد سازمان، پروژه، محصول یا خدمات شما منجر شود. به طور خلاصه هدف اصلی ایزو 31000 ایجاد و محافظت از ارزش است.

مزایای اصلی مدیریت ریسک بر اساس ایزو 31000:

• اثربخشی اثبات شده: از آنجایی که ایزو 31000 یک استاندارد بین المللی شناخته شده است، سازمان های بی شماری از آن استفاده می کنند. این بدان معناست که این استاندارد به طور کامل مورد بررسی قرار گرفته و موثر بودن آن ثابت شده است.
• تمرکز بر اهداف: با پیروی از بهترین شیوه های بین المللی در ارزیابی ریسک احتمال دستیابی به اهداف بیشتر است. با تمرکز بر فرآیند، پیشگیرانه فکر کردن به جای واکنشی، و دادن مالکیت کارکنان بر مسئولیت های کاری خود، میزان موفقیت را در تمام عملیات های تجاری بهبود بخشید.
• هزینه های کمتر: از طریق تجزیه و تحلیل ریسک، شانس خود را برای تصمیم گیری فوری افزایش می دهید و هزینه های غیر ضروری را کاهش می دهید.کاهش فراوانی و در نهایت حذف خطرات با آموزش کارکنان و ذینفعان در مورد خطرات شناسایی شده.
• افزایش سودآوری سازمان: هنگامی که یک سازمان خطرات غیر ضروری را کاهش می دهد، احتمال آسیب مالی ناشی از رویدادهای مرتبط با آن خطر را نیز کاهش می دهد.
• فرهنگ آگاهی از ریسک: استاندارد اطمینان حاصل می کند که تصمیمات آگاهانه در همه سطوح(مثلا هنگام تخصیص منابع) گرفته می شود. افزایش آگاهی کارکنان از ریسک های سازمانی با گنجاندن آنها در چارچوب مدیریت و مسئولیت فرآیندهایی که معمولاً از آنها استفاده می کنند.
• شهرت : سازمانی که دستورالعمل های ایزو 31000 را اجرا می کند به دنیای خارج نشان می دهد که نه تنها خطرات را شناسایی می کند، بلکه آنها را تجزیه و تحلیل و کنترل می کندبه شما مزیت رقابتی می دهد زیرا ISO یک نماد بین المللی شناخته شده برای استانداردهای کیفیت است.
• فرصت‌های شناسایی: ایزو 31000 اصلاح‌شده تأکید می‌کند که ریسک‌ها لزوماً منفی نیستند، بلکه می‌توانند تأثیر مثبتی بر اهداف شما داشته باشند.
• مقیاس پذیر: زمانی که سازمان شما رشد می کند، خطرات جدیدی ظاهر می شود. با این حال، دستورالعمل های ISO 31000 برای هر نوع سازمانی، صرف نظر از اندازه، اعمال می شود.
• مطابقت با سایر استانداردها: به لطف ساختار آخرین نسخه ISO 31000، این استاندارد با استانداردهای مدیریتی محبوب، مانند ISO 9001 (مدیریت کیفیت) و ISO/IEC 27001 (امنیت اطلاعات) هماهنگی بهتری دارد.
• کاهش مواجهه قانونی با شناسایی محرک های کلیدی: سازمان ها ممکن است قادر به کاهش مواجهه قانونی خود و کاهش خطرات ناشی از دعوی قضایی باشند.
• افزایش سرمایه گذاری: به سازمان کمک کند تا به راحتی بودجه خود را بدست آورد. بانک ها و سرمایه گذاران تمایل به ریسک گریزی دارند. اگر سرمایه‌گذار متقاعد شود که سازمانی در شناسایی و کاهش ریسک‌ها جدی است، احتمالاً سرمایه‌گذاری را انجام می دهد.
• بررسی خطرات در یک روش استاندارد: زمانی که ISO 31000 به درستی پیاده سازی شود، می تواند به عنوان الگویی عمل کند که به سازمان ها کمک می کند تا محرک های اصلی ریسک را شناسایی کند.

اگرچه مزایای واضحی برای پذیرش ایزو 31000 وجود دارد، اما حداقل برخی از چالش‌ها نیز باید در نظر گرفته شوند، از جمله موارد زیر:
پایبندی مستلزم تلاش مستمر است. اگر سازمانی نتواند مفاهیم ایزو 31000 را در فرآیندهای خود بگنجاند، طرح کاهش ریسک ایجاد شده به سرعت منسوخ شده و احتمالاً توسط کارکنان نادیده گرفته خواهد شد.
پتانسیل احساس امنیت کاذب: حتی با وجود یک برنامه کاهش ریسک موثر، سازمان ها باید به خاطر داشته باشند که همیشه خطرات ناشناخته وجود خواهد داشت.
سازمان ها می توانند ریسک گریز شوند؛ ریسک گریزی می تواند سرمایه گذاری یک سازمان را برای فرصت های جدید دشوار کند.

همه کسانی که در مدیریت ریسک در سازمان خود مشارکت دارند می توانند ازایزو 31000 بهره مند شوند، بنابراین نه تنها مدیران ریسک حرفه ای، بلکه مدیران ارشد؛ تحلیلگران ریسک؛ مدیران خط تولید؛ مدیران پروژه و ممیزان خارجی و داخلی میتوانند از رهنمون های استاندارد بهره مند شوند.

ISO 31000 یک استاندارد مدیریتی به معنای دقیق آن نیست، زیرا این استاندارد شامل دستورالعمل ها (نه الزامات) برای یک سیستم مدیریتی است. نتیجه: برخلاف ISO 9001 یا ISO 14001، شما نمی توانید گواهینامه ISO 31000 را برای سازمان خود دریافت کنید. با این حال، افراد حرفه ای می توانند گواهی شخصی دریافت کنند.

گواهی شخصی چیست؟
گواهینامه یک مدرک عینی و کتبی است که نشان می‌دهد شما کاملاً بر روش‌ها، دستورالعمل‌ها و رویکرد ایزو 31000 تسلط دارید. اگر در آزمون PECB موفق شوید، گواهینامه مؤسسه صدور گواهینامه معتبر بین‌المللی PECB را دریافت می‌کنید.
در بلژیک، می توانید از طریق شبکه جهانی گواهی مستقل (GNIC) گواهینامه دریافت کنید. NBN، GNIC به طور منظم دوره‌ها و آزمون‌هایی را برگزار می‌کند که به مدیران ریسک این فرصت را می‌دهد تا مهارت‌های خود را بهبود بخشند.

چرا یک گواهینامه شخصی برای ISO 31000 دریافت کنید؟
با صدور گواهینامه به نام خود، حرفه شما جهشی به جلو خواهد داشت. این شناخت ثابت می کند که شما برای محافظت از سازمان ها در برابر خطرات و فرصت ها آموزش دیده اید. دارایی ای که اعتماد بسیاری از سهامداران مختلف را جلب می کند.

امروزه اهمیت تحلیل ریسک موضوعی رایج در کمیسیون های مختلف استانداردسازی است. به عنوان مثال، در کمیسیونی که مسئولیت ISO 19011 (استاندارد ممیزی داخلی و خارجی سیستم های مدیریت)  را بر عهده دارد؛ تفکر مبتنی بر ریسک یکی از 7 اصل اساسی برای ممیزی سیستم های مدیریت( در آخرین نسخه ISO 19011  )است. ایده های اصلی تفکر مبتنی بر ریسک در این استاندارد مستقیماً با ISO 31000 مرتبط هستند.

ممیزی مبتنی بر ریسک چیست؟
روش‌های ممیزی سنتی، انطباق رویه را به‌عنوان یک معیار در نظر می‌گیرند. با این حال، ممیزی مبتنی بر ریسک، توجه بیشتری به دستیابی به اهداف و رویکردی فعالانه نسبت به آنها دارد. این تمرکز ممیزی جدید در حال جلب توجه است.

نتیجه: اگر ممیزی برای استانداردهای مدیریتی دارید ، مانند ISO 9001 (مدیریت کیفیت) یا ISO 14001 (مدیریت زیست محیطی)، ممیز قطعاً نگاه دقیق تری به مدیریت ریسک شما در آن حوزه ها خواهد داشت. آگاهی از دستورالعمل های ISO 31000 یک مزیت بزرگ در این زمینه است.

برای ارتقای سطح مدیریت ریسک خود، می توانید برای تکمیل ISO 31000 روی این استانداردها نیز حساب کنید:
IEC 31010:2019: مدیریت ریسک – تکنیک های ارزیابی ریسک.
NBN EN ISO 14971:2020: دستگاه های پزشکی – کاربرد مدیریت ریسک در دستگاه های پزشکی.
NBN ISO راهنمای 73:2014: مدیریت ریسک – واژگان.
هر یک از این مکمل ها یکدیگر را. همه آنها برای ارائه مجموعه ای واضح و قابل اجرا جهانی از دستورالعمل ها و اصول بهترین عملکرد برای مدیریت ریسک طراحی شده اند.
علاوه بر موارد ذکر شده در بالا، ISO 21500 نیز وجود دارد که راهنمایی در مورد ادغام اصول مدیریت پروژه با ISO 31000 برای مدیریت ریسک را شرح می دهد.

هدف ایزو 31000 ساده کردن مدیریت ریسک در مجموعه ای از دستورالعمل های کاملاً قابل درک و عملی است که باید بدون در نظر گرفتن اندازه، ماهیت یا محل کسب و کار، اجرا شوند.
ریسک برای ISO 31000 به عنوان “اثر عدم اطمینان” بر اهداف  تعریف می شود. این اثر می تواند مثبت یا منفی باشد.
ISO 31000 تلاشی است برای اذعان به اینکه عملیات همیشه دارای درجه ای از عدم قطعیت و در نتیجه ریسک است. مهم نیست اهداف ما چه هستند، همیشه این احتمال وجود دارد که همه چیز اشتباه پیش برود.
هنگامی که یک هدف را به یک فرآیند تقسیم می کنید، می توانید به آن فرآیند بر حسب هر مرحله از مسیر، به سمت نتیجه نهایی آن فرآیند نگاه کنید. مدیریت ریسک شامل نگاه کردن به عنصر ریسک موجود در هر یک از آن مراحل و تلاش برای مدیریت آن است.
چارچوب های مدیریت ریسک از سه مفهوم کلیدی برای صحبت در مورد ریسک استفاده می کنند:
رویداد بالقوه
احتمال وقوع آن رویداد
در صورت وقوع رویداد، شدت نتیجه حاصله
این نوع چارچوب، دسته‌بندی‌هایی مانند «رویدادهای پرخطر» را تولید می‌کند، یعنی رویدادی که احتمال وقوع آن زیاد است و همچنین پیامد شدیدی دارد.

8 اصل ISO 31000  که هدف اصلی را پشتیبانی می کند:
یکپارچه: مدیریت ریسک باید در تمامی عملیات ها و فعالیت ها ادغام شود.
ساختارمند و جامع: رویکرد باید ساختارمند و جامع باشد.
سفارشی: چارچوب مدیریت ریسک باید با زمینه و اهداف سازمان تطبیق داده شود.
فراگیر: همه ذینفعان (مربوط) باید در مدیریت ریسک مشارکت داشته باشند.
پویا: انجام اقدامات پیشگیرانه، پیش بینی و واکنش سریع به تغییرات، عناصر حیاتی مدیریت ریسک خوب هستند.
بهترین اطلاعات موجود: مدیریت ریسک به معنای در نظر گرفتن تمام محدودیت های اطلاعات موجود است.
عوامل انسانی و فرهنگی: این عوامل ضروری هستند و باید در هر مرحله به آن پرداخته شود.
بهبود مستمر: از طریق تجربه و دانش انباشته، یک سازمان باید بتواند در طول زمان قوی تر شود.

• اصطلاح “چارچوب” بسیار مورد استفاده قرار می گیرد، به خصوص زمانی که در مورد هر نوع استاندارد صحبت می شود. ISO 31000 چارچوب مدیریت ریسک را به صورت زیر تعریف می کند:
  مجموعه ای از اجزایی که مدیریت ریسک را در سراسر سازمان پشتیبانی و حفظ می کند.
  به طور خاص، ISO 31000 شش حوزه متمایز را تعریف می کند که کل “چارچوب” مدیریت ریسک را تشکیل می دهد:
• رهبری و تعهد
• ادغام و یکپارچه سازی
• طراحی
• پیاده سازی و اجرا
• ارزیابی
• بهبود
  اصول مدیریت ریسک؛ ارتباط نزدیکی با حوزه های تعریف شده در چارچوب ISO 31000 دارند. برای مثال، ایده یک سیستم مدیریت ریسک یکپارچه، هم یکی از اصول و هم یکی از اجزای اصلی چارچوب است.
  آنها چگونه با یکدیگر ارتباط دارند؟ اصول مانند اهداف هستند و آنچه را که باید به آن دست یابید توصیف می کنند و چارچوب مانند اطلاعاتی در مورد چگونگی دستیابی به آن اهداف است. بیایید نگاهی دقیق تر به هر یک از اجزای چارچوب بیندازیم.

1- رهبری و تعهد

محور اصلی چارچوب ISO 31000 برای مدیریت ریسک، اهمیت رهبری و تعهد است.

این جزء شامل مواردی مانند:

• همسو کردن مدیریت ریسک با اهداف کلی کسب و کار، استراتژی ها و فرهنگ شرکت،
• صدور بیانیه ها، اطلاعیه ها یا خط مشی هایی که به وضوح رویکرد، برنامه ریزی، اهداف یا اقدامات که مدیریت ریسک را توصیف می کند.
• اطمینان از تخصیص و در دسترس بودن منابع کافی برای برنامه مدیریت ریسک،
• تعیین درجه ریسک قابل قبولی که سازمان می تواند از عهده آن برآید.

2- ادغام و یکپارچه سازی

بعد از رهبری و تعهد، ادغام در چارچوب مدیریت ریسک بسیار مهم است. اثربخشی کل رویکرد مدیریت ریسک شما بستگی به این دارد که چقدر جنبه های سازمان شما، از جمله فرآیندهای تصمیم گیری، یکپارچه شده است.

به عنوان مثال، برخی از فرآیندها، مانند چک لیست بازرسی الکتریکی، دارای سطحی از خطر هستند. این می تواند به این معنی باشد که فرآیند تصمیم گیری شامل افراد متعددی می شود که به راحتی می تواند منجر به گلوگاه شود و منجر به یک فرآیند کند و ناکارآمد شود. با ادغام موثر فرآیند مدیریت ریسک، می توان از این تنگناها عبور کرد..

چارچوب ISO 31000، این مؤلفه همچنین شامل موارد زیر است:

• نقش ها و مسئولیت های مدیریت سازمانی
• اطمینان از اینکه مدیریت ریسک بخشی از (یکپارچه) تمام جنبه های سازمان است.

3- طراحی

اکنون به چهار جزء نهایی چارچوب می رسیم: طراحی، اجرا، ارزیابی و بهبود.

این توالی چهار مرحله ای همچنین به عنوان چرخه Plan-Do-Study-Act شناخته می شود که مدلی برای بهبود مستمر کیفیت است.

ISO 31000:2018 به این رویکرد به عنوان برنامه ریزی، پیاده سازی، اندازه گیری، یادگیری (PIML) اشاره می کند.

با وجود تفاوت نامگذاری، رویکرد تا حد زیادی یکسان است. چهار مرحله متمایز، که با برنامه ریزی (یا طراحی) شروع می شود و با بهبود (یا یادگیری) پایان می یابد، با هدف مشترک بهبود چارچوب مدیریت ریسک.

این جزء شامل مواردی مانند:

• درک سازمان و زمینه آن (اعم از داخلی و خارجی)
• برنامه ریزی و تخصیص منابع برای برنامه مدیریت ریسک
• ایجاد پروتکل های ارتباطی

4- پیاده سازی و اجرا

عملی کردن برنامه ها و  برنامه ریزی در مورد اجرای رویکرد مدیریت ریسک.

این جزء شامل مواردی مانند:

• تعیین اهداف و ضرب الاجل
• تعریف واضح فرآیند تصمیم گیری
• ارزیابی و ایجاد تغییرات در فرآیند تصمیم گیری در صورت لزوم

5- ارزیابی

دریابید که آیا سیستم مدیریت ریسک آنطور که باید کار می کند یا خیر؟

این شامل بررسی نتیجه به دست آمده در مقابل نتیجه مطلوب  و هر تحلیل یا بازخورد دیگری از فرآیند و پیاده سازی است.

ممکن است شامل موارد زیر باشد:

• اندازه گیری عملکرد سیستم مدیریت ریسک
• ارزیابی میزان موفقیت
• تعیین اینکه آیا اهداف قابل اجرا هستند یا خیر

6- بهبود

مدیریت ریسک یک رویکرد چرخه ای و کاملا مستمر است. یعنی همیشه جا برای پیشرفت هست.

علیرغم این واقعیت که مرحله ای در چارچوب ISO 31000 به آن اختصاص داده شده است، این چارچوب به صورت مجموعه ای از مراحل متوالی تنظیم شده است، مؤثرترین سیستم های مدیریت ریسک یک رویکرد مستمر برای بهبود اتخاذ می کنند.

بدین منظورمی بایست کارکنان با رویکرد مدیریت ریسک و درک مالکیت فرآیندهایی که اغلب با آنها در تعامل هستند، آشنا شوند. تنها با دادن انگیزه و مسئولیت به صاحبان فرآیندها برای انجام اقداماتی در جهت بهبود فرآیندهای خود، مدیریت ریسک در یک محیط کسب و کار رونق می یابد.

مولفه بهبود شامل موارد زیر است:

• نظارت مستمر بر تمام جنبه های چارچوب مدیریت ریسک
• پرداختن به تغییرات داخلی و خارجی
• برنامه ریزی و انجام اقدامات برای بهبود خلق ارزش در سیستم مدیریت ریسک

فرآیند مدیریت ریسک طبق استاندارد ISO 31000 مستلزم بکارگیری مستمر و سازماندهی شده خط مشی ها، رویه ها و اقدامات به شرح زیر است.

شناسایی ریسک: شناسایی آنچه می تواند ما را از دستیابی به اهدافمان باز دارد.

تجزیه و تحلیل ریسک: درک منابع و علل خطرات شناسایی شده، بررسی احتمالات و پیامدها با توجه به کنترل های موجود  برای شناسایی سطح ریسک باقیمانده.

ارزیابی ریسک: نتایج تجزیه و تحلیل ریسک را با معیارهای ریسک مقایسه کنید تا مشخص شود آیا ریسک باقیمانده قابل قبول است یا خیر.

درمان ریسک: ایجاد تغییرات با در نظر گرفتن ریسک های مثبت و منفی برای دستیابی به افزایش خالص سود.

ایجاد زمینه (حوزه، زمینه و معیار): این فعالیت شامل تعریف محدوده فرآیند مدیریت ریسک، تعیین اهداف سازمان و تعیین معیارهای ارزیابی ریسک است. زمینه شامل عناصر خارجی (محیط نظارتی، شرایط بازار، انتظارات ذینفعان) و عناصر داخلی (حاکمیت سازمانی، فرهنگ، هنجارها و قوانین سازمانی، قابلیت‌ها، قراردادهای موجود، انتظارات کارگران، سیستم‌های اطلاعاتی و غیره) است.

نظارت و بازنگری: این وظیفه شامل اندازه گیری و بررسی عملکرد مدیریت ریسک در برابر شاخص های در نظر گرفته شده است. این شامل تأیید انحرافات از برنامه مدیریت ریسک، تأیید اینکه آیا چارچوب، خط مشی و برنامه مدیریت ریسک با توجه به بافت بیرونی و داخلی سازمان، گزارش ریسک، پیشرفت با برنامه مدیریت ریسک هنوز مناسب هستند یا خیر همچنین اثربخشی چارچوب مدیریت ریسک بررسی می شود.

ارتباط و مشاوره: این وظیفه به درک علایق و نگرانی های ذینفعان کمک می کند و تأیید می کند که فرآیند مدیریت ریسک بر عناصر صحیح تمرکز دارد و همچنین به توضیح منطق تصمیم گیری ها و راه حل ها برای ریسک های خاص کمک می کند. بنابراین، هدف از ارتباطات و مشاوره، گردآوری زمینه های مختلف تخصص برای هر مرحله از فرآیند است تا اطمینان حاصل شود که هنگام تعیین معیارها و ارزیابی ریسک ها، دیدگاه های مختلف به درستی در نظر گرفته شده اند.

رهبری در موفقیت سیستم مدیریت ریسک ISO 31000 بسیار تاثیرگذار می باشد.

در اینجا چند نکته کلیدی وجود دارد که مدیریت ارشد باید برای یک سیستم مدیریت ریسک موفق ISO 31000 به آنها توجه زیادی داشته باشد.

ISO 31000 یک پلتفرم برای همه نیست.

ایزو 31000 به وضوح بیان می کند که مدیریت ریسک یک فرآیند باز است و به گونه ای طراحی شده است که سفارشی و متناسب با نیازها و زمینه های فردی سازمانی است که آن را اجرا می کند.

با این حال، ISO 31000 توجه ویژه ای را به سفارشی سازی مشخصات ریسک، ریسک پذیری، ارتباطات و تسهیل مدیریت ریسک در سراسر فرهنگ شرکت توصیه می کند.

همسویی اجرایی بسیار مهم است.

این یکی از مهمترین نکات است؛ مدیریت ارشد باید کاملاً به برنامه مدیریت ریسک متعهد باشد، در غیر این صورت سیستم کار نخواهد بود. مدیران باید اطمینان حاصل کنند که کل فرآیند مدیریت ریسک در تمام سطوح و بخش‌های سازمان یکپارچه شده است و همچنین با اهداف، استراتژی و فرهنگ شرکت همسو می‌شود.

در نظر بگیرید که ریسک ها چگونه بر ارزش تأثیر می گذارند.

این استاندارد می گوید که مدیریت ارشد باید مسئولیت اطمینان از اولویت بندی ریسک ها را بر اساس نحوه تأثیر آنها بر توانایی سازمان برای ایجاد و ارائه ارزش داشته باشد. این نوع رویکرد با رویکردهای سنتی مدیریت ریسک متفاوت است، که معمولاً ریسک‌ها را بر اساس مقادیر عددی، با در نظر گرفتن احتمال و شدت تخمین زده شده رتبه‌بندی می‌کنند.

فعال، نه واکنشی

ایده اصلی این است که مدیریت ریسک باید پیشگیرانه باشد، به این ترتیب که برای خطراتی که هنوز به وجود نیامده اند آماده می شود، نه اینکه صرفاً به خطراتی که در حال حاضر قابل شناسایی هستند واکنش نشان دهد.

بهبود مستمر یکی دیگر از مفاهیم مهم برای درک ISO 31000 است. بدون فرهنگی که با اصول بهبود مستمر همسو باشد، سازمان ها برای اجرای برنامه های مدیریت ریسک موفق با مشکل مواجه خواهند شد.

این می تواند در عمل چالش برانگیز باشد، زیرا پرورش نگرش مدیریت ریسک در یک شرکت مستلزم همسویی مدیریت ریسک با ارزش ها، خط مشی های موجود شرکت و به بیان ساده تر، متقاعد کردن همه افراد دخیل در این است که مدیریت ریسک ارزشمند است. با این حال، بهبود فرهنگ ریسک امکان پذیر است و مانند بسیاری از چیزها، زمانی که فرآیندی برای آن داشته باشید، بسیار آسان تر می شود.

چنین فرآیندی را می توان به سه مرحله تقسیم کرد:

آگاهی فرهنگی

تغییر فرهنگی

پالایش فرهنگی

فاز اول: ایجاد و تقویت آگاهی فرهنگی

مرحله اول ایجاد آگاهی فرهنگی است. این به شکل ابتکارات، ارتباطات، آموزش در سازمان خواهد بود.

اینجا جایی است که شرکت‌ها انتظارات و اهداف مدیریت ریسک را تعیین می‌کنند، نقش‌ها و مسئولیت‌ها را تعریف می‌کنند و همه این موارد را به وضوح با کارکنان خود در میان می‌گذارند. شما نباید انتظار داشته باشید که کارمندان خود با ایده آل های شما در مورد مدیریت ریسک مطابقت داشته باشند. بدین منظور می بایست ابتدا برای آموزش و اطلاع رسانی به آنها(چه از طریق آموزش رسمی یا دسترسی به مطالب مبتنی بر دانش یا موارد مشابه) وقت بگذارید.

ایجاد و تقویت آگاهی فرهنگی در مورد بهبود مستمر شامل موارد زیر است:

ایجاد واژگان مشترک مدیریت ریسک

اطمینان حاصل شود که ارتباطات با واژگان گفته شده سازگار است و همه افراد در سازمان به تمام اسناد مربوطه دسترسی دارند.

شفاف بودن در مورد مسئولیت های مدیریت ریسک.

راه‌اندازی و حفظ برنامه‌های آموزشی، ارائه پشتیبانی و راهنمایی آموزشی در صورت نیاز و برحسب نقش‌ها و مسئولیت‌های مختلف در سازمان

حصول اطمینان از اینکه فرآیندها به اندازه کافی مدیریت ریسک را پوشش می دهند.

اطمینان از اینکه فرآیندهای استخدام به اندازه کافی مدیریت ریسک را پوشش می دهند.

فاز دوم: تغییر روش عملکرد سازمان

هنگامی که پایه ای محکم از آگاهی فرهنگی در رابطه با بهبود مستمر ایجاد شد، زمان آن فرا رسیده است که به این فکر کنیم که چگونه به تدریج شروع به تغییر روش های عملکرد سازمان برای انعکاس این ارزش ها کنیم.

این مرحله با شروع به شناسایی و پاداش دادن به کارکنان برای توجه به ریسک و پاسخ دادن به ریسک به گونه‌ای آغاز می‌شود که وضعیت موجود (پیش از بهبود مستمر) را به چالش می‌کشد.

این نوع سیستم‌های انگیزشی، رفتار پاداش و جریمه بر اساس ایده‌آل‌های تثبیت‌شده بهبود مستمر که در مراحل اولیه برنامه‌ریزی مشخص شده‌اند، منجر به تغییر تدریجی اما قطعی به سمت فرهنگ شرکتی آگاه به بهبود مستمر خواهد شد.

عنصر مهم دیگر این است که بتوانیم استعدادهایی را بشناسیم که با چشم انداز مطلوب بهبود مستمر مطابقت دارند و با قرار دادن آنها در موقعیت های مسئولیت مرتبط و بهینه شده در این راستا سرمایه گذاری کنید.بنابراین افراد را در مکان مناسب قرار می دهید تا نتایج مناسب را به ارمغان بیاورند.

برخی از ملاحظات مهم برای این مرحله:

استفاده از چالش به عنوان انگیزه ای برای ایجاد تغییرات فرهنگی

بازی‌سازی و کمی‌سازی معیارهای عملکرد ریسک، و رفتار پاداش/جریمه بر این اساس.

توجه به مدیریت ریسک و فرهنگ بهبود مستمر در رویکردهای مدیریت استعداد.

فاز سوم: بهینه سازی و پالایش اکوسیستم فرهنگی

سومین و آخرین مرحله پذیرش فرهنگی بهبود مستمر زمانی اتفاق می‌افتد که فرهنگ شرکت از قبل به مرحله پذیرش گسترده رسیده باشد و ارزش‌های مورد نظر به خوبی جا افتاده باشد. در این مرحله، تمرکز به نظارت بر عملکرد در مقابل انتظارات، و تلاش برای بهینه سازی و اصلاح سیستم برای بهبود بیشتر پذیرش فرهنگی تغییر می کند.

انتظارات می توانند تحت تأثیر طیف گسترده ای از ذینفعان، نه فقط مدیریت ارشد، قرار گیرند. کارمندان، هیئت مدیره، تحلیلگران، مشتریان، سرمایه گذاران – همه آنها در تعریف انتظارات فرهنگی حرفی برای گفتن دارند، زیرا این انتظارات باید مستقیماً کل نهادی که سازمان است، متشکل از همه بخش های ذینفع تشکیل دهنده آن را منعکس کند.

اقدامات انجام شده در این مرحله ممکن است شامل موارد زیر باشد:

تکرار بازخورد و مشاهدات از مدیریت ریسک به آموزش، منابع و ارتباطات.

اطمینان از اینکه ذینفعان مسئول اقدامات خود هستند.

اطمینان از اینکه معیارها یا کمیت‌کننده‌های عملکرد ریسک برای بازتاب تغییرات در استراتژی ریسک، اهداف و اهداف تنظیم شده‌اند.

ظرفیت استقرار مجدد و تخصیص مجدد افراد در یک سازمان بر اساس اهداف فرهنگ ریسک مورد نظر

انعکاس مستمر و اصلاح فرهنگ ریسک مطابق با تغییر مستمر اهداف، اهداف و استراتژی های کسب و کار.