إطار إدارة المخاطر ISO 31000 هو معيار دولي يوفر للمؤسسات إرشادات ومبادئ إدارة المخاطر. تم تطوير المعيار من قبل المنظمة الدولية للتوحيد (ISO).
الامتثال التنظيمي عادة ما تكون المبادرات خاصة ببلد معين وتطبق على بعض الشركات أو الشركات في صناعات محددة. ومع ذلك ، تم تصميم ISO 31000 لاستخدامه في المنظمات من أي حجم. تعمل مفاهيمها بشكل جيد في القطاع العام والخاص ، أو في الشركات الكبيرة والصغيرة والمؤسسات غير الربحية.
يوفر ISO 31000 معيارًا عالميًا للممارسين والشركات التي تستخدم ممارسات إدارة المخاطر. مع هذا ، يمكن للمنظمات زيادة احتمالات تحديد المخاطر والتخطيط بشكل صحيح لتخصيص الموارد لتخفيفها.
يتمثل هدف إدارة المخاطر كعملية في تحديد وتقييم ومراقبة التهديدات المحتملة لرأس مال المنظمة وأرباحها وعملياتها. ناجحة إطار إدارة المخاطر تساعد المنظمة في النظر في المدى الكامل للمخاطر التي تواجهها مع دراسة العلاقة بين المخاطر المختلفة وآثارها المحتملة.
يمكن أن تنبع هذه المخاطر من مجموعة متنوعة من المصادر ، مثل عدم اليقين المالي ، والالتزامات القانونية ، وقضايا التكنولوجيا ، وأخطاء الإدارة الاستراتيجية ، والحوادث ، والكوارث الطبيعية.
يوفر ISO 31000 مجموعة من المبادئ والإرشادات لتصميم وتنفيذ إطار إدارة المخاطر. يمكّن المعيار المؤسسات من تطبيق إدارة المخاطر على جميع المهام الاستراتيجية والإدارية والتشغيلية ، وكذلك للمشاريع والوظائف والعمليات.
ISO 31000: 2018 هو أحدث إصدار من المعيار – تتم مراجعته كل خمس سنوات. توجد أيضًا معايير إدارة المخاطر الأخرى ، بما في ذلك معيار ISO IEC 31010 لإدارة المخاطر من قبل ISO واللجنة الكهروتقنية الدولية.
https://www.youtube.com/watch؟v=A4Cymaiywiq
ما هو الغرض من ISO 31000؟
تعد إدارة المخاطر مهمة في أي مؤسسة ، حيث توفر عملية لتحديد التهديدات وتقييمها والتحكم فيها التي قد تواجهها المنظمة. يمكن أن تنشأ هذه التهديدات من الإمكانات الأمن السيبراني التهديدات والمختلف العوامل الداخلية والخارجية الأخرى التي تشكل خطرًا على العمليات التجارية.
يوفر ISO 31000 إطار عمل لإدارة ومراقبة المخاطر في أي مؤسسة. يغطي الإطار أنواعًا مختلفة من المخاطر ، بما في ذلك الأمن الإستراتيجي والأمن السيبراني والمالي والامتثال والتشغيلي. يهدف إلى مساعدة المنظمات على دمج إدارة المخاطر في عملياتها الشاملة باستخدام نهج ثابت ومنظم.
ما هو نطاق ISO 31000؟
يوفر ISO 31000 مجموعة من الإرشادات لإدارة أنواع مختلفة من المخاطر التي قد تواجهها المنظمة. على هذا النحو ، تم تصميم الإطار ليكون واسعًا ومرنًا ، مما يمكّن المنظمات من مختلف الأحجام والقطاعات والصناعات لتبنيها. يمكن للمنظمات التي تتبنى ISO 31000 استخدامها لتناسب سياقات محددة و شهية المخاطر.
ISO 31000 هو معيار دولي وهو معيار لإنشاء نهج منظم لإدارة المخاطر. ومع ذلك ، فهي محدودة من حيث أنها ليست معيارًا قابلًا للاعتماد. ISO 31000 هو معيار التوجيه ، وليس المتطلبات الأولى ، مما يعني أنه لا يمكن اعتماد المنظمات رسميًا أو مراجعتها للامتثال.
ISO 31000 الإطار والإرشادات
قد يتم تنظيم إطار ISO 31000 بشكل مختلف اعتمادًا على المنظمة وقرارها بشأن كيفية تنفيذ المعيار. على سبيل المثال ، يمكن للمؤسسة اتباع ISO 31000 باستخدام الإرشادات الستة التالية:
- نِطَاق. الغرض من التنفيذ هو معالجة مخاطر مختلفة في المنظمة.
- المراجع المعيارية. المستندات الأخرى اللازمة للتنفيذ.
- المصطلحات والتعاريف. معاني موحدة للمصطلحات الشائعة الاستخدام.
- مبادئ. القيم الأساسية التي تدفع التنفيذ.
- نطاق. كيف يتم تصميم إدارة المخاطر وتنفيذها وتحسينها في المنظمة.
- عملية. الخطوات التفصيلية لتقييم المخاطر والتواصل معها وعلاجها.
يمكن أيضًا تقسيم إطار إدارة المخاطر إلى المجالات المميزة التالية:
- قيادة. يجب على القادة داخل المنظمة أن يأخذوا المبادرة لضمان تبني ISO 31000 وتطبيقها بطريقة تتماشى مع ثقافة المنظمة وأهداف العمل.
- اندماج. في حين أنه من المهم الاندماج التخفيف من المخاطر في أكبر عدد ممكن من العمليات التنظيمية ، من المهم أيضًا عدم التسبب في اختناقات تشغيلية أو إعاقة أداء العمليات التجارية الأساسية.
- تصميم. تحتاج المنظمات إلى تصميم استراتيجية لإدارة المخاطر بناءً على احتياجاتها.
- تطبيق. تدمج عملية التنفيذ تصميم إدارة المخاطر للمؤسسة في عمليات تجارية. عادة ما يكون التنفيذ عملية رسمية مع الأهداف المحددة والمواعيد النهائية ومتطلبات الإبلاغ.
- تقييم. يقيم التقييم التصميم لتحديد ما يعمل وما قد يحتاج إلى تحسينه.
- تحسين. يجب أن تبحث المنظمات باستمرار عن طرق لتحسين تنفيذ ISO 31000.
مبادئ إدارة المخاطر في ISO 31000
يسعى ISO 31000 إلى مساعدة المؤسسات على اتباع نهج منهجي لإدارة المخاطر من خلال القيام بالأشياء الرئيسية الثلاثة التالية:
- تحديد المخاطر.
- تقييم احتمال حدوث حدث مرتبط بمخاطر محددة تحدث.
- تحديد شدة المشاكل الناجمة عن الحدث الذي يحدث.
على هذا النحو ، لا تسعى ISO 31000 إلى القضاء على المخاطر ، لأن الإزالة الكلية لجميع المخاطر مستحيلة. بدلاً من ذلك ، من المفترض أن تساعد تحدد المنظمات مخاطرها وإنشاء استراتيجية عمل للتخفيف من المخاطر أو تقليلها عند الاقتضاء.
تعد مبادئ ISO 31000 الثمانية التالية هي الأساس لإنشاء إطار إدارة المخاطر:
- شامل. لجهود النجاح ، يجب أن يشارك أصحاب المصلحة الرئيسيين ويجب النظر في معرفتهم وآرائهم. يجب أن تكون إدارة المخاطر شفافة وسهلة الفهم ولا تشمل المربعات المربكة.
- متحرك. تتغير المنظمات بمرور الوقت. على هذا النحو ، قد تتغير مصادر المخاطر ذات الصلة بالمؤسسة اليوم غدًا. يجب أن تؤدي المنظمات المستمرة تحليل المخاطر إذا كانت جهود الحد من المخاطر هي مواصلة العمل.
- أفضل المعلومات المتاحة. جهود التخفيف من المخاطر يجب أن تعتمد على أفضل المعلومات والأكثر حالية المتاحة لأصحاب المصلحة. ومع ذلك ، يجب أن تعترف المنظمات أيضًا بأنها لن يكون لها جميع المعلومات اللازمة أبدًا وأن المخاطر غير المتوقعة ستكون موجودة دائمًا.
- العوامل البشرية والثقافية. يؤثر السلوك البشري والثقافة على إدارة المخاطر. يجب أن تشمل قائمة المخاطر المحددة تلك المتعلقة بالخطأ البشري أو بالثقافة الفريدة للمنظمة.
- التحسين المستمر. الالتزام على المدى الطويل بـ ISO 31000 يعني اعتماد مبادئ تحسين مستمر لضمان تحسن جهود التخفيف من المخاطر للمنظمة مع مرور الوقت.
- مدمج. يجب دمج مفاهيم التخفيف من المخاطر وتحديد الهوية في جميع العمليات التجارية.
- منظم وشامل. يجب على المنظمات إنشاء استراتيجية شاملة لتخفيف المخاطر تعالج جميع المخاطر المعروفة.
- مخصصة. نظرًا لأن كل مؤسسة فريدة من نوعها ، يجب تخصيص مفاهيم ISO 31000 لمساعدة المؤسسة على تحقيق أهدافها.
فوائد وتحديات معيار ISO 31000
هناك العديد من الفوائد المرتبطة بتبني معيار ISO 31000 ، بما في ذلك ما يلي:
- فعالية. ISO 31000 هو معيار معترف به دوليًا يستخدمه عدد لا يحصى من المنظمات ، مما يعني أنه تم فحصه تمامًا ومثبت أنه فعال.
- توحيد إدارة المخاطر. عند تنفيذها بشكل صحيح ، يعمل ISO 31000 كقالب لمساعدة المؤسسات على تحديد برامج تشغيل المخاطر الرئيسية. إنه يحدد معايير المخاطر وعلاجات المخاطر بطريقة موحدة.
- يخلق ثقافة التخفيف من المخاطر. من خلال دمج التخفيف من المخاطر في جميع العمليات التجارية تقريبًا ، أصبح الموظفون معتادون على فكرة تحديد المخاطر وربما تخفيفها.
- يزيد من ربحية المنظمة. التخفيف من المخاطر غير الضرورية يقلل أيضًا من احتمال وجود خسائر مالية ناتجة عن الأحداث المرتبطة بهذا الخطر.
- يستخدم ما هو موجود بالفعل. ISO 31000 هو مجرد واحد من العديد من معايير ISO. تم تصميم المعايير المختلفة للعمل معًا ، مما يعني أن المنظمات يجب أن تكون قادرة على دمج استراتيجية ISO 31000 ضمن أنظمة الإدارة الحالية دون عمل إضافي كبير.
- يجبر المنظمة على أن تكون أكثر وقائية. يمكن أن يساعد تطبيق ISO 31000 جيد في التحول من التفاعل إلى التخفيف الاستباقي للمخاطر.
- يساعد المنظمة على الحصول على التمويل بسهولة أكبر. البنوك والمستثمرين تميل إلى أن يكونوا أكثر من المخاطر. إذا كان المستثمر مقتنعًا بأن المؤسسة جادة في تحديد المخاطر وتخفيفها ، فقد يكون من المفترض الموافقة على الاستثمار.
على الرغم من وجود مزايا واضحة لتبني ISO 31000 ، إلا أن هناك أيضًا بعض التحديات التي يجب مراعاتها ، مثل ما يلي:
- يتطلب الالتزام جهدًا مستمرًا. يتطلب تنفيذ ISO 31000 الوقت والخبرة. إذا فشلت المؤسسة في دمج مفاهيم ISO 31000 في عملياتها التجارية ، فإن خطة تخفيف المخاطر التي تنشئها ستصبح قديمة ومن المحتمل أن يتم تجاهلها من قبل الموظفين.
- إمكانية إحساس زائف بالأمان. حتى مع وجود خطة فعالة للتخفيف من المخاطر ، يجب أن تتذكر المنظمات أنه ستكون هناك دائمًا مخاطر غير محددة.
- يمكن أن تصبح المنظمات تتفوق على المخاطر. كره المخاطر يمكن أن يجعل من الصعب على المنظمة الاستفادة من فرص جديدة.
كيفية تنفيذ ISO 31000 بفعالية
ستحتاج كل مؤسسة إلى اتباع نهج فريد من نوعه لـ ISO 31000 ، لأن كل منظمة مختلفة. ومع ذلك ، يحدد ISO ما يلي ثلاث خطوات رئيسية للبدء:
- كن على دراية بالأهداف. يجب أن تتماشى استراتيجية التخفيف من المخاطر في المنظمة مع أهداف أعمالها ، وليس إعاقةها.
- تقييم الحوكمة الحالية. من المحتمل أن يكون لدى المنظمات الكبرى بالفعل هيكل حوكمة في مكانه ، والذي يمكن أن يكون مفيدًا في صياغة الأدوار والإجراءات المتعلقة بـ ISO 31000.
- النظر في مستوى الالتزام. قبل تنفيذ ISO 31000 ، يجب على المؤسسات النظر في الموارد التي يرغبون في الاستثمار في جهود التخفيف من المخاطر.
ما يلي خطوات العملية في إرشادات ISO 31000 يمكن أن تتم بالتسلسل ، ويجب أيضًا تكرارها باستمرار:
- التواصل والتشاور. تهدف هذه الخطوة إلى زيادة الوعي والتفاهم بين أصحاب المصلحة مع جمع المدخلات والمعلومات للمساعدة في اتخاذ قرارات مستنيرة. يجب أن يحدث في جميع خطوات عملية التنفيذ.
- النطاق والسياق والمعايير. الهدف من هذه الخطوات الثلاث هو تخصيص ISO 31000 لاحتياجات الشركة لإدارة المخاطر. يجب أن تكون المؤسسات على دراية بموسع إدارة المخاطر وفهم البيئة الداخلية والخارجية للشركة. أخيرًا ، يجب على المنظمة وضع معايير تستند إلى أولويات الشركة والأهداف والسياسات. يجب إعادة تقييم المعايير خلال عملية التنفيذ وتعديلها إذا لزم الأمر.
- تقييم المخاطر. تتكون هذه الخطوة من العمليات الثلاثة المنفصلة التالية:
- تحديد المخاطر. الهدف من ذلك هو إيجاد وتحديد المخاطر التي قد تضر أو تعيق أهداف عمل الشركة.
- تحليل المخاطر. الهدف من ذلك هو تقييم وفهم أي مخاطر وميزاتها ، بما في ذلك مستوى المخاطر ، والتعقيد ، والمصادر ، والاحتمال ، والظروف والضوابط الفعالة.
- تقييم المخاطر. الهدف من ذلك هو مقارنة تحليل المخاطر بمعايير المخاطر لتحديد مكان الإجراء اللازم لدعم تلك القرارات.
- علاج المخاطر. الغرض من هذه الخطوة هو اختيار وتطبيق خيارات إدارة المخاطر.
- المراقبة والمراجعة. يجب أن تتم هذه الخطوة خلال جميع مراحل عملية التنفيذ. الهدف من ذلك هو تقييم فعالية عملية التنفيذ وإيجاد أي غرفة للتحسين.
- التسجيل والإبلاغ. تهدف هذه الخطوة إلى توثيق عملية التنفيذ وإبلاغ الأنشطة والنتائج إلى المنظمة.
في حين أن ISO 31000 يمكن أن يعالج مخاطر الأمن السيبراني ، هناك العديد من أطر إدارة مخاطر الأمن السيبراني الأخرى هناك. تعرف على المزيد حول ISO 31000 ، جنبا إلى جنب مع ISO 27001 ، NIST CSF و COBIT.
