آنالیز ریسک چیست ؟

زمان تقریبی مطالعه: 7 دقیقه

تعریف مدیریت ریسک

مدیریت ریسک پروژه شامل فرآیندهای برنامه‌ریزی ، شناسایی ، تحلیل ، برنامه‌ریزی پاسخ و کنترل ریسک پروژه می‌باشد. هدف از مدیریت ریسک ، افرایش احتمال و اثر وقایع مثبت و کاهش احتمال و اثر وقایع منفی در پروژه می‌باشد.

ریسک پروژه یک وضعیت یا رویداد غیرقطعی است ، که اگر اتفاق بیافتد ، حداقل بر یکی از اهداف پروژه اثر می‌گذارد. اهداف می‌تواند محدوده ، زمان ، هزینه و کیفیت باشد. یک ریسک ممکن است یک یا چند علت داشته باشد و اگر اتفاق بیفتد ، ممکن است یک یا چند اثر را به دنبال داشته باشد. مثلا ریسک عدم تأمین مالی توسط کارفرما می‌تواند به دلایل مختلفی مانند تخصیص بودجه به پروژه‌های دیگر سازمان ، عدم دریافت بودجه کارفرما از دولت و … اتفاق بیافتد. این ریسک می‌تواند اهداف هزینه و زمان پروژه را تحت تاثیر قرار دهد.

فرآیندهای ریسک

برنامه‌ریزی مدیریت ریسک : فرآیند تعریف چگونگی هدایت فعالیت‌های مدیریت ریسک پروژه.

شناسایی ریسک : فرآیند تعیین و ثبت مشخصات ریسک‌های اثرگذار بر پروژه.

تحلیل کیفی ریسک : فرآیند اولویت‌بندی ریسک‌ها جهت تحلیل بیشتر یا ارزیابی و ترکیب احتمال وقوع و اثر.

تحلیل کمی ریسک : فرآیند تحلیل عددی ریسک‌های شناسایی شده.

برنامه‌ربزی پاسخ به ریسک‌ها : فرآیند بررسی گزینه‌ها ، جهت افزایش فرصت‌ها کاهش تهدیدها بر اهداف پروژه.

کنترل ریسک‌ها : فرآیند پیاده‌سازی برنامه‌های پاسخ ریسک ، پیگیری ریسک‌های شناسایی شده ، پایش بر ریسک‌های آنالیز ریسک چیست ؟ باقی‌مانده ، شناسایی ریسک‌های جدید و ارزیابی اثربخشی فرآیند ریسک در طول اجرای پروژه.

ریسک‌های شناخته شده و ناشناخته

ریسک‌های شناخته شده : آن‌هایی هستند که شناسایی و تحلیل شده‌اند و امکان برنامه‌ریزی پاسخ به آن‌ها وجود دارد. به ریسک‌های شناخته شده‌ای که نمی‌توانند فعالانه مدیریت شوند باید یک ذخیره احتیاطی تخصیص داد.

ریسک‌های ناشناخته : تمی‌توان به صورت فعالانه، مدیریت نمود و به همن دلیل ممکن است به آن ذخیره مدیریتی تخصیص داد.

اگر یک ریسک منفی اتفاق بیافتد، به‌عنوان مشکل در نظر گرفته می شود. در صورت بزرگ بودن ابعاد ریسک تبدیل بحران می‌شود.

ریسک کلی پروژه

ریسک منفرد با ریسک کلی پروژه متفاوت است. ریسک کلی پروژه تاثیر عدم قطعیت را بر کل پروژه نشان می‌دهد. ریسک کلی پروژه بیشتر از مجموع ریسک‌های منفرد درون پروژه است، زیرا شامل تمامی منابع عدم قطعیت پروژه می‌باشد. ریسک کلی در معرض قرارگرفتن ذی‌نفعان در خصوص تبعات احتمالی انحرافات در نتیحه پروژه، هم مثبت و هم منفی، را نشان می‌دهد.

نقش BPMS در مدیریت ریسک چیست؟

از بعد مالی و زمانی bpms مقرون بصرفه‌تر است یا حسابرسی داخلی؟
این سوال بطور کامل در فایل صوتی زیر پاسخ داده شده است.

متن فایل صوتی

درمورد سوالی که مطرح فرمودید بایستی خدمتتون عرض کنم که BPMS عملا ابزار اطلاعاتی متناسب با مدیریت فرایندهای کسب و کار هست. کاری که برای ما انجام میده اینه که میاد اتوماسیون میکنه جریان کار فرایندهای ساختاریافته رو. فرایندهایی که گامهایی اون مشخص شده، دیتاهایی که در خلال این گام‌های اصلی جمع‌آوری میشه و گزارشات موردنیاز برای مدیران و تصمیم‌گیرندگان این فرایند رو داره برامون تامین میکنه.

BPMS چگونه ریسک را کاهش میدهد؟

ریسک خودش ۲ بخشه، ریسک مالی و ریسک عملیاتی. پس عملا نقش BPMS در مدیریت ریسک عملیاتی است و این نوع ریسک رو کاهش میده. اما چطوری میتونه کاهش بده؟ نحوه کاهش دادن از طریق اعمال محدودیت‌هایی است که مارو به یک رنج متوسط و مطلوب از ریسک میرسونه. در کوچکترین کارهایی که بصورت روزمره و عملیات‌هایی که در سازمان انجام میشه؛ ریسک وجود داره. اصولا اگه ریسک وجود نداشته باشه هیچ معامله‌ای صورت نمیگیره، هیچ تولیدی انجام نخواهد شد.

همواره تمام عملیات‌هایی که بصورت روزمره داره انجام میشه همراه باخودش یک ریسکی رو داره. اما این ریسک میتونه شامل ۳ منطقه ترافیک لیت مشخص باشه. یه منطقه سبز رنگ وجود داره که ما همواره اون رو پذیرش میکنیم. یک منطقه قرمز رنگ وجود داره که باید همواره اون رو دفع کنیم. یک منطقه زرد رنگ وجود داره که ما بایستی اون رو متعادل کنیم و به یک حد معقول از ریسک برسونیم.

ریسکهای سازمان چگونه تعیین میشود؟

تمام سازمانها نقاطی برای ریسک انتخاب میکنن. مثلا بیشتر از ۱ میلیارد تومن ریسک (چون واحد ریسک با واحد پول یکسان است) رو قبول نخواهند کرد. این ضریبی از احتمال و اون مبلغ نهایی ضرر خواهد بود. یعنی اگر ما احتمال داشته باشه ۱۰ میلیارد ضرر کنیم و ۱۰% احتمال داشته باشه ما این ضرر رو در معامله مون داشته باشیم میشه ۱ میلیارد ریسک. مثلا شاید ۱ میلیارد ریسک برای برخی یک منطقه قرمز رنگ محسوب بشه، برای بعضی‌ها اون منطقه کاملا سبز رنگ باشه.

اما در کل باتوجه به اینکه ریسک عملیاتی وجود داره در تمام فرایندهای روزمره سازمان، ما بایستی ریسک هارو شناسایی کنیم. باید این ریسکها براساس نقاطی که تصمیم‌گیری داره توش انجام میشه و ضرروزیان مالی ناشی از این عملیات بوجود خواهد آمد. بایستی اونها رو شناسایی کنیم و اونجا بیاییم یه Business rule هایی رو اعمال کنیم. یعنی نقش BPMS در مدیریت ریسک اینه که به ما کمک میکنه که شناسایی کنیم کدوم یک از فعالیتها بایستی محدودیت‌های عملیاتی روش اعمال بشه. که حتی اگر کاربر و مجری فعالیت بخاد اشتباه کنه و بخاد حدود و محدودیت‌های اصلی سازمان عبور کنه؛ اونجا اصلا سیستم جلوگیری بکنه و ادامه مسیر میسر نباشه. BPMS ها میتونن در این حوزه مدیریت ریسک عملیاتی کمک بکنن.

کنترلهای داخلی با BPMS

بحث کنترلهای داخلی هم همینجوریه. کنترل‌های داخلی عملا نشات گرفته از استاندارهای سازمان از لحاظ مالی هستند. بعنی مالی برای اینکه بتونه یک جریان نقد تسهیل شده رو داشته باشه، بتونه خزانه‌داری همواره مثبتی داشته باشه، بتونه چک و بانکش رو در یک محدوده مشخص برای نسبت جاریش نگهداری بکنه؛ بایستی جریان عملیات متناظرش رو ساماندهی کنه. و بتونه این محدودیت‌هارو مثلا در زمانیکه یک خرید داره انجام میشه براساس میزان موجودی بانک بیاد اجازه خرید رو صادر کنه یا مانع از انجام ادامه مسیر بشه.

بطورکلی اگر بخواهیم کنترلهای داخلی رو بر سازمان حاکم کنیم درحالیکه BPMS نداشته باشیم یکسری آیین‌نامه و دستورالعمل خواهد بود که ابلاغ میشن و در جلساتی به شور گذاشته میشه و تصویب خواهند کرد. نهایتا هم از طریق مدیران و بصورت شفاهی در سازمان رواج پیدا خواهد کرد که همچنین کنترلهایی رو داریم. مثلا برای خرید ۳ تا استعلام باید انجام بشه. یا مثلا خریدهای بالای ۵۰ میلیون تومن رو بایستی حتما مدیرعامل امضا کنه. یا مثلا صدور چک با دو امضا از سه صاحب امضا امکانپذیر خواهد بود و… . اما اگر ما بخاییم این روند رو تسهیل کنیم و از طریق یک مرکز فرماندهی مالی تمام محدودیتها رو بصورت پارامتریک اضافه کنیم به فرایندها از طریق BPMS شدنی خواهد بود.

BPMS بهتر است یا حسابرسی داخلی؟

این دو ، دو انتخاب از یک جنس و همگن نیستند. یعنی شما با بحث BPMS یک زیرساختی رو در سازمان توسعه دادید که میتونید جدا از بحث کنترل‌های داحلی، هزاران مزیت دیگه رو هم برای سازمانتون ایجاد کنید. از طرف دیگه و مهمتر از این قضیه شما میتونید دیگر سیستمهای نوین مدیریتی یعنی الگوها و چهارچوبهای جدید رو هم ، روی همین بستر مستقر کنید. از نظام‌های ارزیابی EFQM تا نظام‌های مدیریتی مالی مثل Activity base costing یا نظام‌های مدیریتی عملکردی مثل ABM و… .

پس شما اصولا BPMS رو فراتر از بحث حسابرسی داخلی بدونید. اما کلا من به بحث حسابرسی داخلی یا خارجی همیشه مشکوکم و همواره معتقدم یکی از هزینه‌های غیرارزش افزوده سازمانی محسوب میشه و جزو اتلاف‌ها در سیستم لین و مدیریت ژاپنی هم محسوب میشه. در مدیریت ژاپنی چیزی به اسم حسابرسی ما اصولا نداریم. این بیشتر زاییده ذهن مدیریتی امریکایی هاست. خودشون هم به نارکارآمدیش تاحدودی رسیدن و در حد حداقلی میخان اون رو کنترل کنن. با آزادسازی بازارها، سیستمهای شفاف مالی و بورس و دیگر سازوکارها در راستای کاهش قدرت حسابرسی‌ها دارن پیش میرن.

نتیجه‌گیری:

اما در کل اگه از من بپرسید کدومش بهتره بدون شک و بعنوان گزینه اول حتما BPMS رو معرفی میکنم. اگر BPMS درست در سازمان جاری بشه و فرایندهای مهم، آنالیز ریسک چیست ؟ پرریسک ، مخصوصا فرایندهایی که تراکنشهای عظیم و حجیم مالی در اون شکل میگیره درست بشه؛ خیلی بسرعت میشه فرایندهارو منطبق کرد با اون الگوها و الگوریتمهای مشخص که حسابرسی داخلی بعد از اون دیگه نیازی نباشه و بصورت روتین کارها تحت کنترل قرار بگیره. نقش BPMS در مدیریت ریسک بسیار کارآمدتر از حسابرسی داخلی خواهد بود.

پنج گام مهم برای مدیریت ریسک امنیت اطلاعات و مقابله با آن

زمان تقریبی مطالعه: 7 دقیقه

در فرآیند مدیریت ریسک امنیت اطلاعات، باید دقیقاً مشخص کنیم که می‌خواهیم چه راهبردی را در مواجهه با ریسک‌های سازمان در پیش بگیریم. اما پیش‌شرط ورود به این بحث، داشتن درک درستی از مفهوم ریسک و آگاهی از اهمیت شناخت و مدیریت آن است.

اینکه اساساً «ریسک» چیست و «مدیریت ریسک» به‌طور عام، چه کمکی به بهبود مستمر هر سازمانی می‌کند، موضوع بحث دیگری است که می‌توانید آن را در یادداشتی با عنوان «با مدیریت ریسک، سکان هر رخدادی در دستان شماست» پی بگیرید.

در این یادداشت، با این پیش‌فرض که خواننده درک درستی از مفاهیم موردنظر دارد، به بررسی فرآیندهای مدیریت ریسک می‌پردازیم. نقطه شروع فرآیند مدیریت ریسک در شناسایی درست ریسک‌هاست. این همان کاری است که در گام اول فرآیند مدیریت ریسک امنیت اطلاعات انجام می‌دهیم.

در گام اول، یعنی «ارزیابی ریسک»، با «تحلیل ریسک» و «سنجش ریسک» می‌توانیم ریسک‌ها را به‌درستی شناسایی و مشخص کنیم که کدام‌یک از آن‌ها برای سازمان پذیرفته و کدام‌یک پذیرفته نیستند.

پرسش اینجاست که با ریسک‌هایی که برای سازمان پذیرفته نیستند چه باید کرد؟ آیا سازمان باید برای همه این ریسک‌ها از طرح‌های کاهش ریسک استفاده کند؟ گزینه‌های پیش رو چیست؟ پاسخ این پرسش را در گام‌های بعدی فرآیند مدیریت ریسک امنیت اطلاعات خواهید یافت.

چنان‌که در شکل زیر مشاهده می‌کنید، فرآیند مدیریت ریسک امنیت اطلاعات از پنج گام تشکیل شده که دو گام اصلی آن ارزیابی ریسک و مقابله با ریسک هستند. اما، سه‌گام بعدی یعنی ارتباط، پایش و بازنگری ریسک نیز از اجزای جدایی‌ناپذیر این فرآیند به‌شمار می‌آیند.

نکته حائز اهمیت در گام‌های فرآیند مدیریت ریسک امنیت اطلاعات، که در تصویر هم مشاهده می‌کنید، خاصیت چرخه‌ای بودن آنها است. این نشان‌دهنده یک‌مرحله‌ای نبودن این فرآیند است. لذا، بهبود مستمر از ویژگی‌های آن است. برای روشن‌تر شدن مطلب در ادامه، شرح مختصری از هر گام ارائه می‌شود.

گام اول: ارزیابی ریسک (Risk Assessment)

کلیه فعالیت‌های مربوط به فرآیند مدیریت ریسک امنیت اطلاعات از این گام آغاز می‌شوند که خود شامل دو مرحله است:

۱- تحلیل ریسک (Risk Analysis)

عنوان «تحلیل ریسک» را می‌توان در یک عبارت خلاصه کرد: استفاده نظام‌مند از اطلاعات برای شناسایی و تخمین ریسک (Risk Estimation). در واقع، تمام فعالیت‌های مربوط به شناسایی، دسته‌بندی و ارزش‌گذاری دارایی‌های اطلاعاتی و نیز شناسایی سناریوهای ریسک، که معمولاً حاصل نگاشت آسیب‌پذیری‌ها و تهدیدات هستند، را می‌توان در این مرحله گنجاند.

اما به‌جز شناسایی موارد فوق، باید با توجه به روش‌شناسی مورد استفاده در فرآیند مدیریت آنالیز ریسک چیست ؟ ریسک، مقادیر مناسبی را به عوامل مختلف اختصاص داد تا بتوان «احتمال وقوع ریسک» و «اثرات و پیامدهای ریسک» را محاسبه کرد؛ به قولی، با استفاده از موارد فوق، باید بتوان ریسک را تخمین زد.

۲- سنجش ریسک (Risk Evaluation)

سنجش ریسک فرآیندی است که کمک می‌کند میزان اهمیت ریسک مذکور را برای سازمان تعیین کنیم. اما چگونه؟ از مقایسه ریسک تخمین زده‌شده، خروجی مرحله قبل، با معیارهای ریسک سازمان. در واقع، برای اینکه متوجه شویم سازمان چگونه به نتایج حاصل از محاسبات و تحلیل ریسک می‌نگرد، باید ابتدا مشخص کنیم که چه معیار یا معیارهایی برای پذیرفتن یا نپذیرفتن ریسک وجود دارند.

سازمان می‌تواند این معیارها را بر اساس روش‌شناسی ارزیابی ریسک، به‌صورت عددی، خطی یا ماتریسی تعیین کند؛ این کار با استفاده از ورودی‌هایی چون الزامات حقوقی و قانونی، تصمیمات مدیریتی، منابع در دسترس، نیازمندی‌ها و انتظارات ذی‌نفعان در حوزه امنیت اطلاعات و غیره، انجام می‌شود. بر این اساس، می‌توان مشخص کرد که از آنالیز ریسک چیست ؟ دیدگاه سازمان، کدام ریسک‌ها پذیرفتنی‌اند و کدام‌یک نیستند.

گام دوم: مقابله با ریسک (Risk Treatment)

در این گام، سازمان باید تعیین کند که چه راهبرد و برنامه‌ای برای مواجهه یا مقابله با ریسک‌های پذیرفته‌نشده دارد. مهم‌ترین خروجی این بخش، طرح مقابله با ریسک (RTP) است. در این طرح، سازمان ضمن اولویت‌بندی ریسک‌ها، هر یک از اقدامات مدنظر خود را برای مقابله با ریسک‌ها تشریح می‌کند.

در واقع، سازمان مجموعه‌ای از اقدامات و پروژه‌های تقابلی را تعریف می‌کند و برای هریک از آنها منابع مورد نیاز، زمان‌بندی، مسئول پیگیری و غیره را، همچون هر پروژه استاندارد دیگری، معین می‌کند.

گام سوم: ارتباط ریسک (Risk Communication)

در همه مراحل فرآیند مدیریت ریسک امنیت اطلاعات، همواره باید ارتباطات را، در حکم عاملی مهم، درنظر داشت. یعنی، در هریک از مراحل این فرآیند، باید ارتباط موثری میان دست‌اندرکاران ریسک، مشاوران، مدیران ارشد، مالکان دارایی، مالکان ریسک و یا سایر ذی‌نفعان برقرار شود.

برای مثال، در گام ارزیابی ریسک باید همه عوامل نام‌برده که نقش پررنگی در تصمیم‌گیری‌های سازمان دارند، مشارکت داشته باشند. از طرفی، مدیران ارشد در تصمیم‌گیری در مورد بازه و معیار ریسک پذیرفته‌شده و همچنین، تایید و اختصاص منابع مکفی به طرح‌های مقابله با ریسک، نقشی محوری دارند. این امر فقط از راه ارتباط و درگیری مناسب میان لایه‌های بالایی سازمان با لایه کارشناسی و عملیاتی در حوزه ریسک، میسر است.

گام چهارم: پایش و کنترل ریسک (Risk Control & Monitoring)

در این گام، بیش‌ترین تمرکز بر روی کنترل و پیگیری طرح‌های مقابله با ریسک است. پس در نگاه اول، باید مطمئن شد که اقدامات درنظر گرفته‌شده با زمان‌بندی تعیین‌شده هم‌خوانی دارند. نیز، باید میزان کاهش ریسک را بر مبنای انتظارات اولیه پایش کرد.

بدین‌ترتیب، باید وضعیت پروژه‌های RTP را مکرراً از نظر زمان‌بندی، میزان تاثیر، کیفیت و بهینگی بررسی و پایش کرد و در صورت نیاز به اصلاح موارد، اقدامات اصلاحی لازم را به عمل آورد. این اقدامات می‌توانند شامل تغییراتی در نحوه اعمال طرح‌ها، بازبینی سناریوهای ریسک، اختصاص منابع جدید و مواردی از این دست باشند.

گام پنجم: بازنگری ریسک (Risk Review)

چنان‌که پیش‌تر اشاره شد، نگاه پروژه‌ای به مدیریت ریسک، در حکم فرآیندی که یک نقطه شروع و یک نقطه پایان دارد، درست نیست؛ خاصیت چرخه‌ای این فرآیند نشان‌دهنده یک‌مرحله‌ای نبودن آن و بهبود مستمر از ویژگی‌های آن است.

به بیان دیگر، اقدامات لازم در فرآیند مدیریت ریسک باید در بازه‌های زمانی معینی تکرار شوند و از نتایج و تجاربی که در هر مرحله به‌دست می‌آید، در نقش ورودی و بازخورد، در مرحله جدید استفاده شود. نیز، باید بازه‌های مورد نظر برای بازنگری ریسک، با توجه به شرایط سازمان درنظر گرفته شوند و حداکثر یک‌ساله باشند.

برنامه‌ریزی برای مقابله با ریسک امنیت اطلاعات

برنامه‌ریزی برای مدیریت ریسک امنیت اطلاعات شامل فرآیند توسعه برنامه‌ها برای کم کردن تهدیدها و مقابله با ریسک‌هایی است که در مرحله ارزیابی ریسک، اولویت بالاتری از سایر ریسک‌ها داشته‌اند. در این مرحله از برنامه‌ریزی مدیریت ریسک، توجه حداکثری باید از آن ریسک‌هایی باشد که مهم‌تر و تاثیرگذارترند.

برای مقابله با ریسک پروژه معمولاً از روش‌های زیر استفاده می‌شود:

1. پیشگیری: برنامه‌ریزی برای اقدامات پیشگیرانه لازم، برای کم کردن احتمال و پیشگیری از وقوع ریسک‌ها.
2. کم کردن اثرات مخرب ریسک: چنانچه اقدامات پیشگیرانه اثربخش نباشند، باید به منظور مقابله با اثرات منفی وقوع ریسک و همچنین کنترل تاثیرات آن، برای اجرای کارهای اصلاحی برنامه‌ریزی شود. این برنامه شامل استفاده از طرح‌های جایگزین نیز است.
3. جذب تاثیرات منفی: برای ریسک‌هایی که اولویت کمتری دارند و نیز، در مواردی که اقدامات اصلاحی تاثیرات مورد نظر را نداشته باشند، جذب تاثیرات منفی و مقابله با آن‌ها باید در برنامه پیش‌بینی شده باشد.

برنامه و طرح مدیریت ریسک باید به شکلی تنظیم شود که اولویت و فوریت ریسک‌ها در آن درنظر گرفته شده باشد. همچنین، برای تخصیص منابع و اجرای اقدامات لازم برای مواجهه با ریسک‌ها، باید به بودجه، زمان‌بندی و برنامه‌ریزی‌های دیگر پروژه برای مدیریت ریسک امنیت اطلاعات توجه شود.

اجرای طرح مقابله با ریسک امنیت اطلاعات

طرح مقابله با ریسک باید بسیار دقیق و برنامه‌ریزی‌شده باشد و عوامل مهمی که در ادامه برمی‌شماریم، در اجرای آن، مدنظر قرار گیرند.

۱- متناسب بودن با ریسک‌ها

منطقی نیست که منابع و زمان زیادی را به مقابله با ریسک‌هایی اختصاص داد که در اولویت پایین‌تری هستند و یا درجه احتمال وقوعشان کم است. چون این موضوع سبب غفلت از ریسک‌های مهم‌تر می‌شود و نداشتن توجه کافی به ریسک‌های مهم و تاثیرگذار می‌تواند بسیار خطرآفرین باشد. درنتیجه، برنامه‌ریزی و اختصاص منابع به ریسک‌ها باید با اولویت‌بندی ریسک‌های پروژه و اندازه و اهمیت پروژه متناسب باشد.

۲- هزینه‌محور بودن

زیاده‌ازحد هزینه کردن برای مقابله با ریسک‌ها، می‌تواند برای کل پروژه چالش‌زا باشد. پس در طرح مقابله با ریسک پروژه، باید به مسئله مدیریت هزینه توجهی ویژه کرد.

۳- واقع‌بینانه بودن

توسعه دادن طرح‌های نظری و غیر اجرایی نه‌تنها سبب اتلاف وقت و منابع می‌شود، بلکه ممکن است طرح را از مسیر اصلی خود منحرف کند و مشکلات بیش‌تری را، حتی در مقایسه با نداشتن برنامه‌ریزی، ایجاد کند. در برنامه‌ریزی برای مدیریت ریسک امنیت اطلاعات، لازمه دستیابی به طرحی واقع‌بینانه، داشتن توجهی ویژه به محدودیت‌ها و پیش‌فرض‌ها است.

۳- زمان‌بندی

واضح است که در هر طرحی باید با زمان‌بندی مشخصی داشت و در اجرای آن باید به زمان‌بندی موردنظر متعهد ماند.

۴- بانی و مسئول برنامه

در پروژه‌های بزرگ، طرح مقابله با ریسک آنالیز ریسک چیست ؟ امنیت اطلاعات باید دارای بانی و مسئول مشخصی باشد تا بتواند روند طرح را پیگیری و از اجرای درست آن اطمینان حاصل کند. همچنین، ریسک‌های مهم باید مسئول معینی داشته باشند تا مسئولیت کلی مدیریت ریسک، تشخیص ریسک پروژه و مقابله با آن، را برعهده بگیرد.

ورودی‌ها و خروجی‌های طرح مقابله با ریسک امنیت اطلاعات

• ورودی‌های طرح مقابله با ریسک‌های پروژه عبارت‌اند از:
• برنامه کلی مدیریت ریسک؛ به‌ویژه تعیین کسانی که قرار است مسئولیت توسعه طرح را برعهده داشته باشند؛
• ریسک‌هایی که احتیاج به برنامه مقابله با ریسک دارند؛ چنان‌که پیش‌تر گفته شد، فقط باید برای ریسک‌هایی برنامه‌ریزی کرد که در اولویت بالاتری هستند؛
• وابستگی ریسک‌ها؛ منظور همان شاخصه‌های ریسک‌ها هستند؛ شاخصه‌هایی مانند ریشه و منبع ریسک، علائم و نشانه‌های وقوع ریسک، تاثیرات و میزان تهدید، احتمال وقوع، زمان احتمال وقوع و حوزه تاثیر؛
• تعیین اولویت و فوریت ریسک؛ به منظور تعیین میزان کاری که باید برای هر ریسک انجام شود و منابع مورد نیاز آنالیز ریسک چیست ؟ آن؛
• محدودیت‌ها؛ تعیین محدودیت‌ها در آماده‌سازی طرح مقابله با ریسک و اثرات این محدودیت‌ها بر سایر موارد بسیار مهم است. مهم‌ترین محدودیت‌ها در طرح مقابله با ریسک پروژه عبارت‌اند از:
  1. بودجه؛
  2. منابع؛
  3. زمان (محدودیت زمانی در اجرای طرح مقابله با ریسک)؛
  4. تغییرات (تغییراتی که بنا به علل گوناگون امکان‌پذیر نیستند).

خروجی‌های طرح مقابله با ریسک‌های پروژه عبارت‌اند از:

در این خروجی، باید برای تمام ریسک‌هایی که اولویت بالایی دارند، طرح مقابله تهیه شود. ضمناً باید برای هر ریسک، موارد زیر مشخص شده باشند:

آنالیز ریسک چیست ؟

(آموزش های عمومی) / مهارت های برنامه ریزی کنترل پروژه و نرم افزار

برنامه ریزی و تحلیل کمی ریسک با نرم‌افزار Oracle Primavera Risk Analysis(کلاس آنلاین):

با توجه به تحریم‌های بین‌المللی وعدم ثبات اقتصادی، مدیریت ریسک در مراحل آغازین پروژه‌، امری لازم و اجتناب ناپذیر به شمار می‌آید. درک این ضرورت از جانب مدیریت ارشد سازمان، موفقیت اجرای پروژه را نتیجه خواهد داد. مدیریت ریسک با استفاده از روش‌ها و تکنیک‌های موجود در استاندارد PMBOK و تجارب برتر در شرکتهای بین المللی، سبب پیش‌بینی و پیشگیری از مشکلات آینده و ارائه راهکار در زمان وقوع مشکلات می‌شود. بدین ترتیب می‌توانیم اثرات مخرب وقوع آنها را کمتر کنیم. در این دوره 12 ساعته به صورت عملی کلیه مهارتهای مورد نیاز و ضرروری جهت تحلیل ریسک کمی با نرم افزار Primavera Risk Analysis در طول پروژه آموزش داده خواهد شد.

برنامه ریزی و تحلیل کمی ریسک با

نرم‌افزار Oracle Primavera Risk Analysis

معرفی دوره :

سرفصل مطالب

جلسه سوم

آشنایی با روش سنتی 3 Point Estimate

معرفی روش Risk Driver

انواع ریسکها و مزایای روش Risk Driver نسبت به روش سنتی 3 Point Estimate

کارگاه بررسی برنامه زمانبندی پروژه (مطالعه موردی) توسط گروه ها

جلسه چهارم

برگزاری کارگاه آنالیز ریسک زمانی (جلسه ریسک کمی درخصوص چالش با نفرات برای تعیین احتمال و اثر ریسک ها بصورت طوفان فکری با استفاده از روش Risk Driver

تخصیص ریسک ها به برنامه زمانبندی با نرم افزار Primavera Risk Analysis توسط هر گروه

اجرای مونت کارلو و تحلیل نمودار توزیع و تورنادو

تهیه گزارش انالیز ریسک زمانی پروژه

جلسه اول

آشنایی با فرآیند ارزیابی ریسک پروژه با استفاده از نرم افزار PRA ( کیفی و کمی)

آشنایی با سه روش تحلیل ریسک زمانی پروژه بصورت کمی با نرم افزار Primavera Risk Analysis

پرزنت شرح مختصر پروژه(Case Study)

جلسه دوم

برگزاری کارگاه آنالیز ریسک چیست ؟ ارزیابی ریسک زمانبندی پروژه بصورت کمی با استفاده از روش Uncertainty (مطالعه موردی )

برگزاری کارگاه با استفاده از روش ریسک رجیستر نرم افزار و تخصیص ریسکها به برنامه زمانبندی

اجرای مونت کارلو و تحلیل نمودار توزیع و تورنادو

نهایی سازی ریسک رجیستر در نرم افزار

اهداف این دوره

آشنایی با تجارب برتر شرکتهای بزرگ دنیا در خصوص اجرای انالیز ریسک کمی پروژه ها.

تربیت متخصصین استقرار نظام جامع مدیریت ریسک در کلیه سطوح کسب و کار، پایش میزان انطباق سازمان و ارایه راهکارهای اصلاحی جهت کاهش هزینه‌های سربار و افزایش سوددهی سازمان های پروژه محور است.

مدیریت ریسک و کاربرد آن در نگهداری و تعمیرات

تعریف ریسک و مدیریت ریسک | انواع ریسک ها | راهکارهای مدیریت ریسک بهتر در نت ( نگهداری و تعمیرات )

مدیریت ریسک در نگهداری و تعمیرات می‌تواند ریسک‌ها و فرصت‌ها را برای ما کنترل کند، چراکه عدم قطعیت‌ها را می‌توان به ریسک‌ها و فرصت‌ها تقسیم کرد؛ اما قبل از اینکه به بحث اصلی بپردازیم اجازه بدهید یک نگاهی به تعاریف جامع از مدیریت ریسک بیندازیم:

مدیریت ریسک به فرایند شناسایی، تحلیل و پاسخ به عوامل خطرساز گفته می‌شود که در طول عمر یک پروژه یا فرایند ممکن است رخ بدهند. اگر مدیریت ریسک به‌درستی و به‌طور صحیح انجام شود می‌تواند با کنترل وقایع آینده، از خطرات احتمالی پیش‌گیری کند.

استاندارد ISO9001:2015 ریسک را عدم قطعیت تعریف کرده است که با رویدادهای بالقوه در ارتباط می‌باشد و آن را معمولاً به‌عنوان یک نتیجه از احتمال و پیامد چنین رویدادی بیان می‌کند

چنانچه مدیریت ریسک به‌درستی انجام شود می‌تواند با کنترل رخدادهای آینده، از خطرات احتمالی پیش‌گیری کند.

قطعاً ریسک‌ها و خطرات در فرایند نگهداری و تعمیرات مانند سایر فرایندهای یک سازمان اثرات منفی دارند و فرصت‌ها نتایج مثبتی برای ما به همراه دارند که به‌طور بالقوه می‌توانند بر دستیابی به اهداف نگهداری و تعمیرات و سازمان تأثیر بگذارند.

مدیریت ریسک در تدوین اهداف و برنامه‌های مدیریت نگهداری و تعمیرات همان‌طور که استاندارد ISO 9001:2015 برای کلیه فرایندهای سازمان عنوان کرده است، ضروری است و نتیجه آن اطمینان از تصمیم‌گیری در راستای اهداف سازمانی و الزامات ذینفعان است.

این را بدانیم که مدیریت ریسک یک فرایند مستمر است و چنانچه مدیریت ریسک در نگهداری و تعمیرات به‌درستی انجام شود می‌تواند با کنترل وقایع آینده، از خطرات احتمالی پیش‌گیری کند.

گام های اساسی مدیریت ریسک

این فرایند بسیار مهم به‌طورکلی دارای ۶ گام یا مرحله اصلی است که مطابق با موارد زیر انجام می‌شود.

1. تعریف هدف
2. شناسایی ریسک ها
3. ارزیابی اولیه ریسک ها
4. تعریف و ارائه راهکارهای مناسب
5. اجرای فعالیت های تعریف شده
6. ارزیابی تفضیلی و ایجاد بهبود

با توجه تعاریف مطرح شده و اینکه مدیریت ریسک در نگهداری و تعمیرات به‌منظور شناسایی و کاهش ریسک‌های احتمالی، برنامه‌ریزی و تصمیم‌گیری درست در رابطه با ریسک‌های احتمالی انجام می‌شود، ریسک‌های موجود در نگهداری و تعمیرات با توجه به ۳ زیر فرایند نگهداری و تعمیرات مطابق با استاندارد EN17007 یعنی مدیریت، تحقق یا عملیات و پشتیبانی تقسیم‌بندی می‌شوند.

همچنین این تقسیم‌بندی را می‌توان مطابق با چارچوب مدیریت نگهداری و تعمیرات بر اساس سند انجمن جهانی مدیریت نگهداری و تعمیرات و مدیریت دارایی با توجه به ۷ جز اصلی نگهداری و تعمیرات یعنی الزامات، مدیریت نگهداری و تعمیرات، مدیریت استراتژی نگهداری و تعمیرات، عملیات و اجرای نگهداری و تعمیرات و تخصیص منابع، موارد قابل تحویل و همچنین ارزیابی و بهبود مستمر انجام داد آنالیز ریسک چیست ؟ که باید اقدامات مناسب در جهت مدیریت و کاهش آن‌ها ارائه شود.

ریسک‌های کلیدی نگهداری و تعمیرات

در اینجا به ۲۰ ریسک با اهمیت و کلیدی در نگهداری و تعمیرات پرداخته‌ایم که نسبت به سایر ریسک‌ها در اولویت قرار دارند.