استاندارد ISO 31000:2018 – مدیریت ریسک

فهرست مطالب

استاندارد ISO 31000 چیست؟

استاندارد ISO 31000 یک استاندارد بین‌المللی است که اصول و راهنماهایی برای مدیریت ریسک ارائه می‌دهد. این استاندارد یک رویکرد جامع برای شناسایی، تحلیل، ارزیابی، کنترل، پایش و ارتباط مؤثر با ریسک‌ها در سراسر یک سازمان ارائه می‌کند.

چرا ISO 31000 مهم است؟

در دنیای پرشتاب و غیرقابل پیش‌بینی امروز، هر سازمانی – صرف‌نظر از اندازه یا حوزه فعالیت خود – با ریسک‌هایی مواجه است که می‌توانند تهدید یا فرصت باشند. ISO 31000 همچون چراغ راهنما عمل می‌کند:

درک جامع

این استاندارد موجب ایجاد درکی مشترک از ماهیت ریسک‌ها و نحوه مدیریت آن‌ها در سراسر سازمان می‌شود.

تصمیم‌گیری راهبردی

راهنمایی‌های ISO 31000 به ادغام مدیریت ریسک در حاکمیت سازمانی، استراتژی، برنامه‌ریزی، فرآیندهای گزارش‌دهی، سیاست‌ها، ارزش‌ها و فرهنگ سازمانی کمک می‌کند.

تعالی عملیاتی

اجرای این استاندارد می‌تواند به افزایش کارایی منجر شود؛ چرا که سازمان‌ها می‌توانند تهدیدها و فرصت‌های بالقوه را به‌موقع شناسایی کرده، منابع را هوشمندانه تخصیص دهند و اعتماد ذی‌نفعان را افزایش دهند.

رویکردی پیش‌نگرانه

به‌جای واکنش صرف به مشکلات، ISO 31000 سازمان‌ها را قادر می‌سازد تا ریسک‌ها را پیش‌بینی کرده و به‌صورت فعال با آن‌ها روبه‌رو شوند و چالش‌ها را به مزیت‌های راهبردی تبدیل کنند.

اعتماد ذی‌نفعان

یک رویکرد ساختاریافته به مدیریت ریسک نشان می‌دهد که سازمان آمادگی لازم برای مواجهه با عدم‌قطعیت‌ها را دارد و این موجب تقویت اعتماد سرمایه‌گذاران، مشتریان و سایر ذی‌نفعان می‌شود.

مزایا
  • اصول، چارچوب و فرآیند استاندارد برای مدیریت ریسک
  • راهنمایی برای اجرای عملی مدیریت ریسک
  • ابزارهایی برای تطبیق مدیریت ریسک با شرایط خاص هر سازمان
  • معیارهایی برای پایش، بازبینی و بهبود مستمر سیستم مدیریت ریسک
  • پایه‌ای برای یکپارچه‌سازی مدیریت ریسک در سراسر سازمان

نکات مهم :

1- استاندارد ISO 31000 برای هر سازمانی که به دنبال اجرای رویکردی جامع به مدیریت ریسک است، ارزشمند محسوب می‌شود، از جمله:

  • شرکت‌هایی که در صنایع به‌شدت تحت نظارت مانند خدمات مالی، بهداشت و درمان، انرژی فعالیت می‌کنند
  • سازمان‌های دولتی و عمومی
  • شرکت‌های مهندسی و مدیریت پروژه
  • شرکت‌های مشاوره‌ای که به مشتریان خود در حوزه مدیریت ریسک خدمات ارائه می‌دهند
  • سازمان‌هایی که به دنبال ایجاد فرهنگ مدیریت ریسک در داخل مجموعه خود هستند

2- ISO 31000 یک استاندارد قابل صدور گواهینامه نیست، بلکه مجموعه‌ای از راهنماهای مبتنی بر بهترین تجربیات را ارائه می‌دهد. با این حال، این استاندارد چارچوبی بسیار قدرتمند برای طراحی و پیاده‌سازی یک برنامه مدیریت ریسک قوی در اختیار سازمان‌ها قرار می‌دهد.

3- برای مدیران ریسک، به‌کارگیری ISO 31000 به همراه دارد:

  • اصول و راهنماهای پذیرفته‌شده بین‌المللی برای مدیریت ریسک
  • چارچوبی ساختاریافته برای پیاده‌سازی فرآیندهای ریسک
  • معیارهای استاندارد برای پایش، بازبینی و بهبود سیستم مدیریت ریسک
  • ابزارهایی برای گزارش‌دهی و برقراری ارتباط مؤثر در مورد ریسک‌ها در سطح کل سازمان

ISO 31000 مجموعه‌ای از اصول، چارچوب و فرآیند را برای مدیریت ریسک ارائه می‌دهد. این استاندارد می‌تواند توسط هر سازمانی بدون توجه به اندازه، حوزه فعالیت یا صنعت مورد استفاده قرار گیرد.

4- استفاده از ISO 31000 می‌تواند به سازمان‌ها کمک کند تا:

  • احتمال دستیابی به اهداف خود را افزایش دهند
  • شناسایی فرصت‌ها و تهدیدها را بهبود بخشند
  • منابع را به‌صورت مؤثر برای مقابله با ریسک‌ها تخصیص داده و استفاده کنند

با این حال، ISO 31000 قابلیت صدور گواهینامه ندارد، ولی می‌تواند راهنمای مناسبی برای برنامه‌های ممیزی داخلی یا خارجی باشد. سازمان‌هایی که از این استاندارد استفاده می‌کنند، می‌توانند عملکرد خود را با یک معیار جهانی معتبر مقایسه کرده و اصول محکم و مؤثری برای مدیریت و حاکمیت شرکتی به کار ببرند.

استاندارد بین‌المللی ISO 31000، با فراهم کردن چارچوبی اصولی برای مدیریت ریسک، می‌تواند به تحقق بسیاری از اهداف توسعه پایدار سازمان ملل (SDGs) کمک کند.

هدف ۳: سلامت و رفاه (Good Health and Well-being)

ISO 31000 با کمک به شناسایی، تحلیل و کنترل ریسک‌های مرتبط با سلامت و ایمنی (مثلاً در حوزه‌های بهداشت، محیط کار، بیماری‌های واگیر)، از ایجاد سیاست‌ها و اقدامات پیشگیرانه حمایت می‌کند و سطح سلامت عمومی و فردی را ارتقا می‌دهد.

هدف ۸: کار شایسته و رشد اقتصادی (Decent Work and Economic Growth)

با ایجاد یک سیستم ساختاریافته برای مدیریت ریسک، سازمان‌ها می‌توانند از بحران‌های مالی، اختلال در زنجیره تأمین، یا ریسک‌های منابع انسانی جلوگیری کرده و محیطی ایمن‌تر، پایدارتر و بهره‌ورتر برای کارگران و کسب‌وکارها ایجاد کنند. هدف ۹: صنعت، نوآوری و زیرساخت (Industry, Innovation and Infrastructure)

مدیریت ریسک مؤثر باعث پایداری پروژه‌های صنعتی و زیرساختی می‌شود. از طرفی، با شناسایی و کاهش موانع پیش روی نوآوری، محیطی امن برای نوآوری در فرآیندها و محصولات فراهم می‌گردد.

هدف ۱۱: شهرها و جوامع پایدار (Sustainable Cities and Communities)

ISO 31000 می‌تواند به نهادهای شهری و دولتی کمک کند تا ریسک‌های زیست‌محیطی، اجتماعی و اقتصادی مانند بلایای طبیعی، آلودگی یا بحران‌های اجتماعی را بهتر پیش‌بینی و مدیریت کنند، و زیرساخت‌های مقاوم و پایدار ایجاد نمایند.

هدف ۱۴: زندگی در زیر آب (Life Below Water)

از طریق مدیریت ریسک‌های زیست‌محیطی مرتبط با فعالیت‌های صنعتی و انسانی (مانند آلودگی دریاها، استخراج منابع دریایی یا زباله‌های پلاستیکی)، این استاندارد به حفاظت از اکوسیستم‌های دریایی کمک می‌کند.

هدف ۱۵: زندگی روی زمین (Life on Land)

با شناسایی و مدیریت ریسک‌های مربوط به تخریب محیط زیست، جنگل‌زدایی، آلودگی خاک و منابع طبیعی، ISO 31000 می‌تواند به محافظت از تنوع زیستی و بهره‌برداری پایدار از منابع طبیعی کمک کند.

هدف ۱۶: صلح، عدالت و نهادهای نیرومند (Peace, Justice and Strong Institutions)

این استاندارد با ترویج شفافیت، پاسخگویی و ساختارمند کردن فرآیندهای تصمیم‌گیری، به بهبود حکمرانی سازمان‌ها و نهادهای دولتی کمک می‌کند. همچنین با کاهش فساد، افزایش اعتماد عمومی و پاسخگویی به ریسک‌های اجتماعی و اقتصادی، زمینه‌ساز نهادهایی کارآمد و پایدار می‌شود.

ارتباط ISO 31000 با ISO 9001

استاندارد ISO 9001:2015 بر پایه تفکر مبتنی بر ریسک بنا شده است. سازمان‌ها در چارچوب این استاندارد ملزم به شناسایی ریسک‌ها و فرصت‌های تأثیرگذار بر کیفیت محصولات و خدمات هستند. ISO 31000 یک رویکرد جامع برای مدیریت این ریسک‌ها ارائه می‌دهد.

ارتباط ISO 31000 با ISO 14001

در ISO 14001:2015، سازمان‌ها باید ریسک‌ها و فرصت‌های زیست‌محیطی فعالیت‌های خود را مدیریت کنند. استفاده از چارچوب مدیریت ریسک ISO 31000 باعث می‌شود تحلیل ریسک‌های زیست‌محیطی دقیق‌تر و ساختارمندتر انجام شود.

ارتباط ISO 31000 با ISO 45001

استاندارد ISO 45001:2018 بر شناسایی خطرات و مدیریت ریسک‌های ایمنی و بهداشت شغلی تأکید دارد. تلفیق اصول ISO 31000 با این استاندارد موجب بهبود نظام‌مند در کنترل ریسک‌های HSE می‌شود.

ارتباط ISO 31000 با ISO 27001

استاندارد ISO 27001:2022 به حوزه امنیت اطلاعات اختصاص دارد و مدیریت ریسک‌های امنیتی یکی از ارکان آن است. استفاده از ISO 31000 امکان پیاده‌سازی فرایندهای ارزیابی و کنترل ریسک‌های اطلاعاتی را تقویت می‌کند.

ارتباط ISO 31000 با ISO 22301

استاندارد ISO 22301:2019 با هدف مدیریت تداوم کسب‌وکار تدوین شده است. در این استاندارد، شناسایی و کاهش ریسک‌های ناشی از بحران‌ها و اختلالات عملیاتی اهمیت بالایی دارد. ISO 31000 چارچوب مناسبی برای مدیریت این ریسک‌ها فراهم می‌سازد.

ارتباط ISO 31000 با ISO 37301

استاندارد ISO 37301:2021 به مدیریت انطباق می‌پردازد و ریسک‌های مرتبط با الزامات قانونی و قراردادی را شامل می‌شود. بهره‌گیری از ISO 31000 موجب ارتقای ساختار مدیریت ریسک‌های انطباقی می‌شود.

ارتباط ISO 31000 با ISO 37001

در ISO 37001:2016، تمرکز بر پیشگیری و کنترل ریسک‌های مرتبط با رشوه و فساد مالی است. چارچوب ISO 31000 به سازمان‌ها کمک می‌کند تا این ریسک‌ها را به شکل ساختاریافته شناسایی و مدیریت کنند.

ارتباط ISO 31000 با ISO 26000

استاندارد ISO 26000 در حوزه مسئولیت اجتماعی سازمان‌ها مطرح است. یکی از الزامات این استاندارد، مدیریت ریسک‌های اجتماعی و زیست‌محیطی است که با استفاده از اصول ISO 31000 می‌تواند به‌طور مؤثرتر انجام شود.

ارتباط ISO 31000 با ISO 31010 و ISO Guide 73

ISO 31010 به معرفی روش‌ها و تکنیک‌های ارزیابی ریسک اختصاص دارد و مکمل مستقیم ISO 31000 محسوب می‌شود. همچنین ISO Guide 73 واژگان استاندارد مدیریت ریسک را ارائه می‌دهد که هماهنگی مفهومی با ISO 31000 ایجاد می‌کند.

چگونه می‌توان با استفاده از ایزو 31000 ریسک‌های سازمانی را مدیریت کرد؟

برای مدیریت ریسک‌های سازمانی با استفاده از ایزو 31000:2018، باید چارچوبی نظام‌مند و ساختاریافته ایجاد کرد که تمامی مراحل شناسایی، ارزیابی و کنترل ریسک‌ها را در برگیرد. در ادامه، فرآیند مدیریت ریسک مطابق با این استاندارد را به‌صورت مرحله‌به‌مرحله توضیح می‌دهم:

۱. ایجاد زمینه (Establishing the Context)

قبل از شناسایی ریسک‌ها، سازمان باید زمینه داخلی و خارجی خود را مشخص کند:

  • زمینه داخلی: فرهنگ سازمانی، ساختار، فرآیندها، منابع، فناوری، توانمندی‌ها.
  • زمینه خارجی: بازار، رقبا، قوانین و مقررات، شرایط اقتصادی و اجتماعی.
  • تعیین اهداف سازمان، ارزش‌ها و معیارهای موفقیت نیز در این مرحله انجام می‌شود.

۲. شناسایی ریسک‌ها (Risk Identification)

در این مرحله، تمام ریسک‌های بالقوه که می‌توانند بر تحقق اهداف سازمان تأثیر بگذارند، شناسایی می‌شوند:

  • استفاده از روش‌هایی مانند جلسات طوفان فکری، تحلیل SWOT، بررسی سوابق و حوادث گذشته.
  • شناسایی ریسک‌ها در سطوح مختلف: استراتژیک، عملیاتی، مالی، فناوری، محیطی و قانونی.

۳. تحلیل ریسک (Risk Analysis)

پس از شناسایی، ریسک‌ها باید تحلیل شوند تا شدت و احتمال وقوع آن‌ها مشخص شود:

  • احتمال: میزان رخ دادن یک ریسک.
  • پیامد: اثر ریسک بر اهداف سازمان.
  • تعیین سطح ریسک با ترکیب احتمال و پیامد.

۴. ارزیابی ریسک (Risk Evaluation)

در این مرحله، ریسک‌ها بر اساس تحلیل صورت گرفته اولویت‌بندی می‌شوند:

  • مقایسه ریسک‌ها با معیارهای پذیرفتنی سازمان.
  • تصمیم‌گیری در مورد این که کدام ریسک‌ها نیاز به اقدام دارند و کدام قابل پذیرش هستند.

۵. کنترل و درمان ریسک (Risk Treatment)

راهکارهای کاهش یا کنترل ریسک انتخاب و پیاده‌سازی می‌شوند:

  • اجتناب از ریسک: تغییر فرآیند یا تصمیم‌گیری برای حذف فعالیت پرریسک.
  • کاهش ریسک: استفاده از تدابیر کنترلی، آموزش، فناوری یا فرآیندهای بهبود یافته.
  • انتقال ریسک: بیمه یا قرارداد با طرف ثالث.
  • پذیرش ریسک: قبول ریسک در صورت پایین بودن اثر یا هزینه بالا برای کاهش آن.

۶. ارتباط و مشاوره (Communication and Consultation)

  • اطلاع‌رسانی و مشورت با ذینفعان در طول تمام مراحل مدیریت ریسک ضروری است.
  • ایجاد فرهنگ شفافیت و یادگیری سازمانی به کاهش ریسک و واکنش سریع کمک می‌کند.

۷. نظارت و بازنگری (Monitoring and Review)

  • بررسی مستمر کارآمدی اقدامات مدیریت ریسک.
  • به‌روزرسانی اطلاعات و تحلیل‌ها بر اساس تغییر شرایط داخلی و خارجی.
  • استفاده از شاخص‌ها و گزارش‌های دوره‌ای برای بهبود فرآیند مدیریت ریسک.

۸. ایجاد فرهنگ مدیریت ریسک در سازمان

ایزو 31000 تأکید می‌کند که مدیریت ریسک باید بخشی از فرهنگ و فرآیندهای سازمانی باشد:

  • ریسک باید در تصمیم‌گیری‌های روزمره و برنامه‌ریزی استراتژیک لحاظ شود.
  • آموزش و تقویت توانایی کارکنان در شناسایی و مدیریت ریسک الزامی است.

یک دیدگاه بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلدهای الزامی با * نشان گذاری شده اند