مفهوم مدیریت ریسک

عمده ترین ضعف در حوزه مدیریت ریسک نبود همین ساختار و در اصل نبود همین متولی مدیریت ریسک است. البته این را نیز در پرانتز در نظر بگیرید که مدیریت ریسک نیاز به یک دپارتمان و مفهوم مدیریت ریسک متولی مشخص دارد ولی در اصل وظیفه هر مدیری است که مدیریت ریسک کند جدای اینکه متولی مشخص در سازمان برای آن وجود داشته باشد یا خیر. ولی نکته اینجاست که وجود متولی، می توان آموزش و ظرفیت سازی برای مدیریت ریسک را تسهیل کند. وقتی این اتفاق افتاد مدیر بازاریابی، مدیر منابع انسانی، مدیر پشتیبانی و هر دپارتمان دیگری ضرورت مدیریت ریسک را درک، ابزارهای آنرا یادگرفته و میداند کی، کجا و چگونه مدیریت ریسک کند.

14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات

در این مقاله قصد داریم مراحل اجرای فرایند مدیریت ریسک امنیت اطلاعات را بررسی نماییم. این مراحل شامل شناسایی ریسک، ارزیابی ریسک، تحلیل ریسک و مقابله با ریسک‌های امنیتی می‌شوند. این مقاله برای مدیران و کارشناسان سازمانها که با موضوعات مرتبط با مدیریت ریسک و ISMS سر و کار دارند مفید است. همچنین دانشجویان و علاقمندان به این حوزه نیز می‌توانند با مطالعه این نوشته دید جامعی از روش اجرای فرایند مدیریت ریسک بدست آورند. گام‌هایی که در ادامه تشریح می‌شوند مبتنی بر استانداردهای ایزو 27005 و ایزو 31000 طراحی و تنظیم شده‌اند.

1- آماده سازی و بسترسازی

اولین گام در اجرای فرایند مدیریت ریسک همانند استقرار دیگر فرایندها و سیستم های مدیریتی ایجاد بستر پیاده سازی آن است. منظور از بستر سازی، توافق مدیران ارشد سازمان به انجام این فرایند و متعهد شدن به اجرای درست آن است. تعیین اسکوپ و محدوده سازمانی انجام مدیریت ریسک، کار بعدی در ایجاد آمادگی است. پس از این باید منابع لازم جهت پیاده سازی این فرایند تخصیص یابد و مسئولیتهای مرتبط تعریف شود. چنانچه قصد دارید پیاده سازی این فرایند را با نرم افزاری تخصصی انجام دهید در این گام باید مراحل نصب و راه اندازی آن را نیز انجام دهید.

2- تعیین دارایی‌ها

در گام اول باید دارایی‌هایی که در محدوده ارزیابی ریسک سازمانتان قرار دارند را مشخص نمایید. دارایی‌های مفهوم مدیریت ریسک اطلاعاتی سازمان بر اساس استاندارد ایزو 27005 در قالب دو گروه دارایی‌های اصلی و پشتیبان دسته‌بندی می‌شوند. دارایی‌های اصلی دارایی‌هایی هستند که به عنوان خروجی‌های سازمان و یا واحد مورد ارزیابی شناخته می‌شوند. سرویس‌هایی که یک سازمان مفهوم مدیریت ریسک به مشتریان خود ارائه می‌دهد در این زمره هستند. دارایی‌های پشتیبان دارایی‌هایی هستند که برای تحقق دارایی اصلی ضروری هستند و از دارایی اصلی پشتیبانی می‌کنند. مثلا پرسنل، ابزارها، نرم‌افزارها و تجهیزاتی که برای عملیاتی سازی سرویس سازمانی مورد استفاده قرار می‌گیرند، در رده دارایی‌های پشتیبان قرار می‌گیرند.

3- ارزش گذاری دارایی‌ها

در این گام و پس از شناسایی دارایی‌های اطلاعاتی در قالب فهرست دارایی‌ها نوبت به ارزش گذاری دارایی‌ها میرسد. باید توجه داشت که تمرکز ارزش گذاری با توجه به اینکه در کدام یک از دیسیپلین‌های مدیریت ریسک در حال فعالیت هستیم متفاوت خواهد بود. با توجه به اینکه هدف ما در این مقاله مدیریت ریسک در حوزه امنیت اطلاعات است بنابراین ارزش‌گذاری نیز باید در همین حوزه به انجام رسد. ارزش گذاری امنیتی دارایی‌ها با سه پارامتر محرمانگی (Confidentiality)، صحت (Integrity)، دسترس‌پذیری (Availability) انجام می‌شود.

استاندارد ایزو 27005 معیارهای مختلفی برای ارزش گذاری معرفی می‌کند که بسته به نیازمندی و نوع سازمان میتواند مورد استفاده قرار گیرد. برای اندازه‌گیری ارزش می‌توانید بصورت عمومی از معیارهای زیر استفاده نمایید.

• میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی ازنظر مالی بر سازمان
• میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی در ایجاد وقفه­های کاری در سازمان
• میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی بر وجهه و اعتبار سازمان
• میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی بر نقض قوانین و مقررات کشوری و سازمانی

4- تعیین تهدیدات و احتمال وقوع آنها

در این گام باید تهدیدات مرتبط با هر دارایی‌ یا گروه دارایی‌ها شناسایی شوند. همچنین احتمال وقوع این تهدیدات باید با استفاده از روش‌ها و معیارهای مناسب مفهوم مدیریت ریسک سنجیده و تخمین زده شود. این تخمین می‌تواند بصورت کیفی و یا کمی صورت پذیرد.

تهدیدات را مطابق استاندارد ایزو 27005 می‌توانید در قالب یکی از انواع زیر تعریف نمایید:

• تهدیدات انسانی عمدی
• تهدیدات انسانی غیرعمدی
• تهدیدات طبیعی
• تهدیدات محیطی

برای درک بهتر مفاهیم مرتبط با احتمال در مدیریت ریسک میتوانید به مقاله احتمال یا احتمال! بررسی تناقض‌های مفهومی “احتمال” در مدیریت ریسک رجوع کنید.

5- شناسایی کنترل‌های فعلی و تخمین مطلوبیت آنها

در این مرحله باید نسبت به شناسایی کنترل‌هایی که در حال حاضر بر روی دارایی‌های خود دارید اقدام نمایید. شناسایی کنترل‌های فعلی و تخمین میزان مطلوبیت آنها به روش مناسب کمک می‌کند تا بتوانید تخمین دقیقتر و درست‌تری نسبت به میزان شدت آسیب‌پذیری‌های خود که در گام بعدی به آن پرداخته می‌شود داشته باشید.

6- تعیین آسیب‌پذیری‌ها و تخمین شدت آنها

در این گام باید برای هر یک از دارایی‌ها و یا گروه‌های دارایی، آسیب­پذیری­های متناظر با آن‌ها و متناظر با تهدیدی خاص را شناسایی نمایید. در ادامه باید با استفاده از روش‌ها و معیارهای مناسب و نیز با توجه به نتایج حاصل از گام قبلی باید میزان شدت این آسیب‌پذیری‌ها را تخمین بزنید. تخمین شدت آسیب‌پذیری‌ها نیز می‌تواند بصورت کیفی یا کمی انجام شود.

روش‌های مرسوم برای تخمین و تعیین شدت آسیب‌پذیری عبارتند از:

• پرسشنامه
• ارزیابی آسیب‌پذیری و آزمون نفوذ
• مطالعه مستندات سازمان
• بازدید و ارزیابی‌‌‌‌‌‌ ‌‌فیزیکی

7- تعیین پیامد حادثه

پس از تعیین تهدیدات و آسیب­ پذیری­های مرتبط با هر دارایی یا گروه دارایی­ها، تعیین می­شود که سناریوی ریسک مورد بحث (ترکیب دارایی یا گروه دارایی، تهدید و آسیب‌پذیری‌های مرتبط) بر کدام‌یک از پارامترهای محرمانگی، صحت و دسترس­پذیری اثر خواهد داشت. به عنوان مثال تهدید آتش‌سوزی پارامتر دسترس‌پذیری را متأثر میکند. و تهدید شنود پارامتر محرمانگی را تحت الشعاع قرار می‌دهد. از ترکیب بررسی این تأثیر و نیز ارزش دارایی‌ها می‌توان میزان پیامد حادثه را در یک سناریوی خاص مشخص نمود. تخمین پیامد حادثه بصورت کیفی و یا کمی قابل سنجش است.

با توجه به نکات فوق باید توجه داشت که در ارزیابی ریسک یک سناریوی مشخص، لزوماً مقدار ارزش‌گذاری دارایی برابر با پیامد حادثه نخواهد بود. زیرا امکان دارد که تهدیدی سبب نقض تمامی پارامترهای تشکیل‌دهنده ارزش دارایی نشود.

8- تخمین و ارزیابی ریسک

در این گام و پس از مشخص شدن عوامل سازنده ریسک نوبت به ارزیابی ریسک میرسد. بر اساس چارچوب استاندارد ایزو 27005 عناصر تشکیل‌دهنده تابع ریسک عبارتند از:

• مقدار احتمال تهدید: به‌اختصار در این نوشتار با نماد T نشان داده خواهد شد.
• مقدار شدت آسیب­پذیری: به‌اختصار در این نوشتار با نماد V نشان داده خواهد شد.
• مقدار پیامد حادثه: به‌اختصار در این نوشتار با نماد I نشان داده خواهد شد.
• مقدار ریسک: به‌اختصار در این نوشتار با نماد R نشان داده خواهد شد.

برای ترکیب این عناصر مطابق استاندارد ISO 27005، می‌توان از روش‌ها و فرمول‌های متفاوتی استفاده کرد. روش ریاضی با استفاده از اپراتورهای ضرب و جمع و نیز روش ماتریسی از جمله این روش‌ها هستند. یکی از فرمول‌های مرسوم در محاسبه و ارزیابی ریسک استفاده از عملگر ضرب و بصورت زیر است:

لازم به ذکر است که ترکیب پارامترهای احتمال تهدید و شدت آسیب‌پذیری تعیین کننده پارامتر احتمال حادثه هستند.

9- ارزشیابی و اولویت‌بندی ریسک

با توجه به امکان تعریف سطوح مختلف برای تعیین پیامد، تعیین احتمال وقوع تهدید و نیز شدت آسیب‌پذیری طبیعتا بازه نتایج فرمول فوق می‌تواند متغیر باشد. به عنوان مثال چنانچه مفروضات تعیین‌شده برای محاسبه ریسک و برای پارامترهای احتمال تهدید، شدت آسیب پذیری و پیامد حادثه به‌صورت خیلی کم، کم، متوسط، زیاد، خیلی زیاد که معادل کمی آن اعداد 1، 2، 3، 4 و 5 می‌شود، تعریف شده باشند خواهیم داشت:

و بر همین اساس می‌توان ریسک را به عنوان مثال در 5 سطح و بصورت زیر اولویت‌بندی نمود.

10- تعیین آستانه پذیرش

در مثال فوق، ریسک های امنیت اطلاعات در 5 سطح قرار گرفته‌اند. این 5 سطح در بازه‌هایی بین 1 تا 125 به سطوح خیلی کم، کم، متوسط، زیاد و خیلی زیاد تقسیم‌بندی شدند.

در این مرحله مبتنی بر مقتضیات سازمانی خود و بر اساس نتایج حاصل از ارزیابی ریسک سطوحی را که از نظر شما دارای ریسک قابل قبول هستند مشخص می‌نمایید. منظور از سطح قابل قبول و یا سطح پذیرش، ریسک‌هایی هستند که از نظر شما بدون اینکه بخواهید برایشان اقدامی انجام دهید، می‌پذیرید که وجود داشته باشند. مثلا سازمانی ممکن است از میان سطوح پنج‌گانه ریسک، سطوح خیلی کم و کم را به‌عنوان سطح پذیرش، تعریف نماید.

11- استراتژی‌های مقابله با ریسک

بطور معمول و مطابق با استاندارد ایزو 27005 چهار گزینه پذیرش، کاهش، تسهیم و اجتناب به‌عنوان استراتژی‌های مدیریت ریسک امنیت اطلاعات در نظر گرفته می‌شوند. تعاریف هر یک از این استراتژی‌ها عبارتند از:

• استراتژی پذیرش: چنانچه مقدار سناریوی ریسک موردنظر پایینتر از آستانه پذیرش باشد، سازمان ریسک را می‌پذیرد. طبیعتاً برای ریسک‌های پذیرفته شده اقدام تقابلی انجام نمی‌شود.
• استراتژی کاهش: چنانچه سناریوی ریسک خارج از بازه پذیرش باشد و امکان کاهش آن وجود داشته باشد، استراتژی کاهش ریسک انتخاب می‌شود. در این حالت باید کنترل‌های مقابله‌ای بکار گرفته شوند.
• استراتژی تسهیم: چنانچه سناریوی ریسک خارج از بازه پذیرش باشد و امکان کاهش آن نیز توسط سازمان وجود نداشته باشد و یا به‌صرفه نباشد اقدام به اشتراک‌گذاری ریسک با یک‌طرف بیرونی می‌شود.
• استراتژی اجتناب: چنانچه سناریوی ریسک موردنظر خارج از بازه پذیرش باشد. همچنین احتمال و پیامد ریسک هر دو بالا باشند و امکان کاهش و یا تسهیم آن نیز به هر دلیلی وجود نداشته باشد تنها گزینه باقیمانده استراتژی اجتناب خواهد بود که به معنای حذف عامل ریسک است.

12- طرح مقابله با ریسک (Risk Treatment Plan)

برای مقابله با ریسک شامل استراتژی‌های کاهش، تسهیم و اجتناب باید طرح مقابله با ریسک که به آن RTP هم گفته می‌شود، در نظر گرفت. یک RTP باید حداقل شامل موارد زیر باشد:

• مالک ریسک
• کنترل مقابله‌ای
• زمان شروع طرح
• زمان پایان طرح

13- اطلاع رسانی در سازمان

پس از تدوین استراتژی ها و طرح های مقابله ای باید این طرح ها با مسئولات مرتبط در میان گذاشته شوند. مدیریت ریسک امنیت اطلاعات یک فرایند مشارکتی است که تمامی مراحل آن از شناسایی و ارزیابی تا تحلیل و کاهش ریسک، نیاز به همراهی پرسنل مرتبط سازمان دارد. طرح های مقابله باید به اطلاع مالکین ریسکها برسد و نقطه نظرات آنان دریافت شود. از آنجاییکه اجرای طرح های مقابله و کاهش ریسک به عهده مالکین ریسک است بدیهی است که آنان باید نسبت به ریسک های خود آگاه باشند و طرح ها را به تأیید برسانند.

14- پایش و بازنگری

فرایند مدیریت ریسک نیز مانند دیگر فرایندهای سیستماتیک مدیریت، فرایندی دینامیک و پویاست. پویایی این فرایند ایجاب میکند که هرگز به آن به شکل یک پروژه با آغاز و پایان مشخص نگاه نشود. بلکه این فرایند همواره باید در معرض پایش و بازبینی مستمر باشد تا بتواند خود را با تغییرات داخلی و بیرونی سازمان تطبیق دهد. به عبارتی میتوان گفت که وظیفه اصلی بهبود مستمر در فرایند مدیریت ریسک امنیت اطلاعات به عهده این گام است. چنانچه علاقمند به دریافت اطلاعات بیشتر در خصوص مفاهیم مرتبط با پویایی سیستم هستید مقاله زمان مهمترین عامل در پویایی مدیریت امنیت اطلاعات را مطالعه نمایید.

ما در نرم افزار مدیریت امنیت اطلاعات بادبان، فرایند مدیریت ریسک امنیت اطلاعات را مطابق استانداردهای ایزو 31000 و ایزو 27005 بصورت کاملا هوشمند طراحی کرده‌ایم. در سامانه بادبان می‌توانید تمامی گام‌ها و مراحل بیان شده در این مقاله را بدون اینکه وارد پیچیدگی‌های فنی و اجرایی شوید پیاده سازی کنید. بادبان دارای پایگاه دانش بزرگی از سناریوهای مختلف ریسک است. این پایگاه دانش برای انواع دارایی‌ها شامل انواع تهدیدات، آسیب‌پذیری‌ها، کنترل‌ها و زیرکنترل‌های سیستمی و فنی است. شما پرسشنامه‌هایی ریسک را تکمیل می‌کنید و بقیه کارها توسط بادبان انجام می‌شود. نرم افزار بادبان ریسک‌های سازمانتان را با کمک موتور استنتاجی که برای آن طراحی شده است شناسایی، تحلیل، ارزیابی و اولویت‌بندی می‌کند. همچنین اقدامات مقابله‌ای مناسب را برای برخورد و کاهش ریسک‌ها به شما پیشنهاد می‌دهد.

مدیریت ریسک رفتاری

تعریف مدیریت ریسک رفتاری: مدیریت ریسک رفتاری فردی و سازمانی در یک سازمان و اطمینان از کاهش احتمال آسیب ناشی از خطر را گویند. خطرات فردی شامل رفتارهای کارمندان و مدیران و نحوه تصمیم‌گیری آن‌ها و اقداماتی است که ممکن است کار را در معرض خطر قرار دهد. رفتار سازمانی رفتارهای جمعی است که توسط سازمان انجام می‌شود و می‌تواند خطر را افزایش دهد.

همچنین می‌توانید به مدیریت ریسک رفتاری سازمانی (EBRM) مراجعه کنید که به مدیریت ریسک رفتاری در شرکت‌های بزرگتر اغلب چند ملیتی اشاره دارد.

Behavioural Risk Management

What is Behavioural Risk Management?

Behavioural Risk Management definition: Managing the individual and organisational behavioural risks in an organisation and ensuring that the potential for damage from risk is mitigated. Individual risks involve the behaviours of employees and directors and how the decisions they make and the actions they take may open the business up to risk. Organisational behaviour is collective behaviours taken by the organisation which could increase risk.

You may also find reference to enterprise behavioural risk management (EBRM), which refers to behavioural risk management throughout larger, often multinational, companies.

متولی مدیریت ریسک منابع انسانی

همانطور که قبلا هم نوشته ام(اینجا)، چند سالی است در حوزه مدیریت ریسک منابع انسانی در حال مطالعه، تحقیق و اجرا هستم. دیروز دوستی از ضعف عمده در این حوزه پرسید که چرا هنوز مدیریت ریسک منابع انسانی علی رغم اهمیتی که دارد، در سازمانها جایگاهی ندارد. شاید بهتر باشد با رویکرد ساختار گرایی به دنبال این ضعف بگریدم.

وقتی برای یک حوزه ای در شرکتی ساختار، تشکیلات و نیروی انسانی تعریف می شود یعنی آن حوزه مورد تاکید و اهمیت بوده است. یعنی شرکت احساس نیاز کرده و به همین دلیل منابع آنرا هم فراهم کرده است. حال در کدامیک از ساختارهای سازمانی که ما در اطراف خود میبینیم، تشکیلاتی برای مدیریت ریسک تعریف شده است. کادم شرکت نفتی دولتی یا خصوصی در ساختار خود واحد یا دپارتمانی برای مدیریت ریسک در نظر گرفته است. اساسا متولی مدیریت ریسک در سازمان کیست؟ در شرکت خود جوابی برای این سوال داریم؟

وقتی هنوز فرصت نکرده ایم ساختاری را برای مدیریت ریسک تعریف کنیم، چطور انتظار داریم، این وظیفه و ضرورت در سازمان به سرانجام برسد. اهمیت مدیریت ریسک به نحوی است که اساسا نیازی به توضیح و تبیین ندارد چون نیاز بشر به به هوا یا آب و غذا.

عمده ترین ضعف در حوزه مدیریت ریسک نبود همین ساختار و در اصل نبود همین متولی مدیریت ریسک است. البته این را نیز در پرانتز در نظر بگیرید که مدیریت ریسک نیاز به یک دپارتمان و متولی مشخص دارد ولی در اصل وظیفه هر مدیری است که مدیریت ریسک کند جدای اینکه متولی مشخص در سازمان برای آن وجود داشته باشد یا خیر. ولی نکته اینجاست که وجود متولی، می توان آموزش و ظرفیت سازی برای مدیریت ریسک را تسهیل کند. وقتی این اتفاق افتاد مدیر بازاریابی، مدیر منابع انسانی، مدیر پشتیبانی و هر دپارتمان دیگری ضرورت مدیریت ریسک را درک، ابزارهای آنرا یادگرفته و میداند کی، کجا و چگونه مدیریت ریسک کند.

به وجود این ساختار در سازمان خود فکر کنید. از خاطرم نمیرود مدیری که میگفت در دهه 50 از خدمت خود تازه با مفهوم مدیریت ریسک آشنا شدم. کمی دست بجنبانیم که فرصتها چون ابر در گذر هستند. اگر در این خصوص علاقه مند شدید حتما مفهوم GRC را مطالعه بفرمایید.

آشنایی با مفهوم مدیریت و کاهش ریسک در بازار سرمایه

مدیریت ریسک به تحلیل بازدهی سرمایه‌گذاری در مقایسه با ریسک آن سرمایه‌گذاری با پذیرش این فرض اشاره می‌کند که همواره انتظار داریم مقادیر بالاتر ریسک با بازدهی‌های بالاتر همراه باشند.

مدیریت ریسک از جمله مهمترین اجزای استراتژی هر معامله‌گر به شمار می‌رود؛ از این‌رو بسیار مهم است سرمایه‌گذارن بیاموزند چگونه می‌توان با روش‌هایی از قبیل دریافت مشاوره بورس، سرمایه‌گذاری غیرمستقیم یا تنوع بخشیدن به پرتفوی، ریسک سرمایه‌گذاری خود را کاهش داده و مدیریت کنند. به این ترتیب در صورتی که برخی از تصمیمات سرمایه‌گذاری با خطا مواجه شود، تمام دارایی سرمایه‌گذار از دست نخواهد رفت.

منظور از مدیریت ریسک چیست؟

مدیریت ریسک به تحلیل بازدهی سرمایه‌گذاری در مقایسه با ریسک آن سرمایه‌گذاری با پذیرش این فرض اشاره می‌کند که همواره انتظار داریم مقادیر بالاتر ریسک با بازدهی‌های بالاتر همراه باشند. به‌عنوان مثال سرمایه‌گذاری در یک صندوق سهامی در مقایسه با صندوق درآمد ثابت بازدهی بالاتری دارد؛ اما همواره باید در نظر داشت ریسک صندوق سهامی با توجه به نحوه تخصیص دارایی‌های مالی آن، بالاتر است.

برای انجام این تحلیل چند روش آماری در اختیار داریم که عموم آن‌ها از طریق بررسی ریسک و میزان نوسانات قیمتی سرمایه‌گذاری مورد نظر در گذشته عمل می‌کنند. از جمله مهم‌ترین این موارد می‌توان به ضرایب آلفا و بتا و استفاده از انحراف معیار اشاره کرد.

مدیریت ریسک در برابر کاهش ریسک

یکی از مهم‌ترین نکاتی که باید درباره این موضوع مفهوم مدیریت ریسک در نظر داشته باشید، تفاوت مفهوم مدیریت و کاهش ریسک است. منظور از کاهش ریسک استفاده از روش‌هایی در سرمایه‌گذاری است که به آن کمک می‌کند؛ اما مدیریت ریسک به تحلیل میزان ریسک سرمایه‌گذاری اشاره دارد.

برای کسب موفقیت در سرمایه‌گذاری لازم است پیش از آغاز، میزان ریسکی را که قادر به تحمل آن هستید مشخص کنید. برای این‌کار، کافی است به پرسش‌هایی از قبیل هدف سرمایه‌گذاری و مدت زمانی که به سرمایه خود نیاز مفهوم مدیریت ریسک ندارید پاسخ دهید. به‌عنوان مثال سرمایه‌گذاری‌‌های پرریسک مانند سرمایه‌گذاری در صندوق سهامی برای افرادی با اهداف سرمایه‌گذاری بلندمدت مناسب است. علاوه بر این همواره می‌توانید از طریق تست‌های سنجش ریسک آنلاین برای مشخص کردن میزان ریسک‌پذیری خود استفاده کنید.

با چه روش‌هایی می‌توان ریسک سرمایه‌گذاری را کاهش داد؟

برای کاهش ریسک سرمایه‌گذاری روش‌های زیاد وجود دارد که می‌توان آن‌ها را در چند دسته کلی جای داد.

الف) استفاده از خدمات مدیریت دارایی

ارائه صندوق‌های سرمایه‌گذاری مشترک مانند صندوق سهامی و صندوق درآمد ثابت از مهم‌ترین خدماتی است که شرکت‌های سبدگردان ارائه می‌کنند. سرمایه‌گذاری در این گروه از صندوق‌ها با توجه به مدیریت حرفه‌ای آن‌ها تا حد قابل‌توجهی ریسک سرمایه‌گذاری را کاهش می‌دهد. در واقع زمانی که افراد تازه‌کار اقدام به سرمایه‌گذاری به شیوه مستقیم می‌کنند، به احتمال زیاد به‌علت دانش اندک یا تحت تاثیر عوامل روانشناختی موثر بر رفتار سرمایه‌گذاران، دچار اشتباه شده، متحمل زیان‌های سنگین و بعضا غیرقابل جبران شوند؛ اما اگر فردی که قصد ورود به بازار سرمایه را دارد، به‌جای اینکه از ابتدا خودش مسئولیت خرید و فروش سهام را به‌عهده بگیرد، اقدام به خرید واحدهای یکی از صندوق‌های سرمایه‌گذاری مشترک کند، می‌تواند ریسک سرمایه‌گذاری خود را تا حد قابل توجهی کاهش دهد.

فراموش نکنید پیش از انتخاب یک صندوق سرمایه‌گذاری باید از میزان ریسک‌پذیری خود آگاه باشید. به‌عنوان مثال صندوق اول اکسیر فارابی، یک صندوق سهامی است و برای سرمایه‌گذاران ریسک‌پذیر مناسب است. در مفهوم مدیریت ریسک مقابل صندوق دوم اکسیر فارابی به‌عنوان یک صندوق درآمد ثابت، گزینه‌ای مناسب برای افراد محتاط است.

ب) دریافت مشاوره از افراد متخصص

مشاوره بورس می‌تواند برای افرادی که تصویر روشنی از سرمایه‌گذاری و روش‌های مختلف آن ندارند، بسیار راهگشا باشد. زمانی که پیش از انتخاب نهایی روش سرمایه‌گذاری خود با کارشناسان متخصص صحبت کنید، می‌توانید با دیدی بازتر و البته با آگاهی بیشتر در مسیر سرمایه‌گذاری پیش بروید.

ج) شرکت در دوره‌های مرتبط با آموزش بورس

آموزش بورس از طریق افزایش دانش و آگاهی افراد می‌‌تواند باعث شود سرمایه‌گذاران انتخاب‌های منطقی‌تری داشته باشند. همان‌طور که در قسمت‌های قبل مقاله نیز اشاره شد، از مهم‌ترین علل زیان‌های سنگینی که سرمایه‌گذاران تازه‌کار تجربه می‌کنند، کمبود دانشی است که می‌تواند نهایتا منجر به ریسک‌های حساب نشده شود.

جمع‌بندی

در این مقاله ضمن بررسی تفاوت مفهوم مدیریت و کاهش ریسک، آموزش بورس، دریافت مشاوره بورس و البته سرمایه‌گذاری در صندوق‌های سرمایه‌گذاری مشترک را به عنوان روش‌هایی برای کاهش ریسک سرمایه‌گذاری در بورس معرفی کردیم. فراموش نکنید افزایش دانش و آگاهی می‌تواند همواره در جهت مدیریت و کاهش ریسک و البته کسب سود در بازار موثر باشد.

محاسبات اکچوئری و بیمه

ارائه مطالب تخصصی در حوزه اکچوئری، آمار، بیمه و مالی

مروری بر ابزارهای کاربردی در مدیریت ریسک: الزامات و کارکردها

امروزه با افزایش روز افزون ریسک‌ها و زیان‌های مالی و لزوم تبعیت از مقررات، باعث افزایش توجه سازمان‌ها و نهادهای مختلف به مفهوم مدیریت ریسک سازمان شده است. افزایش پیچیدگی ریسک‌ها، رقابت میان سازمان‌ها و توجه به ریسک‌ به عنوان فرصت نیز، از عوامل موثر در توسعه مدیریت ریسک سازمان بوده‌اند. مدیریت ریسک سازمان، رویکردی ساختار یافته و نظامند در هماهنگ‌سازی استراتژی‌ها، مفهوم مدیریت ریسک فرآیندها، افراد، فن‌آوری و دانش با هدف ارزیابی و مدیریت ریسک‌های سازمان است. ابزارهای بسیاری در مدیریت ابداع شده است که هر یک می‌تواند گره‌ای را بگشاید. برخی از آنها در جمع‌آوری اطلاعات موثرند (مانند طوفان ذهنی) مفهوم مدیریت ریسک و برخی ابزارها در نظم‌دادن به ذهن به منظور اطمینان از بررسی جامع و مانع موضوع. افرادی که در حوزه مدیریت ریسک در حال فعالیت هستند ممکن است با برخی از این ابزارها آشنا باشند، اما با کاربرد شمار بسیاری از آنها ناآشنا باشند. مقاله پیش رو تلاشی برای دسته‌بندی ابزارهای ساده اما موثر در حوزه مدیریت ریسک که منطبق با فرآیند مدیریت ریسک است. بدین منظور ابتدا مراحل مدیریت ریسک مورد بررسی قرار گرفته، سپس ابزارهای مناسبی برای هر یک پیشنهاد می‌گردد.

واژگان کلیدی: مدیریت ریسک سازمان، ریسک، کنترل داخلی، ابزارهای مدیریت ریسک

این مقاله قصد داشت تا با معرفی ابزارهای ساده و متداول به مدیران و کارشناسان ریسک در سازمانهای ایرانی، به ایشان متناسب با هر بخش از فرایند مدیریت ریسک برای انتخاب ابزار مناسب کمک نماید.

ریسک، همواره بخش جدایی ناپذیر از فعالیت‌های سازمان‌ها در تمام حوزه‌ها و صنایع بوده است؛ به طوری که، امروزه مدیریت ریسک به یکی از فعالیت‌های معمول سازمان‌ها تبدیل شده است. در واقع، مدیریت ریسک یکی از مهمترین جنبه‌های حاکمیت شرکت به شمار می‌رود. در مدیریت ریسک اتخاذ رویکردی یکپارچه و کل‌نگر با هدف در نظر گرفتن تمام ریسک‌های سازمان ضروری است. در این رویکرد توجه ویژه‌ای به یکپارچه‌سازی اقدامات مدیریت ریسک در تمام برنامه‌ریزی‌های سازمان می‌شود.

بر این اساس، مدیریت ریسک سازمان رویکردی کل‌نگر است که در آن به شناسایی، ارزیابی و نظارت و بهبود مستمر مدیریت ریسک در سطح سازمان پرداخته می‌شود و از این طریق استراتژی­ها و برنامه­های کسب­و­کار تقویت می‌شوند. اجرای اثربخش مدیریت ریسک سازمان، منجر به اتخاذ تصمیم‌گیری‌های آگاهانه‌تری در مورد اهداف راهبردی و عملیاتی می‌شود. همچنین، در مدیریت ریسک سازمان، ریسک نه تنها به عنوان خطر، بلکه به عنوان فرصت نیز در نظر گرفته می‌شود.

اتخاذ مدیریت ریسک توسط سازمان در وحله اول نیازمند مشارکت مستمر هیئت مدیره، مدیر عامل و مدیران ارشد است. علاوه بر این لازم است فرهنگ سازمان بر اساس مفاهیم ریسک و مدیریت ریسک تعدیل شود و آموزش‌هایی در این زمینه برای همه افراد در سطوح مختلف سازمان فراهم شود.

مراحل اصلی فرآیند مدیریت ریسک، شامل تعیین محدوده مدیریت ریسک، ارزیابی ریسک، درمان ریسک، نظارت و بازنگری و مراوده و مشاوره در تمامی متون مدیریت ریسک تقریبا یکسان هستند و در سال‌های اخیر نیز، تلاش‌های زیادی برای استانداردسازی فعالیت‌های مدیریت ریسک صورت گرفته است اما هر سازمان‌ باید از ابزاری متناسب با رویکرد، اندازه، منابع و ماهیت خود استفاده نماید به منظور اجرای اثربخش‌ هر مرحله از فرآیند، باید اطلاعات، روش‌ها موردنیاز و محدودیت‌های موجود در هر یک از این مراحل شناسایی و اقدامات مناسب و به‌هنگامی اتخاذ شوند. در نهایت برای ارتقاء و تضمین اثربخشی فرآیند مدیریت ریسک، بهبود مستمر آن در تمام بخش‌های سازمان ضروری است. در واقع، مدیریت ریسک سازمان، سفری پایان‌ناپذیر است که رمز موفقیت آن بهبود مستمر است.