مدیریت ریسک مالی چیست؟ تعریف، تحلیل و رویکردها
مدیریت ریسک مالی، با استفاده از ابزارهای مالی کارآمد، طراحی و اجرا می شود تا شرکت را از ریسک های مختلف مالی محافظت نماید. به دلیل وجود تقاضایزیاد در این زمینه، مدیریت ریسک مالی اکنون به عنوان یک رشته مجزا تدریس می شود و دروس آن شامل مدیریت ارتباط بین جنبه های داخلی موسسات مالی و عوامل خارجی است که بر سرمایه گذاری تاثیر می گذارد.
تعریف مدیریت ریسک مالی
مدیریت ریسک مالی به فرآیند پیشرفت تدریجی و دائمی ارزش مالی قابل قبول در هر سازمان اشاره دارد. ابزارهای مالی معمولا برای کمک به تیم مدیریت به منظور مدیریت افشای ریسک، به ویژه ریسک اعتباری و ریسک بازار، مورد استفاده قرار می گیرند. سایر ریسک ها عبارتند از ریسک سهام، ریسک تأمین کننده، ریسک مشتری، ریسک شرکا، ریسک مالی، ریسک نقدینگی و ریسک های مربوط به نرخ بهره، نرخ ارز و تبدیل و قیمت کالاها. الگوریتم مدیریت ریسک مالی شبیه به مدیریت ریسک عمومی است. فرآیند مدیریت ریسک مالی عموما به سه مرحله تقسیم می شود: شناسایی منابع ریسک، ارزیابی آن و تدوین طرح های مربوطه. هر دو رویکرد کمی و کیفی، در مدیریت ریسک مالی قابل اجرا و امکان پذیر است و استفاده از هر یک از این روش ها به نوع ریسکی که تیم مدیریت با آن مواجه است، بستگی دارد. هدف مدیریت ریسک مالی به عنوان یک شاخه خاص از مدیریت ریسک، کمک به اولویت بندی ابزارهای مالی و استفاده از آنها برای مدیریت ریسک های پر هزینه است. وابستگی متقابل بین ریسک باعث خطرناک تر شدن آنها می شود و شرکت یا مبلغ سرمایه گذاری شده، در معرض آسیب پذیری بیشتری قرار می گیرند. به عنوان مثال، نرخ ارز (تبدیل) و نرخ بهره به شدت به یکدیگر وابسته هستند. بنابراین وابستگی آنها باید در هنگام تدوین چارچوب مدیریت ریسک مالی مورد توجه قرار گیرد. مدیریت ریسک مالی، با استفاده از ابزارهای مالی کارآمد، طراحی و اجرا می شود تا شرکت را از ریسک های مختلف مالی محافظت نماید. به دلیل وجود تقاضای زیاد در این زمینه، مدیریت ریسک مالی اکنون به عنوان یک رشته مجزا تدریس می شود و دروس آن شامل مدیریت ارتباط بین جنبه های داخلی موسسات مالی و عوامل خارجی است که بر سرمایه گذاری تاثیر می گذارد. همچنین بازارهای مالی مدرن را نیز شامل می شود. مدیریت ریسک مالی، درک و شناخت خوبی را برای پایه ریزی تکنیک های مدرن مدیریت ریسک ارائه می دهد.
مطالب مرتبط:
تجزیه و تحلیل مدیریت ریسک مالی
فرض کنید یک شرکت یا یک تیم مدیریت مالی قصد دارد، میزان شدت و انواع ریسک های احتمالی را محاسبه کند. برای این کار، تیم باید وضعیت کامل را تجزیه و تحلیل کند و با استفاده از تکنیک، رویکرد یا روشی که بیشتر از سایر روش ها قابل اجرا است، مانع روی دادن ریسک و یا به حداقل رساندن آثار آن شود. در اینجا ما روش ها و رویکردهای مدیریت ریسک مالی را با ذکر چند مثال توضیح خواهیم داد:
روش های انجام تجزیه و تحلیل مدیریت ریسک مالی
ارزش در معرض ریسک (VAR): یکی از مهمترین روش ها یا اقدامات برای مدیریت ریسک مالی، تحلیل VAR است. ارزش در معرض ریسک، بر مبنای میزان خسارات احتمالی، احتمال شدت صدمات و آسیب ها و مدت زمان محاسبه می شود. تصور کنید یک پروژه فرضی توسط یک شرکت مالی انجام می شود که ارزش در معرض ریسک آن در طی یک ماه، برابر با 7 و کل سرمایه آن 20 هزار روپیه هند است. این بدان معنی است که در هر ماه از طول عمر پروژه، 7 درصد احتمال از دست دادن 20 هزار روپیه وجود دارد. مثال دیگر، سرمایه گذاری معمولی یک شرکت یا یک فرد است. اگر معیار اندازه گیری VAR، 10 هزار روپیه و سطح اطمینان، 38 درصد اطمینان در طول دوره 29 روزه و بدون سرمایه گذاری یا فروش تا روز 29ام باشد، آنوقت 38 درصد احتمال دارد که سرمایه گذار، مبلغ 10 هزار روپیه را در یک ماه از دست دهد. ارزش در معرض ریسک، یک مقدار تقریبی برای احتمال زیان مالی یا از دست دادن سرمایه است. ضررهای واقعی ممکن است بیشتر یا کمتر از ارزش تخمین زده شده باشد.
تحلیل انواع ریسک و مدل های ریسک رگرسیون: یکی دیگر از روش ها یا رویکردهای مدیریت ریسک مالی، تحلیل رگرسیون است. این تحلیل برای برای مطالعه آثار و پیامدهای حاصل از قرارگیری یک متغیر در معرض هر نوع تغییر است. مثلا این تحلیل، نشان می دهد که چه مقدار تغییرات نقدینگی در هنگام مواجهه با افزایش یا کاهش نرخ بهره رخ خواهد داد.
تجزیه و تحلیل سناریو: تجزیه و تحلیل سناریو یکی دیگر از روش های قدرتمند مدیریت ریسک مالی است. حتی گاهی اوقات به عنوان یکی از تکنیک های مدیریت ریسک مالی به شمار می آید. همچنین با نام های آزمون فشار، آزمون ه حساسیت یا تجزیه و تحلیل "چه خواهد شد اگر (what if)؟" نیز شناخته می شود. در این روش، مدیران و تیم های مالی به بحث و تهیه چند سناریوی فرضی و در عین حال مرتبط به موضوع می پردازند و سوالی که مطرح می کنند این است: که اگر این وضعیت رخ دهد، چه خواهد شد؟ سایر سوالات عبارتند از: اگر بازار سهام 48 درصد سقوط کند، چه خواهد شد؟ اگر بانک مرکزی نرخ بهره را 29 درصد افزایش دهد، چه خواهد شد؟ اگر نرخ ارز 30 درصد کاهش یا 29 درصد افزایش یابد، چه خواهد شد؟ اگر یک مشتری مهم را از دست دهیم، چه خواهد شد؟ پس از ارزیابی، نتایج تحلیل های سناریو فرضی با در نظر گرفتن افشای ریسک بر مبنای محاسبات، به یک مقدار کمی تبدیل می شوند که نشان دهنده مبلغ زیان ناشی از ریسک است. سپس بیشترین مبلغ پیش بینی شده برای زیان، به عنوان بدترین سناریو مورد بررسی قرار می گیرد.
معرفی متدولوژی های ارزیابی ریسک امنیت اطلاعات
موضوع ارزیابی ریسک امنیت اطلاعات به عنوان یکی از مهمترین فرآیندهای پیاده سازی استانداردهای GRC و به ویژه ISMS، همواره مورد توجه قرار گرفته است. در این بین بکارگیری و انتخاب یک روش و متدولوژی مناسب و درخور سازمان که بتواند با صرف کمترین زمان و انرژی، به خوبی آسیب پذیری ها و تهدیدات سازمان را تحلیل و شناسایی نماید، همواره به عنوان یکی از اصلی ترین چالش های مدیران و راهبران امنیت اطلاعات بوده است. در این مقاله سعی داریم تا با معرفی شاخص ترین متدهای ارزیابی ریسک، شما را در انتخاب یک روش مناسب یاری نماییم.
هر کدام از دارایی های سازمان آسیب پذیری مخصوص به خود را دارد که منجر به یک تهدید خواهد شد و باید کلیه ضعفهای امنیتی موجود که ممکن است توسط یک مبدأ تهدید مورداستفاده قرارگرفته و سپس منجر به ضربه به داراییها و مختل نمودن فعالیت دارایی اطلاعاتی مربوطه گردد، شناسایی شود. بهطورکلی آسیبپذیریهای شناساییشده به سه دسته تقسیم بندی می شنود که عبارتند از آسیبپذیریهای فرآیندی و مدیریتی، فیزیکی و محیطی، فنی.
به همین دلیل در پیاده سازی استاندارد ISO27001 باید ریسک مربوط به دارایی ها محاسبه شود و تا حد امکان مقدار آن کاهش پیدا کند اما روش های متفاوتی برای محاسبه ریسک های دارایی های اطلاعاتی وجود دارد که بسته به نوع سازمان از آنها استفاده می شود که در این مقاله متدولوژِی های ارزیابی ریسک را معرفی خواهیم کرد که عبارتند از:
CRAMM
این روش با نام CRAMM (CCTA Risk Analysis and Management Method) شناخته شده و به عنوان یک روش کیفی مطرح است. این متد ارزیابی برای اولین بار در سال 1985 توسط CCTA برای برطرف کردن نیازهای امنیت اطلاعات ارائه گردید که در سازمان های کشور انگلستان استفاده شده است آخرین نسخه این متد ارزیابی 5 بوده که در سال 2003 به روز رسانی شده است. اولین نسخه این روش ارزیابی ریسک براساس بهترین روش های سازمانی کشور انگلستان طراحی شده که برای سازمان های بزرگ مانند ارگان های دولتی مناسب است.
ابزاری با نام CRAMM هم موجود است که از این روش پشتیبانی می کند و باید به این نکته اشاره کرد که بدون این ابزار پیاده سازی این روش بسیار دشوار است.
مراحل این روش ارزیابی عبارتند است :
- Risk identification: شناسایی ریسک (شناسایی و ارزیابی دارایی ها)
- Risk analysis: تجزیه و تحلیل ریسک (شناسایی تهدیدات و آسیب پذیری ها ، محاسبه ریسک)
- Risk evaluation: ارزیابی ریسک (شناسایی و اولویت بندی اقدام متقابل)
در مرحله اول دارایی های اطلاعاتی شناسایی می شوند که به سه دسته زیر تقسیم بندی شده اند:
- Data
- Application software
- Physical assets
ارزیاب ریسک باید از طریق مصاحبه با مالکان دارایی ارزش گذاری دارایی ها را انجام دهد که از طریق اثر فقدان محرمانگی، یکپارچگی و در دسترس بودن بر روی هر یک از دارایی ها به دست می آید. مصاحبه شوندگان باید بدترین حالت را در نظر گرفته و عواقب احتمالی در دسترس نبودن، تخریب و افشاء دارایی های اطلاعاتی را در نظر بگیرند. لازم به ذکر است نرم افزار کاربردی و دارایی های فیزیکی از طریق مصاحبه با پرسنل پشتیبانی و یا مدیر فناوری اطلاعات به راحتی ارزیابی می شوند.
در CRAMM دو روش برای ارزیابی آسیب پذیری ها و تهدید ها وجود دارد که عبارتند از Full و Rapid
در روش ارزیابی Full تهدیدها و آسیب پذیری ها با پرسش از پرسنل شناسایی می شوند و میزان تهدید برای هر یک از دارایی ها در پنج مقیاس Very Low, Low, Medium, High, Very High و میزان آسیب پذیری در سه سطح Low, Medium, High محاسبه می شوند.
در روش ارزیابی ریسک Rapid مقیاس تهدید ها و آسیب پذیری ها به صورت زیر است:
- Very low: انتظار می رود هر تهدید به طور متوسط هر 10 سال یک بار اتفاق افتد.
- Medium : انتظار می رود با احتمال 33 تا 66 درصد در بدترین حالت اتفاق افتد.
روش ارزیابی ریسک CRAMM ریسک های مربوط به هر گروه دارایی در برابر تهدید های که نسبت به آنها آسیب پذیر هست را در مقیاس 1 تا 7 محاسبه می کند که این عمل با استفاده از یک ماتریس ریسک از پیش تعریف شده انجام می شود. که در این مقیاس عدد 1 نشان دهنده سطح پایین از نیاز امنیتی و عدد 7 سطح بالایی از نیاز امنیتی را نشان می دهد.
در روش CRAMM پیشنهاد شده است که ارزیابی ریسک هر 1 سال یک بار با توجه به تغییراتی که در سیستم ها به وجود می آید انجام شود به دلیل اینکه ممکن است آسیب پذیری و تهدید ها تغییر پیدا کنند. جدول ماتریس ریسک در زیر نمایش داده شده است.
ISO/IEC 27005
استاندارد ISO/IEC 27005 یک دستورالعمل مدیریت ریسک امنیت اطلاعات است که قابل استفاده برای تمام سازمانها می باشد. در این استاندارد، ارزیابی ریسک به سه قسمت identification و Estimation و Evaluation تقسیم بندی می شود
این استاندارد یک رویکرد تعاملی برای ارزیابی ریسک دارد که هدف آن کاهش ریسک های امنیتی به همراه کنترل های مناسب می باشد. استاندارد ISO/IEC27005 چرخه PDCA را که عبارت است از Plan-Do-Check-Act پیشنهاد می دهد.
آنالیز ریسک در استاندارد ISO/IEC27005 از مجموع شناسایی ریسک به همراه برآورد ریسک حاصل می شود که در فرمول زیر نمایش داده شده است.
Risk Analysis=Risk identification + Risk estimation
برای Risk identification باید دارایی ها، آسیب پذیری ها، تهدیدها، کنترل های موجود وعواقب شناسایی شوند که در زیر به آنها اشاره شده است:
- Identification of Assets: دارایی های محدوده سیستم مدیریت امنیت اطلاعات باید شناسایی شوند.
- Identification of vulnerabilities: آسیب پذیری های مربوط به دارایی های اطلاعاتی و فرآیند های سازمانی باید شناسایی شوند.
- Identification of Threats: با توجه به آسیب پذیری های شناسایی شده و مرور حوادث اتفاق افتاده در سازمان باید تهدید های داخلی و خارجی شناسایی شود.
- Identification of exiting controls: کنترل های موجود در سازمان باید چک شوند که در برابر تهدید ها به درستی کار می کنند.
- Identification of consequences: در این قسمت باید تاثیر از دست دادن دارایی ها شناسایی شود.
برآورد ریسک(Risk Estimation) میزان ریسک را تعیین می کند که از دو معیار کیفی (Qualitative) و کمی (Quantitate) استفاده می کند.
نکته ای که باید به آن اشاره کرد این است که پیامدهای ریسک باید در این قسمت مورد توجه قرار گیرد که می تواند شامل پروسه های دارایی ها و کسب و کار، تهدید ها و آسیب پذیری ها، سناریو های رخداد ها (Incident) باشد همچنین تأثیر تجاری ناشی از حادثه امنیت اطلاعات نیز باید ارزیابی شود.
تخمین ریسک شامل موارد زیر می شود:
- سناریو های رخداد ها (Incident) و پیامد های آنها.
- احتمال رخداد ها (Qualitative or Quantitate).
- برآورد ریسک برای همه سناریو های رخداد ها (Incident) انجام می شود.
- لیست ریسک ها به همراه سطح ارزش آنها ایجاد می شود.
در مرحله آخر در این استاندارد مقایسه و اولویت بندی سطح ریسک بر اساس معیارهای ارزیابی ریسک و معیارهای پذیرش ریسک انجام می شود.
EBIOS
روش ارزیابی ریسک EBIOS توسط آژانس امنیت سایبری فرانسه ANSSI با حمایت Club EBIOS منتشر شد. در این روش جعبه ابزاری ارائه شده است که می تواند با انواع پروژه ها سازگار باشد از نظر مدیریت ریسک و امنیت سایبری با استانداردهای مرجع موجود سازگار است. در روش EBIOS ریسک های امنیتی ارزیابی شده و اقدامات امنیتی برای کاهش و مقابله با آنها ارائه می شود. همچنین اعتبار سنجی میزان ریسک قابل قبول و رویکرد بهبود مستمر آنها در این روش امکان پذیر است.
روش EBIOS برای اهداف مختلفی می تواند استفاده شود.
- تنظیم و تقویت روند مدیریت ریسک دیجیتال در یک سازمان
- ارزیابی و برطرف کردن ریسک های مربوط به یک پروژه دیجیتال، با هدف اعتبار بخشی امنیتی
- سطح امنیتی قابل دستیابی را برای یک محصول یا خدمات با توجه به موارد استفاده از آن محصول و خطرات قابل مقابله، از منظر صدور گواهینامه یا اعتبار سنجی، تعریف می کند
روش EBIOS در پنج Workshop انجام می شود که در شکل زیر نمایش داده شده است.
با توجه به شکل بالا مراحل هر کدام از Workshop ها تشریح می شوند:
Workshop1(Scope and security baseline)
این قسمت شامل موارد زیر می شود:
- شناسایی اهداف تعیین شده
- شناسایی ماموریت های سازمان
- تعیین دارایی های تجاری
- دارایی های حمایتی(supporting assets) مربوط به اهداف تعیین شده
Workshop2 (Risk origins)
در این قسمت risk origins (RO) یا ریشه های ریسک و اهداف سطح بالای آن که target objectives (TO) نامیده می شود شناسایی می شوند که نتایج به دست آمده از این قسمت به صورت نقشه risk origins (RO) رسمی می شود.
Wokshop3 (Strategic scenarios)
در این قسمت یک دید واضح به دست خواهد آمد و نقشه ای از تهدید دیجیتال با توجه به اهداف تعیین شده تهیه خواهد شد. این قسمت این امکان را به سازمان می دهد تا سناریو های سطح بالا با نام strategic scenarios را به وجود آورند که در واقع آنها نمایانگر مسیرهای حمله ای هستند که منشا ریسک برای رسیدن به هدف خود طی می کند. این سناریو ها در مقیاس اکوسیستم و دارایی های تجاری هدف تعیین شده طراحی شده اند و از نظر شدت ارزیابی می شوند. در پایان سازمان می تواند اقدامات امنیتی را در اکوسیستم تعریف کند
Workshop4 (Operational scenarios)
هدف از این قسمت ساخت سناریو های فنی مانند تست نفوذ است که توسط منشاء ریسک برای انجام سناریو های استراتژیک استفاده می شود. این قسمت رویکرد مشابهی مانند قسمت قبل دارد با این تفاوت که بر دارایی حمایتی مهم (critical supporting assets) تمرکز دارد. در این قسمت احتمال سناریو های عملیاتی به دست آمده ارزیابی می شود.
Workshop5 (Risk treatment)
آخرین قسمت خلاصه ای از تمام ریسک های مورد مطالعه و ریسک های باقی مانده به منظور تعریف استراتژی درمان ریسک ایجاد و تعریف می شود که نتیجه آن یک برنامه امنیتی برای کاهش ریسک ها و بهبود مستمر آن است.
ارتباط بین Workshop ها در شکل زیر نمایان است
OCTAVE
OCTAVE یک روش ارزیابی ریسک برای شناسایی، مدیریت و ارزیابی خطرات امنیت اطلاعات است. روش OCTAVE در وهله اول به سمت افرادی هدایت می شود که مسئولیت مدیریت ریسک های عملیاتی سازمان را بر عهده دارند که این افراد در واحد های زیر قرار دارند:
- واحد های تجاری یک سازمان
- واحد امنیت اطلاعات
- مدیران ریسک
- واحد فناوری اطلاعات
- کلیه کارکنان شرکت کننده در فعالیت ارزیابی ریسک
نقشه راه روش OCTAVE در شکل زیر نشان داده شده است
در این قسمت معیار های اندازه گیری ریسک مطابق با organizational drivers یا محرک های سازمانی تعیین می شوند. این محرک ها برای ارزیابی اثرات ریسک بر روی ماموریت و اهداف سازمان استفاده می شوند.
در این قسمت پروفایل دارایی های اطلاعاتی ایجاد می شود که پس از شناسایی و ایجاد پروفایل ها، پروفایل هر دارایی در یک worksheet ثبت می شود. پروفایل یک دارایی اطلاعاتی، کیفیت و ویژگی ها و ارزش منحصر به فرد آن دارایی را نشان می دهد.
در این قسمت تهدیدات موجود برای دارایی اطلاعات از طریق یك فرآیند ساختار یافته شناسایی و مستند می شود به عبارت دیگر در این قسمت سناریو های تهدید که ممکن است برای سازمان در دنیای واقعی اتفاق افتد شناسایی می شوند.
IDENTIFY AND MITIGATE RISKS
آخرین مرحله ارزیابی ریسک است که بر اساس اطلاعات مربوط به تهدید های شناسایی شده، ریسک ها شناسایی و مورد تجزیه و تحلیل قرار می گیرند. در این قسمت ریسک های امنیتی با استفاده از تهدید های که در مرحله قبل شناسایی شده است ارزیابی و تجزیه و تحلیل می شوند.
CISRAM
محتوای اصلی این روش ارزیابی توسط HALOCK Security Labs ایجاد شده است که حاصل تجربه HALOCK در زمینه کمک های امنیت سایبری به مشتریان و نهاد های قانونی است.
CISRAM مخفف عبارت Center for Internet Security Risk Assessment Method Express می باشد که هدف آن کمک به سازمان ها برای انطباق فعالیت های خود با کنترل های CIS7.1 است تا بتوانند این کنترل ها را به صورت جزئی یا کامل پیاده سازی کنند لازم به ذکر است CIS 8 به زودی منتشر خواهد شد.
CISRAM با استاندارد های ارزیابی ریسک مانند ISO 27005 , NIST Special Publications 800-30, RISK IT انطباق دارد و آنها را تکمیل می کند
CISRAM با استفاده از CIS Control V7.1 چارچوبی را برای ارزیابی ریسک امنیت اطلاعات فراهم می کند، از جمله راهنمایی مفید برای تعیین معیارهای تجزیه و تحلیل ریسک و پذیرش ریسک.
این روش ارزیابی از DOCRA که خلاصه عبارت Duty of Care Risk Analysis Standard می باشد به عنوان پایه و اساس خود استفاده می کند که در واقع به مراقبت از اجرای کنترل ها اشاره دارد.
فرآیند ارزیابی ریسک CIARAM به شرح زیر است:
Developing the Risk Assessment Criteria and Risk Acceptance Criteria
در این قسمت معیارهای ارزیابی و پذیرش ریسک تعیین و تعریف می شود
Modeling the Risks
در این قسمت ارزیابی و پیاده سازی کنترل های موجود CIS که تهدید های قابل پیش بینی را شناسایی و از وقوع آنها جلوگیری می کند.
Evaluating the Risks
در این مرحله احتمال و تاثیر نقض امنیت برای رسیدن به سطح ریسک تخمین زده می شود و سپس تعیین می شود که ریسک های شناسایی شده قابل قبول هستند یا خیر؟
در این قسمت کنترل های CIS پیشنهاد می شنود که می تواند ریسک ها را کاهش دهد
Evaluating Recommended Safeguards
در این قسمت ریسک های مربوط به کنترل های پیشنهادی بررسی می شود تا از تهدید های که ممکن است سازمان را درگیر کند اطمینان حاصل شود.
CISRAM با استفاده از فرمول زیر ریسک را ارزیابی می کند
Risk = Impact x Likelihood
اثر ریسک یا Impact به صورت جدول زیر انتخاب می شود
در این مرحله باید اثر هر یک از سناریوهای ریسک بر روی سه المان مأموریت سازمان، اهداف سازمان و تعهدات سرویس بین سطح 1 تا 5 انتخاب شود.
احتمال هم بر اساس جدول زیر تعریف می شود
در این مرحله سازمان ها می توانند پایه پذیرش ریسک را تعیین کنند که عدد 9 برای ریسک پذیرفته شده در نظر گرفته می شود.
مدل ارزیابی ریسک در CISRAM به صورت زیر است
ارزیابی Safeguard برای ریسک به صورت زیر انجام می شود.
مدل CISRAM یک مدل بسیار کارآمد برای ارزیابی ریسک در سازمان ها به حساب می آید که تمام آسیب پذیری های فنی را پوشش می دهد و یکی از مزیت های این روش Safeguard Risk می باشد که ریسک های موجود در روش مقابله با ریسک را بررسی می کند به عبارتی دیگر در یک سازمان روشی برای کاهش ریسک پیشنهاد شده است که با استفاده از Safeguard Risk ریسک پیاده سازی روش پیشنهادی بررسی شده و در صورت امکان اجازه پیاده سازی آن داده می شود.
نتیجه گیری
در این مقاله روش های ارزیابی ریسک معرفی شد که سازمان ها باید با توجه به ساختار داخلی و دارایی های خود یکی از روش ها را برای ارزیابی انتخاب کنند لکن باید به این نکته توجه داشت که روش ISO27005 و CIARAM بسیار پرکاربرد بوده به دلیل اینکه تمام آسیب پذیری های فنی را پوشش می دهند و باید ذکر شود که روش CRAMM قدیمی بوده و سازمان های کمی از آن استفاده می کنند.
حسابداری نوین
یکی از فرآیندهای مهم در حسابرسی تعیین ریسک حسابرسی است.ریسک حسابرسی یعنی آن ریسکی که تحریف با اهمیتی در صورتهای مالی وجود داشته باشد وحسابرس ندانسته نظر خود را از بابت آن تعدیل نکند.
یا بعبارتی احتمال خطر اينکه حسابرس ناآگاهانه نتواند نظر خود را نسبت به صورتهاي مالي که داراي اشتباه با اهميت است اصلاح نمايد.
*انواع ریسک حسابرسی: 1) ریسک نوع آلفا(رد نادرست)،2) ریسک نوع بتا(پذیرش نادرست)
1) ریسک نوع آلفا(رد نادرست):یعنی اینکه صورتهای مالی به نحو منصفانه ومطلوب تهیه شده ولی حسابرس نظرغیرمقبول ارائه می دهد.این ریسک کارایی وصرفه اقتصادی حسابرس را مورد تردید جدی قرار می دهد.
2) ریسک نوع بتا(پذیرش نادرست):یعنی اینکه صورتهای مالی به نحو منصفانه ومطلوب تهیه نشده ولی حسابرس نظرمقبول ارائه می دهد. این ریسک اثر بخشی حسابرس را مورد تردید قرار می دهد.
در طول انجام يک حسابرسي عمليات بايستي بگونهاي برنامهريزي و اجراء شود که ريسک حسابرسي تا ميزاني به حداقل برسد که حسابرسان بنا به قضاوت حرفهاي خود، آن ميزان را براي ابزار اظهارنظر حرفهاي خويش مناسب ببينند. متدلوژي مورد عمل در حسابرسي مبتني بر ريسک نيز در همين جهت مورد اجراء قرار ميگيرد و شامل مراحل زير است :
1) طراحي حسابرسي: در مرحله طراحي مهمترين کارهايي که بايستي صورت بگيرد عبارتست از; آشنائي با فعاليت تجاري صاحبکار و شرايط صنعت، انجام بررسيهاي تحليلي، مستندسازي ارزيابي سيستم حسابداري. ارائه برنامه حسابرسي در جهت تعيين نوع، زمانبندي و ميزان آزمونهائي که بايستي انجام شود، براساس جمعبندي نتايج بدست آمده و در حول سؤالات اصلي کنترل و در هر يک از چرخههاي عملياتي صورت ميپذيرد.
3) اجراي برنامه:اجراي برنامه به معناي بکاربردن يک سري از تکنيکهاي حسابرسي جهت دستيابي به اهداف از پيش تعيين شده (منعکس در برنامه) صورت پذيرفته و در نهايت براساس کل شواهد بدست آمده اظهارنظر نسبت به صورتهاي مالي به شکل يک گزارش حسابرسي صورت ميپذيرد.
* اجزای ریسک حسابرسی :1 ) ریسک ذاتی؛2) ریسک کنترلی؛3) ریسک عدم کشف
1) ریسک ذاتی : هر فعالیت وموضوع آن فی النفسه دارای نوعی ریسک است.موضوع فعالیت شرکتها وماهیت آن به دنبال خود نوعی ریسک دارد.مثلا" فعالیت یک معدن سنگ نمک را با فعالیت یک معدن سنگ طلا را با هم مقایسه کنید،طبیعی است که ماهیت فعالیت یک معدن سنگ طلا دارای ریسک بیشتری است،ماهیت حسابهای یک شرکت نیز چنین وضعیتی دارند.طبیعی است که ریسک اقلامی مانند وجوه نقد و حساب بانک بسیار بالاتر از مواردی مانند زمین،ساختمان وماشین آلات است.بنابرابن ریسک ذاتی را چنین تعریف می کنیم : احتمال خطر تحریف در مانده یک حساب،گروه معاملات مربوط به آن حساب یا گروه حسابهایی که درغیاب کنترلهای داخلی ممکن است رخ دهد.ریسک ذاتی به ترتیب در وجوه نقد،حسابهای برآوردی مانند استهلاک و ذخایر بیشتر از سایر حسابها است. لازم به ذکر است ریسک ذاتی در مرحله برنامه ریزی ارزیابی می شود.
2) ریسک کنترلی : میزان صحت و قابلیت اتکا صورتهای مالی بستگی کامل به کنترلهای داخلی مستقر در واحد اقتصادی دارد.هر چه کنترلها موثرتر و قوی تر انواع ریسک و مدل های ریسک باشد،حسابرس نسبت به صورتهای مالی بیشتر اعتماد می کند بالعکس هرچه کنترلها ضعیفتر باشد،ضریب اشتباه بیشتر می شود. .بنابرابن ریسک کنترلی را چنین تعریف می کنیم : احتمال خطر تحریف در مانده یک حساب،گروه معاملات یا گروه حسابها به نحوی که کنترلهای داخلی قادر به کشف آن نباشند.بر همین اساس هر چه کنترلهای داخلی قوی باشد،ریسک کنترلی ضعیف (کم) می باشد وبلعکس هرچه کنترلهای داخلی ضعیف باشد، ریسک کنترلی افزایش می یابد.
3) ریسک عدم کشف :حسابرس ممکن است رسیدگی خود را به گونه ای مناسب وصحیح طراحی نکرده باشد و یا در رعایت و اجرای استانداردها سهل انگاری کرده باشد. بنابراین ریسک عدم کشف را چنین تعریف می کنیم : احتمال اینکه حسابرس با انجام آزمونهای خود موفق به کشف تحریف در مانده حسابها،گروه حسابها یا معاملات نشود.
وبلاگ تخصصی مدیریت بحران و مدیریت ریسک
شناسایی مناطق بحرانی در سیستم ،شناسایی نسبی خطرها و توجه به معیارهای طراحی ایمن است در واقع این روش شناسایی خطرات اولیه میباشد که در آن از تجارب کامل ایمنی موجود استفاده شده و از معایب آن این است که نمیتوان اطمینان حاصل کرد که همه خطرات کشف شده اند.
فهرست مقدماتی خطر Preliminary Hazard List )PHL )
شکل ابتدایی و کاملا تجربی
روش HAZOP
این روش کیفی بوده و برای شناسایی ریسک های بسیار خطرناک به کار میرود و همچنین از تیمی متخصص در همه علوم بهره گرفته میشود.
ارزیابی ریسک زیر سیستم ( SSHA(Sub System Hazard Analysis :
برای شناسایی خطرات ناشی از طراحی سیستم های بزرگ انجام میگردد.
خطاها ،نقص ها و تجهیزات ،نرم افزارها و خطاهای انسانی به صورت جداگانه یا همراه همدیگر بررسی میشوند.
معمولا این روش با توجه به پیچیدگی زیر سیستم توسط سازنده وسیله مذکور صورت میگرد.
ارزیابی ریسک به روش SHA System Hazard Analysis :
این روش وضعیت ایمنی کل سیستم را ارزیابی میکند و خروجی و نتایج روش SSHA را جمع بندی میکند.
این روش در واقع ارتباط زیر سیستم ها را از لحاظ موارد ذیل بررسی مینماید.
ارزیابی ریسک به روش O&SHA :
بر خلاف اغلب روشها این روش با هدف:شناسایی و ارزیابی خطرات محیط ،کارکنان،و روشهای انجام کار و تجهیزات به کار گرفته شده در سراسر عملکرد سیستم را بررسی می نماید.روش O&SHA خطرات ناشی از انجام فعالیت ها یا وظائف افراد را شناسایی ،ثبت و ارزیابی مینماید.
ارزیابی درخت خطا FTA :
در این روش یک وضعیت نامطلوب یا بحرانی در نظر گرفته شده سپس با توجه به محیط و عملکرد سیستم همه راه هایی که میتوانند سبب بروز آن وضعیت ناخواسته و نامطلوب شوند جستجو میگردد.
در واقع درخت خطا یک مدل تصویری از خطا را فراهم میآورد. FTA یک مدل کیفی است که میتوان آنرا به شکل کمی اجرا نمود
ارزیابی خطرات نرم افزار SWHA
این روش خطاهای نرم افزاری را بررسی می نماید شامل:
• خطاهای برنامه نویسان
• خطاهای خصوصیات نادرست نرم افزار ناشی از عدم درک کامل سیستم از عملکرد آن
روش شناسایی کانون خطرات FMEA :
تمرکز بر نقص هایی است که یک وضعیت غیر قابل اعتماد در سیستم را بو جود میآورد(قابلیت اعتماد دارد).
جزء مورد بررسی چگونه میتواند خراب شده و یا از کار بیافتد.
نتایج خرابی در سیستم مذکور چگونه خواهد بود.
غفلت مدیریت و درخت ریسک MORT :
این روش دو مفهوم را موردبررسی قرار میدهد :
نظارت مدیریتی و درخت مخاطرات (مورت) یک روند تحلیلی برای مشخص کردن دلایل و فاکتورهای تاثیرگذار است.. این دستورالعمل به عنوان یک راهنمای عمومی برای استفادهی تحقیقی از مورت است اما هرگز جایگزینی برای آموزش مناسب در مورد تحقیق سوانح نمیباشد. هدف این راهنما ترقیب به استفاده از مورت و ترویج بحث بر روی تحلیل علت ریشهای است.
روش ردیابی انرژی و ارزیابی حفاظها ETBA :
تمرکز بر وجود انرژی در سیستم و موانع موجود برای کنترل انرژی.
صلاح الدین خسروی
کارشناس مدیریت بحران و مدیریت ریسک
حوزه فعالیت : آموزش ، مشاوره ، طراحی و اجرای برنامه های مدیریت بحران و مدیریت ریسک و پدافند غیر عامل *** طراحی و پیاده سازی طرح های : EOC ، ICS ، HEICS ، EOP، ERP ،EMP، DMP ، HDP ،DMIS ، HAZMAT MANAGEMENT
RISK MANAGEMENT & ASSESSMENTبرای سازمانها و بیمارستانها
آماده همکاری با سازمان ها و بیمارستان ها در زمینه مدیریت بحران و مدیریت ریسک و پدافند غیر عامل
[email protected]
آشنایی با اصول و مبانی ریسک: تحلیل ریسک
Last updated 1 اردیبهشت 1399
درسنامه آموزشی آشنایی با اصول و مبانی ریسک
تحلیل ریسک چیست ؟
تجزیه و تحلیل ریسک فرایند ارزیابی احتمال وقوع یک اتفاق منفی در شرکت ها، دولت و یا محیط زیست است. تجزیه و تحلیل ریسک، مطالعه عدم اطمینان اساسی در یک دوره معین از اقدام است و به عدم قطعیت جریان های پیش بینی شده جریان نقدی، واریانس بازده سهام، احتمال موفقیت یا عدم موفقیت یک پروژه و وضعیت های اقتصادی آینده ممکن اشاره دارد. تحلیلگران ریسک اغلب با متخصصان پیش بینی همکاری می کنند تا اثرات منفی پیش بینی نشده آینده را به حداقل برسانند.
درک تحلیل ریسک
یک تحلیلگر ریسک با شناسایی آنچه که ممکن است اشتباه پیش رود، کار خود را شروع می نماید. احتمال وقوع رویدادهای منفی که ممکن است رخ دهند با استفاده از یک معیار احتمالی اندازه گیری می شود. نهایتاً، تجزیه و تحلیل ریسک سعی در تخمین میزان اثر رویداد در صورت وقوع آن را دارد.
تجزیه و تحلیل کمی ریسک
تحلیل ریسک می تواند کمی یا کیفی باشد. در تجزیه و تحلیل کمی ریسک، یک مدل ریسک با استفاده از شبیه سازی یا آمار قطعی ساخته می شود تا مقادیر عددی را به ریسک اختصاص دهد. ورودی هایی که بیشتر فرضیات و متغیرهای تصادفی دارند در یک مدل ریسک وارد می شوند.
برای هر محدوده ورودی مشخص، مدل طیف وسیعی از خروجی یا نتیجه را تولید می کند. این مدل با استفاده از نمودارها، تحلیل سناریو و یا تحلیل حساسیت توسط مدیران ریسک، تجزیه و تحلیل مورد نظر را انجام می دهد تا تصمیم گیری برای کاهش و مقابله با ریسک ها انجام شود.
شبیه سازی یک روش کمی است که نتایج را برای متغیرهای ورودی تصادفی به طور مکرر محاسبه می کند و هر بار با استفاده از یک مجموعه متفاوت از مقادیر ورودی این کار را انجام می دهد. نتیجه حاصل از هر ورودی ثبت و نتیجه نهایی مدل توزیع احتمالاً تمام نتایج ممکن را نشان خواهد داد. نتایج را می توان در نمودار توزیع نشان داد که برخی از گرایش های مرکزی مانند میانگین و میانه را بررسی می کند و متغیر بودن داده ها را از طریق انحراف استاندارد و واریانس ارزیابی می نماید.
نتایج با استفاده از ابزارهای مدیریت ریسک مانند تجزیه و تحلیل سناریو و جداول حساسیت نیز قابل ارزیابی هستند. تجزیه و تحلیل سناریو بهترین، متوسط و بدترین نتیجه هر رویداد را نشان می دهد. تفکیک نتایج متفاوت از بهترین به بدترین حالت، بینشی منطقی را برای مدیریت ریسک فراهم می کند.
تحلیل کیفی ریسک
تجزیه و تحلیل ریسک کیفی روشی تحلیلی است که ریسک ها را با رتبه های عددی و کمی شناسایی و ارزیابی نمی کند. تجزیه و تحلیل کیفی شامل تعریف نوشتاری از عدم قطعیت ها، ارزیابی میزان تأثیر در صورت بروز ریسک و برنامه های اقدامات متقابل در صورت بروز یک اتفاق منفی است.
نمونه هایی از ابزارهای ریسک کیفی شامل انواع ریسک و مدل های ریسک تجزیه و تحلیل SWOT، نمودارهای علت و معلولیت، ماتریس تصمیم گیری، نظریه بازی و غیره است.
تقریباً انواع مشاغل بزرگ به حداقل نوع تحلیل ریسک نیاز دارند. بسیار مهم است که بدانید تجزیه و تحلیل ریسک به متخصصان این امکان را می دهد تا خطرات را شناسایی و احتمال وقوع یا اثر آنها کاهش دهند، اما به طور کامل نمی توانند از وقوع آنها جلوگیری نمایند.
نمونه آنالیز ریسک: ارزش در معرض ریسک (VaR)
ارزش در معرض ریسک (VaR) آماری است که سطح ریسک مالی در یک شرکت را در یک بازه زمانی خاص اندازه گیری و تعیین می کند. این متریک بیشتر توسط بانک های سرمایه گذاری و تجاری مورد استفاده قرار می گیرد تا میزان و نسبت بروز خسارات احتمالی در سبدهای نهادی خود را تعیین کنند. مدیران ریسک از VaR برای اندازه گیری و کنترل میزان قرار گرفتن در معرض خطر استفاده می کنند. می توان محاسبات VaR را در موقعیت های خاص یا کل اوراق بهادار اعمال کرد.
محدودیت های تحلیل ریسک
ریسک یک اقدام احتمالی است و بنابراین هرگز نمی توان به طور قطعی گفت که قرار گرفتن در معرض ریسک دقیق شما در یک زمان معین چیست. علاوه بر آن روش استانداردی برای محاسبه تحلیل ریسک وجود ندارد و حتی VaR هم می تواند چندین روش مختلف برای انجام تحلیل ریسک، داشته باشد. در این روش ها فرض بر این است که خطر با استفاده از احتمال توزیع نرمال رخ می دهد، که در واقعیت به ندرت اتفاق می افتد و نمی تواند وقایع شدید را در نظر بگیرد.
مدیر مجموعه پابلیکا
مشاور بازاریابی و فروش
کارشناس ارشد مهندسی صنایع
دیدگاه شما