بررسی مدیریت ریسک سازمانی
ریسک فناوری و اطلاعات یکی از اجزای کلیدی ریسک کلی سازمان است . این نوع ریسک به عدم قطعیتها و احتمالاتی مرتبط میشود که میتوانند بر توانایی یک سازمان در استفاده موثر و کارآمد از سیستمها، دادهها و فرآیندهای فناوری اطلاعات برای دستیابی به اهداف خود تأثیر بگذارند.
به گزارش برندسازی به نقل از برنا، سید نعمت اله حسینی اصیل دانشجوی دکترای رشته مدیریت تکنولوژی دانشکده مدیریت دانشگاه تهران است که تجربه بیش از ۲۰ سال فعالیت در حوزه فناوری اطلاعات و ارتباطات، مدیریت ریسک، ارزیابی طرحهای اقتصادی و … دارد.
ایشان با سازمانها و مجموعههای به نام و خوش نامی همچون ستاد اجرایی فرمان حضرت امام (ره)، بنیاد برکت، مرکز وکلاء، کارشناسان و مشاوران خانواده قوه قضائیه، بنیاد مستضعفان، مجموعه بانک ملت (شرکت به پرداخت) و … همکاری داشته است.
در شرکتهای مختلف به عنوان عضو هیئت مدیره فعالیت داشته از جمله: نگین گنجینه ایرانیان- تک آوران شرق، لالههای واژگون دنا، مشاوره مدیریت مشیر محاسب و … .
همچنین به عنوان مشاور و عضو کمیته فناوری اطلاعات، امنیت اطلاعات، ریسک و … با سازمانها و بنگاههای اقتصادی خوش نام همکاری دارد.در این نوشتار به کتابهای جدید این نویسنده جوان و پرکار پرداخته و به معرفی آنها می پردازیم.
چارچوب ریسک فناوری اطلاعات
ریسک فناوری و اطلاعات یکی از اجزای کلیدی ریسک کلی سازمان است . این نوع ریسک به عدم قطعیتها و احتمالاتی مرتبط میشود که میتوانند بر توانایی یک سازمان در استفاده موثر و کارآمد از سیستمها، دادهها و فرآیندهای فناوری اطلاعات برای دستیابی به اهداف خود تأثیر بگذارند.
برخی از سازمانها ریسک فناوری و اطلاعات را در ذیل ریسک عملیاتی دسته بندی میکنند. برای مثال در سازمانهای فعال در صنعت مالی، در “چارچوب بازل دو”[۱] اینگونه تعریف شده است. با این حال، همه انواع ریسک- حتی ریسک راهبردی، میتواند شامل عناصر ریسک فناوری و اطلاعات باشد. به ویژه اگر فناوری و اطلاعات هسته ابتکارات جدید کسبوکار را شکل دهد. برای مثال مدیریت ضعیف ریسک سایبری ممکن است منجر به نقض امنیت و یا جریمههای انطباق و در نتیجه کاهش رتبه اعتباری شود.
چارچوب ریسک فناوری اطلاعات، ویرایش دو، ریسک فناوری و اطلاعات را توضیح میدهد و به فعالان امکان میدهد:
شناسایی و رسیدگی به ریسکهای فناوری و اطلاعات به صورت گسترده در سطح سازمانی و نه صرفا در واحد فناوری اطلاعات
یکپارچه سازی مدیریت ریسک سنتی فناوری اطلاعات، امنیت اطلاعات و ریسک سایبری در فرآیندهای کلی مدیریت ریسک سازمانی
تسهیل تصمیمگیری جامع، کلنگر و آگاه به ریسک در سطح شرکت.
هدایت پاسخ ریسک سازمان هر زمان که ریسک فناوری و اطلاعات از سطح تحمل ریسک فراتر رود.
درحالی است که فقدان چارچوب مرجع و زبان مشترک برای تمرکز ذینفعان به سوی مدیریت ریسک یکی چالشهای اساسی هر سازمان و بنگاه اقتصادی است، این کتاب مجموعهای کامل از مطالب را گرد هم آورده است و به طور منطقی آنها را طبقه بندی نموده است تا امکان خوانده خلاصه یا برخورد عمیق با همه دستهبندیهای ریسک را فرآهم آورد. در این کتاب به آخرین موضوعات داغ مدیریت ریسک سازمانی پرداخته شده است. و مروری جامعی از چگونگی و چرایی رویکرد شرکتها به مدیریت ریسک ارائۀ مینماید.
نسخه ۲۰۱۰ این کتاب یک شاهکار در حوزه مدیریت ریسک بود. اولین در نوع خود که به طرز درخشانی چشمانداز مدیریت ریسک را پوشش میدهد و آن را در قالبی بسیار خوانا، قابل فهم و روشنگر خلاصه مینماید. این آخرین ویرایش نشان میدهد که چگونه نویسندگان شاهکار خود را گرفتهاند و آن را به شاهکاری برتر تبدیل کرده اند.
ویرایش جدید این کتاب، توسط فریزر، کویل، و سیمکینز ، یک دستاورد استثنایی توسط استادان واقعی مدیریت ریسک است. این کتاب حاصل مشارکتهای روشنفکر، بسیار خوانا و لذتبخش و عملی متخصصان و دانشگاهیان برجسته است. بیتردید این مجموعه بینظیر و صریح بهعنوان یک مرجع ارزشمند برای مدیران اجرایی، مدیران ریسک و دانشجویان خواهد بود.
مدیریت ریسک تطبیق و تقلب
مدیریت ریسک تطبیق و تقلب برای همه سازمانها، صرف نظر از اندازه یا صنعت آنها، حیاتی است. مدیریت ریسک تطبیق فرآیند شناسایی، ارزیابی و کاهش خطرات مرتبط با عدم رعایت قوانین، مقررات، استانداردهای صنعتی و حرفهای و مسائل اخلاقی توسط سازمان است. و در حوزه مدیریت ریسک تقلب، فعالیت تقلبی در سازمان مورد توجه قرار میگیرد.
این یک رویکرد پیشگیرانه است که به سازمانها کمک میکند تا از مجازاتهای قانونی، زیانهای مالی و آسیب به شهرت خودداری کنند. چارچوب مدیریت ریسک سازمانی کوزو (COSO) یک پایه ارزشمند برای ایجاد یک برنامه مدیریت ریسک تطبیق و تقلب قوی فراهم میکند. البته که الزامات ویژه مدیریت ریسک تطبیق و تقلب بسته به صنعت و شرایط سازمان متفاوت خواهد بود.
چارچوب کوبیت ۲۰۱۹: معرفی و روششناسی
کوبیت ۲۰۱۹، یک چارچوب و روش جامع برای حکمرانی و مدیریت فناوری اطلاعات در یک سازمان است. کوبیت ۲۰۱۹ مجموعهای از شیوهها، فرآیندها و دستورالعملهای برتر را ارائه میکند که به سازمانها کمک میکند فناوری اطلاعات خود را با اهداف کسبوکار خود هماهنگ کنند. چارچوب کوبیت ۲۰۱۹ مشتمل از چهل (۴۰) هدف حکمرانی و مدیریت فناوری اطلاعات است که در چهار (۴) حوزه سازماندهی شدهاست.
روش شناسی کوبیت، مجموعهای از مراحل عملی را برای پیاده سازی و استفاده از چارچوب کوبیت را ارائه میدهد که شامل شناسایی فرآیندهای کوبیت، ارزیابی بلوغ فرآیندی، تجزیه و تحلیل شکاف، اولویتبندی بهبود، ایجاد برنامههای بهبود و نظارت و اندازهگیری می شود.
استفاده از اشتهای ریسک برای پیشرفت در دنیای متغیر
اشتهای ریسک میزان ریسکی است که یک سازمان برای دستیابی به اهداف خود مایل به پذیرش آن است. این جزئی حیاتی از مدیریت ریسک سازمانی است، زیرا به سازمانها کمک میکند تا تصمیمات آگاهانهای در مورد نحوه مدیریت ریسک بگیرند.
کمیته سازمانهای حامی کمیسیون ترد وی،(کوزو -COSO) ریسکپذیری را بهعنوان «میزان و نوع ریسکی که یک سازمان در تعقیب اهدافش مایل به پذیرش آن است» تعریف میکند.
در دنیایی که در حال تغییر است، سازمان ها باید بتوانند به سرعت خود را تطبیق داده و تکامل یابند. این به این معنی است که می توانید ریسک کنید، اما همچنین می توانید آن ریسکها را به طور موثر مدیریت کنید. اشتهای ریسک میتواند با ارائه چارچوبی برای تصمیمگیری در مورد ریسک، به سازمانها در انجام این کار کمک کند.
در اینجا برخی از مزایای استفاده از اشتهای ریسک برای پیشرفت در دنیای در حال تغییر آورده شده است:
میتواند به سازمانها کمک کند تا در مورد ریسک تصمیمات بهتری بگیرند.
میتواند به سازمانها کمک کند تا ریسکها را در مراحل اولیه شناسایی و کاهش دهند
میتواند به سازمانها در ایجاد انعطافپذیری و چابکی کمک کند.
و … .
ایجاد برنامه مدیریت ریسک سایبری؛امنیت در حال تکامل برای عصر دیجیتال
مدیریت ریسک سایبری یکی از مهمترین مسائلی است که امروزه سازمانها با آن مواجه هستند. با افزایش پیچیدگی تهدیدات سایبری و ارزش فزآیندۀ دادهها، برای سازمانها ضرروت تدوین و ایجاد یک برنامه مدیریت ریسک سایبری موثر و قوی پیش از هر زمانی برای راهبران شرکتها آشکار شده است. اهمیت برنامهی مدیریت ریسک سایبری ناشی از فراگیریِ دیجیتالی شدن است.
این کتاب، چارچوب و نقشه راهی عملی برای طراحی، ایجاد، توسعۀ و پیاده سازی برنامهای پایدار و قابل دفاع برای مدیریت ریسک سایبری ارائه میدهد و به شما کمک میکند تا از سازمان خود در برابر تهدیدات سایبری در حال تکامل محافظت کنید. این راهنما برای مدیران شرکت، مدیران ارشد، کارشناسان ریسک امنیتی و حسابرسان در سطوح مختلف ایدهآل است.
در این کتاب نویسندگان با ارائه دانش و تجربه تخصصی خود، شما را در مسیر غلبه بر چالشهای مدیریت ریسک سایبری راهنمایی میکنند. در این کتاب خواهید آموخت که چگونه:
چارچوبی جامع برای مدیریت ریسک سایبری پایدار، قابل دفاع و متناسب با نیازهای خاص سازمان خود توسعۀ و مزایا مرتبط با پیاده سازی آن را درک کنید.
راههایی را برای رسیدگی به تعهدات نظارتی شرکت که توسط استانداردهای بینالمللی، رویۀهای قضایی، مقررات و راهنماییهای سطح هیئتمدیره تعریف شده است، کشف خواهید کرد.
و به شما کمک میکند تا:
تغییرات دگرگونی که دیجیتالی شدن ایجاد میکند و ریسکهای سایبری ناشی از آن را درک کنید
عوامل متعددی، از جمله قوانین و مقررات، استاندارهای صنعت و… که مدیریت ریسک سایبری را به یک اولویت سازمانی حیاتی تبدیل میکنند؛ بشناسید.
درک کاملی از چهار جزء تشکیل دهنده یک برنامۀ مدیریت ریسک سایبری رسمی به دست آورید.
یک برنامۀ مدیریت ریسک سایبری را در داخل سازمان خود پیادهسازی و یا راهنمایی کنید.
پایان