ایزو (سازمان بینالمللی استانداردسازی) یک فدراسیون جهانی از سازمانهای ملی استاندارد (نهادهای عضو ایزو) است. کار تهیه استانداردهای بینالمللی معمولاً از طریق کمیتههای فنی ایزو انجام میشود. هر نهاد عضو که به موضوعی که برای آن یک کمیته فنی ایجاد شده است علاقهمند باشد، حق دارد در آن کمیته نماینده داشته باشد. سازمانهای بینالمللی، دولتی و غیر دولتی، که با ایزو در ارتباط هستند، نیز در این کار مشارکت دارند. ایزو در تمامی امور مرتبط با استانداردسازی الکتروتکنیکی بهطور نزدیک با کمیسیون بینالمللی الکتروتکنیک (IEC) همکاری میکند.
استانداردهای بینالمللی مطابق با قواعدی که در دستورالعملهای ISO/IEC، بخش ۲ ارائه شده، تهیه میشوند. پیشنویسهای راهنما که توسط کمیته یا گروه مسئول پذیرفته میشوند، برای رأیگیری به نهادهای عضو ارسال میشوند. انتشار به عنوان یک راهنما نیازمند تأیید حداقل ۷۵٪ از نهادهای عضو است که رأی میدهند.
توجه داشته باشید که ممکن است برخی از عناصر این سند مشمول حقوق ثبت اختراع باشند. ایزو مسئولیتی در قبال شناسایی هرگونه حقوق ثبت اختراع نخواهد داشت.
راهنمای ۷۳ ایزو توسط گروه کاری هیئت مدیریت فنی ایزو در زمینه مدیریت ریسک تهیه شده است. این نخستین ویرایش راهنمای ۷۳ ایزو، نسخه ISO/IEC Guide 73:2002 را لغو و جایگزین میکند که از نظر فنی بازنگری شده است.
مقدمه
این راهنما واژگان اساسی را برای توسعه درک مشترک از مفاهیم و اصطلاحات مدیریت ریسک در بین سازمانها و عملکردها و در زمینههای مختلف و انواع مختلف ارائه میدهد. در زمینه واژگان مدیریت ریسک، ترجیح داده میشود که تعاریف ارائه شده در این راهنما استفاده شود.
مدیریت ریسک به صورت کاربردی است. در برخی شرایط، بنابراین ممکن است نیاز به تکمیل واژگان موجود در این راهنما باشد. جایی که اصطلاحات مربوط به مدیریت ریسک در یک استاندارد استفاده میشود، بسیار مهم است که معانی مورد نظر آنها در چارچوب استاندارد به اشتباه تفسیر نشود، نادرست یا نادرست استفاده نشود.
علاوه بر مدیریت تهدیدها برای دستیابی به اهداف خود، سازمانها به طور فزایندهای فرآیندهای مدیریت ریسک را به کار میگیرند و رویکردی یکپارچه به مدیریت ریسک توسعه میدهند تا مدیریت فرصتهای بالقوه را بهبود بخشند. بنابراین، اصطلاحات و تعاریف این راهنما در مفهوم و کاربرد گستردهتر از آنهایی است که در راهنمای ISO/IEC Guide 51 آمده است، که به جنبههای ایمنی ریسک، یعنی با پیامدهای نامطلوب یا منفی محدود میشود. از آنجا که سازمانها به طور فزایندهای رویکرد گستردهتری به مدیریت ریسک اتخاذ میکنند، این راهنما به تمام برنامهها و بخشها میپردازد.
این راهنما عمومی است و برای پوشش دادن به حوزه کلی مدیریت ریسک تدوین شده است. اصطلاحات به ترتیب زیر مرتب شدهاند:
- اصطلاحات مربوط به ریسک؛
- اصطلاحات مربوط به مدیریت ریسک؛
- اصطلاحات مربوط به فرآیند مدیریت ریسک؛
- اصطلاحات مربوط به ارتباط و مشاوره؛
- اصطلاحات مربوط به زمینه؛
- اصطلاحات مربوط به ارزیابی ریسک؛
- اصطلاحات مربوط به شناسایی ریسک؛
- اصطلاحات مربوط به تحلیل ریسک؛
- اصطلاحات مربوط به ارزیابی ریسک؛
- اصطلاحات مربوط به درمان ریسک؛
- اصطلاحات مربوط به نظارت و اندازهگیری.
دامنه
این راهنما تعاریف اصطلاحات عمومی مربوط به مدیریت ریسک را ارائه میدهد. هدف آن تشویق به درک متقابل و سازگار، و رویکردی هماهنگ به توصیف فعالیتهای مربوط به مدیریت ریسک و استفاده از اصطلاحات یکسان مدیریت ریسک در فرآیندها و چارچوبهای مرتبط با مدیریت ریسک است.
این راهنما برای استفاده توسط:
- کسانی که در مدیریت ریسک مشغول هستند،
- کسانی که در فعالیتهای ایزو و IEC درگیر هستند، و
- توسعهدهندگان استانداردهای ملی یا بخشی، راهنماها، روشها و کدهای عملی مربوط به مدیریت ریسک در نظر گرفته شده است.
برای اصول و راهنماییهای مدیریت ریسک، به استاندارد ISO 31000:2009 مراجعه کنید.
اصطلاحات مربوط به ریسک
۱.۱ ریسک تاثیر عدم قطعیت بر اهداف یادداشت ۱: تأثیر انحراف از انتظارات است – مثبت و/یا منفی. یادداشت ۲: اهداف میتوانند جنبههای مختلفی داشته باشند (مانند اهداف مالی، بهداشت و ایمنی و محیط زیستی) و میتوانند در سطوح مختلف اعمال شوند (مانند راهبردی، در سطح کل سازمان، پروژه، محصول و فرآیند). یادداشت ۳: ریسک اغلب با ارجاع به رویدادهای بالقوه و پیامدها، یا ترکیبی از این دو مشخص میشود. یادداشت ۴: ریسک اغلب بهصورت ترکیبی از پیامدهای یک رویداد و احتمال وقوع آن بیان میشود. یادداشت ۵: عدم قطعیت، حالت، حتی جزئی، از کمبود اطلاعات مربوط به، درک یا دانش از یک رویداد، پیامد آن، یا احتمال آن است.
اصطلاحات مربوط به مدیریت ریسک
۲.۱ مدیریت ریسک فعالیتهای هماهنگ برای هدایت و کنترل یک سازمان در مورد ریسک ۲.۱.۱ چارچوب مدیریت ریسک مجموعهای از اجزاء که مبانی و ترتیبات سازمانی را برای طراحی، اجرا، نظارت، بررسی و بهبود مستمر مدیریت ریسک در کل سازمان فراهم میکند. یادداشت ۱: مبانی شامل سیاست، اهداف، اختیار و تعهد به مدیریت ریسک است. یادداشت ۲: ترتیبات سازمانی شامل برنامهها، روابط، حسابرسیها، منابع، فرآیندها و فعالیتها میباشد. یادداشت ۳: چارچوب مدیریت ریسک در سیاستها و عملکردهای کلی استراتژیک و عملیاتی سازمان تعبیه شده است.
۲.۱.۲ سیاست مدیریت ریسک بیانیهای از نیات و جهتگیری کلی سازمان در رابطه با مدیریت ریسک
۲.۱.۳ طرح مدیریت ریسک طرحی در چارچوب مدیریت ریسک که روش، اجزاء مدیریتی و منابعی که برای مدیریت ریسک به کار گرفته میشوند را مشخص میکند. یادداشت ۱: اجزاء مدیریتی معمولاً شامل روشها، شیوهها، تخصیص مسئولیتها، ترتیب و زمانبندی فعالیتها میباشد. یادداشت ۲: طرح مدیریت ریسک میتواند برای یک محصول، فرآیند و پروژه خاص و بخشی یا کلی از سازمان اعمال شود.
اصطلاحات مربوط به فرآیند مدیریت ریسک
۳.۱ فرآیند مدیریت ریسک کاربرد سیستماتیک سیاستها، روشها و شیوههای مدیریتی برای فعالیتهای ارتباطی، مشاوره، تعیین زمینه، شناسایی، تحلیل، ارزیابی، درمان، نظارت و بررسی ریسک
اصطلاحات مربوط به ارتباط و مشاوره
۳.۲.۱ ارتباط و مشاوره فرآیندهای مداوم و تکراری که سازمان برای ارائه، به اشتراکگذاری یا دریافت اطلاعات، و برای گفتگو با ذینفعان در مورد مدیریت ریسک انجام میدهد.
یادداشت ۱: اطلاعات میتواند مربوط به وجود، طبیعت، شکل، احتمال، اهمیت، ارزیابی، مقبولیت و درمان مدیریت ریسک باشد. یادداشت ۲: مشاوره یک فرآیند دوطرفه از ارتباطات آگاهانه بین یک سازمان و ذینفعانش در مورد یک مسئله قبل از تصمیمگیری یا تعیین یک جهت در مورد آن مسئله است.
۳.۲.۱.۱ ذینفع شخص یا سازمانی که میتواند بر تصمیم یا فعالیتی تأثیر بگذارد، تحت تأثیر قرار بگیرد، یا خود را تحت تأثیر آن بداند.
اصطلاحات مربوط به زمینه
۳.۳.۱ تعیین زمینه تعریف پارامترهای خارجی و داخلی که در مدیریت ریسک باید مورد توجه قرار گیرند، و تعیین دامنه و معیارهای ریسک برای سیاست مدیریت ریسک.
اصطلاحات مربوط به ارزیابی ریسک
۳.۴.۱ ارزیابی ریسک فرآیند کلی شناسایی ریسک، تحلیل ریسک و ارزیابی ریسک
اصطلاحات مربوط به شناسایی ریسک
۳.۵.۱ شناسایی ریسک فرآیند یافتن، تشخیص و توصیف ریسکها یادداشت ۱: شناسایی ریسک شامل شناسایی منابع ریسک، رویدادها، علل و پیامدهای بالقوه آنها است. یادداشت ۲: شناسایی ریسک میتواند شامل دادههای تاریخی، تحلیلهای نظری، نظرات مطلع و کارشناسانه، و نیازهای ذینفعان باشد.
اصطلاحات مربوط به تحلیل ریسک
۳.۶.۱ تحلیل ریسک فرآیندی برای درک طبیعت ریسک و تعیین سطح ریسک
اصطلاحات مربوط به ارزیابی ریسک
۳.۷.۱ ارزیابی ریسک فرآیند مقایسه نتایج تحلیل ریسک با معیارهای ریسک برای تعیین اینکه آیا ریسک و/یا میزان آن قابل قبول یا قابل تحمل است.
اصطلاحات مربوط به درمان ریسک
۳.۸.۱ درمان ریسک فرآیند تغییر ریسک یادداشت ۱: درمان ریسک میتواند شامل موارد زیر باشد:
- اجتناب از ریسک با تصمیمگیری برای شروع یا ادامه فعالیتی که موجب بروز ریسک میشود؛
- پذیرش یا افزایش ریسک به منظور دنبال کردن یک فرصت؛
- حذف منبع ریسک؛
- تغییر احتمال؛
- تغییر پیامدها؛
- به اشتراکگذاری ریسک با طرف یا طرفهای دیگر؛ و
- نگهداشت ریسک با تصمیم آگاهانه.
اصطلاحات مربوط به نظارت و اندازهگیری
۳.۸.۲.۱ نظارت بررسی مداوم، نظارت، مشاهده انتقادی یا تعیین وضعیت به منظور شناسایی تغییر از سطح عملکرد مورد نیاز یا مورد انتظار
منابع
[۱] ISO 704، کار واژگان – اصول و روشها [۲] ISO 860، کار واژگان – هماهنگی مفاهیم و اصطلاحات [۳] ISO 3534-1، آمار – واژگان و نمادها – بخش ۱: اصطلاحات آماری عمومی و اصطلاحات مورد استفاده در احتمال [۴] ISO 9000، سیستمهای مدیریت کیفیت – مبانی و واژگان [۵] ISO 10241، استانداردهای بینالمللی واژگان – تهیه و چیدمان [۶] ISO 31000:2009، مدیریت ریسک – اصول و راهنماها [۷] ISO/IEC Guide 2، استانداردسازی و فعالیتهای مرتبط – واژگان عمومی [۸] ISO/IEC Guide 51، جنبههای ایمنی – راهنماهایی برای گنجاندن آنها در استانداردها