10 مرحله فرایند ارزیابی و مدیریت ریسک

1-تعیین معیارهای ارزیابی ریسک(Risk Criteria)

این مرحله شامل «تعریف هدف و دامنه ارزیابی»، «درک زمینه»، «تعامل با ذینفعان»، «تعریف اهداف»، «در نظر گرفتن عوامل انسانی، سازمانی و اجتماعی» و «مرور معیارهای تصمیم‌گیری» است. انتخاب ماتریس ارزیابی ریسک به عنوان بخشی از تعیین معیارهای ریسک، ضروری بوده و باید در ابتدای فرآیند گنجانده شود.

Risk Criteria

شکل2-مثال ماتریس ارزیابی ریسک

2- تعیین دامنه ارزیابی ریسک(Establishing Context) 

در فرآیند مدیریت ریسک سازمان، زمینه باید هدف و دامنه ارزیابی را مشخص کند. مسئولیت ها، وسعت یا دقت ارزیابی؛ روش های ارزیابی ریسک؛ و منابع موجود از جمله مواردی است که در این مرحله مشخص می گردد.

زمینه ارزیابی ریسک باید واضح، مختصر و برای همه ذینفعان به خوبی درک شود. هر ارزیابی ریسک موفقیت آمیزی نیاز به یک شروع و پایان کاملاً مشخص دارد، بنابراین تیم ارزیابی وسوسه نمی شود که آن را پیچیده تر از حد نیاز کند یا آن را فراتر از آنچه در نظر گرفته شده است ببرد.

زمینه باید با در نظر گرفتن پارامترهای داخلی (منابع، دانش، فرهنگ و ارزش ها) و خارجی (قانونی، نظارتی، اقتصادی، تدراکات ذینفعان خارجی و غیره) مرزهای ارزیابی را تعیین کند.

برای اطمینان از تمرکز تیم ارزیابی ریسک بر عناصر صحیح، زمینه باید آنچه را که انتظار می رود به وضوح توضیح دهد. مثلا:

-اگر قرار باشد خطرات مربوط به کار تمیز کردن پنجره ها ارزیابی شود، آیا فقط نظافت واقعی را پوشش می دهد، یا شامل خطرات مرتبط مانند نصب نردبان ها، انتقال مواد شیمیایی تمیزکننده، یا حتی رانندگی به و از محل می شود؟

قبل از انجام ارزیابی ریسک، یک سازمان باید معیارهای ریسک و سطح “ریسک قابل قبول” خود را به وضوح تعریف و ابلاغ کند. معیارهای ریسک باید با ماتریس ارزیابی ریسک انتخاب شده مطابقت داشته باشد و نوع پیامدهای مورد انتظار را در نظر بگیرد. همچنین مشخص شود در چه سطحی از ریسک اقدامات اصلاحی مورد نیاز است و سطح ریسک قابل قبول سازمان تعیین شده باشد.

 3-انتخاب تیم ارزیابی ریسک (The Risk Assessment Team)

تعیین دامنه ارزیابی ریسک، اندازه و ترکیب تیم مورد نیاز را تعیین خواهد کرد. تیم ارزیابی و مدیریت ریسک باید شامل گروهی متقابل از افراد باشد که با خطرات و عملیات مورد ارزیابی آشنا و آگاه هستند. در بسیاری از موارد، تیم متشکل از چندین عضو به طور ثابت خواهد بود، در حالی که سایرین احتمالاً بر اساس توانایی خود در مشارکت در ارزیابی ریسک خاص، می آیند و می روند. به عنوان مثال، ارزیابی ریسک برای یک عملیات تولیدی ممکن است شامل مهندسی، نگهداری، کیفیت، تولید، ایمنی و یک اپراتور باشد. ارزیابی ریسک برای عملیات حمل و نقل ممکن است شامل یک راننده، مکانیک، و یک توزیع کننده به همراه متخصص ایمنی باشد. ارزیابی ریسک برای یک محصول ممکن است شامل طراح محصول، مهندس، مشاور حقوقی، کارمند تولید، بازاریابی، نماینده خدمات مشتری، نماینده بیمه و ایمنی باشد.

مهم است که اعضایی از داخل و خارج از سازمان در تیم حضوریابند  که در مورد خطرات یا عملیات آگاه هستند و می توانند سهم مثبتی در ارزیابی ریسک داشته باشند. در برخی شرایط، اعضای خارجی برای ارزیابی بسیار مهم هستند.

تیم ارزیابی ریسک متشکل از 3 تا 10 عضو مناسب ترین حالت است. کمتر از سه عضو ممکن است دیدگاه یا بینش کافی در مورد ارزیابی ریسک ارائه نکنند و از طرفی ممکن است کنترل و تمرکز تیم های ارزیابی ریسک با بیش از 10 عضو دشوار باشد. در برخی مواقع، یک تیم بزرگ ارزیابی ریسک احتمالاً تحت سلطه برخی از شخصیت‌های قوی‌تر خواهد بود. تسهیل گرتیم  باید به گونه ای عمل کند که از این وضعیت جلوگیری نماید.

4-شناسایی خطرات (Risk Identification)

اگر قرار است خطرات ارزیابی شوند، ابتدا باید خطرات شناسایی و توصیف شوند. شناسایی ریسک به عنوان فرآیند یافتن، شناسایی و ثبت ریسک ها تعریف می شود. هدف آن شناسایی آنچه ممکن است اتفاق بیفتد و/یا موقعیت هایی است که می تواند سیستم یا سازمان را تحت تاثیر قرار دهد.

روش های شناسایی خطرات موجود و احتمالی در محیط کار بسیار زیاد است. بهتراست  نقطه شروع شناسایی، اطلاعات موجود در مورد عملیات و فرایند های سازمان باشد. برخی از مخاطرات (منابع خطر) به راحتی به صورت شهودی یا از طریق تجربه اخیر یا گذشته شناسایی می شوند، در حالی که برخی دیگر به روش های سیستماتیک تری برای شناسایی نیاز دارند. بسته به عملیات یا موضوع ارزیابی، سطح تلاش بر این اساس متفاوت خواهد بود.

برخی از متداول‌ترین روش‌ها و منابعی که متخصصان ایمنی برای شناسایی خطرات استفاده می‌کنند در زیر فهرست شده‌اند.

• مصاحبه و طوفان فکری
• چک لیست ها
•  انطباق با مقررات و استانداردها
• تجزیه و تحلیل مراحل شغل
•  بررسی حوادث و سوابق جراحات و بیماری
•  مطالبات بیمه ای
•  استفاده از تکنیک های رسمی شناسایی خطر

5-آنالیز ریسک (Risk Analysis)

پس از شناسایی منابع ریسک، تیم ارزیابی ریسک بالقوه را تجزیه و تحلیل خواهد کرد. تجزیه و تحلیل ریسک به معنی  ایجاد “درک” از خطرات و شامل موارد زیر است:

•  تعیین شدت عواقب(Consequence Analysis): یک منبع خطر واحد ممکن است تأثیراتی مختلف (سطوح شدت) ایجاد کند که می تواند چندین دارایی یا ذینفع را تحت تأثیر قرار دهد. برخی از منابع خطر ممکن است سطح شدت پیامدهای کم اما احتمال وقوع بالایی داشته باشند، در حالی که برخی دیگر ممکن است شدت بالا و احتمال وقوع کم را نشان دهند. سطح ریسک قابل قبول یک سازمان به تعیین اولویت های این نوع ریسک کمک می کند. عواقب اغلب بزرگترین نگرانی برای مدیران است.

•  برآورد احتمال وقوع(Likelihood Analysis): تعیین احتمال عموماً شامل موارد زیر است: (1) بررسی داده‌های تاریخی مرتبط برای شناسایی رویدادها یا موقعیت‌هایی که روی داده‌اند، (2) تکنیک های پیش بینی مانند تجزیه و تحلیل درخت خطا و تجزیه و تحلیل درخت رویداد و (3) یک فرآیند سیستماتیک ساختاریافته که توسط متخصصین واجد شرایط و آگاه هدایت می شود.

•  ارزیابی اثربخشی کنترل های موجود(Assessment of Controls): کفایت و اثربخشی اقدامات کنترلی موجود تا حد زیادی بر سطح ریسک تأثیر می گذارد و باید ارزیابی شود. این ارزیابی کنترل ها باید شامل تعیین نوع کنترل ها برای هر ریسک خاص و قضاوت در مورد اثربخشی آنها بر اساس سلسله مراتب کنترل ها باشد. به عنوان مثال، کنترل‌هایی مانند حفاظ های دائمی یا ثابت (کنترل‌های مهندسی) مؤثرتر از آموزش کارکنان، هشدارها (کنترل‌های اداری) یا تجهیزات حفاظت فردی تلقی می‌شوند.

•  برآورد سطح ریسک

6-ارزشیابی ریسک(Risk Evaluation):

ارزشیابی ریسک شامل مقایسه سطوح ریسک برآورد شده با معیارهای ریسک تعریف شده برای تعیین اهمیت سطح و نوع ریسک است. این ارزشیابی بر اساس ترکیبی از پیامدهای تخمینی و احتمال است. از اطلاعات مربوط به مراحل شناسایی خطر/ریسک و تجزیه و تحلیل ریسک به منظور ارائه توصیه‌هایی برای تصمیم‌گیرندگان استفاده می‌کند. این تصمیمات ممکن است شامل اجرای کنترل‌های بیشتر، سایر اشکال درمان خطر، یا اجتناب از خطر یا عملیات باشد.

تصمیم گیری در مورد درمان یک ریسک احتمالاً به هزینه ها و مزایای ریسک و هزینه ها و مزایای اجرای کنترل های بهبود یافته بستگی دارد. واقعیت این است که همیشه سطحی از ریسک باقیمانده وجود خواهد داشت.

7-درمان ریسک(Risk Treatment):

درمان ریسک فرآیند اصلاح ریسک است. ریسک هایی که برای سازمان غیرقابل قبول ارزیابی می شوند، باید با استفاده از کنترل های مناسب “درمان” شوند.

انتخاب گزینه های کنترل باید با استفاده از مدل سلسله مراتب کنترل ها انجام شود.

Risk Treatment

8-ارتباطات(Communication)

انفجار شاتل فضایی کلمبیا ناسا در 1 فوریه 2003 رخ داد و جان هفت نفر را گرفت. تحقیقاتی که به دنبال آن انجام شد نشان داد که علت اصلی اصلی این حادثه نبود ارتباط موثر اطلاعات ایمنی حیاتی بوده است.

مانند بسیاری از کارکردهای دیگر در سازمانها، باید در هنگام انجام ارزیابی ریسک، ارتباط مؤثر را در اولویت قرار داد. کسانی که در ارزیابی ریسک دخیل هستند باید به این فکر کنند که چه کسی می تواند به آنها کمک کند تا ارزیابی ریسک را به طور موثرتری انجام دهند. یک فرآیند مؤثر، ذینفعان را در سراسر فرآیند درگیر خواهد کرد و نظرات آنها را جستجو خواهد کرد. پرسنل داخلی مانند تیم ارزیابی , مدیریت , اپراتورهای تحت تاثیر و استفاده از سیستم ها و نیز ذینفعان خارجی مانند مشتریان , سرمایه گذاران , شرکا , تامین کنندگان و فروشندگان باید در فرآیند ارتباط گنجانده شوند .

9-مستندسازی(Documentation)

مستندسازی شکل مهمی از تأیید و ارتباط است. عملاً، تمام جنبه‌های فرآیند ارزیابی ریسک که شامل موارد ذیل ست مستند شوند.

• ماتریس ارزیابی ریسک
• هدف و دامنه (زمینه)
• تیم ارزیابی
• فرایند ها و عملیاتی که باید ارزیابی شوند
• خطرات شناسایی شده
•  تحلیل ریسک
•  ارزیابی ریسک

مستندسازی ارزیابی ریسک برای ثبت تلاش‌های فرآیند ارزیابی و همچنین یافته‌ها و توصیه‌های ریسک ناشی از آن به کار می‌رود. همچنین به کسانی که مستقیماً درگیر نبوده‌اند اجازه می‌دهد تا درک درستی از خطرات و اقدامات کاهش ریسک داشته باشند و همچنین به سازمانی اجازه می‌دهد تا تلاش‌ها و اقدامات خود را اثبات و نشان دهد.

 10-نظارت و بهبود مستمر(Monitoring and Continuous Improvement)

با در نظر گرفتن این موضوع که ” تغییر همیشه وجود خواهد داشت ” نظارت بر ارزیابی ریسک و خطرات و عملیاتی که آنها را پوشش می دهد، مهم است. خطرات و عملیات به طور مداوم تغییر می کنند و با این تغییرات خطرات جدید و متفاوتی به وجود می آید. نمونه هایی از این موارد ممکن است شامل تجهیزات مختلف، فرآیندها، محیط های عملیاتی، نرخ تولید و غیره باشد. هر یک از این تغییرات می تواند بر کنترل های موجود و اثربخشی آن ها تأثیر بگذارد. بنابراین برای در نظر گرفتن این تغییرات احتمالی، بهتر است همواره  ارزیابی‌های ریسک را به‌روزرسانی کنیم. نظارت، به روز رسانی، و کاهش بیشتر ریسک، بهبود مستمر است. در واقع، ارزیابی ریسکی که به درستی انجام شده است، نمونه کاملی از فرآیند بهبود مستمر است. خطرات خاصی که امروز پذیرفته می شوند، به احتمال زیاد در آینده پذیرفته نخواهند شد. در مورد آشکارسازهای آتش، دود و دی اکسید کربن فکر کنید. زمانی آن ها اختراع نشده بودند. سپس آن ها اختراع شدند اما گران قیمت بودند و فقط برای خطرات و عملیات عمده استفاده می شدند. اکنون آن ها ساده، ارزان و در اکثر خانه ها نصب می شوند.