نقش فن آوری اطلاعات در مدیریت ریسک

در جهان کنونی ، عناوین و پارامترهای مختلفی در امر مدیریت مطرح است که اداره آنها نیازمند شناخت و درک صحیح و دانش مخصوص به خود است .
پرداخت به هریک از این عناوین و تعیین وجه اشتراک و افتراق هر کدام ، نیازمند فرصت کافی به خود است ، اما آنچه که امروزه مهم تر از همه عناوین مدیریتی ، به عنوان اصلی ترین عامل در تعیین برنامه ها و تصمیم گیری ها در محیط های پر فرآیند تاثیر گذار است ، بکارگیری و استفاده از تکنینک های مدیریت ریسک و به همان میزان سیستم های مبتنی بر IT,ICT است . فن آوری اطلاعات ، به نحو فزاینده ای بر چگونگی عملکرد و نحوه کارآیی سازمانها ، ارگانها ، شرکت های دولتی و خصوصی اثر گذاشته است ، و نقش سیستم های مبتنی بر فن آوری اطلاعات در انجام کارآمد امور اداری و تجاری انکار ناشدنی جلوه می کند .
تنوع و گستره فعالیتها موجب می گرددتا امکان پرداختن به همه امور میسر نباشد فلذا طبقه بندی کردن امورو اولویت دادن به برخی امورمهم نسبت به برخی دیگراز اهمیت زیادی برخوردار نمی باشندضرورت پیدا می کند. امروزه بهره گیری از فن آوری اطلاعات در مدیریت ریسک حدیث متفاوتی را باز می گوید و تاثیری عمیق بر چگونگی سر و سامان دادن به فعالیتهای اتوماسیون سازمانها و مدیریت چرخه ایجاد سیستم های مکانیزه می گذارد .
مدیریت ریسک ، یک مدیریت مهم و ضروری محسوب می شود که تصمیم گیری دقیقی را بر اساس میزان ریسک و خطر میسر می سازد و در اکثر نقاط دنیا توسط پرسنل اجرایی IT مورد بهره برداری قرار می گیرد . ریسک در معنای عام عبارت است از تاثیر منفی ناشی از یک آسیب پذیری و در نظر گرفتن احتمال وقوع و اثر آن در فرآیندهای یک سیستم . فلذا بایستی سطح ریسک پایین ؛متوسط ؛ بالاو احتمال وقوع آن و پیامدهای آن مورد شناسایی قرار گیرد تا بتوان برای رفع آن تصمیم گیری کرد. ریسک یعنی : میزان و امکان سرپیچی از قانون که به خسارت و زیان علیه تجارت ؛ صنعت و مردم منجر خواهد شدیا به تعبیر دیگر ر! یسک امکان وقوع یک خسارت و زیان اعم از مالی و یا غیر مالی در نتیجه انجام یک کار است . مدیریت ریسک ، فرآیند تشخیص و ارزیابی ریسک و کاهش آن تا یک سطح قابل قبول می باشد و با هدفگذاری امکان پذیر است . هدف از اجرای مدیریت ریسک این است که سازمان بتواند به اهداف ذیل جهت سیستم های مبتنی بر ‏فن آوری اطلاعات خود دست یابد : تامین امنیت بیشتر برای سیستم های مبتنی بر ذخیره سازی ، پردازش و انتقال اطلاعات سازمانی . اعمال مدیریت برای توجیه و بهینه سازی هزینه های IT . تصویب و تائید سیستم ها .
مدیریت ریسک دارای سه مرحله است :
۱) مدیریت ریسک
۲) ارزیابی ریسک
۳) کاهش ریسک .
▪ مدیریت ریسک : مدیریت ریسک یعنی شناسایی؛ ارزیابی ؛ تجزیه و تحلیل ؛ چگونگی رفتار و اداره کردن آن . مدیریت ریسک فرآیندی است که به مدیران امکان می دهد تا هزینه های اقتصادی و عملیاتی مورد نظر را مقایسه کنند و با بهره گیری و حمایت از سیستم های IT ، امکانات و قابلیتهای آنها را بهینه سازندو یا به تعبیر دیگر مدیریت ریسک روشی است برای استفاده بهینه از امکانات و منابع موجود . این روند تنها منحصر به محیط IT نیست و در تمام تصمیم گیری های روزانه ما تاثیر بسزایی دارد . به عنوان مثال، امروزه بسیاری از مردم تصمیم به نصب دزدگیر می کنند و بر این اساس هزینه ای را به شرکت مربوط می پردازند تا این سیستم ها را جهت حفاظت بهتر از اموال و دارایی های خود به کار گیرند. مسلمء ? افراد هزینه نصب و کنترل اینگونه سیستم ها را به نسبت اسباب و دارایی خود می پردازند و به همان مقیاس تامین امنیت را برای خانواده خود فراهم می آورند .
▪ بهره گیری از مدیریت ریسک در چرخه ایجاد یک سیستم : کاهش اثر منفی درسیستم و سازمان و رسیدن به یک پایه اساسی در تصمیم گیری ، دلایلی هستند که که سازمان را وادار به اجرای روند مدیریت ریسک برای سیستم های مبتنی بر IT می سازند . چرخه ایجاد یک سیستم مکانیزه دارای ۵ مرحله است :
ـ شروع ،
ـ ایجاد و تهیه سیستم ،
ـ اجرای سیستم ،
ـ بازبینی مجدد ،
ـ حفاظت و واگذاری .
▪ ارزیابی ریسک : ارزیابی ریسک اولین قدم در روش مدیریت ریسک به شمار می آید . سازمانها با استفاده از ارزیابی ریسک ، می توانند محدوده تهدیدات احتمالی و ریسک مربوط به یک سیستم مبتنی بر IT را در سراسر چرخه ایجاد سیستم مشخص کنند . بازده و نتیجه این امر به تعیین کنترل های مربوطه جهت کاهش یا حذف ریسک در طول روند کاهش ریسک کمک می کند. ارزابی ریسک خود دارای ۹ مرحله اساسی است که عبارت است از :
ـ تعیین سیستم ،
ـ تشخیص تهدید ،
ـ تشخیص آسیب پذیری ،
ـ تحلیل کنترل،
ـ تعیین احتمال ،
ـ تحلیل اثر سوء ،
ـ تعیین ریسک ،
ـ ارائه نظریه و پیشنهاد جهت کنترل سیستم و نهایتا مستند سازی نتایج .
▪ کاهش ریسک : کاهش ریسک عبارت است از اولویت دادن ، ارزیابی و اجرای کنترل های کاهش ریسک که در روند ارزیابی ریسک پیشنهاد شده اند .
از آنجایی که از بین بردن تمامی ریسک ها عملا امکان ندارد ، مدیران با اعمال کنترل های مناسب ، کاهش ریسک را تا یک سطح قابل قبول به انجام می رسانند . کاهش ریسک را از طریق موارد ذیل می توان انجام داد .
الف) تقبل ریسک : پذیرفتن ریسک احتمالی و ادامه عملیات سیستم IT جهت پیاده سازی کنترل ها تا رسیدن به یک سطح قابل قبول .
ب) اجتناب از ریسک : دور کردن ریسک با از میان برداشتن عامل و پیامدهای ریسک .
ج) برنامه ریزی ریسک : کنترل ریسک از طریق ایجاد یک برنامه کاهش ریسک که به کنترل ها اولویت بخشیده و آنها را اجرا و اداره می کند .
د) تصدیق و تحقیق : قبول نقطه ضعف یا آسیب پذیری و تحقیق در خصوص کنترل ها جهت اصلاح آسیب پذیری .
ه) انتقال ریسک : انتقال ریسک برای جبران خسارت ، به طور مثال بیمه کردن سیستم . سازمانها می توانند حدود کاهش ریسک را بر حسب احتمال یا تاثیر تخفیف تهدید (دو عاملی که سطح کاهش یافته ریسک را در یک عملیات سازمانی تعیین می کنند) بررسی کنند . به ریسکی که بعد از اجرای کنترل های جدید می ماند ، ریسک باقی مانده می گویند . عملا هیچ سیستم IT بدون ریسک نیست و تمام کنترل های صورت گرفته را ریسک برطرف نمی کند . چنانچه ریسک باقی مانده تا یک سطح قابل قبول تقلیل نیابد ، چرخه مدیریت ریسک باید تکرار گردد تا روشی را که برای کاهش ریسک باقی مانده مشخص سازد .
هنگامی که مسئولان و مدیران اعلام کنند که ریسک به سطح مناسبی رسیده ، باید گزارشی را که بیانگر ق! بول ریسک باقی مانده است ، قبل از تائید و معتبر سازی سیستم ، قبول و به امضا رسانند . نکات اصلی در مدیریت موفق ریسک : از فواید مدیریت ریسک به طور خلاصه می توان به افزایش کارآئی ؛ موثر بودن ؛ تسهیلات و روان سازی ؛ کاهش هزینه ؛ سرعت عمل ؛کاهش زمان انجام عملیات اشاره نمود . اما یک برنامه موفق در مدیریت ریسک بستگی به موارد ذیل دارد :
۱) تعهد مدیریت ارشد در خصوص زمان و منابع ضروری
۲) پشتیبانی و همکاری همه جانبه گروه
IT (۳ صلاحیت تیم مدیریت ریسک .
این گروه باید مهارت لازم را در پیاده سازی روش مدیریت ریسک در یک سیستم را دارا باشند . ریسک و احتمال خطر عملیات را تشخیص دهند و بر آن اساس ، حمایت های مقرون به صرفه ای را جهت رفع احتیاجات سازمان ارائه نمایند .
۴) آگاهی و مسئولیت پذیری گروه کاری که باید از روش ها و آئین نامه ها پیروی کرده و کنترل های اجرا شده در خصوص حمایت از عملیات سازمانشان را بپذیرند .