کاربرد چارچوب COBIT 5 در مدیریت ریسک سازمانی

زهرا ذکایی و نوش آفرین مومن واقفی؛ ماهنامه پیوست / در هر سازمانی به دلیل عوامل داخلی و خارجی متعدد برای حفظ جایگاه رقابتی در بازار و رسیدن به اهداف، پیاده‌سازی فرایند مدیریت ریسک سازمانی امری ضروری محسوب می‌شود. افزون بر این، به دلیل الزام در اعمال پیوسته و مداوم نظرات ذی‌نفعان در مورد وضعیت ریسک در کل سازمان و نهادینه‌سازی فرهنگ ریسک، اجرایی کردن این فرایند اهمیت می‌یابد. فاصله میان تصمیم‌گیری در این زمینه و اجرایی کردن آن از اصلی‌ترین مسائل در پیاده‌سازی مدیریت ریسک است، چرا که اکثر مدیران در انتخاب چارچوب و متدولوژی مناسب مدیریت ریسک مشکلات اساسی دارند.

هیئت‌مدیره، مدیران عامل، مدیران کسب‌وکار و فناوری اطلاعات و متخصصان ریسک در کل سازمان نیازمند راهنمایی هستند تا بتوانند فرایند مدیریت ریسک را با توجه به شرایط داخلی و خارجی سازمان خود، گام‌به‌گام و مؤثر اجرا کنند؛ بنابراین لازم است با استفاده از بهروش‌ها و چارچوب‌های رایج، این فاصله را به حداقل رساند و راهنمایی برای مدیران و سایر مخاطبان فراهم کرد. چارچوب COBIT می‌تواند ابزاری مناسب برای کاستن این فاصله باشد و به اجرایی کردن فرایند مدیریت ریسک کمک شایانی کند. در شکل صفحه روبه‌رو تعدادی از پرسش‌های رایج در این مسیر به همراه پاسخ آنها نشان داده شده است.

COBIT چارچوبی برای توسعه، پیاده‌سازی، نظارت و بهبود حاکمیت و مدیریت فناوری اطلاعات است. در نگاه نخست این چارچوب زبان مشترکی برای برقراری ارتباط میان مدیران کسب‌وکار و مدیران فناوری اطلاعات برای رسیدن به درک مشترک از مقاصد و اهداف یکدیگر است و در نگاه عمیق‌تر، در حقیقت این امکان را می‌دهد تا به اهداف عملیاتی نظام حاکمیتی و مدیریتی در سازمان دست یافت؛ به عبارت دیگر: خلق ارزش از طریق ایجاد حفظ تعادل میان تحقق منافع، مدیریت ریسک و بهینه‌سازی منابع.

جایگاه ریسک در این هدف می‌تواند نمایان‌گر این موضوع باشد که مدیریت ریسک در خلق ارزش برای هر سازمانی نقش بسزایی داشته و یک فعالیت مجزا نبوده و در تعامل با سایر فعالیت‌ها در حوزه تحقق منافع و بهینه‌سازی منابع باعث خلق ارزش خواهد شد. این چارچوب در حوزه مدیریت ریسک، راهنمای انتها به انتها و متدولوژی لازم برای ارزیابی و پاسخگویی به ریسک ارائه می‌دهد. COBIT 5 به پیدایش دید دقیق‌تر نسبت به ریسک‌های کنونی و آینده در سازمان و مشخص کردن مسئولیت‌های مربوط به ریسک در کل سازمان کمک می‌کند. همچنین نمونه‌های عملی از سناریوهای رایج را در حوزه فناوری اطلاعات در قالب پروفایل‌های ریسک معرفی کرده است.

چارچوب COBIT 5 تمامی ۱۱ اصل مدیریت ریسک در استاندارد ISO 31000 را با پنج اصل و هفت توانمندساز پوشش می‌دهد. همچنین تمامی جنبه‌های موجود در چارچوب و فرایند مدیریت ریسک تعریف‌شده در استاندارد ISO 31000، در مدل فرایندی COBIT 5 نیز وجود دارد.

COBIT5 هفت دسته توانمندساز را در بر می‌گیرد:

1. اصول، خط مشی‌ها و چارچوب‌ها
2. فرایند
3. ساختار سازمانی
4. فرهنگ، رفتار سازمانی و اصول اخلاقی
5. اطلاعات
6. سرویس‌ها، زیرساخت و برنامه‌های کاربردی
7. افراد، مهارت‌ها و شایستگی‌ها.

تمامی این توانمندسازها در هر دو لایه حاکمیت و مدیریت ریسک کاربرد دارند. هدف اصلی از پیاده‌سازی چارچوب COBIT 5 استفاده از این هفت توانمندساز برای تصحیح، تسهیل و تسریع فرایند مدیریت ریسک است که در ادامه به تفکیک بررسی می‌شوند.

 

1. اصول، خط‌مشی‌ها و چارچوب‌ها

اصول ریسک بر سیستماتیک بودن، به‌موقع و نظام‌مند بودن فرایند مدیریت ریسک تمرکز دارد تا بتواند نتایج قابل اطمینان و قابل مقایسه ارائه دهد. برای تهیه راهنمایی بیشتر به‌منظور عملی کردن اصول مدیریت ریسک، به مجموعه‌ای از خط‌مشی‌ها نیاز است. برای نمونه خط‌مشی مدیریت ریسک باید دربرگیرنده حاکمیت ریسک، چارچوب مدیریت ریسک، نقش‌ها و مسئولیت‌ها و دامنه اجرای این فرایند باشد. خط‌مشی‌های امنیت اطلاعات، تداوم کسب‌وکار، تقلب، تغییرات، کنترل داخلی و… از نمونه‌های دیگری هستند که در اجرایی کردن مدیریت ریسک نقش مهمی دارند.

 

2. فرایندها

در چارچوب COBIT 5 در دامنه‌های حاکمیت و مدیریت در مجموع ۳۷ فرایند معرفی شده است. در این میان یک فرایند در دامنه حاکمیت و دیگری در دامنه مدیریت، به‌صورت اختصاصی به موضوع مدیریت و کنترل ریسک می‌پردازد. برای پشتیبانی دو فرایند کلیدی مذکور، ۱۲ فرایند دیگر از جمله پایش و ارزیابی سیستم کنترل داخلی، پایش و ارزیابی انطباق با الزامات بیرونی، مدیریت استراتژی و… معرفی شده است. تمامی این فرایندها به همراه اقدامات، ورودی/خروجی‌ها و معیارهای سنجش عملکردشان به کارایی فرایند مدیریت ریسک کمک می‌کند.

 

3. ساختارهای سازمانی

در چارچوب COBIT 5 نقش‌های مختلفی تعریف شده است که پنج ساختار اصلی از میان آنها مؤثرترین نقش‌ها در مدیریت ریسک محسوب می‌شوند. کمیته مدیریت ریسک سازمانی موظف به جهت‌دهی مدیریت ریسک در کل سازمان بوده. این کمیته باید به‌صورت منظم به هیئت‌مدیره گزارش ارائه دهد و برای تسهیل فرایند مدیریت ریسک اقداماتی از قبیل تفویض اختیار به مالکان ریسک را انجام دهد.

گروه مدیریت ریسک سازمانی نیز از دیگر ساختارهای تعریف‌شده مؤثر است که شامل مدیران ریسک، تحلیلگران ریسک و سایر متخصصان در حوزه امنیت و کسب‌وکار می‌شود. این گروه موظف به اجرای مراحل مختلف شناسایی، تحلیل و برخورد با ریسک ضمن همکاری مالکان فرایندهاست. واحدهای ممیزی و انطباق نیز از دیگر ساختارهایی هستند که در راستای پایش وضعیت کنترل‌های داخلی و انطباق با الزامات به واحد مدیریت ریسک اطلاعات و گزارش ارائه می‌کنند.

 

4. فرهنگ، رفتار سازمانی و اصول اخلاقی

رفتارهای سازمانی نقش مؤثر در استقرار و نگهداشت فرهنگ مبتنی بر ریسک دارد که این رفتارها در سطوح مختلف از جمله سطح مدیریتی، متخصصان ریسک و عمومی طبقه‌بندی می‌شود. برای نمونه کارمندان باید اهمیت کاهش ریسک در سازمان را درک کنند و بدانند که کنترل ریسک باعث بالا بردن ارزش نقش آنها در سازمان می‌شود. از طرف دیگر متخصصان ریسک باید در طول انجام فرایند مدیریت ریسک با ذی‌نفعان داخلی رابطه دوطرفه داشته باشند و اطمینان حاصل کنند که آگاهی‌رسانی در زمینه ریسک به‌صورت کامل انجام شده و دو طرف به درک مشترکی از اهداف یکدیگر رسیده‌اند. در سطح بالاتر نیز مدیران باید برای انجام اقدامات لازم بابت پاسخگویی به ریسک، سطوح اختیارات لازم را به کارمندان تفویض کنند. تمام این رفتارهای سازمانی می‌توانند توسط قوانین داخلی، مکانیسم‌های پاداش و افزایش آگاهی‌رسانی به‌صورت هدفمند کنترل شوند.

 

5. اطلاعات

انواع مستندات و گزارش‌های مربوط به ریسک مانند پروفایل ریسک، نقشه ریسک، شاخص‌های کلیدی ریسک، طرح تبادلی اطلاعات ریسک و… از جمله اطلاعاتی هستند که باید به‌موقع، کامل و صحیح در اختیار افراد قرار گیرند، چرا که تصمیم‌های مبتنی بر ریسک بر اساس این اطلاعات گرفته می‌شوند. برای نمونه پروفایل ریسک باید شامل ثبت اطلاعات کامل سناریوی ریسک، تحلیل آن، طرح‌های برخورد با ریسک، تاریخچه آن و فاکتورهای مؤثر در شناسایی و تحلیل ریسک (KRI) باشد.

 

6. سرویس‌ها، زیرساخت و برنامه‌های کاربردی

سرویس‌هایی مانند مدیریت برنامه‌ها و پروژه‌ها، مدیریت بحران و مدیریت رخداد می‌توانند نمونه‌هایی از سرویس‌های مؤثر در مدیریت ریسک محسوب شوند. پایگاه دانش و منابع اطلاعاتی به‌روز نیز می‌توانند زیرساخت مناسبی برای اجرایی کردن این فرایند باشند. همچنین ابزارهای GRC، ابزار مناسب تحلیل ریسک، ابزار مدیریت تداوم کسب‌وکار و ابزارهای گزارش‌دهی و تبادل اطلاعات در کارایی و اثربخشی فرایند مدیریت ریسک نقش مؤثری دارند.

7. افراد، مهارت‌ها و شایستگی

مهارت‌های مدیریتی، قدرت تحلیل ریسک، روابط اجتماعی مناسب برای تبادل اطلاعات و رسیدن به درک مشترک در رابطه با ریسک‌ها، تاثیرگذاری بیشتر بر طرف مقابل و مهارت‌های فنی کافی از ملزومات اجرای فرایند مدیریت ریسک در سازمان به شمار می‌روند. نقش‌های مختلف در این فرایند باید دارای سطح کافی از مهارت‌های ذکرشده باشند تا انتظار کارایی و اثربخشی بیشتر مدیریت ریسک معقول بنماید.

ناگفته نماند که قابلیت‌های هر توانمندساز در تعامل با سایر توانمندسازها و در کنار آنها تکامل می‌یابد؛ بنابراین باید برنامه‌ای برای استقرار و اجرای تمامی آنها به‌صورت موازی و گام‌به‌گام در سازمان در نظر گرفته شود. با این حال برداشتن هر گام صحیح در این مسیر، چه بسا کوچک، می‌تواند در طول زمان فاصله میان درک اهمیت مدیریت ریسک و اجرایی کردن آن در سازمان را کاهش دهد و موجب خلق ارزش شود.

توانمندسازها در «کوبیت» نقش اهرم‌های کنترلی را ایفا می‌کنند که مدیریت ارشد اجرایی در پنل کنترل سازمان در اختیار دارند. ضعف در هر یک از این توانمندسازها در سازمان باعث نبود قطعیت در تحقق اهداف سازمانی و به تعبیر دیگر ریسک سازمانی می‌شود. بدیهی است اگر مدیران ارشد سازمان بستر و زیرساخت مناسبی بر اساس توانمندسازهای مطرح‌شده در سازمان فراهم کنند، به طور ضمنی ریسک‌های سازمان نیز کاهش می‌یابند و مدیریت می‌شوند و اثربخشی حاصل از به‌کارگیری فرایند مدیریت ریسک سازمانی و دستاوردهای اجرای آن در سازمان مورد توجه قرار خواهد گرفت.

با این حال در اغلب سازمان‌ها بین سیاست‌ها و روش‌های مدیریتی و بهره‌گیری از چارچوب‌ها و استانداردها در عمل رویکرد مناسب اجرایی لحاظ نشده است و این امر باعث کاهش اثربخشی تصمیمات مدیریتی و نیز ناکامی در استقرار سیستم‌ها و استانداردهای مدیریتی می‌شود. برطرف کردن این شکاف در تصمیم و اجرا جز با نهادینه‌سازی دانش مدیریت مبتنی بر ریسک و تغییر نگرش در میان مدیران ارشد سازمان ممکن نیست. مدیریت اثربخش در هر حوزه‌ای از جمله حوزه مدیریت ریسک سازمانی نیازمند تحول جدی نگرش‌های مدیریتی در سازمان بر اساس الگوهای موفق است. در اولین گام باید این دانش در مدیران شکل گیرد که مدیریت ریسک باعث بالا رفتن سرعت و دقت در تصمیمات سازمانی می‌شود