پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
کاربرد چارچوب COBIT 5 در مدیریت ریسک سازمانی
زهرا ذکایی و نوش آفرین مومن واقفی؛ ماهنامه پیوست / در هر سازمانی به دلیل عوامل داخلی و خارجی متعدد برای حفظ جایگاه رقابتی در بازار و رسیدن به اهداف، پیادهسازی فرایند مدیریت ریسک سازمانی امری ضروری محسوب میشود. افزون بر این، به دلیل الزام در اعمال پیوسته و مداوم نظرات ذینفعان در مورد وضعیت ریسک در کل سازمان و نهادینهسازی فرهنگ ریسک، اجرایی کردن این فرایند اهمیت مییابد. فاصله میان تصمیمگیری در این زمینه و اجرایی کردن آن از اصلیترین مسائل در پیادهسازی مدیریت ریسک است، چرا که اکثر مدیران در انتخاب چارچوب و متدولوژی مناسب مدیریت ریسک مشکلات اساسی دارند.
هیئتمدیره، مدیران عامل، مدیران کسبوکار و فناوری اطلاعات و متخصصان ریسک در کل سازمان نیازمند راهنمایی هستند تا بتوانند فرایند مدیریت ریسک را با توجه به شرایط داخلی و خارجی سازمان خود، گامبهگام و مؤثر اجرا کنند؛ بنابراین لازم است با استفاده از بهروشها و چارچوبهای رایج، این فاصله را به حداقل رساند و راهنمایی برای مدیران و سایر مخاطبان فراهم کرد. چارچوب COBIT میتواند ابزاری مناسب برای کاستن این فاصله باشد و به اجرایی کردن فرایند مدیریت ریسک کمک شایانی کند. در شکل صفحه روبهرو تعدادی از پرسشهای رایج در این مسیر به همراه پاسخ آنها نشان داده شده است.
COBIT چارچوبی برای توسعه، پیادهسازی، نظارت و بهبود حاکمیت و مدیریت فناوری اطلاعات است. در نگاه نخست این چارچوب زبان مشترکی برای برقراری ارتباط میان مدیران کسبوکار و مدیران فناوری اطلاعات برای رسیدن به درک مشترک از مقاصد و اهداف یکدیگر است و در نگاه عمیقتر، در حقیقت این امکان را میدهد تا به اهداف عملیاتی نظام حاکمیتی و مدیریتی در سازمان دست یافت؛ به عبارت دیگر: خلق ارزش از طریق ایجاد حفظ تعادل میان تحقق منافع، مدیریت ریسک و بهینهسازی منابع.
جایگاه ریسک در این هدف میتواند نمایانگر این موضوع باشد که مدیریت ریسک در خلق ارزش برای هر سازمانی نقش بسزایی داشته و یک فعالیت مجزا نبوده و در تعامل با سایر فعالیتها در حوزه تحقق منافع و بهینهسازی منابع باعث خلق ارزش خواهد شد. این چارچوب در حوزه مدیریت ریسک، راهنمای انتها به انتها و متدولوژی لازم برای ارزیابی و پاسخگویی به ریسک ارائه میدهد. COBIT 5 به پیدایش دید دقیقتر نسبت به ریسکهای کنونی و آینده در سازمان و مشخص کردن مسئولیتهای مربوط به ریسک در کل سازمان کمک میکند. همچنین نمونههای عملی از سناریوهای رایج را در حوزه فناوری اطلاعات در قالب پروفایلهای ریسک معرفی کرده است.
چارچوب COBIT 5 تمامی ۱۱ اصل مدیریت ریسک در استاندارد ISO 31000 را با پنج اصل و هفت توانمندساز پوشش میدهد. همچنین تمامی جنبههای موجود در چارچوب و فرایند مدیریت ریسک تعریفشده در استاندارد ISO 31000، در مدل فرایندی COBIT 5 نیز وجود دارد.
COBIT5 هفت دسته توانمندساز را در بر میگیرد:
- اصول، خط مشیها و چارچوبها
- فرایند
- ساختار سازمانی
- فرهنگ، رفتار سازمانی و اصول اخلاقی
- اطلاعات
- سرویسها، زیرساخت و برنامههای کاربردی
- افراد، مهارتها و شایستگیها.
تمامی این توانمندسازها در هر دو لایه حاکمیت و مدیریت ریسک کاربرد دارند. هدف اصلی از پیادهسازی چارچوب COBIT 5 استفاده از این هفت توانمندساز برای تصحیح، تسهیل و تسریع فرایند مدیریت ریسک است که در ادامه به تفکیک بررسی میشوند.
1. اصول، خطمشیها و چارچوبها
اصول ریسک بر سیستماتیک بودن، بهموقع و نظاممند بودن فرایند مدیریت ریسک تمرکز دارد تا بتواند نتایج قابل اطمینان و قابل مقایسه ارائه دهد. برای تهیه راهنمایی بیشتر بهمنظور عملی کردن اصول مدیریت ریسک، به مجموعهای از خطمشیها نیاز است. برای نمونه خطمشی مدیریت ریسک باید دربرگیرنده حاکمیت ریسک، چارچوب مدیریت ریسک، نقشها و مسئولیتها و دامنه اجرای این فرایند باشد. خطمشیهای امنیت اطلاعات، تداوم کسبوکار، تقلب، تغییرات، کنترل داخلی و… از نمونههای دیگری هستند که در اجرایی کردن مدیریت ریسک نقش مهمی دارند.
2. فرایندها
در چارچوب COBIT 5 در دامنههای حاکمیت و مدیریت در مجموع ۳۷ فرایند معرفی شده است. در این میان یک فرایند در دامنه حاکمیت و دیگری در دامنه مدیریت، بهصورت اختصاصی به موضوع مدیریت و کنترل ریسک میپردازد. برای پشتیبانی دو فرایند کلیدی مذکور، ۱۲ فرایند دیگر از جمله پایش و ارزیابی سیستم کنترل داخلی، پایش و ارزیابی انطباق با الزامات بیرونی، مدیریت استراتژی و… معرفی شده است. تمامی این فرایندها به همراه اقدامات، ورودی/خروجیها و معیارهای سنجش عملکردشان به کارایی فرایند مدیریت ریسک کمک میکند.
3. ساختارهای سازمانی
در چارچوب COBIT 5 نقشهای مختلفی تعریف شده است که پنج ساختار اصلی از میان آنها مؤثرترین نقشها در مدیریت ریسک محسوب میشوند. کمیته مدیریت ریسک سازمانی موظف به جهتدهی مدیریت ریسک در کل سازمان بوده. این کمیته باید بهصورت منظم به هیئتمدیره گزارش ارائه دهد و برای تسهیل فرایند مدیریت ریسک اقداماتی از قبیل تفویض اختیار به مالکان ریسک را انجام دهد.
گروه مدیریت ریسک سازمانی نیز از دیگر ساختارهای تعریفشده مؤثر است که شامل مدیران ریسک، تحلیلگران ریسک و سایر متخصصان در حوزه امنیت و کسبوکار میشود. این گروه موظف به اجرای مراحل مختلف شناسایی، تحلیل و برخورد با ریسک ضمن همکاری مالکان فرایندهاست. واحدهای ممیزی و انطباق نیز از دیگر ساختارهایی هستند که در راستای پایش وضعیت کنترلهای داخلی و انطباق با الزامات به واحد مدیریت ریسک اطلاعات و گزارش ارائه میکنند.
4. فرهنگ، رفتار سازمانی و اصول اخلاقی
رفتارهای سازمانی نقش مؤثر در استقرار و نگهداشت فرهنگ مبتنی بر ریسک دارد که این رفتارها در سطوح مختلف از جمله سطح مدیریتی، متخصصان ریسک و عمومی طبقهبندی میشود. برای نمونه کارمندان باید اهمیت کاهش ریسک در سازمان را درک کنند و بدانند که کنترل ریسک باعث بالا بردن ارزش نقش آنها در سازمان میشود. از طرف دیگر متخصصان ریسک باید در طول انجام فرایند مدیریت ریسک با ذینفعان داخلی رابطه دوطرفه داشته باشند و اطمینان حاصل کنند که آگاهیرسانی در زمینه ریسک بهصورت کامل انجام شده و دو طرف به درک مشترکی از اهداف یکدیگر رسیدهاند. در سطح بالاتر نیز مدیران باید برای انجام اقدامات لازم بابت پاسخگویی به ریسک، سطوح اختیارات لازم را به کارمندان تفویض کنند. تمام این رفتارهای سازمانی میتوانند توسط قوانین داخلی، مکانیسمهای پاداش و افزایش آگاهیرسانی بهصورت هدفمند کنترل شوند.
5. اطلاعات
انواع مستندات و گزارشهای مربوط به ریسک مانند پروفایل ریسک، نقشه ریسک، شاخصهای کلیدی ریسک، طرح تبادلی اطلاعات ریسک و… از جمله اطلاعاتی هستند که باید بهموقع، کامل و صحیح در اختیار افراد قرار گیرند، چرا که تصمیمهای مبتنی بر ریسک بر اساس این اطلاعات گرفته میشوند. برای نمونه پروفایل ریسک باید شامل ثبت اطلاعات کامل سناریوی ریسک، تحلیل آن، طرحهای برخورد با ریسک، تاریخچه آن و فاکتورهای مؤثر در شناسایی و تحلیل ریسک (KRI) باشد.
6. سرویسها، زیرساخت و برنامههای کاربردی
سرویسهایی مانند مدیریت برنامهها و پروژهها، مدیریت بحران و مدیریت رخداد میتوانند نمونههایی از سرویسهای مؤثر در مدیریت ریسک محسوب شوند. پایگاه دانش و منابع اطلاعاتی بهروز نیز میتوانند زیرساخت مناسبی برای اجرایی کردن این فرایند باشند. همچنین ابزارهای GRC، ابزار مناسب تحلیل ریسک، ابزار مدیریت تداوم کسبوکار و ابزارهای گزارشدهی و تبادل اطلاعات در کارایی و اثربخشی فرایند مدیریت ریسک نقش مؤثری دارند.
7. افراد، مهارتها و شایستگی
مهارتهای مدیریتی، قدرت تحلیل ریسک، روابط اجتماعی مناسب برای تبادل اطلاعات و رسیدن به درک مشترک در رابطه با ریسکها، تاثیرگذاری بیشتر بر طرف مقابل و مهارتهای فنی کافی از ملزومات اجرای فرایند مدیریت ریسک در سازمان به شمار میروند. نقشهای مختلف در این فرایند باید دارای سطح کافی از مهارتهای ذکرشده باشند تا انتظار کارایی و اثربخشی بیشتر مدیریت ریسک معقول بنماید.
ناگفته نماند که قابلیتهای هر توانمندساز در تعامل با سایر توانمندسازها و در کنار آنها تکامل مییابد؛ بنابراین باید برنامهای برای استقرار و اجرای تمامی آنها بهصورت موازی و گامبهگام در سازمان در نظر گرفته شود. با این حال برداشتن هر گام صحیح در این مسیر، چه بسا کوچک، میتواند در طول زمان فاصله میان درک اهمیت مدیریت ریسک و اجرایی کردن آن در سازمان را کاهش دهد و موجب خلق ارزش شود.
توانمندسازها در «کوبیت» نقش اهرمهای کنترلی را ایفا میکنند که مدیریت ارشد اجرایی در پنل کنترل سازمان در اختیار دارند. ضعف در هر یک از این توانمندسازها در سازمان باعث نبود قطعیت در تحقق اهداف سازمانی و به تعبیر دیگر ریسک سازمانی میشود. بدیهی است اگر مدیران ارشد سازمان بستر و زیرساخت مناسبی بر اساس توانمندسازهای مطرحشده در سازمان فراهم کنند، به طور ضمنی ریسکهای سازمان نیز کاهش مییابند و مدیریت میشوند و اثربخشی حاصل از بهکارگیری فرایند مدیریت ریسک سازمانی و دستاوردهای اجرای آن در سازمان مورد توجه قرار خواهد گرفت.
با این حال در اغلب سازمانها بین سیاستها و روشهای مدیریتی و بهرهگیری از چارچوبها و استانداردها در عمل رویکرد مناسب اجرایی لحاظ نشده است و این امر باعث کاهش اثربخشی تصمیمات مدیریتی و نیز ناکامی در استقرار سیستمها و استانداردهای مدیریتی میشود. برطرف کردن این شکاف در تصمیم و اجرا جز با نهادینهسازی دانش مدیریت مبتنی بر ریسک و تغییر نگرش در میان مدیران ارشد سازمان ممکن نیست. مدیریت اثربخش در هر حوزهای از جمله حوزه مدیریت ریسک سازمانی نیازمند تحول جدی نگرشهای مدیریتی در سازمان بر اساس الگوهای موفق است. در اولین گام باید این دانش در مدیران شکل گیرد که مدیریت ریسک باعث بالا رفتن سرعت و دقت در تصمیمات سازمانی میشود