خطوات عملية إدارة المخاطر
تمر عملية إدارة المخاطر بالمفهوم الحديث( الواقعية) بالخطوات التالية:
أولاً: التحضير : الخطوة الأولى في عملية إدارة المخاطر هي التخطيط للعملية، ورسم خريطة نطاق العمل.
ثانياً: تحديد المخاطر: أي التعرف على المخاطر ذات الأهمية. والمخاطر هي عبارة عن أحداث عند حصولها تؤدي إلى مشاكل، وعليه يمكن أن يبدأ التعرف إلى المخاطر من مصدر المشاكل أو المشكلة بحد ذاتها. وعندما تعرف المشكلة أو مصدرها فإن الحوادث التي تنتج عن هذا المصدر أو تلك التي قد تقود إلى مشكلة يمكن البحث فيها. والطرائق الشائعة للتعرف على المخاطر هي:
• التحديد المعتمد على الأهداف: إن المنظمات والفرق العاملة على مشروع ما جميعها لديها أهداف، فأي حدث يعرض تحقيق هذه الأهداف إلى خطر سواء جزئياً أو كلياً يعتبر خطورة.
• التحديد المعتمد على السيناريو: في عملية تحليل السيناريو يتم خلق سيناريوهات مختلفة قد تكون طرق بديلة لتحقيق هدف ما أو تحليل للتفاعل بين القوى في سوق أو معركة، لذا فإن أي حدث يولد سيناريو مختلف عن الذي تم تصوره وغير مرغوب به، يعرف على أنه خطورة.
• التحديد المعتمد على التصنيف: وهو عبارة عن تفصيل جميع المصادر المحتملة للمخاطر.
• مراجعة المخاطر الشائعة: في العديد من المؤسسات هناك قوائم بالمخاطر المحتملة.
ثالثاً: التقييم: بعد التعرف على المخاطر المحتملة يجب أن تجرى عملية تقييم لها من حيث شدتها في إحداث الخسائر واحتمالية حدوثها. أحياناً يكون من السهل قياس هذه الكميات وأحياناً أخرى يتعذر قياسها. وصعوبة تقييم المخاطر تكمن في تحديد معدل حدوثها، حيث أن المعلومات الإحصائية عن الحوادث السابقة ليست دائما متوفرة. وكذلك فإن تقييم شدة النتائج عادةً ما يكون صعب في حالة الموجودات غير المادية.
رابعاً: التعامل مع المخاطر: بعد أن تتم عملية التعرف على المخاطر وتقييمها فإن جميع التقنيات المستخدمة للتعامل معها تقع ضمن واحدة أو أكثر من أربع مجموعات رئيسية:
• النقل: وهي وسائل تساعد على قبول الخطر من قبل طرف آخر، وعادة ما تكون عن طريق العقود أو الوقاية المالية. التأمين هو مثال على نقل الخطر عن طريق العقود. وقد يتضمن العقد صيغة تضمن نقل الخطر إلى جهة أخرى دون الالتزام بدفع أقساط التأمين.
• التجنب: هي عملية أو محاولة تجنب النشاطات التي تؤدي إلى حدوث خطر ما. ومثال على ذلك عدم شراء ملكية ما أو الدخول في عمل ما لتجنب تحمل المسؤولية القانونية. إن التجنب يبدو حلاً لجميع المخاطر ولكنه في الوقت ذاته قد يؤدي إلى الحرمان من الفوائد والأرباح التي كان من الممكن الحصول عليها من النشاط الذي تم تجنبه.
• التقليص: طريقة للتقليل من حدة الخسائر الناتجة. ومثال على ذلك شركات تطوير البرمجيات التي تتبع منهجيات للتقليل من المخاطر وذلك عن طريق تطوير البرامج بشكل تدريجي.
• القبول (الاحتجاز): وتعني قبول الخسائر عند حدوثها. إن هذه الطريقة تعتبر استراتيجية مقبولة في حالة المخاطر الصغيرة، والتي تكون فيها تكلفة التأمين ضد الخطر على مدى الزمن أكبر من إجمالي الخسائر. كل المخاطر التي لا يمكن تجنبها أو نقلها يجب القبول بها. وتعد الحرب أفضل مثال على ذلك حيث لا بمكن التأمين على الممتلكات ضد الحرب.
خامساً: وضع الخطة: وتتضمن أخذ قرارات تتعلق باختيار مجموعة الطرائق التي ستتبع للتعامل مع المخاطر، وكل قرار يجب أن يسجل ويوافق عليه من قبل المستوى الإداري المناسب. على الخطة أن تقترح وسائل تحكم أمنية تكون منطقية و قابلة للتطبيق من اجل إدارة المخاطر. وكمثال على ذلك يمكن تخفيف مخاطر الفيروسات التي تتعرض لها الكمبيوترات من خلال استخدام برامج مضادة للفيروسات.
سادساً: التنفيذ: ويتم في هذه المرحلة إتباع الطرائق المخطط أن تستخدم في التخفيف من أثار المخاطر. يجب استخدام التأمين في حالة المخاطر التي يمكن نقلها إلى شركة تأمين. وكذلك يتم تجنب المخاطر التي يمكن تجنبها دون التضحية بأهداف السلطة، كما ويتم التقليل من المخاطر الأخرى والباقي يتم الاحتفاظ به.
سابعاً: مراجعة و تقييم الخطة: تعد الخطط المبدئية لإدارة المخاطر ليست كاملة. فمن خلال الممارسة والخبرة والخسائر التي تظهر على أرض الواقع، تظهر الحاجة إلى إحداث تعديلات على الخطط، واستخدام المعرفة المتوفرة لاتخاذ قرارات مختلفة.
يجب تحديث نتائج عملية تحليل المخاطر وكذلك خطط إدارتها بشكل دوري، وذلك يعود للأسباب التالية:
1. من اجل تقييم وسائل التحكم الأمنية المستخدمة سابقا إذا ما زالت قابلة للتطبيق وفعالة.
2. من اجل تقييم مستوى التغييرات المحتملة للمخاطر في بيئة العمل، فمثلا تعتبر المخاطر المعلوماتية مثالا جيدا على بيئة عمل سريعة التغيير.
