الگوهای کنترل ریسک


خاصیت چرخه‌ای بودن فرآیند مدیریت ریسک امنیت اطلاعات را در تصویر مشاهده می‌کنید

پنج گام مهم برای مدیریت ریسک امنیت اطلاعات و مقابله با آن

پریا باقری، کارشناس پیاده‌سازی و استقرار گروه فناوری پرند / در فرآیند مدیریت ریسک امنیت اطلاعات، باید دقیقاً مشخص کنیم که می‌خواهیم چه راهبردی را در مواجهه با ریسک‌های سازمان در پیش بگیریم. اما پیش‌شرط ورود به این بحث، داشتن درک درستی از مفهوم ریسک و آگاهی از اهمیت شناخت و مدیریت آن است.

اینکه اساساً «ریسک» چیست و «مدیریت ریسک» به‌طور عام، چه کمکی به بهبود مستمر هر سازمانی می‌کند، موضوع بحث دیگری است که می‌توانید آن را در یادداشتی با عنوان «با مدیریت ریسک، سکان هر رخدادی در دستان شماست» پی بگیرید.

در این یادداشت، با این پیش‌فرض که خواننده درک درستی از مفاهیم موردنظر دارد، به بررسی فرآیندهای مدیریت ریسک می‌پردازیم. نقطه شروع فرآیند مدیریت ریسک در شناسایی درست ریسک‌هاست. این همان کاری است که در گام اول فرآیند مدیریت ریسک امنیت اطلاعات انجام می‌دهیم.

در گام اول، یعنی «ارزیابی ریسک»، با «تحلیل ریسک» و «سنجش ریسک» می‌توانیم ریسک‌ها را به‌درستی شناسایی و مشخص کنیم که کدام‌یک از آن‌ها برای سازمان پذیرفته و کدام‌یک پذیرفته نیستند.

پرسش اینجاست که با ریسک‌هایی که برای سازمان پذیرفته نیستند چه باید کرد؟ آیا سازمان باید برای همه این ریسک‌ها از طرح‌های کاهش ریسک استفاده کند؟ گزینه‌های پیش رو چیست؟ پاسخ این پرسش را در گام‌های بعدی فرآیند مدیریت ریسک امنیت اطلاعات خواهید یافت.

چنان‌که در شکل زیر مشاهده می‌کنید، فرآیند مدیریت ریسک امنیت اطلاعات از پنج گام تشکیل شده که دو گام اصلی آن ارزیابی ریسک و مقابله با ریسک هستند. اما، سه‌گام بعدی یعنی ارتباط، پایش و بازنگری ریسک نیز از اجزای جدایی‌ناپذیر این فرآیند به‌شمار می‌آیند.

خاصیت چرخه‌ای بودن فرآیند مدیریت ریسک امنیت اطلاعات را در تصویر مشاهده می‌کنید

نکته حائز اهمیت در گام‌های فرآیند مدیریت ریسک امنیت اطلاعات، که در تصویر هم مشاهده می‌کنید، خاصیت چرخه‌ای بودن آنها است. این نشان‌دهنده یک‌مرحله‌ای نبودن این فرآیند است. لذا، بهبود مستمر از ویژگی‌های آن است. برای روشن‌تر شدن مطلب در ادامه، شرح مختصری از هر گام ارائه می‌شود.

گام اول: ارزیابی ریسک (Risk Assessment)

کلیه فعالیت‌های مربوط به فرآیند مدیریت ریسک امنیت اطلاعات از این گام آغاز می‌شوند که خود شامل دو مرحله است:

۱- تحلیل ریسک (Risk Analysis)

عنوان «تحلیل ریسک» را می‌توان در یک عبارت خلاصه کرد: استفاده نظام‌مند از اطلاعات برای شناسایی و تخمین ریسک (Risk Estimation). در واقع، تمام فعالیت‌های مربوط به شناسایی، دسته‌بندی و ارزش‌گذاری دارایی‌های اطلاعاتی و نیز شناسایی سناریوهای ریسک، که معمولاً حاصل نگاشت آسیب‌پذیری‌ها و تهدیدات هستند، را می‌توان در این مرحله گنجاند.

اما به‌جز شناسایی موارد فوق، باید با توجه به روش‌شناسی مورد استفاده در فرآیند مدیریت ریسک، مقادیر مناسبی را به عوامل مختلف اختصاص داد تا بتوان «احتمال وقوع ریسک» و «اثرات و پیامدهای ریسک» را محاسبه کرد؛ به قولی، با استفاده از موارد فوق، باید بتوان ریسک را تخمین زد.

۲- سنجش ریسک (Risk Evaluation)

سنجش ریسک فرآیندی است که کمک می‌کند میزان اهمیت ریسک مذکور را برای سازمان تعیین کنیم. اما چگونه؟ از مقایسه ریسک تخمین زده‌شده، خروجی مرحله قبل، با معیارهای ریسک سازمان. در واقع، برای اینکه متوجه شویم سازمان چگونه به نتایج حاصل از محاسبات و تحلیل ریسک می‌نگرد، باید ابتدا مشخص کنیم که چه معیار یا معیارهایی برای پذیرفتن یا نپذیرفتن ریسک وجود دارند.

سازمان می‌تواند این معیارها را بر اساس روش‌شناسی ارزیابی ریسک، به‌صورت عددی، خطی یا ماتریسی تعیین کند؛ این کار با استفاده از ورودی‌هایی چون الزامات حقوقی و قانونی، تصمیمات مدیریتی، منابع در دسترس، نیازمندی‌ها و انتظارات ذی‌نفعان در حوزه امنیت اطلاعات و غیره، انجام می‌شود. بر این اساس، می‌توان مشخص کرد که از دیدگاه سازمان، کدام ریسک‌ها پذیرفتنی‌اند و کدام‌یک نیستند.

گام دوم: مقابله با ریسک (Risk Treatment)

در این گام، سازمان باید تعیین کند که چه راهبرد و برنامه‌ای برای مواجهه یا مقابله با ریسک‌های پذیرفته‌نشده دارد. مهم‌ترین خروجی این بخش، طرح مقابله با ریسک (RTP) است. در این طرح، سازمان ضمن اولویت‌بندی ریسک‌ها، هر یک از اقدامات مدنظر خود را برای مقابله با ریسک‌ها تشریح می‌کند.

در واقع، سازمان مجموعه‌ای از اقدامات و پروژه‌های تقابلی را تعریف می‌کند و برای هریک از آنها منابع مورد نیاز، زمان‌بندی، مسئول پیگیری و غیره را، همچون هر پروژه استاندارد دیگری، معین می‌کند.

گام سوم: ارتباط ریسک (Risk Communication)

در همه مراحل فرآیند مدیریت ریسک امنیت اطلاعات، همواره باید ارتباطات را، در حکم عاملی مهم، درنظر داشت. یعنی، در هریک از مراحل این فرآیند، باید ارتباط موثری میان دست‌اندرکاران ریسک، مشاوران، مدیران ارشد، مالکان دارایی، مالکان ریسک و یا سایر ذی‌نفعان برقرار شود.

برای مثال، در گام ارزیابی ریسک باید همه عوامل نام‌برده که نقش پررنگی در تصمیم‌گیری‌های سازمان دارند، مشارکت داشته باشند. از طرفی، مدیران ارشد در تصمیم‌گیری در مورد بازه و معیار ریسک پذیرفته‌شده و همچنین، تایید و اختصاص منابع مکفی به طرح‌های مقابله با ریسک، نقشی محوری دارند. این امر فقط از راه ارتباط و درگیری مناسب میان لایه‌های بالایی سازمان با لایه کارشناسی و عملیاتی در حوزه ریسک، میسر است.

گام چهارم: پایش و کنترل ریسک (Risk Control & Monitoring)

در این گام، بیش‌ترین تمرکز بر روی کنترل و پیگیری طرح‌های مقابله با ریسک است. پس در نگاه اول، باید مطمئن شد که اقدامات درنظر گرفته‌شده با زمان‌بندی تعیین‌شده هم‌خوانی دارند. نیز، باید میزان کاهش ریسک را بر مبنای انتظارات اولیه پایش کرد.

بدین‌ترتیب، باید وضعیت پروژه‌های RTP را مکرراً از نظر زمان‌بندی، میزان تاثیر، کیفیت و بهینگی بررسی و پایش کرد و در صورت نیاز به اصلاح موارد، اقدامات اصلاحی لازم را به عمل آورد. این اقدامات می‌توانند شامل تغییراتی در نحوه اعمال طرح‌ها، بازبینی سناریوهای ریسک، اختصاص منابع جدید و مواردی از این دست باشند.

گام پنجم: بازنگری ریسک (Risk Review)

چنان‌که پیش‌تر اشاره شد، نگاه پروژه‌ای به مدیریت ریسک، در حکم فرآیندی که یک نقطه شروع و یک نقطه پایان دارد، درست نیست؛ خاصیت چرخه‌ای این فرآیند نشان‌دهنده یک‌مرحله‌ای نبودن آن و بهبود مستمر از ویژگی‌های آن است.

به بیان دیگر، اقدامات لازم در فرآیند مدیریت ریسک باید در بازه‌های زمانی معینی تکرار شوند و از نتایج و تجاربی که در هر مرحله به‌دست می‌آید، در نقش ورودی و بازخورد، در مرحله جدید استفاده شود. نیز، باید بازه‌های مورد نظر برای بازنگری ریسک، با توجه به شرایط سازمان درنظر گرفته شوند و حداکثر یک‌ساله باشند.

برنامه‌ریزی برای مقابله با ریسک امنیت اطلاعات

برنامه‌ریزی برای مدیریت ریسک امنیت اطلاعات شامل فرآیند توسعه برنامه‌ها برای کم کردن تهدیدها و مقابله با ریسک‌هایی است که در مرحله ارزیابی ریسک، اولویت بالاتری از سایر ریسک‌ها داشته‌اند. در این مرحله از برنامه‌ریزی مدیریت ریسک، توجه حداکثری باید از آن ریسک‌هایی باشد که مهم‌تر و تاثیرگذارترند.

برای مقابله با ریسک پروژه معمولاً از روش‌های زیر استفاده می‌شود:

  1. پیشگیری: برنامه‌ریزی برای اقدامات پیشگیرانه لازم، برای کم کردن احتمال و پیشگیری از وقوع ریسک‌ها.
  2. کم کردن اثرات مخرب ریسک: چنانچه اقدامات پیشگیرانه اثربخش نباشند، باید به منظور مقابله با اثرات منفی وقوع ریسک و همچنین کنترل تاثیرات آن، برای اجرای کارهای اصلاحی برنامه‌ریزی شود. این برنامه شامل استفاده از طرح‌های جایگزین نیز است.
  3. جذب تاثیرات منفی: برای ریسک‌هایی که اولویت کمتری دارند و نیز، در مواردی که اقدامات اصلاحی تاثیرات مورد نظر را نداشته باشند، جذب تاثیرات منفی و مقابله با آن‌ها باید در برنامه پیش‌بینی شده باشد.

برنامه و طرح مدیریت ریسک باید به شکلی تنظیم شود که اولویت و فوریت ریسک‌ها در آن درنظر گرفته شده باشد. همچنین، برای تخصیص منابع و اجرای اقدامات لازم برای مواجهه با ریسک‌ها، باید به بودجه، زمان‌بندی و برنامه‌ریزی‌های دیگر پروژه برای مدیریت ریسک امنیت اطلاعات توجه شود.

اجرای طرح مقابله با ریسک امنیت اطلاعات

طرح مقابله با ریسک باید بسیار دقیق و برنامه‌ریزی‌شده باشد و عوامل مهمی که در ادامه برمی‌شماریم، در اجرای آن، مدنظر قرار گیرند.

۱- متناسب بودن با ریسک‌ها

منطقی نیست که منابع و زمان زیادی را به مقابله با ریسک‌هایی اختصاص داد که در اولویت پایین‌تری هستند و یا درجه احتمال وقوعشان کم است. چون این موضوع سبب غفلت از ریسک‌های مهم‌تر می‌شود و نداشتن توجه کافی به ریسک‌های مهم و تاثیرگذار می‌تواند بسیار خطرآفرین باشد. درنتیجه، برنامه‌ریزی و اختصاص منابع به ریسک‌ها باید با اولویت‌بندی ریسک‌های پروژه و اندازه و اهمیت پروژه متناسب باشد.

۲- هزینه‌محور بودن

زیاده‌ازحد هزینه کردن برای مقابله با ریسک‌ها، می‌تواند برای کل پروژه چالش‌زا باشد. پس در طرح مقابله با ریسک پروژه، باید به مسئله مدیریت هزینه توجهی ویژه کرد.

۳- واقع‌بینانه بودن

توسعه دادن طرح‌های نظری و غیر اجرایی نه‌تنها سبب اتلاف وقت و منابع می‌شود، بلکه ممکن است طرح را از مسیر اصلی خود منحرف کند و مشکلات بیش‌تری را، حتی در مقایسه با نداشتن برنامه‌ریزی، ایجاد کند. در برنامه‌ریزی برای مدیریت ریسک امنیت اطلاعات، لازمه دستیابی به طرحی واقع‌بینانه، داشتن توجهی ویژه به محدودیت‌ها و پیش‌فرض‌ها است.

۳- زمان‌بندی

واضح است که در هر طرحی باید با زمان‌بندی مشخصی داشت و در اجرای آن باید به زمان‌بندی موردنظر متعهد ماند.

۴- بانی و مسئول برنامه

در پروژه‌های بزرگ، طرح مقابله با ریسک امنیت اطلاعات باید دارای بانی و مسئول مشخصی باشد تا بتواند روند طرح را پیگیری و از اجرای درست آن اطمینان حاصل کند. همچنین، ریسک‌های مهم باید مسئول معینی داشته باشند تا مسئولیت کلی مدیریت ریسک، تشخیص ریسک پروژه و مقابله با آن، را برعهده بگیرد.

ورودی‌ها و خروجی‌های طرح مقابله با ریسک امنیت اطلاعات

  • ورودی‌های طرح مقابله با ریسک‌های پروژه عبارت‌اند از:
  • برنامه کلی مدیریت ریسک؛ به‌ویژه تعیین کسانی که قرار است مسئولیت توسعه طرح را برعهده داشته باشند؛
  • ریسک‌هایی که احتیاج به برنامه مقابله با ریسک دارند؛ چنان‌که پیش‌تر گفته شد، فقط باید برای ریسک‌هایی برنامه‌ریزی کرد که در اولویت الگوهای کنترل ریسک بالاتری هستند؛
  • وابستگی ریسک‌ها؛ منظور همان شاخصه‌های ریسک‌ها هستند؛ شاخصه‌هایی مانند ریشه و منبع ریسک، علائم و نشانه‌های وقوع ریسک، تاثیرات و میزان تهدید، احتمال وقوع، زمان احتمال وقوع و حوزه تاثیر؛
  • تعیین اولویت و فوریت ریسک؛ به منظور تعیین میزان کاری که باید برای هر ریسک انجام شود و منابع مورد نیاز آن؛
  • محدودیت‌ها؛ تعیین محدودیت‌ها در آماده‌سازی طرح مقابله با ریسک و اثرات این محدودیت‌ها بر سایر موارد بسیار مهم است. مهم‌ترین محدودیت‌ها در طرح مقابله با ریسک پروژه عبارت‌اند از:
    1. بودجه؛
    2. منابع؛
    3. زمان (محدودیت زمانی در اجرای طرح مقابله با ریسک)؛
    4. تغییرات (تغییراتی که بنا به علل گوناگون امکان‌پذیر نیستند).

خروجی‌های طرح مقابله با ریسک‌های پروژه عبارت‌اند از:

در این خروجی، باید برای تمام ریسک‌هایی که اولویت بالایی دارند، طرح مقابله تهیه شود. ضمناً باید برای هر ریسک، موارد زیر مشخص شده باشند:

  • حوزه‌های پروژه که ریسک بر روی آنها تاثیر می‌گذارد؛
  • مالک ریسک که می‌تواند شخص، تیم یا گروه باشد؛
  • نشانه و علائم وقوع ریسک؛
  • استراتژی مقابله با ریسک (برای مثال، جلوگیری، استفاده از برنامه جایگزین، کم کردن تاثیرات مخرب و …)؛
  • طرح مقابله، برای طرح‌هایی که می‌توان در آن‌ها از روش‌های مختلف استفاده کرد؛
  • بودجه و منابع تخصیص داده‌شده به ریسک؛
  • زمان‌بندی برای اجرای برنامه مقابله؛
  • برنامه‌های اضطراری و جایگزین، به‌ویژه برای ریسک‌های با درجه اهمیت بالا.

راه پرداخت بهترین منبع شما برای دانستن هر چیزی درزمینه فناوری‌های مالی (فین‌تک) است. راه پرداخت به شما کمک می‌کند در جریان رویدادها و روندهای فین‌تک ایران و جهان قرار بگیرید. شما در راه پرداخت می‌توانید آخرین خبرها و تحلیل‌های نویسندگان و تحلیلگران ایرانی و خارجی را مطالعه کنید.

مدیریت الگوهای کنترل ریسک ریسک

ریسک چیست و انواع آن

ریسک در زبان عامیانه به احتمال وقوع حادثه یا اتفاقی ناخوشایند گفته می‌شود. دانستن اینکه ریسک چیست در زندگی روزمره می‌تواند از بروز خسارات جلوگیری کند. در بازارهای مالی به احتمال تفاوت بازده واقعی (actual gain) سرمایه‌گذاری با بازده مورد…

متنوع کردن (diversification) سبد سرمایه گذاری و مزایای آن

  • آوریل 8, 2020
  • آریا زنگی آبادی
  • مدیریت ریسک , مدیریت سبد
  • 0 نظر

متنوع کردن سبد سرمایه گذاری به معنی داشتن تعداد بیشتری از سهام یا انواع دارایی در سبد سرمایه‌گذاری است. افراد با تجربه و متخصص و همچنین شرکت های سرمایه ‌گذاری همواره برای سرمایه‌گذاری تشکیل سبد (Portfolio) می‌دهند و هیچگاه کلیه…

حسابرسی داخلی

واحدهای عملیاتی نخستین سطح این مدل هستند. این واحدها در محدوده تعیین‌شده برای پذیرش ریسک، مسئول شناسایی، ارزیابی و کنترل ریسک‌های مربوط به کسب و کار خود هستند. دومین سطح کنترل، شامل واحدهای پشتیبانی مانند واحدهای مدیریت ریسک، تطبیق، حقوقی، بازرسی، منابع انسانی، تأمین مالی، عملیات و فن‌آوری می‌شود. هریک از این واحدها، با برقراری ارتباط نزدیک با واحدهای عملیاتی، اطمینان حاصل می‌کنند که ریسک‌های موجود در سطح صف به شکل مناسب شناخته و مدیریت شده‌اند. واحدهای پشتیبانی به تعریف راهبرد، پیاده‌سازی رویه‌ها و سیاست‌های بانک و جمع‌آوری اطلاعات برای ایجاد نگرشی درباره ریسک در سطح کل بانک کمک می‌کنند..

طبق نظر کمیته بال (2015)، واحد مدیریت ریسک، مؤلفه ای کلیدی از سطح دوم دفاعی بانک است. این واحد مسئولیت پایش فعالیت­های ریسک پذیری را در سراسر بانک بر عهده دارد و به همین منظور لازم است از اقتدار کافی در درون سازمان برخوردار باشد.

واحد حسابرسی داخلی به منزله سطح سوم دفاعی در نظام کنترل داخلی به شمار می آید. حسابرسی داخلی، با ارزیابی کیفیت و اثربخشی کنترل داخلی، مدیریت ریسک، سیستم ها و فرآیندهای حاکمیتی بانک به هیأت مدیره و مدیریت ارشد در حفاظت از سازمان یاری می رساند.

ارتباط میان نظام کنترل داخلی و مدل 3 خط دفاعی

دستیابی به اهداف برای هیچ شرکتی به سهولت امکان پذیر نخواهد بود و همیشه عوامل تهدید کننده در این راه وجود خواهد داشت. بر این اساس با ارائه چارچوب کنترل داخلی کوزو(2013) و مدل سه خط دفاعی منتشر شده توسط انجمن حسابرسان داخلی (2013) مدلی ترکیبی جهت تخصیص بهینه وظایف در سازمان ایجاد گردید.

در این مدل ترکیبی، تفاوت بین فعالیت های نظارتی و اطمینان بخشی به خوبی آشکار می گردد. عدم درک فعالیت های مزبور می تواند سبب سوء برداشت و گمراهی مدیران و در نهایت عدم تخصیص اثربخش وظایف و کاهش احتمال دستیابی به اهداف سازمان گردد.

چارچوب مدل کنترل داخلی در راستای دستیابی به اهداف سازمانی

یک سازمان، ماموریت و چشم اندازی را تصویب، استراتژی هایی را تعیین، اهداف مدنظر را مشخص و برنامه های لازم برای تحصیل آن ها را تدوین می نماید. اهداف ممکن است برای یک واحد تجاری به عنوان یک کل یا برای فعالیت های خاص درون آن تعیین گردند. هرچند، بسیاری از اهداف خاص یک واحد تجاری معین هستند، برخی از آن ها تا حد زیادی مشترک می باشند.

یک رابطه مستقیم بین اهداف، که عبارتند از آن چه که یک واحد تجاری جهت دستیابی به آن ها تلاش می کند، اجزاء که نشان دهنده آن چه برای دستیابی به اهداف مورد نیاز و لازم است و ساختار واحد تجاری وجود دارد. این ارتباط را می توان به شکل یک مکعب نمایش داد.

- سه طبقه اهداف در ستون ها نمایش داده شده اند.

- پنج جزء کنترل داخلی در ردیف ها نشان داده شده اند.

- ساختار سازمانی که نشان دهنده کل سازمان، بخش ها و شرکت های فرعی، واحدهای عملیاتی، یا وظایف شامل فرآیندهای کسب و کار از جمله فروش، خرید، تولید و بازاریابی و هرآنچه که کنترل داخلی با آن مرتبط می باشد، از طریق بعد سوم مکعب نمایش داده شده است.

هرجزء کنترل داخلی در رابطه با هر سه طبقه اهداف کاربرد دارد. برای مثال، جذب، توسعه و نگهداشت افراد با صلاحیت که توانایی اجرای کنترل داخلی را دارند جزئی از محیط کنترلی به هر سه طبقه اهداف مربوط می شود.

کنترل داخلی یک فرآیند پویا، تعاملی و یکپارچه است. برای مثال ارزیابی ریسک نه تنها بر محیط کنترلی و فعالیت­های کنترلی اثرگذار بوده، بلکه ممکن است نشان دهنده نیاز به تجدید نظر در الزامات واحد تجاری در مورد اطلاعات و ارتباطات، یا فعالیت های نظارتی آن نیز باشد.

در راستای اجرای نظام مدیریت ریسک وکنترل داخلی می توان از مدل سه خط دفاعی به شرح زیر استفاده نمود؛

خط سوم دفاعی

خط دوم دفاعی

خط اول دفاعی

حسابرسی داخلی

کنترل مالی

اندازه گیری کنترل های داخلی

مدیریت کنترل

امنیت

مدیریت ریسک

کیفیت

بازرسی

تطبیق

چارچوب مدل سه خط دفاعی در راستای استقرار نظام کنترل داخلی

ساختار فوق به شفاف شدن نقش ها و مسئولیت های هر فردی در درون سازمان کمک می نماید. زمانی که سازمان ساختار مزبور را تشکیل دهد و هریک به طور اثربخش عمل نماید، انتظار می رود هیچ فعالیت مضاعف و زائدی باقی نماند و هیچ فعالیت مهمی بدون مسئول نباشد. این ساختار برای پشتیبانی از چارچوب کنترل داخلی دارای انعطاف است. وظایف درون هر یک خط می تواند در هر سازمانی متفاوت باشد.در همین راستا برخی وظایف می تواند در امتداد خطوط دفاعی با یکدیگر ترکیب شود.

بنیان ساختار اشاره شده در بالا بر این اساس است که سه گروه (خط دفاعی) برای مدیریت اثربخش ریسک و کنترل ضروری هستند. هریک از این سه خط نقش جداگانه ای در چارچوب حاکمیتی سازمان ایفا می کند. زمانی که هریک از این سه خط، مسئولیت خود را به طور اثربخش ایفا نماید احتمال موفقیت سازمان در دستیابی به اهداف افزایش می یابد.

کاربرد الگوی ارزش در معرض ریسک در مدیریت سبد سرمایه گذاری فناورانه (مطالعه موردی در صنعت نفت ایران)

1 دانشجوی دکتری مهندسی صنایع، دانشکده مهندسی صنایع، دانشگاه صنعتی امیرکبیر، تهران، ایران.

2 دانشیار گروه مهندسی صنایع، دانشکده مهندسی صنایع، دانشگاه صنعتی امیرکبیر، تهران، ایران.

چکیده

فناوری زیربنای توسعه محصولات و خدمات و در نتیجه زیرساخت نیل به اهداف سازمانی و تحقق راهبردهای سازمانی است. رویکرد مدیریت سبد فناوری از جمله رویکردهای نسبتاً نوین و در عین حال محبوب در ادبیات مدیریت فناوری است. مسأله مدیریت سبد فناوری عبارت از توزیع مناسب سرمایه و منابع میان مجموعه ای از فناوری ها به گونه ای است که بیشترین اثربخشی را در ارتباط با دستیابی به اهداف سازمانی فراهم نماید. در سال های اخیر عوامل و معیارهای متنوعی توسط صاحب نظران برای انتخاب و مدیریت سبد فناوری پیشنهاد شده است. این مقاله در صدد است تا ضمن مرور اجمالی برخی از این معیارها و معرفی مجموعه ای از معیارها برای انتخاب سبد فناوری در یکی از بخش های صنعت نفت کشور، با بازتعریف مفاهیم و ریسک و بازگشت سرمایه متناسب با فضای مدیریت فناوری و در چارچوب نظریه کلی سبد، مدلی را با مناسب سازی مفهوم «ارزش در معرض ریسک» که از معیارهای شناخته شده سنجش ریسک در مدیریت مالی است توسعه داده و برای انتخاب سبد فناوری به کار گیرد. مدل معرفی شده در این مقاله قادر است با محاسبه میزان توانمندی سبد فناوری در دستیابی به اهداف راهبردی و پشتیبانی از آن ها، تصمیم گیرندگان را در فرآیند سرمایه گذاری بر هر سبد فناوری یاری نماید.

کلیدواژه‌ها

  • سبد فناوری
  • مدیریت ریسک
  • ارزش در معرض ریسک
  • بازگشت سرمایه
  • سرمایه گذاری فناورانه

عنوان مقاله [English]

Application of Value at Risk Model in Technological Investment Portfolio Management - A Case in Iranian Petroleum Industry

نویسندگان [English]

  • Sayed Farhang Fasihi 1
  • Mirmehdi Seyed Esfahani 2
  • Hamid Davoudpour 2

1 PhD candidate of Industrial Engineering, Faculty of Industrial Engineering, Amirkabir University of Technology, Tehran, Iran.

2 Associate Professor, Faculty of Industrial Engineering, Amirkabir University of Technology, Tehran, Iran.

Technology portfolio is a rather recent and popular approach in the literature of technology management. The problem of technology portfolio management is to find the appropriate distribution of capital & resources among a set of technologies, provides the highest effectiveness in accessing the organizational goals. In recent years various factors & criteria are proposed by experts for selection and management of technology portfolios. This paper, while providing a brief overview on common factors and criteria for technology portfolio selection and by introducing a set of tailored criteria for technology portfolio selection in a subsector of Iranian oil & gas industry, develops a new model based on the very well-known "Value at Risk” model. VaR originates from the literature of financial management and we have applied it in technology portfolio selection by redefining the concepts of risk and return of investments in alignment with technology management and in the general framework of portfolio theorem. The introduced model enables decision makers of technological investments to calculate the capability of technology portfolios in supporting the organizational objectives.

مجله علمی پژوهشی

Iran Occupational Health

Pouyakian M, Khatabakhsh A, Jafari M J. The analysis of hazard identification and risk assessment studies with the approach to assessing risk control measures since 2001 to 2017: A systemic review. ioh. 2020; 16 (6) :1-15
URL: http://ioh.iums.ac.ir/article-1-2462-fa.html

پویاکیان مصطفی، خطابخش اشکان، جعفری محمد جواد. آنالیز مطالعات شناسایی خطر و ارزیابی ریسک با رویکرد ارزیابی راهکارهای کنترلی از سال 1380 تا 1396 در ایران: یک مرور سیستماتیک. سلامت كار ايران. 1398; 16 (6) :15-1

چکیده
زمینه و هدف: امروزه رشد و پیچیدگی روز افزون فناوری و صنعت، در طول چند دهه اخیر سبب ایجاد تغییرات گسترده‌ای شده است. این تغییرات علاوه بر آثار مثبت و ارزشمند خود، سبب بروز حوادث صنعتی ناگوار اثرگذار برروی زندگی انسان و محیط زیست نیز گردیده است. حوادث شغلی از دیرباز یکی از علل اصلی مرگ­ و میر و تحمیل هزینه­ های سنگین به اقتصاد کشورها بوده ­است. مطالعات متنوعی بمنظور شناسایی خطرات و ارزیابی ریسک انجام شده ­است. اما بنظر میرسد مطالعه ­ای بصورت سیستماتیک به بررسی جامع آن­ها نپرداخته­ است. لذا هدف مطالعه حاضر، بررسی جامع و سیستماتیک مقالاتی با رویکرد شناسایی خطر، ارزیابی و کنترل ریسک، بمنظور فراهم آوردن اطلاعات ارزشمند برای محققان، شناسایی خلاءهای موجود با توجه ویژه به ارزیابی راهکارهای کنترلی و پیشنهاد زمینه ­های مطالعاتی جدید می ­باشد.
روش بررسی: مقالات بصورت مرورسیستماتیک در مجلات مصوب علمی فارسی در بازه­ ی زمانی 1380 تا 1396 مورد بررسی قرار­ گرفتند. با توجه به هدف تنها مقالاتی مورد بررسی قرار گرفتند که به شناسایی خطرات، ارزیابی و کنترل ریسک ایمنی شغلی در سازمان­ ها پرداخته بودند. در نهایت از تعداد 558 مقاله استخراج شده، 32 مقاله انتخاب شد. بمنظور استخراج اطلاعات علاوه بر بررسی عنوان، چکیده و نتایج، در مواردی که اطلاعات مورد نیاز از بخش‌های مذکور بدست نمی‌آمد، از متن کامل مقالات استفاده شد. از جمله اطلاعاتی که از مقالات استخراج و ثبت گردید، می‌توان به عنوان مقاله، سال انتشار، عنوان مجله، صنعت، منطقه، روش شناسایی خطر، روش ارزیابی ریسک، راهکارهای کنترل ریسک و مبنای انتخاب و ارزیابی آن‌ها اشاره نمود.
یافته ­ها: در این بررسی در کل 12 روش شناسایی خطرات تعیین شدند. دو روش JSA و FMEA پرکاربردترین روش های شناسایی خطرات بودند. در این مطالعه در کل 18 روش ارزیابی ریسک شناسایی شد. دو روش RPN و MIL-STD-882E پراستفاده‌ترین روش‌های ارزیابی ریسک بودند. در برخی از مطالعات تفاوت فرایندهای شناسایی خطر و ارزیابی ریسک درک نشده و به اشتباه به جای یکدیگر به کاربرده شده­ اند. بررسی مطالعات نشان داد گرایش روش ­های ارزیابی ریسک به سمت ترکیب شدن با منطق فازی بمنظور مدیریت ابهام و عدم­ قطعیت در قضاوت­ های کلامی می­ باشد. در بخش راهکارهای کنترل ریسک 75% از مقالات بررسی شده به ارائه راهکارهای کنترلی بمنظور کنترل خطرات پرداخته ­اند و تنها 25% از ارائه راهکارهای کنترلی خودداری کرده ­اند. اکثر مطالعات به ارزیابی راهکارهای کنترلی پیشنهاد شده نپرداخته و یا از روش ­های فاقد پشتوانه تئوریکی تک معیاره استفاده نموده­ اند.
­نتیجه ­گیری: بررسی مطالعات نشان داد، راهکارهای کنترلی براساس روشی که دارای پشتوانه تئوریکی لازم و مبتنی بر الگوهای کنترل خطرات همچون الگوی مثلث کنترل خطرات، ماتریس کنترل خطرات هیدن و . باشد، مورد بررسی قرار نگرفته ­اند. لذا می­توان نتیجه ­گرفت، فرایند مدیریت ریسک بصورت ناقص در حال اجرا می­ باشد. لذا پیشنهاد می­گردد، روشی ساختارمند و دارای پشتوانه تئوریکی لازم براساس الگوهای کنترل خطرات و با استفاده الگوهای کنترل ریسک از روش ­های تصمیم ­گیری چند معیاره تحت شرایط فازی، براساس طیف ­بندی مشخص پارامترهای موثر بر ارزیابی راهکارهای کنترلی ارائه گردد.

نوع مطالعه: مروری | موضوع مقاله: ارزیابی و مدیریت ریسک
دریافت: 1397/3/22 | پذیرش: 1397/9/5 | انتشار: 1399/2/1



اشتراک گذاری

دیدگاه شما

اولین دیدگاه را شما ارسال نمایید.