معرفی ایزو 31000 و 31010
معرفی ایزو 31000 و 31010
معرفی ایزو 31000 و 31010
نسخه بینالمللی استاندارد ISO/DIS 31000
«مدیریت ریسک – اصول و رهنمودهای پیاده سازی»
پیشگفتار
سازمان بین المللی استانداردسازی (ISO) یک فدراسیون جهانی برای مجموعه های استانداردهای ملی می باشد (مجموعه اعضای ISO). کار آماده سازی استانداردهای بین المللی عموماً در کمیته های فنی ISO انجام می شود. هر عضو مجموعه به موضوعی علاقمند است که یک کمیته فنی که آن را تدوین می نماید حق ارائه آن را دارد. سازمانهای بین المللی، دولتی و غیردولتی مرتبط با ISO نیز در این کار شرکت می کنند. ISO ارتباط تنگاتنگی با کمیته ی الکتروتکنیکی (IEC) در مورد تمام موضوعات مربوط به استانداردسازی الکتروتکنیکی دارد. استانداردهای بین المللی مطابق با قانون های معین در رهنمودهای IEC/ISO، بخش 2 آماده گردیده اند. وظیفه ی اصلی کمیته های فنی آماده سازی استانداردهای بینالمللی است. نسخه ی استانداردهای بین المللی پذیرفته شده توسط کمیته های فنی برای رای دادن اعضای مجموعه منتشر می گردند. انتشار به عنوان یک استاندارد بین المللی مستلزم تصویب توسط رای حداقل 75% از اعضای مجموعه می باشد. این استاندارد ممکن است پس از 5 سال بر مبنای تجربه ی عملی بازبینی شود.
فهرست مندرجات ISO 31000 بشرح زیر میباشد:
1- قلمرو
2- مرجع های اصلی (قانونی)
3- اصطلاحات و تعاریف
4- اصول مدیریت ریسک
5- چارچوب مدیریت ریسک
- 5.1 عمومی
- 5.2 تعهد و التزام
- 5.3 طراحی چارچوب برای مدیریت کردن ریسک
- 5.3.1 شناخت سازمان و زمینه ی آن
- 5.3.2 سیاست مدیریت ریسک
- 5.3.3 یکپارچگی فرآیندهای سازمانی
- 5.3.4 پاسخگویی
- 5.3.5 منابع
- 5.3.6 تدوین مکانیسم گزارش ها و ارتباطات داخلی
- 5.3.7 تدوین مکانیسم گزارش ها و ارتباطات خارجی
- 5.4 پیاده سازی مدیریت ریسک
- 5.4.1 پیاده سازی چارچوب مدیریت ریسک
- 5.4.2 پیاده سازی فرآیند مدیریت ریسک
- 5.5 پایش و مرور چارچوب (مدیریت ریسک)
- 5.6 بهبود مستمر چارچوب (مدیریت ریسک)
6 فرآیند مدیریت ریسک
- 6.1 عمومی
- 6.2 ارتباط و مشاوره
- 6.3 تدوین زمینه
- 6.3.1 عمومی
- 6.3.2 تدوین زمینه ی خارجی
- 6.3.3 تدوین زمینه ی داخلی
- 6.3.4 تدوین زمینه ی فرآیند مدیریت ریسک
- 6.3.5 توسعه ی معیارهای ریسک
- 6.4 ارزیابی ریسک (برآورد، تشخیص، اظهارنظر)
- 6.4.1 عمومی
- 6.4.2 شناسایی ریسک
- 6.4.3 تحلیل ریسک
- 6.4.4 ارزیابی ریسک
- 6.5 مواجهه با ریسک
- 6.5.1 عمومی
- 6.5.2 انتخاب گزینه های مواجهه با ریسک
- 6.5.3 آماده سازی و پیادهسازی طرح های مواجهه با ریسک
- 6.6 پایش و مرور
- 6.7 ثبت فرآیند مدیریت ریسک
- ضمیمه A ویژگی های افزایش یافته ی مدیریت ریسک
نسخه نهایی استاندارد بین المللی IEC/FDIS 31010
«مدیریت ریسک – روش های ارزیابی ریسک»
این نسخه ی نهایی به منظور تصویب همزمان ISO و IEC ارائه شده است. از هر عضو کمیته ی ملی ISO و IEC خواسته شده است که گام های مناسبی را جهت هماهنگ کردن نظرات ملی با هدف مطرح کردن رأی های یکسان “بله” و “خیر” در هر دو کمیته ی ISO و IEC بردارند.
- رأی های مثبت نباید با توضیحات همراه باشند.
- رأی های منفی باید همراه با دلایل فنی مربوطه همراه باشند.
فهرست مندرجات IEC 31010 بشرح زیر میباشد:
پیشگفتار
مقدمه
1 قلمرو
2 مرجعهای اصلی (قانونی)
3 اصطلاحات و تعاریف
4 مفاهیم ارزیابی ریسک
- 4.1 مزایا و اهداف
- 4.2 چارچوب ارزیابی ریسک و مدیریت ریسک
- 4.3 فرآیند ارزیابی ریسک و مدیریت ریسک
- 4.3.1 عمومی (کلی)
- 4.3.2 مشاوره و ارتباط
- 4.3.3 تدوین زمینه
- 4.3.4 ارزیابی ریسک
- 4.3.5 مواجهه با ریسک
- 4.3.6 پایش و مرور
5 فرآیند ارزیابی ریسک
- 5.1 مرور اجمالی
- 5.2 شناسایی ریسک
- 5.3 تحلیل ریسک
- 5.3.1 عمومی (کلی)
- 5.3.2 ارزیابی کنترل ها
- 5.3.3 تحلیل نتیجه
- 5.3.4 تحلیل احتمال (درست نمایی) و برآورد احتمال
- 5.3.5 تحلیل مقدماتی
- 5.3.6 عدم حتمیت ها و حساسیت ها
- 5.4 ارزیابی ریسک
- 5.5 مستندسازی
- 5.6 پایش و مرور ارزیابی ریسک
- 5.7 بکارگیری ارزیابی ریسک در طول فازهای چرخه ی زندگی
6 انتخاب تکنیک های ارزیابی ریسک
- 6.1 عمومی
- 6.2 انتخاب تکنیک ها
- 6.2.1 دسترسی به منابع
- 6.2.2 طبیعت و درجه ی عدم حتمیت
- 6.2.3 پیچیدگی
- 6.3 بکارگیری ارزیابی ریسک در طول فازهای چرخه ی زندگی
- 6.4 انواع تکنیک های ارزیابی ریسک
- ضمیمه A (آگاهی دهنده) مقایسه تکنیک های ارزیابی ریسک
- ضمیمه B (آگاهی دهنده) تکنیک های ارزیابی ریسک
- کتاب شناسی
- شکل 1 – سهم ارزیابی ریسک در فرآیند مدیریت ریسک
- شکل B.1 – منحنی Dose – Response
- شکل B.2 – مثال یک FTA از IEC 60- 300- 3-9
- شکل B.3 – مثال یک درخت رویداد (Event tree)
- شکل B.4 – مثال تحلیل علت – نتیجه
- شکل B.5 – مثال ایشیکاوا از نمودار تیغ ماهی Fishbone
- شکل B.6 – مثال درخت فرمول سازی تحلیل علت – معلول
- شکل B.7 – مثال ارزیابی قابلیت اطمینان انسان
- شکل B.8 – مثال نمودار پاپیون (کراوات) برای نتایج غیردلخواه
- شکل B.9 – مثال نمودار سیستم مارکو
- شکل B.10 – مثال نمودار گذار حالت
- شکل B.11 – نمودار شبکه بیز
- شکل B.12 – مفهوم ALARP
- شکل B.13 – مثال بخشی از جدول معیارهای نتیجه
- شکل B.14 – مثال بخشی از ماتریس رتبه بندی ریسک
- شکل B.15 – مثال بخشی از ماتریس معیارهای احتمال
- جدول A.1 – قابلیت اجرای ابزارهای مورد استفاده برای ارزیابی ریسک
- جدول A.2 – ویژگی های انتخاب ابزارهای ارزیابی ریسک
- جدول B.1 – مثال کلیدواژه (Guidewords) های ممکن HAZOP
- جدول B.2- ماتریس مارکو
- جدول B.4 – ماتریس نهایی مارکو
- جدول B.4 – مثال شبیهسازی مونتکارلو
- جدول B.5 – داده های جدول بیز
- جدول B.6 – احتمالات پیشین برای گره های A و B
- جدول B.7 – احتمالات شرطی برای گره های C با گره های تعریف شده ی A و B
- جدول B.8 – احتمالات شرطی برای گره های A و B با گره های تعریف شده ی C و D
- جدول B.9 – احتمال پسین برای گره های A و B با گره های تعریف شده ی C و D
- جدول B.10 – احتمال پسین برای گره ی A با گره های تعریف شده ی C و D
- کمیته ی بین المللی الکتروتکنیکی
- تکنیک های مدیریت ریسک – ارزیابی ریسک
پیشگفتار
1) کمیته ی بین المللی الکتروتکنیکی (IEC) یک سازمان جهانی برای استانداردسازی است که شامل تمامی کمیته های الکتروتکنیکی ملی (کمیته های ملی IEC) می گردد. هدف IEC ارتقای همکاری بین المللی در مورد تمامی پرسشهای مربوط به استانداردسازی در رشتههای الکتریکی و الکترونیکی است. با این هدف و علاوه بر سایر فعالیت ها، IEC استانداردهای بین المللی، مشخصات فنی، گزارشات فنی، مشخصات در دسترس عموم (PAS) و راهنماها (که از این پس به آنها انتشارات IEC گفته می شود) را منتشر می نماید. این اقدامات به کمیته های فنی واگذار می گردد. هر کمیته ی ملی IEC که به این موضوع علاقمند باشد میتواند در این کار شرکت نماید. سازمانهای دولتی و غیردولتی بین المللی که با IEC در ارتباطند نیز در این اقدامات شرکت می نمایند. IEC همکاری تنگاتنگی با سازمان بین المللی استانداردسازی (ISO) مطابق با شرایط تعیین شده در توافقات بین دو سازمان دارد.
2) تصمیمات رسمی یا توافقات IEC در مورد موضوعات فنی، هرچه سریعتر، جهت اجماع بینالمللی نظرات در مورد موضوعات مربوطه اظهار می شود. زیرا هر کمیته ی فنی نمایندهای از تمام کمیته های ملی ذینفع IEC دارد.
3) انتشارات IEC در قالب توصیه هایی برای استفاده ی بین المللی است و توسط کمیته های ملی IEC در این راستا پذیرفته شده است. از آنجایی که تمام تلاش های منطقی برای تضمین دقیق بودن مضامین فنی انتشارات IEC انجام می شود، IEC نمیتواند مسئولیت روشی که این مضامین در آن به کار می روند و یا هر گونه تفسیر غلط کاربر نهایی را بپذیرد.
4) به منظور ارتقای سطح هماهنگی بین المللی، کمیته های ملی IEC استفاده از انتشارات IEC را به صورت شفاف تا حداکثر وسعت ممکن در انتشارات منطقه ای و ملی خود بر عهده گرفته اند. هر گونه عدم انطباق بین یک انتشار IEC و انتشار ملی یا منطقه ای مطابق با آن باید به صورت شفاف بعداً مشخص شود.
5) IEC هیچ روش علامت گذاری را برای مشخص کردن مصوبات خود فراهم نمی کند و نمی تواند مسئولیت هر گونه تجهیزاتی را که برای انطباق با انتشارات IEC اعلام میشود، برعهده می گیرد.
6) تمام کاربران باید اطمینان حاصل نمایند که آخرین ویرایش هر انتشاری را در اختیار دارند.
7) هیچ مسئولیتی به هیچ وجه متوجه IEC، مدیران، کارمندان، خدم تگذاران یا نمایندگان آن شامل متخصصان انفرادی و اعضای کمیته های فنی و کمیته های ملی IEC در مورد هر آسیب فیزیکی یا صدمات مالی و یا هر آسیب طبیعی دیگر، چه مستقیم و چه غیرمستقیم، و یا برای هزینه ها (شامل هزینه های حقوقی) و هزینه های به وجود آمده از انتشار، استفاده یا اتکا به این انتشار IEC و یا هر انتشار دیگری نخواهد بود.
8) به مرجع های قانونی (اصلی) ذکر شده در این انتشار توجه شود. استفاده از انتشارات ارجاع داده شده برای کاربرد صحیح این انتشار ضروری می باشد.
9) به این امکان که برخی از اجزا این انتشار IEC ممکن است دارای حقوق انحصاری باشند باید توجه شود. IEC هیچ مسئولیتی را برای شناسایی هر یا تمام حقوق انحصاری از این دست نمی پذیرد.
استاندارد بین المللی ISO/IEC 31010 توسط کمیته فنی 65 آماده شده است: قابل اعتماد همراه با گروه کاری “مدیریت ریسک” ISO TMB.
متن این استاندارد بر مبنای سند زیر است.
Rapport de vote |
FDIS |
56/XX/RVD |
56/XX/FDIS |
اطلاعات کامل در مورد رأیگیری برای تصویب این استاندارد در گزارش رأیگیری نشان داده شده در جدول بالا قابل دریافت است. این انتشار مطابق با رهنمودهای ISO/IEC بخش 2 آماده شده است.
کمیته تصمیم دارد که محتویات این انتشار تا تاریخ نگهداری نتیجه ی تعیین شده در وب سایت IEC به نشانی http://webstore.iec.ch در بخش اطلاعات مربوط به آن بدون تغییر باقی بماند. در این تاریخ، این انتشار ممکن است مجدداً تصویب شده، از آن صرف نظر شده، اصلاح شده و توسط نسخه ی بازبینی شده جایگزین شود.
مقدمه
سازمانها با هر نوع و اندازه ای با پهن های از ریسک هایی مواجه هستند که ممکن است بر دستیابی آنها به اهدافشان تأثیر بگذارد. این اهداف ممکن است به پهنه ای از فعالیت های سازمان از فعالیت های استراتژیک اولیه تا فعالیت های عملیاتی آن، فرآیندها و پروژه ها مربوط باشد و بر حسب اثرات اجتماعی، محیطی، تکنولوژی، برآمدهای ایمنی و حفاظتی، تجاری، مالی و معیارهای اقتصادی در کنار اثرات گروهی، فرهنگی، سیاسی و اعتباری منعکس شود.
تمام فعالیت های یک سازمان که با ریسک همراه است باید مدیریت شود. فرآیند مدیریت ریسک به تصمیم گیری هایی کمک می نماید که همراه با در نظر گرفتن عدم قطعیت و امکان وقوع حوادث و رویدادهای (عمدی و غیرعمدی) آتی و اثرات آنها بر اهداف مورد توافق است. مدیریت ریسک در بردارنده ی روش های سیستماتیک و منطقی برای:
- برقراری ارتباط و مشاوره در سرتاسر این فرآیند
- تدوین زمینه برای شناسایی، تحلیل، ارزیابی و مواجهه با ریسک مربوط به هر فعالیت، فرآیند، عملکرد یا محصول
- پایش و مرور ریسک ها
- گزارش دادن و ثبت کردن نتایج به صورت مناسب می باشد.
ارزیابی ریسک بخشی از مدیریت ریسک است که برای شناسایی چگونگی تاثیرپذیری اهداف و تحلیل ریسک ها بر حسب نتایج و احتمالات آن قبل از تصمیم گیری در مورد نیاز یا عدم نیاز به مواجهه با ریسک فرآیندی ساختار یافته را فراهم می کند.
ارزیابی ریسک تلاش می کند که به سوالات زیر پاسخ دهد:
- (با شناسایی ریسک) چه اتفاقی و چرا می تواند رخ دهد؟
- نتایج چیست؟
- احتمال وقوع آنها در آینده چقدر است؟
- آیا عواملی وجود دارند که نتایج ریسک یا احتمال وقوع ریسک را کاهش دهند؟
- آیا این سطح ریسک قابل تحمل یا قابل پذیرش است و آیا به مواجهه با آن در آینده نیاز است یا خیر؟
هدف این استاندارد انعکاس نمونه های مناسب و متداول در انتخاب و استفاده از تکنیک های ارزیابی ریسک است و به مفاهیم جدید یا استنتاج شده ای که به سطح قابل قبولی از اجماع حرفه ای نمی رسد، اشاره نمی کند.
طبیعت این استاندارد، عمومی است به طوری که میتواند راهنمودهایی را برای بسیاری از صنایع و سیستم ها فراهم نماید. ممکن است استاندادهای خاص دیگری در ارتباط با این صنایع وجود داشته باشد که روش ها و سطوح ارزیابی بهتری برای کاربردهای خاص تدوین نموده اند. اگر آن استانداردها با این استاندارد هماهنگی داشته باشند، آن استانداردهای خاص نیز در حالت کلی مناسب خواهند بود.
1-قلمرو
- این استاندارد بین المللی، حامی استاندارد ISO 31000 است و راهنمایی هایی را جهت انتخاب و بکارگیری تکنیک های سیستماتیک ارزیابی ریسک ارائه می کند.
- ارزیابی ریسک انجام شده مطابق با این استاندارد به سایر فعالیت های مدیریت ریسک کمک می نماید.
- کاربرد تعدادی از تکنیک ها با ارجاعات ویژه به سایر استانداردهای بین المللی که مفهوم و کاربرد تکنیک ها با جزئیات بیشتری در آنها توضیح داده شده در این استاندارد معرفی شده است.
- هدف این استاندارد بکارگیری آن جهت گواهی، قانون گذاری یا استفاده قراردادی نیست.
- این استاندارد نه معیارهای خاصی را جهت تشخیص نیاز به تحلیل ریسک فراهم می کند و نه نوع تحلیل ریسک مورد نیاز برای کاربرد خاصی را مشخص مینماید.
- این استاندارد به تمامی تکنیک ها اشاره نمی کند و از قلم افتادن یک تکنیک در این استاندارد به معنی عدم اعتبار آن نیست. این واقعیت که روشی تحت شرایط خاصی قابل استفاده است بدین معنی نیست که از آن روش حتماً باید استفاده شود.
توجه: این استاندارد به طور خاص با ایمنی سر و کار ندارد. این یک استاندارد عمومی مدیریت ریسک است و هر گونه ارجاع به ایمنی طبیعت آگاهی دهنده دارد. راهنمایی در مورد معرفی جنبههای ایمنی در استانداردهای IEC در راهنمای 51 ISO/IEC آمده است.
2- مرجع های اصلی (قانونی)
سندهای ارجاع داده شدهی زیر، جهت بکارگیری این سند ضروری هستند. در مورد مرجع هایی که از تاریخ آنها گذشته است، فقط ویرایش های ذکر شده به کار میرود. در مورد مرجع هایی که تاریخ آنها نگذشته است، آخرین ویرایش ارجاع داده شده ی سند (شامل هر گونه اصلاح) مورد استفاده قرار می گیرد.
- راهنمای 73 ISO/IEC، مدیریت ریسک – واژگان – رهنمودهایی برای استفاده در این استاندارد
- ISO/FDIS 31000، مدیریت ریسک – اصول و رهنمودها
3- اصطلاحات و تعاریف
در این سند از اصطلاحات و تعاریف موجود در راهنمای 73 ISO/IEC استفاده می گردد.
4- مفاهیم ارزیابی ریسک
4.1. اهداف و مزایا
هدف ارزیابی ریسک تامین اطلاعات و تحلیل مدرک-محور برای تصمیم گیریه ای آگاهانه در مورد چگونگی مواجهه با ریسک های خاص و انتخاب بین گزینه های مختلف می باشد.
برخی از مزایای اصلی انجام ارزیابی ریسک شامل موارد زیر می باشد:
- شناخت ریسک و اثر بالقوه آن بر روی اهداف
- فراهم کردن اطلاعات برای تصمیم گیران
- مشارکت در شناخت ریسک ها به منظور همکاری در انتخاب گزینه های مواجهه با ریسک
- شناسایی مشارکت کنندگان در ریسک و پیوندهای ضعیف در سیستم ها و سازمانها
- مقایسه ریسک ها در سیستم ها، فن آوری ها و رویکردهای مختلف
- برقراری ارتباط با ریسک ها و عدم حتمیت ها
- مساعدت در تدوین اولویت ها
- مشارکت در پیشگیری از وقوع حوادث بر مبنای بازرسی پس از وقوع
- انتخاب اشکال مختلف مواجهه با ریسک
- رعایت الزامات قانون گذاری
- فراهم کردن اطلاعاتی که به ارزیابی پذیرش یا عدم پذیرش ریسک هنگام مقایسه با معیارهای از پیش تعریف شده کمک خواهد کرد.
- ارزیابی ریسک ها برای دسترسی تا پایان عمر
دیدگاهتان را بنویسید
می خواهید در گفت و گو شرکت کنید؟خیالتان راحت باشد :)