आईएसओ ३१०००:२०१८ जोखिम प्रबंधन दिशानिर्देश

आईएसओ हिंदी में 1 Minute

 अंतर्राष्ट्रीय जोखिम प्रबंधन मानक, आईएसओ ३१०००:२०१८ जोखिम प्रबंधन – दिशानिर्देश, जोखिम प्रबंधन पर दिशानिर्देश प्रदान करता है।आईएसओ ३१०००:२०१८ एक सामान्य मानक है। आईएसओ ३१०००:२०१८ का उपयोग कोई भी व्यक्ति कर सकता है – व्यक्ति, लोगों के समूह, परिवार, टीम, संगठन और सरकारें। आईएसओ ३१०००:२०१८ दिशानिर्देशों का एक सेट परिभाषित करता है। इन दिशानिर्देशों को किसी भी स्थिति के लिए अनुकूलित किया जा सकता है और निर्णय लेने सहित किसी भी गतिविधि पर लागू किया जा सकता है। इन्हें दिशानिर्देश इसलिए कहा जाता है क्योंकि ये स्वैच्छिक होते हैं। ये सिफारिशें हैं न कि आवश्यकताएँ। जब इन दिशानिर्देशों को सही तरीके से लागू किया जाता है तो ये संगठन की मदद करेंगे:

  • लक्ष्य निर्धारित करना और इन लक्ष्यों की प्राप्ति की संभावना बढ़ाना।
  • जोखिमों का प्रबंधन करके मूल्य का सृजन और संरक्षण करें
  • निर्णय लेना.
  • खतरों और अवसरों की पहचान करने की अपनी क्षमता में सुधार करें।
  • प्रदर्शन सुधारना।
  • संगठन की समग्र लचीलापन में सुधार
  • परिचालन दक्षता और प्रभावशीलता में सुधार।
  • कानूनी और नियामक आवश्यकताओं का अनुपालन करें
  • जोखिम की पहचान करने और उसका समाधान करने के लिए कार्मिकों को प्रोत्साहित करें।
  • अपने जोखिम प्रबंधन नियंत्रण में सुधार करें.
  • कानूनी एवं विनियामक आवश्यकताओं का अनुपालन करें।
  • अपनी शासन गतिविधियों की प्रभावशीलता में सुधार करें।
  • योजना बनाने और निर्णय लेने के लिए एक ठोस आधार स्थापित करें।
  • हानि निवारण और घटना प्रबंधन गतिविधियों में सुधार करें।
  • निरंतर संगठनात्मक सीखने को प्रोत्साहित और समर्थन करें।
  • अपने हितधारकों का विश्वास और आत्मविश्वास बढ़ाएं।
  • अनिवार्य और स्वैच्छिक दोनों प्रकार की रिपोर्टिंग को बढ़ावा दें।
  • अंतर्राष्ट्रीय मानदंडों और मानकों का अनुपालन करना।

जोखिम को समझना

चूँकि यह मानक जोखिम प्रबंधन के बारे में है, इसलिए हमें जोखिम शब्द को परिभाषित करने की आवश्यकता है। आईएसओ ३१०००:२०१८, खंड 3.1 के अनुसार, जोखिम ” उद्देश्यों पर अनिश्चितता का प्रभाव ” है, और प्रभाव अपेक्षित से सकारात्मक या नकारात्मक विचलन है। इसलिए, जोखिम वह संभावना है कि जिस उद्देश्य को हम प्राप्त करने की उम्मीद करते हैं, उससे सकारात्मक या नकारात्मक विचलन होगा। ISO की परिभाषा यह मानती है कि हम सभी अनिश्चित दुनिया में काम करते हैं। जब भी हम कोई उद्देश्य प्राप्त करने की कोशिश करते हैं, तो हमेशा संभावना होती है कि चीजें योजना के अनुसार नहीं होंगी। हर कदम में जोखिम का एक तत्व होता है जिसे प्रबंधित करने की आवश्यकता होती है और हर परिणाम अनिश्चित होता है। जब भी हम कोई उद्देश्य प्राप्त करने की कोशिश करते हैं, तो हमें हमेशा अपेक्षित परिणाम नहीं मिलते हैं। कभी-कभी हमें सकारात्मक परिणाम मिलते हैं और कभी-कभी हमें नकारात्मक परिणाम मिलते हैं और कभी-कभी हमें दोनों ही परिणाम मिलते हैं। इस वजह से, हमें जितना संभव हो सके अनिश्चितता को कम करने की आवश्यकता है। आईएसओ ३१०००:२०१८ के अनुसार, आप जोखिम प्रबंधन के लिए एक व्यवस्थित दृष्टिकोण का उपयोग करके अपनी अनिश्चितता को कम कर सकते हैं और अपने जोखिम को प्रबंधित कर सकते हैं।
जोखिम प्रबंधन के पारंपरिक दृष्टिकोण में तीन तत्व शामिल हैं: यह संभावित घटना से शुरू होता है और फिर इसकी संभावना को इसकी संभावित गंभीरता के साथ जोड़ता है। एक उच्च जोखिम वाली घटना के घटित होने की उच्च संभावना होती है और यदि यह वास्तव में घटित होती है तो इसका गंभीर प्रभाव होता है। जबकि आईएसओ ३१०००:२०१८ जोखिम को एक नए और असामान्य तरीके से परिभाषित करता है, पुरानी और नई परिभाषाएँ काफी हद तक संगत हैं। दोनों परिभाषाएँ एक ही घटना के बारे में बात करती हैं लेकिन दो अलग-अलग दृष्टिकोणों से। ISO जोखिम को लक्ष्य-उन्मुख शब्दों में सोचता है। जबकि पारंपरिक परिभाषा जोखिम को घटना-उन्मुख शब्दों में सोचती है। ये दोनों परिभाषाएँ सह-अस्तित्व में हो सकती हैं और होती भी हैं। वे एक ही घटना के बारे में बात करने के दो अलग-अलग तरीके हैं।

जोखिम की अवधारणा अनिश्चितता से बहुत करीब से जुड़ी हुई है। जोखिम को केवल उद्देश्यों के संबंध में ही सार्थक रूप से परिभाषित किया जा सकता है क्योंकि यह उन उद्देश्यों पर अनिश्चितता के प्रभाव से संबंधित है जिनका आपकी सफलता पर संभावित परिणाम – अच्छा या बुरा – हो सकता है। यह शून्य में मौजूद नहीं हो सकता। यह आपके उद्देश्यों की प्राप्ति के संबंध में मौजूद होना चाहिए। जोखिम की सबसे सरल परिभाषा है “अनिश्चितता जो मायने रखती है”। जोखिम आपके एक या अधिक उद्देश्यों को प्रभावित कर सकता है, या जो हो सकता है उसे प्रभावित कर सकता है। व्यावहारिक सीमा तक, आपके उद्देश्य होने चाहिए:

  • विशिष्ट;
  • गुणात्मक या मात्रात्मक रूप से मापने योग्य;
  • संदर्भ द्वारा लगाए गए प्रतिबंधों के भीतर प्राप्त करने योग्य;
  • बड़े लक्ष्यों या संदर्भ के लिए प्रासंगिक; और
  • निर्धारित समय सीमा के भीतर प्राप्त किया जा सकेगा।

सभी प्रकार और आकार के संगठन बाहरी और आंतरिक कारकों और प्रभावों का सामना करते हैं जो यह अनिश्चित बनाते हैं कि वे अपने उद्देश्यों को प्राप्त करेंगे या नहीं। जोखिम का प्रबंधन पुनरावृत्तीय है। यह संगठनों को रणनीति निर्धारित करने, उद्देश्यों को प्राप्त करने और सूचित निर्णय लेने में सहायता करता है। यह शासन और नेतृत्व का हिस्सा है और यह इस बात के लिए मौलिक है कि किसी संगठन को सभी स्तरों पर कैसे प्रबंधित किया जाता है। जोखिम का प्रबंधन आपको सक्षम बनाता है, उदाहरण के लिए:

  • उद्देश्यों को प्राप्त करने की संभावना में वृद्धि;
  • सक्रिय प्रबंधन को प्रोत्साहित करना;
  • पूरे संगठन में जोखिम की पहचान करने और उसका समाधान करने की आवश्यकता के प्रति जागरूक रहना;
  • अवसरों और खतरों की पहचान में सुधार करना;
  • प्रासंगिक कानूनी और नियामक आवश्यकताओं और अंतर्राष्ट्रीय मानदंडों का अनुपालन करना;
  • अनिवार्य और स्वैच्छिक रिपोर्टिंग में सुधार करना;
  • शासन में सुधार;
  • हितधारकों का विश्वास और भरोसा बढ़ाना;
  • निर्णय लेने और योजना बनाने के लिए एक विश्वसनीय आधार स्थापित करना;
  • नियंत्रण में सुधार;
  • जोखिम उपचार के लिए संसाधनों का प्रभावी ढंग से आवंटन और उपयोग करना;
  • परिचालन प्रभावशीलता और दक्षता में सुधार;
  • स्वास्थ्य और सुरक्षा प्रदर्शन को बढ़ाना, साथ ही पर्यावरण संरक्षण;
  • हानि की रोकथाम और घटना प्रबंधन में सुधार;
  • हानि को न्यूनतम करना;
  • संगठनात्मक शिक्षा में सुधार; और
  • संगठनात्मक लचीलापन में सुधार.

1. आईएसओ आईएसओ ३१०००:२०१८ का दायरा

आईएसओ आईएसओ ३१०००:२०१८ का दायरा:

  • किसी भी संगठन के लिए अनुकूलित जोखिम प्रबंधन में दिशानिर्देश प्रदान करता है
  • एक सामान्य दृष्टिकोण का अनुसरण करता है
  • संगठनात्मक जोखिम प्रबंधन के संपूर्ण जीवनचक्र को कवर करता है
  • सभी स्तरों और कार्यों पर लागू
  • निर्णय लेना

ISO 31000:2018 का उपयोग किसी भी संगठन द्वारा किया जा सकता है, चाहे उसका आकार कुछ भी हो या वह कुछ भी करता हो। इसका उपयोग सार्वजनिक और निजी दोनों संगठनों और सभी प्रकार के समूहों, संघों और उद्यमों द्वारा किया जा सकता है। यह किसी क्षेत्र या उद्योग के लिए विशिष्ट नहीं है और इसे किसी भी प्रकार के जोखिम पर लागू किया जा सकता है। आईएसओ ३१०००:२०१८ को सभी स्तरों और सभी क्षेत्रों में किसी भी प्रकार के उद्देश्यों की प्राप्ति के लिए लागू किया जा सकता है। इसका उपयोग रणनीतिक स्तर पर निर्णय लेने में मदद करने के लिए किया जा सकता है और इसे सभी प्रकार की गतिविधियों पर लागू किया जा सकता है। इसका उपयोग सभी प्रकार की प्रक्रियाओं, संचालन, कार्यों, परियोजनाओं, कार्यक्रमों, उत्पादों, सेवाओं और परिसंपत्तियों के प्रबंधन और नियंत्रण में मदद के लिए भी किया जा सकता है। हालाँकि, आप आईएसओ ३१०००:२०१८ को कैसे लागू करते हैं यह आप पर निर्भर करता है और यह आपके संगठन की ज़रूरतों, उद्देश्यों और चुनौतियों पर निर्भर करेगा, और यह दर्शाता है कि यह क्या करता है और कैसे संचालित होता है।

2 मानक संदर्भ

इस दस्तावेज़ में कोई मानक संदर्भ नहीं हैं।

3 शब्द और परिभाषाएँ

  • 3.1 जोखिम: उद्देश्यों पर अनिश्चितता का प्रभाव
  • 3.2 जोखिम प्रबंधन: जोखिम के बारे में किसी संगठन को निर्देशित और नियंत्रित करने के लिए समन्वित गतिविधियाँ
  • 3.3 हितधारक: वह व्यक्ति या संगठन जो किसी निर्णय या गतिविधि को प्रभावित कर सकता है, उससे प्रभावित हो सकता है, या खुद को उससे प्रभावित होने का अनुभव करता है
  • 3.4 जोखिम स्रोत: ऐसा तत्व जो अकेले या संयोजन में जोखिम को जन्म देने की क्षमता रखता है।
  • 3.5 घटना: किसी विशेष परिस्थिति का घटित होना या उसमें परिवर्तन होना
  • 3.6 परिणाम: किसी घटना का परिणाम जो उद्देश्यों को प्रभावित करता है
  • 3.7 संभावना: किसी चीज़ के घटित होने की संभावना
  • 3.8 नियंत्रण: एक उपाय जो जोखिम को बनाए रखता है और/या संशोधित करता है

4. सिद्धांत

आईएसओ ३१०००:२०१८ के अनुसार, सिद्धांत हैं:
क) एकीकृत
जोखिम प्रबंधन सभी संगठनात्मक गतिविधियों का एक अभिन्न अंग है।
ख) संरचित और व्यापक
जोखिम प्रबंधन के लिए एक संरचित और व्यापक दृष्टिकोण सुसंगत और तुलनीय परिणामों में योगदान देता है।
ग) अनुकूलित
जोखिम प्रबंधन ढांचा और प्रक्रिया संगठन के उद्देश्यों से संबंधित बाहरी और आंतरिक संदर्भ के लिए अनुकूलित और आनुपातिक हैं।
घ) समावेशी
हितधारकों की उचित और समय पर भागीदारी उनके ज्ञान, विचारों और
धारणाओं पर विचार करने में सक्षम बनाती है। इसके परिणामस्वरूप बेहतर जागरूकता और सूचित जोखिम
प्रबंधन होता है।
इ) गतिशील
जोखिम संगठन के बाहरी और आंतरिक संदर्भ में परिवर्तन के रूप में उभर सकते हैं, बदल सकते हैं या गायब हो सकते हैं । जोखिम प्रबंधन एक उचित और समय पर तरीके से
उन परिवर्तनों और घटनाओं का अनुमान लगाता है, पता लगाता है, स्वीकार करता है और प्रतिक्रिया देता है । च) सर्वोत्तम उपलब्ध जानकारी जोखिम प्रबंधन के इनपुट ऐतिहासिक और वर्तमान जानकारी के साथ-साथ भविष्य की अपेक्षाओं पर आधारित होते हैं। जोखिम प्रबंधन स्पष्ट रूप से ऐसी जानकारी और अपेक्षाओं से जुड़ी किसी भी सीमा और अनिश्चितताओं को ध्यान में रखता है। जानकारी समय पर, स्पष्ट और संबंधित हितधारकों के लिए उपलब्ध होनी चाहिए। छ) मानवीय और सांस्कृतिक कारक मानवीय व्यवहार और संस्कृति प्रत्येक स्तर और चरण पर जोखिम प्रबंधन के सभी पहलुओं को महत्वपूर्ण रूप से प्रभावित करते हैं । ज) निरंतर सुधार जोखिम प्रबंधन में सीखने और अनुभव के माध्यम से निरंतर सुधार होता रहता है।









आईएसओ 31001 के सिद्धांत

इसे आगे विस्तारपूर्वक बताते हुए:

1. एकीकृत

  • किसी संगठन को अपने जोखिम प्रबंधन प्रयासों को संगठन के सभी भागों और गतिविधियों में एकीकृत करना चाहिए।
  • जोखिम प्रबंधन संगठन की मुख्य गतिविधियों और प्रक्रियाओं से अलग नहीं है क्योंकि यह प्रत्येक विभाग में निर्णय लेने का एक हिस्सा है।
  • जोखिम प्रबंधन संगठन की प्रक्रियाओं में अंतर्निहित है और प्रबंधन की जिम्मेदारियों का एक हिस्सा है

2. संरचित और व्यापक

  • एक व्यापक, संरचित जोखिम प्रबंधन दृष्टिकोण का निर्माण और उसका पालन करने से सर्वाधिक सुसंगत, वांछनीय जोखिम प्रबंधन परिणाम प्राप्त होते हैं।
  • व्यवस्थित तरीके से जोखिम प्रबंधन करने से संगठन के भीतर कार्यकुशलता और सुसंगत परिणाम प्राप्त होते हैं, साथ ही इसमें शामिल सभी लोगों की समझ भी बढ़ती है।
  • उत्पादकता और प्रभावकारिता बनाए रखने के लिए जोखिम प्रबंधन को दिशानिर्देशों और प्रक्रियाओं के साथ संरचित किया जाता है

3. अनुकूलित

  • किसी संगठन के जोखिम प्रबंधन दृष्टिकोण को उसकी अपनी आवश्यकताओं के अनुरूप अनुकूलित किया जाना चाहिए, जिसमें संगठन के उद्देश्य और संगठन का संचालन करने वाला बाह्य एवं आंतरिक संदर्भ शामिल होना चाहिए।
  • जोखिम प्रबंधन प्रक्रियाएं सभी के लिए एक समान नहीं होतीं तथा उद्देश्यों तक पहुंचने के लिए उन्हें संगठन के बाह्य और आंतरिक संदर्भ के अनुरूप बनाया जाना चाहिए।
  • जब आंतरिक और बाह्य दोनों वातावरणों में संदर्भ स्थापित हो जाता है, तो उद्देश्यों को प्राप्त किया जा सकता है और जोखिम प्रबंधन को विशिष्ट संगठन के लिए अनुकूलित किया जा सकता है

4. समावेशी

  • सबसे प्रभावी होने के लिए, जोखिम प्रबंधन में सभी हितधारकों को उचित और समयबद्ध तरीके से शामिल किया जाना चाहिए। इससे सभी हितधारकों के अलग-अलग ज्ञान सेट, विचारों और धारणाओं पर विचार किया जा सकता है और जोखिम प्रबंधन प्रयासों में उन्हें लागू किया जा सकता है।
  • हितधारकों की भागीदारी से उनके ज्ञान और विचारों पर विचार किया जा सकता है, जिससे यह गारंटी मिलती है कि जोखिम प्रबंधन प्रासंगिक और अद्यतन है
  • जोखिम प्रबंधन पारदर्शी है; इसे समझना आसान है और इसमें भ्रामक शब्दावली शामिल नहीं है, जिससे हितधारकों को ढांचे में शामिल किया जा सकता है

5. गतिशील

  • जैसे-जैसे संगठन बदलता है, जिसमें उसका बाहरी और आंतरिक संदर्भ भी शामिल है, संगठन के जोखिम प्रबंधन कार्यक्रम और प्रयासों में भी बदलाव होना चाहिए। परिवर्तन अपरिहार्य है और सफल संगठन जानते हैं कि परिवर्तन के साथ कैसे काम करना है। जोखिम प्रबंधन कार्यक्रम को संगठन को उचित और समय पर तरीके से परिवर्तनों का अनुमान लगाने, पहचानने, स्वीकार करने और उनका जवाब देने में मदद करनी चाहिए।
  • किसी संगठन के भीतर संदर्भ और ज्ञान लगातार बदलते रहते हैं और उन्हें स्वीकार किया जाना चाहिए
  • जोखिम प्रबंधन को दक्षता और परिणाम बनाए रखने के लिए लगातार और तुरंत परिवर्तन का जवाब देना चाहिए
  • आंतरिक और बाह्य घटनाओं के घटित होने पर जोखिम उभरते हैं, बदलते हैं और गायब हो जाते हैं, इसलिए जोखिम प्रबंधन पूर्वानुमानित होना चाहिए

6. सर्वोत्तम उपलब्ध जानकारी

  • किसी संगठन के पास कभी भी सभी आवश्यक जानकारी नहीं होगी, लेकिन जब संगठन के पास सर्वोत्तम उपलब्ध डेटा हो, तो कार्रवाई अवश्य की जानी चाहिए
  • ऐतिहासिक और वर्तमान जानकारी के साथ-साथ इनकी सीमाओं को भी ध्यान में रखा जाना चाहिए
  • सभी ज्ञात जानकारी हितधारकों के लिए उपलब्ध होनी चाहिए
  • प्रभावी जोखिम प्रबंधन अतीत और वर्तमान की जानकारी पर विचार करने के साथ-साथ भविष्य का अनुमान लगाकर किया जाता है। इसलिए, अतीत और वर्तमान की जानकारी यथासंभव विश्वसनीय होनी चाहिए, और जोखिम प्रबंधकों को उस अतीत और वर्तमान की जानकारी की सीमाओं और अनिश्चितताओं पर विचार करना चाहिए। सभी संबंधित हितधारकों को समय पर और स्पष्ट तरीके से आवश्यक जानकारी मिलनी चाहिए।

7. मानवीय और सांस्कृतिक कारक

  • जोखिम प्रबंधन मानव व्यवहार और संस्कृति से काफी प्रभावित होता है
  • व्यवसाय के लक्ष्यों को प्राप्त करने या बाधित करने के लिए संगठन की क्षमताओं के साथ-साथ उसके भीतर और आसपास के लोगों के लक्ष्यों को भी जोखिम प्रबंधन द्वारा मान्यता दी जानी चाहिए।
  • जोखिम प्रबंधन एक मानवीय गतिविधि है और यह एक या अधिक संस्कृतियों (संगठनात्मक संस्कृति, आदि) के भीतर होती है। जोखिम प्रबंधकों को उन मानवीय और सांस्कृतिक कारकों के बारे में पता होना चाहिए जिनमें जोखिम प्रबंधन प्रयास होता है और उन्हें यह भी पता होना चाहिए कि मानवीय और सांस्कृतिक कारक जोखिम प्रबंधन प्रयास पर क्या प्रभाव डालेंगे।

8. निरंतर सुधार

  • अनुभव के माध्यम से निरंतर सुधार करने से संगठन की लचीलापन सुनिश्चित होता है
  • पीडीसीए एक जोखिम प्रबंधन प्रक्रिया है: योजना बनाएं, करें, जाँचें, समायोजित करें। यह एक ऐसा चक्र है जो संगठन को लगातार बेहतर बनाता रहता है जबकि समय के साथ कारक बदलते रहते हैं
  • जोखिम प्रबंधन में परिणामों को उचित रूप से अनुकूलित करने से संगठन को हर पहलू में तेजी से बढ़ने और ऐसा करना जारी रखने में मदद मिलती है।
  • अनुभव और सीख के माध्यम से, जोखिम प्रबंधकों को संगठन के जोखिम प्रबंधन प्रयासों में निरंतर सुधार करने का प्रयास करना चाहिए।

5.0 फ्रेमवर्क

5.1 सामान्य

जोखिम प्रबंधन ढांचे का उद्देश्य संगठन को महत्वपूर्ण गतिविधियों और कार्यों में जोखिम प्रबंधन को एकीकृत करने में सहायता करना है। जोखिम प्रबंधन की प्रभावशीलता संगठन के शासन में इसके एकीकरण पर निर्भर करेगी, जिसमें निर्णय लेना भी शामिल है। इसके लिए हितधारकों, विशेष रूप से शीर्ष प्रबंधन से समर्थन की आवश्यकता होती है। ढांचे के विकास में संगठन भर में जोखिम प्रबंधन को एकीकृत करना, डिजाइन करना, लागू करना, मूल्यांकन करना और सुधारना शामिल है। संगठन को अपने मौजूदा जोखिम प्रबंधन प्रथाओं और प्रक्रियाओं का मूल्यांकन करना चाहिए, किसी भी अंतराल का मूल्यांकन करना चाहिए और ढांचे के भीतर उन्हें संबोधित करना चाहिए। ढांचे के घटकों को संगठन की जरूरतों के अनुसार अनुकूलित किया जाना चाहिए

ISO 31000 के लिए रूपरेखा

5.2 नेतृत्व और प्रतिबद्धता

शीर्ष प्रबंधन और निरीक्षण निकायों को, जहां लागू हो, यह सुनिश्चित करना चाहिए कि जोखिम प्रबंधन को सभी संगठनात्मक गतिविधियों में एकीकृत किया जाए और निम्नलिखित के माध्यम से नेतृत्व और प्रतिबद्धता का प्रदर्शन करना चाहिए:

  • फ्रेमवर्क के सभी घटकों को अनुकूलित और कार्यान्वित करना;
  • एक बयान या नीति जारी करना जो जोखिम प्रबंधन दृष्टिकोण, योजना या कार्यवाही का तरीका स्थापित करता है;
  • यह सुनिश्चित करना कि जोखिम प्रबंधन के लिए आवश्यक संसाधन आवंटित किए जाएं;
  • संगठन के भीतर उचित स्तर पर अधिकार, जिम्मेदारी और जवाबदेही सौंपना।

इससे संगठन को निम्नलिखित में मदद मिलेगी:

  • जोखिम प्रबंधन को उसके उद्देश्यों, रणनीति और संस्कृति के साथ संरेखित करना;
  • सभी दायित्वों के साथ-साथ अपनी स्वैच्छिक प्रतिबद्धताओं को पहचानना और उनका समाधान करना;
  • जोखिम के विकास को निर्देशित करने के लिए जोखिम की मात्रा और प्रकार निर्धारित करें जो लिया जा सकता है या नहीं लिया जा सकता है
  • मानदंड, यह सुनिश्चित करना कि उन्हें संगठन और उसके हितधारकों को सूचित किया जाए;
  • संगठन और उसके हितधारकों को जोखिम प्रबंधन के मूल्य से अवगत कराना;
  • जोखिमों की व्यवस्थित निगरानी को बढ़ावा देना;
  • यह सुनिश्चित करना कि जोखिम प्रबंधन ढांचा संगठन के संदर्भ के लिए उपयुक्त बना रहे।

शीर्ष प्रबंधन जोखिम प्रबंधन के लिए उत्तरदायी है जबकि निरीक्षण निकाय जोखिम प्रबंधन की देखरेख के लिए उत्तरदायी हैं। निरीक्षण निकायों से अक्सर यह अपेक्षा या अपेक्षा की जाती है कि वे:

  • यह सुनिश्चित करना कि संगठन के उद्देश्यों को निर्धारित करते समय जोखिमों पर पर्याप्त रूप से विचार किया जाए;
  • अपने उद्देश्यों की प्राप्ति में संगठन के सामने आने वाले जोखिमों को समझना;
  • यह सुनिश्चित करना कि ऐसे जोखिमों को प्रबंधित करने के लिए प्रणालियाँ कार्यान्वित हों और प्रभावी ढंग से काम कर रही हों;
  • यह सुनिश्चित करना कि ऐसे जोखिम संगठन के उद्देश्यों के संदर्भ में उपयुक्त हैं;

5.3 एकीकरण

जोखिम प्रबंधन को एकीकृत करना संगठनात्मक संरचनाओं और संदर्भ की समझ पर निर्भर करता है। संगठन के उद्देश्य, लक्ष्यों और जटिलता के आधार पर संरचनाएं अलग-अलग होती हैं। संगठन की संरचना के हर हिस्से में जोखिम का प्रबंधन किया जाता है। संगठन में हर किसी की जोखिम प्रबंधन की जिम्मेदारी होती है। शासन संगठन के पाठ्यक्रम, उसके बाहरी और आंतरिक संबंधों और उसके उद्देश्य को प्राप्त करने के लिए आवश्यक नियमों, प्रक्रियाओं और प्रथाओं का मार्गदर्शन करता है। प्रबंधन संरचनाएं शासन दिशा को रणनीति और संबंधित उद्देश्यों में बदल देती हैं जो स्थायी प्रदर्शन और दीर्घकालिक व्यवहार्यता के वांछित स्तरों को प्राप्त करने के लिए आवश्यक हैं।
संगठन के भीतर जोखिम प्रबंधन जवाबदेही और निरीक्षण भूमिकाओं का निर्धारण संगठन के शासन का अभिन्न अंग हैं। संगठन में जोखिम प्रबंधन को एकीकृत करना एक गतिशील और पुनरावृत्त प्रक्रिया है, और इसे संगठन की जरूरतों और संस्कृति के अनुसार अनुकूलित किया जाना चाहिए। जोखिम प्रबंधन संगठनात्मक उद्देश्य, शासन, नेतृत्व और प्रतिबद्धता, रणनीति उद्देश्यों और संचालन का एक हिस्सा होना चाहिए, न कि उनसे अलग होना चाहिए।

5.4 डिज़ाइन

5.4.1 संगठन और उसके संदर्भ को समझना

जोखिम को डिजाइन करते समय, संगठन को अपने बाहरी और आंतरिक संदर्भ की उचित समझ होनी चाहिए। संगठन के बाहरी संदर्भ को ध्यान में रखना चाहिए:

  • सामाजिक, सांस्कृतिक, राजनीतिक, कानूनी, नियामक, वित्तीय, तकनीकी, आर्थिक और पर्यावरणीय कारक, चाहे वे अंतर्राष्ट्रीय, राष्ट्रीय, क्षेत्रीय या स्थानीय हों;
  • संगठन के उद्देश्यों को प्रभावित करने वाले प्रमुख चालक और रुझान;
  • बाहरी हितधारकों के संबंध, धारणाएं, मूल्य, आवश्यकताएं और अपेक्षाएं;
  • संविदात्मक संबंध और प्रतिबद्धताएं;
  • नेटवर्क और निर्भरता की जटिलता.

संगठन के आंतरिक संदर्भ की जांच में निम्नलिखित शामिल हो सकते हैं, लेकिन यह इन्हीं तक सीमित नहीं है:

  • दृष्टि, मिशन और मूल्य;
  • शासन, संगठनात्मक संरचना, भूमिकाएं और जवाबदेही;
  • रणनीति, उद्देश्य और नीतियां;
  • संगठन की संस्कृति;
  • संगठन द्वारा अपनाए गए मानक, दिशानिर्देश और मॉडल;
  • क्षमताएं, संसाधनों और ज्ञान के संदर्भ में समझी जाती हैं (जैसे पूंजी, समय, लोग, बौद्धिक संपदा, प्रक्रियाएं, प्रणालियां और प्रौद्योगिकियां);
  • डेटा, सूचना प्रणाली और सूचना प्रवाह;
  • आंतरिक हितधारकों के साथ संबंध, उनकी धारणाओं और मूल्यों को ध्यान में रखते हुए;
  • संविदात्मक संबंध और प्रतिबद्धताएं;

5.4.2 जोखिम प्रबंधन प्रतिबद्धता को स्पष्ट करना

संगठन के शीर्ष प्रबंधन और निरीक्षण निकायों को एक नीति बनाकर जोखिम प्रबंधन के प्रति अपनी प्रतिबद्धता दिखानी चाहिए, जो संगठन के उद्देश्यों और जोखिम प्रबंधन के प्रति प्रतिबद्धता को व्यक्त करती है। प्रतिबद्धता में कम से कम ये शामिल होना चाहिए:

  • जोखिम प्रबंधन का इसका उद्देश्य और यह इसके उद्देश्यों और अन्य नीतियों से कैसे जुड़ता है;
  • संगठन की संस्कृति में जोखिम प्रबंधन को एकीकृत करना;
  • मुख्य व्यावसायिक गतिविधियों और निर्णय लेने में जोखिम प्रबंधन को एकीकृत करना;
  • प्राधिकार, जिम्मेदारियां और जवाबदेही;
  • आवश्यक संसाधन;
  • जिस तरह से परस्पर विरोधी उद्देश्यों से निपटा जाता है;
  • संगठन के प्रदर्शन संकेतकों के भीतर माप और रिपोर्टिंग;
  • समीक्षा और सुधार.

जोखिम प्रबंधन प्रतिबद्धता को संगठन के भीतर और उपयुक्त हितधारकों तक संप्रेषित किया जाना चाहिए।

5.4.3 संगठनात्मक भूमिकाएं, प्राधिकार, जिम्मेदारियां और जवाबदेही सौंपना

शीर्ष प्रबंधन और निरीक्षण निकायों को यह सुनिश्चित करना चाहिए कि जोखिम प्रबंधन से संबंधित भूमिकाएं, अधिकार, जिम्मेदारियां और जवाबदेही सौंपी गई हैं। यह संगठन के सभी स्तरों पर संप्रेषित किया जाना चाहिए। इसमें इस बात पर जोर दिया जाना चाहिए कि जोखिम प्रबंधन एक मुख्य जिम्मेदारी है और जोखिम के स्वामी की पहचान की जानी चाहिए।

5.4.4 संसाधनों का आवंटन

मौजूदा संसाधनों की क्षमताओं और बाधाओं को ध्यान में रखते हुए, शीर्ष प्रबंधन और निरीक्षण निकायों को जोखिम प्रबंधन के लिए उपयुक्त संसाधनों का आवंटन करना चाहिए, जो हो सकते हैं:

  • लोग, कौशल, अनुभव और क्षमता;
  • जोखिम प्रबंधन के लिए उपयोग की जाने वाली संगठन की प्रक्रियाएं, विधियां और उपकरण;
  • प्रलेखित प्रक्रियाएं और कार्यविधि;
  • सूचना और ज्ञान प्रबंधन प्रणाली;
  • व्यावसायिक विकास और प्रशिक्षण की आवश्यकताएँ।

5.4.5 संचार और परामर्श स्थापित करना

यह सुनिश्चित करने के लिए कि जोखिम प्रबंधन पूरे संगठन में प्रभावी रूप से लागू हो, संचार और परामर्श के लिए एक स्वीकृत दृष्टिकोण स्थापित किया जाना चाहिए ताकि ढांचे का समर्थन किया जा सके। संचार का मतलब है कि संगठन लक्षित दर्शकों के साथ जानकारी साझा कर रहा है। परामर्श का मतलब है कि संगठन प्रतिभागियों से फीडबैक ले रहा है ताकि संगठन उचित निर्णय लेने या अन्य गतिविधियों में सुधार करने में सक्षम हो सके। जहां उपयुक्त हो, उसे हितधारकों की अपेक्षाओं को प्रतिबिंबित करना चाहिए। संचार और परामर्श समय पर होना चाहिए और यह सुनिश्चित करना चाहिए कि प्रासंगिक जानकारी एकत्र, संकलित, संश्लेषित और साझा की जाए और फीडबैक प्रदान किया जाए और सुधार किए जाएं।

5.5 कार्यान्वयन

जोखिम प्रबंधन ढांचे को लागू करने के लिए, संगठन को यह करना होगा:

  • एक उचित योजना स्थापित करें जिसमें समय और संसाधन भी शामिल हों;
  • पूरे संगठन में इस बात की पूरी स्पष्टता होनी चाहिए कि कोई निर्णय कब लिया जाना है, कैसे लिया जाना है, कहाँ लिया जाना है और किसके द्वारा लिया जाना है। यह सभी अलग-अलग तरह के निर्णयों पर लागू होता है।
  • यदि आवश्यक हो तो संगठन लागू निर्णय लेने की प्रक्रिया को संशोधित कर सकता है।
  • जोखिम प्रबंधन की प्रक्रियाओं को संगठन के भीतर स्पष्ट रूप से समझा जाना चाहिए तथा पूरे संगठन में उनका पालन किया जाना चाहिए।

हितधारकों की सहभागिता और जागरूकता की आवश्यकता है ताकि निर्णय लेने में अनिश्चितता को स्पष्ट रूप से संबोधित किया जा सके और यह भी सुनिश्चित किया जा सके कि यदि कोई नई या बाद की अनिश्चितता उत्पन्न होती है तो उसे ध्यान में रखा जा सके।
निर्णय लेने की प्रक्रिया को उचित रूप से डिजाइन और कार्यान्वित करने से यह सुनिश्चित होगा कि बाहरी और आंतरिक संदर्भों में परिवर्तन पर्याप्त रूप से कैप्चर किए गए हैं।

5.6 मूल्यांकन

जोखिम प्रबंधन ढांचे की प्रभावशीलता का मूल्यांकन करने के लिए, संगठन को समय-समय पर इसके उद्देश्य, कार्यान्वयन योजनाओं, संकेतकों और अपेक्षित व्यवहार के आधार पर जोखिम प्रबंधन ढांचे के प्रदर्शन को मापना चाहिए और फिर यह सुनिश्चित करना चाहिए कि यह संगठन के उद्देश्यों को प्राप्त करने में सहायता करने के लिए उपयुक्त बना रहे।

5.7 सुधार

5.7.1 अनुकूलन

इसके मूल्य में सुधार करने तथा बाह्य और आंतरिक परिवर्तनों को संबोधित करने के लिए संगठन को हमेशा जोखिम प्रबंधन ढांचे की निगरानी करनी चाहिए तथा उसे अनुकूलित करना चाहिए।

5.7.2 निरंतर सुधार

एक बार जोखिम प्रबंधन ढांचा स्थापित हो जाने के बाद संगठन को हमेशा इसकी उपयुक्तता, पर्याप्तता और प्रभावशीलता में सुधार करने पर ध्यान देना चाहिए और यह भी देखना चाहिए कि जोखिम प्रबंधन प्रक्रिया को कैसे एकीकृत किया जाए। यदि कोई अंतराल या सुधार के अवसर पहचाने जाते हैं, तो संगठन को योजनाएँ और कार्य विकसित करने चाहिए और इसे उन लोगों को सौंपा जाना चाहिए जो इसे लागू करने के लिए उत्तरदायी हैं। एक बार लागू होने के बाद, ये सुधार जोखिम प्रबंधन को बढ़ाने में योगदान करने में सक्षम होंगे।

6.0 जोखिम प्रबंधन प्रक्रिया

6.1 सामान्य

जोखिम प्रबंधन प्रक्रिया में संचार और परामर्श, संदर्भ स्थापित करने और जोखिम का आकलन, उपचार, निगरानी, ​​समीक्षा, रिकॉर्डिंग और रिपोर्टिंग की गतिविधियों के लिए नीतियों, प्रक्रियाओं और प्रथाओं का व्यवस्थित अनुप्रयोग शामिल है। इसमें नीचे दिखाए गए आरेख में वर्णित गतिविधियाँ शामिल हैं।

जोखिम प्रबंधन प्रक्रिया

उचित रूप से डिज़ाइन और कार्यान्वित किया गया आपका जोखिम प्रबंधन ढांचा यह सुनिश्चित करेगा कि जोखिम प्रबंधन प्रक्रिया पूरे संगठन में सभी गतिविधियों का एक हिस्सा है, जिसमें निर्णय लेना भी शामिल है, और बाहरी और आंतरिक संदर्भों में होने वाले परिवर्तनों को पर्याप्त रूप से कैप्चर किया जाएगा। जोखिम प्रबंधन ढांचा घटकों का एक सेट है जो पूरे संगठन में जोखिम प्रबंधन को डिज़ाइन करने, लागू करने, निगरानी करने, समीक्षा करने और लगातार सुधारने के लिए नींव और संगठनात्मक व्यवस्था प्रदान करता है। आपकी जोखिम प्रबंधन गतिविधियाँ प्रबंधन और निर्णय लेने का एक अभिन्न अंग होनी चाहिए और किसी संगठन की संरचना, संचालन और प्रक्रियाओं में एकीकृत होनी चाहिए। इसे रणनीतिक, परिचालन, कार्यक्रम या परियोजना स्तरों पर लागू किया जा सकता है। जोखिम प्रबंधन प्रक्रिया के कई अनुप्रयोग हो सकते हैं। लेकिन इसे उद्देश्यों को प्राप्त करने और बाहरी और आंतरिक संदर्भ के अनुरूप अनुकूलित किया जाना चाहिए जिसमें इसे लागू किया जाता है। मानव व्यवहार और संस्कृति की गतिशील और परिवर्तनशील प्रकृति को आपकी जोखिम प्रबंधन प्रक्रिया के दौरान ध्यान में रखा जाना चाहिए। हालाँकि जोखिम प्रबंधन प्रक्रिया को अक्सर अनुक्रमिक चरणों के रूप में प्रस्तुत किया जाता है, व्यवहार में, वे पुनरावृत्त गतिविधियाँ हैं। जोखिम प्रबंधन प्रक्रिया के लिए प्रमुख गतिविधियों का सारांश नीचे दी गई तालिका में दिखाया गया है।

6.2 संचार और परामर्श

प्रभावी संचार और परामर्श यह सुनिश्चित करने के लिए आवश्यक है कि जोखिमों की पहचान करने और उन्हें प्रबंधित करने के लिए जिम्मेदार लोग और निहित स्वार्थ वाले लोग यह समझें कि जोखिम-सूचित निर्णय किस आधार पर लिए जाते हैं और विशेष क्रियाएँ और उपचार क्यों चुने जाते हैं। संचार और परामर्श का उद्देश्य संबंधित हितधारकों को जोखिम को समझने, निर्णय लेने के आधार और विशेष क्रियाओं की आवश्यकता क्यों होती है, यह समझने में सहायता करना है। यह जानकारी प्रदान करने, साझा करने या प्राप्त करने और जोखिम के प्रबंधन के बारे में हितधारकों के साथ संवाद करने की एक सतत और पुनरावृत्त प्रक्रिया है। एक हितधारक एक व्यक्ति या संगठन है जो किसी निर्णय या गतिविधि को प्रभावित कर सकता है, उससे प्रभावित हो सकता है या खुद को प्रभावित होने का अनुभव कर सकता है। संचार जोखिम के बारे में जागरूकता और समझ को बढ़ावा देने का प्रयास करता है, जबकि परामर्श में निर्णय लेने में सहायता के लिए प्रतिक्रिया और जानकारी प्राप्त करना शामिल है। परामर्श किसी व्यक्ति या संगठन और उसके हितधारकों के बीच किसी मुद्दे पर निर्णय लेने या उस मुद्दे पर दिशा निर्धारित करने से पहले सूचित संचार की एक दो-तरफ़ा प्रक्रिया है। यह एक ऐसी प्रक्रिया है जो शक्ति के बजाय प्रभाव के माध्यम से निर्णय को प्रभावित करती है और निर्णय लेने में इनपुट करती है, संयुक्त निर्णय लेने के बजाय।
दो हितधारकों के बीच घनिष्ठ समन्वय से तथ्यात्मक, समय पर, प्रासंगिक, सटीक और समझने योग्य सूचनाओं का आदान-प्रदान सुगम होना चाहिए, जिसमें सूचना की गोपनीयता और अखंडता के साथ-साथ व्यक्तियों के निजता अधिकारों पर भी विचार किया जाना चाहिए। सूचना जोखिम प्रबंधन के अस्तित्व, प्रकृति, रूप, संभावना, महत्व, मूल्यांकन, स्वीकार्यता और उपचार से संबंधित हो सकती है। जोखिम प्रबंधन प्रक्रिया की सभी गतिविधियों के भीतर और उसके दौरान उपयुक्त बाहरी और आंतरिक हितधारकों के साथ संचार और परामर्श होना चाहिए। प्रभावी संचार और परामर्श के माध्यम से जोखिम प्रबंधन को बढ़ाया जाता है जब सभी पक्ष और हितधारक एक-दूसरे के दृष्टिकोण को समझते हैं और, जहां उपयुक्त हो, निर्णय लेने की प्रक्रिया में सक्रिय रूप से शामिल होते हैं। एक सहयोगी और परामर्शी दृष्टिकोण से अधिक संभावना है:

  • संदर्भ को उचित रूप से स्थापित करने में सहायता करें तथा यह सुनिश्चित करें कि सभी हितधारकों के हितों को समझा जाए तथा उन पर विचार किया जाए।
  • सुनिश्चित करें कि अनिश्चितताओं, जोखिमों, मुद्दों और अवसरों की पर्याप्त रूप से पहचान की जाए और उनका प्रबंधन किया जाए।
  • जोखिमों का आकलन या विश्लेषण करते समय विशेषज्ञता के विभिन्न क्षेत्रों को एक साथ लाएं, ताकि यह सुनिश्चित किया जा सके कि जोखिम मानदंडों को परिभाषित करते समय और जोखिमों का आकलन करते समय भिन्न और कभी-कभी विरोधी विचारों पर उचित रूप से विचार किया जाए।
  • उपचार योजना के लिए अनुमोदन, समर्थन और प्रतिबद्धता प्राप्त करने में सहायता करें।
  • जोखिम-सूचित निर्णय लेने से संबंधित किसी भी परिवर्तन प्रबंधन प्रक्रिया को उन्नत करना।
  • संचार और परामर्श के तरीकों में बैठकें, रिपोर्ट, ऑनलाइन संचार प्रणालियां और शिक्षण पैकेज, समाचार पत्र और प्रवाह चार्ट शामिल हो सकते हैं।

6.3 दायरा, संदर्भ और मानदंड

6.3.1 अवलोकन

कार्यक्षेत्र, संदर्भ और मानदंड स्थापित करने का उद्देश्य जोखिम प्रबंधन प्रक्रिया को अनुकूलित करना तथा प्रभावी जोखिम मूल्यांकन और उचित जोखिम उपचार को सक्षम बनाना है।

आपको अपनी जोखिम प्रबंधन गतिविधियों का दायरा परिभाषित करना चाहिए। चूँकि आपकी जोखिम प्रबंधन गतिविधियाँ विभिन्न स्तरों (जैसे रणनीतिक, परिचालन, कार्यक्रम, परियोजना या अन्य गतिविधियाँ) पर लागू की जा सकती हैं, इसलिए विचाराधीन दायरे, विचार किए जाने वाले प्रासंगिक उद्देश्यों और आपके उद्देश्यों के साथ उनके संरेखण के बारे में स्पष्ट होना महत्वपूर्ण है। दृष्टिकोण की योजना बनाते समय, विचार में ये शामिल हैं:

6.3.2 कार्यक्षेत्र को परिभाषित करना

  • उद्देश्य और निर्णय जिन्हें लेने की आवश्यकता है।
  • गतिविधियों से अपेक्षित परिणाम.
  • समय, स्थान, विशिष्ट समावेशन और बहिष्करण।
  • उपयुक्त जोखिम मूल्यांकन उपकरण और तकनीकें।
  • आवश्यक संसाधन, जिम्मेदारियाँ और रखे जाने वाले रिकार्ड।
  • अन्य परियोजनाओं, प्रक्रियाओं और गतिविधियों के साथ संबंध।

6.3.3 बाह्य एवं आंतरिक संदर्भ

आपका बाहरी और आंतरिक संदर्भ वह वातावरण है जिसमें आप अपने उद्देश्यों को परिभाषित और प्राप्त करना चाहते हैं। आपके जोखिम प्रबंधन गतिविधियों का संदर्भ उस बाहरी और आंतरिक वातावरण की समझ से स्थापित होना चाहिए जिसमें आप काम करते हैं। इसमें उस विशिष्ट वातावरण को प्रतिबिंबित करना चाहिए जिस पर जोखिम प्रबंधन गतिविधियों को लागू किया जाना है। संदर्भ स्थापित करने से संरचना और आधार तैयार होता है जिसके भीतर जोखिम मूल्यांकन किया जाना चाहिए। यह सुनिश्चित करता है कि जोखिम मूल्यांकन करने के कारण स्पष्ट हैं। यह उन परिस्थितियों की पृष्ठभूमि भी प्रदान करता है जिनके विरुद्ध जोखिमों की पहचान और मूल्यांकन किया जा सकता है। संदर्भ को समझना महत्वपूर्ण है क्योंकि:

  • जोखिम प्रबंधन आपके उद्देश्यों और गतिविधियों के संदर्भ में होता है।
  • आपके व्यक्तिगत, टीम या संगठनात्मक कारक अनिश्चितता, जोखिम और अवसर का स्रोत हो सकते हैं।
  • जोखिम प्रबंधन प्रक्रिया का उद्देश्य और दायरा आपके उद्देश्यों से संबंधित हो सकता है।

6.3.4 जोखिम मानदंड परिभाषित करना

आपको अपने उद्देश्यों के सापेक्ष जोखिम की मात्रा और प्रकार को निर्दिष्ट करना चाहिए जिसे आप ले सकते हैं या नहीं ले सकते हैं। जोखिम मानदंड संदर्भ की शर्तें हैं जिनके आधार पर जोखिम का महत्व निर्धारित किया जाता है। यह निम्नलिखित के लिए मानदंड निर्धारित करता है:

  • यह निर्णय लेना कि आपके उद्देश्यों की प्राप्ति के लिए जोखिम या अवसर स्वीकार किया जा सकता है।
  • कभी-कभी इसे जोखिम भूख के रूप में संदर्भित किया जाता है, यह जोखिम की मात्रा या जोखिम से संबंधित पैरामीटर को निर्धारित करने के लिए एक तकनीक को निर्दिष्ट करता है, साथ ही एक सीमा भी बताता है जिसके आगे जोखिम अस्वीकार्य हो जाता है।
  • जोखिम की स्वीकार्यता को उद्देश्यों से जुड़े विशिष्ट प्रदर्शन मापों में स्वीकार्य भिन्नता को निर्दिष्ट करके भी परिभाषित किया जा सकता है।
  • परिणाम के प्रकार के अनुसार अलग-अलग मानदंड निर्दिष्ट किए जा सकते हैं। उदाहरण के लिए, वित्तीय जोखिम को स्वीकार करने के मानदंड मानव जीवन के जोखिम के लिए परिभाषित मानदंडों से भिन्न हो सकते हैं।

जोखिम के महत्व का मूल्यांकन।
अन्य जोखिमों की तुलना में जोखिम के महत्व का मूल्यांकन अक्सर उन मानदंडों की तुलना में जोखिम की मात्रा के अनुमान पर आधारित होता है जो सीधे आपके उद्देश्यों के आसपास निर्धारित सीमाओं से संबंधित होते हैं। इन मानदंडों के साथ तुलना आपको यह बता सकती है कि उद्देश्यों के आसपास निर्धारित सीमाओं से बाहर परिणामों को संचालित करने की उनकी क्षमता के आधार पर उपचार के लिए किन जोखिमों पर ध्यान केंद्रित किया जाना चाहिए। जोखिम की मात्रा शायद ही कभी जोखिम के महत्व के बारे में निर्णय लेने के लिए प्रासंगिक एकमात्र मानदंड होती है। अन्य प्रासंगिक कारकों में स्थिरता (जैसे ट्रिपल बॉटम लाइन) और लचीलापन, नैतिक और कानूनी मानदंड, नियंत्रणों की प्रभावशीलता, नियंत्रण मौजूद न होने या विफल होने पर अधिकतम प्रभाव, परिणामों का समय, नियंत्रणों की लागत और हितधारकों के विचार शामिल हो सकते हैं।

विकल्पों के बीच निर्णय लेना।
एक संगठन को कई निर्णयों का सामना करना पड़ेगा, जहाँ कई, अक्सर प्रतिस्पर्धा करने वाले, उद्देश्य संभावित रूप से प्रभावित होते हैं, और विचार करने के लिए संभावित प्रतिकूल परिणाम और संभावित लाभ दोनों होते हैं। ऐसे निर्णयों के लिए, कई मानदंडों को पूरा करने की आवश्यकता हो सकती है और प्रतिस्पर्धी उद्देश्यों के बीच व्यापार-नापसंद की आवश्यकता हो सकती है। निर्णय के लिए प्रासंगिक मानदंडों की पहचान की जानी चाहिए। मानदंडों को कैसे भारित किया जाए या व्यापार-नापसंद कैसे किया जाए, यह तय किया जाना चाहिए और उसका हिसाब लगाया जाना चाहिए। मानदंड निर्धारित करते समय, इस संभावना पर विचार किया जाना चाहिए कि विभिन्न हितधारकों के लिए लागत और लाभ अलग-अलग हो सकते हैं। अनिश्चितता के विभिन्न रूपों को किस तरह ध्यान में रखा जाए, यह तय किया जाना चाहिए। यहीं पर आपका रवैया, इच्छा और जोखिम के प्रति सहनशीलता आती है।

जोखिम रवैया
यह जोखिम का आकलन करने और अंततः उसे जारी रखने, बनाए रखने, लेने या उससे दूर जाने का आपका दृष्टिकोण है।

जोखिम उठाने की क्षमता
यह जोखिम की वह मात्रा और प्रकार है जिसे आप हमारे उद्देश्यों और परिणामों को प्राप्त करने के लिए उठाने या बरकरार रखने के लिए तैयार हैं।

जोखिम सहनशीलता
यह आपके उद्देश्यों और परिणामों को प्राप्त करने के लिए जोखिम उपचार लागू होने के बाद जोखिम को सहन करने की आपकी तत्परता है। जबकि मानदंड जोखिम मूल्यांकन प्रक्रिया की शुरुआत में स्थापित किए जाने चाहिए, वे गतिशील हैं और यदि आवश्यक हो तो उनकी लगातार समीक्षा और संशोधन किया जाना चाहिए। जोखिम के महत्व का मूल्यांकन करने और निर्णय लेने की प्रक्रियाओं का समर्थन करने के लिए मानदंड निर्धारित करने के लिए, निम्नलिखित पर विचार किया जाना चाहिए:

  • अनिश्चितताओं, जोखिमों और अवसरों की प्रकृति और प्रकार जो परिणामों और उद्देश्यों (मूर्त और अमूर्त दोनों) को प्रभावित कर सकते हैं।
  • परिणाम – सकारात्मक और नकारात्मक दोनों – और संभावना को कैसे परिभाषित और मापा जाएगा।
  • समय-सम्बन्धित कारक.
  • माप के उपयोग में स्थिरता।
  • जोखिम का स्तर कैसे निर्धारित किया जाएगा।
  • विभिन्न जोखिमों के संयोजन और अनुक्रम को किस प्रकार ध्यान में रखा जाएगा।
  • जोखिमों का प्रबंधन करने की क्षमता.

6.4 जोखिम मूल्यांकन

6.4.1 सामान्य

जोखिम मूल्यांकन निम्नलिखित की समग्र प्रक्रिया है:
जोखिम की पहचान
जोखिमों को खोजने, पहचानने और उनका वर्णन करने की प्रक्रिया।
जोखिम विश्लेषण
जोखिम की प्रकृति को समझने और जोखिम के स्तर को निर्धारित करने की प्रक्रिया।
जोखिम मूल्यांकन
जोखिम विश्लेषण के परिणामों की तुलना जोखिम मानदंडों से करने की प्रक्रिया है ताकि यह निर्धारित किया जा सके कि जोखिम और/या उसका परिमाण स्वीकार्य या सहनीय है या नहीं।

जोखिम मूल्यांकन व्यवस्थित, पुनरावृत्त और सहयोगात्मक रूप से किया जाना चाहिए। यह गतिविधि हितधारकों के ज्ञान और विचारों पर आधारित है। इसमें सर्वोत्तम उपलब्ध जानकारी का उपयोग किया जाना चाहिए, और आवश्यकतानुसार आगे की जांच भी की जानी चाहिए। सफल जोखिम मूल्यांकन आंतरिक और बाहरी हितधारकों के साथ प्रभावी संचार और परामर्श पर निर्भर करता है। जोखिम मूल्यांकन गतिविधि के दौरान हितधारकों को शामिल करने से निम्नलिखित में सहायता मिलेगी:

  • यह सुनिश्चित करना कि हितधारकों के हितों को अच्छी तरह समझा जाए और उन पर विचार किया जाए।
  • जोखिम की पहचान और विश्लेषण के लिए विशेषज्ञता के विभिन्न क्षेत्रों को एक साथ लाना।
  • यह सुनिश्चित करना कि जोखिमों का मूल्यांकन करते समय विभिन्न दृष्टिकोणों और चिंताओं पर उचित रूप से विचार किया जाए।
  • यह सुनिश्चित करना कि जोखिम, मुद्दे और अवसरों की पर्याप्त रूप से पहचान की जाए।

जोखिम मूल्यांकन गतिविधि निर्णयकर्ताओं और हितधारकों को अनिश्चितताओं, जोखिमों और अवसरों की समझ प्रदान करती है जो आपके उद्देश्यों की प्राप्ति और पहले से मौजूद नियंत्रणों की पर्याप्तता और प्रभावशीलता को प्रभावित कर सकते हैं। जोखिम मूल्यांकन गतिविधि से प्राप्त आउटपुट निर्णय लेने की प्रक्रियाओं के लिए इनपुट होते हैं और जोखिमों से निपटने या अवसर का लाभ उठाने के लिए उपयोग किए जाने वाले सबसे उपयुक्त दृष्टिकोण के बारे में निर्णय लेने का आधार प्रदान करते हैं।

आईएसओ ३१०००:२०१८ जोखिम प्रबंधन – जोखिम मूल्यांकन तकनीक , एक अंतरराष्ट्रीय जोखिम मूल्यांकन मानक, विभिन्न तकनीकों के चयन और अनुप्रयोग पर आगे मार्गदर्शन प्रदान करता है जिनका उपयोग अनिश्चितता को ध्यान में रखने के तरीके को बेहतर बनाने और अनिश्चितताओं, जोखिमों और अवसरों को समझने में आपकी मदद करने के लिए किया जा सकता है। मानक में वर्णित तकनीकें अनिश्चितता और आपके निर्णयों और कार्यों के लिए इसके निहितार्थों की समझ को बेहतर बनाने का एक साधन प्रदान करती हैं। यह आपको ऐसे निर्णय लेने में सहायता कर सकता है जहाँ अनिश्चितता हो, विशेष जोखिमों के बारे में जानकारी प्रदान करने के लिए और जोखिम प्रबंधन की प्रक्रिया के हिस्से के रूप में। आईएसओ ३१०००:२०१८ जोखिम का आकलन करने में उनके प्राथमिक अनुप्रयोग के अनुसार तकनीकों को वर्गीकृत करता है, अर्थात्:

  • हितधारकों और विशेषज्ञों से विचार प्राप्त करना,
  • जोखिम की पहचान करना;
  • स्रोतों और कारणों (या जोखिम के चालकों) का निर्धारण;
  • मौजूदा नियंत्रणों का विश्लेषण करना;
  • परिणामों और संभावनाओं को समझना;
  • निर्भरता और अंतःक्रियाओं का विश्लेषण करना;
  • जोखिम के उपाय प्रदान करना;
  • जोखिम के महत्व का मूल्यांकन करना;
  • विकल्पों के बीच चयन करना
  • रिकॉर्डिंग और रिपोर्टिंग।

ख) जोखिम की पहचान

जोखिम पहचान का उद्देश्य उन जोखिमों को खोजना, पहचानना और उनका वर्णन करना है जो आपके उद्देश्यों को प्राप्त करने में आपकी मदद कर सकते हैं या आपको रोक सकते हैं। जोखिम की पहचान करने से अनिश्चितता को स्पष्ट रूप से ध्यान में रखा जा सकता है। मूल्यांकन के संदर्भ और दायरे के आधार पर अनिश्चितता के सभी स्रोत और लाभकारी और हानिकारक दोनों प्रभाव प्रासंगिक हो सकते हैं। जोखिम पहचान में जोखिम स्रोतों, घटनाओं, उनके कारणों (जोखिम के चालक) और उनके संभावित परिणामों की पहचान शामिल है। जोखिम स्रोत एक ऐसा तत्व है जो अकेले या संयोजन में जोखिम को जन्म देने की अंतर्निहित क्षमता रखता है। एक घटना (या दुर्घटना या दुर्घटना) परिस्थितियों के एक विशेष सेट की घटना या परिवर्तन है। यह एक या अधिक घटनाएं हो सकती हैं और इसके कई कारण हो सकते हैं। पहचानें कि क्या हो सकता है (ज्ञात अनिश्चितताएं) या कौन सी परिस्थितियाँ मौजूद हैं जो उद्देश्यों और परिणामों की उपलब्धि को प्रभावित कर सकती हैं। इसमें उन जोखिमों की पहचान करना शामिल है जो किसी अवसर का पीछा न करने से जुड़े हैं। यह कुछ न करने और प्रदर्शन को बेहतर बनाने के अवसर को संभावित रूप से खोने का जोखिम है। जोखिम की पहचान करते समय, निम्नलिखित पर विचार करें:

  • क्या हो सकता है – क्या गलत हो सकता है? क्या लक्ष्य प्राप्ति में बाधा बन सकता है? कौन से जोखिम आपके इच्छित परिणामों को खतरे में डाल सकते हैं?
  • यह कैसे हो सकता है – क्या जोखिम की संभावना है या फिर से होने की संभावना है? यदि ऐसा है, तो जोखिम की घटना होने का क्या कारण हो सकता है?
  • यह कहाँ हो सकता है – क्या जोखिम कहीं भी, किसी भी वातावरण या स्थान पर होने की संभावना है? या क्या यह जोखिम आपके स्थान, भौतिक क्षेत्र या गतिविधि पर निर्भर है?
  • ऐसा क्यों हो सकता है – जोखिम वाली घटना के दोबारा होने के लिए किन कारकों की आवश्यकता होगी? समझें कि जोखिम वाली घटना क्यों हो सकती है या क्यों दोहराई जा सकती है।
  • इसका परिणाम क्या हो सकता है – यदि जोखिम वाली घटना घटित होती है, तो इसका उद्देश्य और परिणाम पर क्या परिणाम होगा या हो सकता है? क्या इसका परिणाम स्थानीय स्तर पर महसूस किया जाएगा, या इसका प्रभाव पूरे संगठन पर पड़ेगा?
  • परिणाम को कौन प्रभावित करता है या कर सकता है – आपके नियंत्रण या प्रभाव में कितना है? सुनिश्चित करें कि प्रतिनिधिमंडल, नियंत्रण, प्रभाव, संसाधन और बजट वाले लोगों को सूचित किया जाए। जोखिम के उपचारों पर विचार करते समय यह अधिक महत्वपूर्ण हो जाता है।
  • जोखिम स्वामी कौन है – जोखिम स्वामी वह व्यक्ति या संस्था है जिसके पास जोखिम का प्रबंधन करने और नियंत्रण एवं उपचार स्वामियों के साथ गतिविधियों का समन्वय करने की जवाबदेही और अधिकार होता है।

जोखिमों की पहचान करने में प्रासंगिक, उचित और अद्यतन जानकारी महत्वपूर्ण है। जोखिम पहचान गतिविधि के दौरान निम्नलिखित कारकों और इन कारकों के बीच संबंधों पर विचार किया जाना चाहिए:

  • जोखिम के मूर्त और अमूर्त स्रोत;
  • कारण (जोखिम चालक) और घटनाएँ;
  • खतरे और अवसर;
  • कमजोरियां और क्षमताएं;
  • बाह्य एवं आंतरिक संदर्भ में परिवर्तन;
  • उभरती अनिश्चितताओं और जोखिमों के संकेतक;
  • परिसंपत्तियों और संसाधनों की प्रकृति और मूल्य;
  • परिणाम और उद्देश्यों पर उनका प्रभाव;
  • ज्ञान की सीमाएं और सूचना की विश्वसनीयता;
  • समय-संबंधी कारक; और
  • इसमें शामिल लोगों के पूर्वाग्रह, धारणाएं और विश्वास।

इस बात पर विचार किया जाना चाहिए कि एक से अधिक प्रकार के परिणाम हो सकते हैं, जिसके परिणामस्वरूप विभिन्न प्रकार के मूर्त या अमूर्त परिणाम हो सकते हैं। एक बार जोखिम की पहचान हो जाने पर, डिज़ाइन सुविधाएँ, लोग, प्रक्रियाएँ और सिस्टम जैसे किसी भी मौजूदा नियंत्रण की पहचान करें।

6.4.3 जोखिम विश्लेषण

जोखिम विश्लेषण का उद्देश्य पहचाने गए जोखिम की प्रकृति और इसकी विशेषताओं को समझना है, जिसमें उचित होने पर जोखिम का स्तर भी शामिल है। जोखिम का स्तर या जोखिम रेटिंग, जोखिम या जोखिमों के संयोजन की मात्रा है, जिसे परिणामों और उनकी संभावना के संयोजन के रूप में व्यक्त किया जाता है। जोखिम विश्लेषण गतिविधि में अनिश्चितताओं, स्रोतों, कारणों (जोखिम के चालक), परिणामों, संभावना, घटनाओं, परिदृश्यों, नियंत्रणों और उनकी प्रभावशीलता पर विस्तृत विचार करना शामिल है। एक घटना के कई कारण और परिणाम हो सकते हैं और कई उद्देश्यों को प्रभावित कर सकते हैं। विश्लेषण के उद्देश्य, जानकारी की उपलब्धता और विश्वसनीयता और उपलब्ध संसाधनों के आधार पर जोखिम विश्लेषण को अलग-अलग डिग्री के विवरण और जटिलता के साथ किया जा सकता है। परिस्थितियों और इच्छित उपयोग के आधार पर आपकी विश्लेषण तकनीक गुणात्मक, मात्रात्मक या इनका संयोजन हो सकती है। जोखिम विश्लेषण में निम्नलिखित कारकों पर विचार किया जाना चाहिए:

  • घटनाओं और परिणामों की संभावना;
  • परिणामों की प्रकृति और परिमाण;
  • जटिलता और कनेक्टिविटी;
  • समय से संबंधित कारक और अस्थिरता;
  • मौजूदा नियंत्रणों की प्रभावशीलता; और
  • संवेदनशीलता और आत्मविश्वास का स्तर.

जोखिम कई अलग-अलग प्रकार के परिणामों से जुड़ा हो सकता है, जो अलग-अलग उद्देश्यों को प्रभावित करते हैं। परिणाम समय के साथ बदल भी सकते हैं। उदाहरण के लिए, किसी दोष के प्रतिकूल प्रभाव उतने ही गंभीर हो सकते हैं, जितने लंबे समय तक दोष मौजूद रहता है। कभी-कभी परिणाम जोखिम के कई स्रोतों के संपर्क में आने से उत्पन्न होते हैं।
संभावना किसी घटना की संभावना या किसी निर्दिष्ट परिणाम की संभावना को संदर्भित कर सकती है। जिस पैरामीटर पर संभावना मान लागू होता है, उसे स्पष्ट रूप से बताया जाना चाहिए। जिस घटना या परिणाम की संभावना बताई जा रही है, उसे स्पष्ट रूप से और सटीक रूप से परिभाषित किया जाना चाहिए।
अनिश्चितताओं, जोखिमों और अवसरों के बीच आमतौर पर कई अंतःक्रियाएं और निर्भरताएं होती हैं। उदाहरण के लिए, एक ही कारण से कई परिणाम उत्पन्न हो सकते हैं या किसी विशेष परिणाम के कई कारण हो सकते हैं। इस जोखिम विश्लेषण गतिविधि के दौरान मौजूदा नियंत्रणों और उनकी प्रभावशीलता को ध्यान में रखा जाना चाहिए क्योंकि जोखिम का स्तर उनकी पर्याप्तता और प्रभावशीलता पर निर्भर करेगा। नियंत्रण एक ऐसी चीज है जो वर्तमान में मौजूद है जो जोखिम को कम कर रही है। इसे अक्सर पिछली स्थिति या घटना के परिणामस्वरूप लाया जाता है। नियंत्रण की तीन श्रेणियां हैं:

  1. निवारक – नीतियों और प्रक्रियाओं, अनुमोदनों, प्राधिकरणों, पुलिस जांच और प्रशिक्षण सहित किसी स्थिति के घटित होने की संभावना को कम करना। ये नियंत्रण आम तौर पर जोखिम वाली घटना के कारणों या चालकों को लक्षित करते हैं।
  2. जासूसी – प्रदर्शन समीक्षा, सुलह, लेखा परीक्षा और जांच सहित वर्तमान नियंत्रण वातावरण में विफलताओं की पहचान करना।
  3. सुधारात्मक – संकट प्रबंधन और व्यवसाय निरंतरता योजनाओं, बीमा और आपदा पुनर्प्राप्ति योजनाओं सहित विफलता का पता लगने के बाद उसके परिणाम को कम करना और सुधारना। ये नियंत्रण आम तौर पर जोखिम घटना के संभावित परिणामों को लक्षित करते हैं।

जोखिम किसी भी नियंत्रण की समग्र प्रभावशीलता से प्रभावित होता है। नियंत्रण के निम्नलिखित पहलुओं पर विचार किया जाना चाहिए:

  • वह तंत्र जिसके द्वारा नियंत्रण का उद्देश्य जोखिम को संशोधित करना है;
  • क्या नियंत्रण मौजूद हैं, क्या वे अपेक्षित रूप से कार्य करने में सक्षम हैं, और क्या अपेक्षित परिणाम प्राप्त कर रहे हैं;
  • क्या नियंत्रणों के डिजाइन या उनके लागू करने के तरीके में कमियां हैं;
  • क्या नियंत्रण में अंतराल हैं;
  • क्या नियंत्रण स्वतंत्र रूप से कार्य करते हैं, या उन्हें प्रभावी होने के लिए सामूहिक रूप से कार्य करने की आवश्यकता है;
  • क्या ऐसे कारक, स्थितियाँ, कमज़ोरियाँ या परिस्थितियाँ हैं जो सामान्य कारण विफलताओं सहित नियंत्रण प्रभावशीलता को कम या समाप्त कर सकती हैं; और
  • क्या नियंत्रण स्वयं अतिरिक्त जोखिम उत्पन्न करते हैं।

जोखिम विश्लेषण के दौरान नियंत्रणों के वास्तविक प्रभाव और विश्वसनीयता के बारे में की गई किसी भी धारणा को यथासंभव मान्य किया जाना चाहिए, जिसमें व्यक्तिगत या नियंत्रणों के संयोजन पर जोर दिया जाना चाहिए, जिनके बारे में माना जाता है कि उनका पर्याप्त संशोधित प्रभाव है। इसमें नियमित निगरानी और नियंत्रणों की समीक्षा के माध्यम से प्राप्त जानकारी पर विचार किया जाना चाहिए। कई मामलों में ये स्थितियाँ या घटनाएँ नियंत्रणों की कमी के कारण नहीं, बल्कि मौजूदा नियंत्रणों की विफलता के कारण उत्पन्न होती हैं। जोखिमों को प्रभावी ढंग से प्रबंधित करने की असली कुंजी यह सुनिश्चित करना है कि आपके मौजूदा नियंत्रण निम्नलिखित पर विचार करके प्रभावी हैं:

  • किसी विशेष जोखिम घटना के लिए मौजूदा नियंत्रण क्या हैं?
  • क्या ये नियंत्रण जोखिम की घटना को पर्याप्त रूप से प्रबंधित करने या उसका उपचार करने में सक्षम हैं, ताकि इसे सहनीय या स्वीकार्य स्तर तक नियंत्रित किया जा सके?

आपकी जोखिम विश्लेषण गतिविधि राय, पूर्वाग्रह, जोखिम की धारणा और निर्णयों के किसी भी विचलन से प्रभावित हो सकती है। अतिरिक्त प्रभाव उपयोग की गई जानकारी की गुणवत्ता, की गई धारणाएँ और बहिष्करण, तकनीकों की कोई सीमाएँ और उन्हें कैसे निष्पादित किया जाता है, हैं। इन प्रभावों पर विचार किया जाना चाहिए, उनका दस्तावेजीकरण किया जाना चाहिए और निर्णयकर्ताओं को सूचित किया जाना चाहिए।
जोखिम विश्लेषण गतिविधि जोखिम मूल्यांकन, जोखिम का इलाज करने की आवश्यकता है या नहीं और कैसे, और सबसे उपयुक्त जोखिम उपचार रणनीति और विधियों पर निर्णय लेने के लिए एक इनपुट प्रदान करती है। परिणाम निर्णयों के लिए अंतर्दृष्टि प्रदान करते हैं, जहाँ विकल्प बनाए जा रहे हैं, और विकल्पों में जोखिम के विभिन्न प्रकार और स्तर शामिल हैं।

6.4.4 जोखिम मूल्यांकन

जोखिम मूल्यांकन का उद्देश्य निर्णयों का समर्थन करना है। जोखिम मूल्यांकन में जोखिम विश्लेषण के परिणामों की स्थापित जोखिम मानदंडों के साथ तुलना करना शामिल है ताकि यह निर्धारित किया जा सके कि अतिरिक्त कार्रवाई की आवश्यकता कहां है। यह गतिविधि संभावित भविष्य की कार्रवाइयों के बारे में जोखिम-सूचित निर्णय लेने के लिए जोखिम विश्लेषण के दौरान प्राप्त जोखिम की समझ का उपयोग करती है। जोखिम की धारणाओं सहित नैतिक, कानूनी, वित्तीय और अन्य विचार भी निर्णय लेने की प्रक्रिया में इनपुट हैं। इससे निम्न निर्णय हो सकते हैं:

  • आगे कुछ न करें;
  • जोखिम उपचार विकल्पों पर विचार करें;
  • जोखिम को बेहतर ढंग से समझने के लिए आगे का विश्लेषण करना;
  • मौजूदा नियंत्रण बनाए रखें; या
  • उद्देश्यों पर पुनर्विचार करें.

जोखिम की पहचान और विश्लेषण से प्राप्त जानकारी का उपयोग यह निष्कर्ष निकालने के लिए किया जा सकता है कि जोखिम को स्वीकार किया जाना चाहिए या नहीं और उद्देश्यों और प्रदर्शन सीमाओं के सापेक्ष जोखिम का तुलनात्मक महत्व क्या है। यह इस बारे में निर्णय लेने में इनपुट प्रदान करता है कि क्या जोखिम स्वीकार्य है या उपचार की आवश्यकता है और उपचार के लिए कोई प्राथमिकता है। निर्णयों को व्यापक संदर्भ और बाहरी और आंतरिक हितधारकों के लिए वास्तविक और कथित परिणामों को ध्यान में रखना चाहिए। निम्नलिखित परिस्थितियों में जोखिम स्वीकार्य या सहनीय हो सकता है:

  • कोई उपचार उपलब्ध नहीं है;
  • उपचार की लागत निषेधात्मक या अलाभकारी है;
  • जोखिम का स्तर कम है और जोखिम से निपटने के लिए संसाधनों का उपयोग करने की आवश्यकता नहीं है;
  • इसमें शामिल अवसर खतरों से कहीं अधिक हैं; या
  • इसका इलाज न करने का सचेत निर्णय लिया गया है।

जोखिम की मात्रा के अलावा अन्य कारक जिन्हें प्राथमिकताएं तय करते समय ध्यान में रखा जा सकता है, उनमें शामिल हैं:

  • जोखिम से जुड़े अन्य उपाय जैसे कि अधिकतम या अपेक्षित परिणाम या नियंत्रण की प्रभावशीलता;
  • घटनाओं या उनके संभावित परिणामों की गुणात्मक विशेषताएं;
  • हितधारकों के विचार और धारणाएं;
  • प्राप्त सुधार की तुलना में आगे के उपचार की लागत और व्यावहारिकता; या
  • अन्य जोखिमों पर उपचार के प्रभाव सहित जोखिमों के बीच अंतःक्रिया।

जोखिम मूल्यांकन के परिणाम को रिकॉर्ड किया जाना चाहिए, संप्रेषित किया जाना चाहिए और फिर संगठन के उचित स्तरों पर मान्य किया जाना चाहिए। एक बार जोखिमों का मूल्यांकन हो जाने और उपचार तय हो जाने के बाद, जोखिम मूल्यांकन गतिविधि को यह जाँचने के लिए दोहराया जा सकता है कि प्रस्तावित उपचारों ने अतिरिक्त प्रतिकूल जोखिम पैदा नहीं किए हैं और उपचार के बाद बचा हुआ जोखिम आपकी जोखिम क्षमता के भीतर है।

6.5 जोखिम उपचार

6.5.1 अवलोकन

जोखिम उपचार का उद्देश्य जोखिम से निपटने के लिए विकल्पों का चयन और क्रियान्वयन करना है। जोखिम मूल्यांकन पूरा करने के बाद, जोखिम का उपचार करने में एक या अधिक उपचार विकल्पों का चयन और क्रियान्वयन शामिल होता है जो जोखिम की संभावना, जोखिम के परिणाम या दोनों को बदल देगा। जोखिम उपचार में निम्नलिखित की एक पुनरावृत्त प्रक्रिया शामिल है:

  • जोखिम उपचार विकल्पों का निर्माण और चयन;
  • जोखिम उपचार की योजना बनाना और उसका क्रियान्वयन करना;
  • उस उपचार की प्रभावशीलता का आकलन करना;
  • यह निर्णय लेना कि क्या शेष जोखिम स्वीकार्य है; तथा
  • यदि स्वीकार्य न हो तो आगे उपचार लिया जाएगा।

6.5.2 जोखिम उपचार विकल्प का चयन

सबसे उपयुक्त जोखिम उपचार विकल्प का चयन करने में लागत, प्रयास या कार्यान्वयन के नुकसान के विरुद्ध उद्देश्यों की प्राप्ति के संबंध में प्राप्त संभावित लाभों को संतुलित करना शामिल है। जोखिम उपचार विकल्प सभी परिस्थितियों में आवश्यक रूप से परस्पर अनन्य या उपयुक्त नहीं होते हैं। जोखिम के उपचार के विकल्पों में निम्नलिखित में से एक या अधिक शामिल हो सकते हैं:

  • जोखिम को जन्म देने वाली गतिविधि को शुरू न करने या जारी न रखने का निर्णय लेकर जोखिम से बचना;
  • किसी अवसर का लाभ उठाने के लिए जोखिम उठाना या बढ़ाना;
  • जोखिम के स्रोत को हटाना;
  • संभावना बदलना;
  • परिणाम बदलना;
  • जोखिम साझा करना (जैसे अनुबंधों के माध्यम से, बीमा खरीदकर); या
  • सूचित निर्णय द्वारा जोखिम को बरकरार रखना।

यदि लक्ष्य जोखिम की संभावना को कम करना है, तो आपको अपने दृष्टिकोण को समायोजित करने की आवश्यकता हो सकती है। दृष्टिकोण को सफलतापूर्वक बदलना जोखिम के कारणों और जोखिम और उसके परिणामों के बीच कारण संबंधों की पहचान करने पर निर्भर करेगा, दोनों को जोखिम मूल्यांकन गतिविधि में पहचाना जाना चाहिए था।
यदि लक्ष्य जोखिम के परिणाम को कम करना है, तो जोखिम का जवाब देने के लिए एक आकस्मिक योजना की आवश्यकता हो सकती है। यह योजना अन्य नियंत्रणों के संयोजन में बनाई जा सकती है। यानी, भले ही जोखिम की संभावना को कम करने के लिए कदम उठाए गए हों, फिर भी जोखिम के परिणाम को कम करने के लिए एक योजना बनाना सार्थक हो सकता है। यदि लक्ष्य जोखिम को साझा करना है, तो बीमाकर्ता या ठेकेदार जैसे किसी अन्य पक्ष को शामिल करने से मदद मिल सकती है। जोखिम को अनुबंध के आधार पर, आपसी सहमति से और विभिन्न तरीकों से साझा किया जा सकता है जो सभी पक्षों की जरूरतों और आवश्यकताओं को पूरा करते हैं। ऐसी व्यवस्थाओं को औपचारिक रूप से दर्ज किया जाना चाहिए – चाहे अनुबंध, समझौते या औपचारिक पत्र के माध्यम से। जोखिम साझा करने से जोखिम के प्रबंधन के लिए दायित्व और जवाबदेही खत्म नहीं होती है। जोखिम को किसी अन्य पक्ष को हस्तांतरित नहीं किया जा सकता है। यदि जोखिम इतना महत्वपूर्ण है कि लक्ष्य इसे पूरी तरह से समाप्त करना या टालना है, तो उपचार विकल्प परियोजना के दायरे या डिजाइन को बदलना है। जोखिम उपचार के लिए औचित्य केवल आर्थिक विचारों से कहीं अधिक व्यापक है। इसमें सभी दायित्वों, स्वैच्छिक प्रतिबद्धताओं और हितधारकों के विचारों को ध्यान में रखना चाहिए। जोखिम उपचार विकल्पों का चयन आपके उद्देश्यों, जोखिम मानदंडों और उपलब्ध संसाधनों के अनुसार किया जाना चाहिए। जोखिम उपचार
विकल्पों का चयन करते समय, हितधारकों के मूल्यों, धारणाओं और संभावित भागीदारी और उनके साथ संवाद करने और परामर्श करने के सबसे उपयुक्त तरीकों पर विचार करें। हालांकि समान रूप से प्रभावी, कुछ जोखिम उपचार कुछ हितधारकों को दूसरों की तुलना में अधिक स्वीकार्य हो सकते हैं। जोखिम उपचार, भले ही सावधानीपूर्वक डिज़ाइन और कार्यान्वित किए गए हों, अपेक्षित परिणाम नहीं दे सकते हैं और अनपेक्षित परिणाम उत्पन्न कर सकते हैं। यह आश्वासन देने के लिए कि उपचार के विभिन्न रूप प्रभावी बनेंगे और बने रहेंगे, निगरानी और समीक्षा जोखिम उपचार कार्यान्वयन का एक अभिन्न अंग होना चाहिए। जोखिम उपचार नए जोखिम भी पेश कर सकता है जिन्हें प्रबंधित करने की आवश्यकता है। यदि कोई उपचार विकल्प उपलब्ध नहीं हैं या यदि उपचार विकल्प जोखिम को पर्याप्त रूप से संशोधित नहीं करते हैं, तो जोखिम को रिकॉर्ड किया जाना चाहिए और निरंतर समीक्षा के तहत रखा जाना चाहिए। निर्णय लेने वालों और अन्य हितधारकों को जोखिम उपचार के बाद शेष जोखिम की प्रकृति और सीमा के बारे में पता होना चाहिए। शेष जोखिम का दस्तावेजीकरण किया जाना चाहिए तथा निगरानी, ​​समीक्षा और, जहां उपयुक्त हो, आगे के उपचार का प्रावधान किया जाना चाहिए।

6.5.3 जोखिम उपचार योजनाएँ तैयार करना और उनका क्रियान्वयन करना

एक बार जब उपचार विकल्पों की पहचान हो जाती है और उपचार स्वामियों द्वारा कार्यान्वयन के लिए उपयुक्त उपचारों का चयन कर लिया जाता है, तो कार्यान्वयन की प्रगति की निगरानी के लिए उपचार योजनाएँ तैयार की जा सकती हैं। जोखिम उपचार योजनाओं का उद्देश्य यह निर्दिष्ट करना है कि चुने गए उपचार विकल्पों को कैसे लागू किया जाएगा। यहीं पर व्यवस्थाओं को शामिल लोगों द्वारा समझा जाता है और योजना के अनुसार प्रगति की निगरानी की जा सकती है। उपचार योजना को उस क्रम की पहचान करनी चाहिए जिसमें जोखिम उपचार को लागू किया जाना चाहिए। योजनाओं को उचित हितधारकों के परामर्श से प्रबंधन योजनाओं और प्रक्रियाओं में एकीकृत किया जाना चाहिए। उपचार योजना में दी गई जानकारी में शामिल होना चाहिए:

  • उपचार विकल्पों के चयन का औचित्य, जिसमें अपेक्षित लाभ भी शामिल हैं;
  • जो लोग योजना को मंजूरी देने और लागू करने के लिए जवाबदेह और जिम्मेदार हैं;
  • प्रस्तावित कार्यवाहियाँ;
  • आकस्मिकताओं सहित आवश्यक संसाधन;
  • प्रदर्शन माप;
  • बाधाएं और धारणाएं;
  • रिपोर्टिंग और निगरानी व्यवस्था; और
  • जब कार्य शुरू किए जाने और पूरे किए जाने की अपेक्षा की जाती है।

उपचारों को क्रियान्वित करते समय निम्नलिखित प्रश्नों पर विचार करें:

  • क्या उपचारों से वांछित प्रभाव दिखाई देता है? क्या वे उस चीज़ को रोकेंगे या कम करेंगे जिसे रोकने या कम करने के लिए उनका उद्देश्य है?
  • क्या नियंत्रण से कोई अन्य जोखिम उत्पन्न होगा? उदाहरण के लिए, आग से निपटने के लिए स्प्रिंकलर सिस्टम से पानी की क्षति हो सकती है, जो एक अलग जोखिम प्रस्तुत करता है जिसके लिए विचार या प्रबंधन (अनपेक्षित परिणाम) की आवश्यकता होती है।
  • क्या उपचार लाभदायक या लागत-कुशल हैं? क्या उपचार को लागू करने की लागत नियंत्रण के बिना होने वाले जोखिम के लिए जिम्मेदार लागत से अधिक है? कुल मिलाकर, क्या इस जोखिम के लिए उपचार को लागू करने की लागत उचित है?

भले ही मौजूदा नियंत्रणों को ‘प्रभावी’ के रूप में रेट किया गया हो, आप उनकी प्रभावशीलता को और मजबूत करने के लिए आगे के उपचारों को लागू करने पर विचार कर सकते हैं। एक बार उपचार लागू हो जाने के बाद, अवशिष्ट जोखिम रेटिंग आम तौर पर मूल जोखिम रेटिंग से कम होनी चाहिए। अवशिष्ट जोखिम का स्तर जोखिम के उपचार के बाद होने वाले जोखिम की संभावना और परिणाम को संदर्भित करता है।
अवशिष्ट जोखिमों का दस्तावेजीकरण, निगरानी और समीक्षा की जानी चाहिए। जहाँ उचित हो, आगे के उपचार विवेकपूर्ण हो सकते हैं। हालाँकि, जब जोखिम का उपचार किया जाता है और नियंत्रण लागू होते हैं, तब भी जोखिम समाप्त नहीं हो सकता है या उच्च बना रह सकता है।

6.6 निगरानी और समीक्षा

निगरानी और समीक्षा का उद्देश्य प्रक्रिया डिजाइन, कार्यान्वयन और परिणामों की गुणवत्ता और प्रभावशीलता को सुनिश्चित करना और सुधारना है। दो प्रमुख कार्यवाहियाँ:

  • अपेक्षित या अपेक्षित प्रदर्शन स्तर पर परिवर्तन की निगरानी करना और उसकी पहचान करना।
  • स्थापित उद्देश्यों को प्राप्त करने के लिए जोखिम प्रबंधन प्रक्रिया, जोखिम, नियंत्रण और उपचार की उपयुक्तता, पर्याप्तता और प्रभावशीलता की समीक्षा करना। इसमें यह निर्धारित करना शामिल है कि क्या परिचालन वातावरण बदल गया है और क्या नए जोखिम सामने आए हैं।

जोखिम प्रबंधन प्रक्रिया और उसके परिणामों की निरंतर निगरानी और आवधिक समीक्षा आपकी जोखिम प्रबंधन गतिविधियों का एक नियोजित हिस्सा होना चाहिए, जिसमें जिम्मेदारियाँ स्पष्ट रूप से परिभाषित हों। जोखिम प्रबंधन प्रक्रिया के हिस्से के रूप में, जोखिमों, नियंत्रणों और उपचारों की नियमित रूप से निगरानी और समीक्षा की जानी चाहिए ताकि यह सत्यापित किया जा सके कि:

  • अनिश्चितताओं, जोखिमों और अवसरों के बारे में धारणाएं वैध बनी हुई हैं।
  • अपेक्षित परिणाम और प्रदर्शन प्राप्त हो रहे हैं।
  • जोखिम आकलन के परिणाम अनुभव या अपेक्षाओं के अनुरूप होते हैं।
  • जोखिम मूल्यांकन तकनीकें उचित रूप से लागू की गई हैं और प्रभावी रूप से काम कर रही हैं।
  • जोखिम उपचार प्रभावी हैं।

निगरानी और समीक्षा आपके जोखिम प्रबंधन गतिविधियों के माध्यम से होनी चाहिए। इसमें योजना बनाना, जानकारी एकत्र करना और उसका विश्लेषण करना, परिणाम रिकॉर्ड करना और फीडबैक प्रदान करना शामिल है। निगरानी और समीक्षा के परिणामों को आपके प्रदर्शन प्रबंधन, मापन और रिपोर्टिंग गतिविधियों में शामिल किया जाना चाहिए।

6.7 रिकॉर्डिंग और रिपोर्टिंग

जोखिम प्रबंधन गतिविधियों और उसके परिणामों को उचित तंत्र के माध्यम से दस्तावेजित और रिपोर्ट किया जाना चाहिए। रिकॉर्डिंग और रिपोर्टिंग का उद्देश्य है:

  • पूरे संगठन में जोखिम प्रबंधन गतिविधियों और परिणामों का संचार करना;
  • निर्णय लेने के लिए जानकारी प्रदान करना;
  • जोखिम प्रबंधन गतिविधियों में सुधार लाना; और
  • जोखिम प्रबंधन गतिविधियों के लिए जिम्मेदारी और जवाबदेही वाले लोगों सहित हितधारकों के साथ बातचीत में सहायता करना।

प्रलेखित जानकारी के निर्माण, प्रतिधारण और प्रबंधन से संबंधित निर्णयों में उनके उपयोग, सूचना संवेदनशीलता और बाहरी और आंतरिक संदर्भ पर विचार किया जाना चाहिए, लेकिन यह इन्हीं तक सीमित नहीं होना चाहिए। रिपोर्टिंग किसी संगठन के शासन का एक अभिन्न अंग है। इसे हितधारकों के साथ संवाद की गुणवत्ता को बढ़ाना चाहिए और शीर्ष प्रबंधन और निरीक्षण निकायों को उनकी ज़िम्मेदारियों को पूरा करने में सहायता करनी चाहिए। रिपोर्टिंग के लिए विचार करने वाले कारकों में शामिल हैं, लेकिन इन तक सीमित नहीं हैं:
अलग-अलग हितधारक और उनकी विशिष्ट सूचना ज़रूरतें और आवश्यकताएँ;

  • रिपोर्टिंग की लागत, आवृत्ति और समयबद्धता;
  • रिपोर्टिंग की विधि; और
  • उद्देश्यों और निर्णय लेने के लिए जानकारी की प्रासंगिकता।

अभिलेखों का उद्देश्य है:

  • निर्णयकर्ताओं और नियामकों सहित अन्य हितधारकों को जोखिम के बारे में जानकारी संप्रेषित करना।
  • लिए गए निर्णयों के औचित्य का रिकार्ड एवं औचित्य प्रदान करें।
  • मूल्यांकन के परिणामों को भविष्य में उपयोग एवं संदर्भ के लिए सुरक्षित रखें।
  • प्रदर्शन और प्रवृत्तियों पर नज़र रखें.
  • यह विश्वास दिलाएं कि अनिश्चितताओं, जोखिमों और अवसरों को समझा गया है तथा उनका उचित प्रबंधन किया जा रहा है।
  • मूल्यांकन का सत्यापन सक्षम करें.
  • ऑडिट ट्रेल प्रदान करें.

Published by Pretesh Biswas

Pretesh Biswas has wealth of qualifications and experience in providing results-oriented solutions for your system development, training or auditing needs. He has helped dozens of organizations in implementing effective management systems to a number of standards. He provide a unique blend of specialized knowledge, experience, tools and interactive skills to help you develop systems that not only get certified, but also contribute to the bottom line. He has taught literally hundreds of students over the past 5 years. He has experience in training at hundreds of organizations in several industry sectors. His training is unique in that which can be customized as to your management system and activities and deliver them at your facility. This greatly accelerates the learning curve and application of the knowledge acquired. He is now ex-Certification body lead auditor now working as consultancy auditor. He has performed hundreds of audits in several industry sectors. As consultancy auditor, he not just report findings, but provide value-added service in recommending appropriate solutions. Experience Consultancy: He has helped over 100 clients in a wide variety of industries achieve ISO 9001,14001,27001,20000, OHSAS 18001 and TS 16949 certification. Industries include automotive, metal stamping and screw machine, fabrication, machining, assembly, Forging electrostatic and chrome plating, heat-treating, coatings, glass, plastic and rubber products, electrical and electronic equipment, assemblies & components, batteries, computer hardware and software, printing, placement and Security help, warehousing and distribution, repair facilities, consumer credit counseling agencies, banks, call centers, etc. Training: He has delivered public and on-site quality management training to over 1000 students. Courses include ISO/TS -RAB approved Lead Auditor, Internal Auditing, Implementation, Documentation, as well as customized ISO/TS courses, PPAP, FMEA, APQP and Control Plans. Auditing: He has conducted over 100 third party registration and surveillance audits and dozens of gap, internal and pre-assessment audits to ISO/QS/TS Standards, in the manufacturing and service sectors. Other services: He has provided business planning, restructuring, asset management, systems and process streamlining services to a variety of manufacturing and service clients such as printing, plastics, automotive, transportation and custom brokerage, warehousing and distribution, electrical and electronics, trading, equipment leasing, etc. Education & professional certification: Pretesh Biswas has held IRCA certified Lead Auditor for ISO 9001,14001 and 27001. He holds a Bachelor of Engineering degree in Mechanical Engineering and is a MBA in Systems and Marketing. Prior to becoming a business consultant 6 years ago, he has worked in several portfolios such as Marketing, operations, production, Quality and customer care. He is also certified in Six Sigma Black belt .

Published

Leave a ReplyCancel reply