RiskNote
دليل

كيف تُجري تحليل المخاطر

من صفحة فارغة إلى سجل مخاطر يقود العمل. سبع خطوات مبنية على ISO 31000 وISO 27005، مكتوبة للتطبيق العملي.

By Kim Borg, Founder, RiskNote · Last updated

لماذا تتوقف معظم تحليلات المخاطر قبل أن تبدأ

الجميع يعلم أنه يجب أن يكون هناك تحليل للمخاطر. المشكلة نادرًا ما تكون في نقص الرغبة. بل في أن الخطوة من ”علينا أن نُجري واحدًا“ إلى امتلاكه فعليًا تبدو كبيرة جدًا.

يبدأ الأمر بصفحة فارغة. ماذا نُقيّم؟ ما الفئات؟ كيف نحدد الاحتمالية والأثر؟ فجأة تمر ثلاثة أشهر والصفحة لا تزال فارغة.

يأخذك هذا الدليل من البداية إلى تحليل مخاطر جاهز. مبني على ISO 31000 وISO 27005، لكن مكتوب للتطبيق لا للكتاب الدراسي. حمّل قالب Excel إذا أردت المتابعة في سجلك الخاص أثناء القراءة.

الخطوة 1 — ابدأ بالأصول المحمية

قبل أن تحدد أي مخاطرة عليك أن تعرف ما الذي تحميه فعلاً. هنا تفشل معظم تحليلات المخاطر: يبدأ الناس بسرد التهديدات دون أن يفهموا أولاً ما يستحق الحماية.

الأصول المحمية هي ما لا يمكن للعمل الاستغناء عنه. قم بجرد سريع: ماذا يحدث إذا اختفى هذا، تعطل، أو تسرب؟ تلك هي قائمتك ذات الأولوية.

  • المعلومات

    بيانات العملاء، الأسرار التجارية، البيانات الشخصية.

  • التوفّر

    الأنظمة الحيوية، العمليات، عمليات التسليم.

  • الموارد المالية

    تدفقات الإيرادات، الأصول، التدفق النقدي.

  • العلامة التجارية والثقة

    السمعة، علاقات العملاء، الموقع في السوق.

  • الناس

    الموظفون، العملاء، الأطراف الثالثة.

  • الامتثال التنظيمي

    التراخيص، التصاريح، الوضع القانوني.

الخطوة 2 — تحديد النطاق

فخ شائع: محاولة تحليل العمل بأكمله دفعة واحدة. النتيجة تكون سطحية وغير قابلة للاستخدام. بدلاً من ذلك حدّد بوضوح ما يشمله التحليل، الأفق الزمني، والأطراف المعنية.

  • ما الذي يشمله النطاق؟

    المنظمة بأكملها، عملية محددة، نظام، سلسلة توريد؟ التحليل المحدد بعمق أفضل دومًا من تحليل واسع بلا جوهر.

  • ما الأفق الزمني؟

    الأشهر الاثنا عشر القادمة، فترة مشروع، أو أفق استراتيجي لثلاث سنوات؟ الإطار الزمني يحدد كيفية تقييم الاحتمالية.

  • أي الأطراف المعنية تتأثر؟

    الإدارة، الموظفون، العملاء، الجهات الرقابية؟ مختلف الأطراف لديها مستويات تحمل مختلفة.

تحليل مخاطر محدد بعمق يتفوق دومًا على تحليل واسع بلا جوهر. يمكنك دائمًا إجراء المزيد.

الخطوة 3 — تحديد التهديدات والمخاطر

الآن تملأ الصفحة. افصل بين المفاهيم: التهديد هو ما قد يحدث (برامج الفدية، انهيار مورد). الثغرة هي الضعف الذي يجعل التهديد ممكنًا (نسخ احتياطي غير آمنة، مورد وحيد). المخاطرة هي مزيج التهديد والثغرة والأثر على أصل محمي.

اعمل بشكل منهجي. بعض الزوايا المجربة:

  • لكل أصل محمي

    ما الذي قد يطال بيانات العملاء؟ ما الذي يُوقف التوفر؟ ما الذي يهدد العلامة التجارية؟

  • لكل فئة تهديد

    سيبراني، مادي، موظفون، مورد، تنظيمي، مالي. يضمن تغطية واسعة.

  • لكل سيناريو

    ماذا يحدث إذا تعطل الخادم؟ إذا غادر الشخص الرئيسي؟ إذا أفلس مقاول فرعي؟

أشرك الأشخاص المناسبين. تقنية المعلومات لا تعرف كل شيء عن العمليات، والعمل لا يعرف كل شيء عن التهديدات. ورشة عمل مع مجموعة متعددة الوظائف تتفوق دائمًا على محلل وحيد.

الخطوة 4 — تقييم الاحتمالية والأثر

هنا تتحول المخاطر من كلمات إلى بيانات أولوية. استخدم مقياسًا يناسب عملك. مصفوفة 5×5 تعمل في معظم الحالات.

حدّد المقاييس قبل البدء بالتقييم. ماذا يعني حقًا ”أثر خطير“ بالعملة، بوقت التوقف، أو بفقدان العملاء؟ بدون تعريفات تصبح التقييمات اعتباطية وغير قابلة للمقارنة عبر الزمن.

الاحتمالية (1–5) — مدى احتمال الحدوث ضمن الأفق

  • 1. غير محتمل

    من الصعب تصور كيف سيحدث.

  • 2. أقل احتمالاً

    قد يحدث، لكن غير متوقع.

  • 3. ممكن

    قد يحدث تمامًا.

  • 4. محتمل

    يُتوقع حدوثه.

  • 5. محتمل جدًا

    يحدث بانتظام أو وشيك.

الأثر (1–5) — مدى الخطورة إذا تحقق الخطر

  • 1. ضئيل

    بالكاد ملحوظ.

  • 2. محدود

    اضطراب قابل للإدارة.

  • 3. معتدل

    أثر كبير، لكنه قابل للإدارة.

  • 4. خطير

    ضرر جوهري للعمل.

  • 5. كارثي

    يهدد استمرارية العمل.

الخطوة 5 — أولويات الإجراءات، لا الخلايا الحمراء فقط

سوء فهم شائع: المنتج النهائي لتحليل المخاطر هو المصفوفة بخلاياها الحمراء. ليس كذلك. المنتج النهائي قائمة إجراءات مرتبة بالأولوية. لكل مخاطرة محددة اختر استراتيجية معالجة.

استراتيجيات المعالجة

  • تقليل

    خفض الاحتمالية أو الأثر بالضوابط.

  • نقل

    تأمين، بنود تعاقدية، إسناد خارجي.

  • قبول

    مخاطرة واعية ضمن التحمل، موثقة.

  • تجنب

    إزالة النشاط الذي يُنشئ المخاطرة.

يجب أن يحتوي كل إجراء على

  • مالك واضح

    شخص مُسمى لديه صلاحية دفع الإجراء.

  • موعد نهائي

    تاريخ ملموس. ليس ”قريبًا“ أو ”في الخريف“.

  • نتيجة قابلة للقياس

    كيف ستعرف أن الإجراء نجح؟

  • ربط بالمخاطرة

    أي مخاطرة يعالج الإجراء وكيف يؤثر على ا وأ؟

رتّب الإجراءات حسب الأثر لكل جهد، لا حسب مستوى المخاطرة فقط. مخاطرة متوسطة مع حل بسيط قد تكون أهم للمعالجة أولاً من مخاطرة عالية تتطلب استثمار ثلاث سنوات.

الخطوة 6 — إبقاء التحليل حيًا

تحليل مخاطر يُودع في مجلد هو ميت في اليوم التالي. الواقع يتغير: تهديدات جديدة تظهر، العمل يتطور، الإجراءات تُنفذ، اللوائح تتشدد.

تحليل المخاطر الفعّال عملية حية:

  • مراجعة دورية

    سنويًا على الأقل، وأكثر للمجالات الحرجة.

  • تحديثات مُحرَّكة

    عند الحوادث، التغييرات، الأنظمة الجديدة، الموردين الجدد، المتطلبات التنظيمية الجديدة.

  • متابعة مستمرة

    لفاعلية الإجراءات وحالتها، لا لقائمة المخاطر فقط.

  • مالك واضح

    شخص يتولى فعلاً إبقائه محدّثًا.

للمنظمات الخاضعة لـNIS2 أو ISO 27001 أو ما شابه، تحليل المخاطر الحي ليس فكرة جيدة فحسب. بل متطلب.

الخطوة 7 — الربط بالأطر واللوائح

إذا كان عملك خاضعًا لمتطلبات محددة، تأكد من أن التحليل يلبيها. الأكثر شيوعًا في السياق الأوروبي:

  • ISO 31000

    إدارة المخاطر العامة، المبادئ والإطار. اقرأ دليل ISO 31000.

  • ISO 27005

    مخاطر أمن المعلومات تحديدًا.

  • ISO 27001

    يتطلب تقييم مخاطر وخطة معالجة موثّقين. اطلع على دليل ISO 27001.

  • NIS2

    تدابير إدارة المخاطر للكيانات الأساسية والمهمة. اقرأ عن NIS2.

  • GDPR (DPIA)

    تقييم الأثر لمعالجة البيانات الشخصية. اطلع على تحليل مخاطر GDPR.

  • MSBFS 2020:6

    العمل المنهجي لأمن المعلومات للسلطات السويدية.

  • DORA

    المرونة التشغيلية للقطاع المالي.

يمكن للتحليل الأساسي نفسه تغطية أطر متعددة. الأمر يتعلق أساسًا بكيفية التوثيق والإبلاغ.

ملخص — الخطوات السبع

  • 1. ابدأ بالأصول المحمية

    اعرف ما تحميه فعلاً.

  • 2. حدّد النطاق

    العمق يتفوق على الاتساع.

  • 3. حدّد التهديدات والمخاطر

    منهجي، متعدد الوظائف.

  • 4. قيّم الاحتمالية والأثر

    بمقاييس معرَّفة.

  • 5. رتّب الإجراءات بالأولوية

    ليس الخلايا الحمراء، بل الأثر لكل جهد.

  • 6. أبقِ التحليل حيًا

    بانتظام وبمحفزات.

  • 7. اربط بالأطر

    حيث يلزم.

أسئلة شائعة حول تحليل المخاطر

كم يستغرق تحليل المخاطر؟

للشركات الصغيرة والمتوسطة، يكفي نصف يوم عمل للجولة الأولى: 2–4 ساعات للتحديد والتقييم، و1–2 ساعة لخطة العمل. المنظمات الأكبر أو المجالات التي تتطلب ورش عمل: احتسب 2–5 أيام عمل إجمالاً.

ما الفرق بين تحليل المخاطر وتقييم المخاطر؟

تحليل المخاطر هو العملية بأكملها: التحديد، التحليل، التقييم، المعالجة، المراقبة. تقييم المخاطر عادة مجموعة فرعية، وهو التقييم الفعلي للاحتمالية والأثر. في الممارسة يُستخدم المصطلحان كمترادفين، لكن ISO 31000 يفصل بينهما.

هل يجب أن نستخدم مصفوفة 5×5؟

لا. ISO 31000 محايد بشأن حجم المصفوفة. 5×5 هي الممارسة الشائعة لأن 3×3 خشنة جدًا (9 تركيبات فقط) و7×7 معقدة جدًا. بعض المنظمات تستخدم فئات نوعية بدلاً. المهم أن يكون المقياس متسقًا ومعرَّفًا مسبقًا.

هل يجب إجراء كل التحليلات في ورشة عمل؟

لا، لكن تحليلات الشخص الواحد دائمًا أضيق. مجموعة متعددة الوظائف من 3–6 أشخاص تلتقط مخاطر يغفلها المحلل الوحيد. ليس من الضروري أن تدوم ورشة العمل يومًا كاملاً. 90 دقيقة لكل جولة تكفي طويلاً إذا كانت مُعدة.

كم مرة يجب تحديث تحليل المخاطر؟

المخاطر التشغيلية كل ربع سنة، الاستراتيجية سنويًا. مخاطر المشاريع تُحدَّث كل سبرنت أو اجتماع توجيهي. عند الحوادث، التغييرات الكبيرة (مورد جديد، تغيير نظام، تغيير تنظيمي) جولة جديدة دومًا. NIS2 وISO 27001 يتطلبان مراجعة دورية موثقة.

من يجب أن يتولى تحليل المخاطر؟

الإدارة تتولى العملية ومستوى تحمّل المخاطر. مسؤول مخاطر معيّن (غالبًا CISO أو CFO أو COO في الشركات الأصغر) مسؤول عن إبقاء التحليل حيًا. لكل مخاطرة فردية يجب أن يكون لها مالك مُسمى لديه صلاحية دفع الإجراءات.

More guides

How to do a risk analysis (2026)

Complete pillar guide: method, frameworks, template, tools.

Read guide

Risk assessment step-by-step

Build your first risk assessment in an afternoon.

Read guideBlog

A risk assessment in one afternoon

Companion to the full method, short version with examples.

Read article

من صفحة فارغة إلى سجل مخاطر في 20 دقيقة

لهذا بالضبط بُني RiskNote. صف العمل، يقترح الذكاء الاصطناعي المخاطر ذات الصلة، ويكون لديك سجل مُهيكل مع مصفوفة 5×5 في الوقت الذي تحتسي فيه قهوة. ثم تُنقّحه مع العمل.

    تحليل المخاطر في 7 خطوات: دليل عملي (ISO 31000) | RiskNote