RiskNote
دليل

كيفية إجراء تقييم المخاطر

لا يجب أن يكون تقييم المخاطر أمرًا معقدًا. إليك دليلًا خطوة بخطوة لبناء أول تقييم للمخاطر في غضون بعد الظهر، سواء كنت المدير التنفيذي لشركة مكوّنة من 15 موظفًا أو استشاريًا يقدّم خدماته لعميل.

By Kim Borg, Founder, RiskNote · Last updated

ما هو تقييم المخاطر؟

تقييم المخاطر هو عملية منظّمة لتحديد المخاطر التي يمكن أن تؤثر على أهدافك، وتقييم مدى خطورتها، وتحديد الإجراءات المناسبة للتعامل معها. وهو نفس العملية الجوهرية سواء أجريت التقييم للأمن السيبراني، أو سلامة بيئة العمل، أو مخاطر المشاريع، أو المخاطر التجارية.

المعيار العالمي لإدارة المخاطر هو ISO 31000:2018. يصف هذا المعيار عملية عامة (التحديد، والتحليل، والتقييم، والمعالجة، والمراقبة) تصلح لأي منظمة ولأي نوع من المخاطر. وهو غير قابل للاعتماد الرسمي، غير أنه المرجع الذي تستند إليه المعايير الأخرى (ISO 27001، وNIS2، وDORA).

تقييم مخاطر بيئة العمل — AFS 2001:1 وSAM

في السويد، يُنظَّم الإدارة المنهجية لبيئة العمل (SAM) من خلال لوائح هيئة بيئة العمل السويدية AFS 2001:1. يلتزم صاحب العمل بالتحقيق المستمر في بيئة العمل وتقييمها ومعالجتها ومتابعتها، لا بوصفها مشروعًا استثنائيًا، بل بوصفها دورة مستمرة.

يجب أن يكون تقييم المخاطر موثّقًا كتابيًا (حين يتجاوز عدد الموظفين عشرة)، ويُراجَع سنويًا على الأقل، وذلك دائمًا قبل إجراء تغييرات جوهرية: معدات جديدة، أو هيكل تنظيمي جديد، أو مهام جديدة، أو نقل، أو مشتريات تؤثر على بيئة العمل.

  • التحقيق

    رسم خريطة لظروف العمل. تُعدّ جولات السلامة، واستطلاعات الموظفين، وإحصاءات الإجازات المرضية، وتقارير الحوادث مصادر نموذجية.

  • التقييم

    تقييم كل مخاطرة محددة من حيث الاحتمالية والخطورة. ينبغي تغطية المخاطر الجسدية، والإرغونومية، والكيميائية، والبيولوجية، والنفسية والاجتماعية، والتنظيمية.

  • المعالجة

    خطة عمل مكتوبة تتضمن الإجراء والمسؤول والموعد النهائي والمتابعة. كل ما لم يُعالَج فورًا يُدرَج في الخطة.

  • المتابعة

    التحقق من تنفيذ الإجراءات وتحقيقها للأثر المنشود. مراجعة التقييم عند حدوث تغيير أو على الأقل سنويًا.

إشراك ممثل السلامة إلزامي. إذا كان في المنشأة ممثل للسلامة، فيجب إشراكه في التقييم (قانون بيئة العمل السويدي، الفصل السادس § 4). يجب أن تكون الوثائق متاحة للتفتيش من قِبَل هيئة بيئة العمل.

كثيرًا ما تتداخل مخاطر بيئة العمل ومخاطر أمن المعلومات (مثل الضغط النفسي أثناء الحوادث، ومتطلبات GDPR لمراقبة بيئة العمل). يوفّر التقييم الموحّد الوقت، غير أنه يستلزم خبرات متعددة التخصصات.

الخطوة 1. الإعداد

  • دعم الإدارة العليا

    تقييم المخاطر الذي يفتقر إلى دعم الإدارة يتحول إلى وثيقة لا يطّلع عليها أحد. تأكد من أن أحد أعضاء الإدارة يتولى قيادة هذه العملية. تكفي وثيقة سياسة إدارة المخاطر من صفحة واحدة موقَّعة من المدير التنفيذي.

  • تحديد النطاق

    ما الذي سيخضع للتقييم؟ المنشأة بأكملها، أم مجال محدد، أم مشروع معين، أم عملية بعينها (مثل معالجة البيانات الشخصية)؟

  • تحديد قدرة تحمّل المخاطر

    ما المخاطر التي أنت مستعد لقبولها؟ وأيها يستلزم اتخاذ إجراء؟ ضع ثلاثة أو أربعة مستويات (مثلًا: الدرجة 1–3 = قبول، 4–7 = مراقبة، 8–14 = خطة عمل، 15–25 = إجراء فوري).

  • ضم الأشخاص المناسبين

    تقييم المخاطر الذي يُعدّه شخص واحد لا يعدو كونه رأي شخص واحد. ادعُ 3–6 أشخاص رئيسيين بوجهات نظر مختلفة: العمليات، والمالية، وتقنية المعلومات، وإدارة العملاء.

الخطوة 2. تحديد المخاطر

هذه هي الخطوة الأهم. الخطر الذي يُغفَل أخطر من الخطر الذي يُقيَّم بصورة خاطئة.

بعض أساليب تحديد المخاطر:

  • العصف الذهني المنظّم

    اجمع الفريق وتجوّل في كل مجال من مجالات العمل. اسأل: «ما الذي يمكن أن يسوء هنا؟»

  • اقتراحات الذكاء الاصطناعي كنقطة انطلاق

    تستخدم أدوات مثل RiskNote الذكاء الاصطناعي لاقتراح 5 مخاطر ذات صلة بالقطاع لكل تحليل. مفيد في رصد مخاطر لم تواجهها من قبل.

  • مراجعة الحوادث السابقة

    ما الذي أخفق سابقًا؟ لديك أنت، ولدى المنافسين، أو في القطاع عمومًا؟

  • مراجعة القوائم المعيارية

    يتضمن ISO 27005 فهارس للمخاطر النموذجية لأمن المعلومات. وتشمل لوائح سلامة بيئة العمل أمثلة على مخاطر مكان العمل. استخدمها بوصفها قوائم مراجعة.

  • المرور عبر العملية خطوة بخطوة

    تتبّع عملية حيوية (مثل الفوترة، أو التوظيف، أو تشغيل الأنظمة) خطوة بخطوة واسأل: «ما الذي يمكن أن يسوء هنا؟»

الخطوة 3. تحليل المخاطر

لكل مخاطرة محددة، قيّم الاحتمالية والتأثير. الممارسة المعيارية هي استخدام مصفوفة 5×5 (الاحتمالية 1–5 × التأثير 1–5 = درجة من 1 إلى 25).

المفتاح هو التطبيق المتسق للمقياس. حدّد كل مستوى مسبقًا حتى يستند جميع المقيّمين إلى فهم موحّد.

  • الاحتمالية 1–5

    1 = نادر (مرة كل 10 سنوات)، 3 = محتمل (مرة كل 2–3 سنوات)، 5 = شبه مؤكد (عدة مرات في السنة).

  • التأثير 1–5

    1 = ضئيل (يُعالَج في سياق العمل الاعتيادي)، 3 = متوسط (يستلزم تدخل الإدارة)، 5 = كارثي (تهديد وجودي).

  • التقييم الجماعي

    التقييم الفردي ذاتي بطبيعته. في المجموعة تحصل على تمييز دقيق وتوافق.

  • توثيق المبررات

    اكتب سطرًا واحدًا يوضّح سبب اختيارك لقيمة الاحتمالية والتأثير. يساعد ذلك عند المراجعات اللاحقة.

الخطوة 4. التقييم وتحديد الأولويات

بمجرد حصول كل مخاطرة على درجة، قارنها بقدرة تحمّل المخاطر لديك. المخاطر الحرجة (مثلًا: الدرجة 15–25) تستلزم خطة عمل فورية. المخاطر المرتفعة (8–14) تحتاج إلى استجابة منظّمة. المخاطر المتوسطة والمنخفضة يمكن مراقبتها.

احذر من البجعات السوداء، وهي المخاطر ذات الاحتمالية المنخفضة والتأثير الكارثي (احتمالية=1، تأثير=5 تعطي درجة 5 تبدو منخفضة لكنها قد تكون وجودية). استخدم الحكم النوعي، لا الدرجة وحدها.

الخطوة 5. معالجة المخاطر

  • القبول

    المخاطرة ضمن حدود التحمّل. وثّقها وتابع المسير.

  • التخفيف

    اتخذ إجراءات لخفض الاحتمالية أو التأثير. الخيار الأكثر شيوعًا. وثّق الإجراء والمسؤول والموعد النهائي.

  • النقل

    التأمين، أو الاستعانة بمصادر خارجية، أو البنود التعاقدية التي تنقل المخاطرة. ملاحظة: بعض المخاطر (مثل مخاطر السمعة) لا يمكن نقلها.

  • التجنّب

    الامتناع عن النشاط المولّد للمخاطرة. أحيانًا يكون الخيار الوحيد المعقول.

الخطوة 6. المراقبة والمراجعة

المخاطر في تغيّر مستمر. تظهر مخاطر جديدة، وتصبح أخرى غير ذات صلة، وتغيّر الإجراءات المشهدَ. تقييم المخاطر مادة قابلة للتقادم.

الممارسة المثلى: مراجعة ربع سنوية للمخاطر التشغيلية، وسنوية للمخاطر الاستراتيجية. تُحدَّث مخاطر المشاريع مع كل دورة تطوير أو اجتماع توجيهي. عند أي تغيير جوهري (مورد جديد، أو تغيير تنظيمي، أو تبديل نظام) يُجرى جولة تقييم جديدة دائمًا.

الأسئلة الشائعة حول تقييم المخاطر

كم يستغرق أول تقييم للمخاطر؟

بالنسبة للمؤسسات الصغيرة والمتوسطة: 2–4 ساعات للجولة الأولى من التحديد والتقييم، يُضاف إليها 1–2 ساعة لوضع خطة العمل. الإجمالي نصف يوم عمل لشخص كفء يعرف المنشأة جيدًا.

هل نحتاج إلى استشاري مخاطر معتمد؟

ليس للتقييم الداخلي. أما لأغراض الاعتماد (ISO 27001، وISO 9001) أو النطاقات شديدة التعقيد (DORA للقطاع المالي، وتقييم أثر حماية البيانات DPIA وفق GDPR لعمليات المعالجة عالية الخطورة)، فقد تكون الخبرة الخارجية ذات قيمة.

هل مصفوفة 5×5 إلزامية؟

لا. معيار ISO 31000 محايد تجاه حجم المصفوفة. مصفوفة 5×5 هي الممارسة الشائعة. مصفوفة 3×3 تُعدّ خشنة للغاية في معظم الحالات. تستخدم بعض المنظمات مصفوفة 7×7 أو فئات نوعية بدلًا من المقاييس الرقمية.

ما الفرق بين المخاطرة والمشكلة القائمة؟

المخاطرة هي شيء قد يحدث في المستقبل. المشكلة القائمة هي شيء حدث بالفعل. تُعالَج المخاطر من خلال تقييم المخاطر. تُعالَج المشكلات القائمة من خلال إدارة الحوادث. كلا العمليتين ضروريتان.

هل نُقيّم المخاطر قبل إجراءات التخفيف أم بعدها؟

كلاهما. المخاطرة الإجمالية (قبل التخفيف) تُظهر مدى الخطورة في غياب الضوابط، وهو أمر مهم لتبرير الاستثمار. المخاطرة الصافية أو المخاطرة المتبقية (بعد التخفيف) تُظهر الصورة الفعلية. يُتوقع من المنظمات المعتمدة وفق ISO 27001 توفير كلا التقييمين.

More guides

How to do a risk analysis (2026)

Complete pillar guide: method, frameworks, template, tools.

Read guide

How to conduct a risk analysis

Seven steps from blank page to a working risk register.

Read guideBlog

A risk assessment in one afternoon

Practical walkthrough with a concrete example and time savings.

Read article

تجاوز مرحلة جداول البيانات

يحوّل RiskNote الخطوات 1–6 إلى عملية منظّمة. أول تقييم جاهز في غضون بعد الظهر. ابدأ تجربتك المجانية اليوم.

    تقييم المخاطر في 5 خطوات: دليل عملي (2026) | RiskNote