ما هو سجل المخاطر؟

سجل المخاطر هو قائمة منظمة بجميع المخاطر المحددة في مؤسسة أو مشروع، مشفوعةً بالتقييم والمسؤولية والإجراءات والحالة. وهو أداة تشغيلية ينبغي قراءتها وتحديثها ومراجعتها بصفة منتظمة.

السجل ليس تقرير مخاطر. التقرير هو لقطة آنية (ملف PDF يُرفع إلى مجلس الإدارة) مستخلصة من السجل. أما السجل فهو البيانات الحية.

في إطار ISO 27001 يُعدّ سجل المخاطر جزءاً إلزامياً من نظام إدارة أمن المعلومات ISMS (البندان 6.1.2 و8.2). وفي ISO 31000 هو المخرج المعياري للعملية. وفي المادة 21 من NIS2 هو الشرط المسبق للأمن السيبراني القائم على المخاطر.

يتضمن سجل المخاطر المكتمل عادةً الحقول التالية لكل خطر:

• المعرّف

  رقم أو رمز فريد (R-001، R-002...). يتيح الإشارة إلى الخطر دون كتابة الوصف كاملاً.

• الوصف

  ما هو الخطر؟ اكتب جملة أو جملتين. تجنب الصياغة المبهمة («خطر مشكلات تقنية»)، وكن محدداً («توقف نظام الفوترة لأكثر من 4 ساعات»).

• الفئة / المجال

  تشغيلي، مالي، استراتيجي، امتثال، سيبراني، مشروع. يُسهّل التصفية وإعداد التقارير.

• الاحتمالية (1–5)

  مدى احتمال وقوع الخطر. استخدم مقياساً محدداً.

• الأثر (1–5)

  مدى خطورة الوضع إذا وقع الخطر. يمكن تقييمه بصورة منفصلة من الناحية المالية والتشغيلية والسمعية والامتثالية.

• الدرجة / مستوى الخطورة

  الاحتمالية × الأثر = 1–25. تُترجَم إلى منخفض / متوسط / مرتفع / حرج.

• المسؤول

  شخص مسمّى يتحمل المسؤولية عن الخطر. بدون مسؤول لا يُنجز شيء.

• الإجراء

  ما الذي يُتخذ حيال الخطر؟ قبول أو تخفيض أو نقل أو تجنب. خطة إجراءات محددة في حال التخفيض.

• الحالة

  مفتوح، قيد المعالجة، مُعالَج، مغلق. تتغير مع مرور الوقت.

• التواريخ

  متى رُصد الخطر؟ متى جرت آخر مراجعة؟ متى ستكون المراجعة القادمة؟

• الخطر المتبقي

  الاحتمالية والأثر بعد المعالجة. يُظهر ما إذا كان الإجراء كافياً.

يُميّز سجل المخاطر الناضج بين ثلاثة مقاييس للخطر في كل صف. وهذه هي المصطلحات التي يتوقع مدققو ISO 27001 ومجالس الإدارة رؤيتها:

• الخطر الإجمالي (الخطر الكامن)

  الخطر دون أي ضوابط أو معالجات. كم يمكن أن يبلغ الأمر في أسوأ الأحوال؟ ضروري لتبرير الاستثمارات الأمنية.

• الخطر الصافي / الخطر المتبقي

  الخطر بعد احتساب الضوابط الموجودة. هذه هي القيمة التي تُقارَن بعتبة تحمل المخاطر لديك. يُعرف أيضاً بالخطر المتبقي.

• الخطر المستهدف

  مستوى الخطر الذي تسعى إلى بلوغه بعد المعالجات المخططة. الفجوة بين الخطر الصافي والخطر المستهدف تُبيّن ما إذا كانت الإجراءات المخططة كافية.

لماذا يهم هذا التمييز؟ خطر ذو خطر إجمالي مرتفع لكن خطر صافٍ منخفض (بفضل ضوابط قوية) يستدعي صيانة الضوابط، لا معالجات جديدة. أما البند ذو الخطر الإجمالي المنخفض فنادراً ما يحتاج إلى إجراءات مخصصة على الإطلاق. بدون هذا التمييز يصبح كل شيء كومة واحدة.

للمنشآت الصغيرة والمتوسطة (15–50 موظفاً): 10–30 خطراً هو الأمر المعتاد. أقل من ذلك وربما تفوتك أمور مهمة. أكثر من ذلك ويصعب إدارة السجل.

للمنظمات متوسطة الحجم (100–500 موظف): 30–80 خطراً عبر المجالات المختلفة.

للمنظمات الكبيرة: أكثر من 100 خطر، مقسّمة في الغالب حسب قطاع الأعمال أو المجال.

لمشروع ما: 10–20 خطراً، تُحدَّث في كل دورة تطوير أو اجتماع توجيهي.

• السجل لا يُحدَّث أبداً

  أُنشئ لأغراض شهادة ISO، ثم ظل ثابتاً. تضيع قيمته خلال 6 أشهر.

• لا مسؤول لكل خطر

  بدون مسؤول يبقى الخطر نظرياً. يجب تسمية شخص بعينه يملك الصلاحية.

• مخاطر بلا إجراءات

  توثيق خطر دون خطة يعني توثيق الإخفاق. لكل خطر استجابة محددة (قبول / تخفيض / نقل / تجنب).

• صياغة مبهمة للغاية

  «خطر حوادث تقنية» ليس خطراً. «هجوم ببرنامج فدية يُعطّل نظام الفوترة لأكثر من 4 ساعات» هو الخطر.

• لا أحد في الإدارة يطلع عليه

  إذا لم يستخدم أحد في الإدارة السجل فعلياً، فالعملية لم تُرسَّخ بعد. عالج ذلك أولاً، لا الشكل.

يصلح Excel للسجلات الصغيرة (أقل من ~15 خطراً)، لكنه يُصبح إشكالياً سريعاً: تعدد النسخ، المعادلات المعطوبة، غياب سجل التدقيق، صعوبة المشاركة مع جهات الرقابة، وانعدام صلاحيات الوصول القائمة على الأدوار.

أداة متخصصة كـ RiskNote تمنحك سجل نسخ لكل خطر، والمشاركة عبر رابط بأدوار محددة، واقتراحات ذكاء اصطناعي للتعرف على المخاطر، وتصدير PDF مباشرة من البيانات، بدلاً من تجميع التقارير يدوياً.

اطلع على دليلنا حول بدائل Excel لسجلات المخاطر.