مدیریت ریسک چیست

اصطلاح مدیریت ریسک در بیزینس‌ها شامل روش‌ها و فرآیندهایی است که سازمان‌ها به منظور مدیریت ریسک‌ها و استفاده از فرصت‌هایی که منجر به دستیابی به اهداف خاص بیزینس خاص خود استفاده می‌کنند. مدیریت ریسک می‌تواند در سطح جزئی به مدیریت ریسک پروژه و در سطح کلی مدیریت ریسک مجموعه‌ی یک سازمان را شامل شود. همچنین مدیریت ریسک سرمایه‌گذاری به عنوان یکی از اصلی‌ترین زیرشاخه‌های مدیریت ریسک هم در سطح جزئی و هم در سطح کلی قابل استفاده است.

نویسندگان: نیما وهنانی/یوسف حاجی قاسمی

در واقع مدیریت ریسک (ERM – Enterprise Risk Management) چارچوبی را فراهم می‌کند که در آن شرایط و ریسک‌های خاص دستیابی به اهداف هر بیزینس شناسایی می‌شود، و سپس این شرایط بر مبنای احتمال و شدت اثر مورد بررسی قرار می‌گیرند، در مرحله بعد یک استراتژی عکس‌العمل در مقابل این شرایط و ریسک‌ها طراحی شده و در نهایت فرآیند پایش نحوۀ انجام این استراتژی عکس‌العمل تعریف شده و مورد اجرا قرار می‌گیرد.

مدیریت ریسک

پس به طور خلاصه مدیریت ریسک به چند مرحله‌ی کلی قابل تقسیم است:

  1. شناسایی: شناسایی شرایط و ریسک‌های خاص دستیابی به اهداف بیزینس.
  2. سناریوسازی (تحلیل): تعیین احتمال وقوع هر شرایط و ریسک‌های آن و شدت تأثیرگذاری آن بر بیزینس .
  3. طراحی استراتژی عکس العمل: در مقابل هر سناریو یک استراتژی عکس‌العمل مناسب طراحی می‌شود .
  4. پایش: در مقابل هر سناریو یک استراتژی عکس‌العمل مناسب طراحی می‌شود .

در حقیقت بیزینس‌ها با شناسایی و بررسی فعالانه‌ی ریسک‌ها و فرصت‌ها از ارزش شرکت خود نزد تمام ذی‌نفعان، از جمله صاحبان، کارمندان، مشتریان و به طور کلی جامعه صیانت کرده و همچنین به ارزش شرکت خود در نزد آن‌ها می‌افزایند.

اشتباه رایج ما (در ایران) در به کارگیری تکنیک‌های مدیریت ریسک شرکتی عدم آگاهی از هدف اصلی آن و بینش نهفته‌ شده در پس آن است. در این راستا باید نظر صاحب‌نظران عرصه مدیریت را آویزه گوش قرار داد که که هدف مدیریت ریسک شرکتی افزایش بوروکراسی و کاغذبازی در شرکت نیست بلکه تسهیل فرآیند بررسی و بحث در خصوص ریسک‌های اصلی هر شرکت است.

مدیریت ریسک - ریسک چیست

 

 

 

تعریف ریسک چیست؟

تعریف‌های متفاوتی از ریسک و مدیریت آن وجود دارد. و در همین ابتدای کار بهتر است تعریف جامعی از آن در راستای روشن شدن بیشتر بحث ارائه شود. طبق تعریف دفترچه راهنمای ISO31000 به عنوان یکی از اصلی‌ترین معیارهای تعیین و تعریف مدیریت ریسک، ریسک به عنوان «اثر نااطمینانی بر اهداف» تعریف می‌شود.

این اثر می‌تواند مثبت، منفی و یا به طور کلی انحراف از آن چه که مورد انتظار است تعریف شود. اثر مثبت در حقیقت همان فرصت است، و بر خلاف دیدگاه رایج که ریسک را ماهیتاً منفی و به عنوان یک تهدید تلقی می‌کند، ریسک شامل فرصت‌ها نیز هست.

مدیریت ریسک - تعریف

جالب است بدانید در زبان چینی کلمه‌ی تهدید و فرصت هر دو با یک حرف خاص نوشته می‌شوند. در حقیقت از دیدگاه زبان‌شناسی، مردمان خاور دور معنای عمیق‌تر نهفته در ریسک را از گذشته دریافته بوده‌اند.

ریسک در دفترچه راهنمای ISO همچنین به عنوان یک اتفاق، تغییر شرایط و یا پیامد پیش‌بینی‌نشده تعریف شده است.

در این تعریف ریسک به اهداف متصل است. در واقع استفاده از این تعریف ریسک در صورتی امکان‌پذیر است که اهداف یک سازمان جامع، شامل و واضح باشند. لازم به ذکر است حتی در صورت واضح و جامع بودن اهداف شرکت و مشخص بودن آن، برای آغاز عملیات مدیریت ریسک، باید این اهداف را با دیدگاهی موشکافانه به چالش کشید و پیش‌فرض‌های نهفته در پشت این اهداف را مورد ارزیابی و راستی‌آزمایی قرار داد.

ماهیت و اثر ریسک

اثر ریسک ها می‌تواند کوتاه‌مدت، میان‌مدت و یا بلندمدت باشند. با این دیدگاه سه نوع ماهیت متفاوت برای ریسک تعریف می‌شود.

۱ – ریسک کوتاه مدت: این نوع ریسک به ریسک ناشی از عملیات و فعالیت‌ها مرتبط است

۲ – ریسک میان مدت: این نوع ریسک به تاکتیک‌های شرکت مرتبط است

۳ – ریسک بلند مدت: این نوع ریسک به استراتژی‌های کلی شرکت مرتبط است.

برای درک بهتر این مسئله استراتژی، تاکتیک‌ و عملیات به طور جداگانه تعریف می‌شوند.

مدیریت ریسک - استراتژی و تاکتیک

استراتژی چیست

استراتژی یک سازمان اهداف بلندمدت آن را تعیین می‌کند. افق زمانی برنامه‌ریزی استراتژیک برای یک سازمان معمولاً بین ۳ تا ۵ سال تعریف می‌شود.

تاکتیک‌ چیست

تاکتیک‌ها چگونگی تغییر کردن و در حقیقت راه و روش تحول یک سازمان را مشخص می‌کنند. بنابراین ریسک‌های تاکتیکی عموماً در رابطه با پروژه‌ها، ادغام‌ها و اصلاح و بهبود محصولات ایجاد می‌شوند، چرا که موارد ذکر شده در ماهیت خود تغییر نحوه‌ی عملکرد سازمان را شامل می‌شوند.

عملیات (فعالیت‌ها)

و در انتها منظور از عملیات یک سازمان فعالیت‌های روزانه‌ی سازمان و فرآیندهایی است که برای تولید محصول/خدمت خاص خود به انجام می‌رساند.


 استراتژی، تاکتیک و عملیات در یک مثال

اهمیت تفاوت بین سه نوع ماهیت و بعد زمانی ریسک‌ها به حدی است که برای روشن‌تر شدن موضوع مثالی در این خصوص ذکر می‌شود.

سازمانی را با شرایط زیربنایی معینی در نظر بگیرید. اگر شرکت قصد به کارگیری یک سیستم IT جدید در شرکت را داشته باشد، انتخاب نرم‌افزار و سخت‌افزار مورد نظر برای سیستم جدید جزء تصمیمات استراتژیک محسوب می‌شوند. اگر این تصمیمات اشتباه گرفته شوند، نتیجه بلافاصله قابل رؤیت نخواهد بود. پس ریسک‌های مرتبط با این تصمیم (از جمله احتمال نامناسب بودن سیستم) نیز ریسک های استراتژیک خواهند بود قبول چنین ریسک‌هایی نیز با امید دستیابی به منفعت انجام می‌گیرد. تصمیمات استراتژیک درست تصمیماتی هستند که به دستیابی به منافع ختم شوند.


در همین مثال نصب این سیستم جدید به عنوان یک پروژه تعریف می شود. این پروژه در حقیقت یک عامل تغییر در سازمان است و همان تاکتیک هایی است که استراتژی از طریق آن اعمال می شود. ریسک های درون-پروژه ای باید به گونه ای مدیریت شوند که جدای از سر وقت انجام شدن پروژه، شرایط بودجه ای و مالی آن نیز به درستی رعایت و تأمین شوند. این ریسک های درون-پروژه ای در واقع همان ریسک های تاکتیکی هستند.

حال در اینجا هم احتمال به وقوع پیوستن یک اثر ریسک مثبت مانند زودتر از موعد انجام شدن پروژه و یا اتمام آن با هزینه ای کمتر از آنچه از پیش تعیین شده وجود دارد. همچنین احتمال دارد که این سیستم منافعی بیش از آنچه مورد انتظار بوده را فراهم آورد.

مدیریت ریسک - ریسک های تاکتیکی

حال بعد از اتمام پروژه و نصب سیستم، سیستم با ریسک های عملیاتی مواجه خواهد بود. ریسک هایی مانند خرابی سیستم، از دست رفتن داده ها و اطلاعات، ویروسی شدن سیستم و… . ریسک های عملیاتی می توانند انواع گوناگون داشته و در مواردی به شدت تخصصی شوند، پس برای حداقل کردن اثر آن ها، نیاز مبرمی به طراحی و عملیاتی کردن فرآیندهای مشخصی وجود خواهد داشت.

مدیریت ریسک - برنامه مدیریت ریسک

در حقیقت سازمان ها در نقطه آغازین طراحی برنامه مدیریت ریسک نیازمند تعریف اهداف و استراتژی کلی خود هستند، و در مراحل بعدی تعریف تاکتیک ها و عملیات ضروری است. تنها پس از تعریف دقیق و مشخص این موارد سازمان می تواند وارد فرآیند طراحی برنامه مدیریت ریسک مخصوص خود شود.

تعریف استراتژی، تاکتیک و عملیات سازمان به شناسایی ریسک های موجود در هر یک از موارد ذکر شده ختم خواهد شد و در اینجا بحث ارزیابی و تحلیل ریسک دارای اهمیت خواهد بود .

خدمات تیم مشاوره مدیریت رسا در زمینه “هدف گذاری ، برنامه ریزی کسب و کار و تدوین استراتژی مدیریت”

ارزیابی ریسک:

ارزیابی ریسک به معنای شناسایی ریسک ها و در مرحله بعد تحلیل و رتبه بندی هر کدام است. البته در برخی چارچوب های خاص مراحل شناسایی و ارزیابی دو مرحله ی جداگانه در نظر گرفته می شوند، اما جداگانه یا یکی بودن این مراحل در ماهیت عملکرد برنامه  مدیریت ریسک تفاوت چندانی ایجاد نمی کند و در زمره تفاوت های تکنیکی شمرده می شود.

در مرحله ارزیابی، استفاده از چارچوبی جهت یادداشت و وارد کردن اطلاعات مربوط به هر ریسک ضروری است. دامنه ی اطلاعاتی که باید در خصوص هر ریسک ثبت و ضبط شوند عموماً شامل موارد زیر است.

۱ – نام/عنوان ریسک :

شامل شاخصی جداگانه و به خصوص برای نام گذاری ریسک .

۲ – گستره (دامنه) ریسک:

دامنه ی ریسک مورد نظر و فهرستی از اتفاقات بالقوه ای که امکان رخ دادنشان وجود دارد. توصیف دقیق اتفاقات بالقوه، میزان شدت، نوع و تعدد تکرار هر کدام از جمله نکاتی است که در فهرست مذکور نوشته می شود.

۳  – ماهیت ریسک:

شامل طبقه بندی ریسک، مقیاس زمانی اثرات احتمالی ناشی از آن و همچنین تعیین نوع آن ها به عنوان الف) تهدید (ریسک با اثر منفی) ب) فرصت (ریسک با اثر مثبت) و یا ج) نااطمینانی (نامشخص بودن اثر ریسک)

۴ – ذی نفعان و یا اشخاص دخیل:

فهرست اشخاصی که چه در درون و چه در بیرون سازمان (بازیگران درونی و بیرونی) از ریسک مورد نظر اثر خواهند پذیرفت و همچنین انتظارات هر یک از آن ها از شرایط و ایده آل هر یک نوشته می شود.

۵ – تحلیل (کمی سازی) ریسک:

احتمال وقوع هر ریسک و شدت اثرگذاری آن و همجنین اثرات و پیامدهای احتمالی نوشته می شود. این مرحله از جمله فنی ترین مراحل برنامه مدیریت ریسک محسوب می شود و انجام آن نیازمند استفاده از تخصص مشاوره مدیریت مربوطه است.

۶ – تجربیات شکست:

حوادث پیشین مربوط به ریسک مورد نظر  و ضررهایی که به این وسیله بر سازمان وارد شده است نوشته می شود.

۷ – حد تحمل ریسک و هدف گذاری:

پتانسیل ضرردهی و در واقع حد نهایت ضرردهی شرکت که حاکی از میزان انعطاف پذیری آن است تعیین می شود. همچنین اثرات مالی انتظاری ناشی از ریسک نیز تعیین و مشخص می شوند. هدف از کنترل ریسک تعیین شده و سطح ایده آل عملکرد در این حالت مشخص می شود.

۸ – عکس العمل در مقابل ریسک، درمان و کنترل ریسک:

فرآیندها و فعالیت های کنترل ریسک موجود تعیین می شود، سطح اعتماد به فرآیندها و فعالیت های مذکور اندازه گیری و مشخص می شود. و در انتها فرآیندهای پایش و نظارت و بررسی عملکرد سازمان در مقابل ریسک ها تعریف می شود.

۹ – توان بالقوه اصلاح ریسک:

توان بالقوه ی اصلاح و یا بهبود وضعیت های ناشی از ریسک شناسایی و امکان سنجی می شوند. توصیه های نهایی و اولتیماتوم های لازم برای اعمال برنامه مدیریت ریسک تهیه می شوند. مسئولیت ها برای عملی کردن هر نوع عملیات اصلاح ریسک  تعیین می گردند.

۱۰ – اصلاح استراتژی ها و سیاست ها:

مسئولیت های مربوط به تغییر و اصلاح استراتژی های کلی شرکت (با توجه به تعریف ذکر شده از استراتژی در صفحات قبلی ) با در نظر گرفتن ریسک ها تعیین می شوند. همچنین ساز و کار حصول اطمینان از سازگاری فرآیند بازبینی برنامه مدیریت ریسک با روندهای کنترلی تعریف شده در مراحل پیشین تعریف و تعیین می شود.

مدیریت ریسک - ارزیابی ریسک

توصیه می شود که اطلاعات فوق در قالب یک جدول و به گونه ای منظم نگاشته شوند. هر چند که در بسیاری از موارد تعریف ساده و کلی ریسک ها کافی است، اما در شرایطی که نیازمند عملیاتی کردن یک فرآیند جامع ارزیابی ریسک باشد بهتر است جزئیات دقیق و ریز ریسک ها در قالب چنین جدولی و با توجه به موارد اطلاعاتی ذکر شده در بالا یادداشت شده و عملیات ارزیابی ریسک با توجه به آن ها صورت گیرد.

نحوه‌ی تعیین احتمالات وقوع ریسک

یکی از دشوارترین مراحل برنامه مدیریت ریسک، بخش ارزیابی آن و یکی از دشوارترین مراحل بخش ارزیابی ریسک، بخش تعیین احتمالات وقوع ریسک ها است. اما در این قسمت نشان خواهیم داد این امر آنقدرها هم دشوار نیست و صرفاً به دیدگاه سازمانی که قصد عملیاتی کردن برنامه مدیریت ریسک را دارد بازمی گردد.

از آنجا که پیامدهای وقوع ریسک می تواند منفی (تهدید)، مثبت (فرصت) و یا نامشخص (نااطمینانی) باشد، سازمان هایی که قصد عملیاتی کردن یک برنامه مدیریت ریسک را دارند بهتر است تعاریف مناسبی را برای سطوح احتمال و پیامدهای هر ریسک با توجه به انواع گوناگون پیامدهای آن تعیین کنند. به این معنا که سطوح احتمال بسته به منفی، مثبت و یا نامشخص بودن اثر و پیامد ریسک تعریف می شود.

رتبه بندی ریسک ها از لحاظ احتمال وقوع و پیامد و اثر احتمالی هر یک می تواند به صورت کمی (عددی)، نیمه-عددی و یا کیفی صورت گیرد. بنابراین در این موارد نیازی نیست سازمان ها برای تعیین احتمال و پیامد ریسک های مورد مواجهه از یک پروتکل از پیش تعیین شده تبعیت کنند، بلکه توصیه می شود هر سازمان با توجه به شناخت از شرایط و اوضاع موجود خود، به تعریف معیاری مشخص برای تعیین سطوح احتمال وقوع ریسک ها و پیامدهای بالقوه ی هر یک اقدام کند.

مدیریت ریسک - احتمالات

به طور مثال بسیاری از سازمان ها به تقسیم بندی احتمال وقوع ریسک ها و شدت پیامدهای ناشی از آن ها به سه سطح کیفی ۱) پایین ۲) متوسط ۳) بالا بسنده می کنند و در حقیقت نتایج را در یک ماتریس ۳×۳ به شکل زیر ارائه می کنند:

مدیریت ریسک - ماتریس

اگر فرض کنیم سازمان با سه ریسک متفاوت مواجه باشد:

مدیریت ریسک - فرصت و تهدید

در حالت بالا سازمان با ریسک ۱ دارای احتمال پایین و اثر (پیامد) پایین، ریسک ۲ با احتمال وقوع متوسط و اثرات احتمالی بالا و در نهایت ریسک ۳ با احتمال و اثر بالا مواجه است. سازمان ها با توجه به شرایط موجود خود می توانند ابعاد این ماتریس را تغییر داده و به طور مثال ماتریسی ۶×۶ را برای تعیین حالات احتمال وقوع ریسک ها انتخاب نمایند.

در نهایت هدف اصلی از تعیین احتمالات و پیامدهای ریسک ها چیزی جز امکان اولویت بندی و رتبه بندی ریسک های اصلی به منظور تحلیل بیشتر آن ها نیست. بنابراین اگر سازمان ها به این مرحله با رعایت دیدگاه اصلی و هدف پشت پرده آن نگاه کنند، می توانند خود نحوه ی شخصی سازی شده ای از تعیین احتمال و پیامدها ایجاد کرده و از آن استفاده کنند.

مدیریت ریسک - مشاوره مدیریت

لازم به ذکر است که بسته به شرایط سازمان، امکان تغییر ماهیت تحلیل احتمال از حالت کیفی به کمی و یا نیمه کمی نیز وجود خواهد داشت. در این حالات استفاده از متخصصین مربوطه بسیار ضروری خواهد بود، هر چند که در تعیین احتمالات و اثرات ریسک به صورت کیفی نیز، استفاده از متخصصینی که از دیدگاه بیرونی و بدون در نظر گرفتن منافع شخصی و بدون وجود پیش قضاوت های مخرب به تحلیل و تعیین اوضاع بپردازند نیز مثمر ثمر خواهد بود.

سیستم های طبقه بندی ریسک:

یکی از پراهمیت ترین بخش های تحلیل یک ریسک به خصوص، تعیین ماهیت، منبع ایجاد پیامد آن و نوع پیامد ذکر شده است. ارزیابی ریسک ها با این روش می تواند با استفاده از سیستم های طبقه بندی ریسک بسیار راحت تر صورت گیرد.
اهمیت سیستم های طبقه بندی ریسک در این نکته نهفته است که استفاده از این سیستم ها، امکان شناسایی توده های یکسانی از ریسک ها را برای سازمان فراهم می کنند. طبقه بندی ریسک ها همچنین به سازمان کمک می کند تا آسیب پذیرترین استراتژی ها، تاکتیک ها و عملیات خود را شناسایی و کشف کند.

مدیریت ریسک - طبقه بندی ریسک

طبقه بندی ریسک ها به طور استاندارد، با تقسیم بندی ریسک ها به چند دسته صورت می پذیرد:
۱ – ریسک های مرتبط با کنترل مالی
۲ – ریسک های مرتبط با اجرای (عملیات) بهینه
۳ – ریسک هایی که امکان خدشه دار کردن سابقه و اعتبار سازمان را داشته باشند
۴ – ریسک های مرتبط با فعالیت های تجاری

البته دقیقاً به مانند تعیین سطح احتمال و پیامدهای ریسک، طبقه بندی ریسک نیز بسته به شرایط هر سازمان متفاوت خواهد بود. در حقیقت هیچ سیستم طبقه بندی ریسکی وجود ندارد که برای تمام سازمان ها در تمام نقاط جهان قابل استفاده باشد. سیستم طبقه بندی ریسک هر سازمان با توجه به اندازه، ماهیت و پیچیدگی سازمان مورد نظر انتخاب می شود. در انتخاب سیستم طبقه بندی ریسک، در نظر گرفتن گستره و دامنه ی ریسک هایی که سازمان با آن ها مواجه است نیز امری ضروری است.

تکنیک های ارزیابی ریسک

تکنیک‌های گوناگونی برای جمع‌آوری اطلاعات در خصوص ارزیابی ریسک‌ها وجود دارد که در ادامه هر یک به طور خلاصه توضیح داده می‌شوند. لازم به ذکر است استفاده از یک تکنیک تناقضی با استفاده از سایر تکنیک‌ها ندارد، و بسته به نوع فعالیت سازمان و گستره، شدت و ماهیت ریسک‌های گوناگونی که با آن‌ها مواجه است، می‌توان به ازای ریسک‌های مختلف بهترین و بهینه‌ترین روش را بسته به ریسک مورد بررسی برگزید و مورد اجرا قرار داد.

مدیریت ریسک - تکنیک های ارزیابی ریسک - روش های ارزیابی ریسک
  1. استفاده از پاسخ‌نامه و چک‌لیست‌ها:

استفاده از پاسخ‌نامه‌ها و چک‌لیست‌های از پیش تعیین شده و دقیق، به منظور جمع‌آوری اطلاعات در راستای شناسایی ریسک‌های اصلی

  1. کارگاه‌ها و جلسات طوفان فکری:

جمع‌آوری و به اشتراک گذاشتن ایده‌ها و بحث در مورد اتفاقاتی که می‌توانند بر اهداف سازمان، انتظارات ذی‌نفعان (از جمله صاحبین سهام، مدیریت، مشتریان و…) و یا ارتباطات و وابستگی‌های کلیدی سازمان اثرگذار باشند

  1. تحقیق و تفحص و حسابرسی

بازرسی حضوری تمام بخش‌های سازمان و فعالیت‌های آن و یا انجام حسابرسی‌های مربوطه با استفاده از سیستم‌ها و فرآیندهای تعیین شده

  1. فلوچارت‌ها و تحلیل وابستگی‌ها

تحلیل فرآیندها و عملیات داخل-سازمانی به منظور شناسایی عناصر اساسی که می‌توانند به موفقیت ختم شوند

  1. استفاده از روش‌های HAZOP و FMEA

روش HAZOP (بررسی فجایع و امکان‌پذیری) و FMEA (تحلیل اثرات روش‌های شکست) دو تکنیک عددی در راستای تحلیل شکست‌ها (ریسک‌های با اثر منفی) فنی شمرده می‌شوند.

  1. انجام تحلیل‌های SWOT و PESTLE

توجه: انجام تحلیل‌های SWOT (قوت‌ها/ضعف‌ها/فرصت‌ها/تهدید‌ها) و PESTLE (سیاسی/اقتصادی/اجتماعی/فنی/حقوقی/زیست‌محیطی) می‌توانند راهکارهایی نظام‌مند جهت شناسایی ‌ریسک‌ها ارائه دهند.

اصول مدیریت ریسک

 مدیریت ریسک به عنوان یکی از بخش‌های مرکزی مدیریت استراتژیک هر سازمانی شمرده می‌شود.در حقیقت مدیریت ریسک فرآیندی است که سازمان‌ها از طریق آن، ریسک‌های ناشی از فعالیت‌های خود را به طور روش‌مندی مورد مطالعه و تحلیل قرار می‌دهند.

یک برنامه مدیریت ریسک موفق باید بسته به سطح ریسکی که سازمان با آن مواجه است نوشته شود. همچنین دامنه‌ی برنامه باید جامع بوده و گستره‌ی تمام فعالیت‌های سازمانی را شامل شود. برنامه‌ی مدیریت ریسک موفق باید به گونه‌ای طراحی شود که از جمله‌ی فعالیت‌های روتین و روزانه سازمان قرار گیرد و همچنین باید حالت پویا و داینامیک داشته باشد، به این ترتیب که نسبت به تغییر در شرایط حساس بوده و تغییرات لازم در آن صورت گیرد.

بنابراین اصول طراحی یک برنامه‌ی ریسک موفق دارای ویژگی‌های زیر است:

  1. هم‌بستگی با سطح ریسک سازمانی
  2. برخورداری از جامعیت و شاملیت
  3. حل شدن در ساختار سازمانی (قرار گرفتن در زمره فعالیت‌های روتین)
  4. پویایی

تمرکز برنامه‌های مدیریت ریسک بر ارزیابی ریسک‌های اصلی و عملیاتی کردن ساز و کارهای عکس‌العمل مناسب در مقابل آن‌ها است. هدف اصلی به دست آوردن و ایجاد حداکثر میزان ارزش پایدار از تمامی فعالیت‌های سازمان است. منظور از ارزش پایدار، ارزشی است که تا حد امکان در مقابل ریسک‌ها مصون بماند و کمترین میزان نوسان را تجربه کند.

مدیریت ریسک - اصول مدیریت ریسک

مدیریت ریسک میزان درک سازمان را از نقاط مثبت و منفی عواملی که می‌توانند به طور بالقوه بر سازمان اثرگذار باشند را به طور چشم‌گیری افزایش می‌دهد. رعایت شفافیت یکی از اصلی‌ترین اصول مدیریت ریسک است و می‌تواند در افزایش درک نقاط فوق‌الذکر به شدت اثرگذار باشد. مدیریت ریسک همچنین با لحاظ ریسک‌های موجود و سعی در خارج کردن آن‌ها از حالت نااطمینانی، احتمال موفقیت را افزایش داده و احتمال شکست و سطح نااطمینانی در دستیابی به اهداف سازمانی را کاهش می‌دهد.

تعریف چارچوب های مدیریت ریسک

چارچوب‌های گوناگونی در زمینه مدیریت ریسک شرکتی وجود دارد که هر کدام روش‌ متفاوتی را در شناسایی و تحلیل ریسک‌ها و فرصت‌ها، نحوۀ عکس‌العمل در مقابل آن‌ها و پایش و نظارت بر ریسک‌ها و فرصت‌ها، چه در محیط داخلی شرکت و چه در محیط خارج از شرکت، در پیش‌ می‌گیرند. در اینجا واژه‌ی ریسک در کنار فرصت به کار رفته است اما توجه کنید که در حقیقت ریسک خود ماهیتاً هم اثرات منفی و هم اثرات مثبت را شامل می‌شود.

در حقیقت مدیریت هر شرکت یا بیزینس، پس از شناسایی و تحلیل ریسک‌ها و فرصت‌های موجود در بیزینس خود، در انتخاب استراتژی عکس‌العمل در مقابل این ریسک‌ها و فرصت‌ها چند راه مشخص پیش رو خواهد داشت که بسته به شرایط بازار، بیزینس، وضعیت چرخه‌های رکود و رونق و … به انتخاب یکی و یا ترکیبی از آن‌ها دست خواهد زد:

  1. فرار: خروج از فعالیت‌هایی که منجر به بروز ریسک می‌شوند
  2. کاهش: تلاش برای کاهش احتمال و یا شدت اثرگذاری ریسک
  3. روش‌های متفاوت: بررسی و انتخاب گام‌های محتمل دیگر به منظور کاهش ریسک
  4. به اشتراک‌گذاری یا بیمه‌کردن: انتقال و یا تشریک بخشی از ریسک، با استفاده از مالی‌سازی آن (به طور مثال از طریق بیمه)
  5. پذیرفتن: پس از بررسی هزینه/فایده، هیچ عکس‌العملی در مقابل ریسک‌های ناشی از فعالیت‌ها، توسط شرکت صورت نمی‌گیرد
مدیریت ریسک - چارچوب مدیریت ریسک coso

با در نظر گرفتن این حالات، بخش پایش یا نظارت عموماً توسط مدیریت و به عنوان بخشی از فعالیت های نظارت داخلی صورت می گیرد. فعالیت های نظارت داخلی شرکت شامل بررسی گزارش های تحلیلی و یا تشکیل کمیته های مدیریتی با متخصصان مربوطه است. این فعالیت ها نحوۀ عملکرد استراتژی عکس العمل انتخاب  شده و دستیابی به اهداف را مشخص می کنند.

چارچوب مدیریت ریسک COSO

این چارچوب به عنوان یکی از مشهورترین چارچوب های مدیریت ریسک شرکتی در جهان شناخته می شود. در این چارچوب هشت بخش و چهار اصل کلی تعریف می شود و بسته به آن اقدامات مدیریت ریسک در شرکت اعمال می شود.
مدیریت ریسک به روش COSO به هشت بخش تقسیم می شود:
۱. تعهد به انجام مدیریت ریسک
۲. سیاست مدیریت ریسک
۳. تشکیل یک بخش به عنوان میکسر (ادغام کننده) مدیریت ریسک در سازمان
۴. ارزیابی ریسک
۵. عکس العمل در مقابل ریسک
۶. ارتباطات و گزارش دهی
۷. اطلاعات و ارتباطات
۸. نظارت و پایش

همچنین چهار اصل کلی مدیریت ریسک به روش COSO عبارتند از:

استراتژی: اهداف سطح بالا که با ماموریت کلی سازمان در هماهنگی بوده و آن را تقویت کنند
فعالیت ها: استفاده بهینه و موثر از منابع
گزارش دهی مالی: میزان قابل اتکا بودن گزارش های عملیاتی و مالی
سازگاری: تطابق با قوانین و مقررات موجود

فرآیند مدیریت ریسک:

مدیریت ریسک - فرآیند مدیریت ریسک

فرآیند مدیریت ریسک به طور عمومی می تواند به عنوان فهرستی از عوامل مرتبط با یکدیگر تقسیم بندی و ارائه شود. همانطور که دیده شد انواع گوناگونی از فرآیندها در چارچوب های متفاوت مدیریت ریسک وجود دارد که چارچوب مدیریت ریسک COSO یکی از این چارچوب ها است. اما در این قسمت عناصر عمومی تری که معمولاً بین تمام چارچوب های مدیریت ریسک مشترک هستند به صورت فهرست وار معرفی می شوند:

این عناصر در ادبیات مدیریت ریسک به نام های ۷R و ۴T های مدیریت ریسک شناخته می شوند.
– شناسایی ریسک ها
– رتبه بندی و ارزیابی ریسک ها
– تعیین ریسک های اصلی
– تعیین نحوه عکس العمل در مقابل ریسک های اصلی: که عموماً دارای گزینه های ۱) تحمل ۲) درمان ۳) انتقال (به طور مثال از طریق بیمه) ۴) از بین بردن است. (این ۴ گزینه در حقیقت همان ۴Tهای مدیریت ریسک هستند)
– کنترل منابع
– برنامه ریزی عکس العمل ها: تفاوت این عنصر با تعیین نحوه عکس العمل در این نکته نهفته است که در مرحله تعیین، صرفا انواع عکس العمل های ممکن معرفی و فهرست می شوند، اما در این مرحله نحوه ی عکس العمل در مقابل هر شرایط و اولویت بندی آن ها نیز مورد توجه قرار می گیرد.
– پایش/نظارت و گزارش عملکرد سازمان در مقابل ریسک ها
– بازبینی چارچوب مدیریت ریسک و اصلاح/تغییر آن در صورت لزوم

تقسیم بندی فرآیند مدیریت ریسک

مدیریت ریسک - تقسیم بندی فرآیند

فرآیند ذکر شده در قسمت قبلی را می توان به صورت کلی تر زیر نیز تعریف و تقسیم بندی نمود:
۱. معماری ریسک:
معماری و طراحی ریسک شامل تعیین نقش ها، مسئولیت ها، ارتباطات و ساختار گزارش دهی ریسک است. در قسمت های بعدی متن با معرفی بحث توابع ریسک در این خصوص توضیحات بیشتری ارائه می شود.
۲. استراتژی ریسک:
استراتژی کلی شرکت در مقابل ریسک ها، شامل سطح و ماهیت ریسک هایی که برای سازمان قابل تحمل است و همچنین نحوه ی عمل و فلسفه ی ذهنی در مقابل ریسک ها را مشخص می کند.
۳. پروتکل های ریسک:
پروتکل های ریسک در قالب دفترچه های راهنمای کلی برای سازمان تهیه می شوند. این پروتکل ها شامل قوانین و فرآیندها و همچنین تعیین متودولوژی و روش مدیریت ریسک، ابزارها و تکنیک های مورد استفاده است.

ساز و کارهای بازخورد (Feedback)

ایجاد ساز و کارهای مشخصی برای آگاهی از عملکرد درست برنامه مدیریت ریسک یک از ارکان اصلی طراحی یک برنامه ی موفق مدیریت ریسک است. به طور کلی این نوع ساز و کارهای بازخوردی را می توان در دو دسته ی اصلی تقسیم بندی کرد:

مدیریت ریسک - ساز و کار بازخورد

۱. ساز و کارهای نظارت و بازبینی عملکرد:

این ساز و کارها از نظارت بهینه سازمان بر عملکردهای مرتبط با ریسک اطمینان حاصل می کند و همچنین یادگیری از تجربیات و اشتباهات گذشته در زمینه ی این عملکردها را مد نظر قرار می دهد.
تعیین هر فرآیند نظارت و بازبینی باید بر اساس پاسخگویی به سوالات زیر انجام گیرد:
– آیا معیارهای استفاده شده به نتایج مورد نظر دست یافته اند؟
– آیا فرآیندهای مورد استفاده بهینه بوده اند؟
– آیا اطلاعات و داده های کافی برای ارزیابی ریسک ها در دسترس بوده است؟
– آیا دانش جدیدی در اختیار است که با استفاده از آن بتوان روند تصمیم گیری را بهبود بخشید؟
– آیا درسی از فعالیت های گذشته وجود دارد که با شناسایی آن بتوان ارزیابی ها و فرآیندهای کنترلی آینده را بهبود بخشید؟

۲. ساز و کارهای ارتباطی و مشورتی:

این نوع ساز و کارها از بیهنه بودن ارتباطات بین دپارتمان ها و بخش های مختلف در زمینه مدیریت ریسک اطمینان حاصل می کند و ساز و کارهای مشخصی را بسته به نوع سازمان و سطح ریسک های آن، برای استفاده از مشاوره های درون- سازمانی و یا بیرون -سازمانی (لینک رسا) در خصوص برنامه مدیریت ریسک تعریف می کند. با وجود اینکه این نوع ساز و کارها درچارچوب ISO 31000 به عنوان بخشی از فرآیند مدیریت ریسک در نظر گرفته شده اند اما می توان آن را به عنوان بخشی از فرآیندهای کمکی نیز در نظر گرفت.
تکمیل یک ساز و کار بازخورد، شامل دو گام اساسی ۱) یادگیری از گذشته و ۲) گزارش عملکرد است. به منظور یادگیری از گذشته، هر سازمان نیازمند بازبینی شاخص های عملکرد ریسک و اندازه گیری نقش برنامه مدیریت ریسک اعمال شده در موفقیت های به دست آمده است.


دستیابی به یک ساز و کار بازخورد موفق، بر پایه ی روشن بودن دلایل سازمان از اعمال برنامه مدیریت ریسک است. اگر این دلایل به وضوح مشخص نشده باشند، سازمان نمی تواند از همسو بودن نقش برنامه ی مدیریت ریسک و انتظاراتی که از آن می رفته است اطمینان حاصل کند. نظارت شاخص های ارزیابی عملکرد ریسک شامل ارزیابی نحوه ی مشارکت و تاثیر برنامه مدیریت ریسک در رسیدن به اهداف کلی و موفقیت ها، و همچنین ارزیابی مناسب بودن یا نبودن ساز و کارهای کنترلی انتخاب شده است.


نحوه عملیاتی کردن برنامه مدیریت ریسک:

مدیریت ریسک - عملیاتی کردن برنامه مدیریت ریسک

الف) تعیین اهداف برنامه مدیریت ریسک:

سازمان ها و شرکت ها بنا به ماهیت خود به مدیریت ریسک می پردازند. البته این امر در کشور ما به طور تخصصی صورت نمی گیرد و عموماً مدیریت سازمان ها خود و بدون اینکه دقیقاً از نام کاری که می کنند آگاهی داشته باشند کمابیش به مدیریت ریسک مجموعه خود می پردازند. اما به طور اصولی و در سازمان های بزرگ بین المللی دپارتمان ها و بخش هایی از یک سازمان مخصوص شناسایی و مدیریت ریسک های مشخصی که متوجه یک سازمان است تشکیل می شود. این دپارتمان ها عملیاتی که اصطلاحا به نام توابع ریسک شناخته می شود را طراحی می کنند. در واقع این دپارتمان ها پس از طراحی توابع ریسک خود به یک تابع ریسک تبدیل می شوند که عکس العمل شرکت در مقابل ریسک های مربوط به بخش خود را تعیین می کنند.

توابع ریسک مثل ماشین هایی هستند که بسته به نوع و شدت ریسکی که به آن داده می شود عکس العمل های گوناگونی را پیشنهاد می دهد. در حقیقت توابع ریسک مثل توابع ریاضی عمل می کنند. به طور مثال شرکتی با سه ریسک مواجه است و تابعی به نام F را به عنوان تابع ریسک طراحی کرده که عکس العمل مناسب در مقابل هر ریسک را مشخص می کند:

مدیریت ریسک - اهداف برنامه مدیریت ریسک

هر سازمان می تواند چندین تابع ریسک را طراحی کند. اما با این وجود، هر تابع ریسک دارای توانایی و ظرفیت متفاوتی است و رابطه و نحوه هماهنگی آن با سایر توابع نیز متفاوت خواهد بود.
یکی از اصلی ترین اهداف یک برنامه مدیریت ریسک بهبود سطح توانایی و ظرفیت، و هماهنگی آن با سایر توابع است. البته یک برنامه مدیریت ریسک جامع بدون در نظر گرفتن محصول و یا خدمت تولیدی هر بیزینس به این هدف دست پیدا نمی کند. در نظر گرفتن نوع فعالیت شرکت باعث می شود تصویری جامع از ریسک برای تمام ذی نفعان شرکت شکل بگیرد و توانایی سازمان در مدیریت موثر ریسک ها افزایش یابد.

ب) تعریف و تعیین توابع ریسک (دپارتمان ها/بخش های مسئول)

معمولاً دپارتمان های شرکت های بزرگ که خود در برنامه های مدیریت ریسک به عنوان یک تابع ریسک عمل می کنند شامل چند بخش اصلی هستند:

بخش برنامه ریزی استراتژیک : شناسایی تهدیدها و فرصت های رقابتی و ارائه استراتژی های بکر و ناب جهت مواجه شدن با آن ها
بخش بازاریابی : شناسایی بازار مشتریان هدف به منظور اطمینان از تطابق خدمت/محصول تولید شده با نیازمندی های مشتریان
بخش سازگاری با اساس نامه : نظارت بر تطابق و سازگاری فعالیت شرکت با آیین نامۀ داخلی و اساس نامۀ کلی شرکت
بخش سازگاری حسابداری/مالی : به ریسک های گزارش دهی مالی می پردازد
بخش حقوقی : بخش های حقوقی را مدیریت کرده و روندهای حقوقی که ممکن است به روند شرکت تاثیرگذار باشند را تحلیل می کند
بخش بیمه: بهترین پوشش های بیمه ای را برای شرکت پیدا کرده و پیشنهاد می دهد
بخش خزانه داری (صندوق) : از کافی بودن وجوه نقد به منظور رفع نیازهای شرکت اطمینان حاصل می کند و ریسک های مرتبط با تغییر قیمت کالاهای اساسی و یا تغییر نرخ ارز را نیز مدیریت می کند
بخش تضمین کیفیت : از سازگاری محصول تولیدی با سطح تعیین شده توسط شرکت اطمینان حاصل می کند
بخش مدیریت عملیات : از پیشبرد روزانه کارهای شرکت اطمینان حاصل می کند
بخش اعتبار : بررسی اعتبارات داده شده به مشتریان و تناسب این اعتبارات با توانایی پرداخت آن ها
بخش خدمات مشتریان : از رسیدگی مناسب و درست به شکایات مشتریان و گزارش علل ریشه ای شکایات به بخش مدیریت عملیات اطمینان حاصل می کند
بخش حسابرسی داخلی : اثرگذاری هر یک از توابع ریسک (دپارتمان ها) بالا را مورد بررسی قرار می دهد و اصلاحات لازم برای بهبود آن ها را طراحی و پیشنهاد می کند

اصلی ترین مشکلات اعمال برنامه مدیریت ریسک

در اکثر قریب به اتفاق موارد، مشکلات اعمال برنامه های مدیریت ریسک در سطح تفکری و نظری نهفته هستند. در حقیقت در اعمال و عملیاتی سازی یک برنامه مدیریت ریسک، مشکل اصلی نه در تعیین توابع و دپارتمان ها و نه در طراحی یک ساز و کار بازخوردی بروز می کند، چرا که اشکالاتی که ممکن است در مسائلی از این دست رخ دهند را می توان در نهایت با استفاده از متخصصین مربوط به هر بخش رفع نمود.

مدیریت ریسک - مشکلات اعمال برنامه مدیریت ریسک

اما طرز نگاه و نگرش بدنه ی اصلی سازمان به مبحث مدیریت ریسک به عنوان یک مبحث نظری مشکلی ریشه دار است که باید ابتدا در ذهن مدیران رده بالای سازمان و مسئولین عملیاتی سازی هر برنامه مدیریت ریسک رفع و رجوع شود. در این قسمت دو مورد از اصلی ترین مشکلات اعمال برنامه های مدیریت ریسک، که با رفع آن ها نزدیک به نیمی از مشکلات فرآیند طراحی و اجرای برنامه های مدیریت ریسک قابل برطرف کردن خواهد بود، آورده شده اند:

۱. مدیریت ریسک به عنوان یک عملیات سالی یک بار:

بسیاری سازمان ها مدیریت ریسک شرکتی را به عنوان یک فرآیند مدیریتی و اجباری می بینند و از ارزشی که توسط مدیریت ریسک ایجاد می شوند بی خبر هستند. برخی مدیریت ریسک را یک برنامه ی سالی یک بار تلقی می کنند که در آن یک ارزیابی ریسک سرسری انجام می شود و هیئت مدیره و مدیران رده بالا آن را مطالعه و ارزیابی می کنند و با نتایج آن موافقت می کنند و می روند تا سال آینده دوباره این کار را تکرار کنند.

اما مدیریت ریسک یک فرآیند و مکانیزم زنده است. و با توجه به تغییرات در محیط داخلی شرکت و یا شرایط خارج از شرکت، چه در سطح ملی و چه در سطح بین المللی، باید مورد بازبینی و بازنویسی قرار گیرد. ریسک ها باید به طور مستمر و دائمی شناسایی و تحلیل شوند. در نظر گرفتن ریسک ها در هنگام تصمیم گیری، اولویت بندی فعالیت ها، و تخصیص یا بازتخصیص منابع بسیار ضروری است.

مدیریت ریسک - زمان بندی

۲٫ عدم تمرکز بر ریسک های اصلی:

مانع دیگر بر سر راه مدیریت ریسک موثر این است که بسیاری برنامه های مدیریت ریسک، بر ریسک های اصلی متمرکز نمی شوند و با ریسک های کم اهمیت درگیر می شوند. طبق آخرین تحقیقات انجام شده که نتایج آن در سال ۲۰۱۵ در ژورنال هاروارد بیزینس منتشر شده است،ـآآخری طی دهه های گذشته در سطح جهان، مدیریت ریسک سنتی بیش از ۹۴ درصد زمان خود را در بخش حقوقی، سازگاری، گزارش دهی مالی و ریسک های عملیاتی صرف کرده است. و این در حالی است که ۸۶ درصد زیان های رخ داده در ارزش بازار شرکت ها مربوط به ریسک های استراتژیک بوده است.

مدیریت ریسک - نسبت ها

در چنین شرایطی لزوم زمان بندی درست و مشخص نمودن مهمترین نقاط تمرکز در برنامه مدیریت ریسک یکی از مهم ترین اصول در راستای دستیابی به یک برنامه مدیریت ریسک موفق شمرده می شود. تخصیص بهینه ی زمان صرف شده برای شناسایی و تعیین توابع ریسک با توجه به احتمال وقوع هر نوع از ریسک می تواند نقشی موثر در موفقیت برنامه مدیریت ریسک، چه در سطح مدیریت ریسک های سرمایه گذاری و مدیریت ریسک پروژه ها و چه در سطح مدیریت ریسک های استراتژیک سازمانی ایفا کند.

مزایای استفاده از برنامه مدیریت ریسک

در انتها باید اشاره کرد که برنامه های مدیریت ریسک اگر درست و به صورت اصولی طراحی و اجرا شوند، می توانند ماهیت مدیریت ریسک را برای یک سازمان تغییر دهند. به این معنا که مدیریت ریسک را از سطح یک توانایی عملیاتی به سطح یک مسئولیت سازمانی ارتقا بخشند. به طور مشخص مدیریت ریسک شرکتی یک شرکت را به سطحی از هوشیاری و آگاهی نسبت به ریسک می رساند که در این سطح شرکت توانایی های خاصی مثل توانایی های زیر را پیدا خواهد کرد:

مدیریت ریسک - مزایای استفاده از برنامه

– بهبود و افزایش سرعت توسعه و اجرای بهینه ی استراتژی سازمان، از جمله تبدیل تهدیدها به فرصت ها به منظور دستیابی به مزیت رقابتی
– آگاهی رسانی در خصوص محصولات و خدمات جدید
– ارائه ی دیدگاهی کلی در خصوص ریسک های نوظهور بالقوه و بررسی استحکام پیش فرض های قرار گرفته در پس استراتژی های شرکت
– بازتخصیص منابع به گونه ای که بالاترین و بهینه ترین استفاده از آن ها ممکن شود
– تهیه و ارائه تحلیل های ریسک پیشرفته و گزارش آن ها به مدیریت و هیئت مدیره
– در اولویت قرار دادن و عملی کردن یک برنامه ی حسابرسی داخلی، برنامه ای که برای ارزیابی ریسک و یا نظارت بر عملکرد مدیریت ریسک پیاده سازی می شود اما می تواند در آینده در موارد دیگر نامرتبط با مسئله مدیریت ریسک نیز مورد بهره برداری قرار گیرد

۵/۵ (۶ نظر)