مدیریت ریسک چیست؟ تعریف، استانداردها و فرایندها

در ابتدا، به تعریف سریع مدیریت ریسک توسط یک نهاد معتبر بین المللی استاندارد می‌پردازیم: “… [استفاده سیستماتیک از سیاست‌ها، رویه‌ها برای فعالیت‌های برقراری ارتباط و مشاوره، ایجاد زمینه و ارزیابی، معالجه، نظارت، بررسی، ضبط و گزارش ریسک.” – ISO 31000 – طبق دستورالعمل‌های مدیریت ریسک
بنابراین، مدیریت ریسک فقط تأیید کرده است که خطر اتفاق می‌افتد، و اقدامات لازم را برای اطمینان از آمادگی کامل برای آن انجام می‌دهد. اساساً، این یک استراتژی مدیریتی مشابه مدیریت فرایندهای کسب و کار یا سایر سیستم‌های مدیریتی مانند کیفیت است.
روش‌های زیادی برای اجرای موفقیت آمیز مدیریت ریسک وجود دارد. اهداف هر برنامه مدیریت ریسک، پیرامون ایده شناسایی، درک و آماده‌ سازی برای انواع خطرات‌، و وقایع احتمالی که از نتیجه یا نتیجه مورد انتظار عملیات تجاری منحرف می‌شوند، می‌باشد. به عبارت ساده‌تر، این شامل هر چیزی است که جزئی از روش عملی استاندارد نباشد.
یکی از مهمترین ایده‌های سیستم‌های مدیریت ریسک موفق، تمرکز بر مدیریت فعال ریسک است.

مدیریت ریسک فعال با ماهیت پیشگیرانه فرآیند تعریف می‌شود.
مدیریت ریسک فعال فقط به دنبال کاهش خطرات شناخته شده نیست. این یک فرآیند آینده نگر است که به دنبال اعمال نوعی چارچوب مدیریت کیفیت به منظور کاهش خطرات شناخته شده و ناشناخته است، و اطمینان می‌دهد که تا آنجا که ممکن است تلاش زیادی برای جلوگیری از  هر نوع خطری است.
مدیریت ریسک واکنشی به عهده ناشناخته‌ها است. مشاغلی که شامل مدیریت ریسک فعال نباشند در نبرد مداوم با خطراتی که هنوز به اندازه کافی خود را برای آنها آماده نکرده اند از بین خواهند رفت. مدیریت ریسک فعال برای هر برنامه مدیریت ریسک موفق ضروری است.

مدیریت ریسک سازمانی

مدیریت ریسک سازمانی نوعی از مدیریت ریسک است که در چند اصل مهم آن متفاوت است. در عمل بسیاری از ایده‌ها مشابه هستند؛ تفاوت اصلی در تمرکز ERM در چگونگی تأثیر ریسک بر اهداف و نتایج کسب و کار نهفته است. این شبیه به رویکرد استاندارد ISO 31000 برای رهنمودهای مدیریت ریسک است.
مدیریت ریسک سنتی کمتر به ایده‌های سطح بالا مانند اهداف و پیامدهای مشاغل توجه می‌کند و صرفاً با جستجو در مقادیر عددی محاسبه شده برای احتمال بروز ریسک و شدت آن به دنبال شناسایی، کمیت و رتبه بندی خطرات به ترتیب اولویت عمل می‌کند.
این نقل قول به طور خلاصه ایده‌های اصلی مدیریت ریسک سازمانی را خلاصه می کند:

“فرهنگ، قابلیت‌ها و شیوه‌ها، با تنظیم استراتژی و عملکرد، که سازمان‌ها برای مدیریت ریسک بر ایجاد ، حفظ و تحقق ارزش تکیه می‌کنند.” 

باور‌های غلط درباره مدیریت ریسک

با وجود گسترش مدیریت ریسک در رویکردهای مدیریت فرآیند کسب و کار، تمایل به مشاهده مدیریت ریسک به عنوان تمرکز بر روی نتیجه و یا پتانسیل منفی یک تجارت وجود دارد.
در واقعیت، اینگونه نیست- مدیریت ریسک عملی است که به یک اندازه به توانایی تشخیص و استفاده بیشتر از نتایج مثبت، و فرصت طلب ریسک بستگی دارد.
این موضوع درست است که خطر به تعبیری با نتیجه منفی همراه است، اما هدف از مدیریت ریسک تشخیص فرصت در چنین شرایطی برای سرمایه گذاری بر روی پتانسیل پنهان یا کمتر آشکار شده است. این ممکن است به معنای انتخاب خطر کمتر، یا به معنای درک این مسئله باشد که گاهی اوقات خطر برای دستیابی به عملکرد بهتر ضروری است.
مطابق با اصول بهبود و پیشرفت مستمر، مدیریت ریسک یک فرایند در حال انجام است که به سادگی متوقف نمی‌شود و با یک تحلیل SWOT یا چند جلسه هیئت مدیره شروع می‌شود. در عوض، مدیریت ریسک چارچوبی است که به دنبال پیگیری مداوم، پالایش و بهینه سازی یک تجارت و فرآیندهای آن است. وقتی صحبت از مدیریت ریسک باشد، همیشه جایی برای بهبود وجود دارد.

استانداردهای مدیریت ریسک

تعدادی از استانداردهای مدیریت ریسک وجود دارد که برای ادغام بهترین روش‌ها و کمک به ساده‌سازی و بهبود پیاده‌سازی‌های مدیریت ریسک برای مشاغل طراحی شده است. عامل دیگری که منجر به استانداردسازی چارچوب‌های مدیریت ریسک می‌شود، افزایش دقت و بررسی است که سازمان‌ها باید با توجه به سیستم‌های مدیریت ریسک خود با آن روبرو شوند.
سیستم‌های مدیریت ریسک اغلب برای اثبات اثربخشی در اجرای آنها و اینکه مطابق با اهداف شرکت هستند، اغلب موظفند در برابر حسابرسی‌ها و ارزیابی‌های داخلی سختگیرانه بایستند. استانداردهای مدیریت ریسک تعریف شده توسط ایزو ۳۱۰۰۰ نمونه ای از استاندارد‌سازی بین المللی پیشرو در رویکرد مدیریت ریسک است.
‏ISO به سازمان بین المللی استاندارد‌سازی اطلاق می‌شود. بخش ۳۱۰۰۰ به یک مجموعه استاندارد برای مدیریت ریسک اشاره دارد. علاوه بر اینکه اصطلاح چتر برای مجموعه‌ای از استانداردهای مختلف به کار می‌رود، ISO 31000 همچنین به یک استاندارد واحد اشاره می کند، که به طور خاص با عنوان ISO 31000: 2018 شناخته می‌شود.
این استاندارد مجموعه‌ای از دستورالعمل‌های مربوط به مدیریت ریسک را تعریف می‌کند، که توسط سازمان‌هایی با هر اندازه، برای کار در هر زمینه‌ای، برای اجرای سیستم‌های مدیریت ریسک مؤثر، طراحی شده است. بر خلاف بسیاری از استانداردهای دیگر ISO مانند ۹۰۰۱ برای مدیریت کیفیت یا ۱۴۰۰۱ برای مدیریت محیط زیست، ISO 31000 مجموعه‌ای از دستورالعمل‌ها است. این بدان معناست که شما نمی‌توانید مجوز ISO 31000 را به همان روشی که برای سایر استانداردها با شرایط خاص اقدام نمودید دریافت کنید.
با این وجود، ISO 31000 یک چارچوب پیشرو برای سازمان‌هایی است که به دنبال شروع مدیریت ریسک هستند. مدیریت ریسک را می توان در این مراحل بیان کرد:

۱)اهداف مدیریت ریسک
۲)شناسایی خطر
۳)ارزیابی ریسک
۴)پاسخ ریسک
۵)نظارت بر خطر


۱٫ تنظیم و ترسیم اهداف مدیریت ریسک

مدیریت ریسک با تعیین اهداف واضح آغاز می‌شود و اطمینان حاصل می‌شود که این اهداف با استراتژی‌های تجاری مطابقت دارند. پس از همه، مدیریت ریسک چیست اگر نتواند به کسب و کارتان در رسیدن به اهداف کمک کند؟
تمرکز بر مدیریت ریسک به تنهایی به شما در رسیدن به اهداف تجاری کمک نمی‌کند. در عوض، نتایج یک سیستم مدیریت ریسک که به خوبی اجرا شده برای کمک به شما در درک چگونگی دستیابی به فراتر از اهداف تجاری موجود، ارزشمند خواهد بود.
مدیریت ریسک می‌تواند به مشاغل کمک کند تا اهداف خود را با یک بیانیه ماموریت به خوبی تعریف شده، دید رو به جلو و ارزش ها و فرهنگ های اصلی شرکت تراز کنند.

۲٫ شناسایی و مستندسازی خطرات
در واقع خطرات هر چیزی است که می‌تواند تجارت شما را در رسیدن به اهداف متوقف کند. این شامل نگرانی‌های بزرگتر، به شدت پرخطر، و حتی خطرات کوچک به ظاهر ناچیز نیز در سطح پروسه یا پروژه‌های فردی است. در هر صورت، همه خطرات باید به طور واضح و دقیق شناسایی و ثبت شوند.
فرآیند استریت از فیلدهای فرم غنی برای ضبط اطلاعات دقیق و رسانه در طی یک فرآیند استفاده می‌کند. نیازی نیست هنگام پیش بردن یک فرآیند با پردازش خیابان، نگران نداشتن اطلاعات باشید. بعداً‌، فرایند مدیریت ریسک را با فرآیند استریت به شما نشان می‌دهم (و کاملاً رایگان است).

۳٫ ارزیابی خطرات مستند

پس از ثبت خطرات‌، برای تعیین شدت و اولویت باید ارزیابی شوند. این امر برای درک تأثیر ریسک در اهداف مشاغل و همچنین اینکه احتمال بروز خطرات در چه مواردی ممکن است و چه زمانی ضروری است انجام می‌شود.
پیش بینی برخی از خطرات، مانند بلایای طبیعی یا ناآرامی‌های سیاسی، دشوار یا غیرممکن است. این واقعیت را تغییر نمی‌دهد که ارزیابی ریسک همیشه باید توسط تمام بخش‌های یک سازمان به بهترین شکل ممکن انجام شود. ارزیابی ریسک‌ها همچنین برای اطمینان از اینکه خطرات ثبت شده در واقع معتبر هستند، مهم است. این زمانی است که می‌توان به بررسی دقیق پرداخت و روش‌های آنالیز کیفی و پیش بینی می تواند برای درک بهتر خطرات جدی تر مورد استفاده قرار گیرد.
به عنوان مثال، در مرحله ارزیابی ریسک، ممکن است از یک ماتریس برای اولویت بندی موارد مهم استفاده شود. هدف از تجزیه و تحلیل ریسک کمک به مدیریت عالی است تا درک کند که بیشترین توجه خود را به چه مواردی معطوف کند.

۴٫ پاسخ به خطر

همچنین به عنوان درمان ریسک شناخته شده است، این مرحله بر پاسخگویی به خطرات با بالاترین اولویت متمرکز است. رویکردهای اصلی برای پاسخ به ریسک عبارتند از:
_ اجتناب
_ پذیرش (یا حفظ)
_ کاهش و یا کاهش انتقال (یا اشتراک گذاری)

هریک از این موارد در بخش اصول مدیریت ریسک در مقاله دیگری با جزئیات بیشتری ارائه شده است. این وظیفه مدیریت است که تصمیم بگیرد کدام خطرات بالاترین اولویت را دارند و یک استراتژی مناسب برای پاسخ به ریسک را تعیین کنند. مطابق با رویکرد کلی مدیریت ریسک، استراتژی‌های پاسخ به ریسک باید از نظر تأثیر ریسک بر اهداف تجاری و همچنین هزینه های کلی که در مقابل مزایا برای هر استراتژی پیشنهادی در نظر گرفته شده، در نظر گرفته شود.

۵- نظارت بر خطر

مرحله آخر بیانگر ماهیت چرخه‌ای مدیریت ریسک است، زیرا، مانند بهبود مستمر، نظارت بر خطرات فرآیندی مداوم است که هرگز به واقع خاتمه نمی‌یابد. محتوای سازمان‌ها و خطرات آنها به طور مداوم در حال تغییر است، بنابراین معقول است که خطرات باید به طور مداوم نیاز به نظارت داشته باشند تا مطمئن شوند که همه چیز تحت کنترل است، و سازمان می‌تواند اطمینان حاصل کند که اهمیت هر ریسک به درستی درک شده است.

اجتناب از خطر

این استراتژی روی برنامه ریزی دقیق متمرکز است تا پتانسیل‌های خطر خاصی بطور کامل (یا حداقل تا حد امکان) از رویه‌های عملیاتی یک تجارت حذف شود. این رویکرد فرض می‌کند که یک رویداد یا عامل خطر درک شده می‌تواند از استراتژی‌های تجارت خارج شود تا از عواقب نتیجه مذکور جلوگیری شود.

کاهش خطر
هنگامی که یک عامل خطر را نمی‌توان به طور کامل حذف کرد، یک شرکت ممکن است سعی کند با ترفند و تعدیل جنبه‌های خاصی از عملیات، اثر آن ریسک را کاهش دهد. تفاوت بین کاهش خطر و جلوگیری از ریسک در این است که کاهش ریسک می‌پذیرد که نمی‌توان از خطر به طور کامل اجتناب کرد.

اشتراک خطر

اشتراک ریسک شامل تقسیم آسیب یک ریسک درک شده، چه بین بخش‌های مختلف یک سازمان، شرکت کنندگان مختلف یک پروژه یا حتی ذینفعان خارجی مانند شرکای تجاری یا سرمایه گذاران است.

حفظ ریسک

حفظ ریسک تصمیمی است که در واقع یک ریسک از دیدگاه تجارت، ارزش خسارت وارده را دارد. این بدان معناست که سازمان باید برای مقابله با احتمال بروز خسارت ناشی از خطر، برنامه‌های کافی را تهیه کند.
یک روش ساده برای تحلیل ریسک از دیدگاه تجارت تصور وضعیتی است که سود مورد انتظار یک شرکت بزرگ‌تر از مبلغ خسارت وارده بر اثر یک ریسک باشد. در این حالت، منطقی است بدانید که چرا یک تجارت ممکن است درجه ای از ریسک را بپذیرد و حفظ کند. بنابراین چه چیزی مدیریت ریسک را بسیار جذاب می‌کند؟ چرا اینقدر افراد علاقمند به استفاده از مدیریت ریسک در مشاغل خود هستند؟


مدیریت ریسک می‌تواند بهره وری را افزایش دهد:

مهم نیست که در چه صنعتی فعالیت می‌کنید و یا چه کالایی یا خدماتی می‌فروشید، همیشه می‌توانید میزان بهره‌وری خود را تا حدی تعیین کنید. بهره‌وری همیشه به روند شما گره خورده است. مدیریت ریسک به شما امکان می دهد که به روند خود نگاه کنید و راه‌هایی را برای بهبود روش انجام کار خود ایجاد کنید.
نه تنها به شما کمک می‌کند تا برای بهره‌وری بالاتر بهینه شوید، بلکه این بدان معناست که محیط کار شما نیز ایمن‌تر خواهد بود زیرا میزان خطر را کاهش داده اید.

مدیریت ریسک هزینه‌های شما را کاهش می‌دهد:

استراتژی‌های مدیریت ریسک فقط به دنبال یافتن یک بیمه نامه جدید نیستند. یک سیستم مدیریت ریسک که به درستی اجرا شده باید در واقع باعث صرفه‌جویی در هزینه شما شود زیرا از نظر منطقی با ضرر و زیان کمتری روبرو خواهید شد. این به معنای کاهش هزینه‌های عملیاتی و در نهایت سود بیشتر است. همه افراد در تمام سطوح سازمان از دیدگاه آینده نگرانه و فرصت طلبانه‌ای که سیستم‌های مدیریت ریسک ارائه می‌دهند، بهره‌مند می‌شوند.

اجرای موفقیت آمیز یک سیستم مدیریت ریسک مزایایی مانند:

_ کمک به همه افراد در سازمان برای درک و آماده‌سازی برای خطر
_ کمک به پیشبرد اهداف واضح و منطبق با استراتژی تجاری سطح بالاتر
_ تقویت تصمیم گیری آگاهانه تر
_ پرورش فرهنگ شرکت در بهبود مستمر
_ بهبود اعتماد بین سازمان و ذینفعان آن
_ تشویق نوآوری و تغییر مثبت در سازمان
_ بهبود میزان موفقیت در سازمان

نحوه خودکارسازی مدیریت ریسک:

تأثیر مثبت سیستم مدیریت ریسک در هنگام ترکیب با اتوماسیون تقویت می‌شود. وقتی در نظر بگیرید که هر چارچوب مدیریت ریسک اساساً یک سری کارهای تکراری است (زیرا مدیریت ریسک با تعریف یک فرآیند تکراری است) فواید اتوماسیون بلافاصله مشخص می‌شود.

با استفاده از اتوماسیون، می‌توانید با از بین بردن کارهای دستی خسته کننده از روند کار، در وقت و هزینه خود صرفه جویی کنید. از این گذشته، شما در واقع خطر ابتلا به فرآیند مدیریت ریسک را کاهش می دهید، چرا که کار دستی کمتر به معنای فضای کمتری برای خطای انسانی است.