مدیریت ریسک چیست؟ تعریف، استانداردها و فرایندها

در ابتدا، به تعریف سریع مدیریت ریسک توسط یک نهاد معتبر بین المللی استاندارد می‌پردازیم:

“… [استفاده سیستماتیک از سیاست‌ها، رویه‌ها برای فعالیت‌های برقراری ارتباط و مشاوره، ایجاد زمینه و ارزیابی، معالجه، نظارت، بررسی، ضبط و گزارش ریسک.”

– ISO 31000 (طبق دستورالعمل‌های مدیریت ریسک)

بنابراین، مدیریت ریسک فقط تأیید کرده است که ریسک اتفاق می‌افتد، و اقدامات لازم را برای اطمینان از داشتن آمادگی کامل برای آن انجام می‌دهد. اساساً، این یک استراتژی مدیریتی مشابه مدیریت فرایندهای کسب و کار یا سایر سیستم‌های مدیریتی مانند کیفیت است.

روش‌های زیادی برای اجرای موفقیت آمیز Risk Management وجود دارد. اهداف هر برنامه مدیریت ریسک، حول محور شناسایی، درک و آماده‌ سازی برای انواع ریسک‌ها، و وقایع احتمالی که از نتیجه یا نتایج مورد انتظار عملیات کسب و کار منحرف می‌شوند، شکل می‌گیرد. به عبارت ساده‌تر، این شامل هر چیزی است که جزئی از روش عملی استاندارد نباشد.

یکی از مهم‌ترین اهداف سیستم‌های مدیریت ریسک موفق، تمرکز بر مدیریت فعال ریسک است. مدیریت ریسک فعال با ماهیت پیشگیرانه فرآیند تعریف می‌شود.

مدیریت ریسک فعال فقط به دنبال کاهش ریسک‌های شناخته‌شده نیست؛ بلکه یک فرآیند آینده‌نگر است که به دنبال اعمال نوعی چارچوب مدیریت کیفیت به منظور کاهش ریسک‌های شناخته شده و ناشناخته می‌باشد، و اطمینان می‌دهد که تا آنجا که ممکن است تلاش زیادی برای جلوگیری از  هر نوع ریسکی انجام می‌گردد.
مدیریت ریسک واکنشی به ناشناخته‌ها است. کسب و کارهایی که شامل مدیریت ریسک فعال نباشند در نبرد مداوم با ریسک‌هایی که هنوز به اندازه کافی خود را برای آن‌ها آماده نکرده‌اند از بین خواهند رفت. مدیریت ریسک فعال برای هر برنامه مدیریت ریسک موفق ضروری است.

مدیریت ریسک سازمانی

مدیریت ریسک سازمانی، نوعی از Risk Management است که در چند اصل مهم دارای تفاوت می‌باشد. در عمل بسیاری از ایده‌ها مشابه هستند؛ تفاوت اصلی در تمرکز ERM و چگونگی تأثیر ریسک بر اهداف و نتایج کسب و کار نهفته است. این شبیه به رویکرد استاندارد ISO 31000 برای رهنمودهای مدیریت ریسک می‌باشد.
مدیریت ریسک سنتی کمتر به ایده‌های سطح بالا مانند اهداف و نتابج کسب و کارها توجه نموده و صرفاً با جستجو در مقادیر عددی محاسبه شده برای احتمال بروز ریسک و شدت آن به دنبال شناسایی، کمیت و رتبه‌بندی ریسک‌ها به ترتیب اولویت عمل می‌کند.
این نقل قول به طور خلاصه ایده‌های اصلی مدیریت ریسک سازمانی را خلاصه می کند:

“فرهنگ، قابلیت‌ها و شیوه‌ها، با تنظیم استراتژی و عملکرد، که سازمان‌ها برای مدیریت ریسک بر ایجاد، حفظ و تحقق ارزش تکیه می‌کنند.” 

باور‌های غلط درباره مدیریت ریسک

با وجود گسترش مدیریت ریسک در رویکردهای مدیریت فرآیند کسب و کار، تمایل به مشاهده Risk Management به عنوان تمرکز بر روی نتیجه و یا پتانسیل منفی یک کسب و کار وجود دارد.
در واقعیت، اینگونه نیست: مدیریت ریسک عملی است که هم به توانایی تشخیص و استفاده بیشتر از نتایج مثبت، و هم فرصت بوجود آمده توسط ریسک بستگی دارد.
این موضوع درست است که ریسک به تعبیری با نتیجه منفی همراه می‌باشد، اما هدف از مدیریت ریسک تشخیص فرصت در چنین شرایطی برای سرمایه گذاری بر روی پتانسیل پنهان یا کمتر آشکارشده است. این ممکن است به معنای انتخاب ریسک کمتر، یا به معنای درک این مسئله باشد که گاهی اوقات ریسک برای دستیابی به عملکرد بهتر ضروری است.
مطابق با اصول بهبود و پیشرفت مستمر، مدیریت ریسک یک فرایند در حال انجام است که به سادگی متوقف نمی‌شود و با یک تحلیل SWOT یا چند جلسه هیئت مدیره آغاز می‌گردد. مدیریت ریسک چارچوبی است که به دنبال پیگیری مداوم، پالایش و بهینه سازی کسب و کار و فرآیندهای آن است. وقتی صحبت از مدیریت ریسک باشد، همیشه جایی برای بهبود وجود دارد.

استانداردهای مدیریت ریسک

تعدادی از استانداردهای Risk Management وجود دارند که برای ادغام بهترین روش‌ها و کمک به ساده‌سازی و بهبود پیاده‌سازی‌های مدیریت ریسک برای کسب و کارها طراحی شده‌اند. عامل دیگری که منجر به استانداردسازی چارچوب‌های مدیریت ریسک می‌شود، افزایش دقت و بررسی است که سازمان‌ها باید با توجه به سیستم‌های مدیریت ریسک خود با آن روبرو شوند.

سیستم‌های مدیریت ریسک اغلب برای اثبات اثربخشی در اجرا و تطبیق با اهداف شرکت، موظفند در برابر حسابرسی‌ها و ارزیابی‌های داخلی سختگیرانه بایستند. استانداردهای مدیریت ریسک تعریف شده توسط ISO 31000 نمونه‌ای از استاندارد‌سازی بین المللی پیشرو در رویکرد مدیریت ریسک است.

ISO به سازمان بین‌المللی استاندارد‌سازی اطلاق می‌شود. بخش ۳۱۰۰۰ به یک مجموعه استاندارد برای مدیریت ریسک اشاره دارد. علاوه بر اینکه اصطلاح چتر برای مجموعه‌ای از استانداردهای مختلف به کار می‌رود، ISO 31000 همچنین به یک استاندارد واحد اشاره می کند، که به طور خاص با عنوان ISO 31000: 2018 شناخته می‌شود.

این استاندارد مجموعه‌ای از دستورالعمل‌های مربوط به مدیریت ریسک را تعریف می‌کند، که توسط سازمان‌هایی با هر اندازه، برای کار در هر زمینه‌ای، جهت اجرای سیستم‌های مدیریت ریسک مؤثر، طراحی شده است. برخلاف بسیاری از استانداردهای دیگر ISO مانند ۹۰۰۱ برای مدیریت کیفیت یا ۱۴۰۰۱ برای مدیریت محیط زیست، ISO 31000 مجموعه‌ای از دستورالعمل‌ها است. این بدان معناست که شما نمی‌توانید مجوز ISO 31000 را به همان روشی که برای سایر استانداردها با شرایط خاص اقدام نمودید دریافت کنید.

با این وجود، ISO 31000 یک چارچوب پیشرو برای سازمان‌هایی است که به دنبال شروع مدیریت ریسک هستند. مدیریت ریسک را می‌توان در این مراحل بیان کرد:

۱- اهداف مدیریت ریسک
۲- شناسایی ریسک
۳- ارزیابی ریسک
۴- پاسخ ریسک
۵- نظارت بر ریسک

۱- تنظیم و ترسیم اهداف مدیریت ریسک

Risk Management با تعیین اهداف واضح و اطمینان از اینکه این اهداف با استراتژی‌های کسب و کار مطابقت دارند، آغاز می‌شود. به هر حال مدیریت ریسک چیست اگر نتواند به کسب و کارتان در رسیدن به اهدافش کمک کند؟

تمرکز بر مدیریت ریسک به تنهایی به شما در رسیدن به اهداف کسب و کار کمک نمی‌کند. در عوض، نتایج یک سیستم مدیریت ریسک که به خوبی اجرا شده برای کمک به شما در درک چگونگی دستیابی به نتایجی فراتر از اهداف کسب و کار موجود، ارزشمند خواهد بود.
مدیریت ریسک می‌تواند به کسب و کارها کمک کند تا اهداف خود را با یک بیانیه ماموریت به خوبی تعریف‌شده، دید رو به جلو و ارزش‌ها و فرهنگ‌های اصلی شرکت همسو کنند.

۲- شناسایی و مستندسازی ریسک‌ها

در واقع ریسک هر چیزی است که می‌تواند کسب و کار شما را در رسیدن به اهداف متوقف کند. این شامل نگرانی‌های بزرگ‌تر، به شدت پرخطر، و حتی ریسک‌های کوچک به ظاهر ناچیز در سطح فرایند یا پروژه‌های فردی است. در هر صورت، همه ریسک‌ها باید به طور واضح و دقیق شناسایی و ثبت شوند.

۳- ارزیابی ریسک‌های مستندسازی شده

پس از ثبت ریسک‌ها، آن‌ها باید برای تعیین شدت و اولویت ارزیابی شوند. این امر برای درک تأثیر ریسک بر اهداف کسب و کارها و همچنین اینکه احتمال بروز ریسک‌ها در چه مواردی بیشتر است، انجام می‌گردد.

پیش‌بینی برخی از ریسک‌ها، مانند بلایای طبیعی یا ناآرامی‌های سیاسی، دشوار یا غیرممکن است. اما این واقعیت را تغییر نمی‌دهد که ارزیابی ریسک همیشه باید توسط تمام بخش‌های یک سازمان به بهترین شکل ممکن انجام شود. ارزیابی ریسک همچنین برای اطمینان از اینکه ریسک‌های ثبت شده در واقع معتبر هستند، مهم است. این زمانی است که می‌توان به بررسی دقیق پرداخت و روش‌های آنالیز کیفی و پیش‌بینی می‌توانند برای درک بهتر ریسک‌های جدی‌تر مورد استفاده قرار گیرند.

به عنوان مثال، در مرحله ارزیابی ریسک، ممکن است از یک ماتریس برای اولویت بندی موارد مهم استفاده شود. هدف از تجزیه و تحلیل ریسک کمک به مدیریت ارشد است تا درک کند که باید بیشترین توجه خود را به چه مواردی معطوف نماید.

۴- پاسخ به ریسک

این مرحله که به عنوان معالجه ریسک نیز شناخته شده است، بر پاسخگویی به ریسک‌هایی با بالاترین اولویت متمرکز است. رویکردهای اصلی برای پاسخ به ریسک عبارتند از:

• اجتناب
• پذیرش (یا حفظ)
• کاهش و یا کاهش انتقال (یا اشتراک گذاری)

این وظیفه مدیر است که تصمیم بگیرد کدام ریسک‌ها بالاترین اولویت را دارند و باید یک استراتژی مناسب برای پاسخ به ریسک تعیین کند. مطابق با رویکرد کلی Risk Management، استراتژی‌های پاسخ به ریسک باید از نظر تأثیر ریسک بر اهداف کسب و کار و همچنین هزینه‌های کلی و مزایای هر استراتژی پیشنهادی، در نظر گرفته شود.

۵- نظارت بر ریسک

مرحله آخر بیانگر ماهیت چرخه‌ای Risk Management است، زیرا مانند بهبود مستمر، نظارت بر ریسک‌ها فرآیندی مداوم است که هرگز به واقع خاتمه نمی‌یابد. محتوای سازمان‌ها و ریسک‌های آن‌ها به طور مداوم در حال تغییر است، بنابراین معقول است که ریسک‌ها به طور مداوم نیاز به نظارت داشته باشند تا اطمینان حاصل گردد که همه چیز تحت کنترل است، و سازمان می‌تواند اطمینان حاصل کند که اهمیت هر ریسک به درستی درک شده است.

اجتناب از ریسک

این استراتژی روی برنامه‌ریزی دقیق متمرکز است تا پتانسیل‌های ریسک خاصی بطور کامل (یا حداقل تا حد امکان) از رویه‌های عملیاتی کسب و کار حذف شود. این رویکرد فرض می‌کند که یک رویداد یا عامل ریسک درک‌شده می‌تواند از استراتژی‌های کسب و کار خارج شود تا از عواقب نتیجه مذکور جلوگیری گردد.

کاهش ریسک

هنگامی که یک عامل ریسک را نمی‌توان به طور کامل حذف کرد، شرکت ممکن است سعی کند با ترفند و تعدیل جنبه‌های خاصی از عملیات، اثر آن ریسک را کاهش دهد. تفاوت بین کاهش ریسک و جلوگیری از آن در این است که کاهش ریسک می‌پذیرد که نمی‌توان از ریسک به طور کامل اجتناب کرد.

اشتراک ریسک

اشتراک ریسک شامل تقسیم آسیب یک ریسک درک شده، چه بین بخش‌های مختلف یک سازمان، شرکت‌کنندگان مختلف یک پروژه یا حتی ذینفعان خارجی مانند شرکای کسب و کار یا سرمایه‌گذاران است.

حفظ ریسک

حفظ ریسک تصمیمی است که در واقع یک ریسک از دیدگاه کسب و کار، ارزش خسارت وارده را دارد. این بدان معناست که سازمان باید برای مقابله با احتمال بروز خسارت ناشی از ریسک، برنامه‌های کافی را تهیه کند.

یک روش ساده برای تحلیل ریسک از دیدگاه کسب و کار، تصور وضعیتی است که سود مورد انتظار شرکت بزرگ‌تر از مبلغ خسارت وارده بر اثر ریسک باشد. در این حالت، منطقی است بدانید که چرا یک کسب و کار ممکن است درجه ای از ریسک را بپذیرد و حفظ کند. بنابراین چه چیزی مدیریت ریسک را بسیار جذاب می‌سازد؟ چرا اینقدر افراد علاقمند به استفاده از مدیریت ریسک در کسب و کارهای خود هستند؟

Risk Management چه فایده‌ای برای کسب و کار دارد؟

مدیریت ریسک می‌تواند بهره وری را افزایش دهد

مهم نیست که در چه صنعتی فعالیت می‌کنید و یا چه کالایی یا خدماتی می‌فروشید، همیشه می‌توانید میزان بهره‌وری خود را تا حدی تعیین نمایید. بهره‌وری همیشه به روندها گره خورده است. Risk Management به شما امکان می‌دهد که به روند خود نگاه کنید و راه‌هایی را برای بهبود روش انجام کار ایجاد نمایید.
این نه تنها به شما کمک می‌کند تا برای بهره‌وری بالاتر بهینه شوید، بلکه این بدان معناست که محیط کار شما نیز ایمن‌تر خواهد بود زیرا میزان ریسک را کاهش داده‌اید.

مدیریت ریسک هزینه‌های شما را کاهش می‌دهد

استراتژی‌های Risk Management فقط به دنبال یافتن یک بیمه‌نامه جدید نیستند. یک سیستم مدیریت ریسک که به درستی اجرا شده باید در واقع باعث صرفه‌جویی در هزینه شود زیرا از نظر منطقی با ضرر و زیان کمتری روبرو خواهید شد. این به معنای کاهش هزینه‌های عملیاتی و در نهایت سود بیشتر است. همه افراد در تمام سطوح سازمان از دیدگاه آینده‌نگرانه و فرصت‌طلبانه‌ای که سیستم‌های مدیریت ریسک ارائه می‌دهند، بهره‌مند می‌شوند.

اجرای موفقیت‌آمیز یک سیستم مدیریت ریسک مزایایی مانند موارد زیر را به دنبال خواهد داشت: 

• کمک به همه افراد در سازمان برای درک و آماده‌سازی برای ریسک
• کمک به پیشبرد اهداف واضح و منطبق با استراتژی کسب و کار در سطح بالاتر
• تقویت تصمیم‌گیری آگاهانه‌تر
• پرورش فرهنگ بهبود مستمر
• بهبود اعتماد بین سازمان و ذینفعان آن
• تشویق نوآوری و تغییر مثبت در سازمان
• بهبود میزان موفقیت در سازمان

نحوه خودکارسازی مدیریت ریسک

تأثیر مثبت سیستم Risk Management در هنگام ترکیب با اتوماسیون تقویت می‌شود. وقتی در نظر بگیرید که هر چارچوب مدیریت ریسک اساساً یک سری کارهای تکراری است (زیرا مدیریت ریسک یک فرآیند تکراری می‌باشد) فواید اتوماسیون بلافاصله مشخص می‌شود.

با استفاده از اتوماسیون، می‌توانید با حذف کردن کارهای دستی خسته‌کننده از روند کار، در وقت و هزینه خود صرفه‌جویی کنید. از این گذشته، شما در واقع خطر بروز خطا در فرآیند مدیریت ریسک را کاهش می‌دهید، چرا که کار دستی کمتر به معنای فضای کمتر برای خطای انسانی است.

نحوه ایجاد و پیاده‌سازی برنامه مدیریت ریسک

برنامه مدیریت ریسک نحوه مدیریت ریسک را تشریح می‌کند. عناصری مانند رویکرد ریسک سازمان، نقش‌ها و مسئولیت‌های تیم‌های مدیریت ریسک، منابعی که برای مدیریت ریسک استفاده می‌کند، خط‌ مشی‌ها و رویه‌ها را مشخص می‌کند.

فرآیند هفت مرحله‌ای ISO 31000 یک راهنمای مفید است که می‌توانید دنبال کنید. در اینجا خلاصه‌ای از اجزای آن آمده است:

ارتباط و مشاوره: از آنجایی که افزایش آگاهی از ریسک بخشی ضروری از Risk Management است، رهبران ریسک باید یک برنامه ارتباطی برای انتقال سیاست‌ها و رویه‌های ریسک سازمان به کارکنان و طرف‌های مربوطه ایجاد کنند. این مرحله، لحن را برای تصمیم‌گیری‌های ریسک در هر سطح تعیین می‌کند. مخاطب شامل هرکسی است که علاقه‌مند به استفاده سازمان از ریسک‌های مثبت و به حداقل رساندن ریسک منفی باشد.

ایجاد زمینه: این مرحله مستلزم تعریف ریسک‌پذیری و تحمل ریسک منحصر به فرد سازمان است – یعنی میزان ریسک می‌تواند با ریسک‌پذیری متفاوت باشد. عواملی که در اینجا باید در نظر گرفته شوند عبارتند از اهداف کسب و کار، فرهنگ شرکت، قوانین نظارتی، محیط سیاسی و غیره.

شناسایی ریسک: این مرحله سناریوهای ریسکی را تعریف می‌کند که می‌تواند تأثیر مثبت یا منفی بر توانایی سازمان برای انجام معاملات داشته باشد. همانطور که در بالا ذکر شد، فهرست حاصل باید در یک رجیستر یا گزارش ریسک ثبت شده و به روز نگه داشته شود.

تحلیل ریسک: احتمال و تأثیر هر ریسک برای کمک به مرتب‌سازی ریسک‌ها تجزیه و تحلیل می‌شود. تهیه نقشه حرارتی ریسک می‌تواند در اینجا مفید باشد، زیرا نمایشی بصری از ماهیت و تأثیر ریسک‌های شرکت ارائه می‌دهد. برای مثال، غیبت یک کارمند به علت بیماری، یک رویداد با احتمال زیاد است که تأثیر کمی بر اکثر شرکت‌ها دارد یا هیچ تأثیری ندارد. زلزله، بسته به موقعیت مکانی، نمونه‌ای از ریسک کم‌احتمال با تاثیر زیاد است.

ارزیابی ریسک: اینجا جایی است که سازمان‌ها نحوه واکنش به ریسک‌هایی را که با آن‌ها روبرو هستند تعیین می‌کنند. تکنیک‌ها شامل یک یا چند مورد از موارد زیر است:

• اجتناب از ریسک: سازمان به دنبال حذف، کناره‌گیری یا عدم دخالت در ریسک بالقوه است.
• کاهش ریسک: سازمان اقداماتی را برای محدود کردن یا بهینه‌سازی ریسک انجام می‌دهد.
• اشتراک‌گذاری یا انتقال ریسک: سازمان با شخص ثالث (مثلاً یک بیمه‌گر) قرارداد می‌بندد تا تمام یا برخی از هزینه‌های ریسکی را که ممکن است رخ دهد، متقبل شود.
• پذیرش ریسک: ریسک در محدوده ریسک‌پذیری و تحمل سازمان قرار می‌گیرد و بدون اقدامی پذیرفته می‌شود.

درمان خطر: این مرحله شامل اعمال کنترل‌ها و فرآیندهای مورد توافق و تأیید عملکرد آن‌ها طبق برنامه است.

نظارت و بررسی: آیا کنترل‌ها همانطور که در نظر گرفته‌شده کار می‌کنند؟ آیا می‌توان آن‌ها را بهبود بخشید؟ فعالیت‌های نظارتی باید شاخص‌های کلیدی عملکرد (KPI) را اندازه‌گیری کنند و به دنبال شاخص‌های ریسک کلیدی (KRIs) باشند که ممکن است باعث تغییر در استراتژی شوند.

جمع‌بندی

استانداردهای Risk Management مجموعه خاصی از فرآیندهای استراتژیک را تعیین می‌کنند که با اهداف یک سازمان شروع می‌شود و قصد دارد ریسک‌ها را شناسایی کرده و از طریق بهترین عملکرد، به کاهش آن‌ها بیانجامد. استانداردها اغلب توسط آژانس‌هایی طراحی می‌شوند که با هم کار می‌کنند تا اهداف مشترک را رواج دهند تا به تضمین فرآیندهای مدیریت ریسک با کیفیت بالا کمک کنند. به عنوان مثال، استاندارد ISO 31000 در مدیریت ریسک یک استاندارد بین‌المللی است که اصول و دستورالعمل‌هایی را برای مدیریت موثر ریسک ارائه می‌دهد.