مدیریت ریسک یا Risk Management فرایند شناسایی، ارزیابی و کنترل ریسکهای مالی، قانونی، استراتژیک و امنیتی است که مولفههای مختلف سازمان و بخصوص درآمد آن را تهدید میکنند. این ریسکها یا تهدیدها از منابع مختلفی چون عدمقطعیت در وضعیت اقتصاد، بدهیهای قانونی، اشتباهات مدیریتی و استراتژیک، حوادث و بالایای طبیعی و غیره نشاءت میگیرند.
اگر رویدادی پیشبینی نشده اجزاء سازمان شما را تحت تأثیر قرار دهد، ممکن است هزینههای مقطعی و ناچیزی را بر سازمان اعمال کند. اما در سناریوهای بدتر، رویدادهای ارزیابینشده پتانسیل ویرانگری دارند و میتوانند یک سازمان را تا ورشکستگی سوق دهند.
برای کاهش، رصد و کنترل اینگونه ریسکها و افزایش تأثیر رویدادهای مثبت، شرکت باید منابع قابلتوجهی را به مدیریت ریسک اختصاص دهد. بهویژه، یک رویکرد منسجم، سیستماتیک و یکپارچه در مدیریت ریسک، امکان شناسایی، مدیریت و کاهش خطرات را نتیجه میدهد.
فرایند مدیریت ریسک (Risk Management Process)
در سطح گسترده آن، مدیریت ریسک یک سیستم شامل افراد، فرایندها و تکنولوژیهایی است که سازمان را قادر میسازد که مطابق با ارزشها و ریسکها، سناریوسازی و هدفگذاری کند. یک مدیریت ریسک مناسب باید تمام جنبههای حقوقی، قراردادی، داخلی و خارجی، اجتماعی، اخلاقی، مالی و فناوری را مدنظر قرار دهد.
هر کسبوکار با تمرکز بر ریسک و تخصیص منابع لازم برای کنترل و کاهش آن، از خود در برابر عدمقطعیت موجود در اتمسفر حرفهای کسبوکار محافظت میکند. درنهایت، هدف نهایی از مدیریت ریسک، کاهش هزینهها همزمان با افزایش احتمال تداوم و پیشرفت سازمان است.
سه عنوان زیر، مهمترین مراحل از هر فرایند مدیریت ریسک هستند:
- تشخیص ریسک
- تجزیهوتحلیل و ارزیابی ریسک
- کاهش و نظارت بر ریسک
تشخیص ریسک
منظور از تشخیص ریسک فرایندی است که در آن سازمان، عملیات و نیروی کار آن بررسی و ارزیابی میشوند تا تهدیدات موجود در ساختارهای کلی و زیرمجموعهای نمایان گردند. چنین ارزیابیای باید به سطوح مختلف مدیریتی، عملیاتی، درون و برون سازمانی تقسیمبندی شود.
برای مثال، اگر هدف تشخیص ریسکهای متناظر با فناوری اطلاعات است، باید تهدیدات امنیت سایبری مانند هکشدن سایتها و پایگاهها داده سازمان، تخریبشدن سرورها و مواردی از این قبلی مورد بررسی قرار گیرند. همچنین، ریسکها باید به کلاسهایی با خواص، کانونها و تأثیرات کموبیش مشابه تقسیمبندی شوند تا مدیریت و تخصیص منبع به آنها آسان گردد.
روشهای مختلفی برای تشخیص ریسک وجود دارند، اما ۳ نوع زیر جزء اصلیترین مسیرها در تشخیص و ارزیابی ریسکاند:
- طوفان ذهنی: در این شیوه، مدیرانِ کنترل ریسک سازمان، از سهامداران و مدیران قسمتهای مختلف میخواهند که هرآنچه درباره تهدیدات ممکن به ذهنشان خطور میکند را بیان و درصورت ممکن توضیح دهند.
- ذهنیت بدبینانه: مدیریت ریسک معمولا با بدترین حالتها، عواقب آنها و برنامهریزی برای کنترل شرایط وخیم همراه است. ذهنیت بدبینانه در پرداختن به تهدیدات به مدیر کمک میکند که بدترین سناریوها را مدنظر قرار دهد و متناظر با آنها بهترین تصمیم را بگیرد.
- بازخوردگیری از کارکنان: دیدگاه مدیران و کارکنان از ریسک میتواند دو دنیای متفاوت را در بر بگیرد. دریافت بازخورد از کارکنان مطمئنا چالشهایی را مطرح میکند که هرگز به ذهن یک مدیر بالادستی خطور نخواهند کرد، زیرا کارکنان با فرایندهای اجرایی آشنایی بیشتری دارند و ریسک از دیدگاه آنها معنی متفاوتی خواهد داشت.
تجزیهوتحلیل و ارزیابی ریسک
تجزیهوتحلیل ریسک به معنی تعیین احتمال وقوع یک یا گروهی از رویدادها، پتانسیل و عواقب ناشی از هر رویداد است. در ارزیابی ریسک باید مقیاس تأثیر و تخریب هر ریسک مشخص گردد و ردهبندی معنیداری از ریسکها، متناظر با تأثیر و زمان ممکن در وقوع آنها، ارائه شود.
برای مثال، برای موسسات حقوقی مانند بانکها و بیمهها، تعیین احتمال ورشکستگی یا ضررهای کلان متناظر با ورود به یک فعالیت اقتصادی جدید، از مهمترین فعالیتهای گروه ارزیابی ریسک سازماناند. بخصوص، تعیین این احتمال، ترکیبی از دانش آماری و تحلیل اقتصادی موقعیت را میطلبد.
کاهش و نظارت بر ریسک
منظور از کاهش ریسک، استفاده از ابزارهای اقتصادی، نیروی کار و مدیریت سازمان، با هدف تقلیل احتمال وقوع یا تأثیر یک رویداد بر شرایط تثبیتشده سازمان است. بهویژه، پس از تشخیص ریسک و اقدام در کاهش آن، تیم مدیریت ریسک باید چهارچوبی برای نظارت بر ریسک و روند توسعه یا تحدید آن داشته باشد.
مدیریت ریسک یک فعالیت مستمر است و ارزیابی و نظارت بر آن نیز باید یک فعالیت دائم باشد. آنچه یکبار ارزیابی میگردد، تهدید آن مورد بررسی قرار میگیرد و منابع سازمان به آن اختصاص مییابد، نباید در این مرحله رها شود و تا لحظه اطمینان از حذف و عدم بازگشت تهدید، نظارت شود.
استراتژیهای اصلی در پاسخ به ریسک
بهطور کلی، ۵ استراتژی اصلی در پاسخ به ریسک وجود دارند. فرایند کلی با بررسی اولیه و امکان اجتناب از ریسک شروع میشود و سپس به سه رویکرد کانونی در برخورد با ریسک میانجامد (انتقال، گسترش و کاهش ریسک). نکته اصلی، ترکیب این استراتژیها و انسجام کلی در اتخاذ آنهاست.
اجتناب از ریسک
اجتناب از ریسک یک استراتژی برای کاهش حداکثری برخورد با ریسکهای ممکن به وسیله عدم مشارکت سازمان و اجزای آن در فعالیتهایی است که با احتمال زیاد بر سازمان تأثیرات منفی میگذارند. عدم سرمایهگذاری در پروژههای پرخطر، عدم همکاری با سازمانهای حادثهخیز و ممانعت از مشارکت کارکنان در فعالیتهای خطرناک آنلاین از جمله رویکردهای اجتناب از ریسک هستند.
کاهش ریسک
در این استراتژی، هدف حذف ریسک نیست، بلکه تلاش برای به حداقل رساندن زیان متناظر با آن است. در این حالت، شرکت ریسک را میپذیرید و بر روی مهار ضررهای آن و جلوگیری از گسترش آنها در اجزای خود تمرکز میکند. نمونهای از این راهکار، سیاست شرکتهای بیمه در قبال بیمههای سلامت است.
اشتراک ریسک
وقتی ریسک را به اشتراک میگذارید، قدرت تفکری و اجرایی بیشتری در کنترل آن خواهید داشت و تأثیر و زیان کمتری از آن خواهید دید. برای مثال، سازمان برای ورود به پروژههای اقتصادی یا اجرایی بزرگ میتواند با شرکتهای موجود در اکوسیستم خود وارد همکاری شود و از این طریق، ریسک موجود را به اشتراک بگذارد.
اشتراک ریسک یکی از اصلیترین رویکردهاست که توسط شرکتها و از دریچه بازار سهام اتخاذ میشود. اوراق قرضه بیمهای مانند CAT BONDها از شاخصترین ابزارهای اشتراک ریسک در بیمه هستند که قابلیتهای بالایی در اشتراک و انتقال ریسک دارند.
انتقال ریسک
در این نوع کنترل، ریسک موجود به شخص یا سازمان ثالثی منتقل میشود و در قبال آن هزینه یا خدمتی به او ارائه میگردد. نمونهای از این نوع کنترل ریسک، دریافت خدمات بیمههای آتشسوزی توسط شرکتهای تولیدی و انتقال ریسک موجود به شرکتهای بیمه است.
پذیرش و حفظ ریسک
پس از انجام تمام اقدامات در اجتناب، کاهش، انتقال و اشتراک ریسک، بخشی از ریسکها باقی میمانند که باید تنها توسط خود سازمان مدیریت شود. این ریسک باقیمانده به دلایل مختلفی مانند اختصاصی بودن، سودآور بودن و شرایط حقوقی و قانونی، قابل تخصیص نیستند. برای مثال، شرکتهای بیمه همیشه بخشی از ریسک قراردادهای خود را به بیمههای اتکایی واگذار میکنند و بخش قابل مدیریت آن را برای خود نگه میدارند.
Risk Management Standards
در دنیای مدیریت و استنتاج استراتژیک، مجموعهای از استانداردهای مدیریت ریسک وجود دارند که آنها را تحت عنوان Risk Management Standards میشناسیم. این فرایندهای استراتژیک با اهداف سازمانی شروع و با درنظر گرفتن محدودیتهای موجود، به دنبال تعریف بهترین فعالیتها در مدیریت ریسک در سازمانهای مختلفاند.
این استانداردها معمولا توسط یک نهاد بینالمللی و با مشارکت شرکتهای فعال و پیشرو در صنایع مختلف طراحی میشوند. برای مثال، ISO 31000 یک استاندارد بینالمللی در مدیریت ریسک است که اصول و چهارچوبی مشخص و قابل تعمیمی را برای مدیریت ریسک در ساختارهای مختلف تعریف میکند.
اگرچه چهارچوب این استانداردها بسیار روشن و هدف آنها بهینهسازی سیستمهاست، اما اتخاذ و اجرای آنها سرشار از چالش برای سازمانهاست. در اولین قدم، انطباق ساختار، فرایندها و قوانین اجرایی سازمان با این استانداردها کار آسانی نیست و به تغییر، تعمیم و انعطاف پذیری آن بستگی دارد.
درنهایت، تلفیقی از استانداردهای بینالمللی و تحقیقشده، در کنار استانداردهای بومی و مختص اتمسفر فعالیت سازمان است که به موفقیت کلی در مدیریت ریسک سازمان میانجامد. همچنین، بلوغ اقتصادی و مدیریتی اصلیترین جایگاه را در اتخاذ و تولید این استانداردها در تشخیص،، ارزیابی، کنترل و مدیریت ریسک دارند.
