مدیریت ریسک یا Risk Management چیست؟

مدیریت ریسک یا Risk Management فرایند شناسایی، ارزیابی و کنترل ریسک‌های مالی، قانونی، استراتژیک و امنیتی است که مولفه‌های مختلف سازمان و بخصوص درآمد آن را تهدید می‌کنند. این ریسک‌ها یا تهدیدها از منابع مختلفی چون عدم‌قطعیت در وضعیت اقتصاد، بدهی‌های قانونی، اشتباهات مدیریتی و استراتژیک، حوادث و بالایای طبیعی و غیره نشاءت می‌گیرند.

اگر رویدادی پیش‌بینی نشده اجزاء سازمان شما را تحت تأثیر قرار دهد، ممکن است هزینه‌های مقطعی و ناچیزی را بر سازمان اعمال کند. اما در سناریوهای بدتر، رویدادهای ارزیابی‌نشده پتانسیل ویرانگری دارند و می‌توانند یک سازمان را تا ورشکستگی سوق دهند.

برای کاهش، رصد و کنترل اینگونه ریسک‌ها و افزایش تأثیر رویدادهای مثبت، شرکت باید منابع قابل‌توجهی را به مدیریت ریسک اختصاص دهد. به‌ویژه، یک رویکرد منسجم، سیستماتیک و یکپارچه در مدیریت ریسک، امکان شناسایی، مدیریت و کاهش خطرات را نتیجه می‌دهد.

فرایند مدیریت ریسک  (Risk Management Process)

مدیریت ریسک
مدیریت ریسک

در سطح گسترده آن، مدیریت ریسک یک سیستم شامل افراد، فرایندها و تکنولوژی‌هایی است که سازمان را قادر می‌سازد که مطابق با ارزش‌ها و ریسک‌ها، سناریوسازی و هدف‌گذاری کند. یک مدیریت ریسک مناسب  باید تمام جنبه‌های حقوقی، قراردادی، داخلی و خارجی، اجتماعی، اخلاقی، مالی و فناوری را مدنظر قرار دهد.

هر کسب‌وکار با تمرکز بر ریسک و تخصیص منابع لازم برای کنترل و کاهش آن، از خود در برابر عدم‌قطعیت موجود در اتمسفر حرفه‌ای کسب‌وکار محافظت می‌کند. درنهایت، هدف نهایی از مدیریت ریسک، کاهش هزینه‌ها هم‌زمان با افزایش احتمال تداوم و پیشرفت سازمان است.

سه عنوان زیر، مهم‌ترین مراحل از هر فرایند مدیریت ریسک‌ هستند:

  • تشخیص ریسک
  • تجزیه‌وتحلیل و ارزیابی ریسک
  • کاهش و نظارت بر ریسک

تشخیص ریسک‌

منظور از تشخیص ریسک فرایندی است که در آن سازمان، عملیات و نیروی کار آن بررسی و ارزیابی می‌شوند تا تهدیدات موجود در ساختارهای کلی و زیرمجموعه‌ای نمایان گردند. چنین ارزیابی‌ای باید به سطوح مختلف مدیریتی، عملیاتی، درون و برون سازمانی تقسیم‌بندی شود.

برای مثال، اگر هدف تشخیص ریسک‌های متناظر با فناوری اطلاعات است، باید تهدیدات امنیت سایبری مانند هک‌شدن سایت‌ها و پایگاه‌ها داده سازمان، تخریب‌شدن سرورها و مواردی از این قبلی مورد بررسی قرار گیرند. هم‌چنین، ریسک‌ها باید به کلاس‌هایی با خواص، کانون‌ها و تأثیرات کم‌وبیش مشابه تقسیم‌بندی شوند تا مدیریت و تخصیص منبع به آن‌ها آسان گردد.

روش‌های مختلفی برای تشخیص ریسک وجود دارند، اما ۳ نوع زیر جزء اصلی‌ترین مسیرها در تشخیص و ارزیابی ریسک‌اند:

risk management in practice
risk management in practice
  • طوفان ذهنی: در این شیوه، مدیرانِ کنترل ریسک سازمان، از سهامداران و مدیران قسمت‌های مختلف می‌خواهند که هرآنچه درباره تهدیدات ممکن به ذهن‌شان خطور می‌کند را بیان و درصورت ممکن توضیح دهند.
  • ذهنیت بدبینانه: مدیریت ریسک معمولا با بدترین حالت‌ها، عواقب آن‌ها و برنامه‌ریزی برای کنترل شرایط وخیم همراه است. ذهنیت بدبینانه در پرداختن به تهدیدات به مدیر کمک می‌کند که بدترین سناریوها را مدنظر قرار دهد و متناظر با آن‌ها بهترین تصمیم را بگیرد.
  • بازخوردگیری از کارکنان: دیدگاه مدیران و کارکنان از ریسک می‌تواند دو دنیای متفاوت را در بر بگیرد. دریافت بازخورد از کارکنان مطمئنا چالش‌هایی را مطرح می‌کند که هرگز به ذهن یک مدیر بالادستی خطور نخواهند کرد، زیرا کارکنان با فرایندهای اجرایی آشنایی بیشتری دارند و ریسک از دیدگاه آن‌ها معنی متفاوتی خواهد داشت.

تجزیه‌وتحلیل و ارزیابی ریسک

تجزیه‌وتحلیل ریسک به معنی تعیین احتمال وقوع یک یا گروهی از رویدادها، پتانسیل و عواقب ناشی از هر رویداد است. در ارزیابی ریسک باید مقیاس تأثیر و تخریب هر ریسک مشخص گردد و رده‌بندی معنی‌داری از ریسک‌ها، متناظر با تأثیر و زمان ممکن در وقوع آن‌ها، ارائه شود.

برای مثال، برای موسسات حقوقی مانند بانک‌ها و بیمه‌ها، تعیین احتمال ورشکستگی یا ضررهای کلان متناظر با ورود به یک فعالیت اقتصادی جدید، از مهم‌ترین فعالیت‌های گروه ارزیابی ریسک سازمان‌اند. بخصوص، تعیین این احتمال، ترکیبی از دانش آماری و تحلیل اقتصادی موقعیت را می‌طلبد.

کاهش و نظارت بر ریسک

منظور از کاهش ریسک، استفاده از ابزارهای اقتصادی، نیروی کار و مدیریت سازمان، با هدف تقلیل احتمال وقوع یا تأثیر یک رویداد بر شرایط تثبیت‌شده سازمان است. به‌ویژه، پس از تشخیص ریسک و اقدام در کاهش آن، تیم مدیریت ریسک باید چهارچوبی برای نظارت بر ریسک و روند توسعه یا تحدید آن داشته باشد.

مدیریت ریسک یک فعالیت مستمر است و ارزیابی و نظارت بر آن نیز باید یک فعالیت دائم باشد. آنچه یکبار ارزیابی می‌گردد، تهدید آن مورد بررسی قرار می‌گیرد و منابع سازمان به آن اختصاص می‌یابد، نباید در این مرحله رها شود و تا لحظه اطمینان از حذف و عدم ‌بازگشت تهدید، نظارت شود.

استراتژی‌های اصلی در پاسخ به ریسک

به‌طور کلی، ۵ استراتژی اصلی در پاسخ به ریسک وجود دارند. فرایند کلی با بررسی اولیه و امکان اجتناب از ریسک شروع می‌شود و سپس به سه رویکرد کانونی در برخورد با ریسک می‌انجامد (انتقال، گسترش و کاهش ریسک). نکته اصلی، ترکیب این استراتژی‌ها و انسجام کلی در اتخاذ آن‌هاست.

اجتناب از ریسک

اجتناب از ریسک یک استراتژی برای کاهش حداکثری برخورد با ریسک‌های ممکن به‌ وسیله عدم مشارکت سازمان و اجزای آن در فعالیت‌هایی است که با احتمال زیاد بر سازمان تأثیرات منفی می‌گذارند. عدم سرمایه‌گذاری در پروژه‌های پرخطر، عدم‌ همکاری با سازمان‌های حادثه‌خیز و ممانعت از مشارکت کارکنان در فعالیت‌های خطرناک آنلاین از جمله رویکردهای اجتناب از ریسک هستند.

کاهش ریسک

در این استراتژی، هدف حذف ریسک نیست، بلکه تلاش برای به حداقل رساندن زیان متناظر با آن است. در این حالت،  شرکت ریسک را می‌پذیرید و بر روی مهار ضررهای آن و جلوگیری از گسترش آن‌ها در اجزای خود تمرکز می‌کند. نمونه‌ای از این راهکار، سیاست شرکت‌های بیمه در قبال بیمه‌های سلامت است.

اشتراک ریسک

وقتی ریسک را به اشتراک می‌گذارید، قدرت تفکری و اجرایی بیشتری در کنترل آن خواهید داشت و تأثیر و زیان کمتری از آن خواهید دید. برای مثال، سازمان برای ورود به پروژه‌های اقتصادی یا اجرایی بزرگ می‌تواند با شرکت‌های موجود در اکوسیستم خود وارد همکاری شود و از این طریق، ریسک موجود را به اشتراک بگذارد.

اشتراک ریسک یکی از اصلی‌ترین رویکردهاست که توسط شرکت‌ها و از دریچه بازار سهام اتخاذ می‌شود. اوراق قرضه بیمه‌ای مانند CAT BONDها از شاخص‌ترین ابزارهای اشتراک ریسک در بیمه‌ هستند که قابلیت‌های بالایی در اشتراک و انتقال ریسک دارند.

انتقال ریسک

در این نوع کنترل، ریسک موجود به شخص یا سازمان ثالثی منتقل می‌شود و در قبال آن هزینه یا خدمتی به او ارائه می‌گردد. نمونه‌ای از این نوع کنترل ریسک، دریافت خدمات بیمه‌های آتش‌سوزی توسط شرکت‌های تولیدی و انتقال ریسک موجود به شرکت‌های بیمه است.

پذیرش و حفظ ریسک

پس از انجام تمام اقدامات در اجتناب، کاهش، انتقال و اشتراک ریسک، بخشی از ریسک‌ها باقی می‌مانند که باید تنها توسط خود سازمان مدیریت شود. این ریسک باقیمانده به دلایل مختلفی مانند اختصاصی بودن، سودآور بودن و شرایط حقوقی و قانونی، قابل تخصیص نیستند. برای مثال، شرکت‌های بیمه همیشه بخشی از ریسک قراردادهای خود را به بیمه‌های اتکایی واگذار می‌کنند و بخش قابل مدیریت آن را برای خود نگه می‌دارند.

Risk Management Standards

iso 31000
iso 31000

در دنیای مدیریت و استنتاج استراتژیک، مجموعه‌ای از استانداردهای مدیریت ریسک وجود دارند که آن‌ها را تحت عنوان Risk Management Standards می‌شناسیم. این فرایندهای استراتژیک با اهداف سازمانی شروع و با درنظر گرفتن محدودیت‌های موجود، به دنبال تعریف بهترین فعالیت‌ها در مدیریت ریسک در سازمان‌های مختلف‌اند.

این استانداردها معمولا توسط یک نهاد بین‌المللی و با مشارکت شرکت‌های فعال و پیشرو در صنایع مختلف طراحی می‌شوند. برای مثال، ISO 31000 یک استاندارد بین‌المللی در مدیریت ریسک است که اصول و چهارچوبی مشخص و قابل تعمیمی را برای مدیریت ریسک در ساختارهای مختلف تعریف می‌کند.

اگرچه چهارچوب این استانداردها بسیار روشن و هدف آن‌ها بهینه‌سازی سیستم‌هاست، اما اتخاذ و اجرای آ‌نها سرشار از چالش برای سازمان‌هاست. در اولین قدم، انطباق ساختار، فرایندها و قوانین اجرایی سازمان با این استانداردها کار آسانی نیست و به تغییر، تعمیم و انعطاف پذیری آن بستگی دارد.

درنهایت، تلفیقی از استانداردهای بین‌المللی و تحقیق‌شده، در کنار استانداردهای بومی و مختص اتمسفر فعالیت سازمان است که به موفقیت کلی در مدیریت ریسک سازمان می‌انجامد. همچنین، بلوغ اقتصادی و مدیریتی اصلی‌ترین جایگاه را در اتخاذ و تولید این استانداردها در تشخیص،، ارزیابی، کنترل و مدیریت ریسک دارند.

 

خبرهای مشابه

دیدگاهتان را بنویسید

دکمه بازگشت به بالا