مدیریت ریسک چیست و چرا اهمیت دارد؟

مدیریت ریسک یا مدیریت خطر فرآیند شناسایی، ارزیابی و کنترل تهدیدات برای سرمایه و درآمد یک سازمان است. این خطرات از منابع مختلفی از جمله عدم قطعیت‌های مالی، بدهی‌های قانونی، مسائل فناوری، خطاهای مدیریت استراتژیک، حوادث و بلایای طبیعی ناشی می‌شوند. با دانشگاه کسب‌وکار همراه باشید.

یک برنامه مدیریت ریسک موفق به سازمان کمک می‌کند تا طیف کاملی از ریسک‌هایی را که با آن مواجه است در نظر بگیرد. مدیریت خطر همچنین رابطه بین ریسک‌ها و تأثیرات آبشاری‌ای که می‌توانند بر اهداف استراتژیک سازمان داشته باشند را بررسی می‌کند.

هدف مدیریت ریسک چیست؟

این رویکرد کل‌نگر برای مدیریت خطر، به دلیل تأکید بر پیش‌بینی و درک ریسک در سراسر سازمان، گاهی اوقات به عنوان مدیریت خطر سازمانی توصیف می‌شود. علاوه بر تمرکز بر تهدیدهای داخلی و خارجی، مدیریت خطر سازمانی (ERM) بر اهمیت مدیریت خطر مثبت تأکید دارد. ریسک‌های مثبت فرصت‌هایی هستند که می‌توانند ارزش کسب‌وکار را افزایش دهند یا برعکس، در صورت عدم استفاده به سازمان آسیب بزنند. در واقع، هدف هر برنامه مدیریت ریسک حذف تمام ریسک نیست، بلکه حفظ و افزودن ارزش شرکت با اتخاذ تصمیمات ریسک هوشمند است.

فورستر می‌گوید: “ما ریسک‌ها را مدیریت نمی‌کنیم تا ریسک نداشته باشیم. ما ریسک‌ها را مدیریت می‌کنیم تا بدانیم کدام ریسک‌ها ارزش پذیرش دارند، کدام یک ما را به هدفمان می‌رساند و کدام یک از آن‌ها به اندازه کافی مهم هستند تا حتی آن‌ها را بپذیریم.” آلا والنته، تحلیلگر ارشد تحقیق، متخصص حاکمیت، ریسک و انطباق.

بنابراین، یک برنامه مدیریت ریسک باید با استراتژی سازمانی در هم آمیخته شود. برای پیوند آن‌ها، رهبران مدیریت خطر ابتدا باید ریسک‌پذیری سازمان را تعریف کنند. یعنی میزان ریسکی که برای تحقق اهدافش مایل به پذیرش آن است.

تحمل ریسک

مایک چاپل، مدیر ارشد فناوری اطلاعات دانشگاه نوتردام، در مقاله خود در مورد ریسک‌پذیری در مقابل تحمل ریسک توضیح داد، وظیفه بزرگ این است که تعیین کنیم “کدام ریسک‌ها در ریسک‌پذیری سازمان قرار می‌گیرند و کدام یک نیاز به کنترل‌ها و اقدامات اضافی قبل از اینکه قابل قبول باشند، دارند.”

برخی از ریسک‌ها بدون نیاز به اقدام بیشتر پذیرفته می‌شوند و سایر موارد کاهش داده می‌شوند، با آن‌ها به اشتراک گذاشته می‌شوند، به طرف دیگری منتقل می‌شوند یا به طور کلی از آن‌ها اجتناب می‌شود.

هر سازمانی با خطر رویدادهای غیرمنتظره و مضری مواجه است که می‌تواند برایش هزینه داشته باشد یا باعث تعطیلی آن شود. ریسک‌های انجام نشده نیز می‌تواند باعث دردسر شود؛ زیرا شرکت‌هایی که توسط ابزارهای دیجیتالی متولد شده‌اند و مانند آمازون و نتفلیکس مختل شده‌اند این مسئله را تأیید می‌کنند. این راهنمای مدیریت ریسک در دانشگاه کسب‌وکار یک مرور کلی از مفاهیم کلیدی، الزامات، ابزارها، روندها و بحث‌هایی که این حوزه پویا را هدایت می‌کنند، ارائه می‌کند.

چرا مدیریت ریسک مهم است؟

مدیریت خطر شاید هرگز به اندازه اکنون مهم نبوده است. خطراتی که سازمان‌های مدرن با آن روبرو هستند پیچیده‌تر شده‌اند و با سرعت سریع جهانی‌شدن تقویت شده‌اند. خطرات جدید به طور مداوم در حال ظهور هستند که اغلب به استفاده فراگیر از فناوری دیجیتال مربوط می‌شوند و توسط آن ایجاد می‌شوند. به تغییرات اقلیمی توسط کارشناسان خطر، لقب “ضریب افزایش تهدید” داده شده است.

یک خطر خارجی اخیر که خود را به عنوان یک موضوع زنجیره تأمین در بسیاری از شرکت‌ها نشان داد، همه‌گیری ویروس کرونا بود. این ویروس به سرعت به یک تهدید وجودی تبدیل شد که بر سلامت و ایمنی کارکنان آن‌ها، ابزار انجام تجارت و توانایی تعامل با مشتریان تأثیر می‌گذاشت.

کسب‌وکارها به سرعت در برابر تهدیدات ناشی از همه‌گیری تغییراتی ایجاد کردند. اما در آینده، آن‌ها با خطرات جدیدی دست و پنجه نرم می‌کنند، از جمله اینکه آیا باید کارمندان را به دفتر بازگردانند یا نه و چه کاری باید انجام شود تا زنجیره تأمین آن‌ها کمتر در برابر بحران آسیب‌پذیر باشد.

ریسک و کوید

از آنجایی که جهان همچنان با دید کووید-19 فکر می‌کند، شرکت‌ها و هیئت مدیره آن‌ها نگاهی تازه به برنامه‌های مدیریت ریسک خود دارند. آن‌ها در حال ارزیابی مجدد قرار گرفتن در معرض خطر و بررسی فرآیندهای ریسک هستند. آن‌ها در حال بررسی این موضوع هستند که چه کسانی باید در مدیریت خطر مشارکت داشته باشند.

شرکت‌هایی که در حال حاضر رویکردی واکنشی برای مدیریت خطر دارند، محافظت در برابر ریسک‌های گذشته و تغییر رویه‌ها پس از اینکه یک ریسک جدید باعث آسیب می‌شود را به عنوان مزیت‌های رقابتی یک رویکرد فعال‌تر در نظر می‌گیرند. علاقه زیادی به حمایت از پایداری، انعطاف پذیری و چابکی سازمانی وجود دارد. شرکت‌ها همچنین در حال بررسی این مسئله هستند که چگونه فناوری‌های هوش مصنوعی و پلت‌فرم‌های پیچیده حاکمیت، ریسک و انطباق (GRC) می‌توانند مدیریت خطر را بهبود ببخشند.

صنایع مالی در مقابل صنایع غیرمالی

در بحث مدیریت ریسک، بسیاری از کارشناسان خاطرنشان می‌کنند که در شرکت‌هایی که به شدت تحت نظارت هستند و تجارت آن‌ها ریسکی است، مدیریت خطر یک کار رسمی است.

برای مثال، بانک‌ها و شرکت‌های بیمه مدت‌هاست که بخش‌های ریسک بزرگی دارند که معمولاً توسط یک افسر ارشد ریسک (CRO) اداره می‌شود، عنوانی که هنوز در خارج از صنعت مالی نسبتاً غیر معمول است. علاوه بر این، ریسک‌هایی که شرکت‌های خدمات مالی با آن‌ها مواجه هستند، ریشه در اعداد دارند. بنابراین می‌توان با استفاده از فناوری شناخته شده و روش‌های بالغ بر کمیت به طور مؤثر آن‌ها را تحلیل کرد. سناریوهای ریسک در شرکت‌های مالی را می‌توان با کمی دقت مدل سازی کرد.

مدیریت ریسک سنتی در مقابل مدیریت ریسک سازمانی

مدیریت خطر سنتی این روزها در مقایسه با مدیریت خطرسازمانی، مورد انتقاد شدیدی قرار دارد. هدف هر دو رویکرد کاهش خطراتی است که می‌تواند به سازمان‌ها آسیب برساند. هر دو بیمه می‌خرند تا در برابر طیف وسیعی از خطرات محافظت کنند. مثلاً از خسارت ناشی از آتش‌سوزی و سرقت گرفته تا مسئولیت سایبری. هر دو به راهنمایی‌های ارائه شده توسط نهادهای استاندارد اصلی پایبند هستند. اما کارشناسان استدلال می‌کنند که مدیریت ریسک سنتی فاقد طرز فکر و مکانیسم‌های مورد نیاز برای درک ریسک، به عنوان بخشی جدایی ناپذیر از استراتژی و عملکرد سازمانی است.

در مدیریت خطرسازمانی، مدیریت ریسک یک تلاش مشترک، متقابل و بزرگ است. یک تیم ERM که می‌تواند به اندازه پنج نفر باشد، با رهبران و کارکنان واحد تجاری کار می‌کند تا آن‌ها را توضیح دهد، به آن‌ها کمک کند تا از ابزارهای مناسب برای فکر کردن در مورد خطرات، جمع‌آوری آن اطلاعات و ارائه آن به رهبری اجرایی و هیئت مدیره سازمان استفاده کنند.

اعتبار

شینکمن گفت که داشتن اعتبار نزد مدیران در سرتاسر شرکت برای رهبران ریسک ضروری است.

او گفت که این نوع از کارشناسان به طور فزاینده‌ای از پیشینه مشاوره می‌آیند یا “ذهنیت مشاوره‌ای” دارند و درک عمیقی از مکانیک تجارت دارند. بر خلاف مدیریت خطر سنتی که در آن مدیر ریسک معمولاً به CFO گزارش می‌دهد، روسای تیم‌های مدیریت خطر شرکت (چه عنوان مدیر ارشد ریسک یا یک عنوان دیگر را داشته باشند) به مدیران عامل خود گزارش می‌دهند، تأییدی که بخشی از استراتژی کسب‌وکار ریسکی است.

در تعریف نقش افسر ارشد ریسک، تحقیقات Forrester بین CRO های معاملاتی که معمولاً در برنامه‌های مدیریت خطر سنتی یافت می‌شوند و CRO های متحول کننده که از رویکرد ERM استفاده می‌کنند، تمایز قائل می‌شود. طبق گفته Forrester، اولی‌ها در شرکت‌هایی کار می‌کنند که ریسک را به عنوان مرکز هزینه و مدیریت خطر را به عنوان یک بیمه‌نامه می‌بینند. آن‌ها بر شهرت برند شرکت خود تمرکز می‌کنند، ماهیت افقی ریسک را درک می‌کنند و ERM را به عنوان “مقدار مناسب ریسک مورد نیاز برای رشد” تعریف می‌کنند.

گریز از ریسک

ریسک گریزی یکی دیگر از ویژگی‌های سازمان‌های سنتی مدیریت ریسک است؛ اما همان‌طور که والنته اشاره کرد، شرکت‌هایی که خود را ریسک گریز و با ریسک‌پذیری پایین تعریف می‌کنند، گاهی اوقات در ارزیابی ریسکشان دور از انتظار هستند.

والنته گفت: “بسیاری از سازمان‌ها فکر می‌کنند اشتهای ریسک پایینی دارند؛ اما آیا برنامه‌هایی برای رشد دارند؟ آیا محصولات جدیدی عرضه می‌کنند؟ آیا نوآوری مهم است؟ همه این‌ها استراتژی‌های رشد هستند و بدون ریسک نیستند.”

فرآیند مدیریت ریسک

رشته مدیریت خطر مجموعه‌ای از دانش را منتشر کرده است که سازمان‌ها باید چه‌کارهایی را برای مدیریت خطر انجام دهند. یکی از شناخته‌شده‌ترین منابع استاندارد ISO 31000، مدیریت خطر است. این منبع مجموعه‌ای از دستورالعمل‌ها است که توسط سازمان بین‌المللی استاندارد، یک نهاد استاندارد که معمولاً به عنوان ISO شناخته می‌شود، تهیه شده است.

فرآیند مدیریت خطر پنج مرحله‌ای ISO شامل موارد زیر است و می‌تواند توسط هر نوع نهادی مورد استفاده قرار گیرد:

• خطرات را شناسایی کنید.
• احتمال و تأثیر هر یک را تجزیه‌وتحلیل کنید.
• اولویت‌بندی ریسک‌ها بر اساس اهداف تجاری شرایط خطر را درمان کنید (به آن‌ها پاسخ دهید).
• نتایج را پایش کرده و در صورت لزوم تنظیم کنید.

مراحل ساده هستند؛ اما کمیته‌های مدیریت ریسک نباید کار مورد نیاز برای تکمیل فرآیند را دست کم بگیرند. برای شروع، نیاز به درک کاملی از آنچه که سازمان را وادار می‌کند، دارند. هدف نهایی، ایجاد مجموعه‌ای از فرآیندها برای شناسایی ریسک‌هایی است که سازمان با آن مواجه است. احتمال و تأثیر این خطرات مختلف، چگونگی ارتباط هر یک با حداکثر ریسکی که سازمان مایل به پذیرش آن است و اقداماتی که باید برای حفظ و نگهداری انجام شود.

نقل قولی از یک کارشناس مدیریت ریسک

گرگ ویت، کارشناس ریسک، مهندس امنیت ارشد صنایع هانتینگتون اینگالز و معمار چارچوب‌های انستیتوی ملی استاندارد و فناوری (NIST) در زمینه امنیت سایبری، می‌گوید: برای در نظر گرفتن اینکه چه چیزی ممکن است اشتباه پیش برود، باید با آنچه باید درست پیش برود، شروع کنید. مانند حریم خصوصی و خطرات نیروی کار.

ویت گفت: هنگام شناسایی خطرات، درک این نکته مهم است که طبق تعریف، هر چیزی فقط در صورتی یک خطر است که در فعالیت ما تأثیر داشته باشد. برای مثال، طبق دستورالعمل گزارش بین سازمانی NIST (NISTIR 8286A) در مورد شناسایی خطر امنیت سایبری در ERM، چهار عامل زیر باید برای یک سناریوی ریسک منفی وجود داشته باشد:

• دارایی یا منابع ارزشمندی که ممکن است تحت تأثیر قرار گیرد.
• منبع اقدام تهدیدآمیز که علیه آن دارایی عمل می‌کند.
• یک وضعیت یا آسیب‌پذیری موجود از قبل، که آن منبع تهدید را قادر می‌سازد تا عمل کند.
• برخی از اثرات مضری که از منبع تهدید که از آن آسیب‌پذیری سوءاستفاده می‌کند، رخ دهد.

در حالی که معیارهای NIST به ریسک‌های منفی مربوط می‌شود، فرآیندهای مشابهی را می‌توان برای مدیریت ریسک‌های مثبت اعمال کرد.

سناریوهای ریسکی از بالا به پایین و پایین به بالا

ویت گفت که در شناسایی سناریوهای ریسکی که می‌توانند اهداف سازمان را مختل یا تقویت کنند، بسیاری از کمیته‌های ریسک اتخاذ رویکردی از بالا به پایین و پایین به بالا را مفید می‌دانند. در تمرین از بالا به پایین، رهبری فرآیندهای حیاتی سازمان را شناسایی می‌کند. با ذینفعان داخلی و خارجی همکاری می‌کند تا شرایطی را که می‌تواند مانع آن‌ها شود را تعیین کند. دیدگاه پایین به بالا با منابع تهدید (زلزله، رکود اقتصادی، حملات سایبری و غیره) شروع می‌شود و تأثیر بالقوه آن‌ها را بر دارایی‌های حیاتی در نظر می‌گیرد.

• ریسک استراتژیک (به‌عنوان‌مثال، شهرت، روابط با مشتری، نوآوری‌های فنی).
•  خطر مالی و گزارشگری (به‌عنوان‌مثال، بازار، مالیات، اعتبار).
• ریسک انطباق و حاکمیت (به‌عنوان‌مثال، اخلاق، مقررات، تجارت بین‌المللی، حریم خصوصی).
• ریسک عملیاتی (به‌ عنوان‌ مثال، امنیت و حریم خصوصی فناوری اطلاعات، زنجیره تأمین، مسائل کارگری، بلایای طبیعی).

به گفته پل کروان، کارشناس انطباق، یکی دیگر از راه‌های دسته‌بندی ریسک‌ها برای کسب‌وکارها این است که آن‌ها را در چهار نوع ریسک اساسی زیر برای کسب‌وکارها قرار دهند: ریسک‌های مردم، ریسک‌های تسهیلات، ریسک‌های فرآیند و ریسک‌های فناوری.

وظیفه نهایی در مرحله شناسایی ریسک این است که سازمان‌ها یافته‌های خود را در یک ریسک، ثبت کنند. این به ردیابی ریسک‌ها از طریق چهار مرحله بعدی فرآیند مدیریت ریسک کمک می‌کند. نمونه‌ای از چنین ثبت ریسک را می‌توان در گزارش NISTIR 8286A که در بالا ذکر شد یافت.

استانداردها و چارچوب‌های مدیریت ریسک

همان‌طور که قوانین انطباق دولت و صنعت در دو دهه گذشته گسترش‌یافته است، بررسی نظارتی و در سطح هیئت مدیره روی شیوه‌های مدیریت ریسک شرکت نیز افزایش‌ یافته است. تجزیه‌ و تحلیل ریسک، ممیزی داخلی، ارزیابی ریسک و سایر ویژگی‌های مدیریت ریسک را جزء اصلی استراتژی کسب‌وکار قرار داده است. چگونه یک سازمان می‌تواند همه این‌ها را کنار هم بگذارد؟

چارچوب‌های به شدت توسعه‌یافته (در حال تکامل) توسط حوزه مدیریت خطر به این مسئله کمک خواهد کرد.

محدودیت‌های مدیریت ریسک

شکست‌های مدیریت خطر اغلب به سوء رفتار عمدی، بی‌احتیاطی فاحش یا مجموعه‌ای از رویدادهای ناگوار تبدیل می‌شوند که هیچ‌کس نمی‌توانست پیش‌بینی کند. اما همان‌طور که جورج لاتون، روزنامه‌نگار فناوری، در بررسی شکست‌های رایج مدیریت خطر اشاره کرد، اشتباه مدیریت خطر، اغلب به دلیل اشتباهات قابل اجتناب و تعقیب سود بی‌سابقه است.

دانشگاه کسب‌وکار اطلاعات بروز دنیا در خصوص مدیریت کسب‌وکار به شما ارائه می‌دهد. نظرات خودتان را در رابطه با ضرورت مدیریت ریسک و راهکارهای آن برای ما بنویسید.