مدیریت ریسک به عنوان یک سیستم به تصمیم گیرندگان کمک می کند تا تصمیمات خود را همراه با اطلاع و آگاهی، اخذ نمایند و اقدامات لازم را اولویت بندی نمایند و اقدام مناسب را از بین تصمیمات اخذ شده انتخاب نمایند.

بر اساس تحقیق سازمان APQC که در سال ۲۰۱۴ انجام شده است، به گونه ای که حدود ۲۶ درصد از سازمان های پیشرو و پویا اعلام کرده اند که مدیریت ریسک را به صورت گسترده، جامع و اثربخش در سازمان خود پیاده سازی و استقرار داده اند، ۴۳ درصد اعلام کردند که این فرایند در سازمان آنها در مرحله بلوغ و در حد متوسط است، ۲۰ درصد از سازمان ها اخیراً شروع به پیاده سازی و استقرار مدیریت ریسک کرده اند و ۱۱ درصد تاکنون به مدیریت ریسک نپرداخته اند.

این آمار نشان دهنده این است اگرچه مدیریت ریسک در سازمانها به صورت یک مقوله ی جدید تحلیل سازمانی محسوب می شود. ولی توانسته توجه بسیاری از سازمان ها را به خودش جلب نماید.

استاندارد ISO31000 چیست؟

مدیریت ریسک به عنوان یک سیستم به تصمیم گیرندگان کمک می کند تا تصمیمات خود را همراه با اطلاع و آگاهی، اخذ نمایند و اقدامات لازم را اولویت بندی نمایند و اقدام مناسب را از بین تصمیمات اخذ شده انتخاب نمایند.

سازمان بین المللی استاندارد (ISO) در نوامبر سال ۲۰۰۹ برای اولین بار یک استاندارد بین المللی را به نام مدیریت ریسک تحت عنوان ISO31000 منتشر کرد تا از این طریق اصول و رهنمودهایی عام را در حوزه مدیریت ریسک به سازمانها ارائه نماید. این استاندارد سعی دارد با ارائه یک چارچوب مشخص، یک سیستم مدیریت ریسک که قابلیت کاربرد برای هر نوع سازمان و صنعتی را داشته باشد ارائه دهد.

اهداف کلی مدیریت ریسک ISO31000

1. ایجاد، درک، فهم و شناخت یکسان و بین المللی از مفهوم ریسک و مدیریت ریسک
2. شناسایی صحیح ریسکها و حذف و کاهش ریسکها بصورت اصولی
3. هماهنگ کردن فرآیندهای مدیریت ریسک در استانداردهای مختلف
4. اخذ تصمیم گیری های مناسب، درست و به جا

ریسک

ریسک اثر عدم قطعیت اهداف، هر عدم قطعیتی می‌تواند اثرات مثبت یا منفی داشته باشد.

احتمال وقوع چیزی یا رخ دادن خطری که می دانیم بر اهداف اثر می گذارد.

• ریسک را با دو مولفه پیامد و احتمال وقوع می سنجند.
• ریسک قابل حذف نیست.
• هدف از برنامه های مدیریت ریسک رساندن ریسک به حدود قابل قبول است، نه حذف کامل ریسک.
• از نظر عملی ریسک صفر وجود ندارد.

منبع ریسک Risk Source

منبع ریسک عنصری است که به تنهایی و یا در ترکیب با سایر عناصر پتانسیل ایجاد ریسک دارد. منبع ریسک می تواند ملموس یا ناملموس باشد.

منابع ریسک معمولا به سه دسته اصلی تقسیم می شوند :

• طبیعی : آتش سوزی، زلزله، گردباد، بیماری واگیردار و …
• تکنولوژیک : قطع برق، خرابی رایانه، سرور، نشت آب یا گاز، انفجار و …
• انسانی: هکرها، سرقت، خرابکاری، تصادف و …

پیامدها  Consequences   

نتایج و خروجی های یک رویداد که بر اهداف اثر گذارند. پیامدها از جمله عوامل تعریف کننده یک حادثه می باشند.

احتمال وقوع  Likelihood

احتمال وقوع شانس وقوع رویداد است. در واژه شناسی مدیریت ریسک لغت ” احتمال ” برای بیان شانس وقوع چیزی بکار گرفته می شود. اعم از اینکه به صورت عینی و یا ذهنی توصیف شود.

• ریسک عینی : مقدار ریسکی است که توسط روشهای کارشناسی و علمی اندازه گیری و تعیین می شود.
• ریسک ذهنی : مقدار ریسکی است که بطور ذهنی توسط افراد درک و تصور می شود.

مدیریت    management

دکتر دمینگ مدیریت را به چهار جزء اصلی تقسیم بندی کرده است:

1. برنامه‌ریزی Planning  
2. اجرا    Do
3. کنترل Check   
4. اقدام   Action    

مدیریت ریسک

 فرآیندی که از طریق آن ریسک های حاصل از راهبری یک سازمان در مقابل مزایای آن در حال تعادل قرار می گیرد.

این فرآیند مشتمل بر، شناسایی خطر، ارزیابی ریسک، اولویت دهی ریسکها، تصمیم گیری در مورد ریسک، که از طریق بکارگیری منابع به ارائه روش‏های کاهش ریسک و حداقل سازی ریسکها و حداکثر سازی فرصتها و در نهایت بازنگری و تکرار مجدد فرآیند مدیریت است.

کنترل

تمهیدی که ریسک را حفظ یا تعدیل می کند.

نگاهی کلی به اصول، چارچوب و فرآیند

بند ۴ : اصول

• یکپارچه
• ساختار یافته و جامع
• بومی سازی شده
• جامع و مشارکتی
• پویا
• بهترین اطلاعات در دسترس
• عوامل انسانی و فرهنگی
• بهبود مداوم

بند ۵ – چارچوب

• رهبری و تعهد
• یکپارچه سازی
• طراحی
• پیاده سازی
• ارزشیابی
• بهبود

تیم رهبری ؟

• مدیریت ارشد : پاسخگوی مدیریت ریسک
• نهادهای نظارتی : پاسخگوی نظارت بر مدیریت ریسک

هنگام طراحی چارچوب مدیریت ریسک سازمان باید بافت درونی و بیرونی خود را بررسی و درک کند.

بررسی بافت بیرونی سازمان ممکن است شامل موارد زیر باشد :

• عوامل اجتماعی، فرهنگی، سیاسی، قانونی، مقرراتی، مالی، فناوری، اقتصادی و زیست محیطی در سطح بین المللی، ملی، منطقه‌ای یا محلی
• عوامل پیش برنده و روندهای کلیدی موثر بر اهداف سازمان
• روابط، برداشت ها، ارزش ها، نیازها و انتظارات ذینفعان برون سازمانی
• روابط و تعهدات قراردادی

بررسی بافت درون سازمانی شامل موارد زیرمی شود :

1. چشم انداز، ماموریت و ارزش‌ها
2. حاکمیت، ساختار سازمانی، نقش‌ها و پاسخگویی ها
3. راهبرد، اهداف و خط مشی‌ها
4. فرهنگ سازمان
5. استاندارد ها، راهنماها و الگوهای به کار گرفته شده توسط سازمان
6. توانمندی‌هایی که در قالب منابع و دانش درک می شوند (برای مثال سرمایه ،زمان، افراد، دارایی معنوی، فرآیندها، سیستم‌ها و فناوری‌ها)
7. داده ها، سیستم های اطلاعات و جریانات اطلاعات
8. روابط با ذینفعان درون سازمانی، لحاظ کردن برداشت‌ها ارزش های آن ها
9. روابط و تعهدات قراردادی
10. وابستگی‌ها و ارتباطات متقابل

سه ویژگی عمده فرآیند مدیریت ریسک

1. بخشی جدایی ناپذیر از مدیریت
2. گنجانده شده در فرهنگ و عمل
3. جهت دهی شده در راستای فرآیندهای کاری سازمان

فرآیند ارزیابی و مدیریت ریسک

اطلاع رسانی و مشورت

مقصود اطلاع رسانی و مشورت

1. کمک به ذی نفعان مربوطه برای درک ریسک
2. مبنایی برای تصمیم گیری
3. مبنایی برای تعیین چرایی نیاز به اقدامات خاص
4. ارتقای آگاهی و درک ریسک

مشاوره : کسب بازخورد ها و اطلاعات به منظور پشتیبانی از تصمیم گیری ها

اهداف اطلاع رسانی و مشورت

• در کنار هم قراردادن تخصص های مختلف برای هر مرحله از فرآیند مدیریت ریسک
• حصول اطمینان از اینکه هنگام تعریف معیارهای ریسک و هنگام ارزشیابی ریسک نظرات مختلف مد نظر قرار می گیرد.
• ارایه اطلاعات کافی به منظور تسهیل نظارت بر ریسک و تصمیم گیری
• ایجاد حس مشارکت و مالکیت در بین افراد تحت تاثیر از ریسک

دامنه کاربرد :

سازمان بایستی دامنه کاربرد فعالیت های مدیریت ریسک خود را تعریف کند از آنجا که فرآیند مدیریت ریسک می تواند در سطوح مختلف ( راهبرد، عملیات، پروژه و سایر فعالیت ها) به کار رود واضح بودن دامنه کاربرد مورد نظر، اهداف مربوطه که باید مدنظر قرار گیرد و هم سویی آنها با اهداف سازمانی اهمیت دارد.

هنگام طرح ریزی رویکرد موارد زیر بایستی مورد ملاحظه قرار گیرند :

• اهداف و تصمیماتی که باید گرفته شود.
• خروجی مورد نظر از هر یک از مراحل فرآیند مدیریت ریسک.
• زمان، مکان و نکات خاصی که نیاز است مد نظر قرار گیرند یا نگیرد.
• ابزارها و تکنیکهای مناسب ارزیابی ریسک مناسب.
• منابع لازم، مسئولیت‌ها و سوابقی که باید حفظ شوند.
• روابط با سایر پروژه ها، فرآیندها و فعالیت ها.

بافت درون و برون سازمانی

بافت درون و برون‌سازمانی محیطی است که در آن سازمان به دنبال تعریف و دستیابی به اهداف خود است. بافت فرآیند مدیریت ریسک بایستی از درک محیط درونی و بیرونی گرفته شود که سازمان در آن فعالیت می‌کند و بایستی منعکس کننده محیط خاص فعالیتی باشد که فرآیند مدیریت ریسک روی آن اعمال شده است.

چرا درک بافت اهمیت دارد؟

• مدیریت ریسک در بافت اهداف و فعالیت های سازمان انجام می‌شود.
• عوامل سازمانی می توانند یک منبع ریسک باشند.
• مقصود و دامنه کاربرد فرآیند مدیریت ریسک ممکن است با اهداف سازمان به عنوان یک کل ارتباط متقابل داشته باشد.

معیارهای ریسک

سازمان بایستی میزان و نوع ریسک‌هایی که ممکن است با آن روبه‌رو شود یا نشود را نسبت به اهداف مشخص کند. سازمان همچنین بایستی معیارهای ارزشیابی اهمیت ریسک ها را تعریف نماید تا از فرآیند تصمیم‌گیری پشتیبانی کنند.

معیارهای ریسک بایستی :

• با چارچوب مدیریت ریسک همسو باشد.
• برای مقصود و دامنه کاربرد خاص فعالیت های مورد نظر بومی سازی شوند.
• ارزش ها، اهداف و منابع سازمان را منعکس کنند.
• با خط مشی ها و بیانیه های مدیریت ریسک سازگار باشند.

این معیارها بایستی با در نظر گرفتن تعهدات سازمان و نظرات ذینفعان تعریف شود، اگرچه معیارهای ریسک بایستی در شروع فرآیند ارزیابی ریسک ایجاد شوند. این معیارها پویا هستند و بایستی به طور مداوم بازنگری و در صورت ضرورت اصلاح شوند.

تعیین معیارهای ریسک

• ماهیت و نوع عدم قطعیت هایی که می توانند بر نتایج و اهداف اثر بگذارند چه ملموس و ناملموس
• چگونه پیامد ها هم مثبت و هم منفی و احتمال، تعریف و اندازه گیری خواهند شد
• عوامل وابسته به زمان
• ثبات در استفاده از اندازه گیری ها
• چگونه سطح ریسک تعیین خواهد شد
• چگونه ترکیبات و ترتیبات ریسک های چندگانه لحاظ خواهند شد
• ظرفیت سازمان

ارزیابی ریسک

• کلیات
• شناسایی ریسک
• تحلیل ریسک
• ارزشیابی ریسک

فرآیندی کلی و شامل شناسایی تحلیل و ارزشیابی ریسک است. ارزیابی ریسک بایستی به طور سیستماتیک تکرار شونده و مشارکتی انجام شود و دانش و نظرات ذینفعان را در نظر بگیرد.

ارزیابی ریسک بایستی از بهترین اطلاعات در دسترس استفاده کند که در صورت ضرورت با بررسی بیشتر تکمیل شود.

• شناسایی ریسک

شناسایی ریسک یافتن، شناسایی و توصیف ریسک هایی است که ممکن است به یک سازمان در رسیدن به اهداف سازمان کمک کند یا آن را از رسیدن به اهداف خود باز دارد.

اطلاعات مرتبط، مناسب و به روز در شناسایی ریسک اهمیت دارد. سازمان می تواند از طیف از تکنیک ها برای شناسایی عدم قطعیت هایی که ممکن است در یک یا چند هدف اثر بگذارد استفاده کند.

برخی توصیه ها برای شناسایی ریسکها:

• هیچ وقت به یک نفر برای شناسایی ریسکها اکتفا نکنید.
• اصل ” دو سر بهتر از یک سر کار می کند را فراموش نکنید“
• از رویکرد تیمی استفاده کنید.
• از افراد خبره برای شناسایی خطرات استفاده کنید.

برخی روش‌ها برای شناسایی ریسکها

• بررسی فرآیندها و سیستمهای مشابه
• بررسی مشخصه های فرآیند و حدود کاری آنها
• بررسی قوانین و مقررات دولتی و بین المللی
• مصاحبه با استفاده کنندگان و اپراتورها
• استفاده از چک لیست
• دسته‌بندی خطرات
• بررسی آمار و سوابق شامل آمار معتبر ملی و بین المللی
• استفاده از طوفان ذهنی
• بازرسی از محیط کار
• سایر روشهای آنالیز خطر

ابزارهای مورد استفاده شناسایی ریسک ها

1. طوفان فکری
2. نمودار استخوان ماهی
3. نمودار جریان
4. تجزیه و تحلیل swot
5. انجام تحقیقات پیمایشی مبتنی بر پرسشنامه
6. انجام مصاحبه با افراد کلیدی سازمان
7. تحلیل جریان فرآیندهای داخلی

در شناسایی ریسک عوامل زیر و ارتباط بین این عوامل مد نظر قرار گیرند

• منابع ملموس و ناملموس ریسک
• علل و رویدادها
• تهدیدها و فرصت ها
• آسیب پذیری ها و قابلیت ها
• تغییرات در بافت درون و برون سازمانی
• نشانگرهای ریسک های در حال ظهور
• ماهیت و ارزش دارایی ها و منابع
• پیامدها و تاثیر آنها بر اهداف
• محدودیت‌های دانش و قابلیت اطمینان اطلاعات
• عوامل مرتبط با زمان
• سوگیری ها، فرضیه ها و عقاید افراد دخیل

• تحلیل ریسک

تحلیل ریسک شامل توجه دقیق به عدم قطعیت ها، منابع ریسک، پیامدها، احتمال، رویدادها، سناریوها، کنترل‌ها و اثربخشی آنها می‌باشد. یک رویداد می‌تواند چند علت و پیامد داشته باشد و می تواند بر چندین هدف تأثیر بگذارد.

موارد زیر در تحلیل ریسک مد نظر است :

• احتمال رویدادها و پیامدها
• ماهیت و بزرگی پیامدها
• پیچیدگی و اتصال
• عوامل وابسته به زمان و نوسان
• اثربخشی کنترل های موجود
• سطوح حساسیت و اعتماد

• ارزشیابی ریسک

پشتیبانی از تصمیمات (شامل مقایسه نتایج تحلیل ریسک با معیارهای مشخص شده ریسک است) تا تعیین کند در کجا اقدام بیشتری لازم است.

ارزشیابی می تواند منجر به گرفتن تصمیمات زیر شود :

• کار بیشتری انجام نشود.
• گزینه های مقابله با ریسک مدنظر قرار بگیرد.
• تحلیل بیشتر انجام شود تا ریسک بهتر درک شود.
• کنترل های موجود حفظ شود.
• اهداف مورد تجدید نظر قرار گیرند.

مقابله با ریسک

1. قاعده مند سازی و انتخاب گزینه های مقابله با ریسک
2. طرح ریزی و پیاده سازی مقابله با ریسک
3. ارزیابی اثربخشی مقابله انجام شده
4. تصمیم گیری درباره اینکه آیا این است که باقیمانده قابل پذیرش است
5. اگر ریسک باقیمانده قابل پذیرش نباشد انجام مقابله بیشتر

گزینه های مقابله با ریسک :

۱- جلوگیری از ریسک با تصمیم به آغاز نکردن یا ادامه ندادن فعالیتی که منجر به ریسک می شود

۲- پذیرش یا افزایش ریسک به مقابله به منظور دنبال کردن یک فرصت

۳- حذف منبع ریسک

۴- تغییر احتمال

۵-  تغییر پیامدها به اشتراک گذاشتن برای مثال از طریق قرارداد ها و یا خرید بیمه حفظ ریسک با تصمیم آگاهانه

پایش و کنترل ریسک

۱- مدیریت ریسک تمام نمی شود

۲- انجام بازنگری منظم ریسکهای انجام شده

اطمینان از :

• شناسایی ریسکهای جدید
• حدف ریسکهای غیر مرتبط
• انجام ممیزی ریسکبرای کنترل اثربخشی اقدامات
• ثبت و مستندسازی نتایج
• ثبت و مستندسازی ریسکهای غیرمنتظره

انواع ریسک

۱ – ریسک مالی: به مجموعه خطراتی که به طور مستقیم سودآوری بنگاه‌های مالی را با مشکلات جدی مواجه خواهند کرد، گفته شده و می‌توان آنها را در قالب‌های زیر دسته‌بندی کرد:

۱.۱ – ریسک اعتباری: به احتمال عدم ایفای به موقع تعهدات مالی مشتریان (به هر دلیل) اطلاق می‌شود.

۱.۲ – ریسک بازار: به احتمال اشتباه در محاسبه و برآورد نوسانات شاخص‌های اصلی بازار (مانند نرخ سود، نرخ ارز و قیمت سهام) گفته می‌شود.

۱.۳ – ریسک سرمایه : منابع سرمایه نقش بسزایی در ایجاد ثبات و حفظ سلامت بنگاه‌های مالی داشته و احتمال بروز هرگونه تغییرات در منابع موجود یا جذب منابع جدید در قالب ریسک سرمایه قابل بحث و بررسی است.

۲ – ریسک‌های غیر مالی: به هر خطری که در قالب ریسک مالی قابل تعریف نباشد (مانند ریسک مدیریت، ریسک صنعت، ریسک عملیاتی و ریسک قوانین) گفته می‌شود.

تفکر مبتنی بر ریسک در استاندارد ایزو ۹۰۰۱ ویرایش سال ۲۰۱۵

بعضی بر این باورند که الزامی وجود دارد که باید از روش های آنالیز ریسک نظیر FMEA جهت پیاده سازی تفکر مبتنی بر ریسک در استاندارد ایزو ۹۰۰۱ ویرایش سال ۲۰۱۵  (ISO 9001:2015) استفاه کرد، ولی اینچنین نیست و استاندارد خواسته ای مبنی بر انجام اجباری مدل های آنالیز ریسک را ندارد، سازمان می تواند با استفاده از یک جدول ساده ریسک های مثبت و منفی و اثرات آن ها شناسایی و تا حد امکان راهکار های به حداقل رساندن عوامل کاهش دهنده اثربخشی و به حداکثر رساندن ریسک های مثبت و فرصت ها را بیابد و درنهایت اثربخشی اقدامات را ارزیابی کند.

اصول دهگانه گروه مشاوران بوستون برای مدیریت ریسک سازمانی

1. جایگاه مدیریت ریسک در بالای هرم سازمانی است.
2. ریسک های سازمانی از داخل برج عاج قابل مدیریت نخواهند بود.
3. از تکیه بر جعبه های سیاه اجتناب کنید.
4. مدیریت ریسک استراتژی است و استراتژی مدیریت ریسک است.
5. مدیریت ریسک فراتر از یک سیاست، بلکه یک فرهنگ است.
6. فرهنگ ریسک آگاه، مستلزم جریان آزاد اطلاعات در سازمان است.
7. ارزشی گه در گفت و گو ایجاد می گردد، در گزارش نیست.
8. مدیریت ریسک فرآیندی تدریجی و افزایشی است.
9. آیا می توانیم برای مواجهه با عدم قطعیت های ناشناخته نیز آماده باشیم.
10. از پایین افتادن اجتناب کن اما بالا رفتن را فراموش نکن.

نتیجه گیری

شناسایی : شناسایی شرایط و ریسک‌های خاص دستیابی به اهداف بیزینس.

سناریوسازی تحلیل : تعیین احتمال وقوع هر شرایط و ریسک‌های آن و شدت تأثیرگذاری آن بر بیزین.

طراحی استراتژی عکس العمل:  در مقابل هر سناریو یک استراتژی عکس‌العمل مناسب طراحی می‌شود .

پایش:  در مقابل هر سناریو یک استراتژی عکس‌العمل مناسب طراحی می‌شود.

نویسنده : مرضیه حسینی مشاور سیستم های مدیریتی سری ISO، مدیریت منابع انسانی و استراتژیک