مدیریت ریسک سازمانی، ERM

مدیریت ریسک

راهنمای جامع مدیریت ریسک سازمانی

از شناسایی تهدیدها تا تاب‌آوری و تداوم کار و کسب

مدیریت ریسک، یک فعالیت اداری محدود یا صرفاً وظیفه واحد حسابرسی نیست؛ بلکه یک قابلیت مدیریتی و سازمانی است که به رهبران کمک می‌کند پیش از تبدیل‌شدن عدم‌قطعیت‌ها به بحران، آن‌ها را شناسایی، تحلیل، کنترل و پایش کنند.
هر سازمان، صرف‌نظر از اندازه، صنعت یا مدل کار و کسب، با ریسک‌هایی در حوزه مالی، عملیاتی، انسانی، حقوقی، فناورانه، اعتباری، ایمنی، زنجیره تأمین و بازار مواجه است. تفاوت میان سازمان‌های آسیب‌پذیر و سازمان‌های بالغ، در نبود ریسک نیست؛ بلکه در کیفیت مواجهه با ریسک‌هاست.
سند حاضر، یک «مجموعه کامل مدیریت ریسک» را معرفی می‌کند
که پنج لایه اصلی را در بر می‌گیرد:

  1. ارزیابی ریسک
  2. پایش و گزارش‌دهی
  3. درمان و کنترل ریسک
  4. حاکمیت و انطباق
  5. تداوم کار و کسب و تاب‌آوری.

این پنج لایه، در کنار یکدیگر، چرخه‌ای منسجم برای مدیریت ریسک ایجاد می‌کنند؛ چرخه‌ای که از شناسایی اولیه ریسک آغاز می‌شود، به تصمیم‌گیری درباره نحوه برخورد با آن می‌رسد و با نظارت مستمر، آمادگی برای بحران و بهبود دائمی تکمیل می‌گردد.

برای مدیران ارشد، این چارچوب یک ابزار تصمیم‌سازی است. مدیرعامل، هیئت‌مدیره و مدیران ارشد با استفاده از آن می‌توانند تشخیص دهند کدام ریسک‌ها تهدیدکننده اهداف راهبردی سازمان هستند، چه میزان ریسک قابل‌پذیرش است، منابع باید در کجا تخصیص یابند و چه تهدید‌هایی نیازمند مداخله فوری‌اند.
برای متخصصان مدیریت ریسک، این مجموعه یک ساختار اجرایی فراهم می‌آورد: ثبت ریسک، مدل امتیازدهی، نقشه حرارتی، شاخص‌های کلیدی ریسک، برنامه‌های کنترلی، ثبت کنترل‌ها، ارزیابی ریسک باقیمانده و برنامه‌های اقتضایی. برای کارکنان نیز، این چارچوب زبان مشترکی ایجاد می‌کند تا بدانند ریسک چیست، چه رویداد‌هایی باید گزارش شوند، مسئولیت آنان در رعایت کنترل‌ها چیست و چگونه می‌توانند از وقوع خطا‌ها، خسارت‌ها و بحران‌ها جلوگیری کنند.
مدیریت ریسک اثربخش، سازمان را از وضعیت «واکنش پس از حادثه» به وضعیت «پیش‌بینی، پیشگیری و آمادگی» منتقل می‌کند. این تغییر نگرش، نه‌تنها هزینه‌های ناشی از خطا، توقف عملیات، دعاوی حقوقی و آسیب اعتباری را کاهش می‌دهد، بلکه اعتماد ذی‌نفعان، کیفیت تصمیم‌گیری و قابلیت رشد پایدار سازمان را نیز تقویت می‌نماید.

شناسایی تهدیدها در مدیریت ریسک

مفهوم ریسک و منطق ارزیابی ریسک

ریسک را می‌توان اثر عدم‌قطعیت بر اهداف سازمان تعریف کرد. این اثر ممکن است منفی باشد؛ مانند کاهش فروش، از دست رفتن مشتری، خرابی تجهیزات، نشت اطلاعات یا عدم انطباق با مقررات. با این حال، برخی عدم‌قطعیت‌ها می‌توانند فرصت نیز ایجاد کنند؛ برای مثال ورود به بازار جدید، سرمایه‌گذاری در فناوری یا همکاری با یک شریک تجاری تازه. بنابراین، مدیریت ریسک صرفاً به معنای جلوگیری از خسارت نیست؛ بلکه به معنای انتخاب آگاهانه میان فرصت‌ها و تهدیدهاست.
نخستین بخش مجموعه مدیریت ریسک، «ارزیابی ریسک» است. ارزیابی ریسک مجموعه فعالیت‌هایی است که به سازمان کمک می‌کند ریسک‌ها را شناسایی، توصیف، اندازه‌گیری، اولویت‌بندی و برای تصمیم‌گیری آماده کند. در این بخش، چند ابزار کلیدی معرفی می‌شود: ثبت ریسک، ماتریس ارزیابی ریسک، نقشه حرارتی، قالب امتیازدهی، چک‌لیست ارزیابی، چک‌لیست شناسایی، قالب تحلیل، ارزیابی اثر و ارزیابی احتمال.
ثبت ریسک یا Risk Register، مهم‌ترین مخزن اطلاعات ریسک سازمان است. هر ریسک باید در این ثبت با مشخصات روشن ثبت شود: عنوان ریسک، شرح رویداد، منشأ آن، مالک ریسک، حوزه اثر، احتمال وقوع، شدت اثر، کنترل‌های موجود، اقدامات لازم، وضعیت ریسک و تاریخ بازبینی. ثبت ریسک نباید به یک فایل بایگانی‌شده تبدیل شود؛ بلکه باید یک ابزار زنده مدیریتی باشد که در جلسات مدیریتی، برنامه‌ریزی عملیاتی و تصمیم‌های سرمایه‌گذاری مورد استفاده قرار گیرد.
ارزیابی احتمال، به این پرسش پاسخ می‌دهد که احتمال وقوع یک رویداد چقدر است. سازمان‌ها معمولاً از مقیاس‌های پنج‌سطحی استفاده می‌کنند؛ از «بسیار بعید» تا «تقریباً قطعی». ارزیابی اثر نیز بررسی می‌کند که اگر ریسک رخ دهد، چه پیامدی برای سازمان خواهد داشت. اثر می‌تواند مالی، عملیاتی، حقوقی، ایمنی، اعتباری، انسانی یا راهبردی باشد.
برای مثال، تأخیر یک تأمین‌کننده کلیدی ممکن است در یک سازمان تولیدی، منجر به توقف خط تولید شود. در چنین وضعیتی، احتمال تأخیر ممکن است متوسط باشد، اما اثر آن بسیار بالا ارزیابی گردد. در مقابل، خطای جزئی در یک گزارش داخلی ممکن است احتمال بالایی داشته باشد، اما اثر آن پایین باشد. بنابراین، تحلیل ریسک فقط بر اساس احتمال یا فقط بر اساس شدت اثر انجام نمی‌شود؛ بلکه ترکیب این دو، مبنای اولویت‌بندی است.

ماتریس ریسک، امتیازدهی و نقشه حرارتی

پس از شناسایی ریسک‌ها، سازمان باید بتواند میان آن‌ها تمایز قائل شود. همه ریسک‌ها اهمیت یکسان ندارند و منابع سازمان نیز محدود هستند. ماتریس ارزیابی ریسک، ابزاری است که احتمال وقوع و شدت اثر ریسک را با یکدیگر ترکیب می‌کند تا سطح کلی ریسک مشخص شود.
در بسیاری از مدل‌ها، احتمال و اثر هر یک در مقیاسی از یک تا پنج امتیازدهی می‌شوند. سپس امتیاز احتمال در امتیاز اثر ضرب می‌شود. حاصل این محاسبه، امتیاز ریسک را ایجاد می‌کند. برای نمونه، ریسکی با احتمال چهار و اثر پنج، امتیاز بیست دریافت می‌کند و معمولاً در گروه ریسک‌های بسیار بالا یا بحرانی قرار می‌گیرد. اما ریسکی با احتمال یک و اثر دو، امتیاز دو دارد و ممکن است در سطح پایین قرار گیرد.
قالب امتیازدهی ریسک، باید کاملاً شفاف و مورد توافق باشد. برای مثال، اثر مالی سطح پنج ممکن است به معنای زیانی بیش از یک درصد از درآمد سالانه سازمان باشد؛ در حالی که اثر مالی سطح دو ممکن است زیانی محدود و قابل‌جبران را نشان دهد. در حوزه اعتبار نیز، سطح پنج می‌تواند به معنای آسیب گسترده به برند، واکنش منفی رسانه‌ها یا از دست رفتن اعتماد مشتریان کلیدی باشد.
نقشه حرارتی ریسک یا Risk Heat Map، نمایش تصویری اولویت ریسک‌هاست. این نقشه معمولاً با رنگ‌های سبز، زرد، نارنجی و قرمز طراحی می‌شود. ریسک‌های سبز در سطح قابل‌کنترل قرار دارند، ریسک‌های زرد نیازمند پایش هستند، ریسک‌های نارنجی به اقدام اصلاحی نیاز دارند و ریسک‌های قرمز باید فوراً در سطح مدیریت ارشد یا هیئت‌مدیره مطرح شوند.
نقشه حرارتی، به مدیران کمک می‌کند در مدت کوتاهی تصویر کلی از وضعیت ریسک سازمان به دست آورند. با این حال، این ابزار نباید جایگزین تحلیل عمیق شود. دو ریسک ممکن است امتیاز یکسان داشته باشند، اما ماهیت و نحوه مواجهه با آن‌ها کاملاً متفاوت باشد. برای مثال، ریسک نوسان نرخ ارز و ریسک نشت اطلاعات مشتریان ممکن است هر دو امتیاز بالا داشته باشند، اما یکی نیازمند سیاست مالی و پوشش ریسک است و دیگری نیازمند کنترل‌های فناوری اطلاعات، آموزش کارکنان و امنیت سایبری.
کارکرد اصلی ماتریس و نقشه حرارتی، ایجاد تمرکز مدیریتی است. سازمان باید بتواند به‌وضوح اعلام کند کدام ریسک‌ها در اولویت نخست هستند، مالک هر ریسک چه کسی است، چه اقدام‌هایی باید انجام شود و چه زمانی وضعیت ریسک باید بازبینی گردد.

بیشتر بخوانید
رهبران چگونه عملکرد خودشان را می‌سنجند؟

مفهوم ریسک و منطق ارزیابی ریسک

شناسایی و تحلیل نظام‌مند ریسک‌ها

شناسایی ریسک، نقطه شروع مدیریت ریسک است. سازمانی که ریسک‌ها را ناقص یا سطحی شناسایی کند، حتی با بهترین مدل‌های امتیازدهی و گزارش‌دهی نیز به نتیجه مطلوب نخواهد رسید. به همین دلیل، مجموعه مدیریت ریسک بر استفاده از چک‌لیست شناسایی ریسک، چک‌لیست ارزیابی و قالب تحلیل ریسک تأکید دارد.
چک‌لیست شناسایی ریسک کمک می‌کند مدیران و کارکنان، ریسک‌ها را تنها به حوزه مالی محدود نکنند. یک سازمان بالغ باید ریسک‌ها را در حوزه‌های مختلف بررسی کند: ریسک‌های راهبردی، عملیاتی، مالی، حقوقی، منابع انسانی، فناوری، امنیت اطلاعات، زنجیره تأمین، کیفیت، ایمنی و سلامت، محیط‌زیست، اعتبار برند و انطباق با مقررات.
برای نمونه، در یک شرکت خدماتی، ریسک‌های کلیدی ممکن است شامل از دست رفتن مشتریان بزرگ، وابستگی به چند نیروی کلیدی، اختلال در سامانه‌های فناوری، شکایت مشتریان، کاهش کیفیت خدمات یا ضعف در قرارداد‌ها باشد. در یک شرکت تولیدی، ریسک‌های دیگری نیز اهمیت پیدا می‌کنند؛ مانند توقف ماشین‌آلات، کمبود مواد اولیه، حادثه ایمنی، نقص محصول، افزایش ضایعات، کاهش ظرفیت تولید یا عدم انطباق با استاندارد‌های کیفیت.
تحلیل ریسک باید از توصیف ساده رویداد فراتر رود.

یک ریسک کامل معمولاً از سه بخش تشکیل می‌شود:

  1. علت
  2. رویداد
  3. پیامد

برای مثال، «نبود تأمین‌کننده جایگزین برای یک قطعه حیاتی» علت است؛ «عدم تحویل به‌موقع قطعه» رویداد است؛ و «توقف تولید و تأخیر در تحویل سفارش مشتری» پیامد آن محسوب می‌شود. این نوع تحلیل به سازمان کمک می‌کند کنترل‌ها را در محل مناسب طراحی کند.
در فرآیند شناسایی، استفاده از جلسات کارشناسی، مصاحبه با مدیران، مرور رخداد‌های گذشته، تحلیل شکایات مشتریان، بررسی گزارش‌های حسابرسی، تحلیل داده‌های عملیاتی و نظرسنجی از کارکنان مفید است. کارکنان خط مقدم معمولاً اطلاعات مهمی درباره ریسک‌های واقعی عملیات دارند؛ زیرا آنان نخستین کسانی هستند که نقص فرایند، رفتار ناایمن، ضعف کنترل یا نارضایتی مشتری را مشاهده می‌کنند.
یک برنامه مدیریت ریسک حرفه‌ای باید فرهنگ گزارش‌دهی را تقویت کند. کارکنان نباید تصور کنند گزارش‌کردن خطا یا ریسک، نشانه ضعف است. سازمان باید میان «خطای انسانی قابل‌آموزش»، «بی‌احتیاطی»، «تخلف عمدی» و «ریسک ساختاری» تفاوت قائل شود. هدف اصلی گزارش‌دهی، یادگیری و پیشگیری است، نه صرفاً یافتن مقصر.

شناسایی و تحلیل نظام‌مند ریسک‌ها

پایش، گزارش‌دهی و شاخص‌های کلیدی ریسک

مدیریت ریسک پس از ارزیابی اولیه پایان نمی‌یابد. ریسک‌ها پویا هستند؛ احتمال وقوع آن‌ها تغییر می‌کند، اثرشان افزایش یا کاهش می‌یابد و کنترل‌های موجود ممکن است کارایی خود را از دست بدهند. به همین دلیل، بخش مهمی از مجموعه مدیریت ریسک به پایش و گزارش‌دهی اختصاص دارد.
داشبورد ریسک، یکی از ابزارهای اصلی گزارش‌دهی برای مدیران ارشد است. این داشبورد باید تصویری روشن، مختصر و تصمیم‌ساز از وضعیت ریسک‌ها ارائه کند. معمولاً داشبورد شامل تعداد ریسک‌های بحرانی، روند تغییر ریسک‌ها، میزان اجرای اقدامات اصلاحی، وضعیت کنترل‌های کلیدی، رخدادهای ثبت‌شده و شاخص‌های کلیدی ریسک است.
شاخص‌های کلیدی ریسک یا KRI، نشانه‌های هشداردهنده‌ای هستند که احتمال افزایش سطح ریسک را پیش از وقوع بحران نشان می‌دهند. برای مثال، افزایش نرخ شکایت مشتریان، افزایش تأخیر تأمین‌کنندگان، رشد مانده مطالبات، افزایش خروج کارکنان کلیدی، افزایش خطاهای سیستمی یا تعداد بالای رخدادهای ایمنی، می‌تواند یک شاخص هشداردهنده باشد.
تفاوت KRI با شاخص عملکرد کلیدی یا KPI بسیار مهم است. KPI عمدتاً میزان تحقق هدف را اندازه‌گیری می‌کند؛ برای مثال میزان فروش، بهره‌وری تولید یا رضایت مشتری. اما KRI احتمال بروز تهدید را نشان می‌دهد. برای نمونه، کاهش سطح موجودی مواد اولیه ممکن است هنوز بر فروش اثر نگذاشته باشد، اما می‌تواند هشدار دهد که خطر توقف تولید در حال افزایش است.

تحلیل روند ریسک نیز اهمیت زیادی دارد. مدیران نباید فقط وضعیت امروز را ببینند؛ بلکه باید بدانند آیا یک ریسک در سه ماه اخیر رو به افزایش بوده است یا کاهش. آیا تعداد رخدادها افزایش یافته؟ آیا کنترل‌ها اثربخش بوده‌اند؟ آیا اقدامات اصلاحی در موعد مقرر اجرا شده‌اند؟ تحلیل روند، مدیریت ریسک را از یک گزارش ایستا به یک سازوکار پیش‌بینی‌کننده تبدیل می‌کند.
ثبت رخدادهای ریسک یا Risk Incident Log نیز مکمل این ساختار است. هر رخداد مهم باید ثبت، بررسی و تحلیل شود: چه اتفاقی افتاد، علت چه بود، چه پیامدی داشت، چه کنترل‌هایی وجود داشت، چرا کنترل‌ها مؤثر نبودند و چه اقدام اصلاحی باید تعریف شود. این ثبت، منبع مهمی برای یادگیری سازمانی و جلوگیری از تکرار خطاهاست.
گزارش ریسک باید متناسب با سطح مخاطب طراحی شود. هیئت‌مدیره به تصویر کلان، ریسک‌های بحرانی، روندها و تصمیم‌های موردنیاز نیاز دارد. مدیران اجرایی به اقدام‌ها، مسئولیت‌ها و زمان‌بندی‌ها نیاز دارند. کارکنان نیز باید بدانند چه دستورالعمل‌هایی را رعایت کنند و در صورت مشاهده چه رویدادهایی، به چه کسی گزارش دهند.

بیشتر بخوانید
مدیریت استعدادها

شناسایی و تحلیل نظام‌مند ریسک‌ها

درمان ریسک و طراحی کنترل‌های اثربخش

پس از شناسایی و ارزیابی ریسک، سازمان باید تصمیم بگیرد چگونه با آن مواجه شود. این مرحله در سند، تحت عنوان درمان و کنترل ریسک مطرح شده است. درمان ریسک، به معنای انتخاب و اجرای اقدام‌هایی است که احتمال وقوع ریسک، شدت اثر آن یا هر دو را کاهش دهد.

چهار رویکرد اصلی در برخورد با ریسک وجود دارد:

  1. اجتناب
  2. کاهش
  3. انتقال
  4. پذیرش

اجتناب یعنی سازمان فعالیت یا تصمیمی را که ریسک غیرقابل‌قبولی ایجاد می‌کند، متوقف یا تغییر دهد.
کاهش ریسک یعنی کنترل‌هایی طراحی شود تا احتمال یا اثر ریسک کمتر شود.
انتقال ریسک یعنی بخشی از پیامدهای ریسک از طریق بیمه، قرارداد، برون‌سپاری یا توافق با شریک تجاری منتقل شود.
پذیرش ریسک نیز زمانی کاربرد دارد که هزینه کنترل از منافع آن بیشتر باشد یا ریسک در محدوده تحمل سازمان قرار گیرد.
برنامه درمان ریسک یا Risk Treatment Plan، باید نشان دهد برای هر ریسک مهم چه تصمیمی گرفته شده، چه اقدام‌هایی لازم است، مسئول اجرا چه کسی است، منابع موردنیاز چیست و مهلت انجام اقدام‌ها چه زمانی خواهد بود. این برنامه نباید کلی و مبهم باشد. عباراتی مانند «کنترل بهتر شود» یا «نظارت افزایش یابد» کافی نیستند. برنامه باید عملیاتی باشد؛ برای مثال: «ایجاد فهرست تأمین‌کنندگان جایگزین تا پایان فصل»، «بازبینی سطح دسترسی کاربران سامانه طی سی روز» یا «اجرای آموزش ایمنی برای تمامی کارکنان خط تولید».
ثبت کنترل‌ها یا Control Register، ابزار دیگری برای مدیریت کنترل‌های موجود است. در این ثبت، سازمان مشخص می‌کند چه کنترل‌هایی وجود دارد، مالک کنترل چه کسی است، کنترل با چه تناوبی اجرا می‌شود، شواهد اجرای آن چیست و اثربخشی آن چگونه ارزیابی می‌گردد.
کنترل‌ها می‌توانند پیشگیرانه، کشف‌کننده یا اصلاحی باشند. کنترل پیشگیرانه مانع وقوع خطا می‌شود؛ مانند تفکیک وظایف در پرداخت‌های مالی. کنترل کشف‌کننده پس از وقوع یا در زمان وقوع خطا آن را شناسایی می‌کند؛ مانند تطبیق دوره‌ای موجودی انبار. کنترل اصلاحی نیز برای بازگرداندن شرایط به حالت قابل‌قبول پس از رخداد طراحی می‌شود؛ مانند برنامه بازیابی اطلاعات پس از اختلال سامانه.

ریسک باقیمانده، پذیرش ریسک و برنامه اقتضایی

هیچ سازمانی نمی‌تواند همه ریسک‌ها را به صفر برساند. حتی پس از اجرای کنترل‌ها، بخشی از ریسک باقی می‌ماند که به آن «ریسک باقیمانده» گفته می‌شود. ثبت ریسک باقیمانده، ابزار مهمی است که نشان می‌دهد پس از اعمال کنترل‌ها، سطح واقعی تهدید در چه وضعیتی قرار دارد.
برای مثال، سازمان ممکن است برای کاهش ریسک نشت اطلاعات، کنترل‌هایی مانند رمزنگاری، مدیریت سطح دسترسی، آموزش کارکنان و پشتیبان‌گیری منظم اجرا کند. با وجود این کنترل‌ها، خطر نشت اطلاعات به‌طور کامل از بین نمی‌رود؛ اما ممکن است از سطح بحرانی به سطح متوسط یا قابل‌قبول کاهش یابد. این سطح جدید، همان ریسک باقیمانده است.
ارزیابی اثربخشی کنترل‌ها اهمیت اساسی دارد. وجود یک کنترل روی کاغذ به معنی عملکرد واقعی آن نیست. مدیران و متخصصان ریسک باید بررسی کنند آیا کنترل به‌درستی طراحی شده، آیا در عمل اجرا می‌شود، آیا شواهد قابل‌اعتماد برای اجرای آن وجود دارد و آیا واقعاً ریسک را کاهش داده است.
فرم پذیرش ریسک، برای مواردی استفاده می‌شود که سازمان آگاهانه تصمیم می‌گیرد یک ریسک را بپذیرد. این تصمیم باید مستند، شفاف و در سطح اختیار مناسب گرفته شود. پذیرش ریسک نباید بهانه‌ای برای بی‌عملی باشد. تصمیم‌گیرنده باید بداند چه ریسکی پذیرفته می‌شود، چرا کنترل بیشتر انجام نمی‌گیرد، پیامد احتمالی چیست و چه شرایطی باعث بازنگری در این تصمیم خواهد شد.
برنامه کاهش ریسک یا Mitigation Plan، بر اقدام‌های تدریجی برای پایین آوردن سطح ریسک تمرکز دارد. در مقابل، برنامه اقتضایی یا Contingency Plan برای زمانی است که ریسک رخ داده یا احتمال وقوع آن به سطحی جدی رسیده است. برنامه اقتضایی مشخص می‌کند اگر یک رویداد بحرانی رخ داد، سازمان چه اقدام‌هایی را فوراً اجرا خواهد کرد، چه افرادی مسئول هستند، چه منابعی فعال می‌شوند و چگونه ارتباطات داخلی و خارجی مدیریت خواهد شد.
برای نمونه، اگر یک سامانه حیاتی از دسترس خارج شود، برنامه اقتضایی باید شامل فعال‌سازی تیم فناوری، اطلاع‌رسانی به واحد‌های مرتبط، استفاده از سامانه پشتیبان، تعیین روش‌های دستی موقت و اطلاع‌رسانی به مشتریان در صورت نیاز باشد. ارزش برنامه اقتضایی در این است که سازمان در لحظه بحران مجبور نباشد از صفر تصمیم بگیرد.

ریسک باقیمانده، پذیرش ریسک و برنامه اقتضایی

حاکمیت، انطباق و مسئولیت‌پذیری در مدیریت ریسک

مدیریت ریسک بدون حاکمیت روشن، به مجموعه‌ای از فرم‌ها و گزارش‌های کم‌اثر تبدیل می‌شود. حاکمیت ریسک مشخص می‌کند چه کسی مسئول چیست، چه تصمیم‌هایی در چه سطحی گرفته می‌شوند، چگونه گزارش‌ها ارائه می‌گردند و چه سازوکاری برای نظارت و پاسخ‌گویی وجود دارد.
سیاست مدیریت ریسک، سندی است که اصول، اهداف، دامنه، تعهدات و رویکرد کلی سازمان در مدیریت ریسک را تعریف می‌کند. این سیاست باید از سوی مدیریت ارشد تصویب شود و نشان دهد که سازمان ریسک را بخشی از تصمیم‌گیری، برنامه‌ریزی و مدیریت عملکرد می‌داند.
روش اجرایی مدیریت ریسک، جزئیات عملیاتی را مشخص می‌کند: ریسک‌ها چگونه شناسایی می‌شوند، چه کسی مسئول امتیازدهی است، بازبینی‌ها با چه تناوبی انجام می‌شوند، گزارش‌ها به چه سطوحی ارسال می‌شوند و در صورت بروز ریسک بحرانی چه روندی باید طی شود.
انطباق با مقررات نیز جزء جدایی‌ناپذیر مدیریت ریسک است. هر سازمان باید قوانین، مقررات، استاندارد‌ها، الزامات قراردادی و تعهدات صنفی مرتبط با فعالیت خود را شناسایی و پایش کند. عدم انطباق ممکن است منجر به جریمه، تعلیق مجوز، دعاوی حقوقی، آسیب اعتباری یا توقف عملیات شود.
چک‌لیست انطباق مقرراتی، ابزاری برای بررسی منظم وضعیت رعایت الزامات است. این چک‌لیست می‌تواند حوزه‌هایی مانند مالیات، بیمه، ایمنی، حفاظت از داده، حقوق کارکنان، استاندارد‌های کیفیت، الزامات محیط‌زیستی و مقررات تخصصی صنعت را پوشش دهد.
بازرسی و بازبینی ریسک نیز نقش تضمینی دارد. این بازبینی باید بررسی کند که آیا فرآیند مدیریت ریسک واقعاً اجرا می‌شود، آیا کنترل‌ها اثربخش هستند، آیا ریسک‌های جدید شناسایی شده‌اند و آیا گزارش‌ها قابل‌اتکا هستند.
ماتریس RACI در این بخش اهمیت ویژه‌ای دارد. RACI مشخص می‌کند چه کسی مسئول اجراست، چه کسی پاسخ‌گوست، با چه کسانی باید مشورت شود و چه کسانی باید در جریان قرار گیرند. برای مثال، مدیر فناوری اطلاعات ممکن است مسئول اجرای کنترل امنیت سایبری باشد، مدیرعامل پاسخ‌گوی نهایی در برابر ریسک‌های حیاتی باشد، واحد حقوقی در تصمیم‌گیری مشورت دهد و هیئت‌مدیره در جریان وضعیت قرار گیرد.

بیشتر بخوانید
راهنمای سریع برای هر آنچه که لازم است درباره توسعه استراتژی بدانید!

حاکمیت، انطباق و مسئولیت‌پذیری در مدیریت ریسک

تداوم کار و کسب، بازیابی بحران و تاب‌آوری سازمانی

بخش پایانی مجموعه مدیریت ریسک، به تداوم کار و کسب و تاب‌آوری اختصاص دارد. این حوزه، به سازمان کمک می‌کند حتی در صورت وقوع رویداد‌های شدید، عملیات حیاتی خود را حفظ یا در کوتاه‌ترین زمان ممکن بازیابی کند.
تحلیل اثر بر کار و کسب یا Business Impact Analysis، نخستین گام در این مسیر است. در BIA، سازمان بررسی می‌کند کدام فرایند‌ها حیاتی هستند، توقف هر فرایند چه پیامد‌هایی دارد، حداکثر زمان قابل‌تحمل برای توقف چیست، چه منابعی برای ادامه فعالیت ضروری‌اند و چه وابستگی‌هایی وجود دارد.
برای مثال، در یک شرکت فروش آنلاین، سامانه ثبت سفارش، پرداخت، انبار و پشتیبانی مشتری ممکن است فرایند‌های حیاتی باشند. اگر سامانه پرداخت برای چند ساعت از دسترس خارج شود، سازمان با کاهش فروش، افزایش تماس‌های مشتریان و آسیب اعتباری مواجه خواهد شد. در BIA، چنین فرایند‌هایی شناسایی و اولویت‌بندی می‌شوند.
برنامه تداوم کار و کسب یا BCP، توضیح می‌دهد که سازمان چگونه در شرایط اختلال، فعالیت‌های حیاتی خود را ادامه می‌دهد. این برنامه می‌تواند شامل تعیین محل جایگزین، روش‌های کاری دستی، فهرست تماس‌های اضطراری، تیم‌های واکنش، منابع پشتیبان و دستورالعمل ارتباط با ذی‌نفعان باشد.
برنامه بازیابی بحران یا DRP، بیشتر بر بازیابی فناوری اطلاعات، داده‌ها، سامانه‌ها و زیرساخت‌های دیجیتال تمرکز دارد. در سازمان‌های امروزی، از دست رفتن داده، حمله سایبری، خرابی سرور یا اختلال در شبکه می‌تواند به‌اندازه توقف فیزیکی عملیات خطرناک باشد. DRP باید مشخص کند داده‌ها چگونه پشتیبان‌گیری می‌شوند، سامانه‌ها در چه زمانی بازیابی خواهند شد، چه محیط جایگزینی وجود دارد و چه تیمی مسئول اجرای برنامه است.
برنامه آزمون BCP و DRP نیز ضروری است. برنامه‌ای که آزمایش نشده باشد، در زمان بحران ممکن است کار نکند. سازمان باید از طریق مانور، سناریو‌های فرضی، آزمون بازیابی داده و تمرین ارتباطات بحران، میزان آمادگی خود را ارزیابی کند.
برنامه مدیریت بحران، آخرین حلقه این زنجیره است. بحران تنها یک اختلال عملیاتی نیست؛ بلکه وضعیتی است که نیازمند تصمیم‌گیری سریع، هماهنگی بین واحد‌ها، مدیریت ارتباطات و حفاظت از اعتماد ذی‌نفعان است. سازمان تاب‌آور، در بحران فقط زنده نمی‌ماند؛ بلکه توان بازگشت، یادگیری و بازسازی سریع‌تر را نیز دارد.

تداوم کار و کسب، بازیابی بحران و تاب‌آوری سازمانی

تبدیل مدیریت ریسک به یک قابلیت راهبردی

مجموعه مدیریت ریسک معرفی‌شده در این سند، یک چارچوب جامع برای تبدیل ریسک از یک موضوع پراکنده و واکنشی به یک نظام مدیریتی ساختاریافته است. این مجموعه از ارزیابی و ثبت ریسک آغاز می‌شود، با امتیازدهی، نقشه حرارتی و اولویت‌بندی ادامه پیدا می‌کند، از طریق داشبورد‌ها و شاخص‌های کلیدی پایش می‌شود و با کنترل‌ها، برنامه‌های درمان، اقدامات اصلاحی و برنامه‌های اقتضایی به مرحله اجرا می‌رسد.
در سطح حاکمیت، سیاست‌ها، روش‌های اجرایی، الزامات انطباق، بازبینی‌های کنترلی و ماتریس مسئولیت‌ها، نظم و پاسخ‌گویی لازم را فراهم می‌کنند. در سطح تاب‌آوری نیز، تحلیل اثر بر کار و کسب، برنامه تداوم، بازیابی بحران، آزمون‌های آمادگی و مدیریت بحران به سازمان کمک می‌کنند در مواجهه با اختلال‌های شدید، توان عملیاتی خود را حفظ کند.
برای مدیران ارشد، پیام اصلی این است که مدیریت ریسک باید بخشی از تصمیم‌گیری راهبردی باشد، نه یک فعالیت جانبی.
سرمایه‌گذاری، ورود به بازار جدید، انتخاب شریک تجاری، توسعه محصول، تحول دیجیتال، جذب نیروی کلیدی و تغییر ساختار سازمانی، همگی باید با نگاه ریسک‌محور ارزیابی شوند.
برای متخصصان ریسک، این چارچوب تأکید می‌کند که نقش آنان فقط تهیه گزارش نیست. آنان باید میان داده، کنترل، تصمیم‌گیری، فرهنگ سازمانی و عملکرد عملیاتی ارتباط برقرار کنند. یک متخصص ریسک اثربخش، زبان مدیران، کارکنان عملیاتی، واحد مالی، فناوری اطلاعات، حقوقی و منابع انسانی را می‌فهمد و می‌تواند ریسک را به اقدام مشخص تبدیل کند.
برای کارکنان، مهم‌ترین پیام این است که مدیریت ریسک وظیفه یک واحد خاص نیست. هر کارمند، در هر سطحی، می‌تواند منشأ شناسایی یک ریسک، اجرای یک کنترل یا جلوگیری از یک خسارت باشد. رعایت دستورالعمل‌ها، گزارش‌کردن شرایط ناایمن، محافظت از اطلاعات، توجه به شکایات مشتریان و پایبندی به فرآیند‌ها، همگی اجزای مدیریت ریسک هستند.
سازمانی که مدیریت ریسک را به‌صورت واقعی اجرا کند، فقط خسارت‌های خود را کاهش نمی‌دهد. چنین سازمانی تصمیم‌های دقیق‌تر می‌گیرد، منابع خود را هوشمندانه‌تر تخصیص می‌دهد، اعتماد بیشتری در میان مشتریان و کارکنان ایجاد می‌کند و در برابر بحران‌ها مقاوم‌تر می‌شود. مدیریت ریسک، در نهایت، هنر دیدن آینده پیش از آن است که آینده به بحران تبدیل شود.

شما به عنوان مدیر ارشد یک سازمان یا مدیر منابع انسانی برای هرگونه مشاوره تخصصی در زمینه مدیریت ریسک می توانید با گروه توسعه راه حل های منابع انسانی تماس بگیرید.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نه + 19 =

جستجو

آخرین مقالات

مربیگری فردی/ دکتر عبدالرضا حافظی
نظام جامع مدیریت منابع انسانی/ دکتر عبدالرضا حافظی
توسعه مهارت های رهبری / دکتر عبدالرضا حافظی
مدل های رهبری اثربخش/ دکتر عبدالرضا حافظی
فرهنگ آرمانی در سازمان ها/دکتر عبدالرضا حافظی
آموزش و توسعه منابع انسانی/ دکتر عبدالرضا حافظی
کانون ارزیابی و توسعه شایستگی ها/ دکتر عبدالرضا حافظی
مربیگری توسعه کار و کسب ها/ دکتر عبدالرضا حافظی