راهنمای جامع مدیریت ریسک سازمانی
از شناسایی تهدیدها تا تابآوری و تداوم کار و کسب
مدیریت ریسک، یک فعالیت اداری محدود یا صرفاً وظیفه واحد حسابرسی نیست؛ بلکه یک قابلیت مدیریتی و سازمانی است که به رهبران کمک میکند پیش از تبدیلشدن عدمقطعیتها به بحران، آنها را شناسایی، تحلیل، کنترل و پایش کنند.
هر سازمان، صرفنظر از اندازه، صنعت یا مدل کار و کسب، با ریسکهایی در حوزه مالی، عملیاتی، انسانی، حقوقی، فناورانه، اعتباری، ایمنی، زنجیره تأمین و بازار مواجه است. تفاوت میان سازمانهای آسیبپذیر و سازمانهای بالغ، در نبود ریسک نیست؛ بلکه در کیفیت مواجهه با ریسکهاست.
سند حاضر، یک «مجموعه کامل مدیریت ریسک» را معرفی میکند
که پنج لایه اصلی را در بر میگیرد:
- ارزیابی ریسک
- پایش و گزارشدهی
- درمان و کنترل ریسک
- حاکمیت و انطباق
- تداوم کار و کسب و تابآوری.
این پنج لایه، در کنار یکدیگر، چرخهای منسجم برای مدیریت ریسک ایجاد میکنند؛ چرخهای که از شناسایی اولیه ریسک آغاز میشود، به تصمیمگیری درباره نحوه برخورد با آن میرسد و با نظارت مستمر، آمادگی برای بحران و بهبود دائمی تکمیل میگردد.
برای مدیران ارشد، این چارچوب یک ابزار تصمیمسازی است. مدیرعامل، هیئتمدیره و مدیران ارشد با استفاده از آن میتوانند تشخیص دهند کدام ریسکها تهدیدکننده اهداف راهبردی سازمان هستند، چه میزان ریسک قابلپذیرش است، منابع باید در کجا تخصیص یابند و چه تهدیدهایی نیازمند مداخله فوریاند.
برای متخصصان مدیریت ریسک، این مجموعه یک ساختار اجرایی فراهم میآورد: ثبت ریسک، مدل امتیازدهی، نقشه حرارتی، شاخصهای کلیدی ریسک، برنامههای کنترلی، ثبت کنترلها، ارزیابی ریسک باقیمانده و برنامههای اقتضایی. برای کارکنان نیز، این چارچوب زبان مشترکی ایجاد میکند تا بدانند ریسک چیست، چه رویدادهایی باید گزارش شوند، مسئولیت آنان در رعایت کنترلها چیست و چگونه میتوانند از وقوع خطاها، خسارتها و بحرانها جلوگیری کنند.
مدیریت ریسک اثربخش، سازمان را از وضعیت «واکنش پس از حادثه» به وضعیت «پیشبینی، پیشگیری و آمادگی» منتقل میکند. این تغییر نگرش، نهتنها هزینههای ناشی از خطا، توقف عملیات، دعاوی حقوقی و آسیب اعتباری را کاهش میدهد، بلکه اعتماد ذینفعان، کیفیت تصمیمگیری و قابلیت رشد پایدار سازمان را نیز تقویت مینماید.

مفهوم ریسک و منطق ارزیابی ریسک
ریسک را میتوان اثر عدمقطعیت بر اهداف سازمان تعریف کرد. این اثر ممکن است منفی باشد؛ مانند کاهش فروش، از دست رفتن مشتری، خرابی تجهیزات، نشت اطلاعات یا عدم انطباق با مقررات. با این حال، برخی عدمقطعیتها میتوانند فرصت نیز ایجاد کنند؛ برای مثال ورود به بازار جدید، سرمایهگذاری در فناوری یا همکاری با یک شریک تجاری تازه. بنابراین، مدیریت ریسک صرفاً به معنای جلوگیری از خسارت نیست؛ بلکه به معنای انتخاب آگاهانه میان فرصتها و تهدیدهاست.
نخستین بخش مجموعه مدیریت ریسک، «ارزیابی ریسک» است. ارزیابی ریسک مجموعه فعالیتهایی است که به سازمان کمک میکند ریسکها را شناسایی، توصیف، اندازهگیری، اولویتبندی و برای تصمیمگیری آماده کند. در این بخش، چند ابزار کلیدی معرفی میشود: ثبت ریسک، ماتریس ارزیابی ریسک، نقشه حرارتی، قالب امتیازدهی، چکلیست ارزیابی، چکلیست شناسایی، قالب تحلیل، ارزیابی اثر و ارزیابی احتمال.
ثبت ریسک یا Risk Register، مهمترین مخزن اطلاعات ریسک سازمان است. هر ریسک باید در این ثبت با مشخصات روشن ثبت شود: عنوان ریسک، شرح رویداد، منشأ آن، مالک ریسک، حوزه اثر، احتمال وقوع، شدت اثر، کنترلهای موجود، اقدامات لازم، وضعیت ریسک و تاریخ بازبینی. ثبت ریسک نباید به یک فایل بایگانیشده تبدیل شود؛ بلکه باید یک ابزار زنده مدیریتی باشد که در جلسات مدیریتی، برنامهریزی عملیاتی و تصمیمهای سرمایهگذاری مورد استفاده قرار گیرد.
ارزیابی احتمال، به این پرسش پاسخ میدهد که احتمال وقوع یک رویداد چقدر است. سازمانها معمولاً از مقیاسهای پنجسطحی استفاده میکنند؛ از «بسیار بعید» تا «تقریباً قطعی». ارزیابی اثر نیز بررسی میکند که اگر ریسک رخ دهد، چه پیامدی برای سازمان خواهد داشت. اثر میتواند مالی، عملیاتی، حقوقی، ایمنی، اعتباری، انسانی یا راهبردی باشد.
برای مثال، تأخیر یک تأمینکننده کلیدی ممکن است در یک سازمان تولیدی، منجر به توقف خط تولید شود. در چنین وضعیتی، احتمال تأخیر ممکن است متوسط باشد، اما اثر آن بسیار بالا ارزیابی گردد. در مقابل، خطای جزئی در یک گزارش داخلی ممکن است احتمال بالایی داشته باشد، اما اثر آن پایین باشد. بنابراین، تحلیل ریسک فقط بر اساس احتمال یا فقط بر اساس شدت اثر انجام نمیشود؛ بلکه ترکیب این دو، مبنای اولویتبندی است.
ماتریس ریسک، امتیازدهی و نقشه حرارتی
پس از شناسایی ریسکها، سازمان باید بتواند میان آنها تمایز قائل شود. همه ریسکها اهمیت یکسان ندارند و منابع سازمان نیز محدود هستند. ماتریس ارزیابی ریسک، ابزاری است که احتمال وقوع و شدت اثر ریسک را با یکدیگر ترکیب میکند تا سطح کلی ریسک مشخص شود.
در بسیاری از مدلها، احتمال و اثر هر یک در مقیاسی از یک تا پنج امتیازدهی میشوند. سپس امتیاز احتمال در امتیاز اثر ضرب میشود. حاصل این محاسبه، امتیاز ریسک را ایجاد میکند. برای نمونه، ریسکی با احتمال چهار و اثر پنج، امتیاز بیست دریافت میکند و معمولاً در گروه ریسکهای بسیار بالا یا بحرانی قرار میگیرد. اما ریسکی با احتمال یک و اثر دو، امتیاز دو دارد و ممکن است در سطح پایین قرار گیرد.
قالب امتیازدهی ریسک، باید کاملاً شفاف و مورد توافق باشد. برای مثال، اثر مالی سطح پنج ممکن است به معنای زیانی بیش از یک درصد از درآمد سالانه سازمان باشد؛ در حالی که اثر مالی سطح دو ممکن است زیانی محدود و قابلجبران را نشان دهد. در حوزه اعتبار نیز، سطح پنج میتواند به معنای آسیب گسترده به برند، واکنش منفی رسانهها یا از دست رفتن اعتماد مشتریان کلیدی باشد.
نقشه حرارتی ریسک یا Risk Heat Map، نمایش تصویری اولویت ریسکهاست. این نقشه معمولاً با رنگهای سبز، زرد، نارنجی و قرمز طراحی میشود. ریسکهای سبز در سطح قابلکنترل قرار دارند، ریسکهای زرد نیازمند پایش هستند، ریسکهای نارنجی به اقدام اصلاحی نیاز دارند و ریسکهای قرمز باید فوراً در سطح مدیریت ارشد یا هیئتمدیره مطرح شوند.
نقشه حرارتی، به مدیران کمک میکند در مدت کوتاهی تصویر کلی از وضعیت ریسک سازمان به دست آورند. با این حال، این ابزار نباید جایگزین تحلیل عمیق شود. دو ریسک ممکن است امتیاز یکسان داشته باشند، اما ماهیت و نحوه مواجهه با آنها کاملاً متفاوت باشد. برای مثال، ریسک نوسان نرخ ارز و ریسک نشت اطلاعات مشتریان ممکن است هر دو امتیاز بالا داشته باشند، اما یکی نیازمند سیاست مالی و پوشش ریسک است و دیگری نیازمند کنترلهای فناوری اطلاعات، آموزش کارکنان و امنیت سایبری.
کارکرد اصلی ماتریس و نقشه حرارتی، ایجاد تمرکز مدیریتی است. سازمان باید بتواند بهوضوح اعلام کند کدام ریسکها در اولویت نخست هستند، مالک هر ریسک چه کسی است، چه اقدامهایی باید انجام شود و چه زمانی وضعیت ریسک باید بازبینی گردد.

شناسایی و تحلیل نظاممند ریسکها
شناسایی ریسک، نقطه شروع مدیریت ریسک است. سازمانی که ریسکها را ناقص یا سطحی شناسایی کند، حتی با بهترین مدلهای امتیازدهی و گزارشدهی نیز به نتیجه مطلوب نخواهد رسید. به همین دلیل، مجموعه مدیریت ریسک بر استفاده از چکلیست شناسایی ریسک، چکلیست ارزیابی و قالب تحلیل ریسک تأکید دارد.
چکلیست شناسایی ریسک کمک میکند مدیران و کارکنان، ریسکها را تنها به حوزه مالی محدود نکنند. یک سازمان بالغ باید ریسکها را در حوزههای مختلف بررسی کند: ریسکهای راهبردی، عملیاتی، مالی، حقوقی، منابع انسانی، فناوری، امنیت اطلاعات، زنجیره تأمین، کیفیت، ایمنی و سلامت، محیطزیست، اعتبار برند و انطباق با مقررات.
برای نمونه، در یک شرکت خدماتی، ریسکهای کلیدی ممکن است شامل از دست رفتن مشتریان بزرگ، وابستگی به چند نیروی کلیدی، اختلال در سامانههای فناوری، شکایت مشتریان، کاهش کیفیت خدمات یا ضعف در قراردادها باشد. در یک شرکت تولیدی، ریسکهای دیگری نیز اهمیت پیدا میکنند؛ مانند توقف ماشینآلات، کمبود مواد اولیه، حادثه ایمنی، نقص محصول، افزایش ضایعات، کاهش ظرفیت تولید یا عدم انطباق با استانداردهای کیفیت.
تحلیل ریسک باید از توصیف ساده رویداد فراتر رود.
یک ریسک کامل معمولاً از سه بخش تشکیل میشود:
- علت
- رویداد
- پیامد
برای مثال، «نبود تأمینکننده جایگزین برای یک قطعه حیاتی» علت است؛ «عدم تحویل بهموقع قطعه» رویداد است؛ و «توقف تولید و تأخیر در تحویل سفارش مشتری» پیامد آن محسوب میشود. این نوع تحلیل به سازمان کمک میکند کنترلها را در محل مناسب طراحی کند.
در فرآیند شناسایی، استفاده از جلسات کارشناسی، مصاحبه با مدیران، مرور رخدادهای گذشته، تحلیل شکایات مشتریان، بررسی گزارشهای حسابرسی، تحلیل دادههای عملیاتی و نظرسنجی از کارکنان مفید است. کارکنان خط مقدم معمولاً اطلاعات مهمی درباره ریسکهای واقعی عملیات دارند؛ زیرا آنان نخستین کسانی هستند که نقص فرایند، رفتار ناایمن، ضعف کنترل یا نارضایتی مشتری را مشاهده میکنند.
یک برنامه مدیریت ریسک حرفهای باید فرهنگ گزارشدهی را تقویت کند. کارکنان نباید تصور کنند گزارشکردن خطا یا ریسک، نشانه ضعف است. سازمان باید میان «خطای انسانی قابلآموزش»، «بیاحتیاطی»، «تخلف عمدی» و «ریسک ساختاری» تفاوت قائل شود. هدف اصلی گزارشدهی، یادگیری و پیشگیری است، نه صرفاً یافتن مقصر.

پایش، گزارشدهی و شاخصهای کلیدی ریسک
مدیریت ریسک پس از ارزیابی اولیه پایان نمییابد. ریسکها پویا هستند؛ احتمال وقوع آنها تغییر میکند، اثرشان افزایش یا کاهش مییابد و کنترلهای موجود ممکن است کارایی خود را از دست بدهند. به همین دلیل، بخش مهمی از مجموعه مدیریت ریسک به پایش و گزارشدهی اختصاص دارد.
داشبورد ریسک، یکی از ابزارهای اصلی گزارشدهی برای مدیران ارشد است. این داشبورد باید تصویری روشن، مختصر و تصمیمساز از وضعیت ریسکها ارائه کند. معمولاً داشبورد شامل تعداد ریسکهای بحرانی، روند تغییر ریسکها، میزان اجرای اقدامات اصلاحی، وضعیت کنترلهای کلیدی، رخدادهای ثبتشده و شاخصهای کلیدی ریسک است.
شاخصهای کلیدی ریسک یا KRI، نشانههای هشداردهندهای هستند که احتمال افزایش سطح ریسک را پیش از وقوع بحران نشان میدهند. برای مثال، افزایش نرخ شکایت مشتریان، افزایش تأخیر تأمینکنندگان، رشد مانده مطالبات، افزایش خروج کارکنان کلیدی، افزایش خطاهای سیستمی یا تعداد بالای رخدادهای ایمنی، میتواند یک شاخص هشداردهنده باشد.
تفاوت KRI با شاخص عملکرد کلیدی یا KPI بسیار مهم است. KPI عمدتاً میزان تحقق هدف را اندازهگیری میکند؛ برای مثال میزان فروش، بهرهوری تولید یا رضایت مشتری. اما KRI احتمال بروز تهدید را نشان میدهد. برای نمونه، کاهش سطح موجودی مواد اولیه ممکن است هنوز بر فروش اثر نگذاشته باشد، اما میتواند هشدار دهد که خطر توقف تولید در حال افزایش است.
تحلیل روند ریسک نیز اهمیت زیادی دارد. مدیران نباید فقط وضعیت امروز را ببینند؛ بلکه باید بدانند آیا یک ریسک در سه ماه اخیر رو به افزایش بوده است یا کاهش. آیا تعداد رخدادها افزایش یافته؟ آیا کنترلها اثربخش بودهاند؟ آیا اقدامات اصلاحی در موعد مقرر اجرا شدهاند؟ تحلیل روند، مدیریت ریسک را از یک گزارش ایستا به یک سازوکار پیشبینیکننده تبدیل میکند.
ثبت رخدادهای ریسک یا Risk Incident Log نیز مکمل این ساختار است. هر رخداد مهم باید ثبت، بررسی و تحلیل شود: چه اتفاقی افتاد، علت چه بود، چه پیامدی داشت، چه کنترلهایی وجود داشت، چرا کنترلها مؤثر نبودند و چه اقدام اصلاحی باید تعریف شود. این ثبت، منبع مهمی برای یادگیری سازمانی و جلوگیری از تکرار خطاهاست.
گزارش ریسک باید متناسب با سطح مخاطب طراحی شود. هیئتمدیره به تصویر کلان، ریسکهای بحرانی، روندها و تصمیمهای موردنیاز نیاز دارد. مدیران اجرایی به اقدامها، مسئولیتها و زمانبندیها نیاز دارند. کارکنان نیز باید بدانند چه دستورالعملهایی را رعایت کنند و در صورت مشاهده چه رویدادهایی، به چه کسی گزارش دهند.

درمان ریسک و طراحی کنترلهای اثربخش
پس از شناسایی و ارزیابی ریسک، سازمان باید تصمیم بگیرد چگونه با آن مواجه شود. این مرحله در سند، تحت عنوان درمان و کنترل ریسک مطرح شده است. درمان ریسک، به معنای انتخاب و اجرای اقدامهایی است که احتمال وقوع ریسک، شدت اثر آن یا هر دو را کاهش دهد.
چهار رویکرد اصلی در برخورد با ریسک وجود دارد:
- اجتناب
- کاهش
- انتقال
- پذیرش
اجتناب یعنی سازمان فعالیت یا تصمیمی را که ریسک غیرقابلقبولی ایجاد میکند، متوقف یا تغییر دهد.
کاهش ریسک یعنی کنترلهایی طراحی شود تا احتمال یا اثر ریسک کمتر شود.
انتقال ریسک یعنی بخشی از پیامدهای ریسک از طریق بیمه، قرارداد، برونسپاری یا توافق با شریک تجاری منتقل شود.
پذیرش ریسک نیز زمانی کاربرد دارد که هزینه کنترل از منافع آن بیشتر باشد یا ریسک در محدوده تحمل سازمان قرار گیرد.
برنامه درمان ریسک یا Risk Treatment Plan، باید نشان دهد برای هر ریسک مهم چه تصمیمی گرفته شده، چه اقدامهایی لازم است، مسئول اجرا چه کسی است، منابع موردنیاز چیست و مهلت انجام اقدامها چه زمانی خواهد بود. این برنامه نباید کلی و مبهم باشد. عباراتی مانند «کنترل بهتر شود» یا «نظارت افزایش یابد» کافی نیستند. برنامه باید عملیاتی باشد؛ برای مثال: «ایجاد فهرست تأمینکنندگان جایگزین تا پایان فصل»، «بازبینی سطح دسترسی کاربران سامانه طی سی روز» یا «اجرای آموزش ایمنی برای تمامی کارکنان خط تولید».
ثبت کنترلها یا Control Register، ابزار دیگری برای مدیریت کنترلهای موجود است. در این ثبت، سازمان مشخص میکند چه کنترلهایی وجود دارد، مالک کنترل چه کسی است، کنترل با چه تناوبی اجرا میشود، شواهد اجرای آن چیست و اثربخشی آن چگونه ارزیابی میگردد.
کنترلها میتوانند پیشگیرانه، کشفکننده یا اصلاحی باشند. کنترل پیشگیرانه مانع وقوع خطا میشود؛ مانند تفکیک وظایف در پرداختهای مالی. کنترل کشفکننده پس از وقوع یا در زمان وقوع خطا آن را شناسایی میکند؛ مانند تطبیق دورهای موجودی انبار. کنترل اصلاحی نیز برای بازگرداندن شرایط به حالت قابلقبول پس از رخداد طراحی میشود؛ مانند برنامه بازیابی اطلاعات پس از اختلال سامانه.
ریسک باقیمانده، پذیرش ریسک و برنامه اقتضایی
هیچ سازمانی نمیتواند همه ریسکها را به صفر برساند. حتی پس از اجرای کنترلها، بخشی از ریسک باقی میماند که به آن «ریسک باقیمانده» گفته میشود. ثبت ریسک باقیمانده، ابزار مهمی است که نشان میدهد پس از اعمال کنترلها، سطح واقعی تهدید در چه وضعیتی قرار دارد.
برای مثال، سازمان ممکن است برای کاهش ریسک نشت اطلاعات، کنترلهایی مانند رمزنگاری، مدیریت سطح دسترسی، آموزش کارکنان و پشتیبانگیری منظم اجرا کند. با وجود این کنترلها، خطر نشت اطلاعات بهطور کامل از بین نمیرود؛ اما ممکن است از سطح بحرانی به سطح متوسط یا قابلقبول کاهش یابد. این سطح جدید، همان ریسک باقیمانده است.
ارزیابی اثربخشی کنترلها اهمیت اساسی دارد. وجود یک کنترل روی کاغذ به معنی عملکرد واقعی آن نیست. مدیران و متخصصان ریسک باید بررسی کنند آیا کنترل بهدرستی طراحی شده، آیا در عمل اجرا میشود، آیا شواهد قابلاعتماد برای اجرای آن وجود دارد و آیا واقعاً ریسک را کاهش داده است.
فرم پذیرش ریسک، برای مواردی استفاده میشود که سازمان آگاهانه تصمیم میگیرد یک ریسک را بپذیرد. این تصمیم باید مستند، شفاف و در سطح اختیار مناسب گرفته شود. پذیرش ریسک نباید بهانهای برای بیعملی باشد. تصمیمگیرنده باید بداند چه ریسکی پذیرفته میشود، چرا کنترل بیشتر انجام نمیگیرد، پیامد احتمالی چیست و چه شرایطی باعث بازنگری در این تصمیم خواهد شد.
برنامه کاهش ریسک یا Mitigation Plan، بر اقدامهای تدریجی برای پایین آوردن سطح ریسک تمرکز دارد. در مقابل، برنامه اقتضایی یا Contingency Plan برای زمانی است که ریسک رخ داده یا احتمال وقوع آن به سطحی جدی رسیده است. برنامه اقتضایی مشخص میکند اگر یک رویداد بحرانی رخ داد، سازمان چه اقدامهایی را فوراً اجرا خواهد کرد، چه افرادی مسئول هستند، چه منابعی فعال میشوند و چگونه ارتباطات داخلی و خارجی مدیریت خواهد شد.
برای نمونه، اگر یک سامانه حیاتی از دسترس خارج شود، برنامه اقتضایی باید شامل فعالسازی تیم فناوری، اطلاعرسانی به واحدهای مرتبط، استفاده از سامانه پشتیبان، تعیین روشهای دستی موقت و اطلاعرسانی به مشتریان در صورت نیاز باشد. ارزش برنامه اقتضایی در این است که سازمان در لحظه بحران مجبور نباشد از صفر تصمیم بگیرد.

حاکمیت، انطباق و مسئولیتپذیری در مدیریت ریسک
مدیریت ریسک بدون حاکمیت روشن، به مجموعهای از فرمها و گزارشهای کماثر تبدیل میشود. حاکمیت ریسک مشخص میکند چه کسی مسئول چیست، چه تصمیمهایی در چه سطحی گرفته میشوند، چگونه گزارشها ارائه میگردند و چه سازوکاری برای نظارت و پاسخگویی وجود دارد.
سیاست مدیریت ریسک، سندی است که اصول، اهداف، دامنه، تعهدات و رویکرد کلی سازمان در مدیریت ریسک را تعریف میکند. این سیاست باید از سوی مدیریت ارشد تصویب شود و نشان دهد که سازمان ریسک را بخشی از تصمیمگیری، برنامهریزی و مدیریت عملکرد میداند.
روش اجرایی مدیریت ریسک، جزئیات عملیاتی را مشخص میکند: ریسکها چگونه شناسایی میشوند، چه کسی مسئول امتیازدهی است، بازبینیها با چه تناوبی انجام میشوند، گزارشها به چه سطوحی ارسال میشوند و در صورت بروز ریسک بحرانی چه روندی باید طی شود.
انطباق با مقررات نیز جزء جداییناپذیر مدیریت ریسک است. هر سازمان باید قوانین، مقررات، استانداردها، الزامات قراردادی و تعهدات صنفی مرتبط با فعالیت خود را شناسایی و پایش کند. عدم انطباق ممکن است منجر به جریمه، تعلیق مجوز، دعاوی حقوقی، آسیب اعتباری یا توقف عملیات شود.
چکلیست انطباق مقرراتی، ابزاری برای بررسی منظم وضعیت رعایت الزامات است. این چکلیست میتواند حوزههایی مانند مالیات، بیمه، ایمنی، حفاظت از داده، حقوق کارکنان، استانداردهای کیفیت، الزامات محیطزیستی و مقررات تخصصی صنعت را پوشش دهد.
بازرسی و بازبینی ریسک نیز نقش تضمینی دارد. این بازبینی باید بررسی کند که آیا فرآیند مدیریت ریسک واقعاً اجرا میشود، آیا کنترلها اثربخش هستند، آیا ریسکهای جدید شناسایی شدهاند و آیا گزارشها قابلاتکا هستند.
ماتریس RACI در این بخش اهمیت ویژهای دارد. RACI مشخص میکند چه کسی مسئول اجراست، چه کسی پاسخگوست، با چه کسانی باید مشورت شود و چه کسانی باید در جریان قرار گیرند. برای مثال، مدیر فناوری اطلاعات ممکن است مسئول اجرای کنترل امنیت سایبری باشد، مدیرعامل پاسخگوی نهایی در برابر ریسکهای حیاتی باشد، واحد حقوقی در تصمیمگیری مشورت دهد و هیئتمدیره در جریان وضعیت قرار گیرد.

تداوم کار و کسب، بازیابی بحران و تابآوری سازمانی
بخش پایانی مجموعه مدیریت ریسک، به تداوم کار و کسب و تابآوری اختصاص دارد. این حوزه، به سازمان کمک میکند حتی در صورت وقوع رویدادهای شدید، عملیات حیاتی خود را حفظ یا در کوتاهترین زمان ممکن بازیابی کند.
تحلیل اثر بر کار و کسب یا Business Impact Analysis، نخستین گام در این مسیر است. در BIA، سازمان بررسی میکند کدام فرایندها حیاتی هستند، توقف هر فرایند چه پیامدهایی دارد، حداکثر زمان قابلتحمل برای توقف چیست، چه منابعی برای ادامه فعالیت ضروریاند و چه وابستگیهایی وجود دارد.
برای مثال، در یک شرکت فروش آنلاین، سامانه ثبت سفارش، پرداخت، انبار و پشتیبانی مشتری ممکن است فرایندهای حیاتی باشند. اگر سامانه پرداخت برای چند ساعت از دسترس خارج شود، سازمان با کاهش فروش، افزایش تماسهای مشتریان و آسیب اعتباری مواجه خواهد شد. در BIA، چنین فرایندهایی شناسایی و اولویتبندی میشوند.
برنامه تداوم کار و کسب یا BCP، توضیح میدهد که سازمان چگونه در شرایط اختلال، فعالیتهای حیاتی خود را ادامه میدهد. این برنامه میتواند شامل تعیین محل جایگزین، روشهای کاری دستی، فهرست تماسهای اضطراری، تیمهای واکنش، منابع پشتیبان و دستورالعمل ارتباط با ذینفعان باشد.
برنامه بازیابی بحران یا DRP، بیشتر بر بازیابی فناوری اطلاعات، دادهها، سامانهها و زیرساختهای دیجیتال تمرکز دارد. در سازمانهای امروزی، از دست رفتن داده، حمله سایبری، خرابی سرور یا اختلال در شبکه میتواند بهاندازه توقف فیزیکی عملیات خطرناک باشد. DRP باید مشخص کند دادهها چگونه پشتیبانگیری میشوند، سامانهها در چه زمانی بازیابی خواهند شد، چه محیط جایگزینی وجود دارد و چه تیمی مسئول اجرای برنامه است.
برنامه آزمون BCP و DRP نیز ضروری است. برنامهای که آزمایش نشده باشد، در زمان بحران ممکن است کار نکند. سازمان باید از طریق مانور، سناریوهای فرضی، آزمون بازیابی داده و تمرین ارتباطات بحران، میزان آمادگی خود را ارزیابی کند.
برنامه مدیریت بحران، آخرین حلقه این زنجیره است. بحران تنها یک اختلال عملیاتی نیست؛ بلکه وضعیتی است که نیازمند تصمیمگیری سریع، هماهنگی بین واحدها، مدیریت ارتباطات و حفاظت از اعتماد ذینفعان است. سازمان تابآور، در بحران فقط زنده نمیماند؛ بلکه توان بازگشت، یادگیری و بازسازی سریعتر را نیز دارد.

تبدیل مدیریت ریسک به یک قابلیت راهبردی
مجموعه مدیریت ریسک معرفیشده در این سند، یک چارچوب جامع برای تبدیل ریسک از یک موضوع پراکنده و واکنشی به یک نظام مدیریتی ساختاریافته است. این مجموعه از ارزیابی و ثبت ریسک آغاز میشود، با امتیازدهی، نقشه حرارتی و اولویتبندی ادامه پیدا میکند، از طریق داشبوردها و شاخصهای کلیدی پایش میشود و با کنترلها، برنامههای درمان، اقدامات اصلاحی و برنامههای اقتضایی به مرحله اجرا میرسد.
در سطح حاکمیت، سیاستها، روشهای اجرایی، الزامات انطباق، بازبینیهای کنترلی و ماتریس مسئولیتها، نظم و پاسخگویی لازم را فراهم میکنند. در سطح تابآوری نیز، تحلیل اثر بر کار و کسب، برنامه تداوم، بازیابی بحران، آزمونهای آمادگی و مدیریت بحران به سازمان کمک میکنند در مواجهه با اختلالهای شدید، توان عملیاتی خود را حفظ کند.
برای مدیران ارشد، پیام اصلی این است که مدیریت ریسک باید بخشی از تصمیمگیری راهبردی باشد، نه یک فعالیت جانبی.
سرمایهگذاری، ورود به بازار جدید، انتخاب شریک تجاری، توسعه محصول، تحول دیجیتال، جذب نیروی کلیدی و تغییر ساختار سازمانی، همگی باید با نگاه ریسکمحور ارزیابی شوند.
برای متخصصان ریسک، این چارچوب تأکید میکند که نقش آنان فقط تهیه گزارش نیست. آنان باید میان داده، کنترل، تصمیمگیری، فرهنگ سازمانی و عملکرد عملیاتی ارتباط برقرار کنند. یک متخصص ریسک اثربخش، زبان مدیران، کارکنان عملیاتی، واحد مالی، فناوری اطلاعات، حقوقی و منابع انسانی را میفهمد و میتواند ریسک را به اقدام مشخص تبدیل کند.
برای کارکنان، مهمترین پیام این است که مدیریت ریسک وظیفه یک واحد خاص نیست. هر کارمند، در هر سطحی، میتواند منشأ شناسایی یک ریسک، اجرای یک کنترل یا جلوگیری از یک خسارت باشد. رعایت دستورالعملها، گزارشکردن شرایط ناایمن، محافظت از اطلاعات، توجه به شکایات مشتریان و پایبندی به فرآیندها، همگی اجزای مدیریت ریسک هستند.
سازمانی که مدیریت ریسک را بهصورت واقعی اجرا کند، فقط خسارتهای خود را کاهش نمیدهد. چنین سازمانی تصمیمهای دقیقتر میگیرد، منابع خود را هوشمندانهتر تخصیص میدهد، اعتماد بیشتری در میان مشتریان و کارکنان ایجاد میکند و در برابر بحرانها مقاومتر میشود. مدیریت ریسک، در نهایت، هنر دیدن آینده پیش از آن است که آینده به بحران تبدیل شود.
شما به عنوان مدیر ارشد یک سازمان یا مدیر منابع انسانی برای هرگونه مشاوره تخصصی در زمینه مدیریت ریسک می توانید با گروه توسعه راه حل های منابع انسانی تماس بگیرید.












