مدیریت ریسک چیست و چرا اهمیت دارد؟

مدیریت ریسک، فرآیندی است که شامل شناسایی، ارزیابی و کنترل تهدیدات علیه سرمایه، درآمد و عملیات یک سازمان است. این ریسک‌ها از منابع مختلفی ناشی می‌شوند. از جمله عدم قطعیت‌های مالی، مسئولیت‌های قانونی، مسائل فناوری، اشتباهات استراتژیک، حوادث و بلایای طبیعی.

یک برنامه مدیریت ریسک موفق به یک سازمان کمک می‌کند تا کل طیف ریسک‌هایی را که با آن‌ها مواجه است، در نظر بگیرد. مدیریت ریسک همچنین به بررسی ارتباط بین انواع مختلف ریسک‌های کسب و کار و تأثیر آبشاری آن‌ها بر اهداف استراتژیک سازمان می‌پردازد.

این رویکرد جامع به مدیریت ریسک، گاهی اوقات به دلیل تأکید بر پیش‌بینی و درک ریسک در سراسر سازمان، به عنوان مدیریت ریسک سازمانی (ERM) توصیف می‌شود. مدیریت ریسک سازمانی (ERM) علاوه بر تمرکز بر تهدیدات ریسک داخلی و خارجی، بر اهمیت مدیریت ریسک مثبت نیز تأکید می‌کند. ریسک‌های مثبت فرصت‌هایی هستند که می‌توانند ارزش کسب‌وکار را افزایش دهند یا برعکس، در صورت عدم توجه، به سازمان آسیب برسانند.همانطور که شرکت‌هایی که توسط آمازون، نتفلیکس و سایر قدرت‌های دیجیتالی مختل شده‌اند گواهی می‌دهند.

در واقع، هدف هر برنامه مدیریت ریسک این نیست که همه ریسک‌ها را از بین ببرد، بلکه با اتخاذ تصمیمات هوشمندانه ریسکی، ارزش کل سازمان را حفظ و به آن بیفزاید.

“Alla Valente”، تحلیلگر ارشد Forrester Research که در زمینه مدیریت ریسک طرف ثالث، ERM و سایر موضوعات مرتبط با ریسک تخصص دارد، گفت: “ما ریسک‌ها را مدیریت نمی‌کنیم تا هیچ ریسکی نداشته باشیم. ما ریسک‌ها را مدیریت می‌کنیم تا بدانیم کدام ریسک‌ها ارزش پذیرش دارند، کدام‌یک ما را به هدف می‌رسانند و کدام‌یک بازدهی کافی برای ما دارند.”

بنابراین، یک برنامه مدیریت ریسک باید با استراتژی سازمانی مرتبط باشد. برای پیوند دادن آنها، رهبران مدیریت ریسک ابتدا باید آستانه ریسک سازمان را تعریف کنند – یعنی میزان ریسکی که مایل به پذیرش آن برای تحقق اهداف خود هستند. برخی از ریسک‌ها در چارچوب آستانه ریسک قرار می‌گیرند و بدون نیاز به اقدام بیشتر پذیرفته می‌شوند. برخی دیگر برای کاهش اثرات منفی بالقوه، به اشتراک گذاشته می شوند یا به طرف دیگر انتقال می یابند و یا به طور کلی باید از آنها اجتناب کرد.

هر سازمانی با خطر وقوع رویدادهای غیرمنتظره و زیان‌بار مواجه است که می‌تواند برای آن هزینه داشته باشد – یا در بدترین حالت، باعث تعطیلی آن شود. این راهنمای مدیریت ریسک، یک مرور کلی جامع بر مفاهیم کلیدی، الزامات، ابزارها و روندها است و مباحثی را ارائه می‌دهد که این حوزه پویا را هدایت می‌کند.

چرا مدیریت ریسک مهم است؟

احتمالا مدیریت ریسک هرگز به اندازه امروز اهمیت نداشته است. ریسک‌هایی که سازمان‌های مدرن با آن مواجه هستند، به دلیل سرعت بالای جهانی شدن، پیچیده‌تر شده‌اند. ریسک‌های جدید دائماً در حال ظهور هستند و اغلب با استفاده فراگیر از فناوری دیجیتال مرتبط بوده و توسط آن ایجاد می‌شوند. کارشناسان ریسک، تغییرات آب و هوایی را به عنوان یک “تقویت کننده تهدید” لقب داده اند.

یک ریسک خارجی اخیر که در ابتدا خود را به صورت یک مشکل زنجیره تامین در بسیاری از شرکت‌ها نشان داد – همه گیری کووید-۱۹ – به سرعت به یک تهدید وجودی تبدیل شد که بر سلامت و ایمنی کارکنان، شیوه انجام کسب و کار، توانایی تعامل با مشتریان و شهرت شرکت‌ها تأثیر گذاشت.

کسب و کارها برای تهدیدات ناشی از همه گیری به سرعت اصلاحاتی انجام دادند. اما در آینده، آنها با ریسک‌های جدیدی دست و پنجه نرم می‌کنند.

در بسیاری از شرکت‌ها، مدیران اجرایی و هیئت‌مدیره نگاهی تازه به برنامه‌های مدیریت ریسک خود می‌اندازند. سازمان‌ها در حال ارزیابی مجدد میزان ریسک خود، بررسی فرآیندهای ریسک و بازنگری در اینکه چه کسانی باید در مدیریت ریسک مشارکت داشته باشند، هستند. شرکت‌ها همچنین در حال بررسی چگونگی فناوری‌های هوش مصنوعی و پلتفرم‌های GRC پیشرفته برای بهبود مدیریت ریسک هستند.

در بحث‌های مدیریت ریسک، بسیاری از متخصصان اشاره می‌کنند که مدیریت ریسک یک وظیفه‌ی رسمی در شرکت‌هایی است که به‌شدت تحت نظارت قرار دارند و دارای مدل کسب‌وکار مبتنی بر ریسک هستند.

به‌عنوان مثال، بانک‌ها و شرکت‌های بیمه مدت‌هاست که دارای بخش‌های ریسک بزرگی هستند که معمولاً توسط یک مدیر ارشد ریسک (CRO) رهبری می‌شوند، عنوانی که هنوز در خارج از صنعت مالی نسبتاً رایج نیست. علاوه بر این، ریسک‌هایی که شرکت‌های خدمات مالی با آن مواجه هستند، معمولاً ریشه در اعداد و ارقام دارند و بنابراین قابل اندازه‌گیری و تجزیه و تحلیل مؤثر با استفاده از فناوری شناخته‌شده و روش‌های بلوغ یافته هستند. سناریوهای ریسک در شرکت‌های مالی را می‌توان با دقتی نسبی مدل‌سازی کرد.

مت شینکمن، تحلیلگر گارتنر که رهبری بخش‌های مدیریت ریسک سازمانی و حسابرسی این شرکت مشاوره را برعهده دارد، گفت: “در صنایع دیگر، ریسک ماهیتاً کیفی‌تر است و در نتیجه مدیریت آن دشوارتر است، که نیاز به یک رویکرد دقیق و یکپارچه برای مدیریت ریسک را افزایش می‌دهد. برنامه‌های مدیریت ریسک سازمانی با هدف کمک به این شرکت‌ها برای مدیریت ریسک تا حد امکان هوشمندانه طراحی شده‌اند.”

مدیریت ریسک سنتی در مقابل مدیریت ریسک سازمانی

مدیریت ریسک سنتی این روزها در مقایسه با مدیریت ریسک سازمانی (ERM) اغلب مورد انتقاد قرار می‌گیرد. هر دو رویکرد به دنبال کاهش ریسک‌هایی هستند که می‌توانند به سازمان‌ها آسیب برسانند. هر دو برای محافظت در برابر طیف وسیعی از خطرات – از ضررهای ناشی از آتش‌سوزی و سرقت تا مسئولیت سایبری – بیمه خریداری می‌کنند. هر دو به راهنمایی‌های ارائه شده توسط نهادهای استاندارد اصلی پایبند هستند.

با این حال، کارشناسان استدلال می‌کنند که مدیریت ریسک سنتی فاقد طرز فکر و سازوکاری است که برای درک ریسک به عنوان بخشی جدایی ناپذیر از استراتژی و عملکرد سازمان ضروری است.

به گفته والنت از فاستر، “برای بسیاری از شرکت‌ها، ریسک یک کلمه زشت چهار حرفی است و این تاسف بار است.” “در ERM، ریسک به‌عنوان یک عامل استراتژیک در برابر هزینه انجام کسب‌وکار مورد توجه قرار می‌گیرد.”

شینکمن گفت: یکی از تمایزهای بزرگ بین این دو رویکرد، «بخش‌بندی شده» در مقابل «کلی‌نگر» بودن است. به عنوان مثال، در برنامه‌های مدیریت ریسک سنتی، ریسک معمولاً وظیفه رهبران کسب‌وکاری بوده است که مسئول واحدهایی هستند که ریسک در آنجا وجود دارد. به عنوان مثال، مدیر ارشد فناوری اطلاعات یا مدیر ارشد فناوری مسئول ریسک فناوری اطلاعات، مدیر ارشد مالی مسئول ریسک مالی، مدیر ارشد عملیات مسئول ریسک عملیاتی و غیره هستند.

شینکمن توضیح داد، بخش‌ها و واحدهای کسب‌وکار ممکن است سیستم‌های پیچیده‌ای برای مدیریت انواع مختلف ریسک‌های خود داشته باشند، اما شرکت همچنان با عدم درک روابط بین ریسک‌ها یا تأثیر تجمعی آن‌ها بر عملیات، دچار مشکل می‌شود. مدیریت ریسک سنتی همچنین تمایل دارد به جای پیش‌کنش‌گر، واکنش‌گرا باشد.

در مدیریت ریسک سازمانی، مدیریت ریسک یک تلاش مشارکتی، میان‌کارکردی و با دیدی کل‌نگر است. یک تیم ERM که می‌تواند به کوچکی پنج نفر باشد، با سران واحدهای تجاری و کارکنان برای توجیه آن‌ها، کمک به استفاده از ابزارهای مناسب برای تفکر در مورد ریسک‌ها، جمع‌آوری اطلاعات و ارائه آن به رهبران اجرایی و هیئت‌مدیره سازمان همکاری می‌کند. شینکمن گفت، داشتن اعتبار نزد مدیران در سراسر سازمان برای رهبران ریسک از این دست ضروری است.

او گفت، این نوع از کارشناسان به طور فزاینده‌ای از سوابق مشاوره برخوردارند یا «ذهنیت مشاوره» دارند و درک عمیقی از مکانیزم‌های کسب‌وکار دارند. بر خلاف مدیریت ریسک سنتی، جایی که رئیس ریسک معمولاً به مدیر ارشد مالی گزارش می‌دهد، مدیران تیم‌های مدیریت ریسک سازمانی – چه عنوان مدیر ارشد ریسک را داشته باشند یا عنوان دیگری – معمولاً به مدیرعامل گزارش می‌دهند، که این تصدیقی است بر اینکه ریسک بخشی از استراتژی کسب‌وکار است.

فورستر در تعریف نقش مدیر ارشد ریسک، تمایزی بین «مدیران ارشد ریسک تراکنشی» که معمولاً در برنامه‌های مدیریت ریسک سنتی یافت می‌شوند و «مدیران ارشد ریسک تحول‌آفرین» که رویکرد ERM را در پیش می‌گیرند، قائل می‌شود. طبق گفته فاستر، اولی در شرکت‌هایی کار می‌کنند که ریسک را به عنوان یک مرکز هزینه و مدیریت ریسک را به عنوان یک بیمه نامه می‌بینند.

والنت گفت، مدیران ارشد ریسک تحول‌آفرین، در اصطلاح فاستر، «مشتری‌محور» هستند. آنها بر شهرت برند شرکت خود تمرکز می‌کنند، ماهیت افقی ریسک را درک می‌کنند و ERM را به عنوان “میزان مناسب ریسک مورد نیاز برای رشد” تعریف می‌کنند.

ریسک‌گریز بودن یکی دیگر از ویژگی‌های سازمان‌هایی است که برنامه‌های مدیریت ریسک سنتی دارند. اما همانطور که والنت اشاره کرد، شرکت‌هایی که خود را با ریسک‌پذیری پایین و تمایل کم به ریسک تعریف می‌کنند، گاهی در ارزیابی‌های ریسک خود دچار اشتباه می‌شوند.

والنت گفت: “بسیاری از سازمان‌ها فکر می‌کنند که ریسک‌پذیری پایینی دارند، اما آیا برنامه‌ای برای رشد دارند؟ آیا محصولات جدیدی راه‌اندازی می‌کنند؟ آیا نوآوری مهم است؟ همه اینها استراتژی‌های رشد هستند و بدون ریسک نیستند.”

فرآیند مدیریت ریسک

حوزه مدیریت ریسک دانش‌نامه‌های زیادی منتشر کرده است که روش‌های مدیریت ریسک را برای سازمان‌ها مستند می‌کند. یکی از شناخته‌شده‌ترین منابع استاندارد ISO 31000 است. این استاندارد که به طور رسمی با عنوان ISO 31000:2018 مدیریت ریسک – خط‌مشی‌ها شناخته می‌شود، توسط سازمان بین‌المللی استانداردسازی، یک نهاد استانداردسازی که به طور معمول با نام ISO شناخته می‌شود، توسعه یافته است.

استاندارد ISO 31000 یک فرآیند مدیریت ریسک را تشریح می‌کند که می‌تواند توسط هر نوع سازمانی مورد استفاده قرار گیرد و شامل مراحل زیر برای شناسایی، ارزیابی و مدیریت ریسک می‌شود:

• شناسایی ریسک‌هایی که سازمان شما با آن‌ها مواجه است.
• تجزیه و تحلیل احتمال و تأثیر احتمالی هر یک.
• ارزیابی و اولویت‌بندی ریسک‌ها بر اساس اهداف تجاری.
• رسیدگی به شرایط ریسک – یا واکنش به آن.
• نظارت بر نتایج کنترل‌های ریسک و تعدیل در صورت لزوم.

این مراحل ساده و سرراست هستند، اما کمیته‌های مدیریت ریسک نباید کار مورد نیاز برای تکمیل فرآیند را دست‌کم بگیرند. برای شروع، نیاز به درک درستی از نحوه عملکرد سازمان دارد. برای دستیابی به این هدف، فرآیند ISO 31000 همچنین شامل یک گام مقدماتی برای تعیین دامنه تلاش‌های مدیریت ریسک، زمینه کسب‌وکار برای آن‌ها و مجموعه‌ای از معیارهای ریسک است. هدف نهایی این است که بدانیم هر ریسک شناسایی شده چگونه به حداکثر ریسکی که سازمان مایل به پذیرش آن است مرتبط است و چه اقداماتی برای حفظ و ارتقای ارزش سازمان باید انجام شود.

به گفته گرگ ویت، کارشناس ریسک و مهندس ارشد امنیت در صنایع هانتینگتون اینگالز، هنگام شناسایی ریسک‌ها درک این نکته مهم است که طبق تعریف، چیزی فقط در صورتی ریسک محسوب می‌شود که تأثیر تجاری داشته باشد. به عنوان مثال، طبق راهنمایی‌های NISTIR 8286A، گزارشی در مورد شناسایی ریسک امنیت سایبری در ابتکارات ERM که توسط NIST در سال ۲۰۲۱ منتشر شد، چهار عامل زیر برای یک سناریوی ریسک منفی باید وجود داشته باشد:

• دارایی یا منابع ارزشمندی که ممکن است تحت تأثیر قرار گیرند.
• منبع یک اقدام تهدیدآمیز که علیه دارایی یا منابع عمل کند.
• یک وضعیت یا آسیب‌پذیری از پیش موجود که به منبع تهدید امکان عمل می‌دهد.
• برخی تأثیرات مخربی که از سوء استفاده منبع تهدید از آن آسیب‌پذیری ناشی می‌شود.

در حالی که معیارهای NIST مربوط به ریسک‌های منفی است، فرآیندهای مشابهی را می‌توان برای مدیریت ریسک‌های مثبت به کار برد.

به گفته گرگ ویت، بسیاری از کمیته‌های ریسک برای شناسایی سناریوهای ریسکی که می‌توانند مانع اهداف سازمان شوند یا آن‌ها را تقویت کنند، رویکردی از بالا به پایین و از پایین به بالا را مفید می‌دانند. ویت گفت: در تمرین بالا به پایین، رهبری فرآیندهای حیاتی مأموریت سازمان را شناسایی می‌کند و با ذینفعان داخلی و خارجی برای تعیین شرایطی که می‌تواند مانع آن‌ها شود، همکاری می‌کند. رویکرد پایین به بالا با منابع تهدید – زلزله، رکود اقتصادی، حملات سایبری و غیره – شروع می‌شود و تأثیر بالقوه آنها بر دارایی‌های حیاتی را در نظر می‌گیرد.

آخرین وظیفه در مرحله شناسایی ریسک این است که سازمان‌ها یافته‌های خود را ثبت کنند که به ردیابی ریسک‌ها در مراحل بعدی فرآیند مدیریت ریسک کمک می‌کند. نمونه ای از چنین ثبت ریسکی را می‌توان در گزارش NISTIR 8286A که در بالا ذکر شد یافت.

استانداردها و چارچوب‌های مدیریت ریسک

با گسترش قوانین انطباق دولت و صنعت در دو دهه گذشته، نظارت تنظیم‌کننده و هیئت‌مدیره بر شیوه‌های مدیریت ریسک سازمانی نیز افزایش یافته است که باعث شده تجزیه و تحلیل ریسک، حسابرسی‌های داخلی، ارزیابی ریسک و سایر ویژگی‌های مدیریت ریسک به جزء اصلی استراتژی کسب‌وکار تبدیل شود. یک سازمان چگونه می‌تواند همه این‌ها را کنار هم قرار دهد؟

چارچوب‌های دقیقاً توسعه یافته – و در حال تکامل – که توسط حوزه مدیریت ریسک توسعه یافته‌اند می‌توانند کمک کنند. در اینجا نمونه‌ای از آن‌ها آورده شده است، که با شرح مختصری از دو چارچوب شناخته‌شده‌تر، ISO 31000 و چارچوب مدیریت ریسک سازمانی COSO که توسط کمیته سازمان‌های حامی کمیسیون treadway، که بیشتر با نام COSO شناخته می‌شود، آغاز می‌شود:

چارچوب COSO ERM

چارچوب COSO که در سال ۲۰۰۴ راه‌اندازی شد، در سال ۲۰۱۷ برای رسیدگی به پیچیدگی فزاینده ERM و برجسته کردن اهمیت تعبیه ملاحظات ریسک در استراتژی‌های کسب‌وکار و پیوند دادن مدیریت ریسک و عملکرد عملیاتی به‌روزرسانی شد. این چارچوب مفاهیم و اصول کلیدی ERM را تعریف می‌کند، زبان مشترک ERM را پیشنهاد می‌کند و مسیرهای روشنی برای مدیریت ریسک ارائه می‌دهد. این چارچوب به‌روزرسانی شده که توسط شرکت مشاوره PwC با مشارکت پنج سازمان عضو COSO و مشاوران خارجی توسعه یافته است، مجموعه‌ای از ۲۰ اصل است که در پنج مؤلفه به هم مرتبط سازماندهی شده‌اند:

• حاکمیت و فرهنگ
• استراتژی و تعیین اهداف
• عملکرد
• بازنگری و تجدید نظر
• اطلاعات، ارتباطات و گزارشگری

چارچوب ISO 31000

استاندارد ISO که در سال ۲۰۰۹ منتشر شد و در ۲۰۱۸ مورد بازنگری قرار گرفت، شامل فهرستی از اصول ERM، چارچوبی برای کمک به سازمان‌ها برای اعمال مکانیسم‌های مدیریت ریسک به عملیات، و فرآیندی که در بالا برای شناسایی، ارزیابی و کاهش ریسک‌ها شرح داده شد، می‌باشد. ISO 31000:2018 که توسط کمیته فنی مدیریت ریسک ISO با مشارکت نهادهای ملی عضو ISO توسعه یافته است، نسبت به نسخه قبلی خود سند کوتاه‌تر و مختصرتر بوده و راهنمایی‌های استراتژیک بیشتری در مورد ERM ارائه می‌دهد. نسخه جدید همچنین بر نقش مهم مدیریت ارشد در برنامه‌های ریسک و ادغام شیوه‌های مدیریت ریسک در سراسر سازمان تأکید می‌کند.

BS 31100

آخرین نسخه از این کد مدیریت ریسک استاندارد بریتانیا در سال ۲۰۲۱ منتشر شد و فرآیندی را برای اجرای مفاهیم شرح داده شده در ISO 31000:2018 ارائه می‌دهد – از جمله وظایفی مانند شناسایی، ارزیابی و پاسخ به ریسک‌ها و سپس گزارش و بررسی فعالیت‌های مدیریت ریسک.

چارچوب‌های دیگری نیز وجود دارند که به‌طور خاص بر ریسک‌های فناوری اطلاعات و امنیت سایبری تمرکز دارند. این چارچوب‌ها شامل «چارچوب مدیریت ریسک» NIST است که فرآیندی را برای ادغام امنیت، حریم خصوصی داده‌ها و ابتکارات مدیریت ریسک زنجیره تامین امنیت سایبری در چرخه عمر توسعه سیستم شرح می‌دهد، و چارچوب حاکمیت فناوری اطلاعات و فناوری اطلاعات انجمن حرفه‌ای ISACA، COBIT 2019، که از تلاش‌های مدیریت ریسک فناوری اطلاعات پشتیبانی می‌کند.

همچنین سازمان‌ها ممکن است ایجاد چارچوب‌های سفارشی برای دسته‌های خاصی از ریسک‌ها را در نظر بگیرند. به عنوان مثال، چارچوب مدیریت ریسک سازمانی دانشگاه کارنگی ملون، ریسک‌ها و فرصت‌های بالقوه را بر اساس دسته‌های ریسک زیر بررسی می‌کند: شهرت، ایمنی جان/سلامت، مالی، مأموریت، عملیاتی و انطباق/حقوقی.

علاوه بر این، از مدل‌های مختلف «بلوغ ریسک» می‌توان برای معیارسنجی قابلیت‌های مدیریت ریسک و ارزیابی سطوح بلوغ آن‌ها استفاده کرد. برجسته‌ترین مدل، مدل بلوغ ریسک و مدیریت بیمه (RMM) انجمن مدیریت ریسک و بیمه است که در سال ۲۰۰۵ با همکاری ارائه‌دهنده نرم‌افزار LogicManager توسعه یافته و در سال ۲۰۲۲ به‌روزرسانی شد. RMM بازنگری‌شده به متخصصان ریسک کمک می‌کند تا برنامه‌های خود را در پنج دسته ارزیابی کنند: هم‌راستا بودن با استراتژی، فرهنگ و پاسخگویی، قابلیت‌های مدیریت ریسک، حاکمیت ریسک و تجزیه و تحلیل. سایر مدل‌های بلوغ ریسک توسط انجمن مدیریت ریسک، شرکت مشاوره سرمایه‌گذاران در مدیریت ریسک و انجمن همکاری و توسعه اقتصادی، مجمع ادارات مالیاتی در دسترس هستند.

مدل سه خطی که توسط مؤسسه حسابرسان داخلی (IIA) توسعه یافته است، نوع دیگری از رویکرد استاندارد برای حمایت از ابتکارات حاکمیت و مدیریت ریسک ارائه می‌دهد. مدل IIA که قبلاً با نام سه خط دفاع شناخته می‌شد، پس از تغییر نام در سال ۲۰۲۰، نقش‌های متفاوتی را که مدیران اجرایی کسب‌وکار، مدیران ریسک و انطباق و حسابرسان داخلی باید در تلاش‌های مدیریت ریسک ایفا کنند، با یک نهاد حاکمیتی که نظارت و پاسخگویی را بر عهده دارد، تشریح می‌کند.

مزایا و چالش‌های مدیریت ریسک چیست؟

مدیریت مؤثر ریسک‌هایی که می‌توانند تأثیر منفی یا مثبتی بر سرمایه، درآمد و عملیات داشته باشند، مزایای زیادی به همراه دارد. همچنین حتی برای شرکت‌هایی با استراتژی‌های مدیریت ریسک و GRC بالغ، چالش‌هایی را نیز به همراه دارد.

مزایای مدیریت ریسک موثر

• افزایش آگاهی از ریسک در سراسر سازمان
• اطمینان بیشتر به اهداف و برنامه‌های سازمانی زیرا ریسک در استراتژی لحاظ می‌شود
• انطباق بهتر و کارآمدتر با الزامات انطباق داخلی و نظارتی به دلیل هماهنگ بودن انطباق
• بهبود بهره‌وری عملیاتی از طریق اعمال مداوم‌تر فرآیندها و کنترل‌های ریسک
• بهبود ایمنی و امنیت محیط کار برای کارکنان و مشتریان
• تمایز رقابتی در بازار

با وجود مزایای قابل توجه، تیم‌های مدیریت ریسک باید انتظار مواجه شدن با چالش‌های زیر را داشته باشند:

• هزینه‌ها در ابتدا افزایش می‌یابد، زیرا برنامه‌های مدیریت ریسک می‌توانند به نرم‌افزار و خدمات گران‌قیمتی نیاز داشته باشند.
• تأکید بیشتر بر حاکمیت همچنین نیازمند سرمایه‌گذاری واحدهای تجاری از نظر زمان و پول برای انطباق است.
• دستیابی به اجماع در مورد شدت ریسک و نحوه برخورد با آن می‌تواند یک تمرین دشوار و پر بحث باشد و گاهی اوقات منجر به فلج تحلیل ریسک شود.
• اثبات ارزش مدیریت ریسک برای مدیران بدون اینکه بتوان اعداد سختی به آنها ارائه داد، دشوار است.

نحوه ایجاد و اجرای طرح مدیریت ریسک

یک برنامه مدیریت ریسک، نحوه مدیریت ریسک توسط یک سازمان را شرح می‌دهد. این برنامه عناصری مانند رویکرد سازمان به ریسک، نقش‌ها و مسئولیت‌های تیم‌های مدیریت ریسک، منابعی که در فرآیند مدیریت ریسک استفاده می‌شوند و سیاست‌ها و رویه‌های داخلی را تشریح می‌کند.

به گفته ویت، فرآیند هفت مرحله‌ای کلی ISO 31000 راهنمای مفیدی برای تدوین برنامه و سپس اجرای چارچوب ERM است. در اینجا شرح دقیق‌تر اجزای آن آمده است:

۱. ارتباطات و مشاوره: از آنجایی که افزایش آگاهی از ریسک بخش اساسی از مدیریت ریسک است، رهبران ریسک همچنین باید یک برنامه ارتباطی برای انتقال سیاست‌ها و رویه‌های ریسک سازمان به کارکنان و طرف‌های ذیربط ایجاد کنند. این مرحله زمینه را برای تصمیمات ریسکی در تمام سطوح تعیین می‌کند. مخاطبان این مرحله شامل هر کسی است که به نحوه استفاده سازمان از فرصت‌های مثبت و به حداقل رساندن موارد منفی علاقه مند است.

۲. تعیین دامنه و زمینه: این مرحله مستلزم تعریف هر دو ریسک‌پذیری و تحمل ریسک سازمان است – دومی نشان‌دهنده میزان ریسک‌های مرتبط با ابتکارات خاص است که می‌تواند از ریسک‌پذیری کلی سازمان منحرف شود. عواملی که در اینجا باید در نظر گرفت شامل اهداف تجاری، فرهنگ شرکت، الزامات نظارتی و محیط سیاسی و غیره است.

۳. شناسایی ریسک: این مرحله سناریوهای ریسکی را تعریف می‌کند که می‌تواند تأثیر مثبت یا منفی بر توانایی سازمان در انجام کسب و کار داشته باشد. همانطور که در بالا ذکر شد، لیست حاصل باید در یک ثبت ریسک ثبت شود و به روز نگه داشته شود.

۴. تحلیل ریسک: برای کمک به تفکیک ریسک‌ها، احتمال و تأثیر هر ریسک مورد تجزیه و تحلیل قرار می‌گیرد. ایجاد یک نقشه حرارتی ریسک (همچنین به عنوان ماتریس ارزیابی ریسک شناخته می‌شود) در اینجا می‌تواند مفید باشد، زیرا نمایش بصری از ماهیت و تأثیر ریسک‌های شرکت را ارائه می‌دهد. به عنوان مثال، مرخصی استعلاجی یک کارمند، رویدادی با احتمال بالا است که تأثیر کمی یا اصلاً روی اکثر شرکت‌ها ندارد. زلزله، بسته به موقعیت مکانی، نمونه ای از یک رویداد ریسکی با احتمال کم و تأثیر بالا است. رویکرد کیفی که بسیاری از سازمان‌ها برای ارزیابی احتمال و تأثیر ریسک‌ها استفاده می‌کنند، ممکن است از تجزیه و تحلیل کمی‌تر بهره‌مند شود. موسسه FAIR، یک انجمن حرفه‌ای که از چارچوب تجزیه و تحلیل عاملی ریسک اطلاعات برای کمیت‌سازی ریسک‌های سایبری حمایت می‌کند، نمونه‌هایی از رویکرد دوم را ارائه می‌دهد.

۵. ارزیابی ریسک: در این مرحله سازمان‌ها ریسک‌ها را ارزیابی می‌کنند و از طریق رویکردهای زیر تصمیم می‌گیرند که چگونه به آن‌ها پاسخ دهند:

• اجتناب از ریسک: زمانی که سازمان به دنبال حذف، انصراف یا عدم مشارکت در ریسک بالقوه باشد.
• کاهش ریسک: در این حالت سازمان اقداماتی را برای محدود کردن یا بهینه سازی ریسک انجام می‌دهد.
• تسهیم یا انتقال ریسک: این شامل انعقاد قرارداد با یک طرف ثالث (به عنوان مثال، یک بیمه‌گر) برای متحمل شدن بخشی یا کل هزینه‌های ریسکی است که ممکن است رخ دهد یا ندهد.
• پذیرش ریسک: زمانی که ریسکی در محدوده ریسک‌پذیری و تحمل ریسک سازمان قرار می‌گیرد و بدون اتخاذ هیچ اقدام کاهش ریسکی پذیرفته می‌شود.

۶. رسیدگی به ریسک: این مرحله شامل اجرای کنترل‌ها و فرآیندهای توافق‌شده و تأیید عملکرد آن‌ها طبق برنامه است.

۷. نظارت و بازنگری: آیا کنترل‌ها طبق برنامه عمل می‌کنند؟ آیا می‌توان آن‌ها را بهبود بخشید؟ فعالیت‌های نظارت باید عملکرد را اندازه‌گیری کرده و به دنبال شاخص‌های کلیدی ریسک باشند که ممکن است باعث تغییر در استراتژی شوند.

بهترین شیوه‌های مدیریت ریسک

برای هر سازمانی که آرزوی پیروی از بهترین شیوه‌های مدیریت ریسک را دارد، نُه اصل مدیریت ریسک ISO 31000 نقطه شروع خوبی است. طبق استاندارد ISO، یک برنامه مدیریت ریسک باید دارای اهداف زیر باشد:

• ایجاد و محافظت از ارزش برای سازمان: به عنوان یک اصل کلی
• ادغام در فرآیندهای کلی سازمان: مدیریت ریسک باید به صورت یکپارچه در تمام سطوح سازمان لحاظ شود.
• سیستماتیک، ساختاریافته و جامع بودن: فرآیند مدیریت ریسک باید دارای یک ساختار مشخص و منطقی بوده و تمام جوانب را در نظر بگیرد.
• بنیانگذاری بر بهترین اطلاعات موجود: تصمیمات مدیریت ریسک باید بر اساس دقیق ترین و به روزترین اطلاعات موجود اتخاذ شود.
• تطبیق با پروژه‌های فردی: برنامه مدیریت ریسک باید متناسب با شرایط و نیازهای پروژه‌های خاص سازمان تنظیم شود.
• در نظر گرفتن عوامل انسانی و فرهنگی، از جمله خطاهای بالقوه: تاثیر عوامل انسانی و فرهنگ سازمانی بر مدیریت ریسک باید در نظر گرفته شود.
• شفاف و همه گیر بودن: فرآیند مدیریت ریسک و نتایج آن باید برای تمامی ذینفعان سازمان شفاف باشد و همه افراد ذیربط در آن مشارکت داشته باشند.
• پویا و تطبیق پذیر با تغییر بودن: برنامه مدیریت ریسک باید قابلیت انعطاف داشته باشد تا بتوان آن را با شرایط متغییر وفق داد.
• نظارت مستمر و بهبود مستمر: فرآیند مدیریت ریسک باید دائماً مورد پایش و بازنگری قرار گیرد تا بتوان آن را بهبود بخشید.

دیو شکلفورد، مشاور امنیت، گفت که یکی دیگر از بهترین شیوه‌ها برای برنامه‌های مدیریت ریسک سازمانی مدرن، «اصلاح دیجیتال» است. این امر مستلزم استفاده از هوش مصنوعی (AI) و سایر فناوری‌های پیشرفته برای خودکارسازی فرآیندهای دستی ناکارآمد و غیر مؤثر است. پلتفرم‌های ERM و GRC که شامل ابزارهای هوش مصنوعی و سایر ویژگی‌ها هستند توسط ارائه‌دهندگان مختلف نرم‌افزار مدیریت ریسک ارائه می‌شوند. سازمان‌ها همچنین می‌توانند از ابزارها و منابع مرتبط با GRC متن باز بهره‌مند شوند.

محدودیت‌های مدیریت ریسک و نمونه‌هایی از شکست

شکست‌های مدیریت ریسک اغلب به سوء رفتار عمدی، بی‌احتیاطی آشکار یا مجموعه‌ای از رویدادهای ناگوار که هیچ‌کس نمی‌توانست پیش‌بینی کند، نسبت داده می‌شود. اما بررسی اشتباهات رایج مدیریت ریسک نشان می‌دهد که اشتباه در مدیریت ریسک بیشتر به دلیل اشتباهات قابل اجتناب و سودجویی‌های معمولی است. در اینجا خلاصه‌ای از برخی اشتباهات برای اجتناب ارائه شده است:

۱. ضعف در حاکمیت: داستان پر پیچ و خم سیتی‌بانک که در سال ۲۰۲۰ به طور تصادفی ۹۰۰ میلیون دلار وام را با استفاده از پول خود به وام‌دهندگان رولون پرداخت کرد، در حالی که تنها پرداخت یک بهره کوچک بدهکار بود، نشان می‌دهد که حتی بزرگترین بانک جهان نیز می‌تواند مدیریت ریسک را به هم بزند – علیرغم به‌روزرسانی سیاست‌ها برای شرایط کاری همه‌گیری و کنترل‌های متعدد موجود. در حالی که خطای انسانی و نرم افزارهای دست و پا گیر دخیل بودند، یک قاضی فدرال حکم داد که ضعف در حاکمیت علت اصلی بوده است، اگرچه دادگاه تجدیدنظر حکمی را که بانک حق بازپرداخت از وام دهندگان را نداشت لغو کرد. با این حال، دو ماه پس از پرداخت اشتباه، سیتی بانک توسط تنظیم کننده‌های ایالات متحده به دلیل ضعف‌های “دیرینه” در حاکمیت، جریمه ۴۰۰ میلیون دلاری دریافت کرد و توافق کرد کنترل‌های مدیریت ریسک داخلی، حاکمیت داده و انطباق خود را بازنگری کند.

۲. تأکید بیش از حد بر کارایی در مقابل انعطاف پذیری: کارایی بیشتر می‌تواند منجر به سود بیشتر شود، به شرطی که همه چیز به خوبی پیش برود. انجام کارها به همان روشی که هر بار انجام می‌شود، می‌تواند منجر به کمبود انعطاف پذیری شود، همانطور که شرکت‌ها در طول همه گیری با قطع شدن زنجیره تامین متوجه شدند. والنت از ف Forrester می‌گوید: ” وقتی به ماهیت جهان نگاه می‌کنیم … همه چیز دائما در حال تغییر است. بنابراین، باید درک کنیم که کارایی عالی است، اما ما همچنین باید برای همه احتمالات برنامه ریزی کنیم.”

۳. فقدان شفافیت: رسوایی مربوط به دفتر فرمانداری نیویورک که در کم گزارش دادن مرگ و میر مرتبط با ویروس کرونا در خانه‌های سالمندان در ایالت در سال‌های ۲۰۲۰ و ۲۰۲۱  نمونه ای از یک شکست رایج در مدیریت ریسک است. پنهان کردن داده‌ها، کمبود داده‌ها و داده‌های جداگانه – چه به دلیل اعمال عمدی یا غیر عمدی – می‌تواند باعث ایجاد مشکلات شفافیت شود. اجتناب از این امر مستلزم یک استراتژی مدیریت ریسک در سطح سازمانی با اصطلاحات ریسک مشترک، فرآیندهای مستند و جمع آوری و مدیریت متمرکز داده‌های کلیدی ریسک است.

تکنیک‌های مختلفی برای تحلیل ریسک وجود دارند، اما برخی از محدودیت‌هایی که در این تکنیک‌ها مشترک هستند عبارتند از:

• نیاز به حجم بالای داده: بسیاری از تکنیک‌های تحلیل ریسک، مانند ایجاد مدل پیش‌بینی ریسک یا شبیه‌سازی ریسک، نیازمند جمع‌آوری حجم زیادی از داده‌ها هستند. جمع‌آوری گسترده داده می‌تواند پرهزینه باشد و لزوماً قابل اعتماد نیست. علاوه بر این، استفاده از داده در فرآیند تصمیم‌گیری اگر از شاخص‌های ساده برای نشان دادن موقعیت‌های ریسکی پیچیده استفاده شود، می‌تواند نتایج ضعیفی به همراه داشته باشد. همچنین، اعمال تصمیمی که برای یک جنبه کوچک از پروژه در نظر گرفته شده است به کل پروژه، می‌تواند منجر به نتایج نادرست شود.
• کمبود تخصص تحلیل ریسک: نرم‌افزارهایی که برای شبیه‌سازی رویدادهایی که ممکن است تأثیر منفی بر یک شرکت داشته باشند، توسعه یافته‌اند می‌توانند از نظر هزینه مؤثر باشند، اما برای درک دقیق نتایج حاصل‌شده به پرسنل با تجربه و آموزش بالا نیز نیاز دارند.
• توهم کنترل: مدل‌های ریسک می‌توانند به سازمان‌ها این باور غلط را القا کنند که  هر ریسک بالقوه‌ای را  می توانند کمیت‌سازی و کنترل کنند. این امر می‌تواند باعث شود سازمان احتمال ریسک‌های جدید یا غیرمنتظره را نادیده بگیرد.

اگرچه پیش‌بینی کردن آینده دشوار است اما ابزارهای اندازه‌گیری و کاهش ریسک نیز در حال بهبود هستند.