مدیریت ریسک
ریسک به مفهوم عدم قطعیتی که اهداف، ماموریت ها و برنامه های سازمان را تحت تاثیر قرارداده و موجب انحراف، مغایرت یا شکست در اهداف می گردد، تعریف می شود. فرآیند مدیریت ریسک، فرآیندی است که طی آن ریسک ها مورد شناسایی، ارزیابی و تحلیل قرار گرفته و اقدامات لازم جهت کاهش تاثیرات منفی آن به عمل می آید.
طبق روش اجرایی مدیریت ریسک جامع، کمیته مدیریت ریسک شرکت پایندان تشکیل و بر اساس ساختار شکست ریسک (Risk Breakdown Structure) ، در پنج حوزه:
ریسک های استراتژیک
ریسک های مالی
ریسک های عملیاتی و اجرایی
ریسک های اقتصادی
ریسک های اجتماعی، اعتباری، سیاسی، حقوقی، قانونی و قراردادی
به شناسایی، ارزیابی، برنامه ریزی پاسخ و کنترل و نظارت پرداخته است. این کمیته با تعیین ۲۰ زیر فصل برای ۵ حوزه یاد شده، برنامه ریزی پاسخگویی به ریسک ها را برای کلیه فعالیت های شرکت به گونه تنظیم می نمایند که در صورت وقوع رخداد کمترین میزان اثرگذاری منفی را در عملکرد پایندان در برداشته باشد.
تعریف فرآیند مدیریت ریسک سازمانی
تمام سازمان ها با عدم قطعیت مواجه اند و چالش مهم مدیران آن است که بتوانند محاسبه نمایند چه مقدار از پذیرش عدم قطعیت ها، برای ارزش آفرینی برای سهام داران و ذینفعان دیگر، قابل قبول است و استراتژی مناسب برای پاسخ به هر یک از عدم قطعیت های فضای کسب و کار کدام است. فرآیند مدیریت ریسک سازمانی به مدیران کمک خواهد کرد تا ریسک های ناشی از عدم قطعیت را شناسایی و ارزیابی نموده و آن را با ارزش آفرینی برای ذینفعان، منطبق سازند. فرآیند مدیریت ریسک سازمانی یکی از فرآیندهای اصلی سازمان است که مالک آن هیات مدیره سازمان خواهد بود و توسط کلیه کارکنان مخصوصا مدیران در لایه های مختلف سازمان جاری می گردد. این فرآیند معمولا در مرحله تحلیل های استراتژیک سازمان انجام می گردد و کلید اصلی موفقیت در آن، همسویی و یکپارچگی آن با استراتژی های کسب و کار است.
عامل مهم در ایجاد امکان بهره برداری از منافع حداکثری مدیریت ریسک سازمانی، ایجاد نگرش ریسک گرایی در فرهنگ سازمانی است، به گونه ای که تحلیل و مواجهه با عدم قطعیت های فضای کسب و کار، به عنوان یکی از رویکردهای مستمر و همیشگی مدیران به حساب آید. عدم قطعیت های فضای کسب و کار می تواند پیامدهای مثبت و منفی برای سازمان به همراه داشته باشد و هنر رهبری کسب و کار نیز استفاده حداکثری از پیامدهای مثبت فضای کسب و کار (فرصت ها) و مواجهه مناسب با پیامدهای منفی آن است، پس ریسک های ناشی از عدم قطعیت ها نیز می تواند تاثیرات مثبت و منفی برای سازمان به همراه داشته باشد.
از این رو، تحلیل های مدیریت ریسک سازمانی، مشابهت زیادی با تحلیل های محیطی و داخلی استراتژیک دارد که البته توانسته است، ضعف های آن نوع تحلیل را تا حدود زیادی پوشش داده و از این رو، توجه مدیران کسب و کار و پژوهشگران حوزه مدیریت را به خود جلب نماید.
تعریف ریسک سازمانی: ریسک میزان احتمالی است که یک واقعه ناشی از عدم قطعیت های فضای کسب و کار اتفاق افتاده و دستیابی سازمان به استراتژی هایش را تحت تاثیر قرار دهد. در بعضی از منابع، جنبه های منفی واقعه ها به عنوان ریسک و جنبه های مثبت آن به عنوان فرصت(Opportunities) نام گذاری گردیده است.
ابعاد مدیریت ریسک سازمانی: پژوهشگران مدیریت کسب و کار، سه بعد را برای مدیریت ریسک سازمانی در نظر گرفته اند، بعد اول حوزه هایی است که مدیریت ریسک برای آنها مصداق پیدا می کند که شامل: استراتژی ها (Strategic)، عملیات (Operations )، گزارش گیری(Reporting) و اجابت قوانین و الزامات (Compliance) می گردد. مدیریت ریسک سازمانی در مراحل مختلف و لایه های مختلف مدیریتی سازمان، این ابعاد را پوشش می دهد.
بعد دوم که در محور عمودی نشان داده شده است، مراحل جاری سازی فرآیند مدیریت ریسک سازمانی است که شامل مواردی چون آماده سازی فضای داخلی، هدف گذاری، شناسایی وقایع، ارزیابی ریسک، بررسی روش مواجهه، فعالیت های کنترلی، اطلاع رسانی و پایش می گردد.
بعد سوم از فرآیند مدیریت ریسک سازمانی که در نمودار فوق نیز نشان داده شده است، واحدهای سازمانی است که مدیریت ریسک در آنها انجام خواهد شد. همان گونه که مشخص است، مدیریت ریسک سازمانی از لایه اول سازمان مادر (اصلی) تا لایه آخر واحدهای سازمانی مراکز کسب و کار مختلف کاربرد دارد. مدیریت ریسک سازمانی به تفکیک در این لایه ها انجام شده و نتایج آن در زیر فرآیندی به نام مدیریت سبد ریسک (Risk Portfolio Management) یکپارچه و همسو می گردد.
مراحل فرآیند مدیریت ریسک سازمانی
۱- آماده سازی فضای داخلی برای مدیریت ریسک:
این فعالیت با هدف ایجاد آمادگی و پذیرش برای جاری سازی فرآیند مدیریت ریسک در سازمان انجام می پذیرد این فعالیت سطح هوشیاری کارکنان را از انجام مدیریت ریسک در سازمان افزایش می دهد تا به عنوان پایه محکمی برای استقرار زیر فرآیندهای بعدی، به شمار آید. در این مرحله فلسفه مدیریت ریسک در سازمان و لزوم ریسک گرایی مدیران توسط مدیریت ارشد تبیین شده و الزمات حرفه ای و اخلاقی آن تدوین می گردد. در این مرحله آموزش های مدیریت ریسک برقرار شده و با انجام سازماندهی مناسب، اختیارات و پاسخگویی ها در این حوزه مشخص می گردد.
۲- هدف گذاری ریسک:
فرآیند مدیریت ریسک سازمانی با فرآیند مدیریت استراتژیک در سازمان آمیخته است. از آنجا که حوزه های عدم قطعیت فضای کسب و کار سازمان ها بسیار گسترده است، تحلیل ریسک تمامی این حوزه ها نه ممکن است و نه مفید خواهد بود به همین دلیل مدیریت ریسک معمولا بر روی حوزه هایی انجام می گیرد که در تحلیل های استراتژیک سازمان اهمیت یافته اند، به عبارت دیگر مدیریت ریسک در یک مرحله به عنوان روشی برای شناسایی فرصت ها و تهدید های سازمان به عنوان یکی از زیر فرآیندهای مدیریت استراتژیک به کار می رود و در مرحله ای دیگر از فرآیند مدیریت استراتژیک، به عنوان ابزاری برای حصول اطمینان سازمان از دستیابی به استراتژی هایش به کار می رود.
از آنجا که مدیریت ریسک بر اساس تحلیل رویداد ها، شناسایی ریسک ها و تاثیرگذاری آنها انجام می گردد و به نوعی بر مبنای تحلیل های سناریو، پایه گذاری گردیده است، می تواند عمق بیشتری را برای تحلیل های محیطی و داخلی استراتژیک سازمان ایجاد نموده و دقت آنها را افزایش دهد.
مفهوم دیگری که از تلاقی فرآیندهای مدیریت ریسک سازمانی و مدیریت استراتژیک ایجاد می گردد، مفهوم تولرانس ریسک (Risk Tolerance) است. هر یک از اهداف کمی شده استراتژیک سازمان در محدوده ای قابل قبول است و اگر نتایج پایش میان دوره ای دستیابی به اهداف، نتیجه حاصل شده را در محدوده تولرانس اندازه گیری نماید، مدیران سازمان باید واکنش مناسبی را اتخاذ نمایند تا از تحقق هدف مربوطه، اطمینان حاصل گردد که این مواجهه در فرآیند مدیریت ریسک سازمانی برنامه ریزی و اجرا می گردد.
۳- شناسایی رویدادهای ریسک:
در واژگان مدیریت ریسک سازمانی، وقایع رخدادهایی هستند که از محیط و فضای داخلی سازمان نشات گرفته و دستیابی به اهداف استراتژیک را تحت تاثیر قرار می دهند، این تاثیرات در مواردی مثبت و در موارد دیگر منفی خواهد بود. در این مرحله مدیریت تحلیل گر ریسک، عدم قطعیت های محیط و داخل را بررسی و جمع آوری می نمایند فارغ از اینکه احتمال به وقوع پیوستن یا نحوه تاثیرگذاری آنها چگونه باشد.
دامنه این وقایع از حالات قابل مشاهده تا بسیار مبهم گسترده است و شناسایی این وقایع با تمرکز بر هدف گذاری های استراتژیک سازمان انجام می گردد. شناسایی وقایع کمک می کند تحلیل ریسک سازمانی حالت سناریو محور داشته باشد و پویایی تحلیل های ناشی از این خصوصیت منجر به دقت بیشتر بررسی های استراتژیک سازمان می گردد، چون آنکه هر واقعه می تواند به شیوه های (سناریوهای) مختلف اثر کرده و دستیابی سازمان را به راهبردهایش تحت تاثیر قرار دهد.
حیطه هایی که وقایع می تواند از آنها نشات گیرد شامل مواردی چون وضعیت کلان اقتصادی، وضعیت طبیعی و زیست محیطی، اجتماع و سیاسی و تکنولوژیک خواهد بود. در حالت پیشرفته، سازمان می تواند از الگوهای آینده پژوهی برای تحلیل ریسک وقایع استفاده نماید.
۴- ارزیابی ریسک:
ارزیابی ریسک به سازمان این امکان را می دهد تا دامنه و شدت اثر هر یک از مواقع محتمل الوقوع ناشی از عدم قطعیت فضای کسب و کار را بر دستیابی به استراتژی هایش تحلیل نماید. در اغلب روش ها، ارزیابی ریسک بر اساس دو مولفه احتمال وقوع (Like hood, Probability) و شدت (Impact, Severity) و معمولا بر اساس ترکیب روش های کمی و کیفی انجام می پذیرد. در این مرحله، بر اساس سناریو های مختلف تاثیر مثبت یا منفی وقایع بررسی شده و نتیجه ارزیابی ریسک با تلورانس در نظر گرفته شده برای اهداف استراتژیک به صورت تطبیقی مقایسه می گردد.
روش ها و الگوهای مختلفی مانند بهینه کاوی (Benchmarking)، مدل های احتمالی (Probabilistic Models)، مدل های غیر احتمالی (Non-Probabilistic Models) ، آنالیز حالت شکست و تاثیرات آن (FMEA) و … تدوین گردیده که در مرحله ارزیابی ریسک می تواند مورد استفاده قرار گیرد.
۵- بررسی روش مواجهه:
مهمترین حلقه در زنجیره مدیریت ریسک سازمانی، تحلیل مناسب روش مواجهه با ریسک ها است. روش هایی که با انجام آنها سازمان اطمینان می باید اثرات مخرب وقوع مخاطرات ریسک کاهش یافته یا از بین برود و یا فرصت های ناشی از عدم قطعیت های فضای کسب و کار تحصیل گردد. روش های مواجهه با ریسک عموما به چهار دسته اجتناب، کاهش، انتقال و پذیرش دسته بندی می گردد.
۵-۱- مواجهه اجتناب: صرف نظر از فعالیت هایی که عامل بروز واقعه و ریسک های سناریو مربوطه می گردد یا صرف نظر کردن از اهداف استراتژیکی که از پذیرش یک ریسک خاص تحصیل می گردد. این مواجهه می تواند مربوط به کلیت سازمان، خط تولید یا منطقه جغرافیایی خاص گردد.
۵-۲- مواجهه کاهش: اتخاذ تصمیماتی به منظور انجام اقداماتی که منجر به کاهش احتمال وقوع یا شدت اثر ریسک ناشی از واقعه با یک سناریو خاص می گردد.
۵-۳- مواجهه انتقال: انجام اقداماتی که منجر به کاهش احتمال وقوع یا شدت ریسک در اثر انتقال سهمی از ریسک به سازمان یا فرد دیگر می گردد مانند بیمه کردن سازمان در مقابل رخدادی خاص.
۵-۴- پذیرش ریسک: اقدامی انجام نمی گیرد تا سازمان تحت تاثیر ریسک با احتمال و شدت بررسی شده قرار گیرد.
طبیعتا روش مواجهه با ریسک های استراتژیک (فرصت ها) پذیرش آنها و قرار دادن سازمان در معرض سناریو هایی است که ممکن است اهداف سازمان از طریق آن تحصیل گردد. اما در مورد ریسک های منفی، معمولا محدوده ریسک پذیری سازمان بر اساس شدت و احتمال هر ریسک و تحلیل هزینه فایده مواجهه با آن تعیین می گردد. به گونه ای که در ماتریس تحلیل ریسک نشان داده شده است، برخی از ریسک ها در محدوده ای قرار می گیرد که ورای محدوده ریسک پذیری سازمان است و بنابراین سازمان روش هایی را برای مواجهه در نظر می گیرد که منجر به کاهش سطح ریسک پذیری و تغییر محل ریسک در ماتریس تحلیل ریسک گردد.