چارچوب
موفقیت مدیریت ریسک بسته به اثر بخشی چارچوب مدیریت است که بنیادها و تمهیداتی را که در کل سازمان در تمامی سطوح در آن تعبیه شدهاند، فراهم میسازد. چارچوب در ادارهی اثر بخش ریسکها از طریق به کار گیری فرآیند مدیریت ریسک، در سطوح مختلف و در فضای خاص سازمان، کمک کننده است.
چارچوب اطمینان میدهد که اطلاعات در مورد ریسک که از فرآیند مدیریت ریسک به دست آمده است، به نحو مناسب گزارش شده و به عنوان اساسی برای تصمیم گیری و پاسخگویی در تمام سطوح سازمانی مربوطه به کار میرود. این بند اجزاء وروری چارچوب را برای ادارهی ریسک و نحوه ارتباط آنها با یکدیگر به صورتی تکراری توصیف میکند.
مقصود از چارچوب، تجویز سیستم مدیریت نیست، بلکه کمک به سازمان در گنجاندن مدیریت ریسک در سیستم کلی مدیریتش است. بنابراین سازمانها بایستی اجزاء چارچوب را با نیازهای خاصشان منطبق سازند. اگر رویهها و فرآیندهای موجود سازمانی شامل اجزاء مدیریت ریسک میشود یا اگر سازمان از قبل یک فرآیند مدیریت ریسک رسمی را برای انواع خاصی از ریسکها یا موقعیتها اتخاذ نموده، آن گاه این امور بایستی به صورت نقادانه در مقابل این استاندارد، بازنگری و ارزیابی شوند تا کفایت و اثر بخشی آن ها تعیین شود.
اختیار و تعهد
اعمال مدیریت ریسک و حصول اطمینان از اثربخشی پیوسته آن مستلزم تعهد قوی و مداوم مدیریت سازمان و همچنین طراحی راهبردی و شدید برای دستیابی به تعهد در تمامی سطوح است. مدیریت بایستی:
- خط مشی مدیریت ریسک را تعریف و تأیید کند؛
- اطمینان یابد که فرهنگ سازمان و خط مشی مدیریت ریسک همراستا با یکدیگر هستند؛
- شاخصهای عملکرد مدیریت ریسک را تعیین کند که همراستا با شاخصهای عملکرد سازمان هستند؛
- اهداف مدیریت ریسک را با اهداف و راهبردهای سازمان همراستا سازد؛
- از انطباق قانونی و نظارتی اطمینان حاصل کند؛
- پاسخگوییها و مسئولیتها را در سطوح مناسبی درون سازمان منصوب کند؛
- اطمینان یابد که منابع وروری به مدیریت ریسک تخصیص مییابند؛
- مزایای مدیریت ریسک را به تمام علاقمندان منتقل سازد؛
- اطمینان یابد که چارچوب ادارهی ریسک همچنان مناسب باقی میماند.
طراحی چارچوب برای ادارهی ریسک
فهمیدن سازمان و فضای آن
پیش از آغاز طراحی و پیاده سازی چارچوب برای ادارهی ریسک، مهم است که هم فضای خارجی و هم داخلی سازمان درک و سنجیده شود، چرا که این موارد میتوانند به طور قابل توجهی بر طراحی چارچوب اثر بگذارند. سنجش فضای خارجی سازمان ممکن است شامل موارد زیر باشد، اما محدود به آنها نیست.
- محیط اجتماعی و فرهنگی، سیاسی، قانونی، نرارتی، مالی، فناوری، اقتصادی، طبیعی و رقابتی، چه بین المللی باشدو چه ملی، منطقهای یا محلی؛
- محرکها و روندهای کلیدی تأثیر گذار بر اهداف سازمان؛
- روابط با علاقمندان خارجی و ادراکها و ارزشهای آنان.
سنجش فضای داخلی سازمان ممکن است شامل موارد زیر باشد، اما محدود به آنها نیست.
- حکمرانی، ساختار سازمانی، نقشها و پاسخگویی ها؛
- خط مشیها، اهداف و راهبردهایی که برای دستیابی به آنها در کارند؛
- توانمندیها، که با توجه به منابع و دانش درک میشوند مثلاً سرمایه، زمان، افراد، فرآیندها، سیستمها و فناوریها؛
- سیستمهای اطلاعاتی، جریانهای اطلاعاتی و فرآیندهای تصمیم گیری (هم رسمی و هم غیر رسمی)؛
- روابط با علاقمندان داخلی و ادراکها و ارزشهای آنان؛
- فرهنگ سازمانی؛
- استانداردها، رهنمودها و مدلهای اتخاذ شده توسط سازمان؛
- شکل و میزان روابط قراردادی.
برقراری خط مشی مدیریت ریسک
- خط مشی مدیریت ریسک بایستی به روشنی اهداف سازمان را برای مدیریت ریسک و تعهد آن به مدیریت ریسک را بیان کند و به ویژه به موارد ذیل میپردازد.
- منطق اساسی سازمان برای ادارهی ریسک؛
- پیوندهای بین اهداف و خط مشیهای سازمان و خط مشی مدیریت ریسک؛
- پاسخگوییها و مسئولیتها برای ادارهی ریسک؛
- نحوه برخورد با منافع ناسازگار؛
- تعهد به در دسترس قرار دادن منابع وروری برای کمک به افرادی که پاسخگو و مسئول در برابر ادارهی ریسک هستند؛
- نحوه اندازه گیری و گزارش عملکرد مدیریت ریسک؛
- تعهد به بازنگری و بهبود خط مشی و چارچوب مدیریت ریسک به صورت دورهای و در پاسخ به رخداد یا تغییری دراوضاع و احوال.
- خط مشی مدیریت ریسک بایستی به طور مناسب در سازمان انتقال داده شود.
پاسخگویی
سازمان بایستی اطمینان حاصل کند که برای ادارهی ریسک، پاسخگویی، اختیار و شایستگی مناسبی موجود است، از جمله پیاده سازی و حفظ فرآیند مدیریت ریسک و حصول اطمینان از کفایت، اثر بخشی و کارایی هر کنترل. این امر به طریق زیر میسر میشود.
- شناسایی صاحبان ریسک که از پاسخگویی و اختیار برای مدیریت ریسک برخوردارند؛
- شناسایی فردی که پاسخگو تکوین، پیاده سازی و حفظ چارچوب برای ادارهی ریسک است؛
- شناسایی دیگر مسئولیتهای افراد در تمام سطوح سازمان برای فرآیند مدیریت ریسک؛
- برقراری اندازهگیری عملکرد و گزارش دهی خارجی و یا داخلی و فرآیندهای افزایش؛
- تأمین سطوح مناسب شناخت.
انسجام با فرآیندهای سازمان
مدیریت ریسک بایستی در تمام رویهها و فرآیندهای سازمان تعبیه شود، به نحوی که مرتبط، اثر بخش و کارآمد باشد. فرآیند مدیریت ریسک بایستی قسمتی از این فرآیندهای سازمانی باشد و از آنها مجزا نباشد. به ویژه مدیریت ریسک بایستی در تکوین خط مشی، کسب و کار و طراحی و بازنگری راهبردی تعبیه شود و فرآیندهای مدیریت را تغییر دهد.
بایستی یک طرح مدیریت ریسک در سطح سازمان موجود باشد تا اطمینان حاصل کند که خطی مشی مدیریت ریسک پیاده سازی می شود و اینکه مدیریت ریسک در تمام رویهها و فرآیندهای سازمان تعبیه شده است. طرح مدیریت ریسک میتواند با دیگر طرحهای سازمانی مانند طرح راهبردی، انسجام یابد.
منابع
سازمان بایستی منابع مناسبی به مدیریت ریسک تخصیص دهد. به موارد زیر بایستی توجه شود.
- افراد، مهارتها، تجربه و شایستگی؛
- منابع مورد نیاز برای هر گام از فرآیند مدیریت ریسک؛
- فرآیندها، روشها و ابزارهای مورد استفاده سازمان برای اداره ی ریسک؛
- فرآیندها و روشهای اجرایی مستند؛
- سیستمهای مدیریت اطلاعات و دانش؛
- برنامههای آموزشی؛
برقراری تبادل اطلاعات داخلی و ساز و کارهای گزارش دهی
سازمان بایستی تبادل اطلاعات داخلی و ساز و کارهای گزارش دهی را برقرار نماید تا پاسخگویی و مالکیت ریسک راپشتیبانی و تشویق نماید. این ساز و کارها بایستی اطمینان حاصل کنند که:
- تبادل اطلاعات اجزا کلیدی چارچوب مدیریت ریسک و هر تعدیل بعدی به طور مناسب انجام گیرد؛
- گزارش دهی داخلی کافی در مورد چارچوب، اثربخشی و پیامدهای آن موجود است؛
- اطلاعات مربوطه به دست آمده از بکارگیری مدیریت ریسک در سطوح و زمانهای مناسب در دسترس است؛
- فرآیندهایی برای مشاوره با علاقمندان داخلی موجود هستند.
این ساز و کارها بایستی (بر حسب اقتضا)، شامل فرآیندهایی برای یکی کردن اطلاعات ریسک از منابع مختلفی شوند و ممکن است نیاز باشد که حساسیت اطلاعات را در نظر بگیرند.
برقراری تبادل اطلاعات خارجی و ساز و کارهای گزارش دهی
سازمان بایستی طرحی مبنی بر اینکه چگونه با علاقمندان خارجی تبادل اطلاعات میکند، تکوین و پیاده سازی کند. این طرح بایستی شامل موارد زیر باشد.
- دخیل کردن علاقمندان خارجی مناسب و حصول اطمینان از مبادله اثر بخش اطلاعات؛
- گزارش دهی خارجی برای انطباق با الزامات قانونی، نظارتی و حکومتی؛
- ارائهی بازخور و گزارش دهی در مورد تبادل اطلاعات و مشاوره؛
- استفاده از تبادل اطلاعات برای ایجاد اعتماد در سازمان؛
- تبادل اطلاعات با علاقمندان در صورت رخداد بحران یا اتفاقی تصادفی؛
این ساز و کارها بایستی (بر حسب اقتضا)، شامل فرآیندهایی برای یکی کردن اطلاعات ریسک از منابع مختلفی شوند و ممکن است نیاز باشد که حساسیت اطلاعات را در نظر بگیرند.
پیاده سازی مدیریت ریسک
پیاده سازی چارچوب برای ادارهی ریسک
در پیاده سازی چارچوب سازمان برای ادارهی ریسک، سازمان بایستی موارد زیر را رعایت کند.
- زمانبندی و راهبرد مناسب را برای پیاده سازی چارچوب تعریف کند؛
- خط مشی و فرآیند مدیریت ریسک را در فرآیندهای سازمانی به کار برد؛
- منطبق با الزامات قانونی و نظارتی باشد؛
- اطمینان یابد که تصمیم گیری، از جمله تکوین و تنظیم اهداف با پیامدهای فرآیندهای مدیریت ریسک همراستا است؛
- جلسات اطلاعاتی و آموزشی برگزار کند؛
- با علاقمندان تبادل نموده و مشاوره کند تا اطمینان یابد که چارچوب مدیریت ریسک آن مناسب باقی میماند.
پیاده سازی فرآیند مدیریت ریسک
مدیریت ریسک بایستی با حصول اطمینان از این که فرآیند مدیریت ریسک خلاصه شده از طریق یک طرح مدیریت ریسک در تمام سطوح وظایف سازمانی مربوطه به عنوان قسمتی از رویهها و فرآیندهایش به کار میرود، پیاده سازی شود.
پایش و بازنگری چارچوب
به منظور حصول اطمینان از این که مدیریت ریسک اثر بخش است و همچنان عملکرد سازمانی را پشتیبانی میکند، سازمان بایستی:
- عملکرد مدیریت ریسک را در مقابل شاخصهایی اندازه گیری کند که به صورت دورهای برای مناسب بودن بازنگری میشوند؛
- به صورت دورهای پیشروی را در مقابل طرح مدیریت ریسک و انحراف از آن، اندازهگیری کند؛
- به صورت دورهای بازنگری کند که آیا چارچوب، خط مشی و طرح مدیریت ریسک با در نرر گرفتن فضای خارجی و داخلی سازمان، همچنان مناسب هستند؛
- در مورد ریسک، پیشروی طبق طرح مدیریت ریسک و این که خط مشی مدیریت ریسک تا چه حد مورد پیروی قرار میگیرد، گزارش دهد؛
- اثر بخشی چارچوب مدیریت ریسک را بازنگری کند.
بهبود مداوم چارچوب
بر اساس نتایج و بازنگریها، بایستی تصمیماتی در این مورد اخذ شود که چارچوب، خط مشی و طرح مدیریت ریسک چگونه میتواند بهبود یابد. این تصمیمات بایستی منجر به بهبودهایی در مدیریت ریسک سازمان و فرهنگ مدیریت ریسک آن شوند.
منبع: مرکز مشاوره و اطلاع رسانی سیستم کاران