فرآیند
فرآیند مدیریت ریسک بایستی موارد زیر را شامل شود.
- یک قسمت جدا نشدنی از مدیریت باشد.
- در فرهنگ و رویهها تعبیه شده باشد.
- با فرآیندهای کسب و کار سازمان سازگاری شده باشد.
تبادل اطلاعات و مشاوره
تبادل اطلاعات و مشاوره با علاقمندان خارجی و داخلی بایستی در کلیه مراحل فرآیند مدیریت ریسک رخ دهد. بنابراین طرحهایی برای تبادل اطلاعات و مشاوره بایستی در اولین مرحله تکوین شوند. این موارد باید به مسائلی مربوط به خود ریسک، دلایل آن، عواقب آن (اگر از آنها اطلاعاتی موجود باشد) و اقداماتی که برای برخورد با آن انجام میگیرند، بپردازند. تبادل اطلاعات اثر بخش خارجی و داخلی و مشاوره بایستی رخ دهد تا اطمینان حاصل شود که افراد پاسخگو برای پیاده سازی فرآیند مدیریت ریسک و علاقمندان پایه تصمیم گیریها و دلایل نیاز به اقداماتی خاص را درک کنند.
یک رویکرد گروه مشاوره ممکن است.
- به برقراری مناسب فضا کمک کند.
- اطمینان یابد که منافع علاقمندان درک شدهاند و در نظر گرفته میشوند.
- به اطمینان از این امر کمک کند که ریسکها به طور کافی شناسایی شدهاند.
- حوزههای مختلف تخصصی را برای تحلیل ریسکها گرد هم آورد.
- اطمینان یابد که مررات مختلف در زمان تعریف معیارهای ریسک و در سنجش ریسکها به طور مناسب در نظر گرفته شدهاند.
- پشتیبانی و حمایت را برای طرح برخورد با ریسک تأمین کند.
- مدیریت تغییر مناسب را در طول فرآیند مدیریت ریسک تقویت کند.
- یک طرح تبادل اطلاعات و مشاوره مناسب داخلی و خارجی را تکوین نماید.
تبادل اطلاعات و مشاوره با علاقمندان اهمیت دارد، چرا که آنها بر اساس ادراکشان از ریسک، در مورد ریسک کارشناسی میکنند. این ادراکها ممکن است بنا به تفاوتهایی در ارزشها، نیازها، فرضیات، مفاهیم و دغدغههای علاقمندان متفاوت باشند. از آنجا که نظرات علاقمندان میتواند تأثیری قابل توجه بر تصمیمات گرفته شده داشته باشد، ادراک آنها بایستی شناسایی و ثبت شده و در فرآیند تصمیم گیری به حساب آید.
تبادل اطلاعات و مشاوره بایستی مبادله اطلاعات صادقانه، مرتبط، صحیح و قابل فهم را میسر سازد و جنبههای انسجام محرمانه و شخصی را به حساب آورد.
برقراری فضا
سازمان با برقراری فضا اهدافش را بیان میکند، پارارمترهای خارجی و داخلی را که قرار است در زمان اداره یریسک به حساب آیند، تعریف میکند و دامنه کاربرد و معیارهای ریسک را برای فرآیند باقی مانده تنظیم میکند. در عین این که بسیاری از این پارامترها مشابه پارامترهای در نظر گرفته شده در طراحی چارچوب مدیریت ریسک هستند، در زمان برقراری فضا برای فرآیند مدیریت مدیریت ریسک، نیاز است که با تفصیل بیشتری در نظر گرفته شوند و به ویژه به نحوه ارتباط آنها با دامنه کاربرد فرآیند مدیریت ریسک خاص توجه شود.
برقراری فضای خارجی
فضای خارجی، محیط خارجی است که سازمان در آن به دنبال دستیابی به اهدافش است.
درک فضای خارجی مهم است تا اطمینان حاصل شود که اهداف و دغدغههای علاقمندان خارجی در تکوین معیارهای ریسک در نظر گرفته میشوند. این امر بر پایه فضا در گستره سازمان است، اما با جزئیات خاص الزامات قانونی و نظارتی؛ ادراکهای علاقمندان و دیگر جنبههای ریسکها که خاص دامنه کاربرد فرآیند مدیریت ریسک هستند.
فضای خارجی میتواند شامل موارد زیر باشد، اما محدود به آنها نیست.
- محیط اجتماعی و فرهنگی، سیاسی، قانونی، نظارتی، مالی، فناوری، اقتصادی، طبیعی و رقابتی، چه بین المللی باشد چه ملی، چه منطقهای یا محلی.
- محرکها و روندهای کلیدی تأثیرگذار بر اهداف سازمان.
- روابط با علاقمندان خارجی و ادراکها و ارزشهای آنان.
برقراری فضای داخلی
فضای داخلی، محیط داخلی است که سازمان در آن به دنبال دستیابی به اهدافش است. فرآیند مدیریت ریسک بایستی با فرهنگ، فرآیندها، ساختار و راهبرد سازمان اثر بگذارد. این امر باید برقرار شود چون:
- اهداف ریسک در فضای اهداف سازمان رخ میدهد.
- اهداف و معیارهای پروژه، فرآیند یا فعالیتی خاص بایستی از لحاظ اهداف سازمان به طور کلی در نظر گرفته شوند.
- برخی سازمانها نمیتوانند فرصتهای دستیابی به اهداف راهبردی، پروژهای یا کسب و کار خودکار را تشخیص دهند و این امر بر تعهد، اعتبار، اعتماد و ارزش پیوسته سازمانی اثر میگذارد.
درک فضای داخلی ضروری است. این امر میتواند شامل موارد زیر باشد، اما محدود به آنها نیست.
- حکمرانی، ساختار سازمانی، نقشها و پاسخگوییها.
- خط مشیها، اهداف و راهبردهایی که برای دستیابی به آنها در کارند.
- توانمندیها که با توجه به منابع و دانش درک میشوند (مثلاً سرمایه، زمان، افراد، فرآیندها، سیستمها و فناوریها).
- روابط با علاقمندان داخلی و ادراکها و ارزشهای آنان.
- فرهنگ سازمانی.
- سیستمهای اطلاعات، جریانهای اطلاعات و فرآیندهای تصمیم گیری (هم رسمی و هم غیر رسمی).
- استانداردها، رهنمودها و مدلهای اتخاذ شده توسط سازمان.
- شکل و میزان روابط قراردادی.
برقراری فضای فرآیند مدیریت ریسک
اهداف، راهبردها، دامنه کاربرد و پارامترهای فعالیتهای سازمان یا قسمتهایی از سازمان که در آنها فرآیند مدیریت ریسک به کار میرود، بایستی برقرار شوند. مدیریت ریسک بایستی با در نظر گرفتن کامل نیاز به توجیه منابع به کار رفته در انجام مدیریت ریسک اجرا شود. منابع مورد الزام، مسئولیتها و اختیارات و سوابقی که قرار است نگه داشته شوند نیز بایستی مشخص شوند.
فضای فرآیند مدیریت ریسک بنا به نیازهای سازمان متفاوت خواهد بود. این امر میتواند شامل موارد زیر باشد اما محدود به آنها نیست.
- تعریف اهداف و مقاصد فعالیتهای مدیریت ریسک.
- تعریف مسئولیتها برای فرآیند مدیریت ریسک و درون آن.
- تعریف دامنه کاربرد و همچنین عمق و وسعت فعالیتهای مدیریت ریسک که قرار است انجام گیرند، از جمله شامل کردنها و مستثنی کردنهای خاص.
- تعریف فعالیت، فرآیند، وظیفه، پروژه، محصول، فرایند، فعالیت و دیگر پروژهها، فرآیندها یا فعالیتهای سازمان.
- تعریف روش شناسیهای ارزیابی ریسک.
- تعریف نحوه سنجش عملکرد و اثر بخشی در مدیریت ریسک.
- شناسایی و مشخص کردن تصمیماتی که باید اخذ شوند.
- شناسایی، تعیین دامنه کاربرد یا تعیین چارچوب مطالعات مورد نیاز، میزان و اهداف آنها و منافع الزامی برای چنین مطالعاتی.
توجه به این موارد و دیگر فاکتورهای مربوطه بایستی به حصول اطمینان از این امر کمک کند که رویکرد مدیریت ریسک اتخاذ شده برای اوضاع و احوال، سازمان و ریسکهای تأثیرگذار بر دستیابی به اهدافش مناسب است.
تعریف معیارهای ریسک
سازمان بایستی معیارهای مورد استفاده برای سنجش اهمیت ریسک را تعریف کند. معیارها بایستی منعکس کننده ارزشها، اهداف و منابع سازمان باشند. برخی معیارها ممکن است توسط الزامات قانونی و نظارتی و دیگر الزاماتی که سازمان متعهد به آنها است، تحمیل شوند یا از آنها مشتق شوند. معیارهای ریسک بایستی سازگار با خط مشی مدیریت ریسک باشند در آغاز هر فرآیند مدیریت ریسک تعریف شوند و به طور مداوم بازنگری شوند.
در تعریف معیارهای ریسک، فاکتورهایی که قرار است در نظر گرفته شوند، بایستی شامل موارد زیر باشند.
- ماهیت و انواع دلایل و عواقبی که ممکن است رخ دهند و نحوه اندازه گیری آنها؛
- نحوه تعریف راستنمایی.
- چارچوبهای زمانی راستنمایی و یا عاقبت / عواقب.
- نحوه تعیین سطح ریسک.
- نظارت علاقمندان.
- سطحی که در آن ریسک قابل قبول نحمل میشود.
- این که آیا ترکیباتی از ریسکهای چندگانه بایستی به حساب آیند و در این صورت، نحوه در نظر گرفتن ترکیبات و این که کدام ترکیبات بایستی در نظر گرفته شوند.
ارزیابی ریسک
ارزیابی ریسک فرایند کلی شناسایی ریسک، تحلیل ریسک و سنجش ریسک است.
شناسایی ریسک
سازمان بایستی ریسک، حوزههای تأثیرات، رخدادها (از جمله تغییرات در اوضاع و احوال) و دلایل آنها و عواقب احتمالی آنها را شناسایی کند. هدف از این گام ایجاد فهرستی جامع از ریسکها بر پایه رخدادهایی است که ممکن است دستیابی به اهداف را ایجاد، تقویت و ممانعت کننده آن را تنزل دهند، سرعت بخشند یا به تأخیر بیاندازند. شناسایی ریسکهای مربوط به عدم تعقیب یک فرصت، دارای اهمیت است. شناسایی جامع مهم است، چرا که ریسکی که در این مرحله شناسایی نمیشود، در تحلیلهای آتی گنجانده نخواهد شد.
شناسایی بایستی شامل تمامی ریسکها شود چه منبع آنها تحت کنترل سازمان باشد و چه نباشد، هرچند منبع ریسک یادلیل آن ممکن است روشن نباشد. شناسایی ریسک بایستی شامل بررسی تأثیرات پیوسته عواقبی خاص باشد، از جمله تأثیرات آبشاری و تجمعی. شناسایی همچنین بایستی گستره وسیعی از عواقب را در نظر بگیرد، حتی اگر منبع ریسک یادلیل آن آشکار نباشد. علاوه بر شناسایی آنچه ممکن است روی دهد، ضروری است که دلایل و سناریوهای ممکن درنظر گرفته شوند که نشان میدهند چه عواقبی ممکن است رخ دهند. تمام دلایل و عواقب قابل توجه بایستی در نظر گرفته شوند.
سازمان بایستی ابزارهای شناسایی ریسک و تکنیکهایی را به کار گیرد که برای اهداف و توانمندیهای آن و ریسکهایی که با آن مواجه میشود، مناسب هستند. اطلاعات مربوطه و به روز در شناسایی ریسکها مهم است. این امر بایستی در شناسایی ریسکها دخیل باشند.
تحلیل ریسک
تحلیل ریسک شامل تکوین درکی از ریسک میشود. تحلیل ریسک یک ورودی به سنجش ریسک و تصمیماتی در مورد این که آیا نیاز است با ریسکها برخورد شود و مناسبترین راهبردها و روشهای برخورد با ریسک چیست ، ارائه میدهد. تحلیل ریسک همچنین یک ورودی به تصمیم گیری در زمانی ارائه میدهد که باید انتخابی صورت گیرد و گزینهها شامل انواع ریسک، عواقب مثبت و منفی آنها و احتمال وقوع این عواقب است. فاکتورهایی که بر عواقب و احتمال اثر میگذارد بایستی شناسایی شوند. ریسک با تعیین عواقب و احتمال آنها و دیگر وصفیهای ریسک تحلیل میشود. یک رخداد میتواند عواقب چندگانهای داشته باشد و میتواند بر چندین هدف اثر بگذارد. کنترلهای موجودو اثر بخشی و کارایی آنها نیز بایستی به حساب آید.
نحوه بیان عواقب و احتمال آنها و نحوه ترکیب آنها برای تعیین سطح ریسک بایستی نوع ریسک، اطلاعات موجود و مقصود استفاده از خروجی ارزیابی ریسک را منعکس سازد. این موارد بایستی با معیارهای ریسک سازگار باشند. همچنین در نظر گرفتن وابستگی متقابل ریسکهای مختلف و منابع آنها مهم است.
اطمینان در تعیین سطح ریسک و حساسیت آن به پیش شرطها و مفروضات بایستی در تحلیل در نظر گرفته شود و به طور اثر بخش به تصمیم گیرندگان در صورت مناسب بودن، دیگر علاقمندان انتقال یابد. فاکتورهایی چون و اگرایی نظرات بین متخصصین، عدم قطعیت، در دسترس بودن، کیفیت، کمیت و مرتبط بودن پیوسته اطلاعات یا محدودیتها در مدل سازی بایستی بیان شده و میتوانند مورد تاکید قرار گیرند.
تحلیل ریسک میتواند با درجات مختلفی از جزئیات انجام گیرد که به ریسک، مقصود از تحلیل و اطلاعات، دادهها و منابع موجود بستگی دارد. تحلیل میتواند بسته به اوضاع و احوال، کیفی، نیمه کمی یا کمی یا ترکیبی از اینها باشد.
عواقب و احتمال آنها میتواند با مدلسازی پیامدهای یک رخداد یا مجموعهای از رخدادها یا برون یابی از مطالعات آزمایشی یا از دادههای موجود تعیین شود. عواقب را میتوان از نظر تأثیرات محسوس و نامحسوس بیان کرد. در برخی موارد بیش از یک مقدار عددی یا توصیفگر برای مشخص کردن عواقب و احتمال آنها برای زمانها، مکانها، گروهها یا موقعیتهای مختلف مورد الزام است.
سنجش ریسک
مقصود از سنجش ریسک کمک در تصمیم گیری، بر اساس پیامدهای تحلیل ریسک در مورد این است که چه ریسکهایی نیاز به برخورد دارند و ارجحیت برای برخورد کدام است. سنجش ریسک شامل مقایسه سطح ریسک یافت شده در طول فرآیند تحلیل با معیارهای ریسک است که در زمان بررسی فضا برقرار شدهاند. بر اساس این مقایسه، نیاز به برخورد میتواند بررسی شود. تصمیمات بایستی فضای گستردهتر ریسک را به حساب آورند و شامل در نظر گرفتن رواداری ریسکهایی شوند که طرفین محتمل میشوند، به جز سازمانی که از ریسک سود میبرد. تصمیمات باید مطابق با الزامات قانونی و نظارتی و غیره گرفته شوند. در برخی اوضاع و احوال، سنجش ریسک میتواند منجر به تصمیم به انجام تحلیل بیشتر شود. سنجش ریسک همچنین میتواند منجر به تصمیم به عدم برخورد با ریسک به طریقی جز حفظ کنترلهای موجود شود. این تصمیم تحت تأثیر نگرش سازمان به ریسک و معیارهای ریسک برقرار شده است.
برخورد با ریسک
برخورد با ریسک شامل انتخاب یک یا چند گزینه برای تعدیل ریسکها و اجرای این گزینهها است. به محض این که برخوردها اجرا میشوند کنترلها را فراهم یا تعدیل میکنند.
برخورد با ریسک شامل فرآیند گردشی موارد زیر است.
- ارزیابی برخورد با ریسک
- تصمیم در این مورد که آیا سطوح ریسک باقی مانده قابل تحمل هستند.
- در صورتی که قابل تحمل نباشند، ایجاد برخورد با ریسکی جدید
- ارزیابی اثر بخشی این برخورد.
گزینههای برخورد با ریسک لزوماً دو به دو متناظر نبوده یا در تمام اوضاع و احوال مناسب نیستند. گزینهها میتوانند شامل موارد زیر باشند.
- اجتناب از ریسک از طریق تصمیم به عدم آغاز یا ادامه به فعالیتی که ریسک را افزایش میدهد.
- پذیرش ریسک یا افزایش آن به منرور تعقیب یک فرصت.
- از میان برداشتن منبع ریسک.
- تغییر راستنمایی.
- تغییر عواقب.
- به اشتراک گذاشتن ریسک با طرف یا طرفهای دیگر (از جمله قرار دادها و سرمایه گذاری ریسک)
- حفظ ریسک با تصمیم آگاهانه.
انتخاب گزینههای برخورد با ریسک
انتخاب مناسبترین گزینه برخورد با ریسک شامل ایجاد تعادل بین هزینهها و تلاشهای پیاده سازی و سود به دست آمده، با توجه به الزامات قانونی، نظارتی و دیگر الزامات از قبیل مسئولیت اجتماعی و حفاظت از محیط طبیعی است. تصمیمات بایستی همچنین ریسکهایی را به حساب آورند که میتوانند برخورد با ریسک را گارانتی کنند که براساس اقتصاد توجیه پذیر نیست (مانند ریسکهای شدید، دارای عواقب بسیار منفی اما نادر با احتمال پایین) تعدادی از گزینه های برخورد را میتوان به صورت منفرد یا ترکیبی در نظر گرفته و به کار برد.
سازمان معمولاً میتواند از اتخاذ ترکیبی از گزینههای برخورد سود ببرد. در هنگام انتخاب گزینههای برخورد با ریسک، سازمان بایستی ارزشها و ادراکهای علاقمندان و مناسبترین راهها برای تبادل اطلاعات با آنان را در نظر بگیرد. هنگامی که گزینههای برخورد با ریسک میتوانند در جای دیگری در سازمان یا بر علاقمندان تأثیرگذار باشند، این موارد بایستی در تصمیم گیری دخالت داشته باشند، برخی برخوردها باریسک با این که به طور مساوی اثربخش هستند، میتوانند برای برخی علاقمندان بیش از بقیه قابل قبول باشند. طرح برخورد بایستی به روشنی ترتیب اولویتی را که طبق آن هر گزینهی برخورد با ریسکهای بایستی اجرا شوند، شناسایی کند.
خود برخورد با ریسک ممکن است ریسکهایی در بر داشته باشد. یک ریسک قابل توجه میتواند عدم موفقیت یا عدم اثر بخشی اقدامات برخورد با ریسک باشد. نیاز است که پایش یک قسمت جدا نشدنی از طرح برخورد با ریسک باشد تا تضمین شود که اقدامات اثر بخش باقی میمانند. برخورد با ریسک همچنین میتواند ریسکهای ثانوی را معرفی کند که نیاز است ارزیابی شو ند، با آنها برخورد شود و مورد پایش و بازنگری قرار گیرند. این ریسکهای ثانوی بایستی در طرح برخوردی یکسان با ریسک اصلی جای گیرند و به عنوان ریسکی جدید با آنها برخورد نشود. پیوند بین دو ریسک بایستی شناسایی و برقرار شود.
آماده سازی و پیاده سازی طرحهای برخورد با ریسک
مقصود از طرحهای برخورد با ریسک، مستند سازی نحوه اجرای گزینههای برخورد انتخاب شده است. اطلاعات ارائه شده در طرحهای برخورد بایستی شامل موارد زیر باشد.
- دلایل انتخاب گزینههای برخورد، از جمله سودهایی که انتظار میرود به دست آید.
- افرادی که پاسخگوی تأیید طرح و افرادی که مسئول پیاده سازی طرح هستند.
- اقدامات پیشنهادی.
- الزامات منابع از جمله احتمال وقوع.
- اقدامات و محدودیتهای عملکرد.
- الزامات گزارش دهی و پایش.
- زمانبندی و برنامه زمانی.
طرحهای برخورد بایستی در فرآیندهای مدیریت سازمان گنجانده شوند و با علاقمندان مناسب در مورد آنها بحث شود. تصمیم گیرندگان و دیگر علاقمندان بایستی از ماهیت و میزان ریسک باقی مانده پس از برخورد با ریسک آگاه باشند. ریسک باقی مانده بایستی مستند شود و مورد پایش، بازنگری و بر حسب اقتضا مورد برخورد بیشتر قرار گیرد.
پایش و بازنگری
پایش و همچنین بازنگری بایستی قسمتی طراحی شده از فرآیند مدیریت ریسک باشند و شامل وارسی یا نظارت منظم قرار گیرند. این امر میتواند دورهای یا به صورت کاربرد موردی باشد. مسئولیتهای پایش و بازنگری بایستی به روشنی تعریف شوند.
فرآیندهای پایش و بازنگری بایستی برای مقاصد زیر در بردارنده تمام جنبههای فرآیندهای مدیریت ریسک باشند.
- حصول اطمینان از این که کنترلها هم در طراحی و هم در بهره برداری اثر بخش و کارآمد هستند.
- کسب اطلاعات بیشتر برای بهبود ارزیابی ریسک.
- تحلیل و درس گرفتن از رویدادها (از جمله عدم دستیابی به هدف)، تغییرات، روندها، موفقیتها و شکستها.
- کشف تغییرات در فضای خارجی و داخلی، از جمله تغییراتی در معیارهای ریسک و خود ریسک که میتواند مستلزم بازنگری برخورد با ریسک و اولویتها باشد،
- شناسایی ریسکهایی که ظاهر میشوند.
پیشروی در پیاده سازی طرحهای برخورد با ریسک، مقیاسی عملکردی را فراهم میسازد. نتایج را میتوان در مدیریت عملکرد کلی سازمان، اندازه گیری و فعالیتهای گزارش دهی خارجی و داخلی جای داد.
ثبت فرآیند مدیریت ریسک
فعالیتهای مدیریت ریسک بایستی قابل ردیابی باشند. در فرآیند مدیریت ریسک، سوابق اساسی را برای بهبود در روشها و ابزارها و همچنین در فرایند کلی فراهم میسازند.
تصمیمات در مورد ایجاد سوابق بایستی موراد زیر را به حساب آورند.
- نیازهای سازمان برای یادگیری مداوم.
- مزایای استفاده مجدد از اطلاعات برای مقاصد مدیریتی.
- هزینهها و تلاشهای به کار رفته در ایجاد و حفظ سوابق.
- نیازهای قانونی، نظارتی و بهره برداری برای سوابق.
- روشهای دسترسی، راحتی قابلیت بازیابی و رسانههای ذخیره.
- دوره نگهداری.
- حساسیت اطلاعات.
منبع: مرکز مشاوره و اطلاع رسانی سیستم کاران