سیستم های مدیریت کیفیت

حال بعد از اتمام پروژه و نصب سیستم، سیستم با ریسک های عملیاتی مواجه خواهد بود. ریسک هایی مانند خرابی سیستم، از دست رفتن داده ها و اطلاعات، ویروسی شدن سیستم و… . ریسک های عملیاتی می توانند انواع گوناگون داشته و در مواردی به شدت تخصصی شوند، پس برای حداقل کردن اثر آن ها، نیاز مبرمی به طراحی و عملیاتی کردن فرآیندهای مشخصی وجود خواهد داشت.

خدمات تیم مشاوره مدیریت رسا در زمینه “هدف گذاری ، برنامه ریزی کسب و کار و تدوین استراتژی مدیریت”

ارزیابی ریسک:

ارزیابی ریسک به معنای شناسایی ریسک ها و در مرحله بعد تحلیل و رتبه بندی هر کدام است. البته در برخی چارچوب های خاص مراحل شناسایی و ارزیابی دو مرحله ی جداگانه در نظر گرفته می شوند، اما جداگانه یا یکی بودن این مراحل در ماهیت عملکرد برنامه  مدیریت ریسک تفاوت چندانی ایجاد نمی کند و در زمره تفاوت های تکنیکی شمرده می شود.

در مرحله ارزیابی، استفاده از چارچوبی جهت یادداشت و وارد کردن اطلاعات مربوط به هر ریسک ضروری است. دامنه ی اطلاعاتی که باید در خصوص هر ریسک ثبت و ضبط شوند عموماً شامل موارد زیر است.

شامل شاخصی جداگانه و به خصوص برای نام گذاری ریسک .

دامنه ی ریسک مورد نظر و فهرستی از اتفاقات بالقوه ای که امکان رخ دادنشان وجود دارد. توصیف دقیق اتفاقات بالقوه، میزان شدت، نوع و تعدد تکرار هر کدام از جمله نکاتی است که در فهرست مذکور نوشته می شود.

شامل طبقه بندی ریسک، مقیاس زمانی اثرات احتمالی ناشی از آن و همچنین تعیین نوع آن ها به عنوان الف) تهدید (ریسک با اثر منفی) ب) فرصت (ریسک با اثر مثبت) و یا ج) نااطمینانی (نامشخص بودن اثر ریسک)

فهرست اشخاصی که چه در درون و چه در بیرون سازمان (بازیگران درونی و بیرونی) از ریسک مورد نظر اثر خواهند پذیرفت و همچنین انتظارات هر یک از آن ها از شرایط و ایده آل هر یک نوشته می شود.

احتمال وقوع هر ریسک و شدت اثرگذاری آن و همجنین اثرات و پیامدهای احتمالی نوشته می شود. این مرحله از جمله فنی ترین مراحل برنامه مدیریت ریسک محسوب می شود و انجام آن نیازمند استفاده از تخصص مشاوره مدیریت مربوطه است.

حوادث پیشین مربوط به ریسک مورد نظر  و ضررهایی که به این وسیله بر سازمان وارد شده است نوشته می شود.

پتانسیل ضرردهی و در واقع حد نهایت ضرردهی شرکت که حاکی از میزان انعطاف پذیری آن است تعیین می شود. همچنین اثرات مالی انتظاری ناشی از ریسک نیز تعیین و مشخص می شوند. هدف از کنترل ریسک تعیین شده و سطح ایده آل عملکرد در این حالت مشخص می شود.

فرآیندها و فعالیت های کنترل ریسک موجود تعیین می شود، سطح اعتماد به فرآیندها و فعالیت های مذکور اندازه گیری و مشخص می شود. و در انتها فرآیندهای پایش و نظارت و بررسی عملکرد سازمان در مقابل ریسک ها تعریف می شود.

توان بالقوه ی اصلاح و یا بهبود وضعیت های ناشی از ریسک شناسایی و امکان سنجی می شوند. توصیه های نهایی و اولتیماتوم های لازم برای اعمال برنامه مدیریت ریسک تهیه می شوند. مسئولیت ها برای عملی کردن هر نوع عملیات اصلاح ریسک  تعیین می گردند.

مسئولیت های مربوط به تغییر و اصلاح استراتژی های کلی شرکت (با توجه به تعریف ذکر شده از استراتژی در صفحات قبلی ) با در نظر گرفتن ریسک ها تعیین می شوند. همچنین ساز و کار حصول اطمینان از سازگاری فرآیند بازبینی برنامه مدیریت ریسک با روندهای کنترلی تعریف شده در مراحل پیشین تعریف و تعیین می شود.

نحوه‌ی تعیین احتمالات وقوع ریسک

یکی از دشوارترین مراحل برنامه مدیریت ریسک، بخش ارزیابی آن و یکی از دشوارترین مراحل بخش ارزیابی ریسک، بخش تعیین احتمالات وقوع ریسک ها است. اما در این قسمت نشان خواهیم داد این امر آنقدرها هم دشوار نیست و صرفاً به دیدگاه سازمانی که قصد عملیاتی کردن برنامه مدیریت ریسک را دارد بازمی گردد.

از آنجا که پیامدهای وقوع ریسک می تواند منفی (تهدید)، مثبت (فرصت) و یا نامشخص (نااطمینانی) باشد، سازمان هایی که قصد عملیاتی کردن یک برنامه مدیریت ریسک را دارند بهتر است تعاریف مناسبی را برای سطوح احتمال و پیامدهای هر ریسک با توجه به انواع گوناگون پیامدهای آن تعیین کنند. به این معنا که سطوح احتمال بسته به منفی، مثبت و یا نامشخص بودن اثر و پیامد ریسک تعریف می شود.

به طور مثال بسیاری از سازمان ها به تقسیم بندی احتمال وقوع ریسک ها و شدت پیامدهای ناشی از آن ها به سه سطح کیفی ۱) پایین ۲) متوسط ۳) بالا بسنده می کنند و در حقیقت نتایج را در یک ماتریس ۳×۳ به شکل زیر ارائه می کنند:

اگر فرض کنیم سازمان با سه ریسک متفاوت مواجه باشد:

در حالت بالا سازمان با ریسک ۱ دارای احتمال پایین و اثر (پیامد) پایین، ریسک ۲ با احتمال وقوع متوسط و اثرات احتمالی بالا و در نهایت ریسک ۳ با احتمال و اثر بالا مواجه است. سازمان ها با توجه به شرایط موجود خود می توانند ابعاد این ماتریس را تغییر داده و به طور مثال ماتریسی ۶×۶ را برای تعیین حالات احتمال وقوع ریسک ها انتخاب نمایند.

در نهایت هدف اصلی از تعیین احتمالات و پیامدهای ریسک ها چیزی جز امکان اولویت بندی و رتبه بندی ریسک های اصلی به منظور تحلیل بیشتر آن ها نیست. بنابراین اگر سازمان ها به این مرحله با رعایت دیدگاه اصلی و هدف پشت پرده آن نگاه کنند، می توانند خود نحوه ی شخصی سازی شده ای از تعیین احتمال و پیامدها ایجاد کرده و از آن استفاده کنند.

سیستم های طبقه بندی ریسک:

یکی از پراهمیت ترین بخش های تحلیل یک ریسک به خصوص، تعیین ماهیت، منبع ایجاد پیامد آن و نوع پیامد ذکر شده است. ارزیابی ریسک ها با این روش می تواند با استفاده از سیستم های طبقه بندی ریسک بسیار راحت تر صورت گیرد.
اهمیت سیستم های طبقه بندی ریسک در این نکته نهفته است که استفاده از این سیستم ها، امکان شناسایی توده های یکسانی از ریسک ها را برای سازمان فراهم می کنند. طبقه بندی ریسک ها همچنین به سازمان کمک می کند تا آسیب پذیرترین استراتژی ها، تاکتیک ها و عملیات خود را شناسایی و کشف کند.

طبقه بندی ریسک ها به طور استاندارد، با تقسیم بندی ریسک ها به چند دسته صورت می پذیرد:
۱ – ریسک های مرتبط با کنترل مالی
۲ – ریسک های مرتبط با اجرای (عملیات) بهینه
۳ – ریسک هایی که امکان خدشه دار کردن سابقه و اعتبار سازمان را داشته باشند
۴ – ریسک های مرتبط با فعالیت های تجاری

البته دقیقاً به مانند تعیین سطح احتمال و پیامدهای ریسک، طبقه بندی ریسک نیز بسته به شرایط هر سازمان متفاوت خواهد بود. در حقیقت هیچ سیستم طبقه بندی ریسکی وجود ندارد که برای تمام سازمان ها در تمام نقاط جهان قابل استفاده باشد. سیستم طبقه بندی ریسک هر سازمان با توجه به اندازه، ماهیت و پیچیدگی سازمان مورد نظر انتخاب می شود. در انتخاب سیستم طبقه بندی ریسک، در نظر گرفتن گستره و دامنه ی ریسک هایی که سازمان با آن ها مواجه است نیز امری ضروری است.

1. استفاده از پاسخ‌نامه و چک‌لیست‌ها:

استفاده از پاسخ‌نامه‌ها و چک‌لیست‌های از پیش تعیین شده و دقیق، به منظور جمع‌آوری اطلاعات در راستای شناسایی ریسک‌های اصلی

2. کارگاه‌ها و جلسات طوفان فکری:

جمع‌آوری و به اشتراک گذاشتن ایده‌ها و بحث در مورد اتفاقاتی که می‌توانند بر اهداف سازمان، انتظارات ذی‌نفعان (از جمله صاحبین سهام، مدیریت، مشتریان و…) و یا ارتباطات و وابستگی‌های کلیدی سازمان اثرگذار باشند

3. تحقیق و تفحص و حسابرسی

بازرسی حضوری تمام بخش‌های سازمان و فعالیت‌های آن و یا انجام حسابرسی‌های مربوطه با استفاده از سیستم‌ها و فرآیندهای تعیین شده

4. فلوچارت‌ها و تحلیل وابستگی‌ها

تحلیل فرآیندها و عملیات داخل-سازمانی به منظور شناسایی عناصر اساسی که می‌توانند به موفقیت ختم شوند

5. استفاده از روش‌های HAZOP و FMEA

روش HAZOP (بررسی فجایع و امکان‌پذیری) و FMEA (تحلیل اثرات روش‌های شکست) دو تکنیک عددی در راستای تحلیل شکست‌ها (ریسک‌های با اثر منفی) فنی شمرده می‌شوند.

6. انجام تحلیل‌های SWOT و PESTLE

توجه: انجام تحلیل‌های SWOT (قوت‌ها/ضعف‌ها/فرصت‌ها/تهدید‌ها) و PESTLE (سیاسی/اقتصادی/اجتماعی/فنی/حقوقی/زیست‌محیطی) می‌توانند راهکارهایی نظام‌مند جهت شناسایی ‌ریسک‌ها ارائه دهند.

 مدیریت ریسک به عنوان یکی از بخش‌های مرکزی مدیریت استراتژیک هر سازمانی شمرده می‌شود.در حقیقت مدیریت ریسک فرآیندی است که سازمان‌ها از طریق آن، ریسک‌های ناشی از فعالیت‌های خود را به طور روش‌مندی مورد مطالعه و تحلیل قرار می‌دهند.

یک برنامه مدیریت ریسک موفق باید بسته به سطح ریسکی که سازمان با آن مواجه است نوشته شود. همچنین دامنه‌ی برنامه باید جامع بوده و گستره‌ی تمام فعالیت‌های سازمانی را شامل شود. برنامه‌ی مدیریت ریسک موفق باید به گونه‌ای طراحی شود که از جمله‌ی فعالیت‌های روتین و روزانه سازمان قرار گیرد و همچنین باید حالت پویا و داینامیک داشته باشد، به این ترتیب که نسبت به تغییر در شرایط حساس بوده و تغییرات لازم در آن صورت گیرد.

مدیریت ریسک میزان درک سازمان را از نقاط مثبت و منفی عواملی که می‌توانند به طور بالقوه بر سازمان اثرگذار باشند را به طور چشم‌گیری افزایش می‌دهد. رعایت شفافیت یکی از اصلی‌ترین اصول مدیریت ریسک است و می‌تواند در افزایش درک نقاط فوق‌الذکر به شدت اثرگذار باشد. مدیریت ریسک همچنین با لحاظ ریسک‌های موجود و سعی در خارج کردن آن‌ها از حالت نااطمینانی، احتمال موفقیت را افزایش داده و احتمال شکست و سطح نااطمینانی در دستیابی به اهداف سازمانی را کاهش می‌دهد.

تعریف چارچوب های مدیریت ریسک

چارچوب‌های گوناگونی در زمینه مدیریت ریسک شرکتی وجود دارد که هر کدام روش‌ متفاوتی را در شناسایی و تحلیل ریسک‌ها و فرصت‌ها، نحوۀ عکس‌العمل در مقابل آن‌ها و پایش و نظارت بر ریسک‌ها و فرصت‌ها، چه در محیط داخلی شرکت و چه در محیط خارج از شرکت، در پیش‌ می‌گیرند. در اینجا واژه‌ی ریسک در کنار فرصت به کار رفته است اما توجه کنید که در حقیقت ریسک خود ماهیتاً هم اثرات منفی و هم اثرات مثبت را شامل می‌شود.

در حقیقت مدیریت هر شرکت یا بیزینس، پس از شناسایی و تحلیل ریسک‌ها و فرصت‌های موجود در بیزینس خود، در انتخاب استراتژی عکس‌العمل در مقابل این ریسک‌ها و فرصت‌ها چند راه مشخص پیش رو خواهد داشت که بسته به شرایط بازار، بیزینس، وضعیت چرخه‌های رکود و رونق و … به انتخاب یکی و یا ترکیبی از آن‌ها دست خواهد زد:

1. فرار: خروج از فعالیت‌هایی که منجر به بروز ریسک می‌شوند
2. کاهش: تلاش برای کاهش احتمال و یا شدت اثرگذاری ریسک
3. روش‌های متفاوت: بررسی و انتخاب گام‌های محتمل دیگر به منظور کاهش ریسک
4. به اشتراک‌گذاری یا بیمه‌کردن: انتقال و یا تشریک بخشی از ریسک، با استفاده از مالی‌سازی آن (به طور مثال از طریق بیمه)
5. پذیرفتن: پس از بررسی هزینه/فایده، هیچ عکس‌العملی در مقابل ریسک‌های ناشی از فعالیت‌ها، توسط شرکت صورت نمی‌گیرد

با در نظر گرفتن این حالات، بخش پایش یا نظارت عموماً توسط مدیریت و به عنوان بخشی از فعالیت های نظارت داخلی صورت می گیرد. فعالیت های نظارت داخلی شرکت شامل بررسی گزارش های تحلیلی و یا تشکیل کمیته های مدیریتی با متخصصان مربوطه است. این فعالیت ها نحوۀ عملکرد استراتژی عکس العمل انتخاب  شده و دستیابی به اهداف را مشخص می کنند.

چارچوب مدیریت ریسک COSO

این چارچوب به عنوان یکی از مشهورترین چارچوب های مدیریت ریسک شرکتی در جهان شناخته می شود. در این چارچوب هشت بخش و چهار اصل کلی تعریف می شود و بسته به آن اقدامات مدیریت ریسک در شرکت اعمال می شود.
مدیریت ریسک به روش COSO به هشت بخش تقسیم می شود:
۱٫ تعهد به انجام مدیریت ریسک
۲٫ سیاست مدیریت ریسک
۳٫ تشکیل یک بخش به عنوان میکسر (ادغام کننده) مدیریت ریسک در سازمان
۴٫ ارزیابی ریسک
۵٫ عکس العمل در مقابل ریسک
۶٫ ارتباطات و گزارش دهی
۷٫ اطلاعات و ارتباطات
۸٫ نظارت و پایش

همچنین چهار اصل کلی مدیریت ریسک به روش COSO عبارتند از:

استراتژی: اهداف سطح بالا که با ماموریت کلی سازمان در هماهنگی بوده و آن را تقویت کنند
فعالیت ها: استفاده بهینه و موثر از منابع
گزارش دهی مالی: میزان قابل اتکا بودن گزارش های عملیاتی و مالی
سازگاری: تطابق با قوانین و مقررات موجود

این عناصر در ادبیات مدیریت ریسک به نام های ۷R و ۴T های مدیریت ریسک شناخته می شوند.
– شناسایی ریسک ها
– رتبه بندی و ارزیابی ریسک ها
– تعیین ریسک های اصلی
– تعیین نحوه عکس العمل در مقابل ریسک های اصلی: که عموماً دارای گزینه های ۱) تحمل ۲) درمان ۳) انتقال (به طور مثال از طریق بیمه) ۴) از بین بردن است. (این ۴ گزینه در حقیقت همان ۴Tهای مدیریت ریسک هستند)
– کنترل منابع
– برنامه ریزی عکس العمل ها: تفاوت این عنصر با تعیین نحوه عکس العمل در این نکته نهفته است که در مرحله تعیین، صرفا انواع عکس العمل های ممکن معرفی و فهرست می شوند، اما در این مرحله نحوه ی عکس العمل در مقابل هر شرایط و اولویت بندی آن ها نیز مورد توجه قرار می گیرد.
– پایش/نظارت و گزارش عملکرد سازمان در مقابل ریسک ها
– بازبینی چارچوب مدیریت ریسک و اصلاح/تغییر آن در صورت لزوم

تقسیم بندی فرآیند مدیریت ریسک

فرآیند ذکر شده در قسمت قبلی را می توان به صورت کلی تر زیر نیز تعریف و تقسیم بندی نمود:
۱٫ معماری ریسک:
معماری و طراحی ریسک شامل تعیین نقش ها، مسئولیت ها، ارتباطات و ساختار گزارش دهی ریسک است. در قسمت های بعدی متن با معرفی بحث توابع ریسک در این خصوص توضیحات بیشتری ارائه می شود.
۲٫ استراتژی ریسک:
استراتژی کلی شرکت در مقابل ریسک ها، شامل سطح و ماهیت ریسک هایی که برای سازمان قابل تحمل است و همچنین نحوه ی عمل و فلسفه ی ذهنی در مقابل ریسک ها را مشخص می کند.
۳٫ پروتکل های ریسک:
پروتکل های ریسک در قالب دفترچه های راهنمای کلی برای سازمان تهیه می شوند. این پروتکل ها شامل قوانین و فرآیندها و همچنین تعیین متودولوژی و روش مدیریت ریسک، ابزارها و تکنیک های مورد استفاده است.

۱٫ ساز و کارهای نظارت و بازبینی عملکرد:

این ساز و کارها از نظارت بهینه سازمان بر عملکردهای مرتبط با ریسک اطمینان حاصل می کند و همچنین یادگیری از تجربیات و اشتباهات گذشته در زمینه ی این عملکردها را مد نظر قرار می دهد.
تعیین هر فرآیند نظارت و بازبینی باید بر اساس پاسخگویی به سوالات زیر انجام گیرد:
– آیا معیارهای استفاده شده به نتایج مورد نظر دست یافته اند؟
– آیا فرآیندهای مورد استفاده بهینه بوده اند؟
– آیا اطلاعات و داده های کافی برای ارزیابی ریسک ها در دسترس بوده است؟
– آیا دانش جدیدی در اختیار است که با استفاده از آن بتوان روند تصمیم گیری را بهبود بخشید؟
– آیا درسی از فعالیت های گذشته وجود دارد که با شناسایی آن بتوان ارزیابی ها و فرآیندهای کنترلی آینده را بهبود بخشید؟

۲٫ ساز و کارهای ارتباطی و مشورتی:

این نوع ساز و کارها از بیهنه بودن ارتباطات بین دپارتمان ها و بخش های مختلف در زمینه مدیریت ریسک اطمینان حاصل می کند و ساز و کارهای مشخصی را بسته به نوع سازمان و سطح ریسک های آن، برای استفاده از مشاوره های درون- سازمانی و یا بیرون -سازمانی (لینک رسا) در خصوص برنامه مدیریت ریسک تعریف می کند. با وجود اینکه این نوع ساز و کارها درچارچوب ISO 31000 به عنوان بخشی از فرآیند مدیریت ریسک در نظر گرفته شده اند اما می توان آن را به عنوان بخشی از فرآیندهای کمکی نیز در نظر گرفت.
تکمیل یک ساز و کار بازخورد، شامل دو گام اساسی ۱) یادگیری از گذشته و ۲) گزارش عملکرد است. به منظور یادگیری از گذشته، هر سازمان نیازمند بازبینی شاخص های عملکرد ریسک و اندازه گیری نقش برنامه مدیریت ریسک اعمال شده در موفقیت های به دست آمده است.

نحوه عملیاتی کردن برنامه مدیریت ریسک:

سازمان ها و شرکت ها بنا به ماهیت خود به مدیریت ریسک می پردازند. البته این امر در کشور ما به طور تخصصی صورت نمی گیرد و عموماً مدیریت سازمان ها خود و بدون اینکه دقیقاً از نام کاری که می کنند آگاهی داشته باشند کمابیش به مدیریت ریسک مجموعه خود می پردازند. اما به طور اصولی و در سازمان های بزرگ بین المللی دپارتمان ها و بخش هایی از یک سازمان مخصوص شناسایی و مدیریت ریسک های مشخصی که متوجه یک سازمان است تشکیل می شود. این دپارتمان ها عملیاتی که اصطلاحا به نام توابع ریسک شناخته می شود را طراحی می کنند. در واقع این دپارتمان ها پس از طراحی توابع ریسک خود به یک تابع ریسک تبدیل می شوند که عکس العمل شرکت در مقابل ریسک های مربوط به بخش خود را تعیین می کنند.

توابع ریسک مثل ماشین هایی هستند که بسته به نوع و شدت ریسکی که به آن داده می شود عکس العمل های گوناگونی را پیشنهاد می دهد. در حقیقت توابع ریسک مثل توابع ریاضی عمل می کنند. به طور مثال شرکتی با سه ریسک مواجه است و تابعی به نام F را به عنوان تابع ریسک طراحی کرده که عکس العمل مناسب در مقابل هر ریسک را مشخص می کند:

هر سازمان می تواند چندین تابع ریسک را طراحی کند. اما با این وجود، هر تابع ریسک دارای توانایی و ظرفیت متفاوتی است و رابطه و نحوه هماهنگی آن با سایر توابع نیز متفاوت خواهد بود.
یکی از اصلی ترین اهداف یک برنامه مدیریت ریسک بهبود سطح توانایی و ظرفیت، و هماهنگی آن با سایر توابع است. البته یک برنامه مدیریت ریسک جامع بدون در نظر گرفتن محصول و یا خدمت تولیدی هر بیزینس به این هدف دست پیدا نمی کند. در نظر گرفتن نوع فعالیت شرکت باعث می شود تصویری جامع از ریسک برای تمام ذی نفعان شرکت شکل بگیرد و توانایی سازمان در مدیریت موثر ریسک ها افزایش یابد.

ب) تعریف و تعیین توابع ریسک (دپارتمان ها/بخش های مسئول)

معمولاً دپارتمان های شرکت های بزرگ که خود در برنامه های مدیریت ریسک به عنوان یک تابع ریسک عمل می کنند شامل چند بخش اصلی هستند:

بخش برنامه ریزی استراتژیک : شناسایی تهدیدها و فرصت های رقابتی و ارائه استراتژی های بکر و ناب جهت مواجه شدن با آن ها
بخش بازاریابی : شناسایی بازار مشتریان هدف به منظور اطمینان از تطابق خدمت/محصول تولید شده با نیازمندی های مشتریان
بخش سازگاری با اساس نامه : نظارت بر تطابق و سازگاری فعالیت شرکت با آیین نامۀ داخلی و اساس نامۀ کلی شرکت
بخش سازگاری حسابداری/مالی : به ریسک های گزارش دهی مالی می پردازد
بخش حقوقی : بخش های حقوقی را مدیریت کرده و روندهای حقوقی که ممکن است به روند شرکت تاثیرگذار باشند را تحلیل می کند
بخش بیمه: بهترین پوشش های بیمه ای را برای شرکت پیدا کرده و پیشنهاد می دهد
بخش خزانه داری (صندوق) : از کافی بودن وجوه نقد به منظور رفع نیازهای شرکت اطمینان حاصل می کند و ریسک های مرتبط با تغییر قیمت کالاهای اساسی و یا تغییر نرخ ارز را نیز مدیریت می کند
بخش تضمین کیفیت : از سازگاری محصول تولیدی با سطح تعیین شده توسط شرکت اطمینان حاصل می کند
بخش مدیریت عملیات : از پیشبرد روزانه کارهای شرکت اطمینان حاصل می کند
بخش اعتبار : بررسی اعتبارات داده شده به مشتریان و تناسب این اعتبارات با توانایی پرداخت آن ها
بخش خدمات مشتریان : از رسیدگی مناسب و درست به شکایات مشتریان و گزارش علل ریشه ای شکایات به بخش مدیریت عملیات اطمینان حاصل می کند
بخش حسابرسی داخلی : اثرگذاری هر یک از توابع ریسک (دپارتمان ها) بالا را مورد بررسی قرار می دهد و اصلاحات لازم برای بهبود آن ها را طراحی و پیشنهاد می کند

اما طرز نگاه و نگرش بدنه ی اصلی سازمان به مبحث مدیریت ریسک به عنوان یک مبحث نظری مشکلی ریشه دار است که باید ابتدا در ذهن مدیران رده بالای سازمان و مسئولین عملیاتی سازی هر برنامه مدیریت ریسک رفع و رجوع شود. در این قسمت دو مورد از اصلی ترین مشکلات اعمال برنامه های مدیریت ریسک، که با رفع آن ها نزدیک به نیمی از مشکلات فرآیند طراحی و اجرای برنامه های مدیریت ریسک قابل برطرف کردن خواهد بود، آورده شده اند:

۱٫ مدیریت ریسک به عنوان یک عملیات سالی یک بار:

بسیاری سازمان ها مدیریت ریسک شرکتی را به عنوان یک فرآیند مدیریتی و اجباری می بینند و از ارزشی که توسط مدیریت ریسک ایجاد می شوند بی خبر هستند. برخی مدیریت ریسک را یک برنامه ی سالی یک بار تلقی می کنند که در آن یک ارزیابی ریسک سرسری انجام می شود و هیئت مدیره و مدیران رده بالا آن را مطالعه و ارزیابی می کنند و با نتایج آن موافقت می کنند و می روند تا سال آینده دوباره این کار را تکرار کنند.

اما مدیریت ریسک یک فرآیند و مکانیزم زنده است. و با توجه به تغییرات در محیط داخلی شرکت و یا شرایط خارج از شرکت، چه در سطح ملی و چه در سطح بین المللی، باید مورد بازبینی و بازنویسی قرار گیرد. ریسک ها باید به طور مستمر و دائمی شناسایی و تحلیل شوند. در نظر گرفتن ریسک ها در هنگام تصمیم گیری، اولویت بندی فعالیت ها، و تخصیص یا بازتخصیص منابع بسیار ضروری است.

مانع دیگر بر سر راه مدیریت ریسک موثر این است که بسیاری برنامه های مدیریت ریسک، بر ریسک های اصلی متمرکز نمی شوند و با ریسک های کم اهمیت درگیر می شوند. طبق آخرین تحقیقات انجام شده که نتایج آن در سال ۲۰۱۵ در ژورنال هاروارد بیزینس منتشر شده است،ـآآخری طی دهه های گذشته در سطح جهان، مدیریت ریسک سنتی بیش از ۹۴ درصد زمان خود را در بخش حقوقی، سازگاری، گزارش دهی مالی و ریسک های عملیاتی صرف کرده است. و این در حالی است که ۸۶ درصد زیان های رخ داده در ارزش بازار شرکت ها مربوط به ریسک های استراتژیک بوده است.

در چنین شرایطی لزوم زمان بندی درست و مشخص نمودن مهمترین نقاط تمرکز در برنامه مدیریت ریسک یکی از مهم ترین اصول در راستای دستیابی به یک برنامه مدیریت ریسک موفق شمرده می شود. تخصیص بهینه ی زمان صرف شده برای شناسایی و تعیین توابع ریسک با توجه به احتمال وقوع هر نوع از ریسک می تواند نقشی موثر در موفقیت برنامه مدیریت ریسک، چه در سطح مدیریت ریسک های سرمایه گذاری و مدیریت ریسک پروژه ها و چه در سطح مدیریت ریسک های استراتژیک سازمانی ایفا کند.

مزایای استفاده از برنامه مدیریت ریسک

در انتها باید اشاره کرد که برنامه های مدیریت ریسک اگر درست و به صورت اصولی طراحی و اجرا شوند، می توانند ماهیت مدیریت ریسک را برای یک سازمان تغییر دهند. به این معنا که مدیریت ریسک را از سطح یک توانایی عملیاتی به سطح یک مسئولیت سازمانی ارتقا بخشند. به طور مشخص مدیریت ریسک شرکتی یک شرکت را به سطحی از هوشیاری و آگاهی نسبت به ریسک می رساند که در این سطح شرکت توانایی های خاصی مثل توانایی های زیر را پیدا خواهد کرد:

– بهبود و افزایش سرعت توسعه و اجرای بهینه ی استراتژی سازمان، از جمله تبدیل تهدیدها به فرصت ها به منظور دستیابی به مزیت رقابتی
– آگاهی رسانی در خصوص محصولات و خدمات جدید
– ارائه ی دیدگاهی کلی در خصوص ریسک های نوظهور بالقوه و بررسی استحکام پیش فرض های قرار گرفته در پس استراتژی های شرکت
– بازتخصیص منابع به گونه ای که بالاترین و بهینه ترین استفاده از آن ها ممکن شود
– تهیه و ارائه تحلیل های ریسک پیشرفته و گزارش آن ها به مدیریت و هیئت مدیره
– در اولویت قرار دادن و عملی کردن یک برنامه ی حسابرسی داخلی، برنامه ای که برای ارزیابی ریسک و یا نظارت بر عملکرد مدیریت ریسک پیاده سازی می شود اما می تواند در آینده در موارد دیگر نامرتبط با مسئله مدیریت ریسک نیز مورد بهره برداری قرار گیرد