ارزیابی و مدیریت ریسک بخشی مهم و حیاتی از مدیریت در هر سازمان یا موسسه است. ما همواره در زندگی روزانه خود به طور غیرارادی (رد شدن از خیابان یا رفتن به سوی خط عابر پیاده) و برای مسائلی که از اهمیت بیشتری برخوردارند، با دقت و توجه بیشتری این کار را انجام میدهیم. این مورد باید در تمامی سازمانهایمان نیز رعایت شود. حجم و اندازه فرایند مدیریت ریسک در یک سازمان، به اندازه و پیچیدگی همان سازمان بستگی دارد. برای انجام هرچه آسانتر این فرایند، اسناد و کتب بسیاری وجود دارد. ما در اینجا به اختصار فرایند و عناصر کلیدی آن را شرح میدهیم.
فرایند مدیریت ریسک
هر سازمان نیکوکاری باید جهت شناسایی ریسکهای عمدهای که با آنها مواجه میشود، فرایندی مشخص داشته باشد. در این فرایند باید هیئت امنا و کارکنان ارشد درگیر شوند، با این حال مناسب است که در سطحی همه کارکنان در فرایند شناسایی و مدیریت ریسک سهیم شوند. حصول اطمینان از اجرای منظم فرایند ریسک و بهروزرسانیهای مربوطه باید مسئولیت یکی از کارکنان ارشد تحت حمایت هیئت امنا بوده و اصل فرایند باید تحت مالکیت هر دو گروه کارکنان ارشد و هیئت امنا باشد.
اگرچه تحلیل و آنالیز ریسک را میتوان به طرق مختلف انجام داد، با این وجود واضحترین روش، روش تحلیل بخشی یا وظیفهای است: مالی، حاکمیت، فناوری اطلاعات، کارگزینی و کارکنان و… بخشهایی هستند که شما باید ریسکهای احتمالی مربوط به هرکدام را مدنظر قرار دهید. انجام این کار در هر دو زمینه «شناسایی ریسک» و «تعیین مسئول جهت اقدام» بسیار سودمند خواهد بود.
روش دیگری که وجود دارد، بررسی و شناخت 3 نوع ریسک است:
- ریسکهای استراتژیک (راهبردی): به ریسکهایی اطلاق میگردد که ممکن است میزان اثرگذاری سازمان نیکوکاری را کاهش دهد یا حتی به صفر برساند. این نوع ریسکها میتوانند به اعتبار سازمان نیکوکاری لطمه وارد کنند یا بر جهتگیری آن تاثیر منفی داشته باشند. شناسایی و بررسی این نوع ریسکها وظیفه هیئت امنا بوده و موظفند در صورت لزوم، در گزارش سالیانه خود آنها را گزارش کنند.
- ریسکهای عملیاتی: ریسکهایی هستند که عملیات روزمره را تحت تاثیر قرار میدهند. این دسته از ریسکها میتوانند شامل موارد بسیاری چون کلاهبرداری، ریسکهای مربوط به فناوری اطلاعات، مشکلات مربوط به املاک، از دست دادن کارکنان کلیدی یا حتی بارش باران در روز برگزاری یک مراسم مهم برای سازمان باشد.
- ریسکهای پروژهای: به آن دسته از ریسکهایی میگویند که با بخش خاصی از کار در ارتباط هستند و در صورت لزوم باید در ارزیابی تخصیص منابع مالی مدنظر قرار بگیرند.
شناسایی ریسک ها
شاید معمولترین روش ممکن برای آغاز این فرایند از ابتدای آن، تعیین یک زمان برای جلسه «طوفان فکری» به همراه کارکنان ارشد و هیئت امنا باشد که طی آن بتوانند ریسکهای عمدهای که سازمان نیکوکاری با آنها مواجه است، شناسایی کنند. دستهبندی کردن ریسکهای مشابه به وسیله برگههای یادداشت میتواند بسیار مفید واقع شده و نتیجه منعطف و مناسبی را به شما تحویل دهد که بتوانید برای پیشبرد کار به افراد ارائه دهید.
یک جلسه 2 یا 3 ساعته برای شناسایی این ریسکها و شروع فرایند ارزیابی کافی است. نکته مهم این است که طی این جلسه به موشکافی و بررسی دقیق ریسکها بپردازید و به بیان کلی اکتفا نکنید. به عنوان مثال، «کاهش درآمد» بدون شک برای هر سازمانی یک تهدید و ریسک به شمار میرود اما آنقدر مبهم و نامشخص است که نمیتوان احتمال وقوع آن را ارزیابی و روش مقابله با آن را شناسایی کرد. زمانی که مسئولیت تامین مالی سازمان یا دستکم بخش اعظم آن بر عهده یک نفر باشد، از دست دادن آن شخص یک ریسک واضح به شمار میرود که باید تحت عنوان «از دست دادن تامینکننده مالی به خاطر عدم علاقه به سازمان» یا «کاهش شدید منابع مالی شخص تامینکننده اصلی» از آن یاد کرد. بیشک اقدامات و فعالیتهای درخور که جهت پاسخگویی به این دو جنبه از این ریسک وجود دارد، متفاوت از یکدیگر هستند.
مدیریت ریسک با ارزیابی تاثیر و احتمال
پس از شناسایی ریسکهای عمده و تصمیمگیری در مورد نحوه تحلیل و گزارش دادن آن، نوبت به آن رسیده که میزان احتمال وقوع آن ریسک (احتمال) و میزان اثرگذاری آن بر سازمان (تاثیر) را مورد ارزیابی قرار دهیم. برای تعیین احتمال وقوع یک ریسک یا میزان اثرگذاری ریسک مذکور بر سازمان، میتوان از مقیاس 3 سطحی «کم، متوسط، زیاد» یا مقیاس 5 سطحی که در آن 5 بیشترین و 1 کمترین است، استفاده کرد. در صورت استفاده از مقیاس، کافی است مقدار به دست آمده از «تاثیر» را در مقدار به دست آمده از «احتمال» ضرب کنید تا بتوانید ریسکهای احتمالی را متناسب با احتمال وقوع و میزان اثرگذاریشان اولویتبندی کنید. از آنجا که «تاثیر زیاد» ریسک بزرگتری نسبت به «احتمال وقوع زیاد» به شمار میرود، برخی مفسران معتقدند سیستم امتیازدهی «تاثیر ضرب در احتمال + تاثیر» مبنای بهتری جهت اولویتبندی نتیجه فرایند ارزیابی در اختیارتان قرار میدهد.
اقداماتی که باید صورت گیرد
پس از آن که ریسکهای عمده را شناسایی کردید (و مسئولیت کارکنان و هیئت امنا را مشخص کردید)، نوبت آن فرا رسیده تا اقدامات خود را با هدف کاهش تاثیر و/یا احتمال ریسک مذکور، اولویتبندی کنید. این اقدامات باید با تاثیرات ناشی از مواجهه با ریسک، انطباق داشته باشد. همچنین میتوانید با وارد کردن آنها به دفتر ثبت ریسک، آنها را تحت نظر بگیرید.
به باور برخی سازمانها، بهتر است ارزیابی ریسک به صورت 2 مرحلهای انجام شود: یک بار پیش از انجام اقدامات کاهشی (اقداماتی که جهت مقابله با ریسک مربوطه در نظر داریم) و یک بار هم پس از انجام اقدامات کاهشی.
نظارت و بهروزرسانی
گزارش ریسک به هیئت مدیره باید دستکم یک بار در سال صورت گیرد و میتواند از طریق شورایی متشکل از هیئت مدیره انجام شود که نظارت بر ثبت ریسک و اقدامات مربوطه را با تواتر بیشتری انجام دهند. کارکنان ارشد باید بهروزرسانی ریسکهای بالقوه را جزیی از امور معمول سازمان قلمداد کنند، اما بررسی دقیق دفتر ثبت ریسکها (با در نظر گرفتن آن به عنوان بخشی از بودجه و برنامهریزی) میتواند 6 ماه یک بار انجام شود. به علاوه، بازنگری کلی خود فرایند و بهروزرسانی آن میتواند به شما کمک کند تا در مورد درستی و کارایی آن برای سازمان، اطمینان حاصل کنید.
نکتهها
- از تهیه فهرستهای بلندبالای ریسکها و پیچیده کردن بیش از حد فرایند اجتناب کنید.
- مطمئن شوید که هنگام اولویتبندی ریسکها، ریسکهایی که تاثیرات جدی بر سازمان میگذارند از اولویت بیشتری برخوردار باشند.
- از مشارکت افراد در همه سطوح شامل هیئت امنا استفاده کنید.
- مطمئن شوید که مدیریت ریسک و مدیریت بحران در دستان یک فرد شایسته باشد.
- به افراد جهت نظارت بر ریسک و اقدامات کاهشی مربوطه، مسئولیتهای مشخص محول کنید.
- سعی کنید در مورد ریسکهای احتمالی (همچنین، اقدامات مربوطه) به قدری مشخص و با جزییات صحبت کنید که دیگران به طور کامل متوجه شوند.
- مدیریت ریسک را به بخشی ثابت از جلسات بازبینی و نیز جزئی از برنامهریزیهای سالانه و بودجهریزی تبدیل کنید.
- دفتر ثبت ریسک را به روز نگاه دارید؛ موارد قدیمی که دیگر مرتبط نیستند را حذف کنید و موارد جدید را اضافه کنید.
- به خاطر داشته باشید که بیمه یک روش خوب جهت مقابله با ریسک است.
- یک برنامه عمومی جهت مدیریت بحران طراحی کنید تا در صورت وقوع بحران نیاز به طراحی از ابتدا نداشته باشید.
- به مدیریت ریسک، با دید مثبت نگاه کنید (حتی اگر ریسک واژه خوشایندی نباشد) تا میزان اثربخشی و کارایی در سازمان افزایش یابد.
- در مورد چگونگی گزارش دادن ریسکها در گزارشهای سالانه فکر کنید. سعی کنید گزارش خشک و بیروحی نباشد.
- ممکن است تمام یا بخشی از دفتر ثبت ریسکهای شما نیازمند محرمانگی باشد. انجام این عمل باعث میشود که خیالتان از بابت صحت و درستی فهرستها در دفتر ثبت آسوده باشد.
واژهنامه اصطلاحات مرتبط با مدیریت ریسک
- ریسک (تهدید) (Risk): به هر چیزی که مانع از رسیدن سازمان شما به اهداف مورد نظر شود یا اثربخشی کارتان را کاهش دهد، ریسک میگویند.
- مدیریت ریسک (Risk Management): نوعی سیستم مدیریتی است که توسط سازمان برپا شده و وظیفه آن شناسایی، اولویتبندی، ارزیابی، کاهش و بازنگری ریسکهایی است که سازمان با آن مواجه میشود.
- ارزیابی ریسک (Risk Assessment): به محاسبه میزان اثرگذاری تهدید (ریسک) بر سازمان و میزان احتمال به وقوع پیوستن یک ریسک (تهدید) ارزیابی ریسک میگویند. هدف اصلی از این ارزیابی، توجه دقیقتر به ریسکهای کلیدی و اولویتبندی اقدامات و فعالیتها است. اگرچه اغلب در گزارشات نتیجه با مقدار عددی بیان میشود، این ارزیابی بیشتر یک فرایند ذهنی در سطح افراد سازمان است. به همین دلیل است که رویکرد مشارکتی و استفاده از هیئت امنا و کارکنان ارشد یک مزیت به حساب میآید.
- اشتهای ریسک (Risk Appetite): به ظرفیت یک سازمان برای جذب ریسک اشتهای ریسک میگویند. اشتهای ریسک میتواند شامل میزان ذخایر مالی سازمان و میزان انعطافپذیری آن در عملیات باشد. همچنین، از این اصطلاح جهت تشخیص رویکرد افراد در زمینه ارزیابی ریسک نیز استفاده میکنند. مثلا این که آیا یک شخص رویکرد کارآفرینانه دارد یا اصولا محتاط عمل میکند. به خاطر داشته باشید که در سازمانهایی که هیئت امنا و کارکنانش از اشتهای ریسک متفاوتی برخوردارند، این موضوع میتواند به یک چالش تبدیل شود.
- ثبت ریسک (Risk Register): یک سیستم گزارشدهی رسمی با موضوع ریسکهای پیش روی سازمان به همراه اولویتها، اقدامات، و نفرات مسئول است.
- سیاست شرکت در زمینه مواجهه با ریسک/ تهدید (Risk Policy): بیانیهای از رویکرد کلی شرکت در زمینه مدیریت ریسک است.
- نقشه حرارتی (Heat Map): روش تصویری جهت نمایش پراکندگی ریسکهای شناسایی شده را گویند. نقشه حرارتی به فهم بهتر اینکه فعالیتها در کدام محل باید متمرکز شوند کمک میکند.
- کاهش ریسک (Mitigation): به اقداماتی که با هدف کاهش اثر یا احتمال یک ریسک شناختهشده صورت میگیرد، گفته میشود.