مدیریت ریسک سازمانی (ERM) به عنوان یک ابزار حیاتی برای کمک به سازمانها در شناسایی، ارزیابی و مدیریت ریسکهایی که میتوانند بر عملکرد و دستیابی به اهداف استراتژیک تأثیر بگذارند، شناخته شده است.
ERM نه تنها به عنوان یک سپر دفاعی در برابر تهدیدات عمل میکند؛ بلکه به عنوان یک عامل تسهیلکننده برای شناسایی و بهرهبرداری از فرصتها نیز عمل میکند.
این رویکرد جامع مرتبط با مدیریت ریسک، سازمانها را قادر میسازد تا با اطمینان بیشتری به سمت رشد و نوآوری حرکت کنند، در حالی که ریسکهای مرتبط با فعالیتهای خود را به طور مؤثر مدیریت میکنند.
در این مقاله ما به بررسی نقش ERM در سازمانهای مختلف، از کسبوکارهای کوچک و متوسط گرفته تا شرکتهای بزرگ، خواهیم پرداخت. پس با ما همراه باشید.
1# مدیریت ریسک سازمانی (ERM) چیست؟
مدیریت ریسک سازمانی (ERM مخفف عبارت Enterprise Risk Management) یک رویکرد استراتژیک و جامع است که به منظور شناسایی، ارزیابی و آمادهسازی استفاده میشود، برای مقابله با خطرات احتمالی که ممکن است بر امور مالی، عملیات و اهداف یک سازمان تأثیر بگذارند.
ERM به مدیران امکان میدهد تا با اجبار بخشهای خاص کسبوکار به انجام یا عدم انجام فعالیتهای معین، موقعیت کلی ریسک شرکت را شکل دهند.
این رویکرد، به جای تمرکز بر مدیریت ریسک در هر واحد کسبوکار به صورت جداگانه، اولویت را به نظارت سراسری شرکت میدهد و اغلب شامل ارائه طرح عملیاتی ریسک به تمام ذینفعان به عنوان بخشی از گزارش سالانه است.
2# اهمیت مدیریت ریسک سازمانی
مدیریت ریسک سازمانی به دلیل توانایی آن در کمک به سازمانها برای پیشبینی، کاهش و استفاده از فرصتهای ریسک به صورت فعال، حیاتی است.
ERM با شناسایی، ارزیابی و مدیریت سیستماتیک ریسکها در تمام جنبههای سازمان، تصمیمگیری را بهبود میبخشد، داراییها را محافظت میکند و شهرت را حفظ مینماید.
ERM به سازمانها امکان میدهد تا با مقررات مطابقت داشته باشند، تخصیص منابع را بهینه کنند و فرهنگی از آگاهی و تابآوری ریسک را ترویج دهند.
این رویکرد جامع به مدیریت ریسک، سازمانها را قادر میسازد تا در محیط کسبوکار پیچیده امروزی، از نااطمینانیها عبور کنند و از فرصتها بهرهمند شوند.
ERM یک استراتژی سراسری برای شناسایی و آمادهسازی برای خطراتی است که ممکن است با عملیات و اهداف یک سازمان تداخل داشته باشند یا منجر به زیانهایی شوند.
مدیریت ریسک سازمانی یا ERM به مدیران اجازه میدهد تا موقعیت کلی ریسک شرکت را با اجبار بخشهای خاص کسبوکار به انجام یا عدم انجام فعالیتهای معین شکل دهند.
ERM یک رویکرد بالا به پایین است که هدف آن شناسایی، ارزیابی و آمادهسازی برای زیانهای احتمالی، خطرات، مخاطرات و سایر پتانسیلهای آسیب است که ممکن است با عملیات و اهداف یک سازمان تداخل داشته باشند.
استراتژیهای موفق ERM میتوانند خطرات زیر را کاهش دهند:
- عملیاتی
- مالی
- امنیتی
- انطباق
درک ERM به معنای داشتن یک دیدگاه جامع است و نیازمند تصمیمگیری در سطح مدیریت است که لزوماً برای یک واحد کسبوکار یا بخش فردی منطقی نیست.
3# مزایای پیادهسازی مدیریت ریسک سازمانی (ERM)
پیادهسازی ERM مزایای متعددی برای سازمانها به همراه دارد که به شرح زیر هستند:
- آگاهی بیشتر از ریسکهای سازمانی و توانایی پاسخگویی افزایش یافته: ERM با دربرگیری تمامی زمینههای مواجهه سازمانی با ریسک، از جمله مالی، عملیاتی، گزارشدهی و انطباق، نظارتی را فراهم میآورد که بهبود قابلیت پاسخگویی به تهدیدات سازمانی را به دنبال دارد.
- توانایی افزایش یافته برای انطباق با الزامات قانونی و مقرراتی: ERM اطمینان میدهد که سازمان شما برای انطباق با الزامات گزارشدهی و سایر مقررات موقعیت مناسبی دارد.
این امر دادههای لازم برای نشان دادن انطباق و اطمینان از اینکه تمام تهدیدات به طور مؤثر مدیریت میشوند را فراهم میآورد و خطر نقض مقررات انطباق را به حداقل میرساند. - اعتماد بیشتر به دستیابی به اهداف استراتژیک: وقتی اطمینان دارید که تمام خطراتی که ممکن است اهداف استراتژیک شما را منحرف کنند، در دامنه و در حال مدیریت هستند، اهداف شما قابل دستیابی میشوند.
- ERM به رهبری، نظارت واضحی بر ریسک میدهد: ERM تسهیلکننده ارائه پروفایل ریسک به هیئت مدیره و تیم رهبری است.
- تصمیمگیری بهبود یافته: ERM تصمیمگیری را با روشن کردن ریسکهای احتمالی و همراستا کردن آنها با اهداف شرکت بهبود میبخشد.
- عملکرد تجاری بهتر: مدیریت ریسک مؤثر عملکرد تجاری را با شناسایی و کاهش تهدیدات به صورت پیشگیرانه بهبود میبخشد که منجر به کاهش اختلالات و مشکلات مالی میشود.
- تخصیص منابع بهتر: ERM به تخصیص منابع بهینهتر کمک میکند که این امر به نوبه خود میتواند به کاهش هزینهها و افزایش کارایی منجر شود.
- افزایش اعتماد ذینفعان: شفافیت از طریق گزارشدهی ریسک، اعتماد ذینفعان را افزایش میدهد و اجزای کلیدی ERM یک رویکرد جامع را فراهم میآورند که با کسبوکار همراستا است.
4# اجزای کلیدی مدیریت ریسک سازمانی (ERM)
مدیریت ریسک سازمانی (ERM) دارای اجزای کلیدی است که به سازمانها کمک میکند تا ریسکها را به طور مؤثر مدیریت کنند.
این اجزا عبارت اند از:
- محیط داخلی: محیط داخلی یک سازمان برای ERM حیاتی است.
این شامل فرهنگ سازمانی، ساختار سازمانی و فلسفه مدیریت ریسک است. - تعیین اهداف: سازمانها باید قبل از اندازهگیری ریسک، اهداف خود را تعیین کنند. این اهداف باید با استراتژی کلی سازمان همراستا باشند.
- شناسایی رویدادها: هر رویدادی چه داخلی و چه خارجی که ممکن است بر سازمان تأثیر بگذارد، باید شناسایی شود.
- شناسایی ریسک: یکی از اجزای اساسی در فرآیند ERM است و به عنوان نقطه آغازین برای مدیریت ریسکهایی که ممکن است بر سازمان تأثیر بگذارند، عمل میکند.
این فرآیند شامل شناسایی تمام خطرات بالقوهای است که میتوانند بر اهداف و عملیات سازمانی تأثیر منفی داشته باشند. - ارزیابی ریسک: این فرآیند شامل تعیین احتمال وقوع ریسک و تأثیر آن بر سازمان است.
- پاسخ به ریسک: پس از ارزیابی ریسکها، سازمان باید تصمیم بگیرد که چگونه به آنها پاسخ دهد.
این میتواند شامل پذیرش، اجتناب، کاهش یا انتقال ریسک باشد. - فعالیتهای کنترلی: این فعالیتها شامل سیاستها و رویههایی است که برای اطمینان از اینکه پاسخهای ریسک به طور مؤثر اجرا میشوند، طراحی شدهاند.
- اطلاعات و ارتباطات: اطلاعات مربوط به ریسک باید در سراسر سازمان جریان داشته باشد تا افراد بتوانند وظایف مربوط به ERM خود را انجام دهند.
- نظارت: فرآیندهای نظارت باید به طور مداوم اجرا شوند تا اطمینان حاصل شود که ERM به طور مؤثر کار میکند.
5# روشهای شناسایی ریسک
برای شناسایی ریسکها، سازمانها میتوانند از روشهای مختلفی استفاده کنند، از جمله:
- دفترچههای ثبت ریسک (Risk Registers): این دفترچهها ریسکهای شرکت، امتیازات (سطوح ریسک)، مدیران مسئول، بخشهای تأثیرگذار و خلاصهای از اقداماتی که شرکت در پاسخ به ریسک انجام میدهد، را ثبت میکنند.
- جلسات طوفان فکری (Brainstorming Sessions): این جلسات به تیمها امکان میدهند تا در مورد ریسکهای مختلفی که ممکن است سازمان را تهدید کنند، بحث و تبادل نظر کنند.
- تحلیل SWOT: این تحلیل به شناسایی نقاط قوت، ضعف، فرصتها و تهدیدات سازمان کمک میکند و میتواند در شناسایی ریسکهای استراتژیک مفید باشد.
6# اهمیت شناسایی ریسک
شناسایی ریسک به سازمانها کمک میکند تا:
- پیشبینی ریسکها: توانایی پیشبینی ریسکها قبل از وقوع آنها
- تدوین استراتژیهای مدیریت ریسک: توسعه استراتژیهای مؤثر برای مدیریت یا کاهش ریسکهای شناسایی شده
- تقویت تابآوری سازمانی: افزایش تابآوری سازمان در برابر تغییرات و شوکهای بالقوه
شناسایی ریسک یک فرآیند مستمر است که باید به طور منظم برای شناسایی ریسکهای جدید و تغییرات در ریسکهای موجود انجام شود.
این فرآیند باید با دیگر اجزای ERM، مانند ارزیابی، پاسخ و نظارت بر ریسک، همراستا باشد تا اطمینان حاصل شود که سازمان به طور مؤثر با ریسکها مقابله میکند.
7# چارچوبهای مدیریت ریسک سازمانی (ERM)
چارچوبهای ERM به سازمانها کمک میکنند تا فرآیندهای مدیریت ریسک خود را به طور مؤثری برنامهریزی، اجرا و نظارت کنند.
دو چارچوب مهم در این زمینه عبارت اند از COSO ERM و ISO 31000.
1-7# چارچوب COSO ERM
COSO ERM یک مدل مدیریت ریسک معتبر است که رهنمودهایی برای کنترلهای داخلی و مدیریت آنها ارائه میدهد.
این چارچوب به سازمانها کمک میکند تا درک بهتری از تحقق اهداف سازمانی مهم، مانند کارایی فرآیندهای کسبوکار یا انطباق با قوانین و مقررات داشته باشند.
چارچوب COSO شامل پنج مؤلفه اصلی است:
- محیط کنترلی: ایجاد یک محیط سازمانی برای شناسایی، نظارت و مدیریت ریسکها
- ارزیابی ریسک: شناسایی و ارزیابی ریسکهای تاثیرگذار بر اهداف
- فعالیتهای کنترلی: اجرای سیاستها و رویههایی برای کاهش ریسکهای شناسایی شده
- اطلاعات و ارتباطات: اطمینان از جریان اطلاعات مربوط به ریسک در سراسر سازمان
- نظارت: نظارت مستمر بر فرآیندهای مدیریت ریسک برای اطمینان از کارایی آنها
این چارچوب به سازمانها کمک میکند تا ریسکها را به طور مؤثر مدیریت کنند و از آنها به عنوان فرصتهایی برای بهبود استفاده کنند.
2-7# چارچوب ISO 31000
ISO 31000 یک چارچوب مدیریت ریسک است که شامل سه بخش اصلی است:
- اصول مدیریت ریسک: این اصول پایهای هستند و به سازمانها کمک میکنند تا یک رویکرد سیستماتیک و جامع به مدیریت ریسک داشته باشند.
- چارچوب: این بخش شامل کل چرخه سیاستگذاری است:
- پشتیبانی
- سیاست ریسک
- تحلیل زمینه
- اجرا
- بازبینی
- بهبود
این امر به سازمانها امکان میدهد تا تمام فرآیندهای مربوط به ریسک را مدیریت کنند و بر آنها کنترل داشته باشند.
- فرآیند: این بخش شامل مراحل شناخته شده شناسایی، تحلیل، ارزیابی و مدیریت ریسکها است.
ISO 31000 بهگونهای طراحی شده است که مدیریت ریسک را بهطور یکپارچه در سیستمهای مدیریتی موجود سازمانها ادغام کند.
این امر از توسعه یک سیستم یا سیاست مدیریت ریسک که با عملیات روزمره کسبوکار همخوانی ندارد، جلوگیری میکند.
8# تفاوتها و شباهتهای COSO ERM و ISO 31000
هر دو چارچوب دیدگاه گستردهای نسبت به مدیریت ریسک دارند و ریسکپذیری را نه تنها به عنوان یک عامل منفی، بلکه به عنوان راهی برای بهرهبرداری مسئولانه از فرصتها میبینند.
هر دو چارچوب به عنوان راهنما عمل میکنند و با گواهینامهها یا انطباق اجباری مرتبط نیستند.
آنها راهنماییهای سطح بالا ارائه میدهند و به عنوان نشانگرهای جهتدهی برای مدیریت ریسک مؤثر عمل میکنند.
COSO ERM بر ارائه یک استاندارد انعطافپذیر تأکید دارد که برای ارزیابی فرآیند ERM فعلی یک سازمان استفاده میشود، در حالی که ISO 31000 به ارائه راهنمایی در مورد ماهیت فرآیند مدیریت ریسک و نحوه اجرای آن میپردازد.
این تمایز برای درک تفاوت بین دو چارچوب و درک نحوه استفاده از آنها حیاتی است.
9# اصول پیاده سازی مدیریت ریسک سازمانی
مدیریت ریسک سازمانی به سازمانها اجازه میدهد تا تصمیمات آگاهانهتری بگیرند، فرصتها را به حداکثر برسانند و از زیانهای احتمالی جلوگیری کنند.
اصول کلیدی پیادهسازی مدیریت ریسک سازمانی عبارت اند از:
-
تعهد مدیریت ارشد:
- حمایت کامل از سوی مدیریت ارشد برای ایجاد فرهنگ ایمنی و مدیریت ریسک در کل سازمان
- تخصیص منابع لازم (بودجه، زمان و نیروی انسانی) برای اجرای مؤثر سیستم مدیریت ریسک
-
یکپارچگی با فرآیندهای کسبوکار:
- ادغام مدیریت ریسک در تمام فعالیتها و تصمیمگیریهای سازمان
- در نظر گرفتن ریسک در برنامهریزی استراتژیک، بودجهبندی و عملیات روزانه
-
رویکرد سیستمی:
- استفاده از یک رویکرد جامع و منسجم برای شناسایی، ارزیابی و مدیریت کلیه ریسکهای سازمان
- پایش و بهبود یک سیستم مدیریت ریسک
-
مشاوره و ارتباطات:
- ایجاد کانالهای ارتباطی موثر برای تبادل اطلاعات در مورد ریسکها در سطوح مختلف سازمان
- جلب مشارکت کارکنان در شناسایی و مدیریت ریسک
-
بستر و محتوا:
- ایجاد یک چارچوب مشخص برای مدیریت ریسک، شامل سیاستها، روشها و ابزارهای لازم
- تعریف نقشها و مسئولیتها برای افراد درگیر در فرآیند مدیریت ریسک
-
پایش و بازنگری:
- نظارت مستمر بر ریسکها و اثربخشی اقدامات مدیریت ریسک
- انجام بازنگریهای دورهای برای بهبود سیستم مدیریت ریسک
10# نقش فناوری در مدیریت ریسک سازمانی (ERM)
فناوری نقش حیاتی در تقویت مدیریت ریسک سازمانی (ERM) دارد.
با پیشرفتهای تکنولوژیکی، سازمانها قادر به ارتقای تواناییهای خود در شناسایی، ارزیابی و پاسخ به ریسکها هستند.
در اینجا به برخی از جنبههای کلیدی نقش فناوری در ERM میپردازیم:
- تحلیل دادهها: تحلیل دادهها به سازمانها امکان میدهد تا حجم عظیمی از دادهها را جمعآوری، پردازش و تجزیه و تحلیل کنند تا الگوها، روندها و ناهنجاریهایی را که ممکن است نشاندهنده ریسکهای بالقوه باشند، شناسایی کنند.
این امر به سازمانها کمک میکند تا ریسکها را به صورت پیشگیرانه مدیریت کنند. - هوش مصنوعی (AI): AI و یادگیری ماشینی میتوانند به طور قابل توجهی در تحلیل پیشبینیکننده و خودکارسازی فرآیندهای ERM کمک کنند.
AI میتواند دادهها را به صورت واقعزمانی تجزیه و تحلیل کند و به سازمانها امکان میدهد تا به سرعت به تغییرات واکنش نشان دهند. - تکنولوژیهای نوین: فناوریهای جدید مانند بلاکچین و اینترنت اشیاء (IoT) نیز میتوانند در ERM مورد استفاده قرار گیرند تا امنیت دادهها را تقویت کنند و به شناسایی و مدیریت ریسکها کمک کنند.
- پلتفرمهای مدیریت ریسک: پلتفرمهای مدیریت ریسک مبتنی بر فناوری به سازمانها امکان میدهند تا فرآیندهای ERM را متمرکز و خودکار کنند که این امر به نوبه خود به کاهش خطاهای انسانی و افزایش کارایی کمک میکند.
- نظارت و گزارشدهی: فناوری به سازمانها امکان میدهد تا نظارت و گزارشدهی ریسکها را به صورت واقعزمانی انجام دهند که این امر به ارتقای شفافیت و انطباق با مقررات کمک میکند.
11# چالشهای پیادهسازی مدیریت ریسک سازمانی
پیادهسازی ERM میتواند با چالشهای متعددی همراه باشد که درک و مقابله با آنها برای موفقیت ERM ضروری است.
در اینجا به برخی از چالشهای رایج پیادهسازی ERM میپردازیم:
- ارزیابی ارزش ERM: سازمانها اغلب با چالش نشان دادن بازگشت سرمایه مثبت برای توجیه هزینههای پیادهسازی ERM مواجه هستند.
- مقاومت در برابر تغییر: مقاومت کارکنان در برابر تغییرات ناشی از پیادهسازی ERM میتواند یک چالش بزرگ باشد.
- تعریف ریسک: تعریف دقیق و یکپارچهای از ریسک در سراسر سازمان میتواند دشوار باشد.
- روش ارزیابی ریسک: انتخاب روش مناسب برای ارزیابی ریسک میتواند چالشبرانگیز باشد.
- کمی در مقابل کیفی: تعیین اینکه آیا باید از معیارهای کمی یا کیفی برای ارزیابی ریسکها استفاده کرد، میتواند چالشآفرین باشد.
- سناریوهای متعدد بالقوه: مدیریت و برنامهریزی برای چندین سناریوی بالقوه میتواند پیچیده باشد.
- مالکیت ERM: تعیین اینکه چه کسی باید مسئولیت ERM را بر عهده بگیرد، میتواند یک چالش باشد.
- محیط پیچیده: مدیریت ریسک در یک محیط پیچیده و دائماً در حال تغییر میتواند دشوار باشد.
- عوامل انسانی: تأثیر عوامل انسانی و فرهنگ سازمانی بر پیادهسازی و اجرای ERM نباید دستکم گرفته شود.
- متریکهای مناسب: ایجاد و استفاده از متریکهای مناسب برای اندازهگیری و مدیریت ریسک میتواند چالشبرانگیز باشد.
- عدم تمرکز: تلاشهای نامنظم یا بیتوجهی به ERM میتواند به شکست منجر شود.
- نبود دادههای قانعکننده و عملی: مدیران ریسک اغلب با دشواری در کشف و ارائه اطلاعات مرتبط با ریسک در سراسر سازمان مواجه هستند.
- عدم حمایت از سطح بالا: اگر مدیریت ارشد به ارزش مدیریت ریسک معتقد نباشد، پشتیبانی باید از سطح هیئت مدیره آغاز شود.
12# ERM برای کسبوکارهای کوچک و متوسط
مدیریت ریسک سازمانی (ERM) برای کسبوکارهای کوچک و متوسط (SMEs) به اندازه کسبوکارهای بزرگ اهمیت دارد.
با این حال، پیادهسازی ERM در SMEs میتواند با چالشها و محدودیتهای منحصر به فردی همراه باشد.
1-12# چالشها
- منابع محدود: SMEs ممکن است منابع مالی و انسانی کافی برای پیادهسازی یک برنامه ERM جامع نداشته باشند.
- دانش و آگاهی: ممکن است کمبود دانش و آگاهی در مورد اهمیت و فواید ERM وجود داشته باشد.
- فرهنگ سازمانی: تغییر فرهنگ سازمانی برای پذیرش ERM میتواند دشوار باشد.
2-12# راهکارها
- سادهسازی: استفاده از چارچوبهای سادهتر و انعطافپذیرتر برای مطابقت با نیازهای SMEs
- آموزش: ارائه آموزشهای مرتبط به کارکنان برای افزایش آگاهی و دانش در مورد ERM
- تمرکز بر ارزشهای کلیدی: تمرکز بر ارزشهای کلیدی که ERM میتواند به کسبوکار ارائه دهد، مانند کاهش ریسک و بهبود تصمیمگیری
3-12# مزایا
- کاهش ریسکهای عملیاتی: کمک به شناسایی و مدیریت ریسکهای عملیاتی
- افزایش انعطافپذیری: بهبود توانایی کسبوکار برای واکنش سریع به تغییرات بازار و محیط کسبوکار
- تقویت اعتماد ذینفعان: افزایش اعتماد سرمایهگذاران، مشتریان و سایر ذینفعان به کسبوکار
جمع بندی
مدیریت ریسک سازمانی (ERM) به عنوان یک استراتژی سراسری در سازمانها عمل میکند که به شناسایی، ارزیابی و آمادهسازی برای مقابله با خطرات مالی، عملیاتی و استراتژیک کمک میکند.
ERM به مدیران اجازه میدهد تا موقعیت کلی ریسک شرکت را شکل دهند و از طریق مدیریت ریسکها، فرصتهای منحصر به فرد سازمانی را شناسایی کنند.
این رویکرد جامع به مدیریت ریسک، تصمیمگیری را بهبود میبخشد، داراییها را محافظت میکند و شهرت سازمان را حفظ مینماید.
ادغام بیشتر ERM با تحولات دیجیتالی و توجه بیشتر به امنیت سایبری از جمله روندهایی هستند که در آینده تأثیر قابل توجهی بر ERM خواهند داشت.
همچنین، استفاده از هوش مصنوعی در فرآیندهای GRC (حکمرانی، ریسک و انطباق) به عنوان یکی از روندهای مهم در سالهای آینده شناخته شده است.
این تحولات نشاندهنده نیاز به سیستمهای ERM قویتر و متکی به فناوری هستند تا سازمانها بتوانند در محیط کسبوکار پیچیده و متغیر امروزی موفق باشند.
نظرتون درباره این مقاله چیه؟
ما رو راهنمایی کنید تا اون رو کامل تر کنیم و نواقصش رو رفع کنیم.
توی بخش دیدگاه ها منتظر پیشنهادهای فوق العاده شما هستیم.