اهداف و گامهای مدیریت ریسک

گامهای مدیریت ریسک
1396/07/10
ايجاد چهارچوب مديريت ريسک مي تواند در تحقق اهداف سازماني و مديريت يکپارچه، يکسان و استاندارد ريسک موثر باشد. يک نظام مديريت ريسک مي تواند به شما کمک کند تا ريسک هاي و خطرات اصلي مواجه شده در سازمان را شناسايي و براي حل آنها اقدماتي تعريف شود. قدم هاي اصلي سازي  شده مديريت ريسک را مي توانيد در شکل زير مشاهده نماييد:

 
    شناسایی ریسک:
هدف از این مرحله ایجاد فهرست جامعی از ریسک ها بر مبنای رویدادهای بالقوه ای است که باعث ایجاد، تقویت، جلوگیری، تنزل، سرعت بخشیدن یا تأخیر در دستیابی به اهداف سازمانی می شوند. روند شناسایی ریسک، با هدف شناسایی و توصیف ریسک های موثر بر اهداف سازمان، طی می شود. اهداف کلی شناسایی ریسک عبارتند از:
•  تهیه فهرستی کامل از تهدیدها و فرصت های مرتبط با فعالیت ها و پروژه های سازمان
•  شناسایی منابع، علل و پیامدهای بالقوه ریسک ها
تعدادي از ابزارها و تکنیک‌های شناسایی ریسک در ذیل ذکر شده است:

1.     طوفان ذهنی
2.     تحلیل سناریو
3.     جلسات
4.     تحلیل SWOT
5.     دلفی
6.     مصاحبه
7.     نظرات خبرگی
8.     چک لیست
9.     مرور مستندات
10.  شاخص های ریسک
11.  روش FTA
12.  روش FMEA
13.  تحلیل فرضیات
14.  تحلیل علت و معلول
15.  تحلیل علل ریشه ای
16.  نمودارهای تأثیر
17.  نمودار جریان فرآیند یا سیستم
18.  روش HAZOP

    تحلیل ریسک
تحلیل ریسک به منظور برآورد كلی احتمال و اثر ریسك‌های شناسایی شده و برآورد میزان تأثیر هر ریسك بر اهداف سازمان و فعاليت ها انجام می شود. روش تحلیل ریسک با توجه به نیاز انتخاب می شود. تحلیل کیفی ریسک عبارت از ارزیابی اثر و احتمال ریسک های شناسایی شده است. این فرآیند، ریسک ها را با توجه به پیامد و اثر بالقوه شان بر روی اهداف سازمان درجه بندی می کند.
تحلیل کیفی برای بدست آوردن یک شاخص کلی از سطح ریسک و بیان پیامدهای عمده ریسک استفاده می شود و در صورتی که لازم باشد از تحلیل های جزئی تر و کمی تر برای تعیین پیامدهای اصلی ریسک استفاده می شود. به طور کلی به منظور ایجاد درک بهتر در خصوص تأثیر ریسک ها بر روی اهداف سازمان و در صورت نیاز تحلیل کمی ریسک انجام می شود.
تعدادي از ابزارها و تکنیک‌های تحليل کيفي ریسک در ذیل ذکر شده است:

1.      ماتریس احتمال و اثر
2.      درخت تصمیم گیری
3.      تحلیل سناریو
4.      نظرات خبرگی
5.      روش تحلیل سلسله مراتبی
6.      تحلیل علل ریشه ای
7.      روش HAZOP
8.      مرور مستندات

در تحلیل کمی ریسک تلاش می شود تا مفاهیم کیفی بدست آمده در تحلیل کیفی را به مقادیر کمی تبدیل نمود. از آنجا که تحلیل کمی ریسک کار زمان‌بر و پیچیده ای است زمان صرف شده برای تحلیل کمی ریسک باید متناسب با اهمیت اثر ریسک برای سازمان باشد. همچنین تصمیم گیری در خصوص انجام تحلیل کمی ریسک‏ها بر اساس میزان دسترسی به داده‏ها و اطلاعات درست و دقیق انجام می شود.
تعدادي از ابزارها و تکنیک‌های تحليل کمي ریسک در ذیل ذکر شده است:

1.     درخت تصمیم گیری
2.      نظرات خبرگی
3.      روش تحلیل سلسله مراتبی
4.      EMV
5.      تحلیل علل ریشه ای
6.      روش HAZOP
7.      روش Bowtie
8.      روش FTA
9.      روش FMEA
10.     شبیه سازی مونت کارلو
11.     تحلیل حساسیت
12.     مرور مستندات

همانطوري که ذکر شده است، ابزار و تکنیک های زیادی برای تحلیل ریسک مطرح می باشد که یکی از پرکاربردترین آن در سازمان ها روش ماتریس احتمال  و اثر می باشد و پيشنهاد مي شود که همه سازمان ها از اين روش استفاده نمايند. در ادامه گام هاي اصلي استفاده از اين ابزار تشريح مي شود:
 
گام اول- برآورد احتمال وقوع: در گام اول بايد مقياسي براي برآورد احتمال ساخت. هر چقدر تعداد طبقات بيشتر باشد با دقت بيشتر مي توان تحليل ريسک را انجام داد. معمولا مقياس‌ها 3، 5، 7 يا 10 طبقه هستند، براي مثال در جدول زير احتمال وقوع ریسک در مقیاس 5 طبقه‌اي مشخص شده است. اگر احتمال وقوع ريسک 35 درصد بوده باشد، مطابق جدول احتمال وقوع آن کم خواهد بود. حدود تعريف شده در جدول زير فقط براي مثال آورده شده است و هر سازمان بايد مطابق با وضعيت خود حدود و تعداد طبقات را مشخص نمايد.
مقياس تعبير احتمال
خیلی کم 1 احتمال کمتر از 20 درصد وقوع ريسک
کم 2 احتمال بین 20 تا40 درصد وقوع ريسک
متوسط 3 احتمال بین 40 تا60 درصد وقوع ريسک
زیاد 4 احتمال بین 60 تا80 درصد وقوع ريسک
خیلی زیاد 5 احتمال بیش از 80 درصد وقوع ريسک
 
 
گام دوم- تعیین اثر ریسک: مشابه گام اول بايد براي برآورد اثر ريسک مقياسي تدوين شود. براي مثال در جدول زير مجددا اثرات ريسک در 5 طبقه تقسيم بندي شده است. مقياس تعريف شده مي تواند مانند مثال زير براي هر هدف تعريف شود و يا مي توان براي ساده سازي عمليات به شکل کلي براي سازمان به شکل يکپارچه در نظر گرفت.
مقیاس (اثرات منفي) اهداف نمونه
خیلی زیاد زیاد متوسط کم خیلی کم
5 4 3 2 1
افزایش بیش از 40 درصد افزایش 20 تا 40 درصدی هزینه افزایش 10 تا 20 درصدی هزینه افزایش کمتر از 10 درصدی هزینه افزایش بی اهمیت هزینه هزینه
افزایش بیش از 20 درصد افزایش 10 تا 20 درصدی رمان افزایش 5 تا 10 درصدی زمان افزایش کمتر از 5 درصدی زمان افزایش بی اهمیت زمان زمان
محصول غير قابل استفاده است کاهش کيفيت به صورت غير قابل قبول براي مشتري کاهش کیفیت در تمام قسمت هاي محصول يا خدمات کاهش کيفيت فقط براي قسمت هاي بدون کاربرد کاهش مختصر کیفیت کیفیت
 
 
 
 
مقیاس (اثرات مثبت) اهداف نمونه
خیلی زیاد زیاد متوسط کم خیلی کم
5 4 3 2 1
کاهش بیش از 40 درصد کاهش 20 تا 40 درصدی هزینه کاهش 10 تا 20 درصدی هزینه کاهش کمتر از 10 درصدی هزینه کاهش بی اهمیت هزینه هزینه
کاهش بیش از 20 درصد کاهش 10 تا 20 درصدی رمان کاهش 5 تا 10 درصدی زمان کاهش کمتر از 5 درصدی زمان کاهش بی اهمیت زمان زمان
افزايش کيفيت به طوري که الگوي برتر در صنعت باشد افزايش کيفيت براي تمامي قسمت هاي محصول يا خدمات تنها قسمت هاي کاربردي داراي افزايش کيفيت است تنهاي بخشي از محصول يا خدمات داراي افزايش کيفيت است. افزایش مختصر کیفیت کیفیت

 
گام سوم- تعیین شدت اثر و امتياز ریسک: امتياز ريسک برابر است با حاصل ضرب عدد متناظر در جدول احتمال و عدد متناظر در جدول اثر مي باشد. با توجه به امتياز به دست آمده، ريسک در يکي از طبقات شدت اثر ريسک قرار مي گيرد. براي مثال در جدول زير شدت اثر ریسک های پروژه در 4 سطح مشخص می شود. این سطوح شدت اثر با توجه به شرايط سازمان و رويکرد سازمان در مواجهه با ريسک تعيين مي‌شود.


 

برنامه ریزی پاسخ به ریسک
هدف اصلی فرآیند برنامه ریزی پاسخ، تعريف اقداماتي براي انتقال شدت اثر ریسک ها به سطحی قابل تحمل برای سازمان می باشد. به این منظور مالک ريسک برای هر یک از ریسک های شناسایی شده و اقداماتي براي کنترل ریسک تعريف مي شود. مسئول اجراي پاسخ تعيين شده و فرد مسئول موظف خواهد بود تا برنامه را اجرا نمايد. فرآیند تدوین برنامه پاسخ به ریسک به صورت ذیل می باشد:
1. شناسایی علل ریشه ای ریسک: اولین گام در برنامه ریزی پاسخ به ریسک شناسایی علل ریشه ای بوجود آورنده ریسک می باشد. به این منظور بایستی مالک ریسک تمامی عوامل تأثیرگذار بر روی احتمال و اثر ریسک را شناسایی نماید.
2. لحاظ نمودن شاخص های کنترلی موجود: پس از شناسایی علل ریشه ای ریسک، مالک ریسک بایستی کنترل ها و اقدامات جاری و یا انجام شده در سازمان در خصوص هر ریسک را شناسایی نموده، اثربخشی آن ها را بررسی نموده و سپس نتایج را در تعیین استراتژی مناسب پاسخ به ریسک مد نظر قرار دهد.
3. تعیین استراتژی پاسخ به ریسک: مالک ریسک در ابتدا بایستی استراتژی کلی پاسخ به ریسک را تعیین نموده تا بر این اساس برنامه پاسخ و اقدامات مورد نیاز را مشخص کند. استراتژی‌های پاسخ به ریسک های منفی (تهدیدها) عبارتند از اجتناب، انتقال، کاهش یا پذیرش و استراتژی های پاسخ به ریسک های مثبت (فرصت ها) عبارتند از بهره برداری، تسهیم، تقویت یا پذیرش.
4. تدوین برنامه پاسخ: مالک ریسک با توجه به استراتژی پاسخ به ریسک، برنامه پاسخ به ریسک را تدوین می نماید. به این منظور بایستی اقدامات مورد نیاز، منابع مورد نیاز، کنترل ها جهت پایش اجرای برنامه و نیز هزینه پاسخ به ریسک تعیین شود.
5. توافق بر روی برنامه پاسخ: مالک ریسک بایستی از توافق مدیران مربوطه بر روی برنامه پاسخ تدوین شده کسب اطمینان نماید.
6. اجرای برنامه پاسخ: مالک ریسک مسئولیت اجرای بموقع برنامه پاسخ را برعهده داشته و بر انجام بموقع اقدامات پاسخ به ریسک در سایر واحدها نظارت دارد.
برای پاسخگویی به هر ریسک ‌بایستی راهبرد یا ترکیبی از راهبردها انتخاب شوند. معمولاً در ارتباط با تهدیدها یا ریسکهایی که ممکن است در صورت وقوع، تأثیرات منفی بر اهداف سازمان داشته باشند، چهار راهبرد در پیش گرفته میشود. این راهبردها شامل اجتناب، انتقال، کاهش  یا پذیرش میباشند:
اجتناب: اجتناب از ریسك عبارت است از حذف تهدید ایجادشده توسط یک ریسک نامطلوب، بهمنظور حفظ اهدافی از سازمان که در خطر می باشد.
انتقال: انتقال ریسك مستلزم انتقال تأثیر منفی یک ریسک همراه با مالكیت پاسخ آن به شخص ثالث می‌باشد. انتقال ریسك، منجر به حذف ریسک نمی شود بلكه مسؤولیت مدیریت آن ‌را به شخص دیگری واگذار می‌كند.
کاهش: کاهش ریسک مستلزم كاهش احتمال و یا اثر یك ریسكِ تا آستانه ای قابل‌پذیرش می‌باشد.
پذیرش: این راهبرد بیانگر آن است که سازمان تصمیم گرفته فعاليت هاي خود را در ارتباط با یک ریسک تغییر ندهند یا شناسایی راهبرد پاسخ مناسب دیگر امکان پذیر نباشد. 

انواع استراتژی های پاسخ به ریسک های منفی (تهدیدها)
 
در ارتباط با ریسکهای دارای تأثیرات مثبت بر اهداف سازمان چهار راهبرد پاسخ پیشنهاد میگردد. این راهبردها شامل بهره برداری، تسهیم، تقویت یا پذیرش، به شرح زیر میباشند:
بهره برداری: این راهبرد از طریق کمک به رخداد واقعی این فرصت درصدد حذف عدم قطعیت مربوط به یک ریسک مثبت (فرصت) میباشد.
تسهیم: تسهیم یک ریسک مثبت متضمن واگذاری مالکیت به شخص ثالثی است که توانمندترین شخص برای کسب فرصت در راستای اهداف سازمان محسوب میشود.
تقویت: این راهبرد میزان یک فرصت را از طریق افزایش احتمال و یا تأثیرات مثبت و از طریق شناسایی و بیشینه نمودن محرکهای کلیدی این ریسکهای دارای تأثیر مثبت بهبود میبخشد.
پذیرش: این راهبرد نمایانگر این است كه سازمان تصمیم گرفته فعاليت هاي خود را در ارتباط با مواجهه با یك ریسك تغییر ندهد یا اینكه قادر به شناسایی هیچ راهبرد پاسخ مناسب دیگری نمی‌باشد.

انواع استراتژی های پاسخ به ریسک های مثبت (فرصت ها)
 
رویکرد ریسک: رویکرد ریسک به منظور ایجاد ساز و کار مناسب جهت برنامه ریزی پاسخ به ریسک بایستی تعیین شود. رویکرد ریسک شامل اشتهای ریسک، حد آستانه ریسک و تحمل ریسک می باشد که در ادامه تشریح شده است.
1. اشتهای ریسک: منظور از اشتهای ریسک، میزان ریسک هایی است که سازمان می تواند آنها را بپذیرد. هر چه این محدوده ریسک های بیشتری را شامل شود، اشتهای ریسک بیشتر است. فرآیند پاسخ دهی به ریسک وابسته به محدوده اشتهای ریسک سازمان است. در واقع پاسخ دهی به ریسک ها تا زمانی ادامه پیدا می کند که ریسک وارد محدوده اشتهای ریسک شده و از نظر سازمان به ریسکی قابل قبول تبدیل شده باشد.
2. حد آستانه ریسک: حدی از ریسک که بالاتر از آن سطح باید اقدامی صورت پذیرد تا به صورت فعال با ریسک مواجه شود و پایین تر از این سطح، ریسک در محدوده اشتهای ریسک قرار گرفته و پذیرفته می شود. شکل ذیل نشان می دهد که ریسک های سازمان پس از قرارگیری در ماتریس احتمال-اثر، توسط حد آستانه ریسک به دو دسته ریسک هایی که در حیطه اشتهای ریسک قرار گرفته اند )سبز رنگ (و ریسک هایی که نیازمند مدیریت و کنترل بیشتر) زرد رنگ (هستند، تقسیم شده اند. نقاط روی حد آستانه، میزان ریسک (حاصلضرب احتمال در اثر) یکسانی دارند.

 
حد آستانه ریسک و محدوده اشتهای ریسک
 
3.  تحمل ریسک: برای اهداف، سطوح مختلفی از پذیرش تعریف می شود .هنگام اندازه گیری تحقق اهداف، بسته به اینکه میزان انحراف نسبت به یک هدف چقدر باشد نتیجه ممکن است ما را به یکی از این سطوح برساند. اگر میزان انحراف آنقدر ناچیز باشد که در هر حال ما را به هدف نائل کند، در اینصورت این سطح از انحراف قابل قبول است. به این سطح قابل پذیرش، تحمل ریسک گفته می شود. به عنوان مثال هدف هزینه ای پروژه A، 100 میلیون تومان می باشد و تغییرات در هزینه تا میزان 10 درصد بیشتر و کمتر از این مقدار (محدوده 90 تا 110 میلیون تومان) قابل قبول است.
پایش و کنترل ریسک
پایش و کنترل ریسک به منظور بررسی وضعیت ریسک ها و اجرای برنامه پاسخ انجام می شود. هر یک از ریسک ها تا زمانی که اتفاق بیافتند و یا تا سطح مورد انتظار کاهش یابد، بایستی پایش و کنترل شوند.  مالک ریسک  اقدامات کنترلی را بررسی نموده و در صورت لزوم اقدامات مورد نیاز را جهت بهبود فرآیند پایش و کنترل ریسک، انجام می دهد. هدف از این فرآیند موارد زیر است:
• حصول اطمینان از اثربخشی و کارایی سیستم مدیریت ریسک
• حصول اطمینان از اثربخشی و کارایی پاسخ به ریسک
• شناسایی تغییرات موجود در سازمان و محیط بیرونی و ایجاد تغییرات لازم در سیستم مدیریت ریسک
• ارزیابی و تحلیل مجدد ریسک ها در دوره های زمانی
• بررسی ذخیره اقتضایی ریسک و تحلیل آن