مدیریت ریسک جامع سازمانی (Enterprise Risk Management)

مفهوم: مدیریت ریسک جامع سازمانی

والد: عدم قطعیت (ریسک) در علوم مالی

بعد: مدیریت

فرزند: اشتهای ریسک، فرهنگ ریسک، ساختار ریسک، اهداف ریسک

---

مدیریت ریسک جامع سازمانی (ERM) پیشرفتی نسبتاً جدید در حوزه کم‌وبیش جوانِ تحلیل/مدیریت ریسک است. ERM عبارت است از فرایندی که توسط هیئت مدیره، مدیریت و سایر کارکنان یک سازمان اجرا می‌شود، در تنظیم راهبردها و در کلِ سازمان به کار گرفته می‌شود و برای شناسایی رویدادهای بالقوه‌ اثرگذار بر سازمان و مدیریت ریسک در چارچوب اشتهای ریسک طراحی می‌شود تا اطمینان معقولی در مورد دستیابی به اهداف سازمان فراهم کند. ERM یک رویداد یا یک شرایط خاص نیست، بلکه مجموعه‌ای از اقدامات مداوم و فراگیر است که در نحوه مدیریت کسب‌وکار تسری می‌یابد. این فرایند چیزی نیست که به روش انجام کسب‌وکار سازمان اضافه شود. ERM با عملکرد و مدیریت سازمان در هم تنیده است.

عدم قطعیت در علوم مالی از بعد مدیریت به دو بخش مدیریت ریسک جامع سازمانی و مدیریت ریسک غیر متمرکز، تقسیم می‌شود.  مدیریت ریسک جامع سازمانی (ERM)، توازن بین رویکرد علمی تحلیل ریسک و رویکرد عملی مدیریت ریسک است. ارزیابی ریسک در ERM، متعدد و منظم‌تر است و معمولاً در مقایسه با ارزیابی ریسک بخش عمومی به عنوان مبنای مقررات‌گذاری، پیچیدگی کمتری دارد. ارتباط ریسک، جزء هر دو رویکرد است، ولی در دنیای تحلیل ریسک نسبت به ERM، مفصل‌تر است. تفاوت مفاهیم در رویکرد ERM از آنجا ناشی می‌شود که این رویکرد از بخش‌های بیمه، مالی و بانکداری سرچشمه می‌گیرد که دارای ریسک‌های محدودتری نسبت به بخش عمومی هستند.

عدم قطعیت در علوم مالی از بعد مدیریت به دو بخش مدیریت ریسک جامع سازمانی و مدیریت ریسک غیر متمرکز، تقسیم می‌شود. اجزای مدیریت ریسک جامع سازمانی آگاهی از ریسک در مدیریت ریسک جامع سازمانی و برنامه ریزی استمرار کسب و کار در مدیریت ریسک جامع سازمانی هستند و اصول مدیریت ریسک جامع سازمانی، اشتهای ریسک، فرهنگ ریسک، ساختار ریسک و اهداف ریسک می‌باشند. برقراری توازن بین رویکرد علمی تحلیل ریسک و رویکرد عملی مدیریت ریسک که با عنوان مدیریت ریسک جامع سازمانی (ERM) شناخته می‌شود، دشوار است. این رویکردها تا حدی شباهت دارند ولی تفاوت‌های زیادی در اصطلاحات، محور تمرکز و کاربرد آنها وجود دارد. مدیریت ریسک، مفهوم زیربنایی برای ERM است و سه وظیفه مدیریت ریسک، ارزیابی ریسک و ارتباط ریسک، همه در این چارچوب مدیریت ریسک یافت می‌شوند. هرچند که در ERM، رویکرد علمی همانند تحلیل ریسک مد نظر قرار نمی‌گیرد، ولی ERM همچنان به حقیقت عینی تکیه دارد. عدم‌قطعیت در هر دو رویکرد مهم است، ولی اغلب در دنیای ERM، با ریسک مطرح می‌شود. ارزیابی ریسک در ERM، متعدد و منظم‌تر است و همچنین معمولاً در مقایسه با ارزیابی ریسک بخش عمومی به عنوان مبنای مقررات‌گذاری، پیچیدگی کمتری دارد. ارتباط ریسک، جزء هر دو رویکرد است، ولی در دنیای تحلیل ریسک نسبت به ERM، مفصل‌تر است.

۱-مقدمه:[ویرایش | ویرایش مبدأ]

برقراری توازن بین رویکرد علمی تحلیل ریسک و رویکرد عملی مدیریت ریسک که با عنوان مدیریت ریسک جامع سازمانی (ERM) شناخته می‌شود، دشوار است. این رویکردها تا حدی شباهت دارند ولی تفاوت‌های زیادی در اصطلاحات، محور تمرکز و کاربرد آنها وجود دارد. مدیریت ریسک، مفهوم زیربنایی برای ERM است و سه وظیفه مدیریت ریسک، ارزیابی ریسک و ارتباط ریسک، همه در این چارچوب مدیریت ریسک یافت می‌شوند. هرچند که در ERM، رویکرد علمی همانند تحلیل ریسک مد نظر قرار نمی‌گیرد، ولی ERM همچنان به حقیقت عینی تکیه دارد. عدم‌قطعیت در هر دو رویکرد مهم است، ولی اغلب در دنیای ERM، با ریسک مطرح می‌شود.

ارزیابی ریسک در ERM، متعدد و منظم‌تر است و همچنین معمولاً در مقایسه با ارزیابی ریسک بخش عمومی به عنوان مبنای مقررات‌گذاری، پیچیدگی کمتری دارد. ارتباط ریسک، جزء هر دو رویکرد است، ولی در دنیای تحلیل ریسک نسبت به ERM، مفصل‌تر است. تفاوت مفاهیم در رویکرد ERM از آنجا ناشی می‌شود که این رویکرد از بخش‌های بیمه، مالی و بانکداری سرچشمه می‌گیرد که دارای ریسک‌های محدودتری نسبت به بخش عمومی هستند. رویکرد ERM از اصطلاحات متداول‌تری استفاده می‌کند. برای مثال، تحلیل ریسک گامی در ارزیابی ریسک است و نه یک اصطلاح فراگیر. پروفایل ریسک خلاصه‌ای از آنچه در مورد ریسک شناخته می‌شود نیست و در ERM، شامل توصیف هرگونه مجموعه‌ای از ریسک‌ها است. بنابراین شامل هر چیزی است که در مورد سطح سازمانی شناخته می شود و سازمان با آن روبرو است.. به‌علاوه ERM، مجموعه‌ای از شرایط خاص و منحصر به فرد خود را در هنگام صحبت درباره اشتهای ریسک، تحمل ریسک، منبع ریسک و معیارهای ریسک بیان می‌کند. اگر کمی به این تفاوت‌ها نزدیک شوید، همانند مطالعه یک زبان خارجی، شباهت‌های بیشتری نسبت به تفاوت‌ها پیدا خواهید کرد، زیرا هردو رویکرد ناشی از یک دیدگاه مشترک برای تصمیم‌گیری در شرایط عدم‌قطعیت است.

ERM گویش کاملاً مشخصی است که برای اولین بار در صنعت بیمه به وجود آمد و سپس به سرعت در بنگاه‌های مالی گسترش یافت. در اوایل قرن بیست و یکم، ERM به سرعت در انواع بنگاه‌های غیرمالی گسترش یافت و در حال حاضر در بسیاری از مؤسسات دولتی مانند دانشگاه‌ها، مدارس، بیمارستان‌ها و دستگاه‌های دولتی به کار گرفته می‌شود. مدیریت ریسک جامع سازمانی، در دنیای ریسک جایگاه خاص خود را دارد و به حد کافی از نظر ماهیت و هدف متمایز شده است، ولی در عمل به شکلی تفکیک نشده است که خارج از علوم تحلیل ریسک در نظر گرفته شود. روش‌های تحلیل ریسک در راستای مدیریت ریسک جامع سازمانی به کار گرفته می‌شوند.

۲- تاریخچه[ویرایش | ویرایش مبدأ]

مدیریت ریسک جامع سازمانی (ERM) ٍ

یک سال بعد یعنی در سال ۱۹۵۶ نشریه هاروارد بیزنس ریویو، مقاله راسل گالاگر را با عنوان "مدیریت ریسک: فاز جدید کنترل هزینه" منتشر کرد. تا سال ۱۹۶۶، مؤسسه بیمه آمریکا سه آزمون را طراحی کرد که منجر به طراحی برنامه "همکار در مدیریت ریسک " شد و مفهوم مدیریت ریسک را توسعه داد.

گوستاو همیلتون، مدیر ریسک شرکت هلدینگ دولتی استاتسفورتگ سوئد، "دایره مدیریت ریسک" خود را در سال ۱۹۷۴ مطرح کرد. این شکل دایره ‌مانند، شاید نخستین تلاش برای نشان دادن تعامل همه عناصر فرایند مدیریت ریسک باشد. این دایره ریسک‌های خارج از تولید را به عنوان ریسک‌های پویا (سه ریسک اصلی) معرفی می‌کند، در حالی که ریسک‌های داخلِ تولید یا ریسک‌های عملیاتی، ریسک‌های باقی مانده را شامل می‌شوند. همیلتون طیف گسترده‌ای از افرادی را که با ریسک مواجهند و باید به عنوان مدیران ریسک عمل کنند، شناسایی کرد (دایره درونی) و نیز طیف گسترده‌ای از ریسک‌ها در هر بخش را نشان داد (دایره بیرونی). یک سال بعد و دو دهه پس از طرح مباحثی توسط اشنایدر و دننبرگ، انجمن مدیریت بیمه آمریکا نام خود را به انجمن مدیریت ریسک و بیمه (RIMS) تغییر داد. در همان سال مجله فورچون مطلبی با عنوان "انقلاب مدیریت ریسک" را منتشر کرد که در آن موضوع نیاز به هماهنگی کارکردهای مدیریت ریسک در سازمان و مسئولیت هیئت مدیره برای سیاستگذاری و نظارت در سازمان مطرح شد. کمیته سازمان‌های پشتیبان کمیسیون تردوی (COSO) که به طور خلاصه کمیته کوزو نامیده می‌شود، در سال ۱۹۸۵ توسط پنج سازمان خصوصی در ایالات متحده، به عنوان یک ابتکار مشترک برای مقابله با کلاهبرداری شرکتی تأسیس شد. در سال ۱۹۸۶ مؤسسه مدیریت ریسک در لندن یک برنامه آموزشی را آغاز کرد که جنبه‌های مختلف مدیریت ریسک را مد نظر قرار می‌ٔداد. یک مجموعه از آزمون‌های بین‌المللی به ایجاد برنامه "همکار مؤسسه مدیریت ریسک " منتهی شد. شش سال بعد، کمیته کادبری گزارشی را منتشر کرد که نشان می‌داد هیئت مدیره‌ شرکت‌ها، مسئولیت مدیریت ریسک در انگلستان را بر عهده دارند. در همان سال، شرکت جنرال الکتریک کپیتال از عنوان "مدیر ارشد ریسک" برای توصیف جایگاه سازمانی جهت مدیریت کلیه جنبه‌های ریسک استفاده کرد. چارلز سانفورد در سال ۱۹۹۴ در مقاله‌ای با عنوان "انقلاب مدیریت ریسک"، تقریباً بیست سال پس از انتشار مقاله‌ای با همین نام، مدیریت ریسک را سنگ‌بنای اصلی برای مدیریت مؤسسات مالی برشمرد. موسسات مالی از یک الگوی کسب‌وکار پیروی می‌کنند که بر تجمیع و توزیع ریسک متکی است. آنها مهد مدیریت ریسک جامع سازمانی نوین از اواخر دهه ۱۹۸۰ بوده‌اند (پرگلر، ۲۰۱۲).

۳- تعریف:[ویرایش | ویرایش مبدأ]

طبق تعریف کمیته کوزو، ERM عبارت است از فرایندی که توسط هیئت مدیره، مدیریت و سایر کارکنان یک سازمان اجرا می‌شود، در تنظیم راهبردها و در کل سازمان به کار گرفته می‌شود و برای شناسایی رویدادهای بالقوه‌ اثرگذار بر سازمان و مدیریت ریسک در چارچوب اشتهای ریسک طراحی می‌شود تا اطمینان معقولی در مورد دستیابی به اهداف سازمان فراهم کند (COSO، ۲۰۰۴).

استاندارد ISO 73: 2009 در تعریف اصطلاحات، مدیریت ریسک را به عنوان "فعالیتهای هماهنگ برای هدایت و کنترل سازمان با توجه به ریسک" تعریف کرده است.

در عمل کمبود استانداردهای مدیریت ریسک یا مدل‌های ERM وجود ندارد و لذا هیچ‌گونه سردرگمی در مورد اصطلاحات تخصصی مدیریت ریسک جامع سازمانی مانند اشتهای ریسک، تحمل ریسک و موارد دیگر وجود ندارد. دو مورد از مشهورترین مدل‌های مدیریت ریسک عبارتند از: چارچوب کوزو (COSO) و مدل‌های ۳۱۰۰۰ سازمان بین‌المللی استاندارد (ISO، ۲۰۱۸a). گرچه هر دو مدل در زمینه ERM پیشرو هستند، مدل ۳۱۰۰۰ISI از اصطلاح ERM و سایر اصطلاحات رایج آن مانند اشتهای ریسک و تحمل ریسک استفاده نمی‌کند.

ERM از یک تمایل تجاری مجزا ناشی می‌شود و گرایشی مبتنی بر کسب‌وکار پیدا می‌کند که شامل اصطلاحاتی مانند ظرفیت ریسک، اشتهای ریسک، تحمل ریسک، معیارهای ریسک و پروفایل ریسک است. این امر به تنهایی آن را از سایر مدل‌های مدیریت ریسک متمایز می‌کند. بیشتر سازمان‌ها دارای بیانیه مأموریت و چشم‌انداز هستند که توسط یک برنامه استراتژیک پشتیبانی می‌شوند و اهداف استراتژیک را برای سازمان مشخص می‌کنند. فرض بر این است که ERM با اهداف استراتژیک سازمان همسو است. این امر مستلزم پذیرش از سوی هیئت مدیره و دیگر سطوح ارشد مدیریت سازمان است و به عنوان یکی از ویژگی‌های بارز ERM به شمار می‌آید. تنوع اهداف تجاری، تنوع ترتیبات چارچوب‌های ERM را فراتر از آنچه در سازمان‌های بخش عمومی یافت می‌شود، تضمین می‌کند. در ERM مجموعه مقادیری که برای تصمیم گیری در مدیریت ریسک اعمال می شود، نسبت به دیگر مدل‌های مدیریت ریسک، جنبه مالی بیشتری دارد.

ERM تلاش می‌کند تا اطمینان حاصل شود که سازمان‌ها، فرصت‌ها را نیز در کنار ریسک‌ها در نظر می‌گیرند. لذا پذیرش ریسک نسبت به بخش عمومی، را یک مسئولیت متداول‌تر مدیریت ریسک می‌داند.

۴- روندهای مدیریت ریسک جامع سازمانی :[ویرایش | ویرایش مبدأ]

۴-۱- ریسک‌های کسب‌وکار[ویرایش | ویرایش مبدأ]

تاریخچه ERM بخشی از داستان را بیان می‌کند که چرا علاقه به مدیریت ریسک در بخش خصوصی اقتصاد افزایش یافته است. ماهیت ریسک‌هایی که بیشتر بخش خصوصی را نگران کرده است، بخش دیگری از داستان درباره افزایش علاقه به مدیریت ریسک را نشان می‌دهد. هرچند ریسک‌هایی که بیشترین نگرانی را ایجاد می‌کند، می‌تواند از مکانی به مکان دیگر و از زمانی به زمان دیگر متفاوت باشد، گزارش سالانه بارومتر تجاری الاینز درباره ریسک‌های تجاری عمده (الاینز، ۲۰۱۸) دیدگاه‌ مناسبی از برخی ریسک‌هایی که نگرانی بیشتری برای بزرگ‌ترین کسب‌وکارها در جهان ایجاد کرده، ارائه نموده است. طبق این گزارش، ده ریسک تجاری عمده عبارتند از:

۱- وقفه در کسب‌وکار

۲- حوادث سایبری

۳- بلایای طبیعی

۴- توسعه بازار

۵- تغییر در قوانین و مقررات

۶- آتش‌سوزی و انفجار

۷- فناوری‌های جدید

۸- از دست دادن شهرت و یا ارزش نشان تجاری (برند)

۹- ریسک سیاسی و آشوب

۱۰- تغییرات آب‌ و هوایی و افزایش نوسانات آب و هوا

همچنین ده ریسک برجسته از نظر این گزارش عبارتند از:

۱- آسیب دیدن شهرت/نشان تجاری

۲- کاهش رشد اقتصادی/کند شدن رونق اقتصادی

۳- افزایش رقابت

۴- تغییرات نظارتی/قانونی

۵- جرایم سایبری/هک شدن/ویروس‌های رایانه‌ای/کدهای مخرب رایانه‌ای

۶- عدم نوآوری/ناتوانی در برآورده کردن نیازهای مشتری

۷- عدم جذب یا حفظ استعدادهای برتر

۸- وقفه در کسب‌وکار

9- ریسک/عدم‌اطمینان‌های سیاسی

۱۰- مسئولیت شخص ثالث

۴-۲- بخش‌های مالی[ویرایش | ویرایش مبدأ]

بخش‌های مالی و بانکداری در توسعه و پذیرش ERM پیشرو بوده‌اند. مؤسسه دیلویت توش به صورت سالانه مؤسسات مالی دنیا را مورد بررسی قرار می‌دهد. دهمین گزارش سالانه (دیلویت وش، ۲۰۱۸) این مؤسسه نشان می‌دهد که فعالیت‌های مربوط به مدیریت ریسک در صنعت مالی پذیرش بیشتری پیدا کرده است (Deloitte Touche Tohmatsu Limited، ۲۰۱۸). طبق این گزارش اعضای هیئت مدیره زمان زیادی برای پیگیری ERM اختصاص می‌دهند تا نقش فعالی در این زمینه ایفا کنند. همچنین وجود مدیر ارشد ریسک (CRO) در شرکت‌ها بسیار رایج است (حدود ۹۲ درصد) و مدیر ارشد ریسک به طور مستقیم به هیئت مدیره و مدیرعامل گزارش می‌دهد. برنامه‌های ERM نوآوری بیشتری ندارند و ۷۳ درصد مؤسسات اعلام کرده‌اند که یک برنامه ERM دارند، ۱۳ درصد گفته‌اند که در حال اجرای یک برنامه ERM هستند و ۶ درصد دیگر نیز اظهار داشته‌اند که قصد دارند چنین برنامه‌ای را در آینده ایجاد کنند. برنامه‌های ERM در کشورهای امریکا/کانادا (۸۹ درصد)، اروپا (۸۱ درصد) مورد تأکید مقامات مقررات‌گذار بوده‌اند و در آسیا اقیانوسیه (۶۹ درصد) و امریکای لاتین (۳۸ درصد) کمتر مورد تأکید قرار گرفته‌اند. جدول ۱ اولویت‌های بالاتر مدیریت ریسک برای مؤسسات مالی مورد بررسی در این گزارش را نشان می‌دهد.

رشد سریع ERM، جذب و حفظ متخصصان مدیریت ریسک را به یک چالش جدی برای صنعت تبدیل کرده است. اکثریت پاسخ‌دهندگان به پیمایش، مؤسسات خود را در مدیریت ریسک‌های نقدینگی (۸۴ درصد)، پذیره‌نویسی/رزرو (۸۳ درصد)، اعتباری (۸۳ درصد)، دارایی و بدهی (۸۲ درصد)، سرمایه‌گذاری (۸۰ درصد) و بازار (۷۹ درصد)، دارای اثربخش بسیار زیاد یا زیاد توصیف کرده‌اند. برنامه‌های مدیریت ریسک برای این ریسک‌ها با روش‌های اثبات شده برقرار می‌شوند و تحلیل‌ها و داده‌های مربوطه برای آنها در دسترس است. ریسک عملیاتی با چالش بیشتری مواجه بوده است و ۵۱ درصد مؤسسات، خود را در اجرای آن، دارای اثربخشی بسیار زیاد یا زیاد توصیف کرده‌اند. همچنین انواع جدید ریسک به عنوان چالش بزرگ‌تر مطرح شده‌اند، زیرا انتظارات نظارتی در خصوص آنها نامشخص‌تر و روش‌شناسی‌ها، تحلیل‌ها و داده‌های مربوطه برای آنها کمتر در دسترس است. پیشرفت در این زمینه انکارناپذیر است، ولی در سال‌های پیش رو مدیریت ریسک با مجموعه چالش‌های جدیدی نیز روبه‌رو خواهد بود.

جدول ۱- اولویت‌های مدیریت ریسک صنعت مالی بر اساس پیمایش مدیریت ریسک جهانی دیلویت توش

اولویت	درصد شرکت‌های تأییدکننده اولویت
ارتقای سیستم‌های اطلاعاتی و زیرساخت‌های فناورانه ریسک	۷۸
همکاری بین واحدهای کسب و کار و واحد مدیریت ریسک	۷۴
ارتقای کیفیت، قابلیت دسترسی و به‌هنگام بودن داده‌های ریسک	۷۲
جذب و نگهداری متخصصان مدیریت ریسک با مهارت‌های مورد نیاز	۷۰
استقرار و نهادینه کردن فرهنگ ریسک در سازمان	۷۰
افزایش الزامات و انتظارات مقرراتی در زمینه مدیریت ریسک	۶۷
شناسایی و مدیریت ریسک‌های جدید و نوظهور	۶۱
همکاری بین کارویژه مدیریت ریسک و سایر کارویژه‌های سازمانی	۵۸
جذب و نگهداری متخصصان واحد کسب‌وکار با مهارت‌های مورد نیاز در زمینه مدیریت ریسک	۵۴

۴-۳- چارچوب یکپارچه مدیریت ریسک جامع سازمانی کوزو[ویرایش | ویرایش مبدأ]

کمیته کوزو، ERM را به عنوان فرایندی توصیف می‌کند که توسط کارکنان بنگاه اقتصادی به صورت راهبردی اجرا می شود. این فرایند در کل سازمان به صورت افقی و عمودی اعمال می‌شود و در جهت دستیابی به اهداف سازمانی به کار گرفته می‌شود. فرایند ERM برای شناسایی رویدادهای اثرگذار بر سازمان طراحی شده است و ریسک‌ها را در چارچوب اشتهای ریسک، مدیریت می‌کند.

عدم قطعیت ، ریسک در امور مالی ، مدیریت غیر متمرکز ریسک

- Allianz Global Corporate and Specialty. 2018. Allianz Business Barometer, Top Business Risks for 2018. London.

Aon plc. 2017. Global Risk Management Survey. Aon Risk Solutions.

- Aven, T. 2012. On the meaning and use of the risk appetite concept. Risk Analysis, 33 (3), DOI: 10.1111/j.1539-6924.2012.01887.x

- Barton, T.L. and J.B. MacArthur. 2015. A need for a challenge culture in enterprise risk management. Risk Analysis 8 (1); Fall.

- Committee of Sponsoring Organizations (COSO). 2016. Enterprise Risk Management—Aligning Risk with Strategy and Performance. https://www.coso.org/Pages/ERM-FrameworkPurchase.aspx.

- Deloitte Development LLC. 2017. Shift Risk Strategies, Accelerate Performance. Risk and Financial Advisory, Fortune Knowledge Group.