تحمل ریسک چیست؟ راهنمای جامع حمایت از استراتژی سازمان

مقدمه: چرا تحمل ریسک برای استراتژی مهم است؟

مدیریت ریسک مؤثر به معنای اجتناب از همه ریسک‌ها به هر قیمتی نیست؛ بلکه درباره تصمیم‌گیری، درک ریسک‌ها و پاداش‌های استراتژی و انتخاب آگاهانه در مورد اینکه چه ریسکی را دنبال کنیم و چه اقداماتی برای مدیریت آن لازم است، می‌باشد. تحمل ریسک یکی از مفاهیم کلیدی در این فرآیند است. هنگامی که هیئت مدیره استراتژی سازمان را تعریف می‌کند، فرصت‌ها و پاداش‌های مورد انتظار را در برابر ریسک‌های مرتبط متعادل می‌سازد. برای انجام این کار، هیئت مدیره نیازمند درک درستی از اشتهای ریسک و تحمل ریسک سازمان در این زمینه است: در راستای پیگیری استراتژی کسب‌وکار برای دستیابی به اهداف (مانند رشد، نوآوری)، هیئت مدیره چه سطحی از ریسک را می‌تواند بپذیرد؟

برای اینکه سازمان‌ها رویکردی استاندارد در مدیریت ریسک پیاده‌سازی کنند، گفتگوهای مؤثر در مورد ریسک را امکان‌پذیر سازند و مقایسه‌های روشنی از ریسک در سراسر سازمان انجام دهند، ضروری است که همه ذینفعان مفاهیم و اصطلاحات ریسک را به طور مداوم درک کرده و با هم در میان بگذارند.

مروری بر اشتهای ریسک، تحمل ریسک و ظرفیت ریسک

برای دستیابی به اهداف استراتژیک، یک سازمان باید مقداری ریسک را بپذیرد. این مفهوم با اصطلاحات مختلفی مانند اشتهای ریسک، تحمل ریسک و ظرفیت ریسک بیان می‌شود. اغلب این اصطلاحات به جای یکدیگر استفاده می‌شوند که باعث سوءتفاهم در استفاده و تفسیر صحیح آن‌ها می‌گردد. چارچوب Risk IT ایساکا (ISACA)، که با چارچوب COSO ERM و ISO 31000 سازگار است، این تعاریف را ارائه می‌دهد:

• اشتهای ریسک (Risk Appetite): سطح کلی ریسکی که یک سازمان یا نهاد دیگر مایل به پذیرش آن در راستای دستیابی به مأموریت (یا چشم‌انداز) خود است.
• تحمل ریسک (Risk Tolerance): دامنه قابل قبول انحراف نسبت به دستیابی به یک هدف معین (بهتر است به صورت کمی و با همان واحد اندازه‌گیری هدف مربوطه بیان شود).
• ظرفیت ریسک (Risk Capacity): مقدار عینی زیانی که یک سازمان می‌تواند بدون به خطر انداختن ادامه حیات خود تحمل کند.

این سه مفهوم متمایز اما به هم مرتبط هستند و با استفاده از دامنه‌ها برای تعریف سطوح ریسک قابل قبول و غیرقابل قبول، یکدیگر را تقویت می‌کنند. این سطوح در فرآیندهای ارزیابی، گزارش‌دهی و حاکمیت ریسک به کار می‌روند. همانطور که در نمودار نشان داده شده، وقتی سطح ریسک به ظرفیت ریسک سازمان نزدیک می‌شود، کاهش مواجهه با ریسک به سطح قابل قبول در محدوده تحمل ریسک، حیاتی می‌شود.

تعیین اشتهای ریسک

هیئت مدیره و مدیریت ارشد مسئول تدوین، تصویب و ابلاغ اشتهای ریسک به سازمان هستند. برای شروع تعریف اشتهای ریسک، هیئت مدیره باید به سوالاتی در مورد فرهنگ، قابلیت‌ها، توان مالی، موقعیت رقابتی و اهداف استراتژیک پاسخ دهد، مانند:

• ظرفیت جذب زیان (مانند زیان مالی یا آسیب به اعتبار) چقدر است؟
• نگرش/فرهنگ ریسک (مثلاً ریسک‌گریزی در مقابل ریسک‌پذیری) چگونه است؟
• اهداف دنبال‌شده چقدر تهاجمی هستند؟ سطح مطلوب ریسک/بازده چیست؟
• قابلیت‌های سازمان (مانند منابع، تمایل به پذیرش ریسک و هزینه‌های مرتبط) چیست؟

تعریف دقیق تحمل ریسک (Risk Tolerance)

تحمل ریسک دامنه‌ای از انحراف قابل قبول از سطح تعیین‌شده توسط اشتهای ریسک و اهداف کسب‌وکار را منعکس می‌کند. این مفهوم مرزهای ریسک‌پذیری را که سازمان در راستای اهداف بلندمدت خود از آن‌ها عبور نخواهد کرد، مشخص می‌کند. مسئولیت هیئت مدیره است که یک چارچوب مدیریت ریسک را تعریف کند که با سطوح اشتهای ریسک و تحمل ریسک سازمان سازگار باشد.

به طور معمول، تحمل ریسک به صورت کمی بیان می‌شود، مانند:

• استانداردها نیازمند تکمیل پروژه‌ها در چارچوب بودجه و زمان تخمینی هستند، اما انحراف تا ۱۰ درصد بودجه یا ۲۰ درصد زمان، تحمل می‌شود.
• سطوح خدمات برای زمان کارکرد سیستم نیازمند ۹۹.۵٪ در دسترس بودن ماهانه است؛ با این حال، موارد جداگانه‌ای با ۹۹.۴٪ تحمل خواهد شد.

مقایسه اشتهای ریسک و تحمل ریسک

اشتهای ریسک و تحمل ریسک را می‌توان دو روی یک سکه در نظر گرفت. اشتهای ریسک درباره پذیرش ریسک است و تحمل ریسک درباره کنترل آن. برای اینکه اشتهای ریسک با موفقیت در تصمیم‌گیری‌ها به کار گرفته شود، باید از طریق تحمل ریسک با محیط کنترلی سازمان یکپارچه شود.

• اشتهای ریسک: یک توصیف کلی از سطح مطلوب ریسکی است که یک نهاد مایل به دنبال کردن آن است (چشم‌انداز استراتژیک).
• تحمل ریسک: بر مقدار کمی ریسکی که یک سازمان می‌تواند بپذیرد تمرکز دارد (چشم‌انداز عملیاتی).

به طور خلاصه، اشتهای ریسک در سطح استراتژیک تعیین می‌شود، در حالی که تحمل ریسک ماهیت عملیاتی دارد و با ارائه محدودیت‌هایی برای ارزیابی ریسک مرتبط با طرح‌های خاص، از تصمیم‌گیری حمایت می‌کند و پاسخ مناسب (پذیرش، کاهش، اجتناب یا انتقال) را تعیین می‌کند.

منبع: مقاله “Using Risk Tolerance to Support Enterprise Strategy” منتشر شده توسط © 2022 ISACA