مدیریت ریسک عملیاتی: راهنمای جامع برای حاکمیت شرکتی

1. تعریف و مقدمه

مدیریت ریسک عملیاتی یک عنصر کلیدی در حاکمیت شرکتی مدرن است. اکثر سازمان‌ها برای دستیابی به یک مدل کسب‌وکار مؤثر تلاش می‌کنند که امکان رسیدن به اهداف سازمانی را به حداکثر برساند. این اهداف ممکن است فراتر از اهداف مالی و تجاری باشند و حوزه‌هایی مانند مسئولیت اجتماعی و پایداری را نیز در بر گیرند. ریسک عملیاتی به آگاهی از این موضوع می‌پردازد که انتخاب‌های عملیاتی و ریسک‌های مرتبط با آن تا چه حد ممکن است در مسیر دستیابی به این اهداف بروز کنند.

1.1 ریسک عملیاتی چیست؟

تعاریف متعددی برای ریسک عملیاتی وجود دارد. در این راهنما، چهار بُعد حفاظت از دارایی‌های فیزیکی، افراد، سازمان و فناوری، اساس تعریف ریسک عملیاتی را تشکیل می‌دهند، زیرا نشان داده شده است که علت اصلی رویدادهای ریسک عملیاتی اغلب به این ابعاد مرتبط است.

این شرایط می‌توانند اثرات مثبت (upside) یا منفی (downside) داشته باشند و به افزایش یا کاهش احتمال دستیابی سازمان به اهداف کلی خود کمک کنند.

تعریف ریسک عملیاتی: ریسک عملیاتی به دارایی‌های فیزیکی، افراد، فرآیندها و استفاده از فناوری در انجام فعالیت‌های روزانه و ارائه خدمات سازمان مربوط می‌شود و می‌تواند نتایج مثبت و منفی به همراه داشته باشد. این شامل مدیریت عدم قطعیت‌ها، فرصت‌ها و ریسک‌ها در عملیات روزمره و همچنین پیامدهای رویدادهای نامطلوب است.

نتایج می‌توانند به دلیل رویدادهای خارجی (فناوری، روندها، الزامات قانونی، انتظارات سیاسی) نیز به وجود آیند و به تصمیماتی که در شرایط موجود و بر اساس اطلاعات محدود گرفته می‌شوند، مرتبط هستند. نتایج تجربه شده می‌توانند معایب (downside)، سود و/یا افزایش مطلوبیت (upside) باشند.

در دنیای پیچیده و در حال تغییر امروز، اهمیت ریسک عملیاتی افزایش یافته و در دستور کار هیئت مدیره و مدیریت اجرایی قرار گرفته است. عوامل متداولی که در مدیریت ریسک عملیاتی با آن‌ها مواجه می‌شویم عبارتند از:

• فناوری: استفاده از فناوری به شکل سنتی پردازش داده و همچنین در حوزه‌های جدیدی مانند هوش مصنوعی (AI)، اینترنت اشیاء (IoT)، متاورس و بلاکچین.
• تغییرات قانونی: مانند قانون شفافیت، GDPR و برون‌سپاری به کشورهای غیر اتحادیه اروپا.
• پیچیدگی داده‌ها: ساختارهای داده‌ای و فرآیندهای خودکار به طور فزاینده‌ای پیچیده می‌شوند.
• محیط رقابتی: که منجر به ادغام و تملک شرکت‌ها می‌شود.
• تهدیدات خارجی: مانند جنگ، همه‌گیری، جرایم سایبری و سلامت روان.
• سازماندهی مجدد داخلی: به عنوان یک هنجار جدید برای پاسخگویی به الزامات و انتظارات.
• برون‌سپاری و زنجیره تأمین: و الزامات مرتبط با حقوق بشر.
• الزامات داخلی: برای افزایش کیفیت عملیاتی، بهبود مدیریت و کنترل، کاهش احتمال نتایج نامطلوب و امنیت فیزیکی ساختمان‌ها.

1.2 چرا مدیریت ریسک عملیاتی اهمیت دارد؟

هدف از مدیریت ریسک، پشتیبانی از تصمیم‌گیری و یافتن بهترین گزینه‌ها و راه‌حل‌های ممکن برای سازمان با توجه به زمینه، توانایی سازمانی و ظرفیت مالی آن است. بنابراین، مدیریت ریسک عملیاتی بخش مهمی از حاکمیت شرکتی است.

ریسک به عدم قطعیت مرتبط با تحولات آینده می‌پردازد. نتایج می‌توانند بهتر یا بدتر از آنچه برنامه‌ریزی یا فرض کرده‌ایم، باشند. اینجاست که ریسک عملیاتی یک پتانسیل مثبت دارد، زیرا مدیریت می‌تواند از طریق کنترل مؤثرتر و کاربردی‌تر بهبود یابد.

مدیریت ریسک عملیاتی به ما کمک می‌کند تا ریسک‌ها (تهدیدها و فرصت‌ها) را تعریف و درک کنیم تا بتوانیم در تمام سطوح سازمان تصمیمات بهتری برای دستیابی به اهداف تعیین‌شده اتخاذ نماییم.

1.3 واحد مدیریت ریسک عملیاتی – تضمین یک چارچوب مشترک

یک چارچوب مشترک برای مدیریت ریسک عملیاتی باید شامل موارد زیر باشد:

• سیاست‌گذاری سطح بالا: شامل تعیین اهداف، تعریف نقش‌ها و وظایف و تضمین استقلال واحد.
• فرآیند مشخص و سازگار: که نحوه هماهنگی و برنامه‌ریزی فعالیت‌ها را مشخص می‌کند.
• دستورالعمل‌های مورد نیاز: که تقسیم مسئولیت‌ها، آموزش مدیران خط و گزارش‌دهی منظم را پوشش می‌دهد.

اینکه مسئولیت مدیریت ریسک عملیاتی به چه کسی سپرده می‌شود، به اندازه و ساختار سازمان بستگی دارد. در سازمان‌های بزرگ، ممکن است یک مدیر ارشد ریسک (CRO) وجود داشته باشد، در حالی که در سازمان‌های کوچک‌تر این مسئولیت به مدیر مالی (CFO) واگذار می‌شود. نکته اصلی این است که این مسئولیت باید به وضوح تعریف شده و توسط مدیریت اجرایی و هیئت مدیره به رسمیت شناخته شود.

2. مدل پیشنهادی برای اجرای مدیریت ریسک عملیاتی

هسته اصلی تمام فرآیندهای مدیریت ریسک، چیزی است که معمولاً «برنامه اقدام» نامیده می‌شود. برنامه اقدام، مروری بر فعالیت‌هایی است که به مدیریت ریسک کمک کرده و احتمال دستیابی به اهداف و نتایج مثبت را افزایش می‌دهد. بر اساس استانداردهای بین‌المللی مانند ISO 31000، این فرآیند به صورت یک چرخه چهار مرحله‌ای تعریف می‌شود:

1. تدوین برنامه اقدام مبتنی بر ریسک و همسو با اهداف سازمان.
2. اجرای برنامه اقدام.
3. نظارت و گزارش‌دهی.
4. ارزیابی و تعدیل برنامه اقدام.

2.1 تدوین برنامه اقدام

تدوین برنامه اقدام به معنای تعریف فعالیت‌هایی است که سازمان معتقد است برای مدیریت ریسک عملیاتی مهم‌ترین اولویت را دارند. برای این کار، باید بتوان مهم‌ترین ریسک‌های عملیاتی را شناسایی، توصیف و ارزیابی کرد. تلاش برای کمی‌سازی ریسک بر حسب پول اهمیت دارد تا بتوان هم اولویت‌ها را تعیین کرد و هم هزینه/فایده فعالیت‌های پیشنهادی را ارزیابی نمود.

یک برنامه اقدام، بهتر از کیفیت ارزیابی ریسک انجام شده نخواهد بود؛ ارزیابی که در آن دارایی‌ها، آسیب‌پذیری‌ها و سناریوهای تهدید به توصیف‌های مشخصی از ریسک تبدیل می‌شوند.

مهم‌ترین معیار موفقیت در این مرحله، دانش در مورد خود سازمان و چشم‌انداز تهدیدات فعلی آن است. بدون درک درست، این خطر وجود دارد که برنامه اقدام شامل فعالیت‌های نامرتبطی باشد که در عمل قابل اجرا نیستند.

2.2 اجرای برنامه اقدام

در مرحله نهایی تدوین برنامه اقدام، برآورد فعالیت‌ها و منابع مورد نیاز برای اجرا و نظارت بر هر اقدام پیشنهادی اهمیت دارد. اجرای اقدامات انتخاب‌شده را می‌توان به عنوان مدیریت ریسک فعال توصیف کرد.

مهم‌ترین معیارهای موفقیت در این مرحله عبارتند از:

• اقدامات دارای مالکان مشخص و نام‌برده‌ای هستند که می‌توانند پیشرفت خوب را تضمین کنند.
• مالک یک اقدام، شایستگی، اختیار و ظرفیت لازم برای اطمینان از پیشرفت مورد نیاز را دارد.

یک دستور کار واضح و مختصر، احتمال بروز ابهامات، مسئولیت‌های نامشخص و درگیری‌های غیرضروری در اجرای کار را کاهش می‌دهد.

منبع: IIA Norway – An Introduction to Operational Risk Management, 1st Edition 2022