منشور مدیریت ریسک سازمانی: راهنمای کامل برای شرکت‌ها

مدیریت ریسک سازمانی (ERM) یک فرآیند حیاتی برای برنامه‌ریزی فعالیت‌های آتی و حفظ ارزش برای ذینفعان در هر واحد اقتصادی است. شرکت‌ها در مسیر دستیابی به اهداف بلندمدت و کوتاه‌مدت خود با شرایط غیرقطعی و ابهام‌آمیز مختلفی مواجه هستند. این شرایط می‌توانند تحقق برنامه‌ها و استراتژی‌ها را تحت تأثیر قرار دهند. چالش اصلی مدیران، تعیین میزان قابل پذیرش عدم قطعیت است تا بتوانند بر مبنای آن، ارزش بنگاه را برای ذینفعان حفظ کرده و برای افزایش آن تلاش کنند. این مقاله به تشریح کامل منشور مدیریت ریسک سازمانی، اهداف، فرآیندها و مسئولیت‌های مرتبط با آن می‌پردازد.

مدیریت ریسک سازمانی (ERM) چیست؟

مدیریت ریسک فرآیندی است که توسط هیئت مدیره و سایر کارکنان شرکت اجرا می‌شود و در تدوین راهبرد و تمام فعالیت‌های سازمان کاربرد دارد. این فرآیند به نحوی طراحی می‌شود که وقایع احتمالی که می‌توانند بر اهداف شرکت اثر بگذارند را شناسایی کرده و ریسک‌ها را در محدوده ریسک‌پذیری شرکت کنترل کند. هدف نهایی، دستیابی به اطمینان معقول از تحقق اهداف سازمان است. این رویکرد یکپارچه، که با نام چارچوب COSO ERM نیز شناخته می‌شود، به سازمان‌ها کمک می‌کند تا دیدگاهی جامع نسبت به ریسک‌های خود داشته باشند.

اهداف کلیدی مدیریت ریسک سازمانی

بر اساس آیین‌نامه نظام راهبری شرکتی ابلاغی از سوی سازمان بورس و اوراق بهادار، کمیته مدیریت ریسک مسئول نظارت بر اقدامات مدیریت در زمینه مدیریت ریسک بازار، نقدینگی، عملیاتی، رعایت، حسن شهرت و سایر ریسک‌های شرکت است. هدف اصلی این کمیته، نهادینه‌سازی و کمک به بلوغ فرآیند مدیریت ریسک از طریق فرهنگ‌سازی، تشریح مفاهیم و نظارت بر اجرای آن است.

اهداف کلی این فرآیند عبارتند از:

• ایجاد آمادگی مناسب در برابر تهدیدهای آتی و استفاده مؤثر از فرصت‌های پیش رو.
• ارتقای سطح اطمینان معقول درباره تحقق اهداف سازمانی.
• تسهیل در تصمیم‌سازی و ارتقای ثبات تصمیمات در سطوح مختلف سازمان.
• ایجاد ثبات در رشد ارزش حقوق صاحبان سهام و سایر ذینفعان سازمان.

گام‌های اصلی در فرآیند مدیریت ریسک سازمانی

پس از شناسایی اهداف، فرآیند مدیریت ریسک در چند گام اصلی اجرا می‌شود که در ادامه به تشریح آن‌ها می‌پردازیم.

گام اول: شناسایی ریسک

ریسک به احتمال بروز رویدادهایی گفته می‌شود که تحقق اهداف سازمانی را تهدید می‌کند. در معنای وسیع‌تر، ریسک شامل حوادث یا روندهای بالقوه‌ای است که موجب زیان یا کاهش سود آتی می‌شوند. البته، رویدادهایی با تأثیر مثبت نیز وجود دارند که به عنوان «فرصت» شناخته شده و مدیریت باید برای استفاده از آن‌ها استراتژی‌های خود را مورد تجدید نظر قرار دهد.

گام دوم: تجزیه و تحلیل ریسک

ارزیابی ریسک به شرکت این امکان را می‌دهد که گستره‌ای از رخدادهای زیان‌بار فعلی یا رویدادهایی که بالقوه اهداف را تحت تأثیر قرار می‌دهند، درک و شناسایی کند. این مرحله شامل برآورد موارد زیر است:

• برآورد میزان اهمیت (تأثیر) ریسک: تعیین تأثیر مالی و کیفی هر ریسک بر عملکرد شرکت.
• ارزیابی احتمال وقوع ریسک: برآورد احتمال بروز هر یک از عوامل ریسک در یک دوره زمانی مشخص.

گام سوم: اولویت‌بندی ریسک

حاصل‌ضرب سطح احتمال ریسک و میزان تأثیر ناشی از آن، بیانگر «ارزش‌های تحت مخاطره» (Value At Risk) یا اولویت توجه (Risk Priority Number – RPN) است. این عدد، مبنای مناسبی برای اولویت‌بندی و تعیین میزان حساسیت و منابع لازم برای توجه و مهار آن ریسک فراهم می‌کند.

گام چهارم: برنامه‌ریزی برای واکنش به ریسک

برای مهار هر عامل ریسک، باید از میان راهکارهای گوناگون، مناسب‌ترین راهکار با توجه به هزینه و منفعت آن انتخاب شود. استراتژی‌های اصلی واکنش به ریسک عبارتند از:

1. پذیرش ریسک: نظارت و مراقبت از ریسک‌هایی که هزینه کنترل آن‌ها بیشتر از منافع آن است.
2. کاهش ریسک: تقویت کنترل‌های مستقر در شرکت برای کاهش احتمال یا تأثیر ریسک.
3. اشتراک ریسک: شریک شدن با سایر اشخاص (مانند بیمه) برای انتقال بخشی از زیان.
4. اجتناب از ریسک: حذف فعالیت یا خروج از موقعیتی که ریسک را ایجاد می‌کند.

مسئولیت‌ها و اختیارات در فرآیند مدیریت ریسک

اجرای موفقیت‌آمیز فرآیند مدیریت ریسک سازمانی نیازمند تعریف شفاف مسئولیت‌هاست. مسئولیت نهایی بر عهده هیئت مدیره و مدیرعامل هر شرکت است. در سطح عملیاتی، اختیار و مسئولیت شناسایی، ارزیابی و واکنش به ریسک‌ها بر عهده معاونین و مدیران هر حوزه (Risk Owner) است. کمیته مدیریت ریسک وظیفه نظارت بر حسن اجرای منشور و فرآیندها را بر عهده دارد و به هیئت مدیره گزارش می‌دهد.

منبع: این مقاله بر اساس “منشور مدیریت ریسک سازمانی” یک شرکت نمونه (سهامی عام) تهیه شده است.