نقش ایمنی در صنعت

مدیریت ریسک
نویسنده : محمد میلاد ناظران - ساعت ۱:٤٦ ‎ب.ظ روز یکشنبه ۱۸ اسفند ۱۳۸٧
 
عدم اطمینان محیطی و شدت رقابت سازمانها و مدیران، آنها را با چالشهای متعدد مواجه ساخته است. برای مدیر مؤثر این چالشها، رویکردهای نوین مدیریت و شایستگیهای خاص طرح و توصیه شده است. شناسایی و مدیریت ریسک یکی از رویکردهای جدید است که برای تقویت و ارتقای اثربخشی سازمانها مورد استفاده قرار می گیرد. به طورکلی، ریسک با مفهوم احتمال متحمل زیان و یا عدم اطمینان شناخته می شود که انواع مختلف و طبقه بندیهای متنوع دارد. یکی از این طبقه‌بندیها ریسک سوداگرانه و ریسک خطرناک است. تمامی اشکال ریسک شامل عناصر مشترکی چون محتوا، فعالیت، شرایط و پیامدها هستند. طبقه بندی دیگر ریسک استراتژیک و ریسک عملیاتی است. مدیریت ریسک به مفهوم سنجش ریسک و سپس اتخاذ راهبردهایی برای مدیریت ریسک دلالت دارد. انواع ریسک ها برحسب احتمال وقوع و تأثیر آنها قابل تقسیم است که نتیجه آن پورتفوی ریسک و اعمال استراتژی‌های مناسب (انتقال، اجتناب، کاهش و پذیرش) است.

مقدمه
تحولات عمده در محیط کسب و کار، مثل جهانی شدن کسب و کار و سرعت بالای تغییرات در فناوری، باعث افزایش رقابت و دشواری مدیریت در سازمانها گردیده است. در محیط کسب و کار امروز، مدیریت و کارکنان می بایست توانایی برخورد با روابط درونی و وابستگیهای مبهم و بغرنج میان فناوری، داده ها، وظایف، فعالیتها، فرایندها و افراد را دارا باشند. در چنین محیطهای پیچیده ای سازمانها نیازمند مدیرانی هستند که این پیچیدگیهای ذاتی را در زمان تصمیم گیریهای مهمشان لحاظ و تفکیک کنند. مدیریت ریسک مؤثر که بر مبنای یک اصول مفهومی معتبر قرار دارد، بخش مهمی از این فرایند تصمیم گیری را تشکیل می دهد. در این مقاله این اصول بوسیله شناسایی عناصر اصلی ریسک و بررسی چگونگی تأثیر بالقو? این عناصر در موفقیت سازمانها و چگونگی مقابله و مدیریت ریسک ها مورد بحث قرار می گیرد

هر فرصت و ریسک ناشی از هر فعالیت استراتژیک را مورد بررسی قرار می دهد. آنها بهترین انتخاب را بر مبنای میزان تحمل ریسک درمقابل میزان تمایل برای به‌دست آوردن مزایایی از فرصتهای آن، انجام می دهند.

بنابراین، چهار عنصر اصلی ریسک یک ابزار مفید برای تجزیه و درک یک ریسک تجاری استراتژیک فراهم می‌سازد. این عناصر همچنین در زمان بررسی یک ریسک خطرناک، مثل ریسک عملیاتی، مفید واقع می شود.

ریسک عملیاتی
مدیران در تمامی سازمانها با ریسک سروکار دارند. تمرکز مدیریت در سطوح بالای سازمان در اکثر اوقات روی طبیعت سوداگرانه ریسک است. مدیریت، ریسک سرمایه گذاری داراییهای سازمانی را در مقابل بازگشت بالقو? آن سرمایه گذاری تعدیل می کند و با ملاحظات استراتژیک، ریسک را در فعالیتهای پورتفوی سازمان و سرمایه گذاریها، مدیریت می کند. باوجود این، در سطوح عملیاتی یک سازمان، کارکنان و مدیریت طبق معمول تمرکزشان روی مدیریت یک نوع از ریسک خطرناک به نام ریسک عملیاتی است. همچنان که کارکنان و مدیریت فرایندهای کاری را به‌اجرا در می‌آورند، ریسک‌های عملیاتی شروع به ظهور می‌کنند. نقصان موجود در ذات فرایندها می تواند به عدم کارایی و مشکلاتی در خلال عملیات منجر شود که این امر می تواند اثر نامطلوبی بر موفقیت سازمان بگذارد.
متأسفانه، تعریف جهان شمولی دربار? اصطلاح ریسک عملیاتی وجود ندارد. کمیته سرپرستی بانکداری بَسِل (Basel) یک چارچوب کاملاً مناسب منتشر کرده است که به‌عنوان Basel II مشهور است و شامل یک تعریف از ریسک عملیاتی به‌شمار می‌رود که به طور گسترده ای توسط انجمن مالی مورد استفاده قرار می گیرد. ریسک عملیاتی، طبق تعریف چارچوب Basel II ، ریسک زیان ناشی از عدم کفایت یا نقص فرایندهای داخلی، افراد و سیستم ها یا از وقایع خارجی تعریف می شود.
تعریف دیگری از ریسک عملیاتی نیز موجود است: ریسک عملیاتی، یعنی امکان بالقوه عدم توفیق در دسترسی به اهداف مأموریت. این تعریف شامل زیان (ناکامی در رسیدن به اهداف مأموریت) و عدم اطمینان (احتمال وقوع یا عدم وقوع ناکامی) است. به‌طور همزمان، این تعریف مناسب برای استفاده در اکثر زمینه های متفاوت است.
به‌طور خلاصه، اگرچه اشکال مختلفی از ریسک (از جمله، ریسک تجاری، عملیاتی، پروژه ای و امنیتی) وجود دارد، ولی تمامی آنها مبنای مفهومی یکسانی دارند. در عین حال، می توان تفاوتهای قابل ملاحظه ای میان ملموس انواع مختلف ریسک بر مبنای محتوای درک شده، قائل شد. برای مثال، یک ریسک سوداگرانه، مثل یک ریسک تجاری، خصلتهای منحصر به فردی دارد که آن را از یک ریسک خطرناک، از جمله ریسک عملیاتی، متمایز می‌سازد. طبیعت سوداگرانه یک ریسک تجاری هم سودآوری و هم زیان را در پی خواهد داشت، درحالی‌که ریسک عملیاتی هیچ فرصتی برای سودآوری ایجاد نمی کند. همانگونه که قبلاً گفته شده، تعریف ریسک عملیاتی به کار رفته در این متن چنین می باشد: ریسک عملیاتی، یعنی امکان بالقوه عدم توفیق در دسترسی به اهداف مأموریت. شکل 3 چگونگی تعبیر چهار عنصر ریسک را در ریسک عملیاتی نشان می دهد. عبارت موجود در شکل منعکس کننده اصطلاحات رایج و مرسوم در توصیف ریسک عملیاتی است. توجه کنید که مأموریت یک فرایند کار همان محتوایی است که ریسک عملیاتی در آن منظور گردیده است. تعریف مأموریت، نخستین مرحله حیاتی در توصیف ریسک عملیاتی است، زیرا این مرحله اساس تشخیص، شرح و تفسیر ریسک عملیاتی را تشکیل می دهد. تمامی دیگر عناصر مشخص شده در شکل 2، در ارتباط با مأموریت یک فرایند کاری بررسی شده است.
جرقه همان عمل یا اتفاقی است که وقتی با آسیب پذیریهای موجود ترکیب شود، به یک طیفی از زیانهای بالقوه منجر می شود. آسیب پذیریها یعنی عیب و نقصهایی که فرایند را در معرض زیانهایی قرار می دهد؛ ضربه ها به‌عنوان زیانهای بالقو? ناشی از یک ریسک درک شده، تعریف می شوند. در ریسک عملیاتی، تمامی زیانها از پیگیری مأموریت حادث شده اند. از آنجایی که این یک ریسک خطرناک است، ریسک عملیاتی امکان بالقوه ای برای زیاندهی فراهم می سازد و هیچ امکان بالقوه ای برای سودآوری ارائه نمی دهد.
یک نوع از شرایط اضافی که می بایست به‌عنوان عامل برای معادله ریسک عملیاتی در نظر گرفته شود؛ کنترل‌ها است. در شکل 2 رابط? میان کنترل‌ها و جرقه ها، آسیب پذیریها و ضربه ها نشان داده شده است. کنترل‌ها شرایط و وضعیتهایی هستند که محرک یک فرایند به‌سوی تحقق مأموریتش است. آنها شامل خط‌مشی‌ها، رویه ها، روال کارها، وضعیتها و ساختارهای سازمانی هستند که به‌منظور ایجاد یک تضمین معقول و منطقی برای دستیابی به مأموریتها و حذف ،کشف و اصلاح حوادث ناخواسته، طراحی گردیده اند.

کنترل‌ها می توانند به‌روشهای زیر، ریسک را کاهش دهند:
* حذف یک اتفاق آغازگر یا جرقه زا؛
* کنترل میزان وقوع یک جرقه یا آغازگر و اجرای برنامه های اقتضایی در زمان مناسب؛
* کاهش آسیب پذیریها؛
* کاهش ضربه ها یا زیانهای بالقوه.
بنابراین، یک سنجش صحیح از ریسک عملیاتی می بایست شامل اثرات کنترل‌ها علاوه بر چهار عنصر موجود باشد.
معمولا، افراد راجع به ریسک عملیاتی از اصطلاح تهدید استفاده می‌کنند. یک تهدید یعنی وضعیت یا اتفاقی که باعث ریسک می شود. یک تهدید ترکیبی از یک جرقه و یک یا چند آسیب پذیری می باشد، زیرا مجموع این دو عنصرمشخص کننده اوضاع و احوالی است که باعث خلق ضرر و زیان بالقوه‌ای می‌شود.

مدیریت ریسک
به‌طور کلی، مدیریت ریسک فرایند سنجش یا ارزیابی ریسک و سپس طرح استراتژی‌هایی برای ادار? ریسک است. در مجموع، استراتژی‌های به‌کار رفته شامل: انتقال ریسک به بخشهای دیگر، اجتناب از ریسک، کاهش اثرات منفی ریسک، و پذیرش قسمتی یا تمامی پیامدهای یک ریسک خاص هستند. مدیریت ریسک سنتی، تمرکزش روی ریسک‌های جلوگیری کننده از علل قانونی و فیزیکی بود (مثل حوادث طبیعی یا آتش سوزیها، تصادفات، مرگ و میر و دادخواهی ها). مدیریت ریسک مالی، از سوی دیگر، تمرکزش روی ریسک‌هایی بود که می تواند استفاده از ابزار مالی و تجاری را اداره کند. مدیریت ریسک ناملموس، تمرکزش روی ریسک‌های مربوط به سرمایه انسانی، مثل ریسک دانش، ریسک روابط و ریسک فرایندهای عملیاتی است. بدون توجه به نوع مدیریت ریسک، تمامی شرکتهای بزرگ دارای تیم‌های مدیریت ریسک هستند و شرکتها و گروه‌های کوچک به‌صورت غیر رسمی، در صورت عدم وجود نوع رسمی آن، مدیریت ریسک را مورد استفاده قرار می دهند.
در مدیریت ریسک مطلوب، یک فرایند اولویت بندی منظور گردیده که بدان طریق ریسک‌هایی با بیشترین زیاندهی و بالاترین احتمال وقوع در ابتدا و ریسک هایی با احتمال وقوع کمتر و زیاندهی پایین تر در ادامه مورد رسیدگی قرار می‌گیرند. در عمل، این فرایند ممکن است خیلی مشکل باشد و همچنین در اغلب اوقات ایجاد توازن میان ریسک‌هایی که احتمال وقوع شان بالا و زیاندهی شان پایین و ریسک‌هایی که احتمال وقوع شان پایین و زیاندهی شان بالاست، ممکن است به‌طور مناسبی مورد رسیدگی قرار نگیرند. درنتیجه می توان ریسک‌های موجود در سازمان را از این دو بعُد نیزطبقه بندی کرد که در شکل 3 نشان داده شده است.

ریسک استراتژیک ریسکی است که سازمان برای تحقق اهداف تجاری خود می‌پذیرد.

در دنیای کسب وکار پرتحول امروز، مدیریت ریسک از اهمیت روزافزونی برخوردار شده است.

مدیریت ریسک ناملموس، یک نوع جدید از ریسک را معرفی می کند، ریسکی که احتمال وقوع اش 100 درصد است، ولی در سازمانها به‌خاطر فقدان توانایی تشخیص، نادیده گرفته می شود. برای مثال ریسک دانش، زمانی رخ می دهد که دانش دارای ضعف و نقص به‌کار برده شود. ریسک روابط، زمانی رخ می دهد که همکاری بی‌اثر و نتیجه ای اتفاق افتد. ریسک فرایند عملیاتی، زمانی رخ می دهد که عملیات بی‌ثمری اتفاق افتد. این ریسک ها به‌صورت مستقیم بهره وری دانش کارکنان را کاهش داده، و باعث نزول مقرون به صرفه بودن از نظر اقتصادی، سودآوری، خدمات، کیفیت، شهرت، ارزش مارک و کیفیت درآمدها می‌شود. در واقع مدیریت ریسک ناملموس باعث می‌شود در مدیریت ریسک به‌واسطه شناسایی و کاهش ریسک‌هایی که عامل نزول بهره وری می باشند، ارزشهای آنی و مستقیمی خلق شود.
در نتیجه می توان مدیریت ریسک را یک وظیفه ای شامل فرایندها، روشها، و ابزاری برای ادار? ریسک در فعالیتهای سازمانی است. که یک محیط منضبط برای تصمیم گیریهای پیشتازانه و غیر منفعل در موارد زیر فراهم می آورد:
* ارزیابی پیوسته در مورد آنچه که ایجاد اشکال می کند (ریسک)
* شناسایی ریسک‌های مهم در راستای برخورد با آنها
* اجرای استراتژی‌های مناسب به‌منظور اداره نمودن آن ریسک‌ها

پارادایم مدیریت ریسک
پارادایم یا الگوی مدیریت ریسک مجموعه ای از وظایف که به‌صورت یک سری فعالیتهای پیوسته در سرتاسر چرخه عمر یک مأموریت می باشند و عبارتنداز:
* شناسایی ریسک ها؛* تحلیل؛ * برنامه ریزی؛ * پیگیری؛ * کنترل.
وظایف پیوسته در مدیریت ریسک: وظایف پیوسته مدیریت ریسک در قسمت پایین معرفی گردیده اند. هر ریسکی به‌طور طبیعی این وظایف را به‌طور متوالی طی می‌کند، ولی فعالیتها به‌صورت پیوسته، همزمان (مثلاً ریسک‌هایی پیگیری می شوند در حالی‌که به موازاتش ریسک‌های جدیدی شناسایی و تحلیل می شوند)، و تکراری (مثلاً برنامه کاهنده ای برای یک ریسک ممکن است برای ریسک دیگری مفید باشد) در سرتا سر چرخه حیات یک مأموریت اتفاق می افتند.
* شناسایی: جستجو و مکان یابی ریسک‌ها، قبل از مشکل ساز شدن آنها.
* تحلیل: تبدیل داده های ریسک به اطلاعات تصمیم گیری. ارزیابی میزان اثر، احتمال وقوع ومحدوده زمانی ریسک‌ها و طبقه بندی و اولویت بندی ریسک‌ها.
* برنامه ریزی: ترجمه اطلاعات ریسک به تصمیم ها و فعالیتها (هم حال و هم آینده) و به‌کارگیری آن فعالیتها.
* پیگیری: بررسی شاخصهای ریسک و فعالیتهای کاهنده.
* کنترل: اصلاح انحرافات نسبت به برنامه های کاهنده ریسک.
* ارتباطات: اطلاعات و بازخورهای بیرونی و درونی از فعالیتهای ریسک، ریسک‌های موجود و ریسک‌های پدید آمده فراهم می‌سازد.

استراتژی‌های مدیریت ریسک
وقتی که ریسک‌ها شناسایی و ارزیابی شدند، تمامی تکنیک‌های ادار? ریسک در یک یا چند طبقه از چهار طبقه اصلی قرار می گیرند:
* انتقال
* اجتناب
* کاهش (یا تسکین)
* پذیرش (یا نگهداری)
استفاده مطلوب از این استراتژی‌ها شاید امکان پذیر نباشد. بعضی از آنها ممکن است مستلزم بده بستانهایی باشد که برای فرد یا سازمانی که در زمینه مدیریت ریسک تصمیم گیری می کند، قابل قبول نباشد.
اجتناب از ریسک: استراتژی اجتناب، یعنی انجام ندادن فعالیتی که باعث ریسک می‌شود. به‌عنوان مثال ممکن است که یک دارایی خریداری نگردد یا ورود به یک کسب و کار مورد چشم پوشی قرار گیرد، تا از مشکلات و دردسرهای آنها اجتناب شود. مثال دیگر در این زمینه، پرواز نکردن هواپیماست، تا از ریسک سرقت آن اجتناب شود. استراتژی اجتناب به‌نظر می رسد راه حلی برای تمامی ریسکهاست، ولی اجتناب از ریسک همچنین به معنی زیاندهی در مورد سودآوریهای بالقوه ای است که امکان دارد به‌واسطه پذیرش آن ریسک حاصل شود. داخل نشدن به یک بازار به منظور اجتناب از ریسک، همچنین احتمال کسب سودآوری را ضایع می کند.
کاهش ریسک: استراتژی کاهش، یعنی به‌کارگیری شیوه هایی که باعث کاهش شدت زیان می شود. به‌عنوان مثال می توان به کپسول های آتش نشانی که برای فرونشاندن آتش طراحی گردیده اند، اشاره کرد که ریسک زیان ناشی از آتش را کاهش می دهد. این شیوه ممکن است باعث زیانهای بیشتری بواسطه خسارات ناشی از آب شود و در نتیجه امکان دارد که مناسب نباشد. سیستم هالوژنی جلوگیری کننده از آتش ممکن است آن ریسک را کاهش دهد، ولی هزینه آن امکان دارد، به‌عنوان یک عامل بازدارنده از انتخاب آن استراتژی جلوگیری کند.
پذیرش ریسک: استراتژی پذیرش، یعنی قبول زیان وقتی که آن رخ می دهد. در واقع خود-تضمینی یا تضمین شخصی در این طبقه جای می گیرد. پذیرش ریسک یک استراتژی قابل قبول برای ریسک‌های کوچک است که هزینه حفاظت در مقابل ریسک ممکن است از نظر زمانی بیشتر از کلیه زیانهای حاصله باشد. کلیه ریسک‌هایی که قابل اجتناب و انتقال نیستند، ضرورتاً قابل پذیرش هستند. اینها شامل ریسک‌هایی می شود که خیلی بزرگ هستند که یا محافظت در مقابل آن امکان پذیر نیست یا پرداخت هزینه بیمه آن شاید عملی نباشد. در این زمینه، جنگ به‌خاطر ویژگیهایش و عدم وجود تضمین نسبت به ریسک‌هایش، مثالی مناسبی است. همچنین هر مقداری از زیاندهی بالقوه علاوه بر مقدار تضمین شده، ریسک پذیرفته شده محسوب می شود. همچنین ممکن است این حالت قابل قبول باشد در صورتی که امکان تحقق زیانهای سنگین، کم باشد یا هزینه بیمه کردن برای مقدار پوشش بیشتر، خیلی زیاد باشد به‌طوری که مانع بزرگی برای اهداف سازمانی ایجاد کند.

انتقال ریسک: استراتژی انتقال، یعنی موجب شدن اینکه بخش دیگری ریسک را قبول کند، معمولاً بوسیله بستن قرارداد یا انجام اقدامات احتیاطی. بیمه کردن، یک نوع از استراتژی های انتقال ریسک با استفاده از بستن قرار داد است. در موارد دیگر این امر بواسطه قراردادهای کلامی انجام می گیرد که ریسک را به بخشهای دیگر بدون پرداختی بابت حق بیمه، انتقال می دهد. معمولاً بار مسئولیت در میان سازندگان ساختمان یا دیگر سازندگان بدین صورت انتقال می یابد. از سوی دیگر، استفاده از وضعیتهای تعدیل کننده در سرمایه‌گذاریهای مالی، یک نمونه از چگونگی انجام اقدامات احتیاطی توسط شرکتها، به منظور ادار? ریسک از نظر مالی است.
بعضی از روشهای اداره نمودن ریسک، در تمامی طبقات جای می گیرند. پذیرش جمعی ریسک از لحاظ فنی یعنی تحمل ریسک توسط گروه، ولی توزیع آن در کل گروه، یعنی انتقال ریسک در میان افراد عضو در گروه. که این وضعیت متفاوت از بیمه سنتی است، که در آن هیچ حق بیمه ای پیشاپیش میان اعضای گروه مبادله نمی‌شود، ولی در عوض زیان حاصله به حساب تمام اعضای گروه گذاشته می شود.

جمع بندی
از آنجا که دنیای کسب و کارو صنعت با تحولات و دگرگونیهای متعددی همچون جهانی شدن، برون سپاری و ایجاد ائتلافهای استراتژیک مواجه است، مدیریت ریسک در فعالیتهای سازمانها اعم از تجاری و غیر انتفاعی اهمیت روزافزونی یافته است. در این مقاله دیدگاهی روشن و مشخص نسبت به انواع مختلف ریسک در سطوح سازمانی و استراتژی های مدیریت آن را بحث کرده است. در بخش ابتدایی یک طبقه بندی از ریسک با توجه به نوع انتظار و پیامد آن (سودآوری یا حفظ وضع موجود) صورت پذیرفت: ریسک سوداگرانه و ریسک خطرناک، سپس انواع ریسک ها از جمله ریسک استراتژیک، ریسک مالی، ریسک عملیاتی و ریسک تجاری بررسی شد. صرفنظر از نوع آن، عناصر اصلی تمامی ریسک ها یکسان است ، که شامل: محتوا، فعالیت، شرایط و پیامدها است. البته شاید این عناوین بسته به نوع ریسک، تغییراتی در ظاهر داشته باشند، ولی مفاهیم بنیادی آنها یکسان است. در انتهای این مقاله ضمن تعریفی مختصر از مدیریت ریسک و بعضی از موارد رایج و شایع آن در شرایط کسب و کار امروز، انواع استراتژی های متداول در مدیریت ریسک توضیح داده شده است، که شامل: استراتژی انتقال، استراتژی اجتناب، استراتژیک کاهش (یا تسکین) و استراتژی پذیرش (یا نگهداری) است.

منابع

*.Dorfman, Mark S. (1997). Introduction to Risk Management and Insurance (6th ed.), Prentice Hall
* .Stulz, René M. (2003). Risk Management & Derivatives (1st ed.), Mason, Ohio: Thomson South-Western
* .Alijoyo, Antonius (2004). Focused Enterprise Risk Management (1st ed.), PT Ray Indonesia, Jakarta
*. Alberts, Christopher & Dorofee, Audrey. Managing Information Security Risks: The OCTAVESM Approach Boston, MA:Addison-Wesley, 2002
* . Kloman, H. F.
“Risk Management Agonists.” Risk Analysis (June 1990