ما هي إدارة المخاطر ولماذا هي مهمة؟
إدارة المخاطر هي عملية تحديد وتقييم والسيطرة على التهديدات لرأس مال المنظمة وأرباحها. تنبع هذه المخاطر من مجموعة متنوعة من المصادر ، بما في ذلك حالات عدم اليقين المالية والمسؤوليات القانونية وقضايا التكنولوجيا وأخطاء الإدارة الاستراتيجية والحوادث والكوارث الطبيع...
إدارة المخاطر هي عملية تحديد وتقييم والسيطرة على التهديدات لرأس مال المنظمة وأرباحها. تنبع هذه المخاطر من مجموعة متنوعة من المصادر ، بما في ذلك حالات عدم اليقين المالية والمسؤوليات القانونية وقضايا التكنولوجيا وأخطاء الإدارة الاستراتيجية والحوادث والكوارث الطبيعية.
يساعد برنامج إدارة المخاطر الناجح المؤسسة على النظر في النطاق الكامل للمخاطر التي تواجهها. تدرس إدارة المخاطر أيضًا العلاقة بين المخاطر والأثر المتعاقب الذي يمكن أن تحدثه على الأهداف الإستراتيجية للمؤسسة.
يوصف هذا النهج الشامل لإدارة المخاطر أحيانًا بأنه إدارة مخاطر المؤسسة نظرًا لتأكيده على توقع وفهم المخاطر عبر المؤسسة. بالإضافة إلى التركيز على التهديدات الداخلية والخارجية ، تؤكد إدارة مخاطر المؤسسة (ERM) على أهمية إدارة المخاطر الإيجابية. المخاطر الإيجابية هي الفرص التي يمكن أن تزيد من قيمة الأعمال أو ، على العكس من ذلك ، تضر بالمؤسسة إذا لم يتم استغلالها. في الواقع ، لا يتمثل الهدف من أي برنامج لإدارة المخاطر في القضاء على جميع المخاطر ولكن الحفاظ على قيمة المؤسسة وإضافتها من خلال اتخاذ قرارات ذكية بشأن المخاطر.
وقالت فورستر: "نحن لا ندير المخاطر ، لذا لا نتحمل أي مخاطر. نحن ندير المخاطر ، لذا فنحن نعرف المخاطر التي تستحق المخاطرة ، وأي منها سيقودنا إلى هدفنا ، وأي منها لديه ما يكفي من تعويضات حتى لأخذها". كبير محللي الأبحاث علاء فالينتي ، متخصص في الحوكمة والمخاطر والامتثال.
وبالتالي ، يجب أن يتشابك برنامج إدارة المخاطر مع الاستراتيجية التنظيمية. لربطها ، يجب على قادة إدارة المخاطر أولاً تحديد مدى قابلية المؤسسة للمخاطر - أي مقدار المخاطر التي ترغب في قبولها لتحقيق أهدافها.
وأوضح مايك تشابل ، أستاذ تكنولوجيا المعلومات والتحليلات والعمليات بجامعة نوتردام ، في مقالته عن قابلية المخاطرة مقابل تحمل المخاطر. سيتم قبول بعض المخاطر دون الحاجة إلى اتخاذ مزيد من الإجراءات. سيتم التخفيف من حدة الآخرين أو مشاركتهم أو نقلهم إلى طرف آخر أو تجنبهم تمامًا.
تواجه كل مؤسسة مخاطر الأحداث الضارة غير المتوقعة التي يمكن أن تكلفها أموالًا أو تتسبب في إغلاقها. يمكن أن تؤدي المخاطر التي لم يتم تناولها أيضًا إلى حدوث مشكلة ، حيث ستشهد الشركات التي تعطلت بسبب القوى الرقمية الناشئة ، مثل Amazon و Netflix. يقدم هذا الدليل لإدارة المخاطر نظرة عامة شاملة على المفاهيم والمتطلبات والأدوات والاتجاهات والمناقشات الرئيسية التي تقود هذا المجال الديناميكي. طوال الوقت ، تتصل الارتباطات التشعبية بمقالات TechTarget الأخرى التي تقدم معلومات متعمقة حول الموضوعات التي يتم تناولها هنا ، لذلك يجب أن يتأكد القراء من النقر فوقها لمعرفة المزيد.
لماذا تعتبر إدارة المخاطر مهمة؟
ربما لم تكن إدارة المخاطر أكثر أهمية مما هي عليه الآن. أصبحت المخاطر التي تواجهها المنظمات الحديثة أكثر تعقيدًا ، مدفوعة بخطى العولمة السريعة. تظهر مخاطر جديدة باستمرار ، وغالبًا ما تكون مرتبطة بالاستخدام السائد الآن للتكنولوجيا الرقمية وتولدها. وصف خبراء المخاطر تغير المناخ بأنه "عامل مضاعف للتهديد".
خطر خارجي حديث ظهر على أنه مشكلة في سلسلة التوريد في العديد من الشركات - وباء فيروس كورونا - سرعان ما تطور إلى تهديد وجودي ، مما يؤثر على صحة وسلامة موظفيها ، ووسائل ممارسة الأعمال التجارية ، والقدرة على التفاعل مع العملاء وسمعة الشركة.
قامت الشركات بإجراء تعديلات سريعة على التهديدات التي يشكلها الوباء. لكن ، من الآن فصاعدًا ، فهم يتصارعون مع مخاطر جديدة ، بما في ذلك كيفية إعادة الموظفين إلى المكتب أو ما إذا كانوا سيعودون إليه ، وما يجب فعله لجعل سلاسل التوريد الخاصة بهم أقل عرضة للخطر ، وخطر الركود والحرب في أوكرانيا.
مع استمرار العالم في التعامل مع هذه الأزمات ، تقوم الشركات ومجالس إدارتها بإلقاء نظرة جديدة على برامج إدارة المخاطر الخاصة بهم. إنهم يعيدون تقييم تعرضهم للمخاطر ويفحصون عمليات المخاطر. إنهم يعيدون النظر في من يجب أن يشارك في إدارة المخاطر. الشركات التي تتخذ حاليًا نهجًا تفاعليًا لإدارة المخاطر - للحماية من المخاطر السابقة وتغيير الممارسات بعد أن يتسبب خطر جديد في حدوث ضرر - تدرس المزايا التنافسية لنهج أكثر استباقية. هناك اهتمام متزايد بدعم الاستدامة والمرونة وسرعة حركة المؤسسة. تستكشف الشركات أيضًا كيف يمكن لتقنيات الذكاء الاصطناعي ومنصات الحوكمة المتطورة والمخاطر والامتثال (GRC) أن تحسن إدارة المخاطر.
المؤسسات المالية مقابل المؤسسات غير المالية. في المناقشات حول إدارة المخاطر ، لاحظ العديد من الخبراء أنه في الشركات التي تخضع للتنظيم الشديد والتي تعتبر أعمالها من المخاطر ، فإن إدارة المخاطر هي وظيفة رسمية.
البنوك وشركات التأمين ، على سبيل المثال ، لديها منذ فترة طويلة إدارات مخاطر كبيرة يرأسها عادةً رئيس إدارة المخاطر (CRO) ، وهو اللقب الذي لا يزال غير شائع نسبيًا خارج الصناعة المالية. علاوة على ذلك ، فإن المخاطر التي تواجهها شركات الخدمات المالية تميل إلى أن تكون متجذرة في الأرقام وبالتالي يمكن قياسها وتحليلها بشكل فعال باستخدام التكنولوجيا المعروفة والأساليب الناضجة. يمكن تصميم سيناريوهات المخاطر في شركات التمويل ببعض الدقة.
بالنسبة للصناعات الأخرى ، تميل المخاطر إلى أن تكون أكثر جودة وبالتالي يصعب إدارتها ، مما يزيد من الحاجة إلى اتباع نهج مدروس وشامل ومتسق لإدارة المخاطر ، كما قال مات شينكمان ، المحلل في شركة جارتنر ، الذي يقود إدارة مخاطر المؤسسة وممارسات التدقيق. "تهدف برامج إدارة مخاطر المؤسسة إلى مساعدة هذه الشركات على أن تكون ذكية بقدر ما يمكن أن تكون في إدارة المخاطر."
إدارة المخاطر التقليدية مقابل إدارة مخاطر المؤسسة
تميل إدارة المخاطر التقليدية إلى الحصول على سمعة سيئة هذه الأيام مقارنة بإدارة مخاطر المؤسسة. كلا النهجين يهدفان إلى التخفيف من المخاطر التي يمكن أن تضر المنظمات. يشتري كلاهما تأمينًا للحماية من مجموعة من المخاطر - من الخسائر الناجمة عن الحريق والسرقة إلى المسؤولية الإلكترونية. كلاهما يلتزم بالإرشادات المقدمة من هيئات المعايير الرئيسية. لكن الخبراء يجادلون بأن إدارة المخاطر التقليدية تفتقر إلى العقلية والآليات المطلوبة لفهم المخاطر كجزء لا يتجزأ من استراتيجية المؤسسة وأدائها.
بالنسبة للعديد من الشركات ، "المخاطرة كلمة قذرة مكونة من أربعة أحرف - وهذا أمر مؤسف" ، قال فالينتي من فوريستر. "في إدارة المخاطر المؤسسية ، يُنظر إلى المخاطر على أنها عامل تمكين استراتيجي مقابل تكلفة ممارسة الأعمال التجارية."
يعتبر "Siled" مقابل الشمولية أحد الفروق الكبيرة بين المقاربتين ، وفقًا لشينكمان من Gartner. في برامج إدارة المخاطر التقليدية ، على سبيل المثال ، كانت المخاطر عادة مهمة قادة الأعمال المسؤولين عن الوحدات التي تكمن فيها المخاطر. على سبيل المثال ، رئيس قسم المعلومات أو كبير التكنولوجيا المسؤول عن مخاطر تكنولوجيا المعلومات ، والمدير المالي مسؤول عن المخاطر المالية ، ومدير العمليات للمخاطر التشغيلية ، وما إلى ذلك. قد يكون لدى وحدات الأعمال أنظمة متطورة لإدارة أنواع المخاطر المختلفة ، أوضح شينكمان ، ولكن لا يزال من الممكن أن تواجه الشركة مشاكل من خلال الفشل في رؤية العلاقات بين المخاطر أو تأثيرها التراكمي على العمليات. تميل إدارة المخاطر التقليدية أيضًا إلى أن تكون تفاعلية وليست استباقية.
قال شينكمان: "الوباء هو مثال رائع لقضية خطر يسهل تجاهلها إذا لم تتخذ نظرة إستراتيجية شاملة طويلة المدى لأنواع المخاطر التي يمكن أن تؤذيك كشركة". "ستنظر الكثير من الشركات إلى الوراء وتقول ، 'كما تعلمون ، كان يجب أن نكون على علم بهذا ، أو على الأقل نفكر في الآثار المالية لشيء كهذا قبل حدوثه."
في إدارة مخاطر المؤسسة ، تعد إدارة المخاطر جهدًا تعاونيًا متعدد الوظائف وصورة كبيرة. يعمل فريق إدارة المخاطر المؤسسية ، الذي قد يصل إلى خمسة أشخاص ، مع قادة وحدة الأعمال والموظفين لاستخلاص المعلومات منهم ، ومساعدتهم على استخدام الأدوات المناسبة للتفكير في المخاطر ، وجمع تلك المعلومات وتقديمها إلى القيادة التنفيذية للمؤسسة ومجلس الإدارة . قال شينكمان إن امتلاك المصداقية مع المديرين التنفيذيين عبر المؤسسة أمر لا بد منه لقادة المخاطر من هذا القبيل.
وقال إن هؤلاء الخبراء يأتون بشكل متزايد من خلفية استشارية أو لديهم "عقلية استشارية" ، ولديهم فهم عميق لآليات العمل. على عكس إدارة المخاطر التقليدية ، حيث يقوم رئيس إدارة المخاطر عادةً بتقديم تقارير إلى المدير المالي ، فإن رؤساء فرق إدارة مخاطر المؤسسة - سواء كانوا يحملون لقب مسؤول المخاطر الرئيسي أو أي مسمى آخر - يقدمون تقاريرهم إلى الرؤساء التنفيذيين ، وهو إقرار بأن المخاطر هي جزء لا يتجزأ من استراتيجية العمل.
عند تحديد دور مسؤول المخاطر الرئيسي ، تميز Forrester Research بين "منظمات CRO للمعاملات" الموجودة عادةً في برامج إدارة المخاطر التقليدية و "منظمات CRO التحولية" التي تتبع نهج إدارة المخاطر المؤسسية. كان السابق يعمل في الشركات التي ترى المخاطر على أنها مركز تكلفة وإدارة المخاطر باعتبارها بوليصة تأمين ، وفقًا لشركة Forrester. قال فالينتي إن منظمات CRO التحويلية ، في قاموس Forrester ، "مهووسة بالزبائن". يركزون على سمعة العلامة التجارية لشركاتهم ، ويفهمون الطبيعة الأفقية للمخاطر ويعرفون إدارة المخاطر المؤسسية على أنها "المقدار المناسب من المخاطر اللازمة للنمو".
النفور من المخاطر هو سمة أخرى لمنظمات إدارة المخاطر التقليدية. ولكن كما أشار فالنتي ، فإن الشركات التي تعرّف نفسها على أنها تتجنب المخاطرة ذات شهية منخفضة للمخاطرة تكون أحيانًا بعيدة عن الواقع في تقييمها للمخاطر.
قال فالينتي: "تعتقد الكثير من المؤسسات أن لديها شهية منخفضة للمخاطرة ، لكن هل لديها خطط للنمو؟ هل تطلق منتجات جديدة؟ هل الابتكار مهم؟ كل هذه استراتيجيات للنمو ولا تخلو من المخاطر".
للتعرف على الطرق الأخرى التي يتباعد بها النهجان ، راجع كتاب ليزا مورغان "إدارة المخاطر التقليدية مقابل إدارة مخاطر المؤسسة: كيف يختلفان؟" بالإضافة إلى ذلك ، توفر مقالتها حول فرق إدارة المخاطر ملخصًا تفصيليًا للأدوار والمسؤوليات.
عملية إدارة المخاطر
لقد نشر نظام إدارة المخاطر العديد من مجموعات المعرفة التي توثق ما يجب على المنظمات القيام به لإدارة المخاطر. أحد المصادر الأكثر شهرة هو معيار ISO 31000 ، إدارة المخاطر - المبادئ التوجيهية ، التي وضعتها المنظمة الدولية للتوحيد القياسي ، وهي هيئة معايير تُعرف باسم ISO.
تشتمل عملية إدارة المخاطر المكونة من خمس خطوات في ISO على ما يلي ويمكن استخدامها من قبل أي نوع من الكيانات:
تحديد المخاطر.
تحليل احتمالية وتأثير كل واحد.
تحديد أولويات المخاطر على أساس أهداف العمل.
علاج (أو الاستجابة) لظروف الخطر.
راقب النتائج واضبطها حسب الضرورة.
الخطوات واضحة ومباشرة ، ولكن يجب على لجان إدارة المخاطر ألا تقلل من شأن العمل المطلوب لإكمال العملية. بالنسبة للمبتدئين ، يتطلب الأمر فهمًا قويًا لما يجعل المنظمة علامة. الهدف النهائي هو تطوير مجموعة العمليات لتحديد المخاطر التي تواجهها المنظمة ، واحتمالية وتأثير هذه المخاطر المختلفة ، وكيفية ارتباط كل منها بالحد الأقصى من المخاطر التي ترغب المنظمة في قبولها ، وما هي الإجراءات التي يجب اتخاذها للحفاظ عليها و تعزيز القيمة التنظيمية.
قال خبير المخاطر جريج ويت ، كبير مهندسي الأمن في هنتنغتون إينغلس إندستريز ومهندس أطر المعهد الوطني للمعايير والتكنولوجيا (NIST) بشأن الأمن السيبراني: "للنظر في الخطأ الذي يمكن أن يحدث ، يحتاج المرء أن يبدأ بما يجب أن يكون صحيحًا". ، ومخاطر الخصوصية والقوى العاملة ، من بين أمور أخرى.
قال ويت إنه عند تحديد المخاطر ، من المهم أن نفهم أن شيئًا ما ، بحكم تعريفه ، هو مجرد مخاطرة إذا كان له تأثير. على سبيل المثال ، يجب أن تكون العوامل الأربعة التالية موجودة لسيناريو المخاطر السلبية ، وفقًا للإرشادات الواردة من تقرير NIST المشترك بين الوكالات (NISTIR 8286A) بشأن تحديد مخاطر الأمن السيبراني في إدارة المخاطر المؤسسية:
أحد الأصول القيمة أو الموارد التي يمكن أن تتأثر ؛
مصدر تهديد من شأنه العمل ضد تلك الأصول ؛
حالة أو ثغرة موجودة مسبقًا تمكن مصدر التهديد هذا من التصرف ؛ و
بعض التأثيرات الضارة التي تحدث من مصدر التهديد الذي يستغل تلك الثغرة الأمنية.
في حين أن معايير NIST تتعلق بالمخاطر السلبية ، يمكن تطبيق عمليات مماثلة لإدارة المخاطر الإيجابية.
أعلى إلى أسفل أسفل إلى أعلى. عند تحديد سيناريوهات المخاطر التي يمكن أن تعرقل أو تعزز أهداف المنظمة ، تجد العديد من لجان المخاطر أنه من المفيد اتباع نهج من أعلى إلى أسفل ومن أسفل إلى أعلى ، على حد قول ويت. في التمرين من أعلى إلى أسفل ، تحدد القيادة العمليات الحاسمة لمهمة المنظمة وتعمل مع أصحاب المصلحة الداخليين والخارجيين لتحديد الظروف التي يمكن أن تعيقهم. يبدأ المنظور التصاعدي بمصادر التهديد - الزلازل ، والركود الاقتصادي ، والهجمات الإلكترونية ، وما إلى ذلك - ويأخذ في الاعتبار تأثيرها المحتمل على الأصول الحيوية.
المخاطر حسب الفئات. يمكن أن يكون تنظيم المخاطر حسب الفئات مفيدًا أيضًا في التعامل مع المخاطر. يستخدم التوجيه الذي استشهد به ويت من لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO) الفئات الأربع التالية:
المخاطر الاستراتيجية (مثل السمعة وعلاقات العملاء والابتكارات التقنية) ؛
المخاطر المالية والتقارير (مثل السوق والضرائب والائتمان) ؛
مخاطر الامتثال والحوكمة (على سبيل المثال ، الأخلاق ، التنظيم ، التجارة الدولية ، الخصوصية) ؛ و
المخاطر التشغيلية (على سبيل المثال ، أمن وخصوصية تكنولوجيا المعلومات ، وسلسلة التوريد ، وقضايا العمل ، والكوارث الطبيعية).
هناك طريقة أخرى للشركات لتصنيف المخاطر ، وفقًا لخبير الامتثال بول كيرفان ، وهي تجميعها ضمن أنواع المخاطر الأساسية الأربعة التالية للشركات: مخاطر الأفراد ، ومخاطر المرافق ، ومخاطر العمليات ، ومخاطر التكنولوجيا.
المهمة الأخيرة في خطوة تحديد المخاطر هي أن تقوم المؤسسات بتسجيل نتائجها في سجل المخاطر. يساعد في تتبع المخاطر من خلال الخطوات الأربع اللاحقة لعملية إدارة المخاطر. يمكن العثور على مثال على سجل المخاطر هذا في تقرير NISTIR 8286A المذكور أعلاه.
يقدم ويت تحليلًا معمقًا للعملية برمتها في مقالته ، "عملية إدارة المخاطر: ما هي الخطوات الخمس؟"
معايير وأطر إدارة المخاطر
مع توسع قواعد الامتثال الحكومية والصناعية على مدار العقدين الماضيين ، زاد أيضًا التدقيق التنظيمي وعلى مستوى مجلس الإدارة لممارسات إدارة مخاطر الشركات ، مما يجعل تحليل المخاطر والتدقيق الداخلي وتقييمات المخاطر والميزات الأخرى لإدارة المخاطر مكونًا رئيسيًا في استراتيجية الأعمال . كيف يمكن للمؤسسة أن تجمع كل هذا معًا؟
سوف تساعد الأطر المتطورة - والمتطورة - التي طورها مجال إدارة المخاطر.
فيما يلي عينة ، تبدأ بوصف موجز لاثنين من الأطر المعترف بها على نطاق واسع. لمزيد من التفاصيل حولها ، يجب على القراء استشارة تحليل خبير الأمن مايكل كوب لـ ISO 31000 مقابل COSO ، والذي يتعمق في أوجه التشابه والاختلاف بينهما وكيفية الاختيار بين الاثنين:
إطار عمل COSO ERM. تم إطلاق إطار COSO في عام 2004 ، وتم تحديثه في عام 2017 لمعالجة التعقيد المتزايد لإدارة المخاطر المؤسسية. وهي تحدد المفاهيم والمبادئ الأساسية لإدارة المخاطر المؤسسية ، وتقترح لغة مشتركة لإدارة المخاطر المؤسسية ، وتوفر توجيهًا واضحًا لإدارة المخاطر. تم تطوير إطار العمل بمدخلات من المنظمات الخمس الأعضاء في COSO والمستشارين الخارجيين ، وهو عبارة عن مجموعة من 20 مبدأ منظمًا في خمسة مكونات مترابطة:
الحكم والثقافة
الاستراتيجية وتحديد الأهداف
أداء
المراجعة والمراجعة
المعلومات والاتصالات وإعداد التقارير
كما أشار كوب في مقالته للمقارنة ، فإن النسخة المحدثة من COSO تسلط الضوء على أهمية تضمين المخاطر في استراتيجيات الأعمال وربط المخاطر والأداء التشغيلي.
ISO 31000. صدر في عام 2009 ونُقح في عام 2018 ، يتضمن معيار ISO قائمة بمبادئ إدارة المخاطر المؤسسية ، وإطار عمل لمساعدة المؤسسات على تطبيق آليات إدارة المخاطر على العمليات ، وعملية لتحديد وتقييم وتحديد أولويات وتخفيف المخاطر. نسخة ISO الأحدث هي "وثيقة أقصر وأوضح وأكثر إيجازًا يسهل قراءتها" من سابقتها ، وفقًا لكوب. تم تطويره بواسطة اللجنة الفنية لإدارة المخاطر في ISO مع مدخلات من الهيئات الوطنية الأعضاء في ISO ، ويتضمن معيار 2018 المزيد من التوجيه الاستراتيجي حول إدارة المخاطر المؤسسية أكثر من المعيار الأصلي. يؤكد المعيار الجديد أيضًا على الدور المهم للإدارة العليا في إدارة المخاطر وتكامل إدارة المخاطر في جميع أنحاء المنظمة.
المعيار البريطاني (BS) 31100. تم إصدار الإصدار الحالي من مدونة ممارسة إدارة المخاطر هذه في عام 2011 ، وهي توفر عملية لتنفيذ المفاهيم الموضحة في ISO 31000 - بما في ذلك وظائف مثل التحديد والتقييم والاستجابة والإبلاغ والمراجعة.
نموذج نضج المخاطر لجمعية إدارة المخاطر والتأمين (RMM). تم تحديث إطار عمل RMM في أبريل 2022. يساعد إطار عمل RMM المعدل المتخصصين في إدارة المخاطر على تقييم برامجهم في خمس فئات: مواءمة الإستراتيجية؛ الثقافة والمساءلة ؛ قدرات إدارة المخاطر ؛ إدارة المخاطر؛ والتحليلات
قد تنظر الشركات أيضًا في إنشاء أطر لفئات محددة من المخاطر. على سبيل المثال ، يدرس إطار إدارة مخاطر المؤسسات في جامعة كارنيجي ميلون المخاطر والفرص المحتملة بناءً على فئات المخاطر التالية: السمعة ، والسلامة الصحية والحياة ، والمالية ، والرسالة ، والتشغيلية ، والامتثال / القانوني.
ما هي فوائد وتحديات إدارة المخاطر؟
إن الإدارة الفعالة للمخاطر التي يمكن أن يكون لها تأثير سلبي أو إيجابي على رأس المال والأرباح تجلب العديد من الفوائد. كما أنه يمثل تحديات ، حتى بالنسبة للشركات ذات الاستراتيجيات الناضجة في مركز الخليج للأبحاث.
تشمل فوائد إدارة المخاطر ما يلي:
زيادة الوعي بالمخاطر عبر المنظمة ؛
مزيد من الثقة في الأهداف والغايات التنظيمية لأن المخاطر تدخل في الإستراتيجية ؛
امتثال أفضل وأكثر كفاءة لتفويضات الامتثال التنظيمية والداخلية لأن الامتثال منسق ؛
تحسين الكفاءة التشغيلية من خلال تطبيق أكثر اتساقًا لعمليات المخاطر والرقابة ؛
تحسين السلامة والأمن في مكان العمل للموظفين والعملاء ؛ و
عامل تفاضل تنافسي في السوق.
فيما يلي بعض التحديات التي يجب أن تتوقع فرق إدارة المخاطر مواجهتها:
ترتفع النفقات في البداية ، حيث يمكن أن تتطلب برامج إدارة المخاطر برامج وخدمات باهظة الثمن.
يتطلب التركيز المتزايد على الحوكمة أيضًا من وحدات الأعمال استثمار الوقت والمال للامتثال.
قد يكون التوصل إلى توافق في الآراء بشأن شدة المخاطر وكيفية معالجتها عملية صعبة ومثيرة للجدل وقد تؤدي أحيانًا إلى شلل تحليل المخاطر.
من الصعب إثبات قيمة إدارة المخاطر للمديرين التنفيذيين دون القدرة على منحهم أرقامًا ثابتة.
كيفية بناء وتنفيذ خطة إدارة المخاطر
تصف خطة إدارة المخاطر كيف ستدير المؤسسة المخاطر. ويحدد عناصر مثل نهج المخاطر في المؤسسة ، وأدوار ومسؤوليات فرق إدارة المخاطر ، والموارد التي ستستخدمها لإدارة المخاطر والسياسات والإجراءات.
وفقًا لـ Witte ، تعد عملية ISO 31000 المكونة من سبع خطوات دليلًا مفيدًا يجب اتباعه. فيما يلي ملخص لمكوناته:
التواصل والاستشارة. نظرًا لأن زيادة الوعي بالمخاطر جزء أساسي من إدارة المخاطر ، يجب على قادة المخاطر أيضًا تطوير خطة اتصال لنقل سياسات وإجراءات المخاطر الخاصة بالمؤسسة إلى الموظفين والأطراف ذات الصلة. تحدد هذه الخطوة نغمة قرارات المخاطر على كل مستوى. يشمل الجمهور أي شخص لديه مصلحة في كيفية استفادة المنظمة من المخاطر الإيجابية وتقليل المخاطر السلبية.
إنشاء السياق. تتطلب هذه الخطوة تحديد قابلية المؤسسة للمخاطر الفريدة وتحملها للمخاطر - أي مقدار المخاطر التي يمكن أن تختلف من قابلية المخاطرة. تشمل العوامل التي يجب مراعاتها هنا أهداف العمل ، وثقافة الشركة ، والتشريعات التنظيمية ، والبيئة السياسية ، وما إلى ذلك.
تعريف المخاطر. تحدد هذه الخطوة سيناريوهات المخاطر التي قد يكون لها تأثير إيجابي أو سلبي على قدرة المؤسسة على إجراء الأعمال. كما هو مذكور أعلاه ، يجب تسجيل القائمة الناتجة في سجل للمخاطر وتحديثها باستمرار.
تحليل المخاطر. يتم تحليل احتمالية وتأثير كل خطر للمساعدة في تصنيف المخاطر. يمكن أن يكون إنشاء خريطة حرارة للمخاطر مفيدًا هنا ، لأنه يوفر تمثيلًا مرئيًا لطبيعة وتأثير مخاطر الشركة. على سبيل المثال ، يعد استدعاء الموظف للمرض حدثًا ذا احتمالية عالية له تأثير ضئيل أو معدوم على معظم الشركات. الزلزال ، اعتمادًا على الموقع ، هو مثال على خطر منخفض الاحتمال مع تأثير كبير. قال ويت إن النهج النوعي الذي تستخدمه العديد من المنظمات لتقييم احتمالية وتأثير المخاطر قد يستفيد من التحليل الكمي. لدى معهد FAIR ، وهو جمعية مهنية تروج للتحليل العامل لإطار عمل مخاطر المعلومات بشأن مخاطر الأمن السيبراني ، أمثلة على النهج الأخير.
تقييم الخطر. هنا حيث تحدد المنظمات كيفية الاستجابة للمخاطر التي تواجهها. تتضمن الأساليب واحدًا أو أكثر مما يلي:
تجنب المخاطر: تسعى المنظمة إلى التخلص من المخاطر المحتملة أو الانسحاب منها أو عدم التورط فيها.
تخفيف المخاطر: تتخذ المنظمة إجراءات للحد من المخاطر أو تحسينها.
تقاسم المخاطر أو نقلها: تتعاقد المنظمة مع طرف ثالث (على سبيل المثال ، شركة تأمين) لتحمل بعض أو كل تكاليف المخاطر التي قد تحدث أو لا تحدث.
قبول المخاطر: تقع المخاطر ضمن درجة تحمل المنظمة للمخاطر وتحملها ويتم قبولها دون اتخاذ أي إجراء.
علاج المخاطر. تتضمن هذه الخطوة تطبيق الضوابط والعمليات المتفق عليها والتأكد من أنها تعمل كما هو مخطط لها.
المراقبة والمراجعة. هل الضوابط تعمل على النحو المنشود؟ هل يمكن تحسينها؟ يجب أن تقيس أنشطة المراقبة مؤشرات الأداء الرئيسية وأن تبحث عن مؤشرات المخاطر الرئيسية التي قد تؤدي إلى تغيير في الاستراتيجية.
أفضل ممارسات إدارة المخاطر
نقطة انطلاق جيدة لأي مؤسسة تطمح إلى اتباع أفضل ممارسات إدارة المخاطر هي مبادئ ISO 31000 الـ 11 لإدارة المخاطر. وفقًا لـ ISO ، يجب أن يفي برنامج إدارة المخاطر بالأهداف التالية:
خلق قيمة للمنظمة ؛
أن تكون جزءًا لا يتجزأ من العملية التنظيمية الشاملة ؛
عامل في عملية صنع القرار الشاملة للشركة ؛
معالجة أي حالة من عدم اليقين صراحة ؛
أن تكون منظمًا ومنظمًا ؛
أن تستند إلى أفضل المعلومات المتاحة ؛
تتناسب مع المشروع ؛
تأخذ في الاعتبار العوامل البشرية ، بما في ذلك الأخطاء المحتملة ؛
أن تكون شفافة وشاملة للجميع ؛
تكون قابلة للتكيف مع التغيير ؛ و
يتم مراقبتها وتحسينها باستمرار.
وقال المستشار الأمني ديف شاكلفورد ، إن أفضل ممارسة أخرى لبرنامج إدارة مخاطر المؤسسة الحديث هي "الإصلاح الرقمي". يستلزم ذلك استخدام الذكاء الاصطناعي والتقنيات المتقدمة الأخرى لأتمتة العمليات اليدوية غير الفعالة وغير الفعالة.
قيود إدارة المخاطر وأمثلة على حالات الفشل
غالبًا ما يُعزى فشل إدارة المخاطر إلى سوء السلوك المتعمد أو التهور الجسيم أو سلسلة من الأحداث المؤسفة التي لم يكن أحد يتوقعها. ولكن ، كما أشار الصحفي التكنولوجي جورج لوتون في فحصه لإخفاقات إدارة المخاطر الشائعة ، فإن إدارة المخاطر أخطأت في كثير من الأحيان بسبب الأخطاء التي يمكن تجنبها - ومطاردة الأرباح العادية. فيما يلي مجموعة من الأخطاء التي يجب تجنبها.
سوء الحكم. حكاية عام 2020 المتشابكة عن قيام Citigroup بسداد قرض قيمته 900 مليون دولار عن طريق الخطأ ، باستخدام أمواله الخاصة ، إلى مقرضي Revlon عندما كانت دفعة فائدة صغيرة فقط مستحقة ، تُظهر كيف يمكن حتى لأكبر بنك في العالم أن يفسد إدارة المخاطر - على الرغم من وجود سياسات محدثة لظروف العمل الوبائية والضوابط المتعددة المعمول بها. كان هناك خطأ بشري وبرمجيات عديمة الجدوى ، ولكن في النهاية حكم أحد القضاة بأن سوء الإدارة هو السبب الجذري. تم تغريم Citigroup 400 مليون دولار من قبل المنظمين الأمريكيين ووافقوا على إصلاح إدارة المخاطر الداخلية ، وحوكمة البيانات وضوابط الامتثال.
الإفراط في التركيز على الكفاءة مقابل المرونة. يمكن أن تؤدي الكفاءة الأكبر إلى أرباح أكبر عندما يسير كل شيء على ما يرام. ومع ذلك ، فإن القيام بالأشياء بشكل أسرع وأسرع وأرخص من خلال القيام بها بنفس الطريقة في كل مرة ، يمكن أن يؤدي إلى نقص المرونة ، كما اكتشفت الشركات أثناء الوباء عندما تعطلت سلاسل التوريد. قال فالينتي من شركة Forrester: "عندما ننظر إلى طبيعة العالم ... تتغير الأشياء طوال الوقت". "لذا ، علينا أن نفهم أن الكفاءة أمر رائع ، ولكن علينا أيضًا التخطيط لكل ما يجب فعله."
انعدام الشفافية. الفضيحة التي تنطوي على تحريف حالات الوفاة المرتبطة بفيروس كورونا في دور رعاية المسنين في نيويورك من قبل مكتب الحاكم تمثل فشلًا شائعًا في إدارة المخاطر. يمكن أن يؤدي إخفاء البيانات ونقص البيانات والبيانات المنعزلة - سواء كان ذلك بسبب ارتكاب أو إغفال - إلى حدوث مشكلات في الشفافية. كما قال خبير المخاطر جوش تيسارو لـ Lawton ، "لم يتم تصميم العديد من العمليات والأنظمة مع وضع المخاطر في الاعتبار". البيانات مفصولة ومملوكة لقادة مختلفين. قال تيسارو: "غالبًا ما يستقر مديرو المخاطر على البيانات التي لديهم والتي يمكن الوصول إليها بسهولة ، متجاهلين العمليات الحرجة لأنه من الصعب الحصول على البيانات".
حدود تقنيات تحليل المخاطر. تتطلب العديد من تقنيات تحليل المخاطر ، مثل إنشاء نموذج مخاطر أو محاكاة ، تجميع كميات كبيرة من البيانات. قد يكون جمع البيانات على نطاق واسع مكلفًا ولا يمكن الاعتماد عليه. علاوة على ذلك ، يمكن أن يكون لاستخدام البيانات في عمليات صنع القرار نتائج سيئة إذا تم استخدام مؤشرات بسيطة لتعكس مواقف المخاطر المعقدة. بالإضافة إلى ذلك ، قد يؤدي تطبيق قرار مخصص لجانب واحد صغير من المشروع على المشروع بأكمله إلى نتائج غير دقيقة.
نقص الخبرة في تحليل المخاطر. يمكن أن تكون البرامج التي تم تطويرها لمحاكاة الأحداث التي قد تؤثر سلبًا على الشركة فعالة من حيث التكلفة ، ولكنها تتطلب أيضًا موظفين مدربين تدريباً عالياً لفهم النتائج المتولدة بدقة.
وهم السيطرة. يمكن أن تعطي نماذج المخاطر للمؤسسات اعتقادًا خاطئًا بأنها تستطيع تحديد وتنظيم كل خطر محتمل. قد يتسبب هذا في إهمال المنظمة لاحتمال وجود مخاطر جديدة أو غير متوقعة.
اتجاهات إدارة المخاطر: ما الذي يلوح في الأفق؟
دفع تسليط الضوء على إدارة المخاطر خلال جائحة COVID-19 العديد من الشركات ليس فقط لإعادة فحص ممارسات المخاطر الخاصة بهم ولكن أيضًا لاستكشاف تقنيات وتقنيات وعمليات جديدة لإدارة المخاطر. كما تظهر تقارير لوتون عن الاتجاهات التي تعيد تشكيل إدارة المخاطر ، فإن المجال مليء بالأفكار.
تتبنى المزيد من المنظمات إطار عمل نضج المخاطر لتقييم عمليات المخاطر لديها وإدارة الترابط بين التهديدات عبر المؤسسة بشكل أفضل. إنهم يبحثون من جديد في منصات مركز الخليج للأبحاث لدمج أنشطة إدارة المخاطر الخاصة بهم وإدارة السياسات وإجراء تقييمات المخاطر وتحديد الثغرات في الامتثال التنظيمي وأتمتة عمليات التدقيق الداخلي ، من بين مهام أخرى. تشمل ميزات مركز الخليج للأبحاث الجديدة قيد الدراسة ما يلي:
تحليلات المخاطر الجيوسياسية والكوارث الطبيعية والأحداث الأخرى ؛
مراقبة وسائل التواصل الاجتماعي لتتبع التغييرات في سمعة العلامة التجارية ؛ و
أنظمة الأمان لتقييم التأثير المحتمل للخروقات والهجمات الإلكترونية.
بالإضافة إلى استخدام إدارة المخاطر لتجنب المواقف السيئة ، تتطلع المزيد من الشركات إلى إضفاء الطابع الرسمي على كيفية إدارة المخاطر الإيجابية لإضافة قيمة تجارية.
كما يقومون بإلقاء نظرة جديدة على بيانات الرغبة في المخاطرة. تُستخدم عادةً بيانات الرغبة في المخاطرة كوسيلة للتواصل مع الموظفين والمستثمرين والمنظمين بشكل أكثر ديناميكية ، لتحل محل تمارين الامتثال "تحديد المربع" بنهج أكثر دقة لسيناريوهات المخاطر. التحذير؟ قد يؤدي بيان الرغبة في المخاطرة الذي تمت صياغته بشكل سيء إلى إضعاف الشركة أو إساءة تفسيره من قبل المنظمين على أنه يتغاضى عن مخاطر غير مقبولة.
أخيرًا ، في حين أنه من الصعب إجراء تنبؤات - خاصة حول المستقبل ، كما يقول المثل المأثور - فإن أدوات قياس المخاطر وتخفيفها تتحسن. من بين التحسينات؟ أدوات الاستشعار الداخلية والخارجية التي تكشف عن المخاطر الناشئة والمستجدة.