روبرو شدن با تغییر، به بخش ثابتی از مدیریت کسبوکار و سازمان تبدیل شده است. در این شرایط، مدیریت ریسک دیگر یک گزینه نیست؛ بلکه یک ضرورت است. سازمانها دیگر با تهدیدهای قابل پیشبینی روبرو نیستند. از نوسانات بازارهای مالی گرفته تا تحولات ژئوپلیتیکی، از شرایط ناشی از تحریمهای اقتصادی تا چالشهای مربوط به بیمه و مالیات؛ همگی قواعد بازی را خصوصا برای کسبوکارهای ایرانی تغییر دادهاند. در این شرایط، سازمانی موفق خواهد بود که «پیش از وقوع بحران» به استقبال آن برود. مدیریت ریسک دقیقا در چنین نقطهای میتواند به سازمانها کمک کند. در این مقاله ضمن تعریف مدیریت ریسک و انواع آن، به مهمترین ابزارهای مدیریت ریسک و نقش فناوریها به عنوان یک متغیر تسهیلگر اشاره میکنیم.
مدیریت ریسک چیست؟
مدیریت ریسک به زبان ساده، مجموعهای نظاممند از فرایندها، ابزارها و روشهاست که به شناسایی، تحلیل، ارزیابی و در نهایت پاسخگویی هدفمند به ریسکها، کمک میکند.
این تعریف، اگرچه دقیق است، اما کافی نیست. مدیریت ریسک در معنای راهبردی آن، یعنی تصمیمگیری آگاهانه در مواجهه با عدمقطعیت؛ یعنی اطلاع از اینکه چه چیزی ممکن است مسیر سازمان را منحرف کند، چقدر احتمال وقوع دارد، چه اثری بر اهداف کسبوکار خواهد گذاشت و اینکه بهترین واکنش چیست؟
در یک تعریف دیگر، مدیریت ریسک را میتوان مدیریت شرایط غیرقابل پیشبینی در آینده دانست. در واقع مدیریت ریسک میتواند صرفا درباره محافظت از گذشته نباشد؛ بلکه با شکلدادن به آینده نیز در مرتبط باشد. مدیرانی که از امروز برای فردا فکر میکنند، میدانند که هر تصمیم مهم، بدون تحلیل ریسک، یک حدس است؛ نه یک راهبرد.
ریسک، خطر یا عدم قطعیت؟
این سه واژه که اغلب بهجای هم استفاده میشوند، در مدیریت حرفهای معانی متفاوتی دارند:
- ریسک (Risk) یعنی احتمال وقوع یک رویداد بههمراه تأثیرگذاری آن. ریسکها میتوانند مثبت یا منفی باشند. مثلا زمانی که یک شرکت تصمیم میگیرد خط تولید جدیدی راهاندازی کند، احتمال موفقیت یا شکست آن تصمیم بههمراه تأثیرات مالی آن، نوعی ریسک است.
- خطر (Hazard) اغلب به تهدیدی مشخص و قابلمشاهده گفته میشود که به طور مستقیم سلامت یا دارایی را تهدید میکند. برای مثال وجود یک سرور قدیمی و مستهلک در مرکز داده سازمان که ممکن است هر لحظه از کار بیفتد، یک خطر محسوب میشود.
- عدمقطعیت (Uncertainty) یعنی نبود اطلاعات کافی برای پیشبینی نتیجه یک وضعیت یا تصمیم. هر ریسک، بخشی از این عدمقطعیت است. مثلا وقتی شرایط اقتصادی کشور بهطور ناگهانی تغییر میکند و سازمان نمیداند قیمت ارز در ماههای آینده به چه سمتی میرود، با عدمقطعیت مواجه است.
مدیریت ریسک؛ ابزار بقا یا مزیت رقابتی؟
برای بسیاری از سازمانها، مدیریت ریسک هنوز فقط یک سازوکار کنترلی است؛ ابزاری برای کاهش خسارات. اما در سازمانهای پیشرو، مدیریت ریسک بهمعنای واقعی، به یک مزیت رقابتی پایدار تبدیل شده است که در ادامه به برخی از آنها اشاره میکنیم.
- سازمانی که ریسکهای مدیریت زنجیره تامین خود را بهتر بشناسد، انعطافپذیرتر از رقبا عمل خواهد کرد.
- سازمانی که ریسکهای منابع انسانی، ریسک فناوری و ریسکهای قانونی را بهموقع شناسایی کند، قطعا آیندهپایدارتری خواهد ساخت.
- در نهایت شرکتی که ریسکپذیری هوشمندانه را جایگزین محافظهکاری کورکورانه کند، سریعتر و موثرتر دست به نوآوری میزند.
تاریخچه مدیریت ریسک؛ از گذشته تا کنون
با اینکه مفهوم ریسک از دیرباز در تصمیمگیریهای انسانی وجود داشته، اما آنچه امروز بهعنوان «مدیریت ریسک سازمانی» میشناسیم، حاصل قرنها تکامل اندیشه، تجربه و علم است.
ریشههای اولیه درک ریسک را میتوان به دوران باستان نسبت داد؛ اما نقطه عطف اصلی، به قرن هفدهم و ظهور ریاضیات احتمالات بازمیگردد. دانشمندانی چون پاسکال و فرما، پایههای نظریه احتمال را گذاشتند که بهمرور وارد علوم مالی، بیمه و تصمیمگیری شد. تا پیش از آن، ریسک مفهومی کیفی و شهودی بود؛ اما از این زمان به بعد، امکان مدلسازی عددی و تحلیل کمی آن فراهم شد.
در قرن بیستم و با گسترش نظامهای صنعتی، پیچیدگی زنجیرههای تأمین و و افزایش شدت رقابت، نیاز به رویکردی سازمانیافته برای شناسایی و کنترل ریسکها بیش از پیش احساس شد. بحرانهای مالی بزرگ (مثل رکود بزرگ دهه ۳۰ میلادی)، جنگها، سوانح صنعتی و بعدها سقوط شرکتهایی مانند انرون، اهمیت توجه به ریسکهای پنهان را برجسته کرد.
دهههای پایانی قرن بیستم شاهد شکلگیری رویکردهای مدرنتری در مدیریت ریسک بود. استانداردهایی نظیر COSO و ISO 31000 بهوجود آمدند تا سازمانها را به سمت یک نگاه یکپارچهتر، ساختارمندتر و پیشنگرانهتر در مواجهه با ریسکها هدایت کنند. مدیریت ریسک دیگر محدود به واحدهای مالی یا عملیاتی نبود، بلکه بهتدریج به یک مسئولیت راهبردی در سطح هیئتمدیره تبدیل شد.
امروزه، مدیریت ریسک بخشی جداییناپذیر از حکمرانی سازمانی است. با ظهور فناوریهای نوین، ریسکهای سایبری، دادهمحور و حتی اخلاقی به فهرست تهدیدات مهم افزوده شدهاند. در چنین محیطی، سازمانهایی که بتوانند ریسک را نه بهعنوان تهدید، بلکه بهعنوان منبعی برای یادگیری، تطبیق و نوآوری ببینند، یک گام جلوتر خواهند بود.
آشنایی با انواع مدیریت ریسک در کسبوکار
در فضای کسبوکار، مدیریت ریسک ابعاد گوناگونی دارد و بسته به نوع تصمیمگیری یا فعالیت، شکل متفاوتی به خود میگیرد. در ادامه، با مهمترین انواع مدیریت ریسک در سازمان آشنا میشویم:
۱. مدیریت ریسک راهبردی
این نوع ریسک به تصمیمهای کلان سازمان مربوط میشود؛ تصمیمهایی که مسیر آینده کسبوکار را شکل میدهند. ورود به بازار جدید، انتخاب فناوریهای نو یا تعریف ساختار سازمانی جدید، همگی با ریسک راهبردی همراهاند. این نوع ریسکها اگر درست مدیریت نشوند، میتوانند به از دست رفتن مزیت رقابتی یا حتی شکست سازمان در سطح کلان منجر شوند.
۲. مدیریت ریسک عملیاتی
هر کسبوکار در عملیات روزمره خود با ریسکهایی مواجه است؛ از اختلال در زنجیره تأمین گرفته تا خطاهای انسانی یا نقص سیستمها. این ریسکها معمولا بهظاهر کوچکاند، اما اثر تجمعی آنها میتواند جدی باشد. مدیریت ریسک عملیاتی با هدف کاهش اختلال، افزایش بهرهوری و حفظ تداوم فعالیت انجام میشود.
۳. مدیریت ریسک مالی
ریسکهای مالی مربوط به عواملی چون نوسانات بازار، نرخ بهره، شرایط تحریم، نقدینگی و تسهیلات بانکی است. هر گونه تصمیم مالی، از جذب سرمایه گرفته تا سرمایهگذاری در داراییها یا تنظیم ساختار بدهی، باید با تحلیل دقیق ریسک همراه باشد. هدف در اینجا حفظ ثبات مالی و کاهش آسیبپذیری در برابر شوکهای اقتصادی است.
۴. مدیریت ریسک انطباقی
در بسیاری از صنایع مانند صنعت دارو، پایبندی به مقررات و الزامات قانونی نهتنها یک تعهد، بلکه یک ضرورت برای ادامه فعالیت است. نقض بسیاری از قوانین (از جمله بیمه، مالیات) میتواند به جرایم سنگین، تعلیق مجوزها یا آسیب به اعتبار برند منجر شود. مدیریت ریسک انطباقی کمک میکند تا سازمان همراستا با الزامات حقوقی و اخلاقی حرکت کند.
۵. مدیریت ریسک فناوری اطلاعات
با ظهور و بهکارگیری فناوریهای تحول دیجیتال، ریسکهای مربوط به فناوری اطلاعات به دغدغهای راهبردی تبدیل شدهاند. خطراتی مانند نفوذ سایبری، از بین رفتن دادهها یا اختلال در زیرساختهای IT، میتوانند کل کسبوکار را متوقف کنند. مدیریت ریسک IT در این حوزه، بر ارزیابی آسیبپذیریها، امنیت سایبری و بازیابی در شرایط بحرانی تمرکز دارد.
۶. مدیریت ریسک پروژه
هر پروژهای، حتی با بهترین برنامهریزی، با عدمقطعیتهایی روبهرو است. تأخیر در تحویل، افزایش هزینهها یا تغییر در محدوده پروژه، نمونههایی از این ریسکها هستند. مدیریت ریسک پروژه به شناسایی، تحلیل و پاسخدهی مؤثر به این موارد کمک میکند و نقش کلیدی در موفقیت پروژه ایفا میکند.
۷. مدیریت ریسک زیستمحیطی و اجتماعی
امروزه سازمانها نهتنها نسبت به سودآوری، بلکه در برابر جامعه و محیطزیست هم مسئول هستند. نادیده گرفتن پیامدهای زیستمحیطی یا اجتماعی تصمیمات، میتواند به اعتراض عمومی، تحریمهای دولتی یا کاهش اعتماد ذینفعان منجر شود. این نوع از مدیریت ریسک، رویکردی جامع برای پایداری و مسئولیتپذیری سازمانی ایجاد میکند.
مثال های مدیریت ریسک؛ نمونههایی واقعی از ریسک در کسبوکار
درک مفهوم مدیریت ریسک زمانی عمیقتر میشود که آن را در عمل و در دل تصمیمها و بحرانهای واقعی سازمانها ببینیم. در ادامه، نمونههایی از مواجهه سازمانها با انواع مختلف ریسک را مرور میکنیم؛ تجربههایی که گاهی از یک بحران بزرگ جلوگیری کردهاند و گاهی مسیر آینده یک کسبوکار را متحول کردهاند.
ریسک عملیاتی؛ آمازون و برنامهریزی برای روزهای اوج
در فصل تعطیلات، حجم سفارشهای آمازون بهطور چشمگیری افزایش مییابد. این افزایش ناگهانی میتواند ریسکهایی جدی برای انبارداری، ارسال، لجستیک و رضایت مشتری ایجاد کند. آمازون با تحلیل دادههای تاریخی، شبیهسازی سناریوهای مختلف و افزایش موقتی نیروی کار و ظرفیت لجستیکی، این ریسک را بهخوبی مدیریت میکند. این برنامهریزی عملیاتی دقیق، باعث شده تا حتی در پرفشارترین روزها، سیستم تحویل آمازون دچار اختلال نشود.
ریسک مالی؛ خطوط هوایی دلتا و پوشش نوسانات سوخت
برای شرکتهای هواپیمایی، قیمت سوخت یکی از متغیرهای مالی پرنوسان و ریسکزا است. شرکت دلتا ایرلاینز در یک اقدام راهبردی، بخشی از ریسک ناشی از نوسانات قیمت نفت را از طریق ابزارهای مالی پوشش میدهد. این شرکت حتی با خرید یک پالایشگاه تلاش کرد تا بخشی از زنجیره تأمین سوخت خود را تحت کنترل بگیرد. این تصمیم جسورانه، نمونهای از مدیریت فعالانه ریسک مالی است.
ریسک راهبردی؛ نوکیا و واکنش دیرهنگام به گوشیهای هوشمند
در اوایل دهه ۲۰۰۰، نوکیا رهبر بازار تلفن همراه بود؛ اما ظهور گوشیهای هوشمند و سیستمعاملهایی مانند iOS و Android تهدیدی جدی برای مدل کسبوکار این شرکت محسوب میشد. نوکیا این تغییر را بهموقع تشخیص نداد و ریسک استراتژیکی که در کمینش بود را نادیده گرفت. نتیجه، کاهش شدید سهم بازار و فروش برند به مایکروسافت بود. این مورد نشان میدهد که نادیده گرفتن ریسکهای راهبردی میتواند حتی بزرگترین برندها را از مسیر خارج کند.
ریسک سایبری؛ شرکت Equifax و افشای اطلاعات میلیونها کاربر
در سال ۲۰۱۷، شرکت اعتباری Equifax با یک نفوذ سایبری گسترده مواجه شد که اطلاعات شخصی بیش از ۱۴۰ میلیون نفر را در معرض خطر قرار داد. بررسیها نشان داد که این شرکت نسبت به بهروزرسانی یک آسیبپذیری شناختهشده اقدام نکرده بود. این حادثه نهتنها به اعتبار برند لطمه زد، بلکه هزینههای هنگفتی در قالب جریمه، شکایت و اصلاح زیرساخت بر شرکت تحمیل کرد.
ریسک منابع انسانی؛ برنامهریزی جانشینی در IBM
یکی از ریسکهای پنهان اما جدی برای سازمانها، ریسک وابستگی بیشازحد به افراد کلیدی است. شرکت IBM با اجرای برنامهریزی جانشینی (Succession Planning) در سطوح مختلف مدیریتی، سعی کرده این ریسک را مدیریت کند. این برنامه شامل شناسایی استعدادهای داخلی، توسعه آنها و تعریف مسیر رشد حرفهای برای جایگزینی افراد حیاتی است؛ راهکاری که بهویژه در دوران بازنشستگی یا جابهجایی مدیران، تداوم عملکرد سازمان را تضمین میکند.
ابزارهایی برای مدیریت مؤثر ریسک در سازمان
مدیریت ریسک بدون ابزار مناسب، شبیه حرکت در مه با چشم بسته است. ابزارهای حرفهای به سازمانها کمک میکنند ریسکها را شناسایی، تحلیل، اولویتبندی و کنترل کنند؛ آنهم با روشی نظاممند و قابلاتکا.
۱. ماتریس احتمال و اثر (Risk Matrix)
ابزاری ساده و کاربردی برای ارزیابی ریسکها بر اساس دو معیار اصلی یعنی احتمال وقوع و شدت پیامد است. با استفاده از این ماتریس میتوان ریسکها را دستهبندی کرد و منابع سازمان را به مهمترین تهدیدها اختصاص داد.
۲. تحلیل SWOT با رویکرد ریسکمحور
در این روش، تهدیدها و فرصتها بهعنوان ریسکهای منفی و مثبت تحلیل میشوند. اگر SWOT به درستی با نگاه ریسک همراه شود، میتواند پایه خوبی برای تصمیمگیریهای راهبردی و تطبیق سازمان با عدمقطعیتها باشد.
۳. تحلیل سناریو (Scenario Analysis)
این ابزار به مدیران کمک میکند با پیشبینی چند سناریوی ممکن در آینده، پیامدهای احتمالی تصمیمات خود را بهتر بسنجند. تحلیل سناریو بهویژه زمانی مفید است که محیط بیرونی سازمان ناپایدار یا پیشبینیناپذیر باشد.
۴. تحلیل حالات خرابی و اثرات آن (FMEA)
در این روش، گامبهگام بررسی میشود که کدام بخش از یک فرآیند یا محصول ممکن است دچار نقص شود و این خرابی چه پیامدی خواهد داشت. این روش از ابزارهای مهم پیشگیرانه در صنایع تولیدی، بهداشتی و فناوری است.
۵. نرمافزارهای مدیریت ریسک
راهکارهای دیجیتال که امکان ثبت، ارزیابی، پایش و گزارشگیری از ریسکها را در سطح سازمانی فراهم میکنند. این نرمافزارها معمولا بخشی از سیستم ERP یا سیستمهای یکپارچه مدیریت پروژه و عملیات هستند.
مدیریت ریسک در کسبوکار و نقش تسهیلگر فناوریها
مدیریت ریسک امروز، دیگر فقط یک فرآیند تحلیلی یا گزارشمحور نیست. فناوریهای نوین، این حوزه را متحول کردهاند و آن را از «پاسخ به رویدادها» به «پیشبینی و پیشگیری» تغییر دادهاند. در ادامه به برخی از مهمترین این فناوریها اشاره میکنیم.
۱. سیستمهای ERP
نرم افزارهای سازمانی از جمله نرم افزار ERP نه فقط ابزاری برای ساماندهی منابع، بلکه بستری برای پیشبینی و مهار ریسکهای عملیاتی هستند. مثلا در یک زنجیره تأمین پیچیده، ERP میتواند با تحلیل دادههای لحظهای از موجودی، سفارشها و عملکرد تأمینکنندگان، پیش از وقوع یک اختلال هشدار دهد. در واقع، ERP دید ۳۶۰ درجهای از ریسکهای سازمان به مدیران میدهد؛ از مالی و منابع انسانی گرفته تا تولید و فروش.
۲. هوش مصنوعی و یادگیری ماشین
AI با تحلیل حجم عظیمی از دادهها، الگوهایی را کشف میکند که چشم انسان از آن غافل میماند. مثلا در صنعت بانکداری، الگوریتمهای هوش مصنوعی میتوانند رفتارهای مشکوک را بهعنوان ریسکهای تقلب یا شکست اعتباری شناسایی کنند، آنهم پیش از آنکه آسیب جدی رخ دهد.
۳. فناوری بلاکچین
در مواردی مانند قراردادهای مالی که شفافیت، ردیابی و صحت داده اهمیت دارد؛ بلاکچین بهعنوان ابزاری برای کاهش ریسکهای جعل، تقلب یا تغییرات غیرمجاز وارد عمل میشود. برای نمونه، در صنعت داروسازی، استفاده از بلاکچین برای ردیابی منشأ مواد اولیه، از ورود داروهای تقلبی به بازار جلوگیری میکند.
۴. داشبوردهای مدیریتی BI
یک نرم افزار هوش تجاری، موارد مختلف ریسک را نه صرفا به شکل اعداد و ارقام خشک، بلکه به شکل داستانی از دادهها به تصویر میکشد. داشبوردهای تحلیلی، به مدیران امکان میدهند شاخصهای کلیدی ریسک را در لحظه رصد کنند و واکنش سریع داشته باشند. برای مثال، در یک سازمان خدماتی، کاهش ناگهانی رضایت مشتریان میتواند در BI بهعنوان «نشانگر اولیه یک ریسک راهبردی» ظاهر شود.