در نوشتار قبلی، جزء دوم مدیریت ریسک طبق رهنمود “مدیریت ریسک سازمانی- یکپارچه سازی با استراتژی و عملکرد کوزو(2017)“، تحت عنوان “تعیین اهداف و استراتژی” بیان گردید. نوشتار حاضر به معرفی جزء سوم، تحت عنوان “عملکرد” اختصاص دارد. این جزء بطور خاص بر عملکرد (تصمیمات، فعالیتها و اقدامات) تمرکز نموده و ارائهکننده رهنمودها و روشهایی است که در شناسایی، ارزیابی و پاسخ مناسب به ریسکهای تاثیرگذار بر استراتژی و اهداف سازمان کمک مینماید. اصول مربوط به جزء مذکور به شرح زیر میباشد:
شناسایی ریسک: طبق این اصل، انتظار میرود که سازمانها تمامی ریسکهای جدید، نوظهور و ریسکهای در حال تغییر که میتوانند دستیابی به اهداف و استراتژی را تحت تاثیر قرار داده، شناسائی نمایند. این ریسکها از عوامل متعدد از جمله تغییر در اهداف و محیط درونی و بیرونی ناشی میگردند. شناسائی بموقع ریسکها سازمان را قادر ساخته تا بستر و شرایط مناسب برای کنترل و مدیریت آنها را فراهم سازد. شایان ذکر این که، پیششرط لازم برای شناسایی ریسکها، تعیین دقیق، روشن و… اهداف بوده و در هر سطحی (سطح کل سازمان، معاونتها، مدیریتها، فرآیندهای کلان، فرآیندها و ..) این هدفها تعیین شود، در همان سطح هم ریسکها قابل شناسایی میباشد (اطلاعات بیشتر در رهیافت من- شماره 15).
ارزیابی شدت ریسک: ارزیابی ریسکها به معنی سنجش و کمی کردن آنها است. ارزیابی شدت ریسکها به انتخاب پاسخهای مناسب و هوشمندانه برای آنها با رعایت اصول “اهمیت” و “فزونی منافع بر مخارج” کمک مینماید. ارزیابی میتواند از ابعاد مختلف از جمله “احتمال وقوع”، “اثر یا نتیجه” و … صورت پذیرد. “احتمال وقوع” معمولا بر اساس تجارب قبلی، وضعیت موجود و اقدامات آتی موثر بر آن و “اثر یا نتیجه” بر اساس میزان تاثیر وقوع ریسک بر وضعیت، منابع، فعالیتها و … سازمان تعیین میگردد. بهترین حالت این است که برای احتمال، مقداری بین صفر و یک و برای اثر نیز مبلغ ریالی تعیین نمود ولی در عمل با توجه به محدودیتهای موجود از روشهای دیگر از جمله طیف لیکرت استفاده میشود.
اولویتبندی ریسکها: اولویتبندی ریسکها مبنایی برای انتخاب پاسخ مناسب به آنها میباشد. اولویتبندی نه تنها به مدیران در برنامهریزی، تخصیص منابع، کنترل و نظارت بهتر کمک نموده بلکه برای حسابرسان (مستقل، داخلی و…) نیز در برنامهریزی و اجرای هوشمندانه فرآیند حسابرسی مفید است. هر چند که فرآیند شناسایی، ارزیابی و اولویتبندی ریسکها، بیشتر تحت تاثیر قضاوت افراد بوده ولی باید تمهیداتی اندیشیده شود که این قضاوتها از یک مبنای علمی، منطقی و حرفهای برخوردار باشند.
اعمال (بکارگیری) پاسخ به ریسکها: انتظار میرود که مدیریت برای تمام ریسکهای با اهمیتِ شناسایی شده، یک پاسخ (روش) مناسب را انتخاب و بکار گیرد. برای این منظور، ابتدا پاسخها (روشهای) مختلف تعیین و بر اساس تجزیه و تحلیلهای منطقی و علمی روش مناسب و اثربخش انتخاب میگردد. در انتخاب روش، معیارهایی از قبیل “فزونی منافع بر مخارج”، “شرایط و وضعیت شرکت”، “محیط فعالیت”، “ارزشهای اخلاقی” و … در نظر گرفته میشود. این روشها را میتوان در طبقات کلی پذیرش، اجتناب، انجام (پیگیری)، کاهش، و انتقال (تسهیم) تقسیمبندی نمود.
توسعه نگرش (دیدگاه) پرتفوی: انتظار میرود که سازمان یک دیدگاه پرتفویی از ریسک ایجاد و بر اساس آن ارزیابی لازم را بنماید. دیدگاه مذکور این امکان را برای مدیریت و هیئتمدیره فراهم نموده تا نوع، شدت و وابستگیهای متقابل ریسکها و همچنین، چگونگی تاثیر آنها بر عملکرد را در نظر بگیرند. با بکارگیری این دیدگاه، ریسکهایی که در سطح سازمان دارای شدت با اهمیت بوده مشخص میگردد. آنها ممکن است در سطح سازمان، معاملات یا پردازشها ایجاد شده و میتوانند سازمان را به عنوان یک کل مختل نمایند.
همانطور که قبلا بیان شد، شواهد تجربی نشان میدهد که بسیاری از سازمانهای ایرانی تا تحقق کامل موارد فوق راه طولانی در پیش دارند.