طراحی و اجرای استراتژی کاهش ریسک برای پاسخ به ریسک ها

تعریف و اجرای استراتژی کاهش ریسک در مدیریت ریسک

در این مطلب روی اقدامات ذیل استراتژی کاهش ریسک در مدیریت ریسک تمرکز داریم و آن را از دو زاویه کاهش احتمال وقوع و کاهش شدت اثر تشریح، می کنیم، مراحل اجرای آن را توضیح می دهیم و مثال های متنوعی از حوزه های مختلف ارائه می دهیم. در مدیریت ریسک، هدف اصلی این است که سازمان بتواند با عدم قطعیت ها به صورت منطقی و کنترل شده برخورد کند. هر ریسک بالقوه می تواند به شکل های مختلفی روی اهداف سازمان اثر بگذارد که از تأخیر در پروژه گرفته تا زیان مالی، کاهش کیفیت، آسیب به اعتبار برند یا حتی خطرات ایمنی را شامل می شود. می دانید که برای پاسخ به ریسک ها چهار رویکرد اصلی وجود دارد که به مدل ۴T معروف می باشند و شامل چهار رویکرد به شرح زیر می باشد.

1. اجتناب از ریسک Risk Avoidance
2. کاهش ریسک Risk Mitigation
3. انتقال ریسک Risk Transfer
4. پذیرش ریسک Risk Acceptance

در این جا تمرکز ما روی مهمترین و پرکاربردترین رویکرد یعنی کاهش ریسک می باشد. رویکرد کاهش ریسک یعنی سازمان اقداماتی انجام دهد که باعث شود نتایج زیر حاصل گردد.

• احتمال وقوع ریسک کمتر شود
• یا شدت اثر و خسارت ریسک کاهش پیدا کند
• یا هر دو با هم (بهترین حالت)

به زبان ساده، در این رویکرد گفته نمی شود که این ریسک را حذف می کنیم، بلکه بیان می شود اگر هم این ریسک، رخ داد، احتمال روی دادن و میزان آسیب آن را کنترل می کنیم. می دانید که هر ریسک را می توان با دو مؤلفه مهم شامل احتمال وقوع و شدت اثر، تعریف کرده و ارزیابی نمود.

احتمال وقوع یعنی این که چه قدر احتمال دارد ریسک رخ دهد؟ و شدت اثر یعنی این که اگر ریسک، رخ دهد، چه قدر آسیب می زند؟ رویکرد کاهش ریسک دقیقاً روی یکی یا هر دوی این مؤلفه ها کار می کند.

الف) کاهش احتمال وقوع ریسک

در این حالت، هدف این است که ریسک کمتر رخ دهد. یعنی اقداماتی انجام می دهیم که عوامل ایجاد کننده ریسک را کنترل یا حذف کنیم. برای کاهش احتمال وقوع ریسک، می توان این روش ها و فعالیت ها را مد نظر قرار داد.

• استانداردسازی فرآیندها و کاهش خطای انسانی
• آموزش و توانمندسازی کارکنان
• کنترل های پیشگیرانه
• بازطراحی فرآیند یا سیستم
• بهبود کیفیت ورودی ها (مواد اولیه، اطلاعات، داده ها)
• استفاده از فن آوری برای کاهش وابستگی به افراد
• افزایش نظارت و پایش Monitoring
• پیش‌بینی و هشدار زود هنگام

به عنوان مثال اگر احتمال خطای اپراتور در ثبت سفارش زیاد است، با اتوماسیون ثبت سفارش یا با به کارگیری چک لیست های کنترلی، احتمال وقوع ریسک کاهش می یابد.

ب) کاهش شدت اثر ریسک

در این حالت فرض می کنیم ممکن است ریسک رخ دهد، اما می خواهیم کاری کنیم که خسارت کمتر شود، زمان توقف کاهش یابد، هزینه جبران پایین تر باشد، اثر روی مشتری و اعتبار برند کمتر شود و دیگر نتایج مشابه، تحقق یابد.

برای کاهش شدت اثر ریسک برخی اقدامات همچون فعالیت هایی که در ادامه اشاره می شود را می توان در نظر گرفت. طراحی برنامه واکنش و تداوم کسب و کار BCP یا ایجاد مسیرهای جایگزین و تعریف طرح پشتیبان و پلن بی Plan B از جمله این اقدامات می تواند باشد. همچنین می توان محدودسازی دامنه آسیب را در دستور کار قرار داد، بیمه یا ذخایر مالی در نظر گرفت که به نوعی یک اقدام ترکیبی با انتقال ریسک، محسوب می شود. می شود داشتن تیم بحران با سناریوهای پاسخ تعریف شده را لحاظ کرد، به تفکیک سیستم ها یا بخش ها برای جلوگیری از سرایت مشکل پرداخت یا این که بر روی افزایش سرعت بازیابی و ارتقای تاب آوری کار کرد.

به عنوان مثال اگر احتمال قطعی سیستم وجود دارد، داشتن سرور پشتیبان باعث می شود شدت اثر قطعی کمتر شود حتی اگر قطعی رخ دهد. نکته مهم این است که کاهش ریسک همیشه یک اقدام بهبود دادن یا بهینه سازی است و منجر به حذف کامل ریسک نمی شود.

در واقع تعریف اقدامات برای کاهش ریسک، شامل ایجاد تعادل و توازن بین چند عامل شامل هزینه کنترل ریسک، منابع مورد نیاز، زمان اجرا و رعایت اشتهای ریسک / سطح ریسک قابل قبول Risk Appetite می باشد. گاهی کاهش ریسک تا صفر ممکن نیست یا صرفه اقتصادی ندارد. پس هدف، رساندن ریسک به سطحی است که سازمان بتواند با آن کنار بیاید.

تعریف و اجرای اقدامات استراتژی و رویکرد کاهش ریسک برای پاسخ به ریسک ها

مراحل عملی و اجرای گام به گام رویکرد کاهش ریسک

برای اینکه کاهش ریسک واقعاً اثربخش باشد، باید به صورت ساختارمند اجرا شود. این مراحل می تواند برای هر سازمان یا پروژه استفاده شود. این یک رویکرد گام به گام و عملی می باشد که با شناسایی و تعریف دقیق و شفاف ریسک شروع می شود.

1. شناسایی دقیق ریسک و سناریوی وقوع

اول باید ریسک را دقیق تعریف کنیم، یک تعریف کلی و مبهم از ریسک، کمک زیادی به تعریف اقدامات رسیدگی به ریسک ها نخواهد کرد. به این تعریف ریسک توجه کنید.

ریسک تأخیر داریم

این یک تعریف ضعیف از ریسک است. حالا تعریف زیر را نگاه کنید.

ریسک تأخیر در تحویل مواد اولیه از تأمین‌کننده الف به دلیل محدودیت حمل و نقل در فصل اوج سفارش ها وجود دارد

این یک تعریف قوی و دقیق از یک ریسک است.

استفاده از نظرات کارشناسان باسابقه سازمان و مصاحبه با خبرگان، جلسات طوفان فکری، بررسی سوابق گذشته، تحلیل فرآیندها و تحلیل علت و معلول، ابزارهای مفیدی برای شناسایی و تعریف دقیق ریسک ها می توانند باشند.

2. ریشه یابی عوامل ایجاد کننده

برای کاهش احتمال وقوع، باید علت ها را بشناسیم. مثلاً اگر ریسک “خطای مالی در پرداخت‌ها” داریم، علت ها ممکن است نبود کنترل دو مرحله ای، عدم تفکیک وظایف Separation ، سیستم نرم افزاری قدیمی یا آموزش ناکافی باشند. برای بررسی علت های اصلی روش پنج چرا، تکنیک های تحلیل علت ریشه ای RCA و بررسی نقاط شکست فرآیند، کارآمد می باشند.

3. ارزیابی ریسک

در این مرحله مشخص می کنیم ریسک چه قدر مهم است. تعیین مقادیر احتمال، شدت و اولویت ریسک شامل موارد زیر، ارزیابی ریسک می باشد.

• احتمال وقوع : کم / متوسط / زیاد
• شدت اثر : کم / متوسط / زیاد
• سطح ریسک : ضرب احتمال در شدت

ابزار رایج برای این کار ماتریس ریسک می باشد. در این مهم، هدف آن است که بدانیم کدام ریسک ها اولویت کاهش دارند؟ باید بدانیم که کجا هزینه کنیم و کجا هزینه نکنیم؟

4. انتخاب استراتژی کاهش (احتمال یا شدت یا هر دو)

در این مرحله تصمیم می‌گیریم که آیا تمرکز روی کاهش احتمال ریسک باید برود؟ روی کاهش شدت کار کنیم؟ یا این که برای اتخاذ یک رویکرد ترکیبی اقدام نماییم؟

توجه داشته باشید که اگر ریسک، خیلی پرتکرار است، روی کاهش احتمال، بهتر است کار کنیم. یا اگر ریسک، کم احتمال اما اثر آن، فاجعه بار است، بهتر است روی کاهش شدت ریسک، اقدامات خود را متمرکز کنیم.

تعریف و اجرای اقدامات استراتژی کاهش ریسک برای پاسخ به ریسکها

5. طراحی اقدامات کاهش ریسک

اقدامات کاهش ریسک باید ویژگی های مشخصی را داشته باشند. یعنی اقدامات بایستی مشخص و قابل اندازه گیری باشند، با منابع سازمان بتوان آنها را اجرا کرد، طبق یک زمان بندی تعیین شوند، مالک برای آن اقدام ها تعریف شود و نهایتا این که خروجی آنها قابل کنترل باشد. ساختار پیشنهادی برای ثبت اقدامات هم می تواند مشابه جدول زیر باشد.

6. اجرای اقدامات و اجرای کنترل های پیشگیرانه و اصلاحی

در این مرحله باید اقدامات به صورت واقعی انجام شوند و نه این که فقط روی کاغذ تعریف شده باشند. سه دسته اصلی انواع کنترل ها شامل کنترل های پیشگیرانه یعنی کنترل برای جلوگیری از وقوع، کنترل های کشف کننده برای تشخیص سریع و کنترل های اصلاحی، برای بازگشت به حالت پایدار می باشند.

7. تعریف شاخص پایش و هشدار زودهنگام KRI

برای اینکه کاهش ریسک، دائمی باشد، باید شاخص های هشدار دهنده داشته باشیم. شاخص کلیدی ریسک Key Risk Indicator می تواند این کارکرد را داشته باشد. چند مثال از KRI را ببینید.

• درصد خطای ثبت سفارش
• تعداد خرابی تجهیزات در ماه
• نرخ ترک خدمت کارکنان کلیدی
• تعداد تأخیرهای پرداخت

8. ارزیابی مجدد ریسک پس از اقدام

پس از اجرای اقدامات، باید دوباره احتمال و شدت را بسنجیم. همچنین بایستی ریسک اولیه Inherent Risk و ریسک باقی مانده Residual Risk را مقایسه کنیم. در صورتی که ریسک باقی مانده هنوز مقدار زیادی دارد، ممکن است که اقدامات پاسخ به ریسک، کافی نبوده یا باید رویکرد دیگری مثل انتقال ریسک یا اجتناب از ریسک اضافه شود.

تعریف و اجرای اقدامات استراتژی کاهش ریسک برای پاسخ به ریسک

در یادداشتی دیگر به چند مثال مختلف از حوزه های منابع انسانی، عملیات، مالی و غیره از به کارگیری رویکرد کاهش ریسک خواهیم پرداخت.