آمادگی برای آینده: مدیریت ریسک پویا برای عدم‌قطعیت‌های پیش رو

ورای عدم قطعیتی که در زمینه‌ی سلامت و اقتصاد در پیش روی ما وجود دارد، پیش‌بینی می‌شود که در آینده‌ی نزدیک وقایع فاجعه‌آمیز با تناوب بیشتری تمایل به رخ دادن داشته باشند. انقلاب دیجیتال، تغییرات اقلیمی آب‌وهوا، انتظارات ذی‌نفعان و ریسک‌های ژئوپلیتیک در این روند نقشی کلیدی ایفا خواهند کرد.

انقلاب دیجیتال میزان داده‌ی در دسترس، درجه‌ی ارتباط و سرعت تصمیم‌گیری را دستخوش تغییر قرار داده است. این تغییرات مزایایی قابل توجه را در پی دارند، اما با خود مشکلاتی بالقوه همچون خطاهای سنگین، رخنه‌های امنیتی و سرعت بخشیدن به وقوع نمایی بحران‌ها را به همراه دارند. در کنار این‌ها، شبکه‌های اجتماعی و ارتباطات فراگیر می‌توانند باعث بروز صدمات به شهرت بانک و عواقبی که در پی آن می‌آیند شود.

تغییرات اقلیمی آب‌وهوا تأثیرات شدید ساختاری بر پروفایل ریسک و بازده‌ی شرکت‌ها داشته و این تأثیرات روندی غیرخطی دارد. شرکت‌ها باید در حین اینکه سودآوری و حیات خود را مدیریت می‌کنند، جوابگوی دولت‌ها، سرمایه‌گذاران و کلیت جامعه نیز باشند. در کنار همه‌ی این‌ها، وقوع فاجعه‌های طبیعی نیز با تناوب و شدت بیشتری همراه شده است.

انتظارات سهامداران و به‌صورت کلی ذی‌نفعان از نوع رفتار شرکت بالاتر از همیشه است. از شرکت‌ها انتظار می‌رود علاوه بر اینکه از قانون تبعیت می‌کنند، میزانی از مسئولیت‌پذیری نسبت به جایگاه اجتماعی خود نیز نشان دهند. مصرف‌کنندگان از شرکت‌ها انتظار دارند در درگیری‌های اجتماعی، همچون دفاع از حقوق سیاه‌پوستان یا جنبش‌های فمینیستی، نقشی مثبت داشته باشند. کارمندان نیز نسبت به سیاست‌ها و اعمال شرکت دغدغه‌های بیشتری نسبت به قبل دارند. قانون‌گذاران و مجریان قانون نیز نگرانی‌های جامعه نسبت به موضوعات خاص همچون امنیت اطلاعات شخصی تا تغییرات اقلیمی آب‌وهوا را با جدیت بیشتری دنبال می‌کنند و در دستورالعمل‌های خود این‌ها را انعکاس می‌دهند.

ریشه‌ی مشکلاتی که شمرده شد را می‌توان در عدم قطعیت در آینده‌ی ژئوپلیتیک دنیا پیدا کرد. دنیا از هر زمانی در گذشته بیشترین سطح از ارتباط را تجربه می‌کند و این را می‌توان از زنجیره‌ی تامین گرفته تا سفر و جریان اطلاعات مشاهده کرد. اما این ارتباطات در خطر هستند و اکثر شرکت‌ها نقش‌هایی آن‌چنان مستحکم در نظام جهانی برای خود نساخته‌اند که با قطع شدن این ارتباطات به آنان اجازه‌ی حیات بدون اختلال دهد.

شرکت‌ها نیازمند مدیریت ریسک پویا و انعطاف‌پذیر هستند تا بتوانند از پس ناوبری در این آینده‌ی نامطئن که در آن تغییرات با سرعت بسیار بالا رخ می‌دهند، بربیایند. سطح بلوغ مدیریت ریسک در صنایع و شرکت‌های مختلف با یکدیگر متفاوت است. به صورت کلی، بانک‌ها دارای بالغ‌ترین رویکرد هستند و بعد از آن‌ها صنایعی قرار دارند که امنیت اولویت اول آن‌هاست، از جمله نفت و گاز، تولید‌ی‌های پیشرفته و صنایع داروسازی. با این حال بهتر است تمامی سازمان‌ها رویکرد خود نسبت به مدیریت ریسک را بازنگری کنند تا برای شرایط آینده‌ آمادگی داشته باشند. در ادامه پایه‌های اساسی یک سیستم مدیریت ریسک پویا و اقداماتی که شرکت‌ها برای پیاده‌سازی و ایجاد آن لازم دارند شرح داده می‌شود.

پایه‌های اساسی مدیریت ریسک پویا

پایه‌های مدیریت ریسک پویا از سه فعالیت اساسی تشکیل شده است: شناسایی ریسک‌های بالقوه‌ی جدید و ضعف در کنترل‌ها، تعیین اشتهای ریسک و تصمیم‌گیری در مورد رویکرد مدیریت ریسک (شکل 1).

شناسایی ریسک‌‌ها و ضعف در کنترل

سازمان‌ها باید قادر باشند که هم تهدیدهای جدید و هم تغییرات در تهدیدهای فعلی را شناسایی کنند. امروزه، بسیاری از شرکت‌ها دیدگاهی ایستا و فرمول‌وار نسبت به ریسک‌ها دارند که ارتباط بسیار محدودی با تصمیمات کسب‌وکاری آن‌ها دارد. برخی از همین شرکت‌ها با شیوع بیماری کرونا با مشکلات جدی مواجه شدند.

در آینده، نیاز است که شرکت‌ها یک سیستم فراپویا برای شناسایی و اولویت‌بندی ریسک‌ها پیاده‌سازی کنند که قادر به همراهی با تغییرات بی‌وقفه‌ی محیط باشد. آن‌ها باید بتوانند تهدیدها را بر اساس داده‌های ورودی و خروجی متناقض پیش‌بینی، ارزیابی و مشاهده کنند. مدیریت ریسک پویا از سازمان‌ها می‌خواهد به سه سوال زیر پاسخ دهند:

• ریسک در طول زمان چطور تغییر و گسترش پیدا می‌کند؟ برخی از ریسک‌ها کند هستند، در حالی که برخی از آن‌ها می‌توانند به سرعت تغییر کنند و شدت بگیرند. فارغ از سرعت، ریسک‌ها می‌توانند دوره‌ای و میانگین‌محور یا ساختاری و دائمی باشند. به صورت تاریخی، اکثر شرکت‌ها روی مدیریت ریسک‌های دوره‌ای و میانگین‌محور، مانند ریسک اعتباری، تمرکز داشته‌اند، که با فاکتورهای کلان اقتصادی بالا و پایین می‌روند. و تا به حال اقتصاد بلندمدت پایه‌ای کسب‌وکارها دوام آورده و صرفاً نیازمند تغییراتی جزئی در مواقع تغییر دوره‌ بوده است. اما اصول سنتی مسیر و دوره‌ای بودن ریسک‌ها دیگر مانند قبل صادق نیستند. شوک اقتصادی همه‌گیری کرونا نشان داد که بسیاری از شرکت‌ها برای وقایعی با تأثیرات اساسی و بلندمدت که روند کسب‌وکار را به صورت پایه‌ای تغییر می‌دهد، آمادگی ندارند.
• آیا برای مقابله با ریسک‌های سیستمیک آمادگی داریم؟ در دنیای امروزی، ریسک از صرفاً تاثیر بر عملکرد فصلی بر صورت‌های مالی فراتر رفته و عواقب بلندمدت بر شهرت و انطباق دارد. شرکت‌ها باید در نظر داشته باشند که آیا واقعه‌ای که در حال رخ دادن است تاثیراتی وسیع‌تر در سطح صنعت، اقتصاد و حتی جامعه نیز دارد یا خیر – و این تاثیر برای آن‌ها چه مفهومی دارد. به‌طور مثال همه‌گیری کرونا بر اکثر شرکت‌ها تاثیر مستقیم داشت، اما در عین حال تاثیراتی ساختاری بر اقتصاد جهانی و جامعه نیز برجا گذاشت. شرکت‌ها باید ارزیابی کنند که آیا کنترل‌ها، استراتژی‌های کاهش و برنامه‌ی مقابله با ریسک‌های سیستمیک بدترین حالت را در دسترس دارند یا خیر. برای مثال، با روند رو به افزایش نگهداری داده‌های مختلف در شرکت‌ها، ریسک نشر داده سیستمیک‌تر می‌شود و پتانسیل آن را دارد که میلیون‌ها مشتری را در سطح جهان تحت تاثیر قرار دهد. این شرکت‌ها باید نحوه‌ی مقابله با ریسک‌ نشر داده را به صورت مداوم پایش کنند و فرآیند آن‌ را یکسره با ذی‌نفعان آن، همچون مشتریان، ناظرین و قانون‌گذاران هماهنگ کنند.
• چه ریسک‌های جدیدی در آینده منتظر ما هستند؟ شرکت‌ها باید سیستمی آن‌چنان گسترده و فراگیر داشته باشند که قادر به شناسایی ریسک‌های جدید و نوظهور قبل از وقوع آن‌ها باشد. رویکردهای سنتی شناسایی ریسک بر اساس اطلاعات و ارزیابی‌های پس از وقوع رخداد دیگر کافی نیستند. اکثر شرکت‌ها تا به حال زیان‌های تاریخی مرتبط با تغییرات آب‌وهوا نداشته‌اند، یا به دلیل یک گرفتن موضع اشتباه در یک رخداد اجتماعی دچار ریسک شهرت نشده‌اند. سازمان‌ها باید با همکاری میان بخش‌های مختلف اجرایی و ستادی خود راهنمایی آینده‌نگرانه نسبت به عوامل ایجاد ریسک خود تهیه کنند. برای داشتن دیدگاهی واقعی از این عوامل، شرکت‌ها باید معیارهای عملکرد داخلی، شاخص‌های خارجی و نظرات کیفی متخصصان مربوطه‌ی کسب‌وکار خود را به دقت بررسی کنند. در این حوزه رویکردهای سناریومحور نقشی کلیدی ایفا می‌کنند زیرا به رهبران اجازه می‌دهند قبل از آن که اوضاع رو به وخامت بگذارد آن را مشاهده کنند.

تعیین اشتهای ریسک

شرکت‌ها نیازمند راهکاری سیستمیک  هستند که در تصمیم‌گیری نسبت به قبول یا دوری از ریسک‌ها راهنمای آن‌ها باشد. امروزه، بسیاری از سازمان‌ها اشتهای ریسک خود را به صورت کاملاً ایستا و خالصاً مالی تعریف می‌کنند. این باعث می‌شود در دو تله‌ی عدم انعطاف‌پذیری و عدم احتیاط گیر بیفتند. برای مثال، شرکت‌هایی که ریسک‌های کافی در زمینه‌ی نوآوری متحمل نمی‌شوند ممکن است میدان را به رقبای چابک‌تر خود ببازند. اما در همین راستا، شرکت‌هایی که تمرکز خود را صرفاً بر معیارهای مالی می‌گذارند ممکن است دست به ریسک‌های ناآگاهانه بزنند – برای مثال، ممکن است با تداوم فعالیت در یک کسب‌وکار سودده که خلاف مواضع اجتماعی مقبول مردم است ریسک شهرت خود را بالا ببرند.

در آینده شرکت‌ها باید اشتهای ریسک خود را طوری تنظیم کنند که با ارزش‌ها، استراتژی‌ها، ظرفیت‌ها و شرایط محیطی در هر زمانی هماهنگ باشد. یک برنامه‌ی مدیریت ریسک سازمان کارا به آن‌ها اجازه می‌دهد به صورت پویا محدوده‌ی ریسک‌پذیری خود را تغییر دهند و مستقیماً معیارها و اصول مالی و غیرمالی را به رفتارهای شرکت در هر زمان ممکن تعمیم دهند. شرکت‌ها باید قادر باشند به پرسش‌های زیر پاسخ دهند:

• باید به چه میزان ریسک بپذیریم؟ تغییرات سریع می‌تواند پروفایل ریسک شرکت‌ها را عمیقاً تغییر دهد. آن‌ها باید اشتهای ریسک خود را به‌گونه‌ای تعدیل کنند که رفتار همواره متغیر مشتریان، ظرفیت‌های دیجیتالی، چشم‌انداز رقابتی و روندهای جهانی را در خود جای دهد. برای مثال، بسیاری از شرکت‌ها که چند سال پیش از استفاده از تکنولوژی‌های ابری امتناع می‌کردند امروزه به دلیل فناوری پیشرفته‌تر و امنیت بالاتر در حال مهاجرت به سوی آن هستند. ناپایداری‌های ژئوپلیتیک پتانسیل آن را دارند که ملاحظات مربوط به ریسک ارز و اعتباری مربوط به صنایع مسافرت و زیرساختی را برای پروژه‌های عظیم چندین ساله را به مخاطره بیندازند.
• آیا باید به کلی از ریسک دوری کنیم؟ شرکت‌های برای برخی موارد خط مشی مشخصی دارند: کلاهبرداری، سواستفاده‌ی جنسی از کارمندان و غیره. اما برای خیلی از ریسک‌ها حد و مرز مشخصی وجود ندارد و هر شرکتی باید با توجه به شرایط خود و حقایق موجود این حدود را مشخص کند. برای مثال، ایا عوامل ریسک‌زایی همچون تغییرات اقلیمی آب‌وهوا ریسک‌های مشخصی را در برخی کسب‌وکارها بی‌اهمیت می‌سازد (برای مثال، توسعه‌ی املاک در مناطق ساحلی)؟ یا آیا ریسک درگیر شدن در میانه‌ی یک معضل اجتماعی یا محیط‌زیستی باعث خواهد شد شرکت به‌کل از آن زمینه دوری کند (برای مثال، برخی از خرده‌فروشان در آمریکا دیگر به فروش اسلحه ادامه ندادند)؟ شرکت‌ها باید دیدگاه خود نسبت به این سوالات را مشخص کنند و همگام با تغییرات محیطی و حقایق جدیدی که وارد بازی می‌شوند آن‌ها را به‌روز کرده و تغییر دهند.
• آیا اشتهای ریسک ما به‌درستی نشان‌دهنده‌ی تاثیرگذاری کنترل‌هایمان است؟ شرکت‌ها در قبول ریسک‌هایی که کنترل بیشتری روی آن‌ها دارند راحت‌تر هستند. اما تهدید فزاینده‌ی ریسک‌های جدید و شدید غیرمالی معادله‌ی تاثیرگذاری کنترل‌ها را به هم ریخته است. برای مثال، بسیاری از کسب‌وکارها انتظار دارند اتوماسیون کارها باعث سریع‌تر شدن فرآیندها، کاهش هزینه‌ها و حذف خطاهای دستی شود. اما در کنار این مزایا، ریسک‌های حملات سایبری و نقض حریم خصوصی کاربران افزایش قابل‌توجهی داشته است. شرکت‌ها باید این معادله‌ی مهم را در ملاحظات پروفایل ریسک خود لحاظ کنند.

تصمیم‌گیری در مورد رویکرد مدیریت ریسک

شرکت‌ها باید در مورد نحوه‌ی شناسایی ریسک‌های جدید یا کنترل نقاط ضعف تصمیمات کلیدی انجام دهند. امروزه، اکثراً برای تصمیم‌گیری در مورد ریسک‌پذیری خود بر فرآیندهای خطی و راهبری کمیته‌محور اتکا می‌کنند که سرعت آن‌ها برای تصمیم‌گیری را تحت‌الشعاع قرار می‌دهد.

اما در آینده‌ی نزدیک، شرکت‌ها باید باید قادر باشند تصمیمات مربوط به ریسک خود را سریع و منعطفانه اتخاذ کنند، برنامه‌ی مقابله‌ی خود را آماده و اجرا کنند و بدانند در مورد هر ریسک قرار است از کدام یک از استراتژی‌های اجتناب، کنترل یا تحمل استفاده کنند. در هنگام تصمیم‌گیری باید مدیران از سرتاسر سازمان درگیر شوند تا در مورد اقدامات کاهش و مقابله که در گذشته به‌درستی جوابگو بوده یا حتی ناکارآمد بوده بحث و انتخاب کنند. به این صورت است که سازمان می‌تواند مدیریت ریسک را متناسب با شرایط دنیای فعلی کسب‌وکار پیاده‌سازی کند. شرکت‌ها باید قادر باشند به سوالات زیر پاسخ دهند:

• چطور باید ریسک‌هایی که با آن‌ها روبرو هستیم را کاهش دهیم؟ تا چندی پیش، بسیاری از شرکت‌ها اتکای زیادی بر کنترل‌های دستی و ارزیابی انسانی از کارآمدی کنترل‌ها داشته‌اند. چنین رویکردی می‌تواند لایه‌های هزینه‌زای اضافی برای برخی بخش‌ها ایجاد کند، در حالی که در قسمت‌های دیگر باعث ایجاد کمبود کنترل شود. امروزه، هنر مقابله با وقایع و خروجی‌های متضاد و دور از انتظار به سرعت در حال پیشرفت است. سیستم‌های کنترل خودکار در فرآیندها جای می‌گیرند و موارد غیرطبیعی را به صورت آنی شناسایی می‌کنند. سقلمه‌های رفتاری افراد را وادار می‌سازد تا رفتار درستی از خود نشان دهند. کنترل‌هایی که تحت راهنمایی پردازش‌های آماری پیشرفته هستند سازمان را در مقابل ریسک محافظت و بروز نتایج مثبت کاذب را کمینه می‌کنند.
• در صورت بروز یک واقعه‌ی ریسکی یا از کار افتادن کنترل‌ها چگونه عمل می‌کنیم؟ در صورت از کار افتادن یک کنترل کلیدی که تبعات جدی در پی دارد، شرکت‌ها باید قادر باشند به سرعت در وضعیت مقابله با بحران قرار بگیرند و دستورالعملی معین برای چنین موقعیتی داشته باشند. اکثر شرکت‌ها اقدامات خاصی برای مقابله با بحران انجام نداده‌اند و معتقند که :«برای ما که اتفاق نمی‌افتد». با این حال، در شرایط نوسانی و دائماً در حال تغییر امروز شرکت‌ها باید توانایی مقابله با بحران به صورت سیستماتیک در فرآیندهای خود نهادینه کنند. آمادگی باید شامل شناسایی سناریوهای منفی بالقوه‌ی مختص سازمان و فراهم آوردن استراتژی‌های یکتا و شخصی‌سازی‌شده برای پیاده‌سازی قبل از رسیدن بحران به اوج خود باشد. این مستلزم اجرای شبیه‌سازی متناوب با حضور مدیریت ارشد و هیئت‌مدیره است. شرکت‌های باید به صورت مداوم و دوره‌ای دستورالعمل‌های بحران خود را بازنگری و به‌روز کنند.
• چطور می‌توانیم تاب‌آوری واقعی را ایجاد کنیم؟ شرکت‌های تاب‌آور نه تنها از بحران‌ها به سلامتی عبور می‌کنند، بلکه قوی‌تر از قبل می‌شوند. شرکت‌ها از هر واقعه‌ی ریسکی درسی جدید فرا می‌گیرند و فرآیندهای ریسک و کنترل خود را بر طبق یک حلقه‌ی بازخوردی پویا بهبود می‌بخشند. شرکت‌ها باید آماده باشند در پنج زمینه تاب‌آوری ایجاد کنند: مالی، عملیاتی، سازمانی، شهرت و تاب‌آوری در مدل کسب‌وکار. برنامه‌های ادامه‌ی حیات کسب‌وکار، مالی و … می‌توانند سپرهایی در برابر بحران به‌وجود بیاورند. اما تاب‌آوری واقعی از تنوع مهارت‌ها، تجربه، نوآوری، حل مسأله‌ی خلاق و امنیت روانی پایه‌ای نشأت می‌گیرد. این ویژگی‌ها در شرایط آرام مفید و در شرایط بحرانی حیاتی هستند.

---

منبع : www.mckinsey.com