مهاجرت از سیستم جزیره‌ای به یکپارچه: رویکردی برای آینده‌ی مدیریت ریسک

مقیاس و دامنه‌ی ریسک‌هایی که امروزه مشاهده می‌کنیم با سرعت بسیای بالایی در حال تغییر و گسترش است. 77 درصد از مدیران ریسک در یک نظرسنجی توسط شرکت اکسنچر عنوان کردند که ریسک‌های به‌هم‌پیوسته‌ی جدید در حال پیدایش هستند. جدیدترین‌ این ریسک‌ها، ریسک وقوع یک همه‌گیری مانند کویید 19 بود که عملیات کسب‌وکارهای مختلف را در سرتاسر دنیا مختل کرد و زنجیره‌های تامین، امنیت سایبری، امنیت کارگران، سلامت مالی و ادامه‌ی حیات کسب‌وکارها را تحت تاثیر قرار داد.

موضوعی که باعث پیچیده‌تر شدن اوضاع می‌شود این است که بازارها و سازمان‌ها حالا بیشتر از هر زمان دیگری به‌هم‌پیوسته هستند. در نتیجه، نقاط تقاطع میان ریسک‌ها نیز در حال افزایش است. دیگر نمی‌توان ریسک‌ها را به‌صورت جداگانه مورد بررسی قرار داد. همچنین باید ارتباط میان ریسک‌های کلاسیک (مانند ریسک‌های بازار) و ریسک‌های نوظهور (مانند همه‌گیری) را نیز مورد بررسی قرار داد.

ریسک‌های کلاسیک ریسک‌های شناخته‌شده‌ای هستند که جنبه‌ی ناشناخته‌ی آن‌ها معیار اصلی ریسک است. در نتیجه، از لحاظ نظری، می‌توان این ریسک‌ها را شناسایی و کنترل کرد. از سوی دیگر، ریسک‌های نوظهور، با اینکه با ریسک‌های کلاسیک ارتباط دارند، تقریباً ناشناخته هستند. از آن رو که نه می‌توان آن‌ها را شناخت یا شناسایی کرد، قابل اندازه‌گیری هم نیستند. این ریسک‌های ناشناخته‌ی ناشناخته – که سازمان‌ها را در معرض عدم‌قطعیت‌ها و زیان‌هایی قرار می‌دهند که به فکرشان هم نمی‌رسد و قادر نیستند برای آن‌ها خود را آماده کنند – را معمولاً با نام قوی سیاه می‌شناسند.

با این مقدمه به سراغ بررسی وضعیت فعلی مدیریت ریسک در سازمان‌های شناخته‌شده و چالش‌های مرتبط با آن می‌رویم. همچنین راهکارهایی برای آمادگی سازمان‌ها برای اتخاذ راهکاری یکپارچه نسبت به مدیریت ریسک و همچنین مدیریت موثر ناشناخته‌های ناشناخته معرفی می‌کنیم.

وضعیت فعلی برنامه‌های مدیریت ریسک

1. برنامه‌های جزیره‌ای مدیریت ریسک، طراحی‌شده برای رفع مشکلات نقطه‌ای

برنامه‌های مدیریت ریسک، به‌خصوص آن‌هایی که با ریسک‌های غیرمالی سروکار دارند، در طول زمان به‌صورت مستقل توسعه یافته‌اند تا الزامات نظارتی معینی را در حوزه‌های قانونی مختلف پوشش دهند. بسیاری از این برنامه‌ها ذاتاً منفعل هستند. آن‌ها بر مقابله با ریسک‌های «ناشناخته‌ی شناخته‌شده» تمرکز دارند که عموماً بر اساس دستورالعمل‌های نظارتی هستند. در حالی که برخی از این برنامه‌ها طوری توسعه یافته و پیشرفت کرده‌اند تا ریسک‌ها را به صورت تکی پایش و مدیریت کنند، آن‌ها به سختی قادر به یکپارچه‌شدن با چارچوب‌های مدیریت ریسک دیگر در سازمان هستند.

این رویکرد پایدار نیست زیرا هر چه جلوتر می‌رویم ریسک‌ها به‌هم‌پیوستگی بیشتری پیدا می‌کنند و تأثیرشان دیگر در قالب یک ریسک جدا دیده نمی‌شود. برای مثال اخیراً در یکی از بانک‌های بزرگ ایالات متحده، یک واقعه‌ی ریسکی میلیون دلاری در قالب یک زیان اعتباری به‌وجود آمد، اما در واقع این ریسک سال‌ها قبل از طریق کنترل‌های ضعیفی که در ریسک عملیاتی اتفاق افتاده بود (عدم حضور فرآیند صحت‌سنجی در فرآیند پرداخت وام و اختلال در سیستم وام‌دهی هسته‌ی مرکزی بانک) وارد بانک شده بود.

همه‌گیری کووید 19 ریسک دیگری است که تأثیر آن محدود به سلامت عمومی نیست. در گزارشی که یک موسسه‌ی معتبر در زمینه‌ی تأثیرات این همه‌گیری منتشر کرد، چند چالش بزرگ دنیا برشمرده شده بود: رکود جهانی طولانی، افزایش ورشکستگی‌ها، عدم موفقیت برخی صنایع در بازیابی توان پیشین خود و نرخ‌های بالای بیکاری.

برای درک درست این روابط میان ریسک‌ها نیازمند آن است که از حالت جزیره‌ای خارج شده و تأثیر عملیات کنترل ریسک‌های مختلف را بر ریسک‌های دیگر را بررسی کنیم.

2. ارتباطات پیچیده که منجر به پیدایش ریسک‌های ناشناخته‌ی ناشناخته می‌شود

با گسترش «اقتصاد اشتراکی»، سازمان‌ها وابستگی بیشتری به زیرساخت‌ها و توانایی‌های خارج از شرکت خود پیدا کرده‌اند، حتی گاهی اوقات برای انجام ماموریت‌های حیاتی خود. در نتیجه، نوع ریسک‌ها و همبستگی آن‍ها در حال گسترش است. امروزه، زیان مرتبط با یک پیشامد ریسکی صرفاً با فرکانس و شدت آن سنجیده نمی‌شود، بلکه سرعت گسترش تأثیر آن در میان ریسک‌های همبسته نیز فاکتوری مهم در محاسبه‌ی آن است.

در یک برنامه‌ی ریسک که فراتر از ریسک‌ها یا دپارتمان‌های مختلف نمی‌رود، اندازه‌گیری همبستگی ریسک‌ها و سرعت گسترش آن‌ها بسیار سخت می‌شود زیرا روابط میان ریسک‌ها به خوبی تعریف نشده و پایش نمی‌شود. اما با این حال، در همین تقاطع ریسک‌های مختلف است که پیشامدهای ریسکی ناشاخته‌ی ناشناخته با زیان‌های فاجعه‌آمیز می‌تواند ایجاد و گسترش پیدا کند.
امروزه، سازمان‌ها برای کاربردهای زیادی از هوش مصنوعی گفتاری یا چت‌بات‌ها استفاده می‌کنند. گرچه، استفاده‌ی اصلی این ابزارها خودکارسازی تعاملات با مشتریان بوده است. برای مثال، مشاوران هوشمند در زمینه‌ی خدمات مدیریت ثروت کمک حال افراد هستند. معمولاً ریسک این چت‌بات‌ها را در معرض خطرات مستقیم مانند امنیت اطلاعات و حریم خصوصی داده می‌سنجند، اما موضوعی که معمولاً نادیده گرفته می‌شود تأثیر همبستگی آن‌ها بر ریسک اعتباری است – به خصوص اگر مدل‌های خودآموز هوش مصنوعی که برای ارائه‌ی توصیه‌های سرمایه‌گذاری توسعه پیدا کرده‌اند به سمت دسته‌ی مشخصی از محصولات مالی تمایل پیدا کنند. حتی خطر بزرگ‌تری که می‌تواند رخ دهد ریسک رفتار است که در صورت گمراهی بیش از حد چت‌بات‌ها رخ می‌دهد که قبلاً هم چنین اتفاقی افتاده است.

در حال حاضر، سازمان‌هایی که برنامه‌های ریسک جزیره‌ای دارند به احتمال بسیار زیاد قادر به شناسایی و پایش همبستگی میان ریسک‌های مختلف و فناوری‌های جدید مانند هوش مصنوعی گفتاری نیستند. ریسک‌های ناشناخته‌ی ناشناخته‌ای که از تقاطع ریسک‌های کلاسیک و ریسک‌های نوظهور ریشه می‌گیرند می‌توانند به فجایعی شدید تبدیل شوند و فقط زمانی سازمان متوجه مشکل شود که زیانی عظیم رخ داده است.

3. آگاهی فزاینده از همبستگی ریسک و تأثیر دومینووار آن

همبستگی میان بازارها، که با ریسک‌های نوظهور و روابط آن‌ها با ریسک‌های دیگر ترکیب شده است، باعث افزایش تأثیر سرایت ریسک‌ها شده است که از مرزهای سازمان فراتر می‌رود. امروزه، پروفایل ریسک یک خط کسب‌وکار می‌تواند تحت تأثیر ریسک‌هایی قرار گیرد که از قسمت‌های مختلف سازمان، یا حتی سازمان‌های دیگر ریشه گرفته‌اند. اگر این ریسک‌ها از نمایی بالاتر دیده نشوند، می‌تواند از جزیره‌های خود خارج شده و به شکستی سیستمی در سطح صنعت منجر شوند. خوشبختانه آگاهی نهادهای نظارتی و کسب‌وکار از چنین ریسک‌هایی در حال افزایش است. در بریتانیا، سه نهاد برتر نظارتی آن در مارس سال 2021 مستندی در راستای تلاش‌هایشان برای پیاده‌سازی چارچوب نظارتی قوی‌تری برای تاب‌آوری عملیاتی شرکت‌ها و موسسات مالی منتشر کردند. نهادهای نظارتی نظارتی معتقدند که تاب‌آوری عملیاتی برای پایداری مالی و امنیت و سلامت شرکت‌ها و موسسات مالی بسیار حائز اهمیت است. این گام بسیار مهمی در تغییر دیدگاه نسبت به زمانی است که مدیریت ریسک صرفاً در جزیره‌های جداگانه درون سازمان‌ها مورد بررسی قرار می‌گرفت.

آماده‌سازی سازمان برای یک رویکرد مدیریت ریسک یکپارچه

رویکرد سنتی مدیریت ریسک دیگر برای مقابله با ریسک‌های به‌هم‌پیوسته‌ی دنیای امروز که با سرعتی بالا سرایت پیدا می‌کنند، موثر نیست. سازمان‌ها باید رویکردی یکپارچه برای مدیریت ریسک در پیش گیرند که آمادگی آن‌ها در مقابل ریسک‌ها را از طریق حذف جزیره‌های مدیریت ریسک، تسهیل هماهنگی میان فرآیندهای کسب‌وکار و عملیات‌های مختلف و گسترش سطح دید نسبت به ریسک‌های موجود و در حال ظهور تقویت کند.

مدیریت ریسک یکپارچه (IRM) به عنوان یک برنامه می‌تواند تغییرات قابل توجهی در افراد، مهارت‌ها، فرآیندها و فناوری به وجود آورد. برخی از جنبه‌های کلیدی این تغییر به شرح زیر هستند.

تغییر مکان: با تغییر مکان پایش ریسک و شناسایی مشکلات به اولین خط دفاعی، مهارت‌ها باید از خط اول به خط دوم منتقل شوند. زیرا که خط دوم با درک عمیق‌تری از چالش‌ها و ریسک‌های شناسایی‌شده توسط خط اول کسب می‌کند، می‌تواند برنامه‌هایی طراحی کند که مورد نیاز خط اول است.

تغییر مهارت‌ها: تغییر مهارت‌های متخصصین ریسک امری دومرحله‌ای است. مرحله‌ی اول ایجاد زیرساخت برای بهبود درک انواع ریسک‌های در حال ظهور و همچنین تقویت ظرفیت‌های پایش ریسک است. برای مثال ریسک سایبری را در نظر بگیرید. نه تنها سرعت سرایت و همبستگی آن با دیگر ریسک‌ها بسیار بیشتر از ریسک‌های کساسیک است، بلکه نیازمند سطحی از پایش است که دقیق‌تر و حساس‌تر نسبت به داده است.