تعریف اشتهای ریسک، ظرفیت و تحمل‌ پذیری ریسک در سازمان

تعریف سطوح اشتها، تحمل پذیری و ظرفیت ریسک

اشتهای ریسک

اشتهای ریسک منعکس کننده میزان ریسکی است که سازمان برای دستیابی به اهداف خود آماده پذیرش آن است. هنگام بررسی سطوح اشتهای ریسک، سه عامل اصلی مهم هستند:

ظرفیت عینی سازمان برای جذب زیان

چقدر ضرر مالی، خدشه به اعتبار یا اختلال عملیاتی را می توان تحمل کرد؟

فرهنگ مدیریتی یا گرایش به پذیرش ریسک

مدیران چقدر تمایل به ریسک پذیری یا احتیاط دارند؟ مثلاً محتاط یا تهاجمی.

ماهیت کسب و کار و نوع ریسک درگیر

مثلاً ریسک خراب شدن نقاله در کارخانه شکلات با ریسک نقص سیستم کنترل پرواز تفاوت جدی دارد.

هیچ استاندارد عمومی یا هنجار مطلقی برای آنچه ریسک قابل قبول یا غیرقابل قبول محسوب می شود وجود ندارد و اشتها به ریسک برای هر سازمان منحصر به فرد است.

تحمل پذیری ریسک

تحمل پذیری ریسک، محدوده انحراف قابل قبول از سطح تعیین شده توسط اشتهای ریسک و اهداف کسب و کار را نشان می دهد، این مفهوم به سازمان ها اجازه می دهد انعطاف پذیری محدودی داشته باشند بدون اینکه از اهداف اصلی خارج شوند.

به عنوان مثال

استانداردها ایجاب می کنند که پروژه ها در چارچوب بودجه و زمان بندی تخمینی تکمیل شوند، اما افزایش بیش از 10 درصد بودجه یا 20 درصد زمان تحمل می شود.

بنابراین:

اشتها به ریسک:  تعهد به اتمام پروژه در محدوده زمان و بودجه مشخص.

تحمل ریسک:  محدوده مجاز برای تخطی از این هدف.

ظرفیت ریسک

اصطلاح ظرفیت ریسک گاهی در بحث های مربوط به اشتهای ریسک به کار می رود. ظرفیت ریسک معمولاً به عنوان بزرگی یا میزان عینی زیانی تعریف می شود که یک سازمان می تواند بدون به خطر انداختن ادامه حیات خود تحمل کند. به همین دلیل، این مفهوم با اشتهای ریسک متفاوت است که به طور کلی بازتاب دهنده تصمیم هیئت مدیره یا مدیریت در مورد میزان ریسک مطلوب است.

تعریف، بازنگری و انتشار سطوح ظرفیت، اشتها و تحمل ریسک

• این سطوح باید مشخص و مستندسازی گردد.
• این سطوح به صورت دوره ای بازبینی و به روزرسانی می شوند و به طور واضح به همه ذینفعان اطلاع رسانی می گردند.
  • تغییر در بازار
  • تغییر در چشم انداز، اهداف و راهبردهای سازمان
  • شرایط جدید ریسک (مثلاً تهدیدات سایبری نوظهور)
• این سطوح توسط هیئت مدیره تائید و تحت تأثیر قرار می گیرند و در استراتژی ها و سیاست هایی که توسط مدیران اجرایی تعیین می شوند، منعکس می گردند.
• این سطوح با فرهنگ کلی ریسک سازمان (ریسک پذیر و فرصت طلب/ریسک گریز و محافظه کار) هم راستا هستند.
• با تعریف این سطوح بین ممنوعیت مطلق ریسک و پذیرش بی رویه تعادل برقرار می گردد.
• در سطوح پایین تر (تاکتیکی) سازمان یا در برخی شرکت های تابعه استثناهایی می توانند تحمل شوند یا آستانه های متفاوتی تعریف شوند، به شرطی که مجموع قرار گرفتن در معرض ریسک در سطح سازمان از اشتهای ریسک تعیین شده فراتر نرود. همچنین استثناها از سیاست های ریسک نیز باید شفاف، مشخص و ابلاغ شده باشد.
• در برخی حوزه ها (مثل رعایت مقررات قانونی)، ممکن است سازمان مجبور باشد سیاست تحمل پذیری صفر داشته باشد. به عنوان مثال تخطی از مقررات PCI DSS غیرقابل پذیرش است. در این موارد، هیچ سطحی از تخطی قابل تحمل نیست.
• مهم نیست چقدر دقیق یا سختگیرانه باشد، مهم این است که:
• تعریف شده، قابل درک و به خوبی ابلاغ شده باشد.
• نه تنها در ارزیابی های ریسک، بلکه در تمام تصمیم گیری های مرتبط با I&T به کار رود.

سایر نکات در خصوص اشتها، تحمل پذیری و ظرفیت ریسک

• بیانیه های اشتهای ریسک اغلب کلی هستند و معمولاً به صورت فرضی یا کلی درباره ریسک صحبت می کنند، مثلاً سازمان ریسک عدم انطباق را نمی پذیرد یا سازمان ریسک تقلب را نمی پذیرد، به جای اینکه ریسک را به صورت عینی و قابل محاسبه بیان کنند. اگرچه چنین نمایندگی هایی از اشتهای ریسک رایج است، اما بسیار دشوار است که آن ها را به عنوان دستورالعمل های مدیریتی در سراسر سازمان پیاده سازی کرد.
• ممنوعیت مطلق ریسک غیرممکن است و بنابراین غیرعملی است. تحت چنین ممنوعیتی علیه ریسک، هر نقص کنترلی برطرف می شد و هر تلاش تجاری با ریسک رد می شد. در عمل، این رویکرد استفاده مولد یا کارآمد از منابع نیست. در عوض، سازمان ها باید تلاش کنند میزان زیانی که قابل قبول است را تعیین کنند و مدیریت را بر اساس آن میزان انجام دهند. یک مثال از یک بیانیه اشتهای ریسک عملی، عینی و قابل محاسبه می تواند این باشد: اگرچه سازمان تمایل دارد اشتهایی برای ریسک I&T نداشته باشد، اما این امر را در دستیابی به اهداف خود غیرعملی می داند. بنابراین، سازمان سناریوهای زیانی را که مجموع زیان های 1 میلیون دلار یا بیشتر را به خطر می اندازد، اصلاح خواهد کرد.
• هر ابتکار تجاری شامل یک مؤلفه ریسک است، بنابراین مدیریت باید اختیار داشته باشد تا فرصت های جدید را در چارچوب ریسک دنبال کند. سازمان هایی که سیاست های اشتهای ریسک و تحمل پذیری محافظه کارانه ای دارند، ممکن است چابکی یا نوآوری لازم برای بهره برداری از فرصت های تجاری جدید را نداشته باشند. در مقابل، سیاست های اشتهای ریسک و تحمل پذیری ممکن است توسط الزامات قانونی، نظارتی یا صنعتی تعیین شوند و ممکن است داشتن هیچ تحمل پذیری برای عدم رعایت چنین الزاماتی مناسب باشد.
• پذیرش مقدار مشخصی از ریسک، لازمه ی نوآوری و فرصت طلبی در کسب وکار است و مدیران نباید چنان مقید به محدودیت های ریسک شوند که نتوانند تصمیمات جسورانه بگیرند. سازمان هایی که اشتهای ریسک و سیاست های تحمل پذیری بسیار محافظه کارانه دارند، ممکن است در بهره برداری از فرصت ها کند و ناکارآمد باشند. محافظه کاری افراطی در سیاست های ریسک می تواند منجر به از دست دادن فرصت های مهم بازار شود و چابکی سازمانی و نوآوری نیازمند پذیرش سطحی از ریسک است.
• ممکن است هزینه مقابله با یک ریسک بیشتر از منابع یا توان سازمان باشد، در این صورت، سازمان ممکن است تحمل پذیری بیشتری نسبت به آن ریسک اتخاذ کند به عنوان مثال یک مصوبه الزام می کند داده های حساس به صورت رمزنگاری ذخیره شوند. اما فناوری مناسب در دسترس نیست، یا هزینه اجرا بسیار بالا است. در این صورت سازمان می تواند آگاهانه ریسک عدم تطابق را بپذیرد.
• ظرفیت ریسک سقف واقعی ریسک پذیری است و اشتهای ریسک سطح مطلوب ریسک پذیری است که معمولاً در زیر سقف ظرفیت قرار دارد. در واقع اشتهای ریسک بخشی از ظرفیت ریسک است.
• اگر اشتها به ریسک از ظرفیت بیشتر شود، سازمان در معرض خطر بقا قرار می گیرد و اگر اشتها به ریسک خیلی پایین تر از ظرفیت باشد، ممکن است سازمان فرصت های سودآور را از دست بدهد.
• ظرفیت ریسک از جنس توان است و اشتهای ریسک از جنس تمایل

جدول مقایسه ای سطوح اشتها، تحمل پذیری و ظرفیت ریسک