مدل‌های مشهور مدیریت ریسک سازمانی (ERM): راهنمای جامع COSO و ISO 31000

مدل‌های مشهور مدیریت ریسک سازمانی (ERM)

راهنمای جامع برای درک و پیاده‌سازی چارچوب‌های COSO و ISO 31000

در دنیای کسب‌وکار پرشتاب و غیرقابل‌پیش‌بینی امروز، توانایی مدیریت عدم قطعیت دیگر یک گزینه نیست، بلکه یک عامل حیاتی برای بقا و موفقیت است. سازمان‌ها با طیف وسیعی از ریسک‌ها، از نوسانات بازار و تهدیدات سایبری گرفته تا تغییرات ژئوپلیتیک و اختلالات زنجیره تأمین، روبرو هستند. در چنین محیطی، رویکردهای سنتی و پراکنده به مدیریت ریسک، که در آن هر بخش به صورت جداگانه به ریسک‌های خود رسیدگی می‌کند، دیگر کارآمد نیست. اینجا است که مفهوم مدیریت ریسک سازمانی (Enterprise Risk Management - ERM) وارد میدان می‌شود. ERM یک رویکرد جامع، یکپارچه و استراتژیک است که به دنبال شناسایی، ارزیابی و مدیریت تمامی ریسک‌های یک سازمان در راستای دستیابی به اهداف استراتژیک آن است. برای پیاده‌سازی این رویکرد، دو چارچوب اصلی در سطح جهانی به عنوان استاندارد طلایی شناخته می‌شوند: چارچوب COSO ERM و استاندارد ISO 31000. این مقاله به صورت عمیق به تشریح هر دو مدل، مقایسه آنها و ارائه راهنمایی کاربردی برای انتخاب و پیاده‌سازی مدل مناسب می‌پردازد.

بخش اول: مدیریت ریسک سازمانی (ERM) چیست؟ - فراتر از مدیریت سنتی ریسک

مدیریت ریسک سازمانی (ERM) یک تغییر پارادایم از نگاه دفاعی و واکنشی به ریسک، به یک نگاه فعال، آینده‌نگر و استراتژیک است. در مدیریت ریسک سنتی، تمرکز اصلی بر جلوگیری از ضرر و زیان‌های مالی یا عملیاتی (معمولاً از طریق بیمه یا کنترل‌های داخلی) بود. اما ERM ریسک را در مفهومی وسیع‌تر می‌بیند: «تأثیر عدم قطعیت بر اهداف.» این تعریف هم جنبه‌های منفی (تهدیدها) و هم جنبه‌های مثبت (فرصت‌ها) را در بر می‌گیرد.

چهار اصل بنیادین مدیریت ریسک سازمانی

۱. رویکرد جامع و کل‌نگر (Holistic View)

ERM به جای مدیریت ریسک در سیلوهای بخشی (مالی، عملیاتی، IT و...)، به دنبال ایجاد یک تصویر کامل و یکپارچه از تمامی ریسک‌های سازمان است. این رویکرد به مدیران اجازه می‌دهد تا تأثیرات متقابل ریسک‌ها بر یکدیگر را درک کرده و اولویت‌بندی بهتری انجام دهند.

۲. همسویی کامل با استراتژی

ERM فرآیندی جدا از استراتژی‌گذاری نیست، بلکه بخشی جدایی‌ناپذیر از آن است. در این رویکرد، ریسک‌ها در زمینه اهداف استراتژیک سازمان تعریف و ارزیابی می‌شوند. سوال اصلی این است: «کدام ریسک‌ها می‌توانند مانع از دستیابی ما به اهدافمان شوند و کدام فرصت‌ها می‌توانند به ما در رسیدن به آنها کمک کنند؟»

۳. فرهنگ‌سازی و مسئولیت‌پذیری

ERM تنها وظیفه یک دپارتمان خاص نیست، بلکه مسئولیت همه افراد سازمان، از هیئت مدیره تا کارکنان خط مقدم، است. هدف، ایجاد یک «فرهنگ آگاه از ریسک» (Risk-Aware Culture) است که در آن، تصمیم‌گیری مبتنی بر ریسک به یک هنجار تبدیل شود.

۴. ارزش‌آفرینی به جای اجتناب از ضرر

نگاه مدرن به ERM، آن را نه فقط یک سپر دفاعی، بلکه یک موتور ارزش‌آفرینی می‌داند. با درک بهتر ریسک‌ها، سازمان می‌تواند «ریسک‌های هوشمندانه» را بپذیرد، از فرصت‌های استراتژیک استفاده کند، تخصیص سرمایه را بهینه سازد و اعتماد ذی‌نفعان را افزایش دهد.

بخش دوم: چارچوب COSO ERM - یکپارچه‌سازی استراتژی و عملکرد

چارچوب COSO (The Committee of Sponsoring Organizations of the Treadway Commission) یکی از شناخته‌شده‌ترین و پرکاربردترین مدل‌های ERM در جهان، به ویژه در آمریکای شمالی، است. این چارچوب که اولین بار در سال ۲۰۰۴ منتشر و در سال ۲۰۱۷ به طور کامل بازنگری شد، بر پیوند ناگسستنی میان ریسک، استراتژی و عملکرد سازمانی تأکید دارد.

عنوان نسخه ۲۰۱۷ چارچوب COSO—«مدیریت ریسک سازمانی: یکپارچه‌سازی با استراتژی و عملکرد»—به خوبی فلسفه اصلی آن را نشان می‌دهد: ERM باید در تار و پود فرآیندهای تصمیم‌گیری استراتژیک و مدیریت عملکرد سازمان تنیده شود.

این چارچوب از پنج مؤلفه اصلی و بیست اصل مرتبط تشکیل شده است که یک ساختار جامع برای طراحی، پیاده‌سازی و ارزیابی فرآیندهای ERM فراهم می‌کند:

۱. حاکمیت و فرهنگ (Governance & Culture): این مؤلفه پایه و اساس ERM را تشکیل می‌دهد. هیئت مدیره باید بر ریسک نظارت داشته باشد و مدیریت باید یک فرهنگ سازمانی مطلوب و ارزش‌های اصلی را ایجاد کند.
۲. استراتژی و هدف‌گذاری (Strategy & Objective-Setting): در این بخش، سازمان باید «اشتهای ریسک» (Risk Appetite) خود را تعریف کرده، گزینه‌های استراتژیک را ارزیابی کند و اهداف کسب‌وکار را در راستای استراتژی تدوین نماید.
۳. عملکرد (Performance): این مؤلفه به فرآیندهای روزمره مدیریت ریسک می‌پردازد. ریسک‌ها باید شناسایی، ارزیابی (از نظر شدت و احتمال)، اولویت‌بندی و در نهایت پاسخ داده شوند (پذیرش، اجتناب، کاهش یا انتقال).
۴. بازنگری و تجدیدنظر (Review & Revision): سازمان باید به طور مداوم تغییرات قابل توجه را رصد کرده و عملکرد ریسک و چارچوب ERM خود را بازنگری کند تا از کارایی و مرتبط بودن آن اطمینان حاصل نماید.
۵. اطلاعات، ارتباطات و گزارش‌دهی (Information, Communication, & Reporting): ERM نیازمند استفاده از اطلاعات مرتبط و باکیفیت و برقراری ارتباطات مؤثر در سراسر سازمان است. گزارش‌دهی در مورد ریسک، فرهنگ و عملکرد باید شفاف و مستمر باشد.

بخش سوم: استاندارد ISO 31000 - اصول و راهنمایی‌های جهانی

استاندارد ISO 31000 که توسط سازمان بین‌المللی استانداردسازی (ISO) توسعه یافته، یک رویکرد متفاوت و انعطاف‌پذیرتر به ERM ارائه می‌دهد. برخلاف COSO که یک «چارچوب» دستوری است، ISO 31000 یک «استاندارد راهنما» است که مجموعه‌ای از اصول، یک چارچوب کلی و یک فرآیند را برای مدیریت ریسک پیشنهاد می‌کند. این استاندارد قابل صدور گواهینامه نیست، بلکه هدف آن ارائه بهترین تجارب جهانی است که هر سازمانی می‌تواند آن را متناسب با نیازهای خود بومی‌سازی کند.

فلسفه اصلی ISO 31000 این است که مدیریت ریسک باید بخشی جدایی‌ناپذیر از حاکمیت، رهبری، استراتژی و تمامی فعالیت‌های سازمان باشد. این استاندارد بر سه عنصر کلیدی استوار است:

اصول (Principles): این استاندارد ۱۱ اصل را به عنوان پایه‌های یک مدیریت ریسک مؤثر معرفی می‌کند، از جمله اینکه مدیریت ریسک باید یکپارچه، ساختاریافته، سفارشی، فراگیر، پویا و مبتنی بر بهترین اطلاعات موجود باشد و عوامل انسانی و فرهنگی را در نظر بگیرد.
چارچوب (Framework): این بخش به سازمان‌ها کمک می‌کند تا مدیریت ریسک را در تمام ساختارها و فرآیندهای خود ادغام کنند. این چارچوب شامل عناصری چون رهبری و تعهد، طراحی، پیاده‌سازی، ارزیابی و بهبود مستمر است.
فرآیند (Process): ISO 31000 یک فرآیند سیستماتیک و تکرارشونده برای مدیریت ریسک ارائه می‌دهد که شامل مراحل کلاسیک زیر است: برقراری ارتباط و مشاوره، تعیین دامنه و زمینه، ارزیابی ریسک (شامل شناسایی، تحلیل و سنجش ریسک)، پاسخ به ریسک (Risk Treatment)، و نظارت و بازنگری.

بخش چهارم: COSO در برابر ISO 31000 - کدام چارچوب مناسب شماست؟

انتخاب میان COSO و ISO 31000 به نیازها، فرهنگ، صنعت و الزامات قانونی سازمان بستگی دارد. هیچ‌کدام بر دیگری برتری مطلق ندارد و حتی می‌توان از هر دو به صورت ترکیبی استفاده کرد.

مقایسه کلیدی دو مدل:

فلسفه و رویکرد: COSO بیشتر یک چارچوب «Top-Down» (از بالا به پایین) و مبتنی بر کنترل است که مخاطب اصلی آن هیئت مدیره و مدیران ارشد هستند. ISO 31000 یک استاندارد «Bottom-Up» (از پایین به بالا) و راهنما است که بر ادغام مدیریت ریسک در تمام سطوح و فرآیندها تأکید دارد.
ساختار و جزئیات: COSO با ارائه ۲۰ اصل مشخص، بسیار دقیق‌تر و دستوری‌تر است. ISO 31000 کلی‌تر و مبتنی بر اصول است و انعطاف‌پذیری بیشتری برای بومی‌سازی ارائه می‌دهد.
تمرکز اصلی: تمرکز اصلی COSO بر پیوند ERM با استراتژی و اهداف عملکردی است. تمرکز ISO 31000 بر تبدیل مدیریت ریسک به بخشی جدایی‌ناپذیر از تمام تصمیم‌گیری‌ها در سازمان است.
کاربرد جغرافیایی و صنعتی: COSO در آمریکا و در شرکت‌های سهامی عام که با الزامات قانونی مانند قانون ساربنز-آکسلی روبرو هستند، محبوبیت بیشتری دارد. ISO 31000 به دلیل ماهیت جهانی و انعطاف‌پذیری بالا، در سایر نقاط جهان و در طیف وسیع‌تری از سازمان‌ها (دولتی و خصوصی) استفاده می‌شود.

بخش پنجم: ۵ نکتهٔ کاربردی برای پیاده‌سازی ERM

صرف نظر از چارچوب انتخابی، موفقیت در پیاده‌سازی ERM نیازمند رعایت چند اصل کلیدی است:

۱. حمایت قاطع رهبری: پیاده‌سازی ERM بدون تعهد و حمایت کامل هیئت مدیره و مدیرعامل غیرممکن است. رهبران باید ERM را به عنوان یک اولویت استراتژیک ببینند و منابع لازم را به آن اختصاص دهند.
۲. بومی‌سازی و سفارشی‌سازی: هیچ چارچوبی را نباید کورکورانه کپی کرد. چارچوب انتخابی را متناسب با اندازه، پیچیدگی، فرهنگ و صنعت خاص سازمان خود سفارشی کنید.
۳. شروع کوچک و تمرکز بر ریسک‌های استراتژیک: به جای تلاش برای شناسایی تمام ریسک‌های ممکن در ابتدا، با مهم‌ترین ریسک‌هایی که اهداف استراتژیک شما را تهدید می‌کنند، شروع کنید. موفقیت‌های اولیه، حمایت بیشتری را جلب خواهد کرد.
۴. ارتباطات و آموزش مستمر: ERM یک پروژه یک‌باره نیست، بلکه یک فرآیند فرهنگی مداوم است. به طور منظم در مورد اهمیت ریسک، زبان مشترک ریسک و مسئولیت‌های افراد، آموزش و اطلاع‌رسانی کنید.
۵. استفاده از تکنولوژی به عنوان یک توانمندساز: از نرم‌افزارها و ابزارهای GRC (حاکمیت، ریسک و انطباق) برای خودکارسازی فرآیندها، تجمیع داده‌ها و ایجاد گزارش‌های مدیریتی هوشمند استفاده کنید.

نتیجه‌گیری: مدیریت ریسک به عنوان یک مزیت استراتژیک

مدیریت ریسک سازمانی (ERM) دیگر یک فعالیت حاشیه‌ای یا صرفاً مرتبط با انطباق با مقررات نیست. این یک قابلیت استراتژیک بنیادین است که به سازمان‌ها اجازه می‌دهد تا در یک جهان نامطمئن، با اطمینان بیشتری تصمیم‌گیری کرده، از فرصت‌ها بهره‌برداری نمایند و به اهداف خود دست یابند. چارچوب‌های COSO ERM و ISO 31000، هر دو مسیرهای معتبر و ارزشمندی برای دستیابی به این قابلیت ارائه می‌دهند. انتخاب میان این دو به زمینه و نیازهای سازمان بستگی دارد، اما پیام اصلی هر دو یکسان است: سازمانی که بتواند ریسک را به صورت یکپارچه و هوشمندانه مدیریت کند، نه تنها از خود در برابر تهدیدها محافظت کرده، بلکه یک مزیت رقابتی پایدار برای خود ایجاد نموده است.