تفاوت مدیریت ریسک عادی با مدیریت ریسک شرکتی یا مدیریت ریسک سازمانی ERM چیست؟
مدیریت ریسک عادی و نسبت آن با مدیریت ریسک شرکتی یا ERM مدیریت ریسک سازمانی چیست؟
به احتمال زیاد با مدیریت ریسک آشنایی دارید. نیک می دانید در فضای مدیریت ریسک، نگاه ما رو به جلو بوده و حاصل برهم کنش عوامل و بازیگران محیط و سیستم را تحت نظارت داریم که از دل عدم قطعیت ها، کدام وضعیت و حالت، پدیدار خواهد آمد؟ و این که پیامد، اثر و نتیجه این عدم قطعیت ها بر ما، سازمان و کسب و کارمان چه خواهد بود؟
شناسایی عدم قطعیت، بررسی اثر عدم قطعیت (همان ریسک منفی یا ریسک مثبت)، ارزیابی ریسک ها و رسیدگی کردن به آنها در چارچوب فرآیند و سیستم مدیریت ریسک، تعریف شده که سازمان و واحدهای سازمانی این الگو را دنبال نموده و اجرا می کنند.
تصور کنید مدیر واحد فن آوری اطلاعات IT شرکت را که ریسک های امنیت داده ها و اطلاعات الکترونیکی و شبکه رایانه ای سازمان را شناسایی و ارزیابی می کند. ریسک های با اولویت بالاتر را هدف قرار داده و اقدامات مناسبی را طرح ریزی می کند و با انجام فعالیت هایی به صورت کاربردی، ریسک های سایبری شرکت را کاهش می دهد. اثربخشی اقدامات رسیدگی به ریسک های فن آوری اطلاعات سازمان، پیگیری و پایش شده و در ارزیابی دوره بعدی، کاهش ریسک ها، تصدیق و صحه گذاری می شود.
شاید کنایه پنهان در لابهلای کلمه ها و جمله ها را حس می کنید. نکردید؟! اگر احساس نکردید احتمالا به خاطر آن بوده که تا به این جای کار، واحد فن آوری اطلاعات سازمان، رویکرد و روشی صحیح را قطعا به کار گرفته و مطابق رویه جاری و ابلاغ شده، نسبت به انجام فعالیت های مدیریت ریسک در واحد خود جدیت داشته و اهتمام ورزیده است. از این لحظه و از این موقعیت به بعد است که انقلتهایی پیش خواهند آمد. چه طور؟
اگر ریسک هایی که هم اکنون به آنها پاسخ داده شده، در زمانی دیگر، در واحدی دیگر و یا به شکلی دیگر، نمایان شوند، چه؟
آموزش مدیریت ریسک سازمانی ERM
به عنوان مثال در نظر بگیرید که طراحی رویکرد و اقدامات پاسخگویی به ریسک ها در واحد IT، منجر به تعریف و اجرای تدابیری برای ارتقاء سطح حفاظت سایبری سازمان و قسمت های مربوط شده است. در پیش گرفتن این رویکرد، باعث تعیین و اعمال سطوح کنترلی و مجوزهایی مشخص برای دسترسی کاربران به مدارک، داده ها و اطلاعات الکترونیکی و رایانه ای شده است. بدیهی و قابل پیش بینی است که برای تعدادی از کاربران سیستمها و سامانهها یعنی کارکنان شرکت، محدودیتهایی ایجاد شده باشد.
درک این تغییرات و پذیرش لغو برخی از اختیارات دسترسی به سیستم و شبکه برای تعدادی از مسئولان و مدیران سازمان ممکن است سخت باشد. در این وضعیت، بیم آن می رود که سلب مجوزهایی که پیش از این در اختیار مدیران، مسئولان و کارشناسان بوده، تلقی بی اعتباری یا مورد اعتماد نبودن را نزد آنها به وجود آورد. این تحولات می توانند شدت ریسک های موجود در حوزه منابع انسانی سازمان را افزایش بدهد و یا حتی ریسک های جدیدی را باعث شوند که به وجود بیاید.
تفاوت مدیریت ریسک عادی با مدیریت ریسک سازمانی ERM – سیلوها و جزیره های ریسک
لحظه ای به ذهنتان خطور نفرماید که ایرادی را نسبت به تعیین سطوح دسترسی برای افزایش و ارتقاء امنیت سایبری شبکه سازمان وارد می دانم. خیر و به هیچ صورت، هدف از طرح موضوع، توضیح تفاوت و دادن تصویری از نسبت و رابطه مابین مدیریت ریسک و مدیریت ریسک شرکتی (سازمانی) است.
در این گونه موقعیت هاست که توضیح فاصله و شرح رابطه بین مدیریت ریسک با ERM – مدیریت ریسک سازمانی، ساده تر می شود. این تنها یکی از مسایل موجود در مدیریت ریسک (مدیریت ریسک عادی و معمولی) است که ERM و مدیریت ریسک سازمانی به آن توجه خاص و ویژه دارد.
به هر یک از حوزه های ریسک بازار، ریسک های عملیاتی، ریسک های مالی و . . . اصطلاحا یک سیلو (سایلو – Silo) می گوییم. شبیه آن چه در توضیح تفاوت مدیریت وظیفه ای و واحدی در برابر رویکرد فرآیندی، به آن نگاه جزیره ای می گفتیم.
در شناسایی، تحلیل، ارزیابی و مدیریت ریسک ها با رویکرد ERM به جز انتقال سهوی ریسک از یک سیلو به سیلویی دیگر، مسایل و ملاحظات دیگری هم مد نظر قرار می گیرند که از آنها بیشتر خواهم گفت.
ERM : Enterprise Risk Management
تفاوت مدیریت ریسک عادی با مدیریت ریسک شرکتی ERM یا مدیریت ریسک سازمانی چیست؟
ثبت دیدگاه
مایل به ملحق شدن به بحث هستید ؟به ما بپیوندید !