خودارزیابی ریسک و کنترل (RCSA)
خودارزیابی ریسک و کنترل (Risk and Control Self Assessment) که به اختصار (RCSA) گفته می شود، نقشی حیاتی در چارچوب ریسک عملیاتی دارند. در حالی که پایگاه داده های رویدادهای ریسک عملیاتی در پاسخگویی به رویدادهای گذشته، موثر هستند، اما برای شناسایی، ارزیابی، نظارت، کنترل و کاهش رویدادهایی که هنوز رخ نداده اند، به عناصر دیگری نیاز است.
روش خودارزیابی ریسک و کنترل ابزاری آینده نگرانه را ارائه می دهد تا بتواند آنچه را که ممکن است در آینده اتفاق بیفتد را ببینیم. نتایج خودارزیابی ریسک و کنترل غالباً بهترین شاخص را برای مکان هایی که باید ریسک کاهش یابد، ارائه می دهند. حتی اگر این ریسک ها به وسیله صاحبان آنها به خوبی شناسایی و درک شده باشند، اما به ندرت ابزاری خارج از چارچوب ریسک عملیاتی وجود دارد که ثبات و شفافیت در گزارشگری و همچنین کاهش و ارجاع این ریسک ها را فراهم کند. به همین دلیل، ارزیابی ریسک و کنترل اغلب مشتاقانه ترین عنصر در برنامه مدیریت ریسک علمیاتی می باشد، زیرا آنها می توانند با فراهم آوردن راهی برای بیان ریسک های یک بخش، به سرعت ارزش افزوده بیافرینند.
خودارزیابی ریسک و کنترل در چارچوب ریسک عملیاتی
همانگونه که در تصویر زیر مشخص شده است، خودارزیابی ریسک و کنترل یکی از عناصر داده ای در چارچوب ریسک عملیاتی می باشد. با این حال، خودارزیابی ریسک و کنترل اغلب مشکل سازترین عنصر در چارچوب مدیریت ریسک عملیاتی هستند، زیرا یافتن روش صحیحی برای مدیریت کردن ارزیابی هایی که متناسب با فرهنگ شرکت، مطابق با الزامات نظارتی و منطبق با اهداف شناسایی، ارزیابی و کنترل ریسک عملیاتی باشد، بسیار دشوار است. بسیاری از شرکت ها تلاش گسترده ای را برای اجرای برنامه های RCSA انجام داده اند تا دریابند که برنامه تدوین شده، نیازهای آنها را برآورده نمی کند و برنامه می بایست مجدداً طراحی و اجرا شود. در واقع ، شرکت های زیادی چندین بار با طراحی مجدد RCSA روبرو شده اند و ممکن است اکنون دوباره به دنبال چگونگی دستیابی به روش صحیح باشند.
بال ۲ تعریف خوبی از خودارزیابی ریسک و کنترل ارائه می دهد که می تواند برای ارزیابی های انجام شده در هر چارچوب ریسک عملیاتی اعمال شود:
". . . روش ارزیابی ریسک در سطح سازمانی یک بانک باید محیط اصلی کسب و کار و عوامل کنترل داخلی را که می تواند پروفایل ریسک عملیاتی آن را تغییر دهد ، ضبط و ثبت کند. این عوامل، ارزیابی ریسک بانک را آینده نگرانه تر نموده، کیفیت کنترل ها را منعکس کرده و محیط عملیاتی بانک را سرعت می بخشد. همچنین به همسو شدن ارزیابی های ریسک با اهداف مدیریت ریسک و تشخیص بهبود و وخیم شدن وضعیت پروفایل ریسک در سریع ترین حالت کمک خواهد نمود."
مزایا و معایب خودارزیابی ریسک و کنترل
خودارزیابی ریسک و کنترل یک دیدگاه ذهنی است که هم بزرگترین مزیت ها و هم قوی ترین چالش های آن را به نمایش می گذارد. مزیت چنین رویکردی این است که فرهنگ مدیریت ریسک عملیاتی را بیشتر در خود جای می دهد. هر بخش، مسئولیت ریسک های خود را در دست می گیرد و ریسک های موجود در حوزه خود را کنترل و ارزیابی می نماید. پس از انجام ارزیابی، دپارتمان/بخش کسب وکار می تواند اقدامات کاهش ریسک را اولویت بندی کرده و ریسک هایی را که برای اصلاح، نیاز به ارجاع به مرجع بالاتر دارند، ارجاع می دهد.
چالش چنین رویکردی این است که دیدگاه ذهنی بکار گرفته شده در این روش ممکن است دقت کمتری از دیدگاه عینی داشته باشد و بنابراین نسبت به امتیازدهی ارزیابی ها، می تواند شک و تردید وجود داشته باشد. در عمل، یک برنامه RCSA که به خوبی طراحی شده است، گزارش دقیق و شفافی از ریسک های عملیاتی تولید می کند که می تواند به طور موثر در شرکت استفاده شود. با این حال، مهم است که هرگز از ماهیت ذهنی بودن این عنصر غافل نشویم و در استفاده از روش های تسهیل گری قوی، کوشا باشیم.
انواع روش های خودارزیابی ریسک و کنترل
چندین روش RCSA وجود دارد و هر کدام مزایا و معایب خاص خود را دارند. روشهای اصلی شامل؛ رویکرد پرسشنامه ، رویکرد کارگاه و رویکرد ترکیبی است.
-
رویکرد پرسشنامه ای
رویکرد مبتنی بر پرسشنامه از الگویی برای ارائه سوالات استاندارد ریسک و کنترل به شرکت کنندگان استفاده می کند. محتوای پرسشنامه توسط تیم ریسک عملیاتی و معمولاً پس از بحثهای فشرده در سراسر شرکت ، طراحی می شود. هر گروه از ریسک ها یا فرآیند تجاری، تجزیه و تحلیل شده و لیستی از ریسک های مرتبط به آنها تهیه می شود و برای هر ریسک، کنترل های مورد انتظار مشخص می گردد.
RCSA مبتنی بر پرسشنامه، به ویژه برای شرکتی که چندین فعالیت مشابه دارد مناسب می باشد. به عنوان مثال، بانکی که شعب بسیاری دارد که محصولات و خدمات یکسانی را ارائه می دهند، RCSA مبتنی بر پرسشنامه، به خوبی قابل استفاده خواهد بود. همچنین می توان نتایج را به صورت الکترونیکی جمع آوری نمود و پاسخ ها را برای شناسایی مضامین، روندها و مناطق ضعف کنترل بالقوه یا افزایش ریسک مقایسه کرد.
یکی از معایب رویکرد مبتنی بر پرسشنامه این است که معمولاً برای تکمیل پرسشنامه، آنها را به شرکت کنندگان خاص از پیش معرفی شده، ارسال می نمایند. به همین دلیل، برای اطمینان از بیان دیدگاه واحد/دپارتمان در ارزیابی و نه فقط اعمال نظر یک فرد، دقت عمل زیادی لازم است. همچنین ممکن است در طراحی اصلی، یک ریسک یا کنترل اساسی نادیده گرفته شود و شرکت کنندگان فرصتی برای ارائه موارد جدید نداشته و یا از بیان آن اکراه داشته باشند.
یک چالش کلی در هر روش مبتنی بر پرسشنامه وجود دارد و آن، این است که شرکت کنندگان تمایل دارند گزینه هایی را که احتمالاً منجر به کمترین کار در پیگیری شود یا نمره میانگین یا حد وسط را نشان می دهد را انتخاب کنند. روش مبتنی بر پرسشنامه کارآمد است و در محیط مناسب بسیار موثر خواهد بود، اما برای اطمینان از برطرف شدن نقایص آن، پشتیبانی کردن آموزش و تسهیل گری را نباید دست کم گرفت.
-
رویکرد کارگاه
در روش کارگاهی RCSA، گفتگو در یک گروهی مشخص با تسهیل گری بخش ریسک عملیاتی است. هر ریسکی مورد بحث قرار می گیرد و کنترل های مربوطه از منظر اثربخشی، امتیاز می گیرند. پس از به ثمر رسیدن کنترل ها، ریسک باقی مانده نمره گذاری می شود ، که اغلب در مقیاس بالا ‐ متوسط ‐ پایین ، همراه با احتمالات مرتبط است.
آمادگی برای کارگاه، معمولاً گسترده بوده و شامل بررسی خسارات گذشته، گزارشات حسابرسی، تطبیق و مصاحبه با مدیران واحدهای کسب و کار و واحدهای پشتیبانی می باشد. چندین مزیت RCSA مبتنی بر کارگاه وجود دارد اما شاید مهمترین آنها این باشد که زمینه ای برای بحث و بررسی عمیق در مورد ریسک های عملیاتی در شرکت فراهم می کند. به همین دلیل، می تواند در تعبیه مدیریت ریسک عملیاتی موثر باشد.
رویکرد گروهی برای امتیاز دهی، این اطمینان را می دهد که به جای یک دیدگاه واحد، مشارکت کامل در امتیازدهی وجود داشته است. با این حال، رسیدن به یک اجماع واقعی می تواند چالش برانگیز باشد و به مهارت های تسهیل گری قوی نیاز دارد. همچنین جلسه کارگاه، اغلب منجر به شناسایی ریسک ها و کنترلهای جدید می شود و بنابراین به غنای چارچوب ریسک عملیاتی کمک می کند.
با این وجود، همانند رویکرد پرسشنامه، رویکرد کارگاهی نیز معایب زیادی دارد. این انعطاف پذیری همچنین می تواند منجر به ناسازگاری و بی ثباتی شود زیرا ممکن است ریسک ها و کنترلها در چندین زمینه، شاید با اصطلاحات متفاوت، مکرراً مطرح و شناسایی شوند. همچنین، تلفیق نتایج می تواند چالش برانگیز باشد زیرا ممکن است خروجی هر کارگاه از سایر کارگاه ها بسیار متفاوت باشد.
یکی دیگر از معایب این است که راه اندازی یک رویکرد مبتنی بر کارگاه، برای بخش ریسک عملیاتی و شرکت بسیار سنگین است. افراد بسیاری در جلسات مشارکت خواهند داشت و آماده سازی و تسهیل می تواند بخش زیادی از منابع واحد ریسک عملیاتی را مصرف کند.
-
رویکرد ترکیبی
با بلوغ و تکامل چارچوب ریسک عملیاتی، طراحی RCSA نیز بلوغ و تکامل می یابد. در این میان، برخی از شرکت ها از هر دو رویکرد پرسشنامه و کارگاهی استفاده می کنند تا از برنامه RCSA خود بیشترین بهره را ببرند. به عنوان مثال، شرکتی که از رویکرد کارگاه در سال اول خود استفاده کرده است، ممکن است از خروجی حاصل از آن کارگاه برای طراحی رویکرد پرسشنامه برای سالهای بعدی استفاده کند.
روش دیگر اینکه، یک شرکت ممکن است پرسشنامه و رویکردهای کارگاهی را به طور متناوب اجرا کند تا اطمینان حاصل شود که ریسک ها و کنترل های جدید شناسایی شده و بحث کاملی از ریسک عملیاتی به طور منظم انجام می شود.
اعتبارسنجی نتایج
در نهایت لازم است تا نتایج تایید گردند. ساده ترین روش اعتبار سنجی، مقایسه نتایج داده های زیان با امتیازات RCSA است. اگر داده های مربوط به زیان، حاکی از آن است که در یک گروه ریسک خاص در منطقه ای، ضررهای قابل توجهی وجود دارد، اما RCSA شدت ریسک کمی را در همان منطقه نشان می دهد، این امر باید نگرانی هایی را ایجاد کند. چنین تناقض هایی باید به بررسی RCSA و توجیه امتیازدهی در RCSA منجر شود. آزمایش مجدد و اعتبارسنجی می تواند توسط خط دفاعی دوم و به صورت مستقل انجام شود.