ریسک عملیاتی
ریسک چیست؟
ریسک بخشی از هر تلاش انسانی است. از لحظه ای که صبح از خواب بیدار می شویم، رانندگی می کنیم یا از وسایل حمل و نقل عمومی برای رفتن به مدرسه یا محل کار خود استفاده می کنیم تا زمانی که دوباره به تختخواب خود برگردیم، در معرض ریسک های مختلفی هستیم.
آنچه مطالعه ریسک را جذاب می کند این است که اگرچه ممکن است برخی از این ریسک ها کاملاً داوطلبانه نباشد، اما ما به دنبال برخی از ریسک ها هستیم (به عنوان مثال سرعت زیاد در بزرگراه ها، پرش از ارتفاع و یا شرط بندی) و از آنها لذت می بریم. اگرچه ممکن است برخی از این ریسک ها پیش پا افتاده باشند، اما برخی از آنها تفاوت قابل توجهی در زندگی ما ایجاد می کنند. شاید بتوان ادعا کرد که هر پیشرفت بزرگ در تمدن بشری، از اختراع ابزار غارنشینی گرفته تا ژن درمانی، به این دلیل امکان پذیر شده است که فردی مایل بوده است ریسک کند و وضعیت موجود را به چالش بکشد.
در طول تاریخ بشر، ریسک و حفظ بقاء همواره در کنار هم بوده اند. انسانهای اولیه، زندگی کوتاه و بیرحمانه ای داشته اند، زیرا جستجوی غذا و سرپناه آنها را در معرض آسیب های جسمی از سوی حیوانات درنده و آب و هوای نامناسب قرار می داد. حتی با توسعه بیشتر جوامع مستقر در سومر، بابل و یونان، ریسک های دیگری مانند جنگ و بیماری به آنها تحمیل گردید.
غارنشین ریسک پذیر، غذا به دست آورد و غارنشین ریسک گریز از گرسنگی مرد.
مردم، غالباً ریسک را به عنوان تهدیدی برای هدف، در نظر می گیرند. به عبارت دیگر، ریسک را چیزی تصور می کنند که تأثیر منفی بر اهداف بگذارد یا عوامل مؤثر در موفقیت یک کسب و کار را تهدید کند. با این حال ریسک می تواند به همان اندازه که تهدید است، فرصت نیز باشد. به همین دلیل در مباحث تخصصی، همیشه از ریسک به عنوان تهدید سخن نمی گویند، بلکه از تأثیرات مثبت آن نیز صحبت می شود.
عبارت ریسک از واژه ایتالیایی ریسکو (risco یا rischio) به معنی خطر گرفته شده است که در قرن هفدهم وارد زبان انگلیسی گردید. بر اساس تعریفی که در سال1992 میلادی ارائه شد، ریسک را “شانس وقوع یک خطر” تعریف کرده اند که این موضوع، مفهوم احتمال یا عدم اطمینان را نشان می دهد.
در زبان چینی، اصطلاح ریسک با در کنار هم قرار گرفتن دو عبارت بیان شده است که ترجمه آنها “خطر” و “فرصت” می باشد که نشان دهنده تاثیر مثبت و منفی ریسک می باشد. به عبارت دیگر، ریسک به این معنی است که شما به همان اندازه که مستعد صعود هستید به همان اندازه نیز مستعد نزول خواهید بود و ریسک، همواره سرازیری و نزول نیست حتی در مواقعی که چنین احساس می شود.
در حال حاضر تعاریف متفاوتی از ریسک وجود دارد که برخی از آنها عبارتند از:
-
- ریسک عبارت است از خطری که به علت عدم اطمینان در مورد وقوع حادثه ای در آینده، پیش می آید و هر چقدر این عدم اطمینان بیشتر باشد، ریسک بالاتر است.
- ریسک عبارت است از احتمال این که بازده واقعی سرمایه گذاری از میزان مورد انتظار، کمتر شود.
- ریسک عبارت است از حاصل ضرب احتمال وقوع یک رویداد نامطلوب در تاثیر زیان وارده از آن رویداد.
- ریسک، احتمال عدم دستیابی به هدف می باشد.
- ریسک، به معنی احتمال آسیب و یا زیان می باشد.
از میان تعاریف متعدد ارائه شده برای ریسک، تعریفی که کوزو (COSO) ارائه می دهد شاید از متداول ترین و بهترین تعاریف ریسک باشد:
ریسک، احتمال وقوع رویدادی است که دستیابی به استراتژی و اهداف را تحت تاثیر قرار خواهد داد.
تعریف ریسک عملیاتی
اصطلاح ریسک عملیاتی، برای اولین بار در اوایل دهه 1990 در خدمات مالی پدیدار شد. تا مدتها برای تشخیص ریسک های عملیاتی، لازم بود به این سؤال پاسخ داده شود که کدام یک از ریسک ها متفاوت با سایر ریسک ها است، تا بتوانیم آنها را در گروه ریسک های عملیاتی قرار دهیم. با افزایش آگاهی از ریسک و نشر آن، نیاز به داشتن یک تعریف مشترک از ریسک عملیاتی تقویت گردید.
در هر سازمانی، بایستی یک تعریف قابل درک و قابل پذیرش در خصوص ریسک عملیاتی تبیین گردد. در سالهای گذشته تعریف یکسان و متداولی از ریسک عملیاتی در ادبیات ریسک و یا در صنعت مالی مشاهده نمی گردید و ریسک عملیاتی، به ریسک های ذاتی مختلفی گفته می شد که فعالیت های کسب و کار در سراسر سازمان را در بر می گرفت و به دنبال آن، زیان های شدیدی به سازمان وارد می گردید. اما مشخص گردید ریسک های عملیاتی چیزی وسیع تر از این مفهوم بوده و مؤلفه هایی از ریسک های عملیاتی وجود دارد که زمینه ساز سایر ریسک ها است.
اگرچه این نوع ریسک، از صدها سال قبل وجود داشته است اما اصطلاح ریسک عملیاتی به خودی خود، در دهه گذشته تعریف شده است. برخلاف تعاریف “ریسک بازار” و “ریسک اعتباری” که کاملاً شفاف بیان گردیده بود، تعریف ریسک عملیاتی از زمان شکل گیری، به سرعت در حال تکامل بوده است. در ابتدا، به هر نوع ریسك غیرقابل تشخیص که یك بانك با آن روبرو می گردید، ریسک عملیاتی گفته می شد. بررسی انجمن بانكداران انگلیس (BBA) در سال 1999 میلادی نشان داد که اگرچه توافق كلی در مورد مفهوم كلی ریسك عملیاتی وجود دارد، اما از نظر جنبه های تفصیلی، در برخی موارد تنوع آرا وجود دارد. با این حال، بحث و تبادل نظر بیشتر، تعریف این نوع از ریسک را به طور قابل توجهی تصحیح نمود. از لحاظ تئوری، در سازمان های مالی تعاریف زیادی برای ریسک عملیاتی وجود داردکه برخی از آنها عبارتند از:
- ریسک عملیاتی، تمامی ریسک ها به استثناء ریسک های اعتباری و بازار است.
- ریسک های عملیاتی، رویدادها، فعالیتها یا شرایطی هستند که می توانند بر یک سازمان و دستیابی به اهداف تجاری یا کیفی، اثر بگذارند.
- ریسک عملیاتی، ریسکی است که از نواقص سیستم های اطلاعاتی یا کنترل های داخلی، منجر به زیان غیر منتظره خواهد شد. این ریسک با خطای انسانی، خرابی سیستم ها و رویه ها یا کنترل های ناکافی همراه است.
- ریسک عملیاتی، ریسک زیان های ناشی از شکست یا عدم کفایت فرآیندها، افراد، سیستم ها و یا ناشی از حوادث بیرونی است. (کمیته نظارت بانکی بال).
تعریف ریسک عملیاتی که اکنون بیشتر در شرکت های ارائه دهنده خدمات مالی مورد استفاده قرار می گیرد، پیشنهادی است که توسط کمیته نظارت بانکی بال طی مستندی با عنوان “ International Convergence of Capital Measurement and Capital Standards ” منتشر شده است، که به شرح ذیل می باشد:
“ریسک عملیاتی، ریسک زیان مستقیم یا غیرمستقیم ناشی از عدم کفایت یا شکست فرآیندهای داخلی، افراد، سیستم ها یا ناشی از حوادث بیرونی است.”
کمیته بال در تعریف ریسک عملیاتی، ریسک حقوقی را به ریسک های عملیاتی اضافه نموده است اما ریسک های استراتژیک و شهرت را از آن حذف نموده و با این کار، تعریف ریسک عملیاتی را محدودتر و دقیق تر ساخته است.
اگرچه این تعریف برای موسسات مالی و بانک ها ابداع شده است، اما این تعریف، مفهوم منطقی از دامنه ریسک عملیاتی در کلیه صنایع است. علیرغم اینکه کمیته بال تعریف ریسک عملیاتی را منتشر کرده است اما آن را به صورت یک بیانیه کلی ارائه داده و تعریف شفاف و واضحی از افراد، فرآیند، سیستم ها و رویدادهای بیرونی بیان نکرده است.
در جدول زیر نمونه هایی از زیر مجموعه های چهار محرک کلیدی در تعریف بال، آورده شده است.
به طور خلاصه می توان گفت، ریسک عملیاتی ریسکی است که با فعالیتهای روزمره یک سازمان در ارتباط است که شامل مدیریت عملکرد فرآیندها، افراد و سیستم ها برای رسیدن به اهداف مورد انتظار می باشد. بانک ها می توانند فرآیندهای خود را برای کاهش خطای انسانی و شکست های عملیاتی تنظیم کرده و برنامه های احتمالی برای کاهش مشکلاتی مانند خرابی سیستم را تهیه کنند.
هر زمان که در شیوه انجام یک کار، ابداع یا اصلاحی صورت بگیرد، باید ریسک های عملیاتی آن مدیریت شود تا شانس موفقیت تا حد ممکن بیشتر شده و درمقابل، احتمال شکست، آسیب یا زیان تا حد ممکن کمتر شود. این یک رویکرد منطقی برای متعادل کردن ریسک ها در برابر منافع حاصل از آن در یک وضعیت و سپس انتخاب موثرترین اقدام است.
مدیریت ریسک عملیاتی
مدیریت ریسک عملیاتی ابزاری برای تصمیم گیری است که به طور سیستماتیک به شناسایی ریسک ها و مزایای عملیات سازمان و انتخاب بهترین اقدام در هر شرایطی کمک می کند. فرایند مدیریت ریسک برای به حداقل رساندن ریسک ها به منظور کاهش فجایع، حفظ دارایی ها و حفاظت از سلامت و رفاه طراحی شده است. این فرایند در هنگام انجام عملیات و رویه های کاری (و نه پس از آن) اجرا می شود که به عنوان مثال می توان به اقداماتی که قبل از هر پرواز در فرودگاه ها انجام می شود، اشاره نمود.
به طور کلی، مدیریت ریسک بیش از آنکه عملی واکنشی باشد، اقدامی پیشگیرانه است. این روش مبتنی بر این فلسفه است که صبر کردن در انتظار وقوع یک حادثه و سپس یافتن راهی که بتوان از وقوع مجدد آن جلوگیری کرد، غیرمسئولانه و بیهوده است. به عبارت دیگر، هر وقت روش کاری را اصلاح می کنیم تا شانس موفقیت بیشتر شود، در حالی که احتمال شکست، آسیب یا زیان را تا حد ممکن کمتر کنیم، در حقیقت ریسک را مدیریت می کنیم. این یک رویکرد متداول برای ایجاد تعادل بین ریسک ها در برابر منافع حاصل از یک وضعیت و سپس انتخاب موثرترین اقدام است.
مدیریت ریسک باید بخشی کاملاً درگیر و ادغام شده در برنامه ریزی و اجرای هر عملیاتی باشد که به طور معمول توسط مدیریت اعمال می شود و نه روشی برای واکنش در هنگام بروز مسائل و مشکلاتی که پیش بینی نشده اند. تعیین دقیق ریسک ها به همراه تجزیه و تحلیل و کنترل آنها، موجب می شود که مسائل و مشکلاتی که ممکن است در شرایط مختلف بروز کند را پیش بینی نموده و روش های مقابله با آن مشکلات، از قبل مشخص شوند.
یک مسئله در مدیریت ریسک های عملیاتی این است که تا زمانی که ریسک رخ ندهد، اطمینان از تأثیر ریسک امکان پذیر نیست و شدت ریسک ممکن است کمتر برآورد شود. یکی دیگر از مسائلی که در ریسک عملیاتی وجود دارد، این است که فضای کسب و کار دائماً در حال تغییر است. بنابراین هنگامی که در مورد نحوه مدیریت یا کنترل ریسک ها تصمیم گیری شد، مهم است که فرایندی برای نظارت فعال، بازنگری و گزارش منظم در چارچوب مدیریت ریسک وجود داشته باشد.
تعریف مدیریت ریسک عملیاتی
بانک مرکزی ج.ا.ا با توجه به منابع تخصصی مختلف، به خصوص اسناد کمیته نظارت بانکی بال در سال 1386 اقدام به انتشار بخشنامه ای به شماره مب/3244 با عنوان “مجموعه رهنمودها برای مديريت مؤثر ريسک عملياتی“، نموده است که در آن مدیریت ریسک عملیاتی را به صورت زیر تعریف نموده است:
مدیریت ریسک عملیاتی “عبارت است از فرآیند شناسایی، ارزیابی و اندازه گیری، تجزیه و تحلیل و واکنش مناسب نسبت به ریسک عملیاتی و نیز نظارت ( شامل پایش و گزارش دهی و …)، مستمر بر آن با توجه به شرایط متغیر محیطی ( اقتصادی، اجتماعی، سیاسی، تکنولوژیک و …).”
در ادامه بخشنامه مذکور به این موضوع اشاره شده است که مديريت ريسک عملياتي از سه جزء ذيل تشکيل می شود:
• شناسایی، ارزیابی و اندازه گیری ریسک عملیاتی؛
• پایش ریسک عملیاتی و گزارش دهی؛
• کنترل ریسک عملیاتی و کاهش آن.
فرایند مدیریت ریسک عملیاتی
اداره کل مطالعات و مقررات بانک مرکزی ج.ا.ا در سال 1383 اقدام به انتشار مجلدی با عنوان “اقدامات موثر برای مدیریت و نظارت ریسک عملیاتی” نموده است که ترجمه رهنمود کمیته بال با نام “Sound Practices for the Management and Supervision of Operational Risk” منتشر شده در سال 2003 میلادی می باشد. در این مجلد، در اصول شماره 4 تا 7 به موضوع مدیریت ریسک اشاره شده است که شامل؛ شناسایی، اندازه گیری، پایش، کاهش-کنترل می باشد. همچنین اصول 6 تا 9 رهنمود کمیته بال با عنوان “Principles for the Sound Management of Operational Risk” منتشره شده در سال 2011 میلادی، در بخش محیط مدیریت ریسک به شناسایی و ارزیابی، پایش و گزارشگری، کنترل و کاهش پرداخته است.
بنابراین با توجه به اصول فوق الذکر و مطالب ارائه شده در تعریف و اجزای مدیریت ریسک علمیاتی، می توان گفت علیرغم اینکه در مستندات مختلف، فرایند مدیریت ریسک به مراحل مختلف تقسیم بندی شده است، لیکن تمامی آنها تفکیک یا ترکیبی از بخش هایی است که در رهنمودهای کمیته بال به آن اشاره شده است. لذا فرایند مدیریت ریسک را می توان به 5 مرحله تقسیم نمود که در چرخه ای به صورت زیر در کنار یکدیگر قرار می گیرند.
1- شناسایی
2- ارزیابی
3- گزارشگری
4- پاسخ به ریسک (کاهش و کنترل)
5- پایش
