LIVE

مدیریت ریسک چیست؟ راهنمای کامل تعریف، مراحل و اجرا با مثال و جدول نمونه

بهزاد ناصر فلاح۲۰ دقیقه مطالعه1398 بازدید
مدیریت ریسک چیست؟ راهنمای کامل تعریف، مراحل و اجرا با مثال و جدول نمونه

مدیریت ریسک یعنی قبل از اینکه ضرر اتفاق بیفتد، بدانید چه چیزی می تواند به شما آسیب بزند، چقدر جدی است و در برابر آن چه کاری انجام می دهید. این تعریف برای یک شرکت ساختمانی، یک فروشگاه آنلاین و یک معامله گر فارکس یکسان است؛ فقط جنس ریسک ها فرق می کند.

ریسک چیست و چه فرقی با خطر و مسئله دارد؟

ریسک یعنی عدم قطعیت درباره نتیجه؛ رویدادی که هنوز اتفاق نیفتاده اما اگر رخ دهد، رسیدن شما به هدف را تحت تاثیر قرار می دهد. سه مفهوم در گفتگوهای روزمره به جای هم استفاده می شوند، در حالی که در ادبیات مدیریت ریسک سه چیز کاملا متفاوت اند:

خطر (Hazard): منبع بالقوه آسیب. سیم برق لخت در انبار، یک خطر است.

ریسک (Risk): احتمال اینکه آن خطر در آینده به یک رویداد زیان بار تبدیل شود. احتمال آتش سوزی ناشی از همان سیم، ریسک است.

مسئله (Issue): ریسکی که دیگر احتمال نیست؛ اتفاق افتاده است. آتش سوزی دیشب، مسئله است و به جای مدیریت ریسک، به مدیریت بحران نیاز دارد.

این تفکیک صرفا بازی با کلمات نیست. برای خطر، حذف یا ایمن سازی انجام می دهید؛ برای ریسک، برنامه پیشگیرانه می چینید؛ برای مسئله، واکنش اضطراری لازم دارید. اگر این سه را با هم قاطی کنید، بودجه و انرژی را صرف چیز اشتباهی می کنید.

ریسک منفی و ریسک مثبت؛ ریسک همیشه به معنای ضرر نیست

در تعریف موسسه مدیریت پروژه (PMI)، ریسک هر عدم قطعیتی است که بر اهداف اثر می گذارد؛ چه این اثر منفی باشد (تهدید) و چه مثبت (فرصت). تعریف استاندارد ISO 31000 هم همین است: اثر عدم قطعیت بر اهداف، بدون قید مثبت یا منفی.

یک مثال از بازار مالی: فرض کنید روی جفت ارز یورو به دلار (EURUSD) پوزیشن خرید دارید و بانک مرکزی اروپا فردا اعلام نرخ بهره دارد. این رویداد یک عدم قطعیت است. اگر تصمیم بانک برخلاف انتظار بازار باشد، تهدید است و می تواند حد ضرر شما را فعال کند. اگر همسو با تحلیل شما باشد، فرصت است و می تواند قیمت را سریع تر از حالت عادی به حد سود برساند. معامله گر حرفه ای برای هر دو سناریو برنامه دارد: برای تهدید، حجم پوزیشن را قبل از خبر کم می کند و برای فرصت، از قبل مشخص کرده در صورت حرکت موافق، بخشی از سود را کجا ذخیره کند.

نتیجه عملی این نگاه دووجهی: مدیریت ریسک فقط سپر دفاعی نیست. سازمان یا معامله گری که فرصت ها را هم در فرایند ریسک وارد می کند، از عدم قطعیت پول در می آورد، نه اینکه فقط از آن فرار کند.

تعریف مدیریت ریسک به زبان ساده

مدیریت ریسک (Risk Management) فرایندی مستمر است که در آن ریسک های موثر بر اهداف را شناسایی، تحلیل و اولویت بندی می کنید، برای مهم ترین ها پاسخ مشخص طراحی می کنید و نتیجه را به طور دائم زیر نظر می گیرید. خروجی این فرایند یک سند خاک خورده نیست؛ مجموعه ای از تصمیم های مشخص است: کدام ریسک را می پذیریم، کدام را کاهش می دهیم، کدام را بیمه می کنیم و از کدام فعالیت کلا صرف نظر می کنیم.

دو نکته این تعریف را از تعریف های کلی جدا می کند. اول اینکه مدیریت ریسک به اهداف گره خورده است؛ بدون هدف مشخص، اصلا نمی توان گفت چه چیزی ریسک است. دوم اینکه چرخه ای است، نه یک بار برای همیشه؛ ریسکی که امروز کم اهمیت است، با تغییر شرایط بازار یا سازمان می تواند شش ماه بعد در صدر فهرست بنشیند.

چرا مدیریت ریسک مهم است؟ درسی که اریکسون ۱.۷ میلیارد دلار بابتش پرداخت

در مارس سال ۲۰۰۰ صاعقه ای به کارخانه تراشه سازی فیلیپس در نیومکزیکو برخورد کرد و آتش سوزی کوچکی رقم زد که در چند دقیقه مهار شد. اما دود و ذرات، اتاق تمیز تولید تراشه را آلوده کرد و تولید هفته ها متوقف شد. این کارخانه تامین کننده تراشه دو غول موبایل بود: نوکیا و اریکسون.

نوکیا ظرف چند روز افت جزئی در تحویل قطعات را از دل داده های زنجیره تامین خودش تشخیص داد، تیم بحران تشکیل داد، ظرفیت خالی سایر کارخانه های فیلیپس را رزرو کرد و تامین کنندگان جایگزین را فعال کرد. اریکسون که تنها به همین یک منبع تکیه کرده بود و سیستم هشدار زودهنگام نداشت، هفته ها بعد متوجه عمق ماجرا شد؛ زمانی که ظرفیت جایگزین قبلا توسط رقیب گرفته شده بود. کمبود قطعات به عرضه گوشی های جدید ضربه زد و اریکسون در آن سال زیانی در حدود ۱.۷ میلیارد دلار در بخش موبایل گزارش کرد؛ ضربه ای که به خروج این شرکت از تولید مستقل گوشی و ادغام با سونی انجامید.

هر دو شرکت با یک رویداد یکسان روبه رو شدند. تفاوت نتیجه، تفاوت در سیستم مدیریت ریسک بود: شناسایی زودهنگام، برنامه جایگزین از پیش آماده و سرعت واکنش. این دقیقا همان چیزی است که یک تریدر هم هر روز تجربه می کند؛ خبر غیرمنتظره برای همه معامله گران یکسان منتشر می شود، اما فقط حساب کسی نابود می شود که بدون حد ضرر و بدون برنامه وارد بازار شده است.

پنج مزیتی که مدیریت ریسک واقعا ایجاد می کند

بقا در روزهای بد: مهم ترین کارکرد مدیریت ریسک جلوگیری از ضرری است که دیگر قابل جبران نیست؛ ورشکستگی برای شرکت و کال مارجین برای معامله گر.

تصمیم گیری با عدد به جای احساس: وقتی ریسک ها امتیاز کمی دارند، بحث «به نظرم خطرناک است» به «امتیاز این ریسک ۲۰ از ۲۵ است» تبدیل می شود.

کاهش هزینه های پنهان: پیشگیری تقریبا همیشه ارزان تر از جبران خسارت است؛ هزینه بیمه در برابر هزینه بازسازی، یا پرداخت چند پیپ بیشتر بابت اسپرد در فارکس به یک بروکر معتبر، در برابر بلوکه شدن کل موجودی نزد بروکر بی اعتبار.

کاهش مسئولیت حقوقی: مستندسازی ریسک ها و اقدامات، در دعاوی و بازرسی ها نشان می دهد سازمان اهمال نکرده است.

مزیت رقابتی: کیس نوکیا نشان داد سازمانی که ریسک را بهتر مدیریت می کند، در بحران سهم بازار رقیب را هم برمی دارد.

انواع ریسک؛ کدام ریسک ها شما را تهدید می کنند؟

دسته بندی ریسک ها به این دلیل مهم است که هر دسته، ابزار سنجش و پاسخ متفاوتی دارد. پنج دسته اصلی که تقریبا هر کسب و کار و هر سبد سرمایه گذاری با آن ها درگیر است:

ریسک مالی

هر ریسکی که مستقیم به جریان پول ضربه می زند: نوسان نرخ ارز، تورم، نرخ بهره، نکول مشتریان و کمبود نقدینگی. برای کسب و کار ایرانی که مواد اولیه را ارزی می خرد و ریالی می فروشد، ریسک نرخ ارز عملا بزرگ ترین قلم ترازنامه ریسک است. در بازارهای مالی، همین دسته به ریسک بازار (حرکت قیمت خلاف پوزیشن)، ریسک نقدشوندگی (نبود خریدار در قیمت منصفانه) و ریسک اعتباری (نکول طرف مقابل یا بروکر) تقسیم می شود.

ریسک عملیاتی

ریسک ناشی از شکست فرایندهای داخلی، خطای انسانی، خرابی سیستم ها یا رویدادهای بیرونی مثل قطعی برق و اختلال زنجیره تامین. آتش سوزی کارخانه فیلیپس یک ریسک عملیاتی بود. برای معامله گر، قطعی اینترنت وسط پوزیشن باز، هنگ کردن پلتفرم معاملاتی هنگام انتشار خبر و اسلیپیج شدید در اجرای سفارش، همگی ریسک عملیاتی هستند؛ به همین دلیل تریدرهای باتجربه اینترنت پشتیبان دارند و حد ضرر را به جای ذهنی، روی سرور بروکر ثبت می کنند.

ریسک استراتژیک

ریسکی که مدل کسب و کار را هدف می گیرد: ورود رقیب قوی، تغییر سلیقه مشتری، تحول فناوری و آسیب به برند. این دسته کندتر از بقیه ظاهر می شود اما مرگبارترین است، چون وقتی خودش را نشان می دهد معمولا دیر شده است.

ریسک سایبری و امنیت اطلاعات

نشت داده مشتریان، باج افزار و نفوذ به حساب ها. برای فعالان بازار ارز دیجیتال این دسته حیاتی است: هک صرافی، فیشینگ کیف پول و لو رفتن کلید خصوصی، ریسک هایی هستند که هیچ ابزاری در تحلیل تکنیکال جلوی آن ها را نمی گیرد و فقط با اقدامات امنیتی (کیف پول سرد، احراز هویت دومرحله ای، تفکیک سرمایه بین چند صرافی) مدیریت می شوند.

ریسک قانونی و اعتباری

تغییر ناگهانی مقررات، جریمه ناشی از عدم انطباق و آسیب به شهرت. تغییر بخشنامه های ارزی و مالیاتی در ایران نمونه ملموس آن است؛ کسب و کاری که سناریوی «اگر این مقررات عوض شود چه می کنیم» را از قبل نوشته باشد، هنگام ابلاغ ناگهانی، هفته ها از رقبا جلوتر است.

نکته حرفه ای: این دسته ها به هم زنجیر می شوند. یک حمله سایبری (سایبری) به نشت داده (قانونی) و فرار مشتریان (استراتژیک) و افت درآمد (مالی) می رسد. در شناسایی ریسک، همیشه بپرسید این ریسک اگر فعال شود، دومینوی بعدی اش چیست.

مراحل مدیریت ریسک؛ فرایند پنج مرحله ای گام به گام

چرخه استاندارد مدیریت ریسک پنج گام دارد. آن را روی یک مثال پیوسته اجرا می کنیم: یک فروشگاه آنلاین ایرانی که پوشاک وارداتی می فروشد. هر جا لازم باشد، معادل همان گام را در معامله گری هم می بینید.

گام ۱: تعیین اهداف و اشتهای ریسک؛ چقدر ریسک می پذیرید؟

قبل از شناسایی هر ریسکی باید سه عدد را روشن کنید که اغلب با هم اشتباه گرفته می شوند:

اشتهای ریسک (Risk Appetite): میزان ریسکی که برای رسیدن به اهداف، آگاهانه و با میل می پذیرید. معامله گری که می گوید «در هر معامله حداکثر یک درصد حساب را ریسک می کنم»، اشتهای ریسک خود را تعریف کرده است.

تحمل ریسک (Risk Tolerance): دامنه انحراف قابل قبول حول همان اشتها در موقعیت های خاص. مثلا «در ستاپ های خیلی قوی تا ۱.۵ درصد هم می پذیرم، اما هرگز بیشتر».

ظرفیت ریسک (Risk Capacity): حداکثر ضرری که بدون نابودی می توانید جذب کنید؛ سقف سخت. برای حساب معاملاتی، این همان حد دراودانی است که بعد از آن دیگر امکان جبران واقع بینانه وجود ندارد.

قاعده طلایی: اشتها باید همیشه کوچک تر از ظرفیت باشد. بخش بزرگی از حساب های سوخته فارکس نتیجه معامله گرانی است که اشتهای ریسکشان (مثلا ریسک ده درصدی در هر پوزیشن با اهرم بالا) از ظرفیت واقعی حسابشان بزرگ تر بود؛ کافی است سه معامله پشت سر هم ناموفق شود تا حساب وارد ناحیه غیرقابل بازگشت شود.

فروشگاه آنلاین مثال ما اهدافش را این طور می نویسد: رشد ۳۰ درصدی فروش سالانه، با پذیرش حداکثر ۱۰ درصد نوسان در حاشیه سود ناشی از نرخ ارز.

گام ۲: شناسایی ریسک ها

هدف این گام ساختن فهرست خام ریسک هاست، نه قضاوت درباره آن ها. سه تکنیک عملی:

طوفان فکری ساختاریافته: با تیم (یا حتی به تنهایی) برای هر دسته از پنج دسته بالا بپرسید: چه چیزی می تواند در این حوزه، هدف ما را منحرف کند؟

سوالات چهارگانه: این رویداد کجا، کی، چرا و چگونه ممکن است رخ دهد و روی کدام هدف اثر می گذارد؟

کالبدشکافی گذشته: ضررهای دو سال اخیر خودتان و رقبا را فهرست کنید؛ ریسکی که یک بار فعال شده، بهترین کاندیدای فهرست است. معامله گرها این کار را با ژورنال معاملاتی انجام می دهند؛ مرور معاملات زیان ده، الگوی ریسک های رفتاری مثل اورترید، فومو و جابه جا کردن حد ضرر را لو می دهد.

در این مرحله فقط بدبین باشید و سانسور نکنید؛ فیلتر کردن کار گام بعدی است.

گام ۳: تحلیل و اولویت بندی با ماتریس ریسک

همه ریسک ها ارزش هزینه کردن ندارند. برای اولویت بندی از یک فرمول ساده استفاده کنید:

امتیاز ریسک = احتمال وقوع × شدت اثر

به هر ریسک از ۱ تا ۵ برای احتمال و ۱ تا ۵ برای شدت اثر نمره بدهید. حاصل ضرب، عددی بین ۱ تا ۲۵ می شود و جایگاه ریسک را در ماتریس ۵×۵ مشخص می کند:

امتیاز ۱۵ تا ۲۵ (ناحیه قرمز): اقدام فوری؛ این ها نباید بدون برنامه پاسخ بمانند.

امتیاز ۶ تا ۱۲ (ناحیه زرد): برنامه پاسخ لازم دارند اما با فوریت کمتر.

امتیاز ۱ تا ۵ (ناحیه سبز): پذیرش و پایش دوره ای کافی است.

یک هشدار مهم درباره محدودیت ماتریس: ریسک های کم احتمال اما فاجعه بار (که به آن ها قوی سیاه هم گفته می شود) در این ماتریس امتیاز فریبنده ای می گیرند. رویدادی با احتمال ۱ و شدت ۵، امتیاز ۵ می گیرد و در ناحیه سبز می نشیند؛ در حالی که اگر رخ دهد کل کسب و کار را می برد. قاعده اصلاحی: هر ریسکی که شدت اثر ۵ دارد، فارغ از احتمالش، حداقل یک برنامه اضطراری مکتوب لازم دارد. صاعقه نیومکزیکو برای اریکسون دقیقا همین نوع ریسک بود.

گام ۴: انتخاب و اجرای پاسخ

برای هر ریسک اولویت دار یکی از پنج استراتژی پاسخ را انتخاب می کنید. این استراتژی ها و معیار انتخاب بین آن ها به قدری مهم اند که بخش جداگانه ای در ادامه مقاله دارند؛ اینجا فقط اصل تصمیم را داشته باشید: هزینه پاسخ نباید از اثر ریسک بیشتر شود و برای هر ریسک باید یک مالک مشخص (فرد پاسخگو) تعیین شود. ریسک بدون مالک، عملا مدیریت نشده است.

گام ۵: پایش مستمر؛ چرا مدیریت ریسک هیچ وقت تمام نمی شود

ریسک ها زنده اند: احتمال و شدتشان با تغییر شرایط عوض می شود، ریسک های جدید متولد می شوند و بعضی پاسخ ها در عمل جواب نمی دهند. پایش یعنی سه کار مشخص با دوره زمانی مشخص:

بازبینی امتیاز ریسک های ثبت شده (مثلا فصلی).

سنجش اثربخشی پاسخ های اجراشده: آیا امتیاز ریسک بعد از اقدام واقعا پایین آمده؟

اسکن ریسک های نوظهور (تغییر مقررات، فناوری جدید، رقیب جدید).

معادل معامله گری این گام، بازبینی ماهانه ژورنال در کنار بک تست و فوروارد تست در فارکس است: آیا میانگین ریسک به ریوارد معاملات طبق برنامه مانده؟ آیا دراودان از سقف تعیین شده عبور کرده؟ اگر بله، قبل از معامله بعدی باید برنامه اصلاح شود.

چرا بعضی منابع می گویند ۳ مرحله و بعضی ۹ مرحله؟

اگر چند مقاله درباره مراحل مدیریت ریسک خوانده باشید، احتمالا با اعداد متناقض روبه رو شده اید. دلیلش تفاوت مدل های مرجع است، نه اشتباه بودن یکی از آن ها: کرزنر فرایند را در ۴ مرحله خلاصه می کند، موسسه مهندسی نرم افزار (SEI) در ۵ فاز، و چاپمن و وارد مدل ۹ مرحله ای مفصلی برای پروژه های بزرگ ارائه داده اند. منطق همه این مدل ها یکی است: بفهم چه چیزی می تواند خراب شود، بسنج چقدر مهم است، تصمیم بگیر چه می کنی و مراقب باش. مدل های طولانی تر فقط همین چهار حرکت را برای پروژه های پیچیده ریزتر کرده اند. برای شروع، چرخه پنج مرحله ای بالا هم استاندارد است و هم اجرایی.

پنج استراتژی پاسخ به ریسک؛ کی کدام را انتخاب کنیم؟

استراتژییعنی چهمثال کسب و کارمثال معامله گریبهترین زمان استفاده
اجتناب (Avoid)حذف کامل فعالیت ریسک زاورود نکردن به بازاری با مقررات نامشخصمعامله نکردن هنگام انتشار اخبار مهم (نان فارم پیرول)وقتی اثر ریسک فاجعه بار است و منفعت فعالیت آن را توجیه نمی کند
کاهش (Mitigate)پایین آوردن احتمال یا شدتنصب سیستم اطفای حریق؛ آموزش کارکنانتعیین حد ضرر و کوچک کردن حجم پوزیشنپرکاربردترین استراتژی؛ وقتی فعالیت ارزشمند است اما ریسک باید کنترل شود
انتقال (Transfer)واگذاری بار مالی ریسک به شخص ثالثبیمه آتش سوزی؛ قرارداد با جریمه تاخیر برای پیمانکاراستفاده از حساب های دارای بیمه سپرده یا رگولاتوری معتبر بروکروقتی شدت اثر بالاست اما شخص ثالثی حاضر است با قیمت معقول آن را بپذیرد
پذیرش (Accept)پذیرفتن آگاهانه بدون اقدام خاصپذیرش نوسان جزئی قیمت مواد اولیهپذیرش اسپرد و کارمزد به عنوان هزینه ذاتی معاملهوقتی امتیاز ریسک پایین است یا هزینه هر پاسخی از خود ضرر احتمالی بیشتر است
اشتراک (Share)تقسیم ریسک و منافع با شریکسرمایه گذاری مشترک؛ کنسرسیوم

مشارکت در حساب پم

و تقسیم سرمایه بین چند استراتژیوقتی ریسک برای یک نفر بزرگ است اما در قالب مشارکت قابل هضم می شود

سه قاعده تصمیم که جدول را کامل می کند:

قاعده اول، نسبت هزینه به اثر: هزینه سالانه پاسخ را با «امتیاز ریسک × ضرر تقریبی» مقایسه کنید. پرداخت ۵۰ میلیون تومان حق بیمه برای ریسکی که ضرر محتملش ۲۰ میلیون است، مدیریت ریسک نیست؛ هدر دادن پول است.

قاعده دوم، میزان کنترل شما: روی ریسک هایی که کنترل دارید (فرایند داخلی، حجم پوزیشن) کاهش بهترین انتخاب است. روی ریسک هایی که کنترلی ندارید (بلای طبیعی، تصمیم بانک مرکزی) انتقال یا اجتناب منطقی تر است. هیچ تریدری نمی تواند جهت خبر را کنترل کند، اما حجم پوزیشن هنگام خبر صد درصد در کنترل اوست.

قاعده سوم، اجتناب اعتیادآور است: اجتناب امن ترین گزینه به نظر می رسد اما استفاده مکرر از آن یعنی حذف تدریجی همه فرصت ها. کسب و کاری که از هر ریسکی اجتناب کند رشد نمی کند و معامله گری که از ترس ضرر هیچ پوزیشنی نگیرد، معامله گر نیست. اجتناب را برای ریسک های فاجعه بارِ غیرقابل کنترل نگه دارید.

برای ریسک های مثبت (فرصت ها) هم استراتژی های قرینه وجود دارد: بهره برداری (Exploit) یعنی اقدام فعال برای قطعی کردن فرصت، و تقویت (Enhance) یعنی افزایش احتمال یا اثر آن. سیو سود در فارکس به صورت پله ای در روندی که موافق پوزیشن شماست، نمونه ساده تقویت است.

جدول ثبت ریسک (Risk Register)؛ نمونه آماده برای شروع

جدول ثبت ریسک، سند مرکزی کل این فرایند است: یک جدول ساده که هر ریسک، امتیاز، پاسخ و مالک آن را یک جا نگه می دارد. نمونه پرشده برای همان فروشگاه آنلاین پوشاک وارداتی:

ریسکدستهاحتمال (۱-۵)اثر (۱-۵)امتیازاستراتژی پاسخاقدام مشخصمالک ریسکبازبینی بعدی
جهش نرخ ارز و افت حاشیه سودمالی۴۴۱۶کاهشخرید بخشی از ارز مورد نیاز فصل بعد به صورت پیش خرید؛ بازنگری ماهانه قیمت هامدیر مالیماهانه
اختلال در واردات و تاخیر تامین کالاعملیاتی۳۴۱۲کاهش + اشتراکاضافه کردن تامین کننده دوم؛ نگهداری موجودی ایمنی برای ۱۰ کالای پرفروشمدیر تامینفصلی
هک سایت و نشت اطلاعات مشتریانسایبری۲۵۱۰کاهش + انتقالفعال سازی احراز هویت دومرحله ای؛ پشتیبان گیری روزانه؛ بررسی بیمه سایبریمدیر فنیفصلی
تغییر ناگهانی مقررات واردات پوشاکقانونی۲۵۱۰برنامه اضطراریسناریوی مکتوب تغییر منبع تامین به تولید داخل ظرف ۶۰ روزمدیرعاملفصلی
ورود رقیب با قیمت شکنی سنگیناستراتژیک۳۳۹پذیرش + پایشرصد ماهانه قیمت ۵ رقیب اصلی؛ آستانه هشدار: افت ۱۵ درصدی سفارش هامدیر فروشماهانه

به دو ریسک با اثر ۵ دقت کنید: با اینکه امتیازشان از ریسک ارزی کمتر است، هر دو برنامه اضطراری مکتوب دارند؛ همان قاعده اصلاحی قوی سیاه که در گام سوم گفتیم. همین ساختار جدول را می توانید عینا برای حساب معاملاتی خودتان پر کنید؛ ریسک هایی مثل «دراودان بیش از ۱۰ درصد»، «قطعی پلتفرم هنگام خبر» و «مشکل برداشت از بروکر» ردیف های اول آن خواهند بود.

استانداردهای مدیریت ریسک؛ ISO 31000 و COSO ERM در یک نگاه

وقتی مدیریت ریسک از سطح شخصی به سطح سازمان می رسد، دو مرجع اصلی وجود دارد:

ISO 31000COSO ERM
تعریف ریسکاثر عدم قطعیت بر اهداف (خنثی؛ شامل فرصت و تهدید)احتمال وقوع رویداد و اثر آن بر دستیابی به اهداف (تمرکز بر رویداد)
ماهیتاستاندارد بین المللی کوتاه و عمومی (نسخه اول ۲۰۰۹، بازنگری ۲۰۱۸)چارچوب مفصل با ۲۰ اصل در ۵ جزء (نسخه به روز شده ۲۰۱۷)
مناسب برایهر سازمانی با هر اندازه؛ نقطه شروع سادهسازمان هایی با تمرکز بر کنترل داخلی، حسابرسی و گزارشگری مالی
نقطه قوتانعطاف و سادگی؛ قابل اتصال به همه سیستم های مدیریتیعمق در مفاهیمی مثل اشتهای ریسک و اتصال ریسک به استراتژی و عملکرد

انتخاب بین این دو، انتخاب بین درست و غلط نیست؛ انتخاب بین عمومی و تخصصی است. اگر تازه می خواهید مدیریت ریسک را در سازمان مستقر کنید، چارچوب ISO 31000 (رهبری و تعهد، طراحی، اجرا، ارزیابی و بهبود) نقطه شروع سبک تری است. اگر سازمان شما درگیر الزامات حسابرسی و کنترل داخلی است، COSO ERM زبان مشترک حسابرسان است.

مدیریت ریسک در حوزه های مختلف

اصول یکی است، اما ابزارها در هر حوزه شکل خودشان را دارند.

مدیریت ریسک پروژه

در استاندارد PMBOK، مدیریت ریسک یکی از حوزه های دانش اصلی مدیریت پروژه است. دو ابزار اختصاصی این حوزه: ساختار شکست ریسک (RBS) که ریسک ها را مثل درخت، از کل پروژه تا ریز فعالیت ها دسته بندی می کند و کمک می کند چیزی از قلم نیفتد؛ و ذخیره احتیاطی (Contingency Reserve) که بودجه و زمانی است که از قبل برای ریسک های شناسایی شده کنار گذاشته می شود. پروژه ای که ذخیره احتیاطی ندارد، عملا فرض کرده هیچ ریسکی فعال نخواهد شد؛ فرضی که تقریبا هیچ وقت درست از آب در نمی آید.

مدیریت ریسک در معامله گری و سرمایه گذاری

اینجا مدیریت ریسک از یک فرایند سازمانی به مهارت بقا تبدیل می شود، چون بازخورد ضرر فوری و عددی است. چهار ستون مدیریت سرمایه و ریسک در ترید:

قانون ریسک ثابت در هر معامله: بین ۱ تا ۲ درصد موجودی حساب در هر پوزیشن. با ریسک ۱ درصدی، حتی ۱۰ ضرر متوالی فقط حدود ۱۰ درصد دراودان می سازد؛ با ریسک ۱۰ درصدی، همان ۱۰ ضرر یعنی نابودی حساب. تفاوت این دو، تفاوت بین یک دوره بد و پایان کار است.

حد ضرر واقعی، نه ذهنی: حد سود و حد ضرر باید قبل از ورود مشخص شوند و استاپ لاس بعد از ورود فقط در جهت کاهش ریسک جابه جا شود، نه دورتر. استاپ لاسی که در پلتفرم ثبت نشده، هنگام حرکت شارپ بازار یا قطعی سیستم وجود خارجی ندارد؛ نحوه ثبت استاپ لاس و تیک پرافیت در MT5 را یک بار برای همیشه یاد بگیرید و روی سرور بروکر ثبت کنید.

نسبت ریسک به ریوارد: ورود به معامله ای که سود هدفش حداقل ۱.۵ تا ۲ برابر ضرر احتمالی نباشد، در بلندمدت حتی با وین ریت خوب هم حساب را فرسایشی آب می کند. این همان فرمول احتمال × اثر گام سوم است که به زبان معامله ترجمه شده.

مدیریت اهرم و مارجین: اهرم، شدت اثر هر حرکت قیمت را چند برابر می کند؛ یعنی مستقیم روی ستون «اثر» ماتریس ریسک شما می نشیند. انتخاب لوریج مناسب در فارکس به همین دلیل یک تصمیم مدیریت ریسک است، نه یک تنظیم ساده حساب؛ اهرم بالا با حجم بالا، مارجین لول را سریع پایین می آورد و فاصله تا کال مارجین را به اندازه چند کندل کوتاه می کند.

در سرمایه گذاری بلندمدت، ابزار اصلی همین ستون ها نیست بلکه تنوع بخشی است: تقسیم سرمایه بین دارایی هایی که همبستگی کامل ندارند، تا فعال شدن یک ریسک، کل سبد را زمین نزند. تک سهم شدن یا گذاشتن کل سرمایه روی یک رمزارز، دقیقا همان اشتباه تک منبعی بودن اریکسون است در مقیاس شخصی.

مدیریت ریسک سازمانی (ERM) چیست؟

ERM یعنی خارج کردن مدیریت ریسک از جزیره های جداگانه (مالی خودش، فنی خودش، فروش خودش) و نگاه یکپارچه به کل ریسک های سازمان در سطح هیئت مدیره. مزیت اصلی اش دیدن همان زنجیره های دومینویی است که در بخش انواع ریسک گفتیم؛ ریسکی که در نگاه یک واحد کوچک است، در نگاه یکپارچه ممکن است حلقه اول یک بحران سازمانی باشد. چارچوب های ISO 31000 و COSO ERM دقیقا برای استقرار همین نگاه ساخته شده اند.

از کجا شروع کنیم؟ نقشه راه ۳۰ روزه بدون بودجه و بدون تیم

مدیریت ریسک نیازی به نرم افزار گران و واحد مستقل ندارد. این برنامه برای یک کسب و کار کوچک (یا حتی یک معامله گر) قابل اجراست:

هفته اول، تعیین چارچوب: اهداف اصلی سال را بنویسید و برای هر کدام اشتهای ریسک را با عدد مشخص کنید. خروجی: یک صفحه.

هفته دوم، شناسایی: یک جلسه ۹۰ دقیقه ای طوفان فکری با تیم (یا مرور ژورنال و ضررهای گذشته). برای هر پنج دسته ریسک حداقل ۳ مورد بنویسید. خروجی: فهرست خام ۱۵ تا ۲۵ ریسک.

هفته سوم، تحلیل و اولویت بندی: به هر ریسک نمره احتمال و اثر بدهید، جدول ثبت ریسک را با الگوی همین مقاله پر کنید و ۵ ریسک اول را جدا کنید. برای هر ریسک با اثر ۵، یک برنامه اضطراری یک پاراگرافی بنویسید.

هفته چهارم، پاسخ و قرار پایش: برای ۵ ریسک اول، استراتژی پاسخ و یک اقدام مشخص با مسئول و مهلت تعیین کنید. یک قرار تکرارشونده ماهانه ۳۰ دقیقه ای در تقویم بگذارید فقط برای بازبینی همین جدول.

بعد از ۳۰ روز چیزی دارید که بخش بزرگی از کسب و کارها ندارند: یک سیستم زنده، مکتوب و قابل بازبینی برای تصمیم گیری درباره ریسک.

سوالات متداول درباره مدیریت ریسک

مدیریت ریسک به زبان ساده یعنی چه؟

یعنی قبل از وقوع ضرر، ریسک ها را فهرست کنید، مهم ترین ها را با فرمول احتمال × اثر مشخص کنید و برای هر کدام یکی از پنج پاسخ (اجتناب، کاهش، انتقال، پذیرش، اشتراک) را اجرا و پایش کنید.

مراحل مدیریت ریسک کدام اند؟

تعیین اهداف و اشتهای ریسک، شناسایی ریسک ها، تحلیل و اولویت بندی با ماتریس ریسک، طراحی و اجرای پاسخ، و پایش مستمر.

تفاوت ریسک و خطر چیست؟

خطر منبع بالقوه آسیب است (سیم لخت)؛ ریسک احتمال تبدیل آن به رویداد زیان بار در آینده است (احتمال آتش سوزی). خطر را ایمن سازی می کنید، ریسک را مدیریت.

ماتریس ریسک چیست؟

جدولی ۵×۵ که ریسک ها را بر اساس دو محور احتمال و شدت اثر جانمایی می کند تا اولویت اقدام مشخص شود؛ ناحیه قرمز اقدام فوری، زرد برنامه ریزی و سبز پایش.

تفاوت ارزیابی ریسک با مدیریت ریسک چیست؟

ارزیابی ریسک فقط سه گام شناسایی، تحلیل و اولویت بندی را شامل می شود. مدیریت ریسک فرایند کامل تری است که طراحی پاسخ، اجرا و پایش مستمر را هم در بر می گیرد؛ ارزیابی بدون مدیریت، تشخیص بدون درمان است.

منظور از اشتهای ریسک چیست و با تحمل ریسک چه فرقی دارد؟

اشتهای ریسک میزان ریسکی است که آگاهانه برای رسیدن به هدف می پذیرید (مثلا ریسک ۱ درصدی در هر معامله)؛ تحمل ریسک دامنه انحراف مجاز حول همان عدد در شرایط خاص است. هر دو باید زیر ظرفیت ریسک، یعنی سقف ضرر قابل جذب، بمانند.

تفاوت ریسک سیستماتیک و غیرسیستماتیک چیست؟

ریسک سیستماتیک کل بازار را درگیر می کند (تورم، نرخ بهره، بحران اقتصادی) و با تنوع بخشی حذف نمی شود. ریسک غیرسیستماتیک مختص یک شرکت یا صنعت است و با تنوع بخشی سبد قابل کاهش است.

آیا مدیریت ریسک فقط برای شرکت های بزرگ است؟

خیر. اتفاقا کسب و کار کوچک و معامله گر خرد ظرفیت ریسک کمتری دارند و یک ضرر بزرگ برایشان کشنده تر است. نقشه راه ۳۰ روزه همین مقاله بدون بودجه و تیم قابل اجراست.

مدیر ریسک چه کاره است و چه مدرکی لازم دارد؟

مدیر ریسک مسئول استقرار و راهبری همین چرخه در سازمان است: نگهداری جدول ثبت ریسک، گزارش به مدیریت ارشد و پایش پاسخ ها. گواهینامه های شناخته شده این مسیر: PMI-RMP برای ریسک پروژه، FRM (از موسسه GARP) برای ریسک مالی و دوره های سرممیزی ISO 31000 برای ریسک سازمانی.

ISO 31000 چیست؟

استاندارد بین المللی مدیریت ریسک که اصول، چارچوب و فرایند مدیریت ریسک را برای هر نوع سازمانی تعریف می کند؛ ریسک را «اثر عدم قطعیت بر اهداف» می داند و آخرین بازنگری اصلی آن در سال ۲۰۱۸ منتشر شده است.

4.8(۴۲۰ رای)
به این مقاله امتیاز دهید:
اشتراک گذاری

نظرات

هنوز نظری ثبت نشده — اولین نفر باش!

سیگنال رایگان فارکسنظر زندهٔ بازار را ببین
استراتژی مدیریت ریسک چیست؟ — MondFx