مدیریت ریسک سازمانی (ERM)

مفهوم:

مدیریت ریسک سازمانی(Enterprise Risk Management)  یا (ERM)، رویکردی نظام‌مند، یکپارچه و مبتنی بر حاکمیت است که به وسیله آن سازمان، مجموعه ریسک‌های مؤثر بر تحقق اهداف خود را در همه سطوح شناسایی، ارزیابی، پایش، پاسخ‌دهی و گزارش می‌کند. در این رویکرد، ریسک به‌صورت یک موضوع پراکنده و صرفاً عملیاتی دیده نمی‌شود، بلکه به‌عنوان عنصری راهبردی در پیوند با اهداف، سرمایه، عملیات، انطباق، فناوری، شهرت و ارزش‌آفرینی سازمان مورد توجه قرار می‌گیرد.

هدف مدیریت ریسک سازمانی این نیست که ریسک را به صفر برساند؛ چنین چیزی نه ممکن است و نه مطلوب. هدف اصلی آن، ایجاد توازن میان ریسک‌پذیری و کنترل، در چارچوب اشتیاق ریسک و ظرفیت تحمل ریسک سازمان است تا تصمیم‌ها آگاهانه، منسجم و هم‌راستا با راهبرد کلان اتخاذ شوند.

کاربرد در بیمه:

در صنعت بیمه، اهمیت مدیریت ریسک سازمانی از سایر صنایع بیشتر است؛ زیرا شرکت بیمه ذاتاً نهادی ریسک‌پذیر است که از یک‌سو ریسک را از بیمه‌گزار می‌گیرد و از سوی دیگر آن را در قالب ذخایر، سرمایه، بیمه اتکایی و سرمایه‌گذاری مدیریت می‌کند. بنابراین شرکت بیمه هم‌زمان با چندین طبقه از ریسک مواجه است ک شامل ریسک بیمه‌ای، ریسک بازار، ریسک اعتباری، ریسک نقدینگی، ریسک عملیاتی، ریسک راهبردی، ریسک انطباق، ریسک شهرت، ریسک سایبری، ریسک داده و ریسک‌های نوظهور می‌شود.

در چنین محیطی، نبود نظام مدیریت ریسک سازمانی به‌معنای آن است که تصمیم‌ها به‌صورت جزیره‌ای، ناهماهنگ و غالباً واکنشی اتخاذ شوند؛ وضعیتی که می‌تواند به تضعیف توانگری مالی، ناکفایتی ذخایر، رشد نامتناسب پرتفوی، و نهایتاً آسیب به حقوق بیمه‌گزاران منجر شود.

ماهیت:

مدیریت ریسک سازمانی با مدیریت ریسک سنتی تفاوت بنیادین دارد. در مدیریت ریسک سنتی، هر ریسک معمولاً در واحد یا بخش خاصی بررسی می‌شود؛ مثلاً ریسک‌های بیمه‌گری در یک بخش، ریسک‌های مالی در بخشی دیگر و ریسک‌های عملیاتی در جایی دیگر. اما در مدیریت ریسک سازمانی، همه این ریسک‌ها در یک زبان مشترک و یک چارچوب هماهنگ تحلیل می‌شوند. مزیت این نگاه آن است که سازمان می‌تواند اثر هم‌زمان و متقابل ریسک‌ها را ببیند؛ زیرا بسیاری از ریسک‌ها به‌صورت مستقل عمل نمی‌کنند، بلکه یکدیگر را تشدید یا تضعیف می‌کنند. برای نمونه، ضعف در حاکمیت داده می‌تواند به خطای نرخ‌گذاری، ضعف در ارزیابی ریسک، ذخیره‌گیری نادرست و حتی محاسبه اشتباه توانگری مالی منجر شود. در چنین حالتی، یک ضعف اطلاعاتی به‌ظاهر فنی، به یک ریسک سازمانی چندلایه تبدیل می‌شود.

دامنه:

در شرکت بیمه، مدیریت ریسک سازمانی معمولاً بر حوزه‌های زیر اثر می‌گذارد:

  • سیاست‌های پذیرش و نگهداری ریسک
  • تعیین حدود اختیارات و سطوح تصمیم‌گیری
  • طراحی ساختار بیمه اتکایی
  • مدیریت سرمایه و کفایت سرمایه
  • کنترل ریسک‌های سرمایه‌گذاری و نقدینگی
  • مدیریت خسارت و تقلب
  • مدیریت داده و سامانه‌های اطلاعاتی
  • انطباق با مقررات و الزامات ناظر
  • پاسخ‌گویی به ریسک‌های نوظهور مانند ریسک سایبری و ریسک فناوری.

ارکان اصلی:

نظام مدیریت ریسک سازمانی در یک شرکت بیمه، زمانی کارآمد است که چند رکن اساسی در کنار یکدیگر عمل کنند:

  • حاکمیت و مسئولیت‌پذیری: مدیریت ریسک سازمانی بدون حاکمیت روشن، صرفاً به یک بسته گزارش‌دهی تبدیل می‌شود. هیئت‌مدیره باید سیاست کلی ریسک را تصویب کند، اشتیاق ریسک را تعیین کند و بر اجرای آن نظارت داشته باشد. مدیریت ارشد نیز مسئول تبدیل سیاست‌ها به فرآیندهای اجرایی است. واحدهای مدیریت ریسک، اکچوئری، حسابرسی داخلی و تطبیق، نقش‌های مکمل دارند و باید از استقلال و دسترسی کافی برخوردار باشند.
  • شناسایی ریسک: سازمان باید همه ریسک‌های معنادار را در سطح راهبردی، مالی و عملیاتی شناسایی کند. این شناسایی فقط محدود به ریسک‌های قابل مشاهده و جاری نیست؛ ریسک‌های بالقوه، تجمعی، هم‌بسته و نوظهور نیز باید دیده شوند.
  • ارزیابی و سنجش: پس از شناسایی، ریسک‌ها از نظر احتمال وقوع، شدت اثر، سرعت بروز، قابلیت کنترل، و ارتباط با سایر ریسک‌ها ارزیابی می‌شوند. در بیمه، این مرحله اغلب به روش‌های کیفی و کمی توأمان نیاز دارد؛ از ماتریس ریسک گرفته تا مدل‌های آماری، آزمون تنش و سناریونویسی.
  • پاسخ به ریسک: پاسخ به ریسک می‌تواند به‌صورت پذیرش، اجتناب، کاهش، انتقال یا بهره‌برداری باشد. در بیمه، ابزارهایی مانند بیمه اتکایی، تنوع‌بخشی به پرتفوی، کنترل داخلی، محدودیت‌های صدور، مدیریت سرمایه و کنترل‌های ضدتقلب در این مرحله به کار می‌روند.
  • پایش و گزارشگری: ریسک‌ها ثابت نیستند و با تغییر محیط، پرتفوی، فناوری، مقررات و شرایط اقتصادی دگرگون می‌شوند. بنابراین مدیریت ریسک سازمانی باید با پایش مستمر، شاخص‌های کلیدی ریسک، گزارش‌های دوره‌ای و هشدارهای زودهنگام همراه باشد.

جایگاه در صنعت بیمه:

در صنعت بیمه، مدیریت ریسک سازمانی نه یک انتخاب مدیریتی، بلکه بخشی از زیرساخت بقا و سلامت مالی است. چارچوب‌های استاندارد بین‌المللی از جمله اصول اصلی بیمه (IAIS ICPs)، مدل COSO ERM، استاندارد ISO 31000 و الزامات مبتنی بر مقررات توانگری مالی (Solvency II)، بر ضرورت مدیریت یکپارچه و هم‌افزای ریسک، سرمایه و راهبرد (Strategy) تأکید می‌ورزند. بر همین اساس، مدیریت ریسک سازمانی در شرکت‌های بیمه با حوزه‌های کلیدی نظیر حاکمیت شرکتی، توانگری مالی، سیستم‌های کنترل داخلی، استراتژی‌های سرمایه‌گذاری، مدیریت ذخایر فنی و شفافیت در افشای اطلاعات پیوندی مستقیم و ساختاری دارد.

در عمل، نهاد ناظر بیمه‌ای نیز انتظار دارد شرکت بیمه دارای نظامی باشد که در آن ریسک‌ها تعریف و طبقه‌بندی شده باشند، اشتیاق ریسک و حدود پذیرش آن روشن باشد، فرآیندهای کنترلی مستند باشند، اطلاعات ریسک قابل اتکا و به‌روز باشد و تصمیمات کلیدی با تحلیل ریسک و سرمایه همراه شود.

ارتباط با توانگری مالی:

مدیریت ریسک سازمانی فقط برای جلوگیری از زیان طراحی نشده است. یک نظام خوب مدیریت ریسک می‌تواند به سازمان کمک کند تا سرمایه را به‌درستی تخصیص دهد، محصولات سودآورتر را شناسایی کند، از انباشت ریسک‌های نامطلوب جلوگیری کند و فرصت‌های رشد را با ریسک قابل قبول همراه سازد. در شرکت بیمه، تصمیم درباره توسعه پرتفوی، ورود به یک رشته جدید، افزایش ظرفیت اتکایی، یا اصلاح شرایط صدور، زمانی صحیح است که در بستر مدیریت ریسک سازمانی بررسی شود. از این جهت، مدیریت ریسک سازمانی پلی میان حاکمیت، ریسک و راهبرد است.

چالش‌ها:

استقرار مؤثر مدیریت ریسک سازمانی با موانع متعددی مواجه است:

  • نبود فرهنگ ریسک در سطح سازمان
  • جزیره‌ای بودن داده‌ها و سامانه‌ها
  • ضعف کیفیت اطلاعات
  • کمبود نیروی متخصص
  • دشواری سنجش برخی ریسک‌ها
  • فشارهای تجاری برای رشد سریع پرتفوی
  • و ظهور ریسک‌های نوین که مدل‌های سنتی را ناکافی می‌کند.

در بسیاری از شرکت‌ها، چالش اصلی این نیست که ریسک شناسایی نمی‌شود، بلکه این است که ریسک به زبان تصمیم‌گیری مدیریتی ترجمه نمی‌شود. اگر گزارش ریسک صرفاً توصیفی بماند و به تصمیم، محدودیت، اقدام اصلاحی یا تخصیص سرمایه منجر نشود، عملاً مدیریت ریسک سازمانی به کارکرد واقعی خود نرسیده است.

تفاوت با مفاهیم نزدیک:

  • حاکمیت شرکتی: مدیریت ریسک سازمانی ابزار اجرایی برای شناسایی و مدیریت ریسک در آن چارچوب است، در حالی که حاکمیت شرکتی چارچوب هدایت و نظارت شرکت را تعیین می‌کند. همچنین مدیریت ریسک سازمانی گسترده‌تر از کنترل داخلی است، زیرا علاوه بر کنترل خطا و انحراف، بر ریسک‌های راهبردی و فرصت‌های بالقوه نیز تمرکز دارد.
  • مدیریت ریسک عملیاتی: مدیریت ریسک عملیاتی تنها بخشی از ریسک‌های سازمان را پوشش می‌دهد، در حالی که مدیریت ریسک سازمانی کل سازمان را در بر می‌گیرد.

منابع

  • قانون تأسیس بیمه مرکزی ایران و بیمه‌گری مصوب ۱۳۵۰.
  • آیین‌نامه شماره ۱۱۰ شورای عالی بیمه.
  • IAIS, Insurance Core Principles.
  • COSO, Enterprise Risk Management—Integrating with Strategy and Performance.
  • ISO 31000, Risk Management—Guidelines.
  • Solvency II Directive.
ویرایش ظاهر
اندازه متن :
حالت صفحه :
پیشنهاد ویرایش

شما همراهان گرامی می‌توانید با کلیک روی دکمه زیر، پیشنهادات خود را جهت بهبود این مطلب ارائه دهید.