رشته مدیریت ریسک مجموعه‌ای از دانش را منتشر کرده است که سازمان‌ها باید چه کارهایی را برای مدیریت ریسک انجام دهند. یکی از شناخته‌شده‌ترین منابع استاندارد ISO 31000، مدیریت ریسک دستورالعمل‌ها است که توسط سازمان بین‌المللی استاندارد، یک نهاد استاندارد که معمولاً به عنوان ISO شناخته می‌شود، تهیه شده است.

فرآیند مدیریت ریسک پنج مرحله ای ISO شامل موارد زیر است و می تواند توسط هر نوع نهادی مورد استفاده قرار گیرد:

1. خطرات را شناسایی کنید.
2. احتمال و تأثیر هر یک را تجزیه و تحلیل کنید.
3. اولویت بندی ریسک ها بر اساس اهداف تجاری
4. شرایط خطر را درمان کنید (یا به آنها پاسخ دهید).
5. نتایج را پایش کرده و در صورت لزوم تنظیم کنید.

مراحل ساده هستند، اما کمیته های مدیریت ریسک نباید کار مورد نیاز برای تکمیل فرآیند را دست کم بگیرند. برای شروع، نیاز به درک کاملی از آنچه که سازمان را وادار می کند، دارد. هدف نهایی، ایجاد مجموعه ای از فرآیندها برای شناسایی ریسک هایی است که سازمان با آن مواجه است، احتمال و تأثیر این خطرات مختلف، چگونگی ارتباط هر یک با حداکثر ریسکی که سازمان مایل به پذیرش آن است، و اقداماتی که باید برای حفظ و نگهداری انجام شود. افزایش ارزش سازمانی

گرگ ویت، کارشناس ریسک، مهندس امنیت ارشد صنایع هانتینگتون اینگالز و معمار چارچوب‌های انستیتوی ملی استاندارد و فناوری (NIST) در زمینه امنیت سایبری، می‌گوید: «برای در نظر گرفتن اینکه چه چیزی ممکن است اشتباه پیش برود، باید با آنچه باید درست پیش برود، شروع کنید. حریم خصوصی و خطرات نیروی کار هر آنچه که مرتبط است.

ویت گفت: هنگام شناسایی خطرات، درک این نکته مهم است که طبق تعریف، چیزی فقط در صورتی یک خطر است که تأثیر داشته باشد. برای مثال، طبق دستورالعمل گزارش بین سازمانی NIST (NISTIR 8286A) در مورد شناسایی خطر امنیت سایبری در ERM، چهار عامل زیر باید برای یک سناریوی ریسک منفی وجود داشته باشد:

• دارایی یا منابع ارزشمندی که ممکن است تحت تأثیر قرار گیرد؛
• منبع اقدام تهدیدآمیز که علیه آن دارایی عمل می کند.
• یک شرایط یا آسیب پذیری از قبل موجود که آن منبع تهدید را قادر می سازد تا عمل کند.
• برخی از اثرات مضری که از منبع تهدید که از آن آسیب پذیری سوء استفاده می کند، رخ می دهد.

در حالی که معیارهای NIST به ریسک های منفی مربوط می شود، فرآیندهای مشابهی را می توان برای مدیریت ریسک های مثبت اعمال کرد.

روندهای مدیریت ریسک سازمانی

کارشناسان در مورد چگونگی تکامل مدیریت ریسک شرکت می سنجید.

ویت گفت که در شناسایی سناریوهای ریسکی که می‌توانند اهداف سازمان را مختل یا تقویت کنند، بسیاری از کمیته‌های ریسک اتخاذ رویکردی از بالا به پایین و پایین به بالا را مفید می‌دانند.

در تمرین از بالا به پایین، رهبری فرآیندهای حیاتی سازمان را شناسایی می کند و با ذینفعان داخلی و خارجی همکاری می کند تا شرایطی را که می تواند مانع آنها شود را تعیین کند. دیدگاه پایین به بالا با منابع تهدید (زلزله، رکود اقتصادی، حملات سایبری و غیره) شروع می شود و تأثیر بالقوه آنها را بر دارایی های حیاتی در نظر می گیرد.

ریسک بر اساس دسته بندی ها سازماندهی ریسک ها بر اساس دسته ها نیز می تواند در کنترل ریسک مفید باشد. راهنمای ذکر شده توسط Witte از کمیته سازمان های حامی کمیسیون ترد وی (COSO) از چهار دسته زیر استفاده می کند:

• ریسک استراتژیک (به عنوان مثال، شهرت، روابط با مشتری، نوآوری های فنی)؛
• ریسک مالی و گزارشگری (به عنوان مثال، بازار، مالیات، اعتبار)؛
• ریسک انطباق و حاکمیت (به عنوان مثال، اخلاق، مقررات، تجارت بین المللی، حریم خصوصی)؛
• ریسک عملیاتی (به عنوان مثال، امنیت و حریم خصوصی فناوری اطلاعات، زنجیره تامین، مسائل کارگری، بلایای طبیعی).

به گفته پل کروان، کارشناس انطباق، راه دیگری برای دسته‌بندی ریسک‌ها برای کسب‌وکارها این است که آنها را در چهار نوع ریسک اساسی زیر برای کسب‌وکارها قرار دهند: ریسک‌های مردم، ریسک‌های تسهیلات، ریسک‌های فرآیند و ریسک‌های فناوری.

وظیفه نهایی در مرحله شناسایی ریسک این است که سازمان ها یافته های خود را در یک ثبت ریسک ثبت کنند. این به ردیابی ریسک ها از طریق چهار مرحله بعدی فرآیند مدیریت ریسک کمک می کند. نمونه ای از چنین ثبت ریسک را می توان در گزارش NISTIR 8286A که در بالا ذکر شد یافت.

استانداردها و چارچوب های مدیریت ریسک

همانطور که قوانین انطباق دولت و صنعت در دو دهه گذشته گسترش یافته است، بررسی نظارتی و در سطح هیئت مدیره روی شیوه های مدیریت ریسک شرکت نیز افزایش یافته است، و تجزیه و تحلیل ریسک، ممیزی داخلی، ارزیابی ریسک و سایر ویژگی های مدیریت ریسک را جزء اصلی استراتژی کسب و کار قرار داده است.

آیا یک سازمان می تواند همه اینها را کنار هم بگذارد؟

چارچوب‌های توسعه‌یافته و در حال توسعه‌یافته توسط حوزه مدیریت ریسک کمک خواهد کرد.

در اینجا یک نمونه آورده شده است که با توضیحات مختصری از دو چارچوب شناخته شده شروع می شود. برای جزئیات بیشتر در مورد آنها، خوانندگان باید به تحلیل مایکل کاب، کارشناس امنیتی در مورد ISO 31000 در مقابل COSO مراجعه کنند، که به شباهت ها و تفاوت های آنها و نحوه انتخاب بین این دو می پردازد:

چارچوب COSO ERM:

چارچوب COSO که در سال 2004 راه اندازی شد، در سال 2017 برای رسیدگی به پیچیدگی فزاینده ERM به روز شد. مفاهیم و اصول کلیدی ERM را تعریف می کند، زبان مشترک ERM را پیشنهاد می کند و جهت روشنی را برای مدیریت ریسک ارائه می دهد. این چارچوب که با ورودی پنج سازمان عضو COSO و مشاوران خارجی توسعه یافته است، مجموعه ای از 20 اصل است که در پنج جزء مرتبط به هم سازماندهی شده اند:

• حکومت و فرهنگ
• استراتژی و هدف گذاری
• کارایی
• بررسی و بازنگری
• اطلاعات، ارتباطات و گزارش

همانطور که کاب در مقاله مقایسه ای خود اشاره می کند، نسخه به روز شده COSO بر اهمیت گنجاندن ریسک در استراتژی های تجاری و پیوند ریسک و عملکرد عملیاتی تاکید می کند.

ISO 31000:

استاندارد ISO که در سال 2009 منتشر شد و در سال 2018 مورد بازنگری قرار گرفت، شامل فهرستی از اصول ERM، چارچوبی برای کمک به سازمان ها برای اعمال مکانیسم های مدیریت ریسک در عملیات، و فرآیندی برای شناسایی، ارزیابی، اولویت بندی و کاهش ریسک است.

به گفته کاب، نسخه جدید ISO یک سند کوتاه تر، واضح تر و مختصرتر است که خواندن آن آسان تر از نسخه قبلی خود است. استاندارد 2018 که توسط کمیته فنی مدیریت ریسک ISO با نظرات نهادهای عضو ملی ISO توسعه یافته است، شامل راهنمایی استراتژیک بیشتری در ERM نسبت به نسخه اصلی است. استاندارد جدید همچنین بر نقش مهم مدیریت ارشد در مدیریت ریسک و ادغام مدیریت ریسک در سراسر سازمان تاکید دارد.

استاندارد بریتانیا (BS) 31100:

نسخه فعلی این آیین نامه مدیریت ریسک در سال 2011 صادر شد و فرآیندی را برای اجرای مفاهیم شرح داده شده در ISO 31000 ارائه می کند که شامل کارکردهایی مانند شناسایی، ارزیابی، پاسخ، گزارش و بررسی.

مدل سررسید ریسک جامعه مدیریت ریسک و بیمه (RMM):

چارچوب RMM در حال حاضر در حال به روز رسانی است، اما در نسخه اصلی 2006 به راحتی در دسترس است. RMM هفت ویژگی یک برنامه مدیریت ریسک را فهرست می‌کند و به سازمان‌ها کمک می‌کند تا هر یک را در مقیاسی از سطح عدم وجود تا سطح رهبری ارزیابی کنند.

شرکت‌ها همچنین ممکن است ایجاد چارچوب‌هایی را برای دسته‌های خاصی از ریسک‌ها در نظر بگیرند. به عنوان مثال، چارچوب مدیریت ریسک سازمانی دانشگاه کارنگی ملون، خطرات و فرصت‌های بالقوه را بر اساس دسته‌های ریسک زیر بررسی می‌کند: شهرت، ایمنی زندگی/سلامت، مالی، مأموریت، عملیاتی و انطباق/قانونی.
4 استراتژی مدیریت ریسک
تیم های مدیریت ریسک بسته به احتمال وقوع و شدت تأثیر آنها، گزینه های مختلفی را برای رسیدگی به ریسک ها انتخاب می کنند.
مزایا و چالش های مدیریت ریسک چیست؟

مدیریت مؤثر ریسک‌هایی که می‌توانند تأثیر منفی یا مثبتی بر سرمایه و سود داشته باشند، مزایای زیادی به همراه دارد. همچنین چالش‌هایی را حتی برای شرکت‌هایی با راهبردهای حاکمیتی، ریسک و انطباق کامل به همراه دارد.

مزایای مدیریت ریسک شامل موارد زیر است:

افزایش آگاهی از ریسک در سراسر سازمان؛
اعتماد بیشتر به اهداف و اهداف سازمانی زیرا ریسک در استراتژی لحاظ می شود.
انطباق بهتر و کارآمدتر با دستورات نظارتی و انطباق داخلی، زیرا انطباق هماهنگ است.
بهبود بهره وری عملیاتی از طریق اعمال سازگارتر فرآیندهای ریسک و کنترل؛
ایمنی و امنیت محیط کار بهبود یافته برای کارکنان و مشتریان؛ و
یک تمایز رقابتی در بازار

برخی از چالش‌هایی که تیم‌های مدیریت ریسک باید با آن‌ها مواجه شوند به شرح زیر است:

هزینه ها در ابتدا افزایش می یابد، زیرا برنامه های مدیریت ریسک می توانند به نرم افزار و خدمات گران قیمت نیاز داشته باشند.
تأکید فزاینده بر حاکمیت همچنین واحدهای تجاری را ملزم به سرمایه گذاری زمان و پول برای رعایت آن می کند.
دستیابی به اجماع در مورد شدت خطر و نحوه درمان آن می تواند یک تمرین دشوار و بحث برانگیز باشد و گاهی اوقات منجر به فلج تجزیه و تحلیل ریسک شود.
نشان دادن ارزش مدیریت ریسک به مدیران بدون اینکه بتوانیم اعداد و ارقام سخت را به آنها ارائه کنیم، کار دشواری است.

مروری بر چگونگی ایجاد دوره مدیریت ریسک سازمانی
نحوه ایجاد و اجرای طرح مدیریت ریسک

برنامه مدیریت ریسک نحوه مدیریت ریسک را تشریح می کند. عناصری مانند رویکرد ریسک سازمان، نقش‌ها و مسئولیت‌های تیم‌های مدیریت ریسک، منابعی که برای مدیریت ریسک استفاده می‌کند، خط‌مشی‌ها و رویه‌ها را مشخص می‌کند.

به گفته ویته، فرآیند هفت مرحله ای ISO 31000 یک راهنمای مفید برای دنبال کردن است. در اینجا خلاصه ای از اجزای آن آمده است:

ارتباط الف

مشاوره از آنجایی که افزایش آگاهی از ریسک بخشی ضروری از مدیریت ریسک است، رهبران ریسک باید یک برنامه ارتباطی برای انتقال سیاست ها و رویه های ریسک سازمان به کارکنان و طرف های مربوطه ایجاد کنند. این مرحله، لحن را برای تصمیم گیری های ریسک در هر سطح تعیین می کند. مخاطب شامل هرکسی است که علاقه مند به استفاده سازمان از خطرات مثبت و به حداقل رساندن ریسک منفی است.
ایجاد زمینه. این مرحله مستلزم تعریف ریسک پذیری و تحمل ریسک منحصر به فرد سازمان است – یعنی میزان ریسک می تواند از ریسک پذیری متفاوت باشد. عواملی که در اینجا باید در نظر گرفته شوند عبارتند از اهداف تجاری، فرهنگ شرکت، قوانین نظارتی، محیط سیاسی و غیره.
شناسایی خطر. این مرحله سناریوهای ریسکی را تعریف می‌کند که می‌تواند تأثیر مثبت یا منفی بر توانایی سازمان برای انجام تجارت داشته باشد. همانطور که در بالا ذکر شد، فهرست حاصل باید در یک ثبت ریسک ثبت شده و به روز نگه داشته شود.
تحلیل ریسک. احتمال و تأثیر هر ریسک برای کمک به مرتب سازی ریسک ها تجزیه و تحلیل می شود. تهیه نقشه حرارتی ریسک می تواند در اینجا مفید باشد، زیرا نمایشی بصری از ماهیت و تأثیر ریسک های یک شرکت ارائه می دهد. برای مثال، تماس یک کارمند بیمار، یک رویداد با احتمال زیاد است که تأثیر کمی بر اکثر شرکت‌ها دارد یا هیچ تأثیری ندارد. زلزله، بسته به موقعیت مکانی، نمونه ای از خطر کم احتمال با تاثیر زیاد است. ویت گفت: رویکرد کیفی بسیاری از سازمان‌ها برای ارزیابی احتمال و تأثیر ریسک‌ها ممکن است از تحلیل کمی بیشتر بهره ببرند. مؤسسه FAIR، یک انجمن حرفه‌ای که چارچوب تحلیل عاملی ریسک اطلاعات را در مورد خطرات امنیت سایبری ترویج می‌کند، نمونه‌هایی از رویکرد دوم را دارد.
ارزیابی ریسک. اینجا جایی است که سازمان ها نحوه واکنش به خطراتی را که با آن روبرو هستند تعیین می کنند. تکنیک ها شامل یک یا چند مورد از موارد زیر است:
اجتناب از ریسک: سازمان به دنبال حذف، کناره گیری یا عدم دخالت در خطر بالقوه است.
کاهش ریسک: سازمان اقداماتی را برای محدود کردن یا بهینه سازی ریسک انجام می دهد.
تسهیم یا انتقال ریسک: سازمان با شخص ثالث (مثلاً یک بیمه گر) قرارداد می بندد تا تمام یا برخی از هزینه های ریسکی را که ممکن است رخ دهد یا نباشد، متقبل شود.
پذیرش ریسک: یک ریسک در محدوده ریسک پذیری و تحمل سازمان قرار می گیرد و بدون اقدامی پذیرفته می شود.
درمان خطر. این مرحله شامل اعمال کنترل‌ها و فرآیندهای مورد توافق و تأیید عملکرد آنها طبق برنامه است.
نظارت و بررسی. آیا کنترل ها همانطور که در نظر گرفته شده کار می کنند؟ آیا می توان آنها را بهبود بخشید؟ فعالیت‌های نظارتی باید شاخص‌های کلیدی عملکرد (KPI) را اندازه‌گیری کنند و به دنبال شاخص‌های ریسک کلیدی (KRIs) باشند که ممکن است باعث تغییر در استراتژی شوند.

برای جزئیات بیشتر در مورد آنچه که هر مرحله مستلزم آن است، به مقاله Witte در مورد چارچوب های ERM و پیاده سازی آنها در سازمان مراجعه کنید.
نقشه حرارتی خطر
خطراتی که در مناطق سبز نقشه قرار می گیرند نیازی به اقدام یا نظارت ندارند. خطرات زرد و نارنجی نیاز به اقدام دارند. خطراتی که در قسمت های قرمز نقشه قرار می گیرند نیاز به اقدام فوری دارند.
بهترین شیوه های مدیریت ریسک

یک نقطه شروع خوب برای هر سازمانی که می خواهد بهترین شیوه های مدیریت ریسک را دنبال کند، اصول 11 گانه مدیریت ریسک ISO 31000 است. طبق استاندارد ISO، یک برنامه مدیریت ریسک باید اهداف زیر را برآورده کند:

ایجاد ارزش برای سازمان؛
بخشی جدایی ناپذیر از فرآیند کلی سازمان باشد.
در فرآیند تصمیم گیری کلی شرکت نقش داشته باشد.
صراحتاً به هرگونه عدم قطعیت رسیدگی کنید.
سیستماتیک و ساختارمند باشد.
بر اساس بهترین اطلاعات موجود باشد.
متناسب با پروژه باشد؛
عوامل انسانی، از جمله خطاهای احتمالی را در نظر بگیرید.
شفاف و فراگیر باشد؛
سازگار با تغییر باشد؛ و
به طور مداوم نظارت و بهبود یابد.

دیو شاکلفورد، مشاور امنیتی، گفت: بهترین روش دیگر برای برنامه مدیریت ریسک سازمانی مدرن «اصلاح دیجیتالی» است. این مستلزم استفاده از هوش مصنوعی و سایر فناوری های پیشرفته برای خودکارسازی فرآیندهای دستی ناکارآمد و ناکارآمد است.
شکست های مدیریت ریسک
در اینجا برخی از مهمترین دلایل شکست برنامه های مدیریت ریسک آورده شده است.
محدودیت های مدیریت ریسک و نمونه هایی از شکست

شکست‌های مدیریت ریسک اغلب به سوء رفتار عمدی، بی‌احتیاطی فاحش یا مجموعه‌ای از رویدادهای ناگوار تبدیل می‌شوند که هیچ‌کس نمی‌توانست پیش‌بینی کند. اما، همانطور که جورج لاتون، روزنامه‌نگار فناوری، در بررسی شکست‌های رایج مدیریت ریسک اشاره کرد، اشتباه مدیریت ریسک اغلب به دلیل اشتباهات قابل اجتناب است – و تعقیب سود بی‌سابقه. در اینجا خلاصه ای از اشتباهاتی است که باید اجتناب کنید.

حکومت داری ضعیف داستان درهم تنیده 2020 از پرداخت تصادفی وام 900 میلیون دلاری سیتی گروپ با استفاده از پول خود به وام دهندگان رولون در زمانی که فقط یک سود ناچیز باید پرداخت شود، نشان می دهد که چگونه حتی بزرگترین بانک جهان می تواند مدیریت ریسک را به هم بزند – علیرغم داشتن سیاست های به روز. برای شرایط کاری همه گیر و کنترل های متعدد در محل. انسان

خطا و نرم‌افزار بی‌حساب دخیل بودند، اما در نهایت یک قاضی حکم داد که حکمرانی ضعیف دلیل اصلی آن است. سیتی گروپ توسط رگولاتورهای ایالات متحده 400 میلیون دلار جریمه شد و موافقت کرد که مدیریت ریسک داخلی، حاکمیت داده و کنترل های انطباق خود را اصلاح کند.

تاکید بیش از حد بر کارایی در مقابل انعطاف پذیری. وقتی همه چیز خوب پیش برود، کارایی بیشتر می تواند منجر به سود بیشتر شود. با این حال، انجام کارها سریعتر، سریع‌تر و ارزان‌تر با انجام یکسان آن‌ها در هر بار، می‌تواند منجر به عدم انعطاف‌پذیری شود، همانطور که شرکت‌ها در طول همه‌گیری زمانی که زنجیره‌های تامین از هم پاشیدند متوجه شدند. والنته فورستر گفت: «وقتی به طبیعت جهان نگاه می کنیم… همه چیز همیشه تغییر می کند. بنابراین، ما باید درک کنیم که کارایی عالی است، اما همچنین باید برای همه چیزهایی که اگر می‌شوند برنامه‌ریزی کنیم.»

عدم شفافیت رسوایی مربوط به ارائه نادرست مرگ و میر ناشی از ویروس کرونا در خانه های سالمندان نیویورک توسط دفتر فرماندار نشان دهنده یک شکست رایج در مدیریت ریسک است. پنهان کردن داده‌ها، کمبود داده و داده‌های مخفی شده – چه به دلیل انجام اعمال یا حذف – می‌تواند باعث مشکلات شفافیت شود. همانطور که جاش تسارو کارشناس ریسک به لاتون گفت: “بسیاری از فرآیندها و سیستم ها با در نظر گرفتن ریسک طراحی نشده اند.” داده ها قطع شده و متعلق به رهبران مختلف است. تسارو می‌گوید: «مدیران ریسک اغلب به داده‌هایی که به راحتی در دسترس هستند، رضایت می‌دهند و فرآیندهای حیاتی را نادیده می‌گیرند، زیرا داده‌ها به سختی به دست می‌آیند.

محدودیت های تکنیک های تحلیل ریسک بسیاری از تکنیک های تجزیه و تحلیل ریسک، مانند ایجاد یک مدل ریسک یا شبیه سازی، نیاز به جمع آوری مقادیر زیادی داده دارند. جمع‌آوری گسترده داده‌ها می‌تواند گران باشد و قابل اطمینان بودن آن تضمین نمی‌شود. علاوه بر این، استفاده از داده‌ها در فرآیندهای تصمیم‌گیری ممکن است نتایج ضعیفی داشته باشد اگر از شاخص‌های ساده برای انعکاس موقعیت‌های ریسک پیچیده استفاده شود. علاوه بر این، اعمال تصمیمی که برای یک جنبه کوچک از یک پروژه در نظر گرفته شده است در کل پروژه می تواند منجر به نتایج نادرست شود.

فقدان تخصص تحلیل ریسک برنامه‌های نرم‌افزاری توسعه‌یافته برای شبیه‌سازی رویدادهایی که ممکن است تأثیر منفی بر یک شرکت داشته باشند، می‌توانند مقرون‌به‌صرفه باشند، اما همچنین به پرسنل آموزش‌دیده برای درک دقیق نتایج تولید شده نیاز دارند.

توهم کنترل مدل‌های ریسک می‌توانند به سازمان‌ها این باور نادرست را بدهند که می‌توانند هر ریسک بالقوه را کمیت و تنظیم کنند. این ممکن است باعث شود یک سازمان از احتمال خطرات جدید یا غیرمنتظره غفلت کند.
مدیریت ریسک برای متخصصان حرفه ای

مقالات زیر منابعی را برای متخصصان مدیریت ریسک فراهم می کند:

متخصص مدیریت ریسک چیست؟

مهارت های مدیریت ریسک و اینکه چگونه به شما کمک می کنند کار خود را انجام دهید

گواهینامه های مهم مدیریت ریسک سازمانی برای متخصصان ریسک
روندهای مدیریت ریسک: چه چیزی در افق است؟

تمرکز بر مدیریت ریسک در طول همه‌گیری کووید-19، بسیاری از شرکت‌ها را بر آن داشته تا نه تنها شیوه‌های ریسک خود را دوباره بررسی کنند، بلکه تکنیک‌ها، فناوری‌ها و فرآیندهای جدیدی را برای مدیریت ریسک نیز کشف کنند. همانطور که گزارش لاوتون در مورد روندهایی که مدیریت ریسک را تغییر می دهند نشان می دهد، این زمینه مملو از ایده است.

سازمان‌های بیشتری در حال اتخاذ یک چارچوب بلوغ ریسک برای ارزیابی فرآیندهای ریسک خود و مدیریت بهتر ارتباط تهدیدات در سراسر سازمان هستند. آنها در حال بررسی مجدد پلتفرم‌های GRC هستند تا فعالیت‌های مدیریت ریسک خود را یکپارچه کنند، سیاست‌ها را مدیریت کنند، ارزیابی‌های ریسک را انجام دهند، شکاف‌ها را در انطباق با مقررات شناسایی کنند و ممیزی‌های داخلی را خودکار کنند، از جمله وظایف دیگر. ویژگی های جدید GRC در حال بررسی شامل موارد زیر است:

تجزیه و تحلیل برای خطرات ژئوپلیتیک، بلایای طبیعی و رویدادهای دیگر؛
نظارت بر رسانه های اجتماعی برای پیگیری تغییرات در شهرت برند؛ و
سیستم های امنیتی برای ارزیابی تأثیر بالقوه نقض و حملات سایبری.

علاوه بر استفاده از مدیریت ریسک برای جلوگیری از موقعیت‌های بد، شرکت‌های بیشتری به دنبال رسمی کردن نحوه مدیریت ریسک‌های مثبت برای افزودن ارزش تجاری هستند.

آنها همچنین نگاهی تازه به اظهارات ریسک پذیری دارند. بیانیه های ریسک پذیری که به طور سنتی به عنوان وسیله ای برای برقراری ارتباط با کارمندان، سرمایه گذاران و تنظیم کننده ها مورد استفاده قرار می گیرد، به طور پویاتر مورد استفاده قرار می گیرد، و جایگزین تمرینات انطباق “چک جعبه” با رویکردی ظریف تر برای سناریوهای ریسک می شود. اخطار؟ یک بیانیه ریسک پذیری با بیان ضعیف می تواند در یک شرکت تأثیر بگذارد یا توسط تنظیم کننده ها به عنوان نادیده گرفتن خطرات غیرقابل قبول به اشتباه تفسیر شود.

در نهایت، اگرچه پیش‌بینی کردن – به‌ویژه در مورد آینده، همانطور که ضرب المثل می‌گوید دشوار است – ابزارهای اندازه‌گیری و کاهش خطرات در حال بهتر شدن هستند. از جمله پیشرفت ها؟ ابزارهای سنجش داخلی و خارجی که خطرات روند و در حال ظهور را تشخیص می دهند.

منابع:

searchcompliance.techtarget.com

corporatefinanceinstitute.com