اصول راهنمای DCRO برای کمیته های ریسک هیئت مدیره
اصول راهنما
کمیته های ریسک هیئت مدیره از اهمیت فزاینده ای در بهترین شیوه حکمرانی شرکتی برخوردارند.
ما این اصول راهنما و بحث های مرتبط را برای توسعه بیشتر فرآیندهای حاکمیت ریسک از طریق کمیته های ریسک هیئت مدیره در سازمان های مختلف ارائه می کنیم. این اصول راهنما همچنین به منظور ارائه دیدگاهی به سهامداران خارجی از آنچه باید از هیئت مدیره سازمان هایی که برای موفقیت خود به آن ها وابسته اند، انتظار داشته باشند، نگارش شده است.
اصل 1: در هر سازمانی، مسئولیت کلی حاکمیت ریسک بر عهده کل هیئت مدیره است. در بسیاری از موارد، هیئت مدیره از پشتیبانی متمرکز و تخصصی یک کمیته ریسک هیئت مدیره خوش ساختار و شایسته بهره مند خواهد شد.
اصل 2: تمرکز یک کمیته ریسک هیئت مدیره، پیوند دادن فعالیت های ریسک پذیری یک سازمان با اهداف استراتژیک آن است. این کمیته ظرفیت ارزیابی زیرساخت و قابلیت های مدیریت ریسک سازمان و به چالش کشیدن اثربخشی پیگیری اهداف استراتژیک توسط مدیریت از منظر بازدهی ریسک را برای کل هیئت مدیره فراهم می کند.
اصل 3: دستور کارهای جلسات کمیته ریسک هیئت مدیره باید توسط بهترین شیوه ها، انتظارات سهامداران و الزامات نظارتی هدایت شود. دستور کارها باید موضوعاتی از جمله بررسی فرهنگ ریسک، استراتژی، تحمل زیان و ارتباطات داخلی و خارجی را پوشش دهد.
اصل 4: جلسات منظم با مدیران ارشد کلیدی و جمع آوری اطلاعات مستقل از سهامداران، هر دو برای کمیته ریسک هیئت مدیره ضروری است تا روایت کاملی از فعالیت های ریسک پذیری یک شرکت را توسعه دهد.
اصل 5: کمیته ریسک هیئت مدیره باید با سایر کمیته های هیئت مدیره تعامل داشته باشد تا از پوشش کامل مشخصات ریسک سازمان و وابستگی های متقابل در بین محرک های ریسک و عملکرد آن اطمینان حاصل کند.
اصل 6: کمیته های ریسک هیئت مدیره باید با مدیران ریسک واجد شرایط که صلاحیت حاکمیت بر ریسک های سازمان را دارند، پر شوند.
اصل 7: کمیته ریسک هیئت مدیره باید راهنمایی و اطلاعات کافی را ارائه دهد تا به کل هیئت مدیره اجازه دهد تا افشای زبان ساده ای را در مورد فرهنگ ریسک و فرآیندهای کنترلی سازمان صادر کند. علاوه بر این، و فقط در صورت لزوم، کل هیئت مدیره باید بیانیه ای صادر کند مبنی بر اینکه فلسفه ریسک، زیرساخت، فرآیندها و پایه سرمایه سازمان “متناسب با هدف” است.
زمینه
با پیچیده تر شدن تعاملات سیاسی و اقتصادی، و با کوتاه تر شدن چشمگیر چرخه های نوآوری توسط فناوری ها و فرآیندهای مخرب، هیئت مدیره های شرکت ها توجه بیشتری به ریسک نشان می دهند. ریسک به عنوان فقدان قطعیت تعریف می شود
- یک مفهوم دو طرفه، که هم انحرافات مثبت و هم منفی از انتظارات را توصیف می کند.
اکثر اعضای هیئت مدیره در ریسک پذیری مهارت و آشنایی زیادی دارند. اما تجربه در ریسک پذیری و درک ریسک معادل نیستند.
حاکمیت ریسک در سطح هیئت مدیره فرآیندی است که شامل تجزیه و تحلیل پویای یک آینده نامشخص، توسعه انعطاف پذیری داخلی، تخصیص ظرفیت ریسک پذیری، تعیین سطوح قابل اندازه گیری تحمل زیان و تصور چیزهایی است که ممکن است هرگز مرتبط با یک بحث تجاری در نظر گرفته نشده باشند ، اما ممکن است پتانسیل بسیار مخربی داشته باشند.
این نوع تحلیل حوزه مدیرانی با درک ویژه از ریسک است و منشاء گنجاندن کمیته ریسک هیئت مدیره در بهترین شیوه حکمرانی شرکتی است.
در سال 2014 ، سازمان مشاوره ای Deloitte Touche Tohmatsu Limited یک نظرسنجی جهانی از شرکت های سهامی عام در هشت کشور انجام داد . آنها دریافتند که نزدیک به 40 درصد از این سازمان ها از کمیته های ریسک هیئت مدیره یا کمیته های ترکیبی که ریسک را در عنوان و تمرکز خود داشتند ، استفاده می کنند.
این درصد بالاتر از نظرسنجی های چند سال قبل است و نشان می دهد که کمیته های ریسک هیئت مدیره به عنوان بهترین شیوه به طور فزاینده ای پذیرفته می شوند.
هدف از کمیته ریسک هیئت مدیره
پیاده سازی رسمی و مؤثر یک کمیته ریسک هیئت مدیره ، محیط شرکتی را تقویت می کند که در آن بیشترین ارزش را می توان از ظرفیت ریسک پذیری محدود سازمان ایجاد کرد. برای به دست آوردن بیشترین سود از ریسک پذیری ، هم درک ریسک های نزولی، ناشی از عمل یا عدم عمل، و هم درک محرک های موفقیت مورد نیاز است.
ما می توانیم وظایف و مسئولیت های یک کمیته ریسک هیئت مدیره را به شرح زیر متمایز کنیم :
- داشتن دستورالعملی برای نگاه به جلو ، نه به عقب در زمان
- توسعه درک عمیق از محرک های موفقیت در دستیابی به اهداف شرکت
- ایجاد آگاهی از هرگونه تهدید برای ان محرک های موفقیت و همچنین هرگونه فرصت برای ارتقاء آنها
- نظارت بر میزان تحمل زیان سازمان نسبت به اهداف و مسئولیت هایش
- اطمینان از اینکه سازمان زیرساخت ، تخصص و قابلیت های لازم را برای شناسایی تغییرات نوظهور در چشم انداز ریسک و ارائه هشدارهای زودهنگام از عملکرد شرکتی که به طور اساسی از انتظارات منحرف می شو د، دارد.
- اطمینان از اینکه زیرساخت، فرهنگ، سیاست ها و رویه های سازمان، انعطاف پذیری را تقویت می کنند.
- اطمینان از اینکه اجزای مدیریت ریسک سازمانی در جای خود قرار دارند و برنامه کلی به طور مؤثر کار می کند.
- هدایت فرهنگ ریسک شرکتی در سراسر سازمان
- انتقال به ذینفعان خارجی و شرکای بالقوه که مدیریت و هیئت مدیره ریسک و پتانسیل آن برای تأثیر مثبت و منفی را درک می کنند.
برای وضوح بیشتر ، یک کمیته ریسک هیئت مدیره مسئول مدیریت ریسک نیست. تمرکز آن بر حاکمیت ریسک پذیری و مدیریت ریسک توسط کارکنان سازمان در پیگیری اهداف استراتژیک است.
تمرکز و مهارت های تخصصی آن به عنوان منبعی برای ارتقاء مسئولیت های حاکمیت ریسک کل هیئت مدیره عمل می کند.
تعیین نیاز به کمیته ریسک هیئت مدیره
مسئولیت کامل هیئت مدیره برای نظارت بر ریسک و حکمرانی ، مسئولیت آن را برای نظارت بر استراتژی و ارزیابی نتایج منعکس می کند.
این سوال مطرح می شود که آیا یک کمیته ریسک هیئت مدیره می تواند به هیئت مدیره کمک کند تا وظایف خود را در این زمینه به نحو احسن انجام دهد و آیا کمیته های ریسک هیئت مدیره در حال حاضر به یک انتظار تبدیل می شوند یا خیر.
به غیر از الزامات نظارتی ، که بیشتر بر موسسات مالی تأثیر می گذارد ، هیچ مرزبندی روشنی بین سازمانی که برای هیئت مدیره کامل قابل قبول است تا کمیته ریسک بالفعل باشد و سازمانی که زمانی که مدیران از کار متمرکز یک کمیته ریسک هیئت مدیره مطلع می شوند، موثرتر است وجود ندارد.
ما چند آزمایش استراتژیک و زمینه ای را برای هیئت مدیره ها در نظر می گیریم که مزایای یک کمیته ریسک هیئت مدیره را در نظر می گیرند:
- اندازه، پراکندگی و پیچیدگی – ساختارهای سازمانی بسیار پیچیده ، احتمال تقویت ریسک یا اثرات ضربه ای را افزایش می دهد که ممکن است از طریق بحث های عادی اجرایی یا هیئت مدیره پیش بینی نشده باشد. مکان های جغرافیایی ناهمگون ، رشد سریع کارکنان یا درآمد و محیط های نظارتی پیچیده، همگی نشان دهنده مزیت احتمالی از ایجاد یک کمیته ریسک هیئت مدیره است.
- نگرانی های سرمایه گذار یا نظارتی – ارتباطات از طرف سرمایه گذاران یا تنظیم کننده ها که نشان دهنده نگرانی است که هیئت مدیره زمان کافی را اختصاص نمی دهد یا مهارت های کافی را در بین اعضای خود کسب نکرده است تا به طور کامل تأثیر ریسک را بر سازمان در نظر بگیرد ، همچنین نشانه احتمالی است که زمان ایجاد یک کمیته ریسک هیئت مدیره فرا رسیده است.
- قیمت گذاری ریسک یک عملکرد اصلی است – اگر یک کسب و کار به طور خاص در مورد قیمت گذاری ریسک باشد – به عنوان مثال ، بیمه ، بانکداری ، سرمایه گذاری یا تجارت – هیئت مدیره موظف است یک کمیته تخصصی ایجاد کند تا اطمینان حاصل شود که قیمت گذاری ریسک در داخل به همان اندازه برای مشتریان خارجی خوب است.
- وابستگی به فروشندگان، برون سپاری و برون مرزی – اگر یک سازمان به فروشندگان شخص ثالث متعدد وابسته است ، نه فقط در فناوری ، بلکه از طریق برون سپاری فرآیندهای تجاری ، یا محیط قانونی عملیات به طور موثر برای راحتی نظارتی برون سپاری می شود، احتمالاّ به دانش تخصصی که یک کمیته ریسک هیئت مدیره می تواند ارائه دهد، نیاز دارد.
- خطرات سایبری و حریم خصوصی – اگر به خطر افتادن دارایی های دیجیتال کلیدی یا فرآیندهای غیردیجیتال و اطلاعات مربوط به اطلاعات یا استراتژی محرمانه مشتری، یک بحران وجودی ایجاد کند، احتمالاّ یک کمیته ریسک هیئت مدیره ضروری است.
- دارایی های واقعی و ایمنی انسان – اگر یک سازمان عمدتاّ درگیر مدیریت دارایی های واقعی است و ایمنی انسان یک ریسک کلیدی است، احتمالاّ به یک کمیته ریسک هیئت مدیره نیاز دارد.
- تمرکز هیئت مدیره و مدیریت زمان- اگر یک هیئت مدیره، در عمل، بیشتر وقت خود را صرف بررسی نتایج، گزارش های مدیریتی و عملکرد گذشته می کند تا اینکه در تحلیل خود آینده نگر باشد، احتمالاّ به یک کمیته ریسک هیئت مدیره نیاز دارد تا بیشتر توجه خود را به موضوعات “چه می تواند باشد” معطوف کند.
به خوبی درک شده است که ریسک پذیری خوب منجر به استفاده موثرتر از سرمایه در همه اشکال می شود – سرمایه انسانی، سرمایه سیاسی، سرمایه تجهیزات، سرمایه مالی، شهرت و هر ورودی کمیاب دیگری برای موفقیت سازمان.
حتی یک بهبود بسیار اندک در بازده سرمایه به افزایش قابل توجهی در ارزش بازار برای شرکت های سهامی عام و کاهش هزینه های سایر اشکال سرمایه تبدیل می شود.
یک کمیته ریسک هیئت مدیره به هیئت مدیره کمک می کند تا ارزیابی کند که آیا سازمان ریسک های را می پذیرد که واقعاّ پس از محاسبه هزینه های آنها، چه واقعی و چه آینده نگر، ارزش ایجاد می کنند. این امر همچنین به تمرکز توجه هیئت مدیره بر مهمترین ریسک ها و قابلیت های مدیریت ریسک سازمان کمک می کند.
فراتر از این ارزیابی های زمینه ای ، ما یک لیست دقیق از سوالات را در پیوست ارائه می دهیم تا به هیئت مدیره ها کمک کنیم تا تعیین کنند که آیا سازمان خاص آنها می تواند از ایجاد یک کمیته ریسک هیئت مدیره بهره مند شود یا خیر.
شکل و عملکرد یک کمیته ریسک هیئت مدیره
اگر یک کمیته ریسک هیئت مدیره در حال برنامه ریزی است یا در حال حاضر بخشی از شیوه های حکمرانی یک سازمان است، ساختار ، فرآیند و جمعیت مناسب کمیته برای موفقیت آن ضروری است.
یک روال کوششی جمع آوری اطلاعات و تعامل با پرسنل کلیدی ، مانند آنچه در زیر آمده است، پایه و اساس این موفقیت را تشکیل می دهد. در پایان، اجرای این بهترین شیوه ها به هیئت مدیره اجازه می دهد تا وظیفه مراقبت خود را به نحو احسن انجام دهد.
منشور کمیته ریسک هیئت مدیره
از آنجایی که برخی از کارهای کمیته ریسک هیئت مدیره با کار سایر کمیته ها همپوشانی خواهد داشت، هیئت مدیره باید اهداف و مرزهای خود را به طور واضح با منشور مشخص کند. منشور کمیته ریسک هیئت مدیره باید حداقل شامل این بیانیه باشد که کار آن در مورد اطمینان از این است که شرکت دارای طرح های استراتژیک ریسک پذیری ، زیرساخت مدیریت ریسک و قابلیت هایی است که نگه داشتن سرمایه سرمایه گذار را تضمین می کند. در عین حال ، باید اطمینان حاصل شود که این طرح های ریسک پذیری در چارچوب ظرفیت هایی است که چنین سرمایه ای اجازه می دهد.
باید رویکردی جامع اتخاذ کند که فقط بر ریسک های مالی متمرکز نباشد که اندازه گیری آنها به صورت نسبی آسان تر است.
این منشور باید به کمیته ریسک هیئت مدیره دستور دهد که ارزش سرمایه مانند اعتماد عمومی، ایمنی انسان و اینکه چگونه سازمان به بهترین وجه سرمایه غیرمالی ارزشمند خود را به کار می گیرد، در نظر بگیرد.
جلسات و بحث های کمیته ریسک هیئت مدیره
کمیته های ریسک هیئت مدیره باید به صورت فصلی یا ماهانه، بسته به پیچیدگی سازمان و آهنگ کلی جلسات هیئت مدیره کامل ، تشکیل جلسه دهند. تمرکز گفتگوها باید بر پیوند دادن فعالیت های ریسک پذیری سازمان با اهداف استراتژیک آن و ارزیابی اینکه آیا بازده ریسک پذیری برای حمایت از اهداف استراتژیک کافی است یا خیر.
چند سوال باید در هر جلسه کمیته ریسک هیئت مدیره پرسیده و پاسخ داده شود :
- آیا ریسک هایی که سازمان می پذیرد احتمالاّ دستیابی به اهداف استراتژیک را تقویت می کند؟
- سازمان چگونه ریسک هایی را که انتخاب می کند شناسایی، مدیریت و نظارت می کند؟
- سازمان چگونه می تواند با اتخاذ استراتژیک ریسک بیشتر بهتر عمل کند؟ ریسک کمتر؟
- در چه مواردی ریسک غیراصلی منتقل یا کاهش یافته است؟ چه چیزی ممکن است باعث شود که این رویکردها عملکرد ضعیفی داشته باشند یا شکست بخورند؟
- چه اختلالاتی ممکن است باعث عدم برآورده شدن انتظارات شود؟
- تغییرات در محیطی که سازمان در آن فعالیت می کند، چگونه بر استراتژی و مشخصات ریسک آن تأثیر می گذارد؟
- سازمان چگونه برای پاسخگویی و انطباق با اختلالات یا رویدادهای غیرمنتظره ساختار یافته است؟
- درآمد چگونه جمع آوری می شود؟
- آیا رویکرد تشویق ایجاد درآمد با فلسفه های اصلی سازمان سازگار است؟
- آیا فعالیت هایی وجود دارد که سازمان در آن درگیر است و می تواند به طور قابل توجهی بر شهرت و توانایی انجام تجارت آن تأثیر بگذارد؟
- آیا جنبه های عملیاتی کار سازمان وجود دارد که می تواند “مرگ ناگهانی” آن شود؟
- آیا فعالیت های ریسک پذیری سازمان با میزان تحمل ریسک و اشتهای ریسک اعلام شده آن سازگار است؟
- آیا قراردادهای شخص ثالث یا توافق نامه های کلیدی کارمندان برای تمدید وجود دارد که در صورت خاتمه، می تواند سازمان را مختل کند؟
- آیا مدیر عامل و هیئت مدیره اطلاعات کافی برای داشتن تعصب نسبت به ریسک پذیری مطمئن و هوشمندانه دارند؟
جمع آوری اطلاعات
مباحثات فوق الذکر برای توسعه یک روایت قوی و درک چگونگی پذیرش ریسک در هر سازمانی بسیار مهم است.
برای اطمینان از اینکه اطلاعاتی که به کمیته ریسک هیئت مدیره می رسد دقیق و با یکپارچگی است ، باید مکانیزم هایی وجود داشته باشد تا اطمینان حاصل شود که این گفتگوها و تحلیل های مرتبط با داده های قابل اعتماد و قابل تأیید و همچنین مجموعه متنوعی از دیدگاه ها پشتیبانی می شوند.
بخش قابل توجهی از فرآیند جمع آوری اطلاعات شامل جلسات منظم (حداقل یک بار در هر فصل) با مدیران ارشد کلیدی از جمله مدیرعامل، مدیرمالی، مدیر ارشد ریسک (CRO)، مدیر اجرایی حسابرسی ، CTO/CISO، رئیس منابع انسانی و در صورت لزوم، روسای واحدهای تجاری کلیدی است.
در حالی که مهم است که این جلسات مستقل باشند ، جلسات اجرایی ، ما پیشنهاد می کنیم که ارزش قابل توجهی برای بحث های میزگرد باز گاه به گاه وجود دارد که شامل همه این طرف ها باشد ، حداقل سالانه ، کمیته باید به طور مستقل اطلاعات را از ذینفعان کلیدی در زنجیره تامین خود ، از مشتریان ، کارکنان خط ، تحلیلگران اوراق بهادار ، بانکداران سرمایه گذاری و تنظیم کننده ها جمع آوری کند.
کمیته ممکن است حتی بیشتر پیش رود و یک کمیته ذینفعان برای مشاوره در مورد برداشت های خارجی از سازمان برای همسویی با اظهارات ارائه شده توسط منابع داخلی ایجاد کند.
برای روشن شدن، این در نظر گرفته نشده است که یک جریان دو طرفه اطلاعات باشد، بلکه راهی برای کمیته ریسک هیئت مدیره برای دریافت دیدگاه های اضافی در مورد کار سازمان است.
کمیته همیشه باید راه هایی را برای جلوگیری از موانعی که مانع از رسیدن اطلاعات ریسک به بالاترین سطوح یک سازمان می شوند ، در نظر بگیرد. جلسات منظم با کارکنان خط تصادفی انتخاب شده از واحدهای تجاری و عملیاتی کلیدی ممکن است دیدگاه بیشتری در مورد ریسک های نوظهور یا مسائل فرهنگی ارائه دهد که هنوز توجه مدیریت ارشد را به خود جلب نکرده اند یا ممکن است با اظهاراتی که آنها به کمیته ارائه می دهند مغایرت داشته باشند. این نوع گفتگوها همچنین می تواند به شناسایی موانع جریان آزاد اطلاعات حیاتی به هیئت مدیره کمک کند.
کمیته با مدیر ارشد ریسک رابطه ویژه ای دارد، جایی که یک نفر حضور دارد. این رابطه ممکن است شامل این باشد که آن فرد به طور غیرمستقیم به کمیته گزارش می دهد(علاوه بر گزارش مستقیم CRO به مدیر عامل). برای تکمیل این موضوع، کمیته باید به طور آزادانه از مشاوران ریسک خارجی استفاده کند، درست همانطور که کمیته حسابرسی از یک شرکت حسابرسی مستقل استفاده می کند.
این امر به ویژه در صورتی مهم است که سازمان CRO نداشته باشد. کمیته نباید از به چالش کشیدن فرضیات و روش های CRO، مشاور ریسک یا هر مدیری که ارزیابی ریسک را به کمیته ارائه می دهد ، بترسد. در عین حال، در صورت لزوم، کمیته ریسک هیئت مدیره باید حمایت و حمایت خود از CRO را، در صورت وجود، برای مدیریت ارشد سازمان بسیار روشن کند.
رهبران تمام عملکردهای انطباق، از جمله مشاور عمومی، باید دسترسی مستقیم و تعامل منظم با کمیته ریسک هیئت مدیره داشته باشند.
باید زیرساخت ریسک کافی در داخل سازمان، و همچنین تخصص کافی در کمیته ریسک هیئت مدیره وجود داشته باشد تا استفاده سازمان از ظرفیت ریسک خود را به درستی ارزیابی کند.
در فرآیند جمع آوری اطلاعات، کمیته باید بتواند اطلاعات زیر را در جلسه هیئت مدیره بعدی تعیین و به کل هیئت مدیره منتقل کند:
- یافته های کلیدی ارزیابی ریسک شرکت کلی سازمان و اقداماتی که برای رفع هرگونه کاستی در حال انجام است
- نزدیک به از دست رفتن هایی که اخیراّ رخ داده است و درس های آموخته شده از آنها
- راه هایی که سازمان ممکن است در نظر داشته باشد که ریسک بیشتری را بپذیرد
- مقایسه بازده ریسک و هزینه سرمایه سازمان با رقبا
- فرآیندی که برای تأیید اینکه فرهنگ ریسک پذیری در سازمان با میزان تحمل هیئت مدیره برای زیان احتمالی سازگار است، استفاده می شود
ما پیشنهاد می کنیم که در بررسی اطلاعاتی که کمیته جمع آوری می کند، توجه ویژه ای به هر مکانی داشته باشد که رفتار ناکارآمد در فرهنگ سازمانی در حال عادی شدن است ، به ویژه در مورد جبران خسارت تشویقی.
این شامل بررسی منظم تمام گزارش های تشدید و افشاگر است، چه به صورت ناشناس و چه به طور مستقیم به کمیته ارائه شود.
کمیته باید اطلاعات کافی، هم کمی و هم روایی ، جمع آوری کند تا بداند ریسک در کجای سازمان “مالکیت” دارد و چه نوع ارزیابی ریسکی به طور مداوم انجام می شود.
در نهایت ، کمیته باید سیم های سفر معینی را ایجاد کند که گزارش حوادث به کمیته را الزامی کند.
ما پیشنهاد می کنیم که کمیته استفاده خود از “نقشه های حرارتی” را به عنوان فرآیندی برای شناسایی مسائل نوظهور محدود کند و در عوض ، بر روایتی که از طریق گفتگوهای منظم خود با طرف های کلیدی ارائه می شود، تمرکز کند. نقشه های حرارتی و سایر داده ها می توانند زمینه ای برای بحث فراهم کنند، اما نباید به عنوان منبع اصلی هشدار زودهنگام در نظر گرفته شوند.
تعامل با سایر کمیته های هیئت مدیره
کمیته ریسک هیئت مدیره باید تعاملات منظمی با سایر کمیته های کلیدی هیئت مدیره داشته باشد تا در مورد جایی که منشورهای آنها منافع همپوشانی دارند بحث کنند.
تمرکز کمیته جبران خسارت (حق الزحمه) باید بر نحوه هدایت رفتارهای ریسک پذیری توسط طرح های جبران خسارت و هر گونه پیام ناخواسته ای که طرح های جبران خسارت منتقل می کنند، باشد. ما به خوانندگان DCRO Guiding Principles برای کمیته های جبران خسارت برای بحث دقیق تر در مورد آن ریسک ها مراجعه می کنیم.
کمیته ریسک هیئت مدیره باید گزارش کمیته حسابرسی در مورد اثربخشی کنترل های داخلی را بررسی کند و هر گونه مسائل مهم مطرح شده در آن را که مربوط به مدیریت موثر ریسک شرکت است ، رسیدگی کند.
باید مسائل مربوط به ریسک سایبری را با کمیته فناوری یا سایر نهادهای مناسب در جایی که کمیته فناوری وجود ندارد بررسی کند. در اینجا ما خوانندگان را به DCRO Guiding Principles for Cyber Risk Governance به عنوان راهنما هدایت می کنیم.
برای سازمان های غیرمالی، هماهنگی با کمیته بهداشت و ایمنی، با تمرکز بر ریسک های فیزیکی که معمولاّ در اکثر سازمان های مالی وجود ندارند، ضروری است.
و از آنجایی که مهارت های تفسیر ریسک و تفکر رو به جلو برای موفقیت کمیته ریسک هیئت مدیره ضروری است، باید با کمیته انتصاب/حاکمیت همکاری کند تا هرگونه شکاف مهارتی را که در هیئت مدیره یا کمیته ریسک هیئت مدیره شناسایی می کند، پر کند و اطمینان حاصل کند که ریسک می تواند توسط کل هیئت مدیره به شیوه ای موثر مورد بحث قرار گیرد.
DCRO Qualified Risk Director Guidelines راهنمایی دقیقی در مورد مهارت ها و ویژگی های مورد نیاز اعضای کمیته ریسک هیئت مدیره ارائه می دهد. بحث با کمیته انتصاب/حاکمیت همچنین ممکن است شامل هر گونه مسائلی باشد که کمیته ریسک هیئت مدیره با ساختار حاکمیت سازمان شناسایی می کند که ممکن است در استفاده غیرموثر از ظرفیت ریسک پذیری نقش داشته باشد.
در نهایت، جلسه سالانه روسای کمیته های هیئت مدیره می تواند به تسهیل هماهنگی دستور کار مربوطه و لیست تمرکز برای بحث های آتی مورد علاقه مشترک کمک کند.
آموزش
به دلیل ماهیت در حال تحول ریسک ـ گسترش پیچیدگی ، فناوری های به سرعت مختل کننده ، و پتانسیل بیشتر برای تقویت ریسک از طریق شبکه های گسترده و متصل ـ کمیته ریسک هیئت مدیره نیز باید در آموزش مداوم شرکت کند تا اطمینان حاصل شود که بهترین شیوه ها را اجرا می کند.
حاکمیت ریسک ما توصیه می کنیم که اعضای کمیته ریسک هیئت مدیره حداقل در یک یا دو دوره ریسک خارج از کشور در هر سال شرکت کنند ، یا در حالت ایده آل ، مطالعات موردی و بررسی های بهترین شیوه های نوظهور بخشی از هر جلسه کمیته ریسک هیئت مدیره باشد.
اعضای کمیته نباید خود را به درس های صنعت خود محدود کنند، بلکه باید به دنبال فرصت هایی برای یادگیری درس های ریسک از سایر بخش ها نیز باشند.
ملاحظات اضافی
این کمیته باید به ارزیابی سالانه عملکرد خود بپردازد ، از جمله جمع آوری و تجزیه و تحلیل بازخورد از سایر روسای کمیته و رئیس هیئت مدیره، برای ارزیابی نحوه عملکرد کمیته همراه با عملکرد اعضای فردی.
کمیته باید جلسه سالانه ای را برنامه ریزی کند که در آن زمینه های خاص بحث و بررسی پوشش داده شود. در پیوست، فهرست مفصلی از مواردی که باید در چنین جلسه سالانه ای پوشش داده شوند ، ارائه می دهیم.
ما خاطرنشان می کنیم که نیاز و کاربرد یک کمیته ریسک هیئت مدیره در موسسات مالی و غیرمالی احتمالاّ متفاوت است. هر دو نوع سازمان می توانند از بهترین شیوه های یکدیگر بیاموزند و ما در پیوست بحثی در این مورد ارائه می دهیم.
در نهایت ، به عنوان آخرین اقدام برای نشان دادن تعهد و اثربخشی کمیته ریسک هیئت مدیره، توصیه می کنیم که رئیس کمیته ریسک هیئت مدیره به کل هیئت مدیره اطلاع دهد که کمیته فلسفه ریسک ، زیرساخت ، فرآیندها و پایگاه سرمایه سازمان را بررسی کرده است، به هیئت مدیره اطلاع می دهد که این کمیته کاستی ها و گام هایی که برای رفع آنها برداشته می شود.
نقش کمیته ریسک هیئت مدیره در ارتباطات
ارتباط روشن فلسفه یک سازمان در مورد ریسک و مدیریت آن برای استفاده موثر از ظرفیت ریسک پذیری در داخل سازمان و همچنین برای جذب تمام اشکال سرمایه از خارج از سازمان، محوری است.
کل هیئت مدیره باید این پیام را به شیوه ای مثبت و تأیید کننده، منتقل کننده درک واقعی از عوامل ریسک – واریانس در نتایج مورد انتظار – منتقل کند. این نوع ارتباطات می تواند عدم قطعیت را کاهش دهد و در نتیجه هزینه جذب سرمایه های انسانی و مالی، مشتریان و تامین کنندگان را کاهش دهد. همچنین می تواند بار نظارتی یا قانونی را که ناگزیر از ناتوانی در برقراری ارتباط چنین درکی ناشی می شود، کاهش دهد. احتمالاّ چنین ناتوانی ای حس تمرین کمتری از حاکمیت ریسک را منتقل می کند، به این معنی که با رواج بیشتر کمیته های ریسک هیئت مدیره، هزینه آن کشش نظارتی احتمالاّ افزایش می یابد.
یک کمیته ریسک هیئت مدیره باید نهادینه کردن مدیریت ریسک و فرهنگ ریسک را پیش ببرد، زیرا هر دو تنها در صورتی قوی و پایدار خواهند بود که بخشی از DNA سازمان شوند.
ارتباطات سالم و روشن، اجرای یک فرهنگ ریسک سازگار را افزایش می دهد.
شرکت های سهامی عام در بسیاری از کشورها اکنون یا به زودی ملزم به درج برخی بحث های آتی در مورد ریسک در بحث و تجزیه و تحلیل مدیریت خواهند بود. این می تواند شامل یک وظیفه برای افشای خطرات نوظهور باشد. به عنوان مثال، در بریتانیا، از سال 2019، شرکت ها ملزم به ارزیابی قوی از خطرات نوظهور و همچنین خطرات اصلی هستند، توضیح دهند که چه رویه هایی برای شناسایی خطرات نوظهور در حال انجام است و توضیح دهند که چگونه این خطرات مدیریت یا کاهش می یابند.
از آنجایی که این عمل هنوز نوپا است، شرکت ها به زبان های فراگیر که دارای تمبر مشاور حقوقی هستند، روی آورده اند. ما معتقدیم زمانی که یک شرکت به وضوح دیدگاهی را بیان می کند که فرهنگ و فرآیندهای خود را توضیح می دهد، نه از طریق زبان پیچیده یا تدافعی، کمک بیشتری می کند.
درگیر شدن در یک ارتباط روشن از ریسک به سازمان ها این امکان را می دهد که با توانایی بیشتری از تامین کنندگان، پیمانکاران فرعی و ارائه دهندگان خدمات خود نیز همین را مطالبه کنند.
دانستن اینکه این شرکای حیاتی نیز در حاکمیت ریسک به خوبی مشارکت دارند، می تواند به یک سازمان اطمینان بیشتری بدهد که مسائل خارجی که عملیات را مختل می کنند، کمتر ظاهر می شوند یا در تأثیر خود کمتر جدی خواهند بود. این امر به ویژه برای سازمان های غیرمالی مهم است.
از سال 2011، کمیسیون بورس و اوراق بهادار (SEC) در ایالات متحده ، افشاهای سنگین کمی در مورد ریسک سایبری را الزامی کرده است.
راهنمایی تفسیری آن اشاره می کند که اگر خطرات امنیت سایبری برای تجارت یک شرکت اساسی است، ماهیت نقش هیئت مدیره در نظارت بر مدیریت آن ریسک باید افشا شود. این با افشایی که این سند اصول راهنما توصیه می کند سازگار است.
در حالی که افشاهای کمی برای برخی مفید هستند، احتمالاّ حس نادرستی از قابلیت اندازه گیری دقیق قرار گرفتن در معرض خطر بزرگ را منتقل می کنند و همچنین احتمالاّ توسط بسیاری از طرف های حیاتی ، از جمله هیئت مدیره و مدیریت ارشد، به اشتباه درک می شوند. اظهارات سنجیده شده در مورد حساسیت های سازمان از نظر اقتصادی و خطرات اساسی برای دستیابی به اهداف آن توسط هیئت مدیره مورد نیاز است. علاوه بر این، شرکت ها موظفند این موضوع را برای سرمایه گذاران (مالکان) شفاف کنند تا یک سیستم کارآمد بازار سرمایه کار کند. ما خاطرنشان می کنیم که این بحث می تواند شامل تأثیر تحقق ریسک مثبت نیز باشد.
ما توصیه می کنیم که این افشاهای کمی را در زبان توصیفی ساده بپیچیم. در ارائه این پیشنهاد، ما به این گفته تکیه می کنیم که اگر واقعاّ چیزی را می فهمید، باید بتوانید آن را به گونه ای بیان کنید که همه آن را درک کنند. اگر سازمان نمی تواند این کار را در یک افشای عمومی در مورد ریسک و فرهنگ ریسک انجام دهد، شاید هیئت مدیره نیز واقعاّ آن را درک نمی کند. سرمایه گذاران ممکن است به درستی به همین نتیجه برسند.
فرآیند تهیه پیش نویس اظهارات خارجی در مورد فرهنگ ریسک و فرآیندهای کنترل می تواند با کمیته ریسک هیئت مدیره آغاز شود. پیش نویس اولیه باید توسط کمیته ارزیابی شود تا اطمینان حاصل شود که آنچه کمیته می خواهد منتقل کند را بیان می کند. سپس مشاور عمومی می تواند این بیانیه را بررسی کند تا بپرسد چگونه ممکن است به اشتباه تفسیر شود و تعدیلات را توصیه کند.
این تعدیلات نباید اولویت اول ارتباط آنچه در مورد درک و حاکمیت موثر سازمان از ریسک در نظر گرفته شده است را تحت تأثیر قرار دهد. در نهایت، کل هیئت مدیره باید این بیانیه را تصویب و صادر کند.
ما معتقدیم که اگر درک سازمان از ریسک و توانایی سازمان برای سرمایه گذاری بر ظرفیت ریسک پذیری خود را به طور دقیق منتقل کند، این افشاگری می تواند با این بیانیه توسط کل هیئت مدیره به این نتیجه برسد که فلسفه ریسک، زیرساخت، قابلیت ها، فرآیندها و پایگاه سرمایه سازمان “مناسب برای هدف” هستند. چنین بیانیه ای اعتمادی را که طرف های کلیدی در هر سازمانی که بر رفاه آنها تأثیر می گذارد، نیاز دارند، مستحکم می کند.
عضویت در کمیته ریسک هیئت مدیره
وظایف و مسئولیت های یک کمیته ریسک هیئت مدیره گسترده است و به مهارت ها و تجربه های اساسی و خاصی نیاز دارد.
در سال 2013 ، DCRO دستور العمل های مدیر ریسک واجد شرایط خود را منتشر کرد تا به هیئت مدیره کمک کند افرادی را شناسایی کنند که به احتمال زیاد اعضای موثر کمیته ریسک هیئت مدیره خواهند بود. در دستورالعمل های مدیر ریسک واجد شرایط برخی از ویژگی های کلیدی مانند تیزهوشی تجاری، تیزهوشی مدیریت ریسک، مهارت های بین فردی و آموزش لازم برای ایفای این نقش گنجانده شده است. به عنوان مثال، ویژگی های کلیدی از دستورالعمل های مدیر ریسک واجد شرایط عبارتند از :
تیزهوشی کسب و کار
- توانایی ارزیابی انواع مختلف گزینه های استراتژیک، از جمله سرمایه گذاری های مالی، عملیاتی، فناوری یا مبتنی بر بازار
- توانایی حفظ ارتباط استراتژیک ریسک، “در سطح هیئت مدیره”بحث
- توانایی دیدن هر دو جنبه مثبت و منفی ریسک پذیری
- توانایی در نظر گرفتن “دیدگاه طولانی مدت” – فکر کردن در مورد تأثیراتی که چیزی در آینده و همچنین در حال حاضر خواهد داشت.
- تخصص در موضوعی که ریسک های سازمان از آن ناشی می شود و درک محیطی که سازمان در آن فعالیت می کند، از جمله شناسایی ذینفعان، شبکه های بین المللی ، روابط اقتصادی و سایر تأثیرات خارجی بر توانایی سازمان در دستیابی به اهداف خود.
هوشمندی مدیریت ریسک
- تجربه مدیریت انواع و پیچیدگی ریسکی که سازمان با آن مواجه است
- درک اینکه چگونه خطرات می توانند تقویت یا کاهش یابند
- درک محیط نظارتی که سازمان در آن فعالیت می کند، در صورت وجود، و تغییرات احتمالی مربوط به حاکمیت ریسک
- درک اینکه چگونه ریسک به یکپارچگی، اخلاق و در نهایت به موفقیت مربوط می شود
- درک دامنه گسترده ریسک، اصطلاحات ریسک، ابزارهای مدیریت ریسک و نحوه ارزیابی کاربرد مناسب آنها در سازمان
- ذهنیتی خلاقانه شبیه به یک مهندس با آموزش تجزیه و تحلیل شکست
ویژگی های شخصی
- استقلال، یکپارچگی، صداقت و اعتقاد اخلاقی، با عزم راسخ برای عمل بالاتر از منافع شخصی در انجام نقش خود، و مشارکت و به چالش کشیدن رهبران تجارت و زیرساخت ریسک سازمان.
- داشتن توانایی ارزیابی چندین نتیجه بالقوه به طور همزمان – برای تفکر پویا و در مورد احتمال نتایج غیرخطی.
- قاطعیت و توانایی مدیریت تعارض با شخصیت های قوی
- شک و تردید سالم، متعادل با اعتماد به دست آمده – به فرد این امکان را می دهد که بدون اینکه بی دلیل خصمانه شود، کاوش و به چالش بکشد.
- داشتن توانایی به چالش کشیدن ذهنیت “تفکر گروهی”، همراه با آگاهی از تعصبات شناختی رایج در بین گروه ها و افراد
تحصیلات
- تحصیلات دانشگاهی متناسب با پیچیدگی نیازهای سازمان و در صورت عملی، مرتبط با صنعت یا صنایعی که سازمان در آن فعالیت می کند.
هر مدیر بازرگانی خوبی همیشه به ریسک فکر می کند . بنابراین ، هنگام تشکیل کمیته ریسک هیئت مدیره، باید تعصبی در عضویت به سمت افرادی وجود داشته باشد که یک تجارت ، خط تجاری یا بودجه ریسک را مدیریت کرده اند و مایلند از تسلط یک ذهنیت کنترل یا انطباق در کمیته جلوگیری کنند. این تمرکز از این نظر مهم است که یک کمیته ریسک هیئت مدیره بحث های مربوط به مسائل کلیدی را که یک سازمان به طور شهودی در مورد جهت گیری استراتژیک، فعالیت ها و پاسخگویی خود به آن فکر می کند ، رسمی می کند.
کسانی که تجربه ریسک پذیری و پاسخگویی ندارند، ممکن است از همان زبان استفاده نکنند یا همان شهود و تجربه ای را نداشته باشند که نوع افرادی که واجد شرایط خدمت در کمیته ریسک هیئت مدیره هستند، داشته باشند.
با این وجود ، کمیته ریسک هیئت مدیره همچنان باید نماینده ای از هر دو کمیته حسابرسی و جبران خسارت (حق الزحمه) برای تعادل و برای افزایش بیشتر کار مشترک کمیته ها در زمینه های همپوشانی منافع و مسئولیت ها داشته باشد.
جایگزین هایی برای یک کمیته ریسک هیئت مدیره
اگر ارزیابی متفکرانه از ارزش یک کمیته ریسک هیئت مدیره به پاسخ قطعی منجر نشود، می توان رویکرد جایگزینی را در نظر گرفت . ما در اینجا دو رویکرد را با برخی نکات احتیاطی در مورد هر کدام برجسته می کنیم .
در بسیاری از سازمان ها ، علاوه بر وظیفه خود برای ارزیابی کنترل های داخلی ، مسئولیت حاکمیت ریسک به کمیته حسابرسی محول شده است.
عضویت در کمیته حسابرسی مستلزم سواد مالی است اما لزوماّ مستلزم سواد ریسک نیست. ذهنیت خاصی نسبت به ماهیت آینده نگر ، باز ریسک حاکمیت وجود دارد که برای بسیاری از کمیته های حسابرسی یا از طریق ترکیب، دستور کار یا طرز فکر، ذاتی نیست. از این رو، معمولاّ منشورهای کمیته حسابرسی را با مسئولیت هایی در مورد حاکمیت ریسک که در نزدیکی انتهای لیست طولانی پاسخگویی ها فهرست شده اند ، پیدا می کنیم.
پیامی که چنین اولویت بندی پایینی به سرمایه گذاران و شرکای خارجی منتقل می کند، چیزی کمتر از درک کامل اهمیت حاکمیت ریسک است. با افزایش انتظارات سرمایه گذاران، این رویکرد برای سازمان ها پرهزینه تر خواهد بود.
برخی از سازمان ها کمیته های ترکیبی را اتخاذ کرده اند – که اغلب به عنوان کمیته های حسابرسی و ریسک از آنها یاد می شود. اگر به خوبی سازماندهی شود به طوری که هر حوزه تمرکز یک بخش به همان اندازه غالب از بحث کمیته ترکیبی باشد، یک مدل ترکیبی می تواند موفقیت آمیز باشد. استفاده از این رویکرد به احتمال زیاد به این معنی است که کمیته حسابرسی یک تغذیه کننده از حقایق گذشته در مورد ریسک های باز برای بررسی توسط یک کمیته ریسک هیئت مدیره خواهد بود.
یک پیشنهاد تحت این مدل ترکیبی این است که کمیته دارای دو رئیس باشد – یکی برای حسابرسی و دیگری برای ریسک.
دستور کار جلسات هر بار که تشکیل می شود، چرخانده می شود، به طوری که رئیس حسابرسی دستور کار را در یک جلسه و رئیس ریسک دستور کار در جلسه بعدی تنظیم می کند یا، کمیته می تواند دو بار در یک روز تشکیل جلسه دهد، به طوری که رئیس حسابرسی دستور کار صبح و رئیس ریسک دستور کار بعد از ظهر را هدایت می کند.
حتی با این ساختار، خاطرنشان می کنیم که کمیته های حسابرسی در حال حاضر دستور کارهای بسیار کامل و شلوغی دارند و اولویت بندی بحث های ریسک، حتی به این روش ها، احتمالاّ توجه کمتری از حاکمیت ریسک را به خود جلب می کند. یکی دیگر از معایب رویکرد ترکیبی این است که ممکن است اندازه کمیته نیاز به گسترش داشته باشد تا از تخصص کافی در موضوع حسابرسی و ریسک اطمینان حاصل شود. این ممکن است برای بررسی های کارآمد نتیجه معکوس داشته باشد.
نتیجه
حاکمیت مؤثر ریسک با بهبود بازده احتمالی سرمایه مالی و کاهش هزینه جذب سرمایه به اشکال مختلف، به هر سازمانی ارزش می افزاید. علاوه بر این، حاکمیت ریسک مناسب سطح بالاتری از اطمینان را در مورد پایداری و دوام هر سازمانی فراهم می کند.
ریسک پیچیده است و تعامل بین انواع مختلف ریسک از نظر پیچیدگی و سرعت در حال افزایش است.
در حالی که هیئت مدیره به عنوان یک کل مسئول حاکمیت ریسک باقی می مانند، انجام ماهرانه وظیفه مراقبت که هر مدیر به صورت جداگانه مسئول آن است ، بدون مهارت و تحلیل متمرکز یک کمیته ریسک هیئت مدیره دشوار است.
کار یک کمیته ریسک هیئت مدیره به طور اجتناب ناپذیر با وظایف سایر کمیته های هیئت مدیره همپوشانی خواهد داشت. این همپوشانی به سادگی فرصتی برای بحث بین کمیته ریسک هیئت مدیره و سایر کمیته ها فراهم می کند، به طوری که کمیته ریسک هیئت مدیره تلاش های متمرکز خود را برای تحمل، بهبود بیشتر ریسک پذیری کلی و حاکمیت ریسک سازمان به ارمغان می آورد.
سازمان های آینده نگر احتمالاّ برای اتخاذ حاکمیت تخصصی ریسک در سطح هیئت مدیره پاداش دریافت خواهند کرد. کمیته های ریسک هیئت مدیره احتمالاّ زمانی مؤثرتر هستند که با انتخاب مثبت ایجاد شوند. در بخش مالی ، دستور ایجاد کمیته های ریسک هیئت مدیره پس از یک بحران وجودی صادر شد. شایسته است که فرد در نظر بگیرد که چرا یک سازمان باید منتظر بماند تا صنعت آن یک فاجعه را تجربه کند تا نگاه متمرکزتری به آینده آغاز کند.
سرمایه گذاری در حاکمیت ریسک پذیری می تواند تأثیر بسیار مثبتی داشته باشد و با استفاده از این اصول راهنما به طرز خردمندانه ای انجام می شود.
سوالات مورد استفاده برای ارزیابی نیاز برای کمیته ریسک هیئت مدیره
هیئت مدیره کامل باید بتواند به اکثریت قریب به اتفاق سؤالات زیر بدون قربانی کردن قابل توجه زمانی که به سایر بحث های استراتژیک اختصاص می دهد، پاسخ دهد. اگر نتواند ، احتمالاّ سازمان از ایجاد یک کمیته ریسک هیئت مدیره سود خواهد برد.
سوالات مربوط به اشتها، ظرفیت و تحمل ریسک
- چه میزان ضرر می تواند سازمان بدون تخلیه ذخایر/سرمایه خود متحمل شود؟
- چه مدت طول می کشد تا این را از طریق عملیات تجاری “عادی” بازیابی کنید؟
- چه نوع اقداماتی از سوی سازمان هیئت مدیره هرگز تحمل نخواهد کرد یا هرگز نمی خواهد در روزنامه بخواند؟
- آیا استراتژی ریسک سازمان با انتظارات سرمایه گذاران، طلبکاران و سایر ذینفعان همسو است و آیا سازمان آن را به درستی منتقل کرده است؟
- خطرات بزرگ منفی برای سازمان چیست؟
- سازمان برای رسیدگی به این خطرات چه انتقال ها یا کنترل های ریسکی را در اختیار دارد و محرک های موفقیت این کنترل ها و انتقال های ریسکی که ممکن است از عملکرد خود بازمانند چیست؟
- آیا قرار گرفتن در معرض خالص مورد انتظار سازمان پس از این کنترل ها و انتقال های ریسک با توجه به محدودیت های تجاری و سرمایه ای آن قابل قبول است؟
- از آنجایی که اشتها برای آسیب فیزیکی به افراد در اکثر سازمان ها صفر است، آیا سازمان هیچ گونه مصالحه ای برای کاهش ریسک مالی یا بهبود عملکرد مالی انجام می دهد که به سادگی ریسک های مالی را به ریسک های عملیاتی منتقل می کند که خلاف اشتها سازمان برای ایمنی است؟
- آیا اشتهای ریسک هیئت مدیره به وضوح توسط مدیریت ارشد درک شده است و آیا در سراسر سازمان برای هدایت سطوح مناسب ریسک پذیری منتقل می شود؟
- آیا سازمان به روشی درست به ریسک فکر می کند؟
سوالات مربوط به زیرساخت ریسک، فرهنگ و توانایی های سازمان
- چگونه سازمان تأیید می کند که دیدگاه ها وسیاست های هیئت مدیره توسط همه کارمندان یا داوطلبان در یک سازمان غیرانتفاعی درک می شود؟
- آیا سازمان یک برنامه جامع تداوم و بازیابی از فاجعه را برای همه مکان ها، دارایی ها و تسهیلات کلیدی توسعه داده است؟
- اگر چنین است ، آیا سازمان تأیید می کند که حداقل سالانه به درستی و با موفقیت آزمایش شده است؟
- آیا سازمان یک تحلیل دقیق از عوامل متعددی که عملکرد را هدایت می کنند، چه مثبت و چه منفی، ایجاد کرده است که مهمترین انها و آنهایی را که بیشترین احتمال تقویت را دارند، شناسایی می کند؟
- تهدیدها برای عوامل اصلی عملکرد سازمان چیست؟
- اگر هر گونه خسارتی به اندازه ای بزرگ باشد که خدمات را مختل کند، برنامه احتمالی سازمان چیست؟
- سازمان دوست دارد چه کاری انجام دهد، اما به دلیل ترس از انجام آن خودداری می کند؟
- سازمان با عدم اقدام یا ریسک کافی چه فرصت هایی را از دست می دهد؟
- با استفاده از مزایای یک ایده جدید موفق چه چیزی را می توان در سازمان به دست آورد؟
- چگونه سازمان ریسک های خود را اندازه گیری می کند و می داند که اندازه مناسبی دارند و در حال افزایش نیستند؟
- آیا سازمان راهی برای طرح نگرانی ها به هیئت مدیره بدون دخالت یا تفسیر کارکنان اجرایی دارد؟
- چگونه سازمان اطمینان حاصل می کند که کارکنانش همیشه در مهارت های ریسک پذیری خود رشد می کنند؟
- آیا طرح جبران خدمات سازمان، ریسک پذیری را در سطحی متناسب با اشتهای ریسک خود تشویق می کند؟
- نقاط کور احتمالی سازمان از نظر حاکمیت ریسک چیست؟
سوالات مربوط به فرآیند
- آیا هیئت مدیره به طور منظم در جلسه اجرایی (بدون حضور مدیر عامل) ملاقات می کند؟
- آیا تیم اداری سازمان رویدادهای ریسک، نزدیک بودها، اقدامات و نتایج را برای بررسی آینده توسط هیئت مدیره پیگیری می کند؟
- آیا سازمان راهی برای جمع آوری ورودی مستقل از ذینفعان دارد؟
- آیا هیئت مدیره یک تشخیص دارد که در آن سازمان در مقایسه با طرح/انتظارات قراردارد؟
سوالات مربوط به استراتژی و توانایی های تجاری
- اقدامات و اهداف خاصی که سازمان برای ارزیابی پیشرفت خود به سمت اهداف بلند مدت و کوتاه مدت استفاده می کند، چیست و آیا آنها با اشتهای ریسک سازمان سازگار هستند؟
- ریسک بیش از حد ریسک گریز بودن در پیگیری اهداف جدید یا زمینه های جدید خدمات چیست؟
- کیفیت و امنیت ارائه دهندگان سرمایه حیاتی سازمان چیست؟
- کیفیت و امنیت دارایی های سازمان چیست؟
سوالات مربوط به تأثیرات خارجی
- اولویت های اخلاقی و فرهنگی که ذینفعان را به سازمان شما جذب می کند، چیست؟
- چگونه سازمان تغییرات در محیط خارجی را نظارت می کند؟
- آیا سازمان به طور منظم، به روشی تکراری و قابل مقایسه، رضایت از خدمات خود را که مشتریان و تأثیرگذاران خارجی دارند، ارزیابی می کند؟
- آیا یک رقیب می تواند مدل کسب و کار سازمان شما را منسوخ کند یا استقلال شما را تهدید کند؟
سوالات پیشنهادی برای جلسه سالانه کمیته ریسک هیئت مدیره
این بهترین روش برای هیئت مدیره است که حداقل سالانه سیستم مدیریت ریسک و کنترل داخلی شرکت را نظارت کند و در عین حال بررسی اثربخشی آنها را انجام دهد.
همانطور که این اصول راهنما احتمالاّ منتقل کرده اند، این یک وظیفه بزرگ و زمان بر است و وظیفه ای است که به مهارت های بسیار خاصی نیاز دارد.
در حالی که هیئت مدیره مسئولیت نظارت را بر عهده دارد ، کمیته ریسک هیئت مدیره می تواند یک بررسی سالانه از موارد کلیدی را تکمیل کند و آنها را برای هیئت مدیره خلاصه کند.
ما پیشنهاد می کنیم که چنین جلسه سالانه شامل بررسی، بحث و گزارش حداقل موارد زیر باشد که در اینجا بر اساس موضوع گروه بندی شده اند :
استراتژی
- آیا سازمان به گونه ای ساختار یافته است که نوآوری را به گونه ای تقویت کند که اهداف بهتری را تقویت کند و در صورت تمایل، برای رقبا در بازار اختلال ایجاد کند؟
- چگونه استراتژی و اهداف سازمان در سال گذشته تغییر کرده است و خطرات و فرضیات مهم ذاتی در آنها چیست؟
- تغییر در استراتژی انتخابی چه تاثیری بر اشتهای ریسک سازمان دارد و بالعکس؟
محیط کسب و کار
- بازارهایی که سازمان در آن فعالیت می کند در سال گذشته چگونه تغییر کرده اند؟
- چه تغییراتی در افق های زمانی طولانی تر ممکن است بر برنامه ها و اظهارات فعلی سازمان تأثیر بگذارد؟
- چگونه و چرا هزینه سرمایه سازمان در سال گذشته تغییر کرده است و آیا این تغییرات منحصر به سازمان است یا با تجربه رقبا سازگار است؟
- آیا تغییراتی در الزامات نظارتی یا انتظارات پیرامون زیرساخت ریسک سازمان ایجاد شده است؟ اگر چنین است، شرکت برای رسیدگی به این تغییرات چه می کند؟
- آیا تغییراتی در انتظارات سرمایه گذاران یا ارائه دهندگان اعتبار در مورد زیرساخت ریسک سازمان ایجاد شده است؟ اگر چنین است، شرکت برای رسیدگی به این مسائل چه کرده است؟
- آیا تغییراتی در انتظارات سایر ذینفعان کلیدی ( به عنوان مثال، مشتریان، تامین کنندگان، سرمایه انسانی بالقوه و موجود) در مورد زیرساخت ریسک سازمان ایجاد شده است؟ اگر چنین است، شرکت برای رسیدگی به آنها چه کرده است؟
- سازمان چگونه نیازهای آینده مشتریان خود را می داند یا پیش بینی می کند؟
- چه چیزی در مورد وضعیت فعلی سازمان در مقایسه با وضعیت رقبای اصلی آن متفاوت است؟
زیر ساخت
- زیرساخت مدیریت ریسک سازمان در سال گذشته چگونه تغییر کرده است و آیا با توجه به ریسک هایی که سازمان می پذیرد کافی است؟
- آیا سازمان یک خط مشی تشدید موثر و خط تلفن گزارش دهی تخلفات دارد؟
- آیا آنها در سال گذشته تغیر کرده اند؟
- جزئیات استفاده از آنها در سال گذشته چیست؟
- آیا تغییراتی در خط گزارش دهی حسابرسی داخلی و مدیریت ریسک ایجاد شده است و آیا این تغییرات حاکمیت ریسک هیئت مدیره را بهبود می بخشد یا مانع آن می شود؟
- آیا عملکرد مدیریت ریسک به اندازه کافی دارای پرسنل است و آیا به زیرساخت ریسک کافی دسترسی دارد؟
- داده های حیاتی سازمان چگونه ذخیره و محافظت می شوند و چگونه می توان در طول بحران به آنها دسترسی داشت؟
- برنامه های انتقال ریسک – از جمله پوشش ریسک و بیمه – چقدر مؤثر بوده اند و آیا کافی هستند؟
- چگونه قصد داریم از ثبات در اشتهای ریسک و فلسفه سازمان در سراسر دولت های جدید در هنگام تغییر رهبری سازمانی اطمینان حاصل کنیم؟
فرهنگ
- آیا اظهارات فعلی اشتهای ریسک داخلی، محدودیت های ریسک و اظهارات فلسفه ریسک با وضعیت بازارها، محیط سیاسی، استراتژی، اهداف و ظرفیت ریسک پذیری سازمان مطابقت دارد؟
- آیا این اظهارات و محدودیت ها به درستی توسط مدیران ارشد و کارکنان آنها درک شده است؟
- آیا شرکت به طور فعال در مورد تغییرات در انتظارات در مورد محیط کار، ایمنی، منابع آزار و اذیت یا تأثیر متفاوت بحث و بررسی می کند؟
- آیا ما به وضوح مدیریت عملکرد و ریسک را به هم مرتبط می کنیم و آیا اشتهای ریسک تعریف شده سازمان با رفتارهای مورد انتظار کارکنان سازگار است؟
- سیاست سازمان در مورد پایداری و سایر مسائل زیست محیطی، اجتماعی و حکمرانی (ESG) چیست و آیا با انتظارات خارجی سازگار است؟
- سازمان برای اطمینان از انطباق با اهداف پایداری و ESG خود چه می کند؟
- سازمان چگونه ارزیابی می کند که آیا برنامه های جبران خسارت آن رفتارهایی را ایجاد می کند که با فرهنگ مورد نظر سازمان سازگار باشد؟
- هنگام مدیریت ریسک ها ، آیا تجارت جنبه های تجاری مناسب را در مقابل جنبه های عملیاتی و عملکردی متعادل می کند؟
انعطاف پذیری
- آیا سازمان دارای یک کمیته توانمند برای واکنش سریع به رویدادهای ریسک در حال ظهور (تیم پاسخگویی به مشکل) است و چند وقت یکبار ، به چه دلایلی و با چه تاثیری در سال گذشته استفاده شده است؟
- آیا اختیارات این تیم پاسخگویی به مشکل در سال گذشته تغییر کرده است و آیا این تغییرات توانایی سازمان برای واکنش سریع به رویدادهای ریسک در حال ظهور را افزایش می دهد یا مانع آن می شود؟
- آیا مهارت های فنی و منابع رهبری تیم پاسخگویی به مشکل با ریسک های کلیدی سازمان همخوانی دارد؟
- آیا سازمان یک طرح تداوم کسب و کار قوی دارد و آیا در سال گذشته آزمایش، استفاده یا تغییر کرده است؟
- اگر چنین است، نتایج چه بود و آیا تغییرات توانایی سازمان برای واکنش به رویدادهای ریسک در حال ظهور را افزایش می دهد؟
- آیا شرکت یک طرح جانشینی قوی دارد و هیئت مدیره چگونه آن را نظارت می کند؟
- چه تغییراتی برای رفع هرگونه نقص کشف شده برنامه ریزی شده است؟
کمیته های ریسک هیئت مدیره در سازمان های مالی در مقابل سازمان های غیرمالی
در همه انواع سازمان ها ، تغییرات مثبت و منفی از طرح، عملکرد فعلی و توانایی پیگیری اهداف بزرگتر در آینده را تحت تاثیر قرار می دهند. اما این پیوند نهایی به این معنی نیست که سازمان های مالی و غیرمالی برنامه ها یا حوزه های تمرکز یکسانی برای کمیته ریسک هیئت مدیره دارند.
البته، هم منابع ریسک مالی و هم غیرمالی در هر نوع نهاد وجود دارد. با این حال، محیط ریسک فرهنگی که در آن فعالیت می کنند و تمرکز توجه در حاکمیت ریسک کاملاّ متفاوت است.
به عنوان مثال ، مسائل بهداشت و ایمنی در دستور کار ریسک بیشتر سازمان هایی که با تعامل بین دارایی های فیزیکی و افراد به عنوان یک منبع جدایی ناپذیر ایجاد ارزش سروکار دارند، رتبه بسیار بالاتری دارند. سازمان های مالی ، در حالی که به طور مسلم دارایی های فیزیکی قابل توجهی مانند فناوری ها و فضای فیزیکی دارند، از همان نوع تعامل بین دارایی های فیزیکی و انسانی برخوردار نیستند.
در سازمان های غیرمالی، این تعامل اغلب پیامدهای بهداشت و ایمنی هم برای کارکنان و هم برای جوامعی که در آن فعالیت می کنند، گاهی به عنوان مسائل مرگ و زندگی دارد.
مثال دیگر تفاوت در ریسک طرف مقابل است . تامین کنندگان در زنجیره فیزیکی تامین منابع زمان های طولانی دارند، ممکن است سرمایه گذاری های قابل توجهی برای ارائه خدمات به مشتری غیرمالی انجام دهند و انعطاف پذیری آنها در مواجهه با رویدادهای ریسک منفی می تواند تولید غیرمالی را برای مدت طولانی تحت تاثیر قرار دهد.
در حالی که سرمایه مالی نیز یک جریان است، تمرکز بر حفظ آن جریان، نگرانی از قطع فوری و فاجعه بار است، شبیه به آنچه که لمان و بیر استیرنز در طول بحران مالی 2008 با آن مواجه شدند.
یا عدم موفقیت یک طرف مقابل در برآورده کردن مفاد یک قرارداد مالی می تواند یک سری رویدادهای آبشاری را برای سازمان مالی آغاز کند. پاسخ هر نوع نهاد به اشکال خاص خود از ریسک طرف مقابل به این معنی است که رویکرد متفاوتی به مسائل انعطاف پذیری دارد، مانند سرعت، دید و اثرات خارجی تقویت.
سومین مثال ، تمرکز بر انعطاف پذیری به دلیل ریسک های فیزیکی منفی است که ناشی از اقدامات شرکت غیرمالی است ، همانطور که در مورد نشت گاز بوپال یا نشت نفت دیپ واتر هورایزون رخ داد.
ابزارهای مالی می توانند برای تجزیه و تحلیل و درک بسیار پیچیده باشند، اما سازمان های غیرمالی معمولاّ پیچیدگی بسیار بیشتری در مسائل ریسک خود دارند زیرا از طریق مواجهه های چند وجهی مانند فرهنگ ها، مرزهای سیاسی، محیط های نظارتی مختلف، ایمنی و موارد دیگر، برش می خورند. آنها نیاز به راه اندازی زیرساخت های بیشتری در جوامع دارند که مستلزم تمرکز بیشتر بر حسن نیتی است که با این جوامع دارند نسبت به شرکت های مالی.
و مثال پایانی این است که مدیران سازمان های غیرمالی بیشتر با انتخاب هایی روبرو می شوند که به عنوان گزینه های واقعی شناخته می شوند.
اینها پروژه هایی هستند که شامل دارایی های فیزیکی به جای دارایی های مالی هستند. کسترش یا بستن خط تولید، اجرای یک پروژه آزمایشی، شناسایی هزینه های فرصت بالقوه یک انتخاب، عدم محاسبه ارزش احتمالات که در صورت موفقیت از بالقوه به ولقعی تبدیل می شوند، همگی نمونه هایی از گزینه های واقعی هستند که در بحث های حاکمیت در سازمان های غیرمالی مرتبط تر هستند.
علیرغم پیچیدگی های آشکار حاکمیت ریسک در بخش غیرمالی، ما شیوع بسیار بیشتری از کمیته های ریسک هیئت مدیره در بخش مالی می یابیم. بیشتر این به دلیل تاکید نظارتی اخیر است و نه به دلیل برخی از ابتکارات گسترده صنعت.
آزانس های مالی ، و حتی غیرانتفاعی یا دولتی، درک محرک های موفقیت خود نیاز مشترک دارند و باید در کمیته های ریسک هیئت مدیره خود یک بررسی را شامل شوند که شامل بحث در مورد اهداف آنها، اندازه گیری دستیابی به آن اهداف، محرک های بالقوه تغییرات مثبت و منفی از آن اهداف، تحمل آن تغییرات و برنامه هایی برای انعطاف پذیری در صورتی که یک تغییر پتانسیل خروج از محدودیت های تحمل را داشته باشد.
این نیازهای مشترک نشان می دهد که ایجاد کمیته ریسک هیئت مدیره در نهادهای غیرمالی نسبت به نهادهای مالی اهمیت کمتری ندارد و هر دو نوع سازمان می توانند از اجرای شیوه های بررسی حاکمیت ریسک که در دیگری رایج است، سود ببرند.
درباره گروه مدیران و مسئولین ارشد ریسک (DCRO)
گروه مدیران و مسئولین ارشد ریسک (DCRO) در سال 2008 با هدف تمرکز بر حاکمیت سطح بالای ریسک در عمل تشکیل شد. این گروه با گرد هم آوردن اعضای برجسته هیئت مدیره، مسئولین ارشد ریسک و سایر مدیران سطح C که وظایفشان شامل مسئولیت امانی برای حاکمیت و مدیریت ریسک است، بیش از 2000 عضو از سازمان های بزرگ و متوسط انتفاعی و غیرانتفاعی از بیش از 115 کشور جهان را در بر می گیرد.
اعضای DCRO در جلسات تسهیل شده، تماس های کنفرانسی، تحقیقات معیارگیری و شوراهای حاکمیتی شرکت می کنند که به آن ها امکان می دهد رویه های فعلی را با رویه هایی که توسط سایر اعضا، نهادهای نظارتی یا سرمایه گذاران انتظار می رود، مقایسه کنند.
عضویت در DCRO صرفاّ محدود به اعضای فعال یا اخیراّ فعال هیئت مدیره، مسئولین ارشد ریسک یا مدیران اجرایی سطح C با مسئولیت های حاکمیت ریسک است.














