۴ گام اساسی در فرآیند مدیریت ریسک
۱۴۰۰/۰۳/۱۳ ۱۴۰۰-۰۷-۲۳ ۱۰:۳۱۴ گام اساسی در فرآیند مدیریت ریسک
در اقتصادهای توسعهیافته اهمیت و نقش مدیریت ریسک در تحقق اهداف سازمانی به خوبی شناخته شده و به درستی از دستاوردهای آن بهره گرفته میشود. درحالیکه در بیشتر کشورهای درحالتوسعه این شناخت هنوز به دست نیامده و بهرغم خسارتهای چشمگیر که حاصل عدموجود سیستمهای مدیریت ریسک بر اموال و داراییها، امکانات و نیروی انسانی این جامعه وارد آمده است، تلاشهای درخور توجهی در جهت کمینهکردن خسارات و زیانهای یاد شده و تأمین مالی مناسب برای جبران آنها انجام نشده است، واقعیتی که کموبیش در مورد کشور ما نیز صادق است.
اکنون مؤسسات اقتصادی و تجاری در ایران از رشد نسبتاً بالایی برخوردارند و ارزشهای اقتصادی بسیاری در هر یک از آنها به صورت روزافزون متمرکز میشود. از دیدگاه مدیریت ریسک نیز، همزمان با تمرکز ارزشهای اقتصادی، خطرها و خسارتهای فاجعهآمیز احتمالی پیرامون این فعالیتها پا میگیرد.
مؤسسات صنعتی بزرگی که با اتکا به منابع مالی و سرمایهای تأمین شده از محل درآمدهای عمومی ایران بر پا شده و بخش چشمگیری از داراییهای ملی را تشکیل میدهند در معرض ریسکهای گوناگونی قرار دارند که حفاظت از آنها و پیشبینی تأمین مالی برای جایگزینی یا بازسازی سریع آنها در صورت بروز خطر و خسارت مستلزم برنامهریزیها و اقدامهای گستردهای است.
برنامهریزیها و اقداماتی که از وظایف مدیران و مسئولیت آنها بهعنوان امین سهامداران و اموال عمومی بهشمار میآید افزون بر این وابستگی شدید اقتصادی کشور ما به کشورهای صنعتی در زمینه مواد اولیه، ابزار و ماشینآلات، فناوری و سایر نیازمندیها هشدار میدهد که خسارتها و ضایعات وارده بر اموال و دارایی سبب خروج ارز و از دست رفتن بخشی از منابع محدود ارزی کشور خواهد شد.
مدیریت ریسک
مدیریت ریسک زمانی معنا و مفهوم مییابد که شرایط با احتمال بروز زیان و عدم اطمینان مواجه شود. این نوع مدیریت شامل حوزهی گستردهای است که مسائل مالی، عملیاتی، تجاری، استراتژیک و حوزه وسیعتری بنام حوادث خطرآفرین را دربرمیگیرد. درمجموع مدیریت ریسک فرآیند سنجش یا ارزیابی ریسک و سپس طرح استراتژیهایی برای اداره ریسک است.
مدیریت ریسک فرآیندی را ایجاد میکند که اطمینان حاصل شود تا ضریب احتمال دستیابی به اهداف بیشتر است. موارد مضر و مخرب اتفاق نمیافتد و یا کمتر رخ میدهد. خسارتهای اموال اغلب فقط زیان ناشی از آسیبخوردن و نابودی اموال نیست. تا زمانی که اموال دیگری جایگزین شود و اوضاع به حالت اول بازگردد ممکن است درآمد خالص ناشی از فعالیت کاهش یابد، چرا که احتمال کاهش درآمد، افزایش هزینه و یا هر دو وجود دارد.
هر اقدام بانک در راستای کاهش ریسک دورنمای بقای آن و دادن تأمین بیشتر به مشتریان بالقوه در مورد خدمات آتی و افزایش کیفیت محصولاتش را بهبود میبخشد. بدیهی است که اهمیت نسبی فعالیتهای مدیریت ریسک، متناسب با مالکیت شرکت متفاوت خواهد بود. وجود دیگر مدعیان خسارت مانند کارمندان و عرضهکنندگان باعث ایجاد انگیزه برای مدیریت ریسک میشود.
در اغلب موارد، ریسک عنصر ایستای یک فعالیت یا یک وضعیت محسوب نمیشود. درصورتیکه ریسک بهصورت یک عنصر ایستا در فعالیت مزبور باشد، بهسادگی قابلاندازهگیری و تصمیمگیری خواهد بود. حالآنکه در اغلب مسائلی که ما در زندگی واقعی با آنها روبهرو هستیم، ریسک حاصل کارکرد عوامل بسیاری ازجمله عوامل تکنیکی، فیزیکی، رفتاری، سازمانی و اجتماعی است. تعدد این عوامل موجب میشود که ریسک بیشتر بهصورت یک معضل پیچیده ظاهر گردد نه چیزی که بتوان بهآسانی با یک حرکت به آن اشاره کرد.
فرآیند مدیریت ریسک
به اعتقاد فیرلی، مدیریت ریسک دارای هفت مرحله است:
- شناسایی عوامل ریسک
- تخمین احتمال رخداد ریسک و میزان تأثیر آن
- ارائه راهکارهایی جهت تعدیل ریسکهای شناسایی شده
- نظارت بر عوامل ریسک
- ارائه یک طرح احتمالی
- مدیریت بحران
- احیای سازمان بعد از بحران
مدیریت ریسک مانند دیگر بخشهای مدیریت با مسائل مختلفی سروکار دارد: تعیین و شناسایی اهداف؛ جمعآوری اطلاعات مربوطه با توجه به ماهیت مسئله و محیط پیرامون؛ ارزیابی هزینهها و سود حاصل از جایگزینهای مختلف با استفاده از تکنیکهای تحلیلی مدرن و انتخاب جایگزینهایی که بیشترین سازگاری را با هدفها دارند. دوهرتی پیشنهاد کرد که فرآیند مدیریت ریسک را میتوان با پاسخ دادن به پرسشهای زیر تشریح کرد:
- مسئله چیست؟ (شناسایی)
- اندازه و دامنه این مسئله تا چه حدی است؟ (اندازهگیری)
- در مورد این مسئله چه اقداماتی میتوان انجام داد؟ (تصمیمگیری)
مدیریت ریسک فرآیندی دینامیک بوده و بیانگر شناسایی، ارزیابی و کنترل اقتصادی انواع ریسکها است. بنابراین به منظور ایجاد یک سیستم مدون مدیریت ریسک در سازمان ابتدا لازم است قلمرو و گستردگی مطالعه ریسک مشخص شود تا اطلاعات متناسب با آن جمعآوری گردد. هر چه کیفیت اطلاعات بهتر باشد نتایج حاصله از مدیریت ریسک بیشتر با واقعیت همخوانی خواهد داشت. در مرحله بعد به شناسایی مخاطرات و بررسی آنالیز کیفی ریسک پرداخته خواهد شد.
در این مقطع که به آنالیز ریسک معروف است کلیه مخاطرات آشکار و پنهان شناسایی گردیده و ارزش ریسک هرکدام تعیین میگردد. سپس به آنالیز احتمالات و مدلسازی حوادث بهعنوان آنالیز کمّی ریسک پرداخته میشود. به مجموع مراحل آنالیز ریسک و آنالیز کمّی ریسک عبارت ارزیابی ریسک میگویند. در صورتیکه میزان ریسک سیستم موردنظر قابلقبول باشد پایان عملیات خواهد بود؛ ولی در صورت عدمپذیرش، جهت کنترل ریسک، تدابیر در نظر گرفته شده مورد توجه قرار خواهد گرفت. ازآنجاکه ریسکها بهندرت ساکن هستند، باید تحت پایش قرار گیرند. فرآیند مدیریت ریسک دارای چهار گام اساسی است. در ادامه هر یک از این گامها به تفصیل بیان شده است.
گام اول شناسایی و رتبهبندی ریسک: شاید یکی از مهمترین وظایف مدیریت ریسک فرآیند شناسایی باشد. ناتوانی در زمینه شناسایی یک یا چند پیشامد بالقوه ممکن است به ورشکستگی مالی منجر شود. مهم آن است که بتوان وجود مشکل را قبل از تحقق یافتن پیشبینی کرد، اما روش علمی یا رویکرد سیستماتیک برای فرآیند شناسایی وجود ندارد. در نهایت، ممکن است ریسکهای متعددی ناشناخته باقی بمانند. درگذشته، شناسایی در معرض خطر بودن، عمدتاً در رابطه با خطر قابل بیمه و در رابطه با تجربه گذشته بوده است. مشکلترین قسمت فرآیند شناسایی این است که مدیر به غیببینی و دیدن وقایع در ذهن خود نیاز دارد و اینکه دائم به این سؤال پاسخ دهد: اگر این اتفاق بیفتد چه میشود؟
ویلیامز و هینز شناسایی ریسک را چنین تعریف کردهاند: «فرآیندی که بهطور سیستماتیک و پیوسته اموال، مسئولیت و اشخاص در معرض خطر را بهمحض بروز خطر یا قبل از آن شناسایی میکند.» در خصوص فرآیند شناسایی، رویکردهای متعددی پیشنهاد شدهاست که بیشتر آنها بر ارزیابی ویژگیهای عملیاتی تأکید میورزند.
انجمنهای مدیریت ریسک، مؤسسات مشاوره مدیریت ریسک و شرکتهای بیمه، فهرست بررسی ریسکهای بالقوه را توسعه دادهاند که عمدتاً بر اساس رویکرد پرسشنامهای تنظیم شدهاند. در رویکرد پرسشنامهای، بازرسی معمولاً یک مکمل ضروری است. دیگر رویکردهای پیشنهاد شده بر روشهای نمودار جریان کار، روشهای گزارش مالی یا تحلیل قراردادها مبتنی هستند.
تحلیل شغل یا موقعیت، زمینه دیگری برای شناسایی ریسک است. در توصیف شغل، مدیریت نیروی انسانی وظایف یک کارمند را مشخص و نیز چگونگی انجام دادن وظایف را تحلیل میکند و شناسایی خطرات بالقوهای را که کارکنان و سازمان را تهدید میکنند، به عهده دارد.
مکتب کسب حداکثر کارایی در کار توجه خود را به روابط انسان و ماشین معطوف کرده است. برای آنکه بتوان ریسکها را به بهترین نحو شناسایی کرد در ابتدا باید اهداف را مشخص نمود و سپس از خود پرسید اگر این اتفاق بیفتد چه تاثیری روی اهداف خواهد گذاشت. در این مرحله استفاده از دادههای تاریخی زیان مؤثر خواهد بود. همچنین برگزاری جلسات طوفان فکری با خبرگان این حوزه بهترین راه برای شناسایی صحیح ریسکها میباشد.
گام دوم ارزیابی و اندازهگیری ریسک: پس از شناسایی ریسکها، مدیر ریسک باید آنها را مورد ارزیابی قرار دهد. ارزیابی و رتبهبندی ریسک، به ویژه زمانی که تعداد عوامل ریسکزا افزایش مییابد به عنوان بخش مهمی از فرآیند پیچیده مدیریت ریسک محسوب میشود. ارزیابی و رتبهبندی ریسکها با رویکردهای مختلف کمّی و کیفی انجام میشود. روشهای کمّی مبتنی بر تحلیل کلیه دادههای مربوط و قابل دسترس با هدف تخمین احتمال توزیع زیانها هستندد.
این روشها به سه دسته تقسیمبندی میشوند.
- مدلهای احصائی، مبتنی بر جمعآوری دادههای زیان بوده که از آن جمله میتوان به تابع توزیع زیان اشاره نمود؛
- مدلهای علّی، که ارتباط بین عوامل زیان و زیانها را میسنجد؛
- مدلهای بیزین، که میتواند دادههای کمّی و کیفی را به خوبی با هم ادغام نماید.
روشهای کیفی مبتنی بر نظرات و تجربه خبرگان داخلی بانک است. این روشها میتوانند به صورت دورهای ازطریق پرسشنامههایی اعمال شده و انجام آن، اطلاعاتی چون کیفیت سیستم کنترل داخلی و خارجی را به دست تحلیلگران میدهند. در نسخههای کاملتر، خبرگان میتواند از فراوانی و میانگین شدت زیانها برای هر ریسک، ارزیابی مناسبی داشته باشند.
اطلاعات، با هدف توصیف، ارزیابی و پیشگیری جمعآوری میشود. معمولاً مطلوب آن است که دادهها از طریق مهیا کردن توزیعهای فراوانی خلاصه شوند. ارائه دادهها ممکن است اطلاعات بسیار مفیدی از علتها یا نتیجه یک پدیده به دست دهد. مشکلی که در فرآیند ارزیابی وجود دارد این است که یک حادثه ممکن است به ایجاد هزینههای مستقیم و غیرمستقیم منجر شود. خسارتهای مستقیم شامل هزینههای مالی مستقیم مربوط به اموال در معرض خطر، بهعنوانمثال، جایگزینی یا تعمیر اموال تخریبشده مسئولیت در معرض خطر؛ و افراد در معرض خطر است و خسارتهای غیرمستقیم در پی خسارتهای مستقیم ایجاد میشوند.
هدف ارزیابی ریسک این است که میزان جدی بودن ریسک تعیین گردد و معلوم شود که آیا افراد در معرض آن قرار دارند یا جامعه. یک جنبه از ایده اندازهگیری ریسک به این فرض اساسی مربوط میشود که توانایی پیشبینی تحقق ریسک تا حد زیادی به کمیت و قابلاطمینان بودن اطلاعات در مورد پدیده تحت بررسی وابسته است. باوجوداین، در برخی موارد منحصربهفرد بودن وضعیت به نحوی است که اندازهگیری و بنابراین ارزیابی ریسک را دشوار میکند. فرآیند ارزیابی ریسک با مراحل زیر انجام خواهد شد.
- شناسایی اهداف مرتبط با کسبوکار
- شناسایی پیشامدهایی که بر دستیابی به اهداف تأثیر میگذارند
- تعیین میزان تحمل ریسک
- ارزیابی احتمال ذاتی و تأثیر ریسک
- ارزیابی پورتفوی ریسک و تعیین پاسخ به ریسک
- ارزیابی احتمال و اثرات ریسک
پس از ارزیابی و رتبهبندی ریسک به اندازهگیری آن پرداخته میشود. فرآیند ایجاد دادهها، همان اندازهگیری ریسک است. یعنی سنجش اندازه بالقوه خسارت و اینکه احتمال وقوع آنچه قدر است. دادههای موردنیاز، مربوط به دو بعد از ریسک است:
- فراوانی پیشامدها
- شدت خسارتهایی که رخ خواهد داد
گام سوم تدوین استراتژی و کنترل ریسک: در این گام استراتژیهای مدیریت ریسک که در ادامه شرح داده میشود، برای ریسکهای شناساییشده و ارزیابیشده انتخاب میشوند. برای تدوین استراتژی دو مرحله زیر طی میشود:
- انتخاب مناسبترین روش یا روشهای مقابله با ریسکها
- اجرای روش یا روشهای منتخب جهت کنترل ریسک
سازمان چه تصمیم بر پذیرش ریسک گرفته باشد چه عدمپذیرش آن، دو احتمال را باید در نظر بگیرد: ۱) کاهش فراوانی پیشامد ۲) کاهش شدت خسارتهایی که حادث خواهند شد. باید به نفع بالقوه حاصل از کنترل ریسک در مقابل هزینهها اهمیت داده شود. اگر نفع مورد انتظار برابر یا بیشتر از هزینه نباشد بهتر است که در آن فعالیت وارد نشود. اگر کاهش هزینههای مستقیم و غیرمستقیم قابل تخمین باشد؛ لزوماً منافع مورد انتظار بلندمدت (مانند کاهش اطمینان، بهبود درک عمومی یا درک مصرفکنندگان و افزایش روحیه و کارایی کارکنان) قابلاندازهگیری نیست.
مطالعه دقیقتر فعالیتهای کنترل خسارت به پیشینهای از مهارتهای تکنیکی و عملی نیاز دارد. مدیر ریسک اغلب از تخصص تکنیکی کارکنان تولید برای تصمیمگیری در مورد ابزارهای فیزیکی و استراتژیکی استفاده میکند که باید اجرا شوند. اقدامات کنترل ریسک و خسارت به روشهای مختلف و بسته به موارد زیر طبقهبندی میشوند:
- اقدامات پیشگیری از خسارات یا کاهش آنها
- علت یا محل استقرار ریسک
- زمانبندی حادثه
برنامههای پیشگیری از خسارت برای کاهش یا حذف احتمال خسارت یعنی فراوانی ریسک است. امکان خسارت هرگز بهطور کامل قابلحذف نیست؛ اما برای کاهش پیامدهای ریسک رویکرد مهمی است. فعالیتهای پیشگیری از خسارت، برنامههای ایمنی، استقرار بازرس مقیم نمونه بارز فعالیتهایی است که برای پیشگیری از ریسک انجام میگیرد. برنامه کاهش ریسک برای کاهش شدت خسارت است. طبق زمانبندی حادثه، فرآیند پیشگیری از خسارت قبل از حادثه صورت میگیرد، درحالیکه کاهش خسارت در طول دوره حادثه یا بعدازآن صورت میپذیرد.
- قابلیت کنترل عوامل ریسک
حوادث و عوامل، مطابق درجهای که میتوانند توسط یک خط تجاری خاص کنترل شوند، طبقهبندی میشوند. قابلیت کنترل، توانایی یک واحد سازمانی خاص را در جهت جلوگیری یا کاش زیان مربوط به آن حادثه خاص طی یک بازه زمانی معین نشان میدهد. البته قابلکنترل بودن یک ریسک، به این معنی نیست که کنترل آن از لحاظ هزینه بهصرفه است.
تقریباً تمام ریسکها طی یک دوره بلندمدت، قابل کنترل هستند و بنابراین یک ریسک قابل کنترل، یک بازه زمانی خاص را که طی آن جلوگیری یا کاهش میتواند اتفاق بیفتد، مفروض میگیرد. این بازه زمانی معمولاً دوره بودجه یا افق برنامهریزی کوتاهمدت شرکت است. عدم کنترل یک عامل یا یک حادثه، مربوط به توانایی ما برای انتقال یا تأمین مالی ریسک مرتبط با عامل یا حادثه نمیشود. انتقال یا تأمین مالی ریسک، حادثه یا عامل ریسک را تغییر نمیدهد؛ بلکه آن ریسکها را انتقال میدهد، جبران میکند یا اثر حادثه یا عامل بر سازمان را محدود میکند.
حوادث قابل کنترل معمولاً شامل مشکلی در فرآیندها یا منابع داخلی سازمان است. مدیریت حوادث قابل کنترل، مستلزم تمرکز بر کاهش فراوانی حادثه یا کاهش تأثیرات حادثه است. اولویت حوادث قابل کنترل باید به طراحی مجدد و تنظیم جاری سیستم برای بهبود انعطافپذیری و پاسخگویی به شکست و نه بهبود موارد، پساز تخریب آنها تخصیص داده شود. انتقال ریسک برای مدیریت ریسکهای قابل کنترل بهندرت کارآمد است و این به سبب مخاطره اخلاقی ضمنی آن است. مدیرانی که ریسک را کنترل میکنند به محدود کردن فعالیتهای حفاظتی در برابر ریسک و کاهش ریسک ترغیب میشوند.
حوادث غیرقابل کنترل نسبت به فرآیندها و منابع سازمان، خارجی هستند مانند خطا، آشوب سیاسی و ریسکهای بازار مالی. این ریسکها را به طرق زیر میتوان مدیریت کرد:
- تأمین مالی ریسک: پذیرش ریسک حادثه و کنار گذاشتن سرمایه اضافی برای پوشش ریسک.
- انتقال ریسک: انتقال ریسک به شخص ثالثی که بهتر میتواند آن را از طریق مصونسازی و یا بیمه اداره کند.
- خروج از کسبوکار: محدود کردن فعالیتهای پرریسک یا در موارد بحرانی ترک کسبوکاری که منجر به ریسک میشود.
تأمین مالی ریسک، زمانی مناسب است که شرکت اطلاعات ویژهای درباره ریسک دارد که طرفهای خارج از سازمان ندارند. اگر یک طرف خارج از سازمان دارای مزیت رقابتی در مدیریت ریسک بود، شرکت باید سعی کند ریسک را به آن طرف منتقل کند. اگر ریسک غیرقابلپذیرش باشد و انتقال نیز گزینه کارآمدی نباشد، شرکت راه انتخاب ندارد و باید از آن کسبوکار خارج شود.
حوادث نسبتاً قابلکنترل تا حدی تحت کنترل کسبوکار قرار دارند و اغلب از تصمیمات قبلی (مثلاً مخارج سرمایهگذاری بلندمدت یا هزینه ثابت و یا خط محصول موجود) ناشی میشوند؛ مانند پیچیدگی توسعه محصول یا خدمت، توسعه زیربنایی، اندازه کنونی عملیات، محدودیتهایی که توسط چرخه عمر محصول مالی ایجاد میشوند، سرمایهگذاری در بخش تحقیقوتوسعه، سطح اتوماسیون فرآیندها یا حوادث زیانبار داخلی ذیربط، مانند ریسک کارکنان کلیدی یا کلاهبرداری. فصل اشتراک ریسکهایی که تا حدی قابل کنترل هستند، انعطافپذیری محدود مدیریت برای پاسخگویی به شرایط متغیر محیطی است.
مسئولیت همواره در کنترل متمرکز است. باید جایی باشد که بتوان ریسکها را کنترل کرد. هرچند که تمام ریسکها را نمیتوان کنترل کرد، اما درنهایت اداره هر ریسکی را، چه داخلی و چه خارجی، باید شخص یا نهادی بر عهده گیرد. شناسایی آژانسهای کنترل ریسکهای خاص به تخصیص مسئولیت آن حوادث کمک میکند. ریسک را یا می توان تنوعسازی کرد یا دارای چنین قابلیتی نیست. اگر ریسکی قابلیت تنوعسازی داشته باشد پس باید آن را بهعنوان بخشی از عملکرد کارکنان مسئول انتقال ریسک به برخی طرفهای خارجی پذیرفت؛ و اگر ریسک قابل تنوعسازی نباشد، باید بهعنوان بخشی از کسبوکار پذیرفته شود و بنابراین به سهامداران منتقل میگردد.
توافق بر سر مسئولیت حوادث در جهت قیمتگذاری ریسک و منابع مستقیم سازمان به اداره بهتر آنها کمک میکند. طرحریزی نقشهای واضح برای کنترل حوادث زیانبار و عوامل و آثار ریسک، مشکل را به سطح بالاتری از مدیریت انتقال میدهد که در آنجا بهطور منطقیتر و مؤثرتری با آن برخورد میشود. امروزه هر فعالیتی با ریسک و مخاطره مواجه است و انسانها از زمانهای بسیار دور پی به این مفهوم برده و بهدنبال شناسایی مفهوم و منابع آن هستند. به مرور زمان گامهایی برای اندازهگیری ابعاد محتوایی و شکلی و شناسایی ریسک برداشته شده است.
صاحبنظران در بعد اندازهگیری سعی بر آن داشتند که ریسک را از مفهوم کیفی به مفهوم کمّی تبدیل کرده و سپس آن را مدیریت کنند. ریسک زمانی کاربرد عملی دارد که برای صاحبنظران قابلاندازهگیری باشد؛ بنابراین ریسک باید بهگونهای تعریف شود که قابلیت اندازهگیری بهصورت کمّی داشته باشد. در مدیریت ریسک بحث بر سر آن است که یا باید آن را بهطور کامل حذف نمود و یا آن را به حد بهینه و مطلوب رساند و اینکه میزان بهینه آن چقدر است؟
گام چهارم نظارت و گزارشدهی: گام آخر مدیریت ریسک شامل نظارت و گزارشدهی است که توسط آن میتوان از کارکرد موثر برنامههای مربوط به اداره کردن اطمینان حاصل نمود. جهت انجام این کار، ریسک را باید در حین تکمیل مراحل فرآیند مدیریت ریسک ارزیابی و بازنگری مجدد کرد تا از احتمال وجود آن آگاه شد. با آنکه ممکن است ریسک به طور کامل از بین نرود، اما لازم است تا به سطح قابل قبولی کاهش یابد. حتی ریسکهای پایین نیز باید تحت کنترل باشند تا بتوان از پایین ماندن آنها اطمینان حاصل نمود.
ریسکهای موجود در یک بانک، باید در گزارش مدیریت ریسک عنوان شوند.این گزارش باید حاوی فهرستی از ریسکهای شناسایی شده، طرحهای اداره کردن جهت کاهش ریسک و ماتریسی از ریسک برای طبقهبندی آن به سه دسته بالا، متوسط و پایین باشد.
در مرحلۀ گزارشدهی، بر اساس نتایج حاصل از اندازهگیریها، گزارشهایی با اشکال استاندارد تهیه میشود. در مرحلۀ نظارت نیز عملکرد کلی سیستم مدیریت ریسک مورد ارزیابی قرار میگیرد و بر اساس نتایج ارزیابیها، تعدیلهایی صورت میگیرد.برای نظارت بر ریسک باید به طراحی برنامه نظارت و روشهای نظارت پرداخت. برنامه نظارت با توجه به انواع ریسکها متفاوت است. انواع ریسکهای مورد توجه در متدولوژی فوق عبارتند از:
- ریسکهایی که منجر به نقض مقررات نمیشوند اما از حالت مطلوب عدول میشود.
- ریسکهایی که منجر به نقض جزئی مقررات میشوند.
- ریسکهایی که منجر به نقض عمده مقررات میشوند.
هرچه درجه ریسک بالاتر باشد، میزان نظارت نیز شدیدتر خواهد بود.
مطالعه بیشتر: استراتژیهای مدیریت ریسک