در اقتصادهای توسعه‌یافته اهمیت و نقش مدیریت ریسک در تحقق اهداف سازمانی به ­خوبی شناخته‌ شده و به‎ درستی از دستاوردهای آن بهره گرفته می­‌شود. درحالی‌که در بیشتر کشورهای درحال‌توسعه این شناخت هنوز به دست نیامده و به‌رغم خسارت­‌های چشم­گیر که حاصل عدم‌وجود سیستم‌­های مدیریت ریسک بر اموال و دارایی­‌ها، امکانات و نیروی انسانی این جامعه وارد آمده است، تلاش‌های درخور توجهی در جهت کمینه‌کردن خسارات و زیان‌های یاد شده و تأمین مالی مناسب برای جبران آن‌ها انجام‌ نشده است، واقعیتی که کم‌وبیش در مورد کشور ما نیز صادق است.

اکنون مؤسسات اقتصادی و تجاری در ایران از رشد نسبتاً بالایی برخوردارند و ارزش­‌های اقتصادی بسیاری در هر یک از آن‌ها به ­صورت روزافزون متمرکز می­‌شود. از دیدگاه مدیریت ریسک نیز، هم­زمان با تمرکز ارزش­‌های اقتصادی، خطرها و خسارت­‌های فاجعه‎‌­آمیز احتمالی پیرامون این فعالیت­‌ها پا می­‌گیرد.

مؤسسات صنعتی بزرگی که با اتکا به منابع مالی و سرمایه­‌ای تأمین ‌شده از محل درآمدهای عمومی ایران بر پا شده و بخش چشم­گیری از دارایی­‌های ملی را تشکیل می‎‌دهند در معرض ریسک­‌های گوناگونی قرار دارند که حفاظت از آن‌ها و پیش‌بینی تأمین مالی برای جایگزینی یا بازسازی سریع آن‌ها در صورت بروز خطر و خسارت مستلزم برنامه­‌ریزی‌­ها و اقدام‌­های گسترده‌­ای است.

برنامه­‌ریزی­‌ها و اقدام­اتی که از وظایف مدیران و مسئولیت آن‌ها به‌عنوان امین سهام­داران و اموال عمومی به‌­شمار می­‌آید افزون بر این وابستگی شدید اقتصادی کشور ما به کشورهای صنعتی در زمینه مواد اولیه، ابزار و ماشین­‌آلات، فن­اوری و سایر نیازمندی‌­ها هشدار می‌­دهد که خسارت‌ها و ضایعات وارده بر اموال و دارایی سبب خروج ارز و از دست رفتن بخشی از منابع محدود ارزی کشور خواهد شد.

مدیریت ریسک

مدیریت ریسک زمانی معنا و مفهوم می­‌یابد که شرایط با احتمال بروز زیان و عدم اطمینان مواجه شود. این نوع مدیریت شامل حوزه­‌ی گسترده‌­ای است که مسائل مالی، عملیاتی، تجاری، استراتژیک و حوزه وسیع‌تری بنام حوادث خطرآفرین را دربرمی­‌گیرد. درمجموع مدیریت ریسک فرآیند سنجش یا ارزیابی ریسک و سپس طرح استراتژی­‌هایی برای اداره ریسک است.

مدیریت ریسک فرآیندی را ایجاد می­‌کند که اطمینان حاصل شود تا ضریب احتمال دستیابی به اهداف بیشتر است. موارد مضر و مخرب اتفاق نمی‌­افتد و یا کمتر رخ می‌­دهد. خسارت­‌های اموال اغلب فقط زیان ناشی از آسیب‌خوردن و نابودی اموال نیست. تا زمانی که اموال دیگری جایگزین شود و اوضاع به حالت اول بازگردد ممکن است درآمد خالص ناشی از فعالیت کاهش یابد، چرا که احتمال کاهش درآمد، افزایش هزینه و یا هر دو وجود دارد.

هر اقدام بانک در راستای کاهش ریسک دورنمای بقای آن و دادن تأمین بیشتر به مشتریان بالقوه در مورد خدمات آتی و افزایش کیفیت محصولاتش را بهبود می­‌بخشد. بدیهی است که اهمیت نسبی فعالیت­‌های مدیریت ریسک، متناسب با مالکیت شرکت متفاوت خواهد بود. وجود دیگر مدعیان خسارت مانند کارمندان و عرضه‎‌کنندگان باعث ایجاد انگیزه برای مدیریت ریسک می­‌شود.

در اغلب موارد، ریسک عنصر ایستای یک فعالیت یا یک وضعیت محسوب نمی‌شود. درصورتی‌که ریسک به‌صورت یک عنصر ایستا در فعالیت مزبور باشد، به‌سادگی قابل‌اندازه‌گیری و تصمیم­‌گیری خواهد بود. حال‌آنکه در اغلب مسائلی که ما در زندگی واقعی با آن‌ها روبه‌­رو هستیم، ریسک حاصل کارکرد عوامل بسیاری ازجمله عوامل تکنیکی، فیزیکی، رفتاری، سازمانی و اجتماعی است. تعدد این عوامل موجب می­‌شود که ریسک بیشتر به­‌صورت یک معضل پیچیده ظاهر گردد نه چیزی که بتوان به‌آسانی با یک حرکت به آن اشاره کرد.

 فرآیند مدیریت ریسک

به اعتقاد فیرلی، مدیریت ریسک دارای هفت مرحله است:

• شناسایی عوامل ریسک
• تخمین احتمال رخداد ریسک و میزان تأثیر آن
• ارائه راهکارهایی جهت تعدیل ریسک‌های شناسایی شده
• نظارت بر عوامل ریسک
• ارائه یک طرح احتمالی
• مدیریت بحران
• احیای سازمان بعد از بحران

مدیریت ریسک مانند دیگر بخش‌­های مدیریت با مسائل مختلفی سروکار دارد: تعیین و شناسایی اهداف؛ جمع­‌آوری اطلاعات مربوطه با توجه به ماهیت مسئله و محیط پیرامون؛ ارزیابی هزینه­‌ها و سود حاصل از جایگزین‌­های مختلف با استفاده از تکنیک­‌های تحلیلی مدرن و انتخاب جایگزین­‌هایی که بیشترین سازگاری را با هدف‌­ها دارند. دوهرتی پیشنهاد کرد که فرآیند مدیریت ریسک را می‎‌توان با پاسخ دادن به پرسش­‌های زیر تشریح کرد:

• مسئله چیست؟  (شناسایی)
• اندازه و دامنه این مسئله تا چه حدی است؟  (اندازه­‌گیری)
• در مورد این مسئله چه‌ اقداماتی می‌­توان انجام داد؟  (تصمیم­‌گیری)

مدیریت ریسک فرآیندی دینامیک بوده و بیانگر شناسایی، ارزیابی و کنترل اقتصادی انواع ریسک­‌ها است. بنابراین به ­منظور ایجاد یک سیستم مدون مدیریت ریسک در سازمان ابتدا لازم است قلمرو و گستردگی مطالعه ریسک مشخص شود تا اطلاعات متناسب با آن جمع­‌آوری گردد. هر چه کیفیت اطلاعات بهتر باشد نتایج حاصله از مدیریت ریسک بیشتر با واقعیت همخوانی خواهد داشت. در مرحله بعد به شناسایی مخاطرات و بررسی آنالیز کیفی ریسک پرداخته خواهد شد.

در این مقطع که به آنالیز ریسک معروف است کلیه مخاطرات آشکار و پنهان شناسایی گردیده و ارزش ریسک هرکدام تعیین می­‌گردد. سپس به آنالیز احتمالات و مدل­‌سازی حوادث به‌عنوان آنالیز کمّی ریسک پرداخته می‌­شود. به مجموع مراحل آنالیز ریسک و آنالیز کمّی ریسک عبارت ارزیابی ریسک می­‌گویند. در صورتی‌که میزان ریسک سیستم موردنظر قابل‌قبول باشد پایان عملیات خواهد بود؛ ولی در صورت عدم‌پذیرش، جهت کنترل ریسک، تدابیر در نظر گرفته‌ شده مورد توجه قرار خواهد گرفت. ازآنجاکه ریسک‌­ها به‌­ندرت ساکن هستند، باید تحت پایش قرار گیرند. فرآیند مدیریت ریسک دارای چهار گام اساسی است. در ادامه هر یک از این گام‌­ها به تفصیل بیان شده است.

گام اول شناسایی و رتبه‌­بندی ریسک: شاید یکی از مهم­‌ترین وظایف مدیریت ریسک فرآیند شناسایی باشد. ناتوانی در زمینه شناسایی یک یا چند پیشامد بالقوه ممکن است به ورشکستگی مالی منجر شود. مهم آن است که بتوان وجود مشکل را قبل از تحقق یافتن پیش‌­بینی کرد، اما روش علمی یا رویکرد سیستماتیک برای فرآیند شناسایی وجود ندارد. در نهایت، ممکن است ریسک­‌های متعددی ناشناخته باقی بمانند. درگذشته، شناسایی در معرض خطر بودن، عمدتاً در رابطه با خطر قابل بیمه و در رابطه با تجربه گذشته بوده است. مشکل­‌ترین قسمت فرآیند شناسایی این است که مدیر به غیب­‌بینی و دیدن وقایع در ذهن خود نیاز دارد و این‌که دائم به این سؤال پاسخ دهد: اگر این اتفاق بیفتد چه می‌شود؟

ویلیامز و هینز شناسایی ریسک را چنین تعریف کرده­‌اند: «فرآیندی که به­‌طور سیستماتیک و پیوسته اموال، مسئولیت و اشخاص در معرض خطر را به‌محض بروز خطر یا قبل از آن شناسایی می­‌کند.» در خصوص فرآیند شناسایی، رویکردهای متعددی پیشنهاد شده‌­است که بیشتر آن‌ها بر ارزیابی ویژگی­‌های عملیاتی تأکید می­‌ورزند.

انجمن­‌های مدیریت ریسک، مؤسسات مشاوره مدیریت ریسک و شرکت­‌های بیمه، فهرست بررسی ریسک­‌های بالقوه را توسعه داده‌اند که عمدتاً بر اساس رویکرد پرسش­نامه­‌ای تنظیم‌ شده‌اند. در رویکرد پرسش­نامه­‌ای، بازرسی معمولاً یک مکمل ضروری است. دیگر رویکردهای پیشنهاد شده بر روش­‌های نمودار جریان کار، روش‌­های گزارش مالی یا تحلیل قراردادها مبتنی هستند.

تحلیل شغل یا موقعیت، زمینه دیگری برای شناسایی ریسک است. در توصیف شغل، مدیریت نیروی انسانی وظایف یک کارمند را مشخص و نیز چگونگی انجام دادن وظایف را تحلیل می­‌کند و شناسایی خطرات بالقوه­‌ای را که کارکنان و سازمان را تهدید می­‌کنند، به عهده دارد.

مکتب کسب حداکثر کارایی در کار توجه خود را به روابط انسان و ماشین معطوف کرده است. برای آنکه بتوان ریسک‌­ها را به بهترین نحو شناسایی کرد در ابتدا باید اهداف را مشخص نمود و سپس از خود پرسید اگر این اتفاق بیفتد چه تاثیری روی اهداف خواهد گذاشت. در این مرحله استفاده از داده‌های تاریخی زیان مؤثر خواهد بود. همچنین برگزاری جلسات طوفان فکری با خبرگان این حوزه بهترین راه برای شناسایی صحیح ریسک‌­ها می­‌باشد.

گام دوم ارزیابی و اندازه­‌گیری ریسک: پس از شناسایی ریسک‌­ها، مدیر ریسک باید آن‌ها را مورد ارزیابی قرار دهد. ارزیابی و رتبه­‌بندی ریسک­، به ویژه زمانی که تعداد عوامل ریسک­‌زا افزایش می‌­یابد به عنوان بخش مهمی از فرآیند پیچیده مدیریت ریسک محسوب می‎‌شود. ارزیابی و رتبه­‌بندی ریسک­‌ها با رویکردهای مختلف کمّی و کیفی انجام می­‌شود. روش‎‌های کمّی مبتنی بر تحلیل کلیه داده­‌های مربوط و قابل دسترس با هدف تخمین احتمال توزیع زیان‌­ها هستندد.

این روش­‌ها به سه دسته تقسیم‌­بندی می­‌شوند.

• مدل­‌های احصائی، مبتنی بر جمع‌­آور‌ی داده‌­های زیان بوده که از آن جمله می­‌توان به تابع توزیع زیان اشاره نمود؛
• مدل­‌های علّی، که ارتباط بین عوامل زیان و زیان­‌ها را می­‌سنجد؛
• مدل­‌های بیزین، که می­‌تواند داده­‌های کمّی و کیفی را به خوبی با هم ادغام نماید.

روش­‌های کیفی مبتنی بر نظرات و تجربه خبرگان داخلی بانک است. این روش­‌ها می­‌توانند به صورت دوره­‌ای ازطریق پرسش­نامه­‌هایی اعمال شده و انجام آن، اطلاعاتی چون کیفیت سیستم کنترل داخلی و خارجی را به دست تحلیل­گران می­‌دهند. در نسخه‌­های کامل‌تر، خبرگان می­‌تواند از فراوانی و میانگین شدت زیان­‌ها برای هر ریسک، ارزیابی مناسبی داشته باشند.

اطلاعات، با هدف توصیف، ارزیابی و پیشگیری جمع­‌آوری می‌­شود. معمولاً مطلوب آن است که داده­‌ها از طریق مهیا کردن توزیع­‌های فراوانی خلاصه شوند. ارائه داده­‌ها ممکن است اطلاعات بسیار مفیدی از علت­‌ها یا نتیجه یک پدیده به دست دهد. مشکلی که در فرآیند ارزیابی وجود دارد این است که یک حادثه ممکن است به ایجاد هزینه­‌های مستقیم و غیرمستقیم منجر شود. خسارت­‌های مستقیم شامل هزینه­‌های مالی مستقیم مربوط به اموال در معرض خطر، به‌عنوان‌مثال، جایگزینی یا تعمیر اموال تخریب‌شده مسئولیت در معرض خطر؛ و افراد در معرض خطر است و خسارت­‌های غیرمستقیم در پی خسارت­‌های مستقیم ایجاد می­‌شوند.

هدف ارزیابی ریسک این است که میزان جدی بودن ریسک تعیین گردد و معلوم شود که آیا افراد در معرض آن قرار دارند یا جامعه. یک جنبه از ایده اندازه­‌گیری ریسک به این فرض اساسی مربوط می­‌شود که توانایی پیش‌­بینی تحقق ریسک تا حد زیادی به کمیت و قابل‌اطمینان بودن اطلاعات در مورد پدیده تحت بررسی وابسته است. باوجوداین، در برخی موارد منحصربه‌فرد بودن وضعیت به نحوی است که اندازه­‌گیری و بنابراین ارزیابی ریسک را دشوار می­‌کند. فرآیند ارزیابی ریسک با مراحل زیر انجام خواهد شد.

1. شناسایی اهداف مرتبط با کسب‌­وکار
2. شناسایی پیشامدهایی که بر دستیابی به اهداف تأثیر می‌گذارند
3. تعیین میزان تحمل ریسک
4. ارزیابی احتمال ذاتی و تأثیر ریسک
5. ارزیابی پورتفوی ریسک و تعیین پاسخ به ریسک
6. ارزیابی احتمال و اثرات ریسک

پس از ارزیابی و رتبه­‌بندی ریسک به اندازه‌­گیری آن پرداخته می‌­شود. فرآیند ایجاد داده­‌ها، همان اندازه­‌گیری ریسک است. یعنی سنجش اندازه بالقوه خسارت و اینکه احتمال وقوع آنچه قدر است. داده­‌های موردنیاز، مربوط به دو بعد از ریسک است:

• فراوانی پیشامدها
• شدت خسارت­‌هایی که رخ خواهد داد

گام سوم تدوین استراتژی و کنترل ریسک: در این گام استراتژی­‌های مدیریت ریسک که در ادامه  شرح داده می‌شود، برای ریسک­‌های شناسایی‌شده و ارزیابی‌شده انتخاب می­‌شوند. برای تدوین استراتژی دو مرحله زیر طی می‌شود:

• انتخاب مناسب­‌ترین روش یا روش­‌های مقابله با ریسک­‌ها
• اجرای روش یا روش­‌های منتخب جهت کنترل ریسک

سازمان چه تصمیم بر پذیرش ریسک گرفته باشد چه عدم‌پذیرش آن، دو احتمال را باید در نظر بگیرد: ۱) کاهش فراوانی پیشامد ۲) کاهش شدت خسارت‌­هایی که حادث خواهند شد. باید به نفع بالقوه حاصل از کنترل ریسک در مقابل هزینه‎‌ها اهمیت داده شود. اگر نفع مورد انتظار برابر یا بیشتر از هزینه نباشد بهتر است که در آن فعالیت وارد نشود. اگر کاهش هزینه­‌های مستقیم و غیرمستقیم قابل تخمین باشد؛ لزوماً منافع مورد انتظار بلندمدت (مانند کاهش اطمینان، بهبود درک عمومی یا درک مصرف­‌کنندگان و افزایش روحیه و کارایی کارکنان) قابل‌اندازه‌گیری نیست.

مطالعه دقیق‌­تر فعالیت‌­های کنترل خسارت به پیشینه­‌ای از مهارت­‌های تکنیکی و عملی نیاز دارد. مدیر ریسک اغلب از تخصص تکنیکی کارکنان تولید برای تصمیم­‌گیری در مورد ابزارهای فیزیکی و استراتژیکی استفاده می­‌کند که باید اجرا شوند. اقدام‎ات کنترل ریسک و خسارت به روش‌­های مختلف و بسته به موارد زیر طبقه­‌بندی می­‌شوند:

• اقدامات پیشگیری از خسارات یا کاهش آن‌ها
• علت یا محل استقرار ریسک
• زمان­‌بندی حادثه

برنامه­‌های پیشگیری از خسارت برای کاهش یا حذف احتمال خسارت یعنی فراوانی ریسک است. امکان خسارت هرگز به‌طور کامل قابل‌حذف نیست؛ اما برای کاهش پیامدهای ریسک رویکرد مهمی است. فعالیت­‌های پیشگیری از خسارت، برنامه­‌های ایمنی، استقرار بازرس مقیم نمونه بارز فعالیت­‌هایی است که برای پیشگیری از ریسک انجام می‌گیرد. برنامه کاهش ریسک برای کاهش شدت خسارت است. طبق زمان­‌بندی حادثه، فرآیند پیشگیری از خسارت قبل از حادثه صورت می‎‌گیرد، درحالی‌که کاهش خسارت در طول دوره حادثه یا بعدازآن صورت می­پذیرد.

• قابلیت کنترل عوامل ریسک

حوادث و عوامل، مطابق درجه­‌ای که می­‌توانند توسط یک خط تجاری خاص کنترل شوند، طبقه‌­بندی می‌­شوند. قابلیت کنترل، توانایی یک واحد سازمانی خاص را در جهت جلوگیری یا کاش زیان مربوط به آن حادثه خاص طی یک بازه زمانی معین نشان می­‌دهد. البته قابل‌کنترل بودن یک ریسک، به این معنی نیست که کنترل آن از لحاظ هزینه به‌صرفه است.

تقریباً تمام ریسک­‌ها طی یک دوره بلندمدت، قابل‌ کنترل هستند و بنابراین یک ریسک قابل ‌کنترل، یک بازه زمانی خاص را که طی آن جلوگیری یا کاهش می­‌تواند اتفاق بیفتد، مفروض می­‌گیرد. این بازه زمانی معمولاً دوره بودجه یا افق برنامه‌­ریزی کوتاه­‌مدت شرکت است. عدم کنترل یک عامل یا یک حادثه، مربوط به توانایی ما برای انتقال یا تأمین مالی ریسک مرتبط با عامل یا حادثه نمی‌شود. انتقال یا تأمین مالی ریسک، حادثه یا عامل ریسک را تغییر نمی‌دهد؛ بلکه آن ریسک­‌ها را انتقال می­‌دهد، جبران می­‌کند یا اثر حادثه یا عامل بر سازمان را محدود می‌کند.

حوادث قابل ‌کنترل معمولاً شامل مشکلی در فرآیندها یا منابع داخلی سازمان است. مدیریت حوادث قابل‌ کنترل، مستلزم تمرکز بر کاهش فراوانی حادثه یا کاهش تأثیرات حادثه است. اولویت حوادث قابل ‌کنترل باید به طراحی مجدد و تنظیم جاری سیستم برای بهبود انعطاف­‌پذیری و پاسخ­گویی به شکست و نه بهبود موارد، پس‌از تخریب آن‌ها تخصیص داده شود. انتقال ریسک برای مدیریت ریسک­‌های قابل‌ کنترل به‌ندرت کارآمد است و این به سبب مخاطره اخلاقی ضمنی آن است. مدیرانی که ریسک را کنترل می­‌کنند به محدود کردن فعالیت­‌های حفاظتی در برابر ریسک و کاهش ریسک ترغیب می‌­شوند.

حوادث غیرقابل ‌کنترل نسبت به فرآیندها و منابع سازمان، خارجی هستند مانند خطا، آشوب سیاسی و ریسک‌­های بازار مالی. این ریسک­‌ها را به طرق زیر می­‌توان مدیریت کرد:

• تأمین مالی ریسک: پذیرش ریسک حادثه و کنار گذاشتن سرمایه اضافی برای پوشش ریسک.
• انتقال ریسک: انتقال ریسک به‌ شخص ثالثی که بهتر می­‌تواند آن را از طریق مصون­‌سازی و یا بیمه اداره کند.
• خروج از کسب‌وکار: محدود کردن فعالیت­‌های پرریسک یا در موارد بحرانی ترک کسب‌وکاری که منجر به ریسک می­‌شود.

تأمین مالی ریسک، زمانی مناسب است که شرکت اطلاعات ویژه­‌ای درباره ریسک دارد که طرف­‌های خارج از سازمان ندارند. اگر یک ‌طرف خارج از سازمان دارای مزیت رقابتی در مدیریت ریسک بود، شرکت باید سعی کند ریسک را به آن‎ طرف منتقل کند. اگر ریسک غیرقابل‌پذیرش باشد و انتقال نیز گزینه کارآمدی نباشد، شرکت راه انتخاب ندارد و باید از آن کسب‌­وکار خارج شود.

حوادث نسبتاً قابل‌کنترل تا حدی تحت کنترل کسب‌­وکار قرار دارند و اغلب از تصمیمات قبلی (مثلاً مخارج سرمایه‎‌گذاری بلندمدت یا هزینه ثابت و یا خط محصول موجود) ناشی می‌­شوند؛ مانند پیچیدگی توسعه محصول یا خدمت، توسعه زیربنایی، اندازه کنونی عملیات، محدودیت­‌هایی که توسط چرخه عمر محصول مالی ایجاد می‌­شوند، سرمایه‌­گذاری در بخش تحقیق‌وتوسعه، سطح اتوماسیون فرآیندها یا حوادث زیان­بار داخلی ذی­ربط، مانند ریسک کارکنان کلیدی یا کلاه‌برداری. فصل اشتراک ریسک­‌هایی که تا حدی قابل‌ کنترل هستند، انعطاف­‌پذیری محدود مدیریت برای پاسخ­گویی به شرایط متغیر محیطی است.

مسئولیت همواره در کنترل متمرکز است. باید جایی باشد که بتوان ریسک­‌ها را کنترل کرد. هرچند که تمام ریسک‌­ها را نمی‌­توان کنترل کرد، اما درنهایت اداره هر ریسکی را، چه داخلی و چه خارجی، باید شخص یا نهادی بر عهده گیرد. شناسایی آژانس‌­های کنترل ریسک­‌های خاص به تخصیص مسئولیت آن حوادث کمک می­‌کند. ریسک را یا می توان تنوع‌سازی کرد یا دارای چنین قابلیتی نیست. اگر ریسکی قابلیت تنوع‌سازی داشته باشد پس باید آن را به­‌عنوان بخشی از عملکرد کارکنان مسئول انتقال ریسک به برخی طرف­‌های خارجی پذیرفت؛ و اگر ریسک قابل تنوع­‌سازی نباشد، باید به‌عنوان بخشی از کسب‌­وکار پذیرفته شود و بنابراین به سهام­داران منتقل می‌گردد.

توافق بر سر مسئولیت حوادث در جهت قیمت­‌گذاری ریسک و منابع مستقیم سازمان به اداره بهتر آن‌ها کمک می‌­کند. طرح‌ریزی نقشه‌­ای واضح برای کنترل حوادث زیا­ن­بار و عوامل و آثار ریسک، مشکل را به سطح بالاتری از مدیریت انتقال می‌دهد که در آنجا به­‌طور منطقی‌­تر و مؤثرتری با آن برخورد می‌شود. امروزه هر فعالیتی با ریسک و مخاطره مواجه است و انسان‌­ها از زمان­‎‌های بسیار دور پی به این مفهوم برده و به‌دنبال شناسایی مفهوم و منابع آن هستند. به ‌مرور زمان گام‌هایی برای اندازه‌گیری ابعاد محتوایی و شکلی و شناسایی ریسک برداشته شده است.

صاحب­‌نظران در بعد اندازه­‌گیری سعی بر آن داشتند که ریسک را از مفهوم کیفی به مفهوم کمّی تبدیل کرده و سپس آن را مدیریت کنند. ریسک زمانی کاربرد عملی دارد که برای صاحب‌نظران قابل‌اندازه‌گیری باشد؛ بنابراین ریسک باید به‌گونه‌ای تعریف شود که قابلیت اندازه­‌گیری به‌صورت کمّی داشته باشد. در مدیریت ریسک بحث بر سر آن است که یا باید آن را به­‌طور کامل حذف نمود و یا آن را به حد بهینه و مطلوب رساند و اینکه میزان بهینه آن چقدر است؟

گام چهارم نظارت و گزارش­‌دهی: گام آخر مدیریت ریسک شامل نظارت و گزارش­‌دهی است که توسط آن می‌توان از کارکرد موثر برنامه‌های مربوط به اداره کردن اطمینان حاصل نمود. جهت انجام ‌این کار، ریسک را باید در حین تکمیل مراحل فرآیند مدیریت ریسک ارزیابی و بازنگری مجدد کرد تا از احتمال وجود آن آگاه شد. با آنکه ممکن است ریسک به طور کامل از بین نرود، اما لازم است تا به سطح قابل قبولی کاهش یابد. حتی ریسک‌های پایین نیز باید تحت کنترل باشند تا بتوان از پایین ماندن آنها اطمینان حاصل نمود.

ریسک‌های موجود در یک بانک، باید در گزارش مدیریت ریسک عنوان شوند.‌این گزارش باید حاوی فهرستی از ریسک‌های شناسایی شده، طرح‌های اداره کردن جهت کاهش ریسک و ماتریسی از ریسک برای طبقه‌بندی آن به سه دسته بالا، متوسط و پایین باشد.

در مرحلۀ گزارش­‌دهی، بر اساس نتایج حاصل از اندازه‌گیری‌ها، گزارش‌هایی با اشکال استاندارد تهیه می‌شود. در مرحلۀ نظارت نیز عملکرد کلی سیستم مدیریت ریسک مورد ارزیابی قرار می‌گیرد و بر اساس نتایج ارزیابی‌ها، تعدیل‌هایی صورت می‌گیرد.برای نظارت بر ریسک باید به طراحی برنامه نظارت و روش­‌های نظارت پرداخت. برنامه نظارت با توجه به انواع ریسک‌­ها متفاوت است. انواع ریسک­‌های مورد توجه در متدولوژی فوق عبارتند از:

1. ریسک‌­هایی که منجر به نقض مقررات نمی‌­شوند اما از حالت مطلوب عدول می­‌شود.
2. ریسک‌­هایی که منجر به نقض جزئی مقررات می‌شوند.
3. ریسک­‌هایی که منجر به نقض عمده مقررات می‌شوند.

هرچه درجه ریسک بالاتر باشد، میزان نظارت نیز شدیدتر خواهد بود.

مطالعه بیشتر: استراتژی‌های مدیریت ریسک