مدیریت ریسک سازمانی یک فرآیند مستمر با رویکردی جامع است که عدم قطعیت های موجود در تمامی سطوح سازمان را پوشش می دهد. این عدم قطعیت ها می توانند هم به صورت منفی و هم به صورت مثبت بر روی اهداف کلیدی سازمان اثرگذار باشند.
در واقع مدیریت ریسک سازمانی (ERM) با ایجاد یک فرآیند ساختاریافته، سازمان را قادر می سازد که در تمامی سطوح خود بصورت یکپارچه ریسک ها را شناسایی ، ارزیابی، برنامه ریزی و مدیریت نماید.

 در واقع یک سازمان با استقرار نظام مدیریت ریسک سازمانی برای خود فواید زیر را کسب  خواهد نمود:

•    مدیریت و کنترل تأثیرات منفی و یا مثبت اتفاقاتی که بر روی اهداف سازمانی اثرگذارند. 
•    قابلیت اتخاذ تصمیم آگاهانه با توجه به مدیریت اثرات منفی بالقوه ریسک ها و سود جستن از فرصت ها. 
•    تمرکز سازمان بر روی فعالیت های تجاری خود  و بهبود کسب و کار با استفاده از فرآیندهای برنامه ریزی و مدیریت عملکرد. 
•    توانایی سازمان در هدایت منابع بر روی ریسک های مهمتر و اثرگذارتر. 
•    جلوگیری از غافلگیر شدن  و افزایش کارایی سازمان. 
•    ایجاد فرهنگ سازمانی که در آن تمامی کارکنان از نقش خود در دستیابی سازمان به اهدافش آگاهند. 
•    یکپارچه سازی فرآیندهای  مدیریت ریسک با دیگر فرآیندهای مدیریتی سازمان 
•    اطلاع رسانی منافع مدیریت ریسک به ذینفعان 
•    تبیین خط مشی سازمان، روند و رویکرد مدیریت ریسک سازمان 
•    تعیین محدوده و نحوه کاربرد مدیریت ریسک در سازمان 
•    تعیین نقش ها و مسئولیت ها در مدیریت ریسکهای سازمان
•    تدوین یک فرآیند مستمر برای مدیریت ریسک در سازمان با توجه به استانداردهای مربوطه. 
•    تدوین فرایند نحوه گزارش دهی ریسک ها 

استاندارد تخصصی مدیریت ریسک سازمانی: ISO 31000

سازمان بین المللی استاندارد (ISO) در نوامبر سال 2009 برای اولین بار یک استاندارد بین المللی را برای مدیریت ریسک تحت عنوان ISO 31000 منتشر نمود تا از این طریق اصول و رهنمودهایی عام را در حوزه مدیریت ریسک به سازمانها ارائه دهد. این استاندارد سعی دارد با ارائه یک چارچوب مشخص، یک سیستم مدیریت ریسک که قابلیت کاربرد برای هر نوع سازمان و صنعتی را داشته باشد ارائه دهد.  
هدف از تدوین این استاندارد، ارائه اصول و رهنمودهایی عام در حوزه مدیریت ربسک سازمانی است. این استاندارد می تواند مورد استفاده هر بنگاه عمومی، خصوصی یا دولتی، انجمن، گروه یا فرد قرار گیرد. این استاندارد خاص هیچ صنعت یا بخشی نیست. این استاندارد را می توان در طول عمر یک سازمان و در گستره ای وسیع از فعالیتها بکار برد. از جمله استراتژیها و تصمیمات، عملیات، فرآیندها، وظایف، پروژه ها، محصولات، خدمات و دارایی ها. این استاندارد را می توان برای هر نوع ریسکی با هر نوع ماهیتی بکار برد. چه دارای اثرات مثبت باشد و چه منفی. 
اگرچه این استاندارد رهنمودهایی عام ارائه می دهد، ولی هدف آن ترویج مدیریت ریسک یکسان بین سازمانهای مختلف نیست. طراحی و پیاده سازی برنامه ها و چارچوبهای مدیریت ریسک در هر سازمان نیازمند در نظر گرفته شدن نیازهای مختلف سازمانی خاص، اهداف، بستر، ساختار، عملیات، فرآیندها، وظایف، پروژه ها، محصولات، خدمات یا داراییهای خاص آن و رویه های خاص بکار گرفته شده می باشد. در این استاندارد فرآیندهای مدیریت ریسک در قالب چارچوب پیشنهادی با دیگر فرآیندهای سازمان یکپارچه می شود و خط مشی آن با خط مشی سازمان همراستا خواهد بود و مکانیزم گزارش دهی مدیریت ریسک در سازمان دارای قالبهای مشخصی خواهند بود. 

استانداردISO 31000:2009 ، استانداردی ساختارمند بوده که از 3 بخش اصلی شامل اصول (Principles) ، چارچوب  (Framework)  و فرآیند (Process) تشکیل شده است. 

1)    اصول یاPrinciples  شامل 11 مشخصه بارز مدیریت ریسک در سازمان می باشند. برای اینکه مدیریت ریسک اثربخش باشد، سازمان بایستی در تمامی سطوح منطبق و پایبند به این اصول باشد. 
این اصول عبارتند از ایجاد ارزش، عدم تفکیک پذیری از سایر فرآیندهای سازمان، دخالت در تصمیم گیری، توجه به عدم قطعیتها، نظام مند و ساختار یافته و به موقع بودن، مبتنی بر بهترین اطلاعات، بومی سازی شده، در نظر گرفتن عوامل فرهنگی و انسانی، شفافیت و جامعیت، پویا و تکرارپذیر و حساس در مقابل تغییرات، کمک به بهبود مستمر سازمان.  

2)    چارچوب یا Framework شامل 5 جزء می باشد. موفقیت مدیریت ریسک بستگی بسیار به اثربخشی چارچوب دارد که زیرساخت و تمهیداتی که در کل سازمان در تمامی سطوح  در آن تعبیه شده اند را فراهم می سازد. چارچوب در مدیریت اثر بخش ریسکها از طریق بکارگیری فرآیند مدیریت ریسک در سطوح مختلف و بستر خاص سازمانی کمک می کند. چارچوب اطمینان می دهد که اطلاعات در مورد ریسک که از فرآیندهای مدیریت ریسک بدست آمده است ، به نحو مناسب گزارش شده و به عنوان مبنایی برای تصمیم گیری و پاسخگویی در تمامی سطوح سازمانی مربوطه بکار می رود. 
این اجزاء عبارتند از اختیار و تعهد، طراحی چارچوب مدیریت ریسک، پیاده سازی مدیریت ریسک، پایش و بازنگری چارچوب، بهبود مستمر چارچوب. 

3)    فرآیند یا Process شامل 5 جزء می باشد. فرآیندهای مدیریت ریسک می بایست یک جزء جدا نشدنی از مدیریت ، نهادینه شده در فرهنگ و رویه های سازمان، بومی سازی شده با فرآیندهای کسب و کار سازمان باشد.

این اجزاء عبارتند از تدوین بستر و محتوا، ارزیابی ریسک (شامل شناسایی و تحلیل و سنجش ریسک)، پاسخگویی به ریسک، پایش و بازنگری، مشاوره و ارتباطات.

 برای مشاوره و اجرای سیستم ایزو 31000 با کارشناسان فنی مهندسی ثریا تماس بگیرید .