ماتریس ریسک چیست؟

ماتریس ریسک (Risk Matrix) یکی از پرکاربردترین ابزارها در مدیریت ریسک سازمانی است که برای ارزیابی و اولویت‌بندی ریسک‌ها بر اساس دو شاخص اصلی «احتمال وقوع» و «شدت اثر» استفاده می‌شود. این ابزار به مدیران کمک می‌کند تا به‌جای نگاه توصیفی و ذهنی به ریسک‌ها، تصویری کمی و قابل مقایسه از وضعیت تهدیدها و فرصت‌ها داشته باشند.

در ساده‌ترین تعریف، ماتریس ریسک یک جدول دوبعدی است که محور افقی آن احتمال وقوع و محور عمودی آن میزان اثر را نشان می‌دهد. محل تقاطع این دو شاخص، سطح ریسک را مشخص می‌کند و معمولاً با رنگ‌های سبز، زرد و قرمز نمایش داده می‌شود تا اولویت اقدام مشخص شود.

چرا ماتریس ریسک اهمیت دارد؟

در بسیاری از سازمان‌ها، فهرستی از ریسک‌ها وجود دارد، اما اولویت‌بندی دقیق انجام نشده است. در چنین شرایطی مدیران نمی‌دانند کدام ریسک نیازمند اقدام فوری است و کدام‌یک در محدوده قابل‌قبول قرار دارد.

ماتریس ریسک این مشکل را حل می‌کند زیرا:

• ریسک‌های بحرانی را به‌صورت بصری مشخص می‌کند

• مبنای تصمیم‌گیری مدیریتی ایجاد می‌کند

• امکان مقایسه ریسک‌ها را فراهم می‌کند

• ارتباط ریسک با سطح پذیرش سازمان (Risk Appetite) را روشن می‌سازد

به بیان ساده، بدون ماتریس ریسک، مدیریت ریسک بیشتر به یک فهرست توصیفی شباهت دارد تا یک ابزار تصمیم‌سازی.

اجزای اصلی ماتریس ریسک

1️⃣ احتمال وقوع (Likelihood)

احتمال وقوع نشان می‌دهد یک ریسک با چه فرکانسی ممکن است اتفاق بیفتد. این شاخص معمولاً در مقیاس 1 تا 5 تعریف می‌شود؛ از «بسیار کم» تا «بسیار زیاد».

به‌عنوان مثال:

1 = نادر (هر 10 سال یک‌بار)
3 = متوسط (سالانه)
5 = بسیار محتمل (چند بار در سال)

تعریف دقیق سطوح احتمال باید متناسب با صنعت و ماهیت فعالیت سازمان تنظیم شود.

2️⃣ شدت اثر (Impact)

شدت اثر بیان می‌کند در صورت وقوع ریسک، پیامد آن چه میزان خسارت مالی، عملیاتی، ایمنی یا اعتباری ایجاد می‌کند.

شدت اثر نیز معمولاً در مقیاس 1 تا 5 تعریف می‌شود، اما باید معیارهای کمی مشخص داشته باشد. برای مثال در یک سازمان صنعتی:

• سطح 1: خسارت کمتر از 100 میلیون تومان

• سطح 5: توقف تولید بیش از یک هفته یا خسارت میلیاردی

تعریف دقیق این سطوح، کلید دقت در طراحی ماتریس ریسک است.

نحوه محاسبه سطح ریسک

در مدل‌های رایج، سطح ریسک از ضرب احتمال در شدت اثر به‌دست می‌آید:

سطح ریسک = احتمال × شدت اثر

برای مثال اگر احتمال یک ریسک برابر 4 و شدت اثر آن برابر 5 باشد، سطح ریسک 20 خواهد بود. این عدد در محدوده قرمز قرار می‌گیرد و نیازمند اقدام فوری است.

در ماتریس 5×5، سطح ریسک می‌تواند بین 1 تا 25 متغیر باشد و معمولاً به سه یا چهار سطح طبقه‌بندی می‌شود:

• ریسک پایین

• ریسک متوسط

• ریسک بالا

• ریسک بحرانی

مثال عملی در یک شرکت صنعتی

فرض کنید در یک شرکت پتروشیمی، ریسک «خرابی ناگهانی کمپرسور اصلی» شناسایی شده است.

بر اساس داده‌های تاریخی، احتمال وقوع این خرابی سطح 4 ارزیابی می‌شود. شدت اثر نیز به دلیل توقف تولید و زیان مالی، سطح 5 تعیین می‌گردد.

سطح ریسک برابر 20 خواهد بود که در محدوده قرمز قرار دارد. این بدان معناست که سازمان باید اقدامات کنترلی فوری مانند برنامه تعمیرات پیشگیرانه، ذخیره قطعات یدکی یا قرارداد پشتیبانی فنی را اجرا کند.

اگر این تحلیل در قالب اکسل انجام شود، به‌روزرسانی آن زمان‌بر خواهد بود. اما در یک نرم افزار مدیریت ریسک، این محاسبات به‌صورت خودکار انجام شده و وضعیت ریسک در داشبورد مدیریتی نمایش داده می‌شود.

اشتباهات رایج در طراحی ماتریس ریسک

بسیاری از سازمان‌ها ماتریس ریسک را به‌صورت کلی و بدون تعریف معیارهای دقیق طراحی می‌کنند. در نتیجه ارزیابی‌ها سلیقه‌ای می‌شود و دو مدیر ممکن است برای یک ریسک امتیاز متفاوتی ثبت کنند.

اشتباه دیگر، استفاده از ماتریس بدون تعریف سطح ریسک قابل‌پذیرش است. اگر مشخص نباشد چه سطحی از ریسک قابل قبول است، تصمیم‌گیری مبهم خواهد بود.

همچنین برخی سازمان‌ها ماتریس را طراحی می‌کنند اما آن را به اقدامات اصلاحی و پایش مستمر متصل نمی‌کنند. در چنین شرایطی، ماتریس صرفاً یک گزارش ظاهری باقی می‌ماند.

ماتریس ریسک پیشرفته‌تر چگونه است؟

در سازمان‌های پیشرفته، ماتریس ریسک فقط بر اساس احتمال و اثر طراحی نمی‌شود. گاهی شاخص «قابلیت کشف» (Detectability) نیز اضافه می‌شود و مدل FMEA سه‌بعدی ایجاد می‌گردد.

همچنین برخی سازمان‌ها برای ریسک‌های استراتژیک از تحلیل سناریو استفاده می‌کنند و نتایج را در داشبوردهای تحلیلی نمایش می‌دهند.

چنین پیچیدگی‌هایی عملاً بدون استفاده از نرم‌افزار امکان‌پذیر نیست، زیرا حجم داده‌ها و نیاز به تحلیل پویا بسیار زیاد است.

نقش نرم افزار مدیریت ریسک در طراحی و پایش ماتریس ریسک

در یک سیستم حرفه‌ای، ماتریس ریسک تنها یک جدول ثابت نیست. نرم‌افزار باید قابلیت‌های زیر را فراهم کند:

• تعریف سطوح احتمال و اثر به‌صورت سفارشی

• محاسبه خودکار سطح ریسک

• نمایش گرافیکی Risk Matrix

• تفکیک ریسک‌های ذاتی و باقیمانده

• اتصال هر ریسک به اقدام اصلاحی

• گزارش‌گیری برای مدیران ارشد

با چنین سیستمی، مدیرعامل می‌تواند در یک نگاه وضعیت ریسک‌های بحرانی سازمان را مشاهده کند و تصمیمات اصلاحی را تسریع نماید.

آیا ماتریس ریسک به‌تنهایی کافی است؟

پاسخ کوتاه این است: خیر. ماتریس ریسک ابزار ارزیابی است، نه سیستم مدیریت ریسک کامل. برای اثربخشی واقعی، باید:

• ریسک‌ها به اهداف استراتژیک متصل شوند

• اقدامات اصلاحی تعریف و پایش شوند

• گزارش‌های تحلیلی تولید شود

• به‌صورت دوره‌ای بازنگری انجام گیرد

در غیر این صورت، ماتریس ریسک صرفاً یک سند بایگانی‌شده خواهد بود.

جمع‌بندی

ماتریس ریسک یکی از بنیادی‌ترین ابزارهای مدیریت ریسک سازمانی است که امکان اولویت‌بندی علمی ریسک‌ها را فراهم می‌کند. طراحی صحیح آن نیازمند تعریف دقیق سطوح احتمال و شدت اثر، تعیین آستانه پذیرش ریسک و اتصال به اقدامات اصلاحی است.

در سازمان‌های متوسط و بزرگ، استفاده از نرم افزار مدیریت ریسک باعث می‌شود ماتریس ریسک از یک ابزار ایستا به یک داشبورد پویا و تصمیم‌ساز تبدیل شود. این همان نقطه‌ای است که مدیریت ریسک به مزیت رقابتی سازمان تبدیل می‌گردد.

سوالات متداول

ماتریس ریسک 3×3 بهتر است یا 5×5؟

در سازمان‌های کوچک 3×3 کافی است، اما برای صنایع بزرگ معمولاً 5×5 دقت بیشتری فراهم می‌کند.

آیا می‌توان ماتریس ریسک را سفارشی‌سازی کرد؟

بله، سطوح احتمال و اثر باید متناسب با صنعت و اندازه سازمان تعریف شوند.

تفاوت ریسک ذاتی و ریسک باقیمانده چیست؟

ریسک ذاتی قبل از اعمال کنترل‌ها و ریسک باقیمانده پس از اجرای اقدامات کنترلی محاسبه می‌شود.