ابزار شش وجهی ساده برای ارزیابی و رتبه‌بندی ریسک

سخن مشاور مدیریت:


در این مقاله مختصر، به معرفی یکی از رویکردهایی که با وجود تبار نظامی، بطور کلی ذیل سرفصل ارزیابی روشمند چند-متغیره یا مبتنی بر معیارهای متکثر قرار می‌گیرد، می‌پردازیم. اسلوب‌های رزمی بعضا می‌توانند در زمینه‌های دیگر از جمله نحوه مواجهه با شرایط بحرانی، کسب و کار و یا درگیری‌های تجاری پرکاربرد و اثربخش باشند. امروزه می‌دانیم شیوه رزم (1) در یک فرهنگ، می‌تواند نمایانگر نوع نگرش مردم آن سرزمین به دشواری‌ها باشد.

اینکه چگونه می‌توان قبل از آنکه نخستین تیغ را از نیام کشید در جنگی پیروز شد، از دغدغه‌های دیرینه بشر بوده است. بشر قرن‌های مدیدی است که دریافته اگر خود را بشناسد و اگر دشمن‌اش را به درستی بشناسد، دیگر نیاز ندارد که از نتیجه نبردها هراس داشته باشد. شکستن مقاومت دشمن بدون توسل به جنگ، اوج برتری در این رویکرد است.

پیروزی در انواع درگیری‌های روزمره کاری، تجاری، شرایط بحرانی و حتی میان-فردی و نه فقط جنگ‌ها، در گرو شناخت پیش شمرده است. این شناخت، در چارچوب تحلیل نقاط قوت، ضعف، فرصت‌ها، و تهدیدها (که در ادبیات مدیریت به (2)SWOT شهره است) می‌تواند عینیت یابد. بیشتر ما احتمالا به طریقی از نتایج این روش تجزیه و تحلیل به منظور انجام تصمیم‌سازی، تصمیم‌گیری، و برنامه‌ریزی در کسب و کار خود تا بحال استفاده کرده‌ایم.

غالباً، همکاران خوش فکر یا مشاوران و اتاق‌های فکر، پیشنهادات محدود به حوزه مسئولیت یا تخصص خودشان را در لحظه خطور به ذهن، بدون پیروی از یک روش ساختارمند (که به اختصار در این نوشتار به یکی از آن‌ها خواهیم پرداخت) مطرح می‌نمایند. این واقعیت بخصوص در مورد تبیین نقاط ضعف و تهدیدها پررنگ است.

به باور من، لازم است بررسی عمیق و همه جانبه نقاط قوت، ضعف، فرصت‌ها، و تهدیدهای مربوط به یک شرایط خاص چه در کسب و کار خود و رقیب، چه در زیرساخت خود و دشمن، چه در رفتار خود و طرف مقابل، یا از زاویه‌ای دیگر تحلیل ریسک‌ها، چه درونی و چه بیرونی، به عنوان مرحله‌ای رسمی در فرآیند تصمیم‌سازی و برنامه‌ریزی به رسمیت شناخته شود.

در این مقاله با یکی از روش‌هایی که پاسخگوی نیاز پیش گفته است و سبقه‌ای نظامی دارد و اساسا به منظور افزایش اثربخشی برنامه‌ریزی‌ها و فعالیت‌های متعاقب آن، ضمن تعدیل ریسک توسعه یافته است آشنا می‌شویم. اخیرا این روش نه تنها در زمینه مدیریت بحران‌های عمده و فراگیر (مانند شیوع گسترده ویروس کرونا) بلکه در حوزه مدیریت کسب و کار به عنوان ابزاری که علاوه بر شناسایی نقاط ضعف دارایی‌ها، مجموعه سیستم‌ها، زیرساخت‌ها و شرکت‌های خود بکار می‌آید، در جهت تشخیص روش‌مند نقاط ضعف موارد متناظر رقبا، مورد بازآفرینی و بازنگری قرار گرفته است.

این روش، مبتنی بر شش بعد یا جنبه اساسی شناخت ریسک‌ها و مخاطرات، ضمن تعمیق روش‌مند تحلیل، زبانی قابل فهم برای تیم‌های مدیریتی ارائه می‌دهد. شایان توجه است که به منظور حفظ تعهد نسبت به معرفی ایده اولیه و رعایت امانت‌داری در برگردان مقاله، فقط شش جنبه تشریح شده در مقاله تبیین گردیده است.

اما بسته به ضرورت و زمینه کاربرد، نه تنها کمیت، که نوع جنبه‌های مورد اشاره قابلیت تطبیق و سفارشی‌سازی-شدن دارند. همچنین طیف وسیعی از کاربردهای مختلف مانند تحلیل‌های حیاتی بودن (Criticality)، آسیب‌پذیری (Vulnerability)، تاب‌آوری (Resiliency) را در مورد بحران‌ها، زیرساخت‌ها، تجهیزات، استراتژی‌ها، و برنامه‌ها را در برمی‌گیرد.



ابزار شش وجهی جهت ارزیابی و رتبه‌بندی ریسک:

“کسب و کار جنگ است” یکی از عبارات متداول غول‌های وال استریت (3) است. با این تعبیر، گاهی تاکتیک‌های جنگی نیز می‌توانند به کسب و کار کمک نمایند. از میان آن‌ها، از تاکتیک CARVER  (۴) که با جابجایی جزئی حروف، به زبان فارسی “حدتابش”: حیاتی بودن، در دسترس بودن، تاثیر، آسیب‌پذیری، بازیابی، شناسایی‌پذیری)، که سیستمی جهت ارزیابی و رتبه‌بندی (تهدیدها و فرصت‌ها) فراهم می‌آورد، می‌توان نام برد.

این تاکتیک که هم‌زمان با جنگ جهانی دوم توسعه یافت (در ابتدا CARVE)، در زمان خود به تحلیل‌گران کمک می‌کرد تا از این روش اساساً به منظور تعیین محل استفاده موثر خلبانان مهاجم از مهمات بر ضد اهداف دشمن استفاده کنند.


«کسب و کار جنگ است»


همانطور که این تحلیل علاوه بر کاربردهای تهاجمی، در موارد تدافعی نیز کارایی داشت، به این معنی که هم به شناسایی نقاط ضعف دشمن کمک می‌کرد و هم جهت تشخیص نقاط ضعف نیروهای خودی استفاده می‌شد، امروزه نیز در فضای کسب و کار، هم رقبا را ارزیابی می‌نماید و هم در ممیزی‌های داخلی و تحلیل فرصت‌ها و تهدیدها برای کسب و کار خود کارگشا می‌باشد.

بعلاوه بسیاری از متخصصان امنیتی جهت حفاظت از دارایی‌های حیاتی یک مجموعه، این تحلیل را به عنوان یک ابزار ارزیابی نهایی به حساب می‌آورند. شاید به همین دلایل است که وزارت امنیت داخلی ایالات متحده آن را به عنوان یک روش ارزیابی ارجح، توصیه نموده است. لازم به ذکر است که دارایی‌های حیاتی طبق تعریف در سطح کلان، بیشترین نقش را در تحقق اهداف و ماموریت‌های یک مجموعه ایفا می‌نمایند و عدم کارکرد مناسب آن‌ها پیآمدهای ملموس و غیر قابل انکاری دارد.

امروزه بسیاری از مدیران عامل، تحلیل‌گران مالی، برنامه‌ریزان مدیریت ریسک، و تعداد کثیری از مدیران امنیتی ۵۰۰ شرکت برتر دنیا از طرفداران و مدافعان خاص این روش در دنیای کسب و کار هستند. به دلیل آنکه این روش هم بر اساس داده‌های کمی و هم کیفی قادر به تولید خروجی است، تقریباً به هر سناریویی که به صورت منظم و منطقی قابل تحلیل و بررسی است، اعمال می‌گردد.

اگر به طور مثال شما می‌خواهید از یک بودجه درخواستی یا یک برنامه استراتژیک در مقابل مدیران ارشد شرکت خود دفاع کنید، این روش می‌تواند بسیار سودمند واقع گردد. این روش از آنجاییکه با استناد به اعداد و ارقام، به تشریح موثر یک گزارش کمک می‌نماید، می‌تواند جهت روشن کردن اهداف ماموریت چه در میدان جنگ یا در اتاق هیئت مدیره به کار آید.

CARVER کلمات زیر را نمایندگی نموده و تفسیر کلمات بسته به کاربرد متفاوت بوده و در هر مورد نیازمند سفارشی‌سازی شدن، خواهد بود:

  • حیاتی بودن (Criticality):

معین می‌کند برای تحقق اهداف و ماموریت‌های شرکت، یک دارایی به چه میزان حیاتی است. همین مفهوم در مورد زیر ساخت‌های یک کشور نیز قابل سنجش است. یعنی به لحاظ کارکردی، نقش یک زیر ساخت به چه میزان حیاتی است.

  • در دسترس بودن (Accessibility):

معین می‌کند دسترسی به یک دارایی یا سیستم درون مجموعه ما یا حمله به یک زیرساخت توسط مهاجمان به چه میزان دشوار است. همچنین یک دارایی در سیستم ما توسط رقیب به چه میزان در دسترس است.

  • بازیابی (Recoverability):

معین می‌کند در صورت بروز یک اتفاق یا خرابی، دارایی مورد نظر را با چه سرعتی می‌توان بازیابی کرد یا در صورت بروز یک حمله، زیرساخت مورد اصابت در چه مدتی جایگزین یا نوسازی می‌گردد.

  • آسیب پذیری (Vulnerability):

معین می‌کند که یک دارایی به چه میزان در معرض آسیب و خرابی است و چقدر خوب در مقابل آن‌ها مقاومت می‌کند. همچنین یک زیر ساخت یا هدف به چه میزان آسیب‌پذیر است و چقدر خوب در مقابل حملات مهاجمان مقاومت می‌کند.

  • تاثیر (Effect):

معین می‌کند اگر اتفاقی یا خرابی برای یک دارایی پیش آید، به چه میزان تبعات در طول سازمان و کسب و کار شما تکثیر خواهد شد. همچنین میزان سرایت تاثیر انهدام یک زیر ساخت به سایر اجزا را می‌توان سنجید.

  • شناسایی پذیری (Recognizability):

معین می‌کند یک دارایی به چه میزان با ارزش شناسایی می‌شود. معین می‌کند از دید یک مهاجم یا رقیب، به چه میزان با ارزش شناسایی می‌شود.

برای کاربرد در ارزیابی یک سیستم، هدف کسب و کار، زیرساخت، یک موقعیت، و یا چیز دیگر، شما اعدادی بین ۱ تا ۵ را (۵ مربوط به ضروری‌ترین، محتمل‌ترین، بیشتر اوقات، و غیره) برای هر کدام از شش معیار برشمرده را اختصاص دهید. مجموعه شش نمره در واقع نمره کل هر چیزی است که ارزیابی می‌کنید. وقتی که این نمرات کل را برای چند چیز محاسبه کردید می‌توانید آن‌ها را مقایسه نمایید. برای نمونه، شما از این روش برای مقایسه دو فرصت کسب و کاری می‌توانید بهره ببرید. هر کدام نمره بیشتری کسب کرد، احتمالاً فرصت بهتری خواهد بود.

برای روشن‌تر شدن مطلب یک مثال را در نظر می‌گیریم. فرض کنید مدیر ارشد عملیات یک شرکت نفت و گاز در حال تصمیم‌گیری در مورد چگونگی تخصیص بودجه برای دارایی‌های مختلف در چندین منطقه عملیاتی است. در سطح کلان و راهبردی، این مدیر می‌تواند از روش برشمرده با تکیه بر فاکتورهایی که در هر منطقه مهم و دخیل هستند به جمع‌بندی رسیده و سپس منابع را به درستی تخصیص دهد. برای شروع، مطابق معیارهای این روش، در قالب پرسش کار را پی می‌گیریم.

اگر از حیاتی بودن شروع کنیم، امکان دارد سوال شود برای عملیات شرکت در یک محل در مجموع، به چه میزان خطوط انتقال حیاتی هستند؟ از آنجایی که حیاتی بودن به میزان اهمیت یک دارایی تکیه دارد (در این مثال خط لوله)، مدیر عملیات نیاز دارد تعیین نماید که تخریب یا به خطر افتادن این دارایی به چه میزان تاثیر قابل ملاحظه‌ای بر روی خروجی‌ها، اهداف و یا عملیات شرکت دارد. این مدیر ممکن است حیاتی بودن را به روش زیر ارزیابی و رتبه‌بندی نماید:

  • از دست دادن خط لوله عملیات را کاملا متوقف می‌کند: ۵
  • از دست دادن خط لوله به میزان قابل توجهی از سطح آمادگی عملیاتی می‌کاهد: ۴
  • از دست دادن خط لوله از سطح آمادگی عملیاتی می‌کاهد: ۳
  • از دست دادن خط لوله، ممکن است از سطح آمادگی عملیاتی بکاهد: ۲
  • از دست دادن خط لوله بر سطح آمادگی عملیاتی بی‌تاثیر است: ۱

مسلماً هر چه در نتیجه ارزیابی، نمره بیشتر باشد، از دست دادن این دارایی برای سازمان ضایعه بیشتری به بار می‌آورد. هرچه برآورد عدد کمتری را نشان دهد، از دست دادن احتمالی خسارت کمتری وارد کرده که شاید دلیل آن برای مثال وجود افزونگی (سیستم پشتیبان مانند خط لوله دوم) باشد. این افزونگی احتمالاً نمره مربوط به قابلیت بازیابی (میزان بازیابی‌پذیری) دارایی را تحت تأثیر قرار می‌دهد. 

برای ارزیابی قابلیت بازیابی همان خط لوله (احتمالاً پس از وقوع بلایای طبیعی، حادثه، خرابکاری و یا حملات تروریستی) مدیر مورد اشاره ممکن است سنجه‌هایی مانند موارد زیر را برای رتبه‌بندی در نظر داشته باشد:

  • جایگزینی بسیار سخت، مدت تعمیرات زیاد: ۵
  • جایگزینی مشکل، مدت تعمیرات زیاد: ۴
  • امکان جایگزینی در زمان نسبتاً کوتاه: ۳
  • به سادگی قابل جایگزینی در زمان کوتاه: ۲
  • امکان تعویض فوری، مدت تعمیرات ناچیز یا بدون نیاز به تعمیر: ۱

در ادامه مدیر مربوطه، خط انتقال مورد اشاره را از منظر چهار معیار دیگر ارزیابی و رتبه‌بندی می‌نماید. اگر این خط لوله برای معیارهای برشمرده بالاترین نمره را کسب کرد، به احتمال زیاد گزینه مناسبی برای دریافت بودجه بیشتر خواهد بود (توضیح مترجم: از زاویه دیگر، در شرایط محدودیت منابع، این خط لوله جزء اولویت‌های آخر جهت اعمال کاهش بودجه قرار می‌گیرد.

این نگرش در شرایط فعلی بحران کرونا که بسیاری از کسب و کارها و فعالیت‌ها کوچک شده و منابع انقباضی هستند بسیار راه‌گشا خواهد بود و در اعمال کاهش بودجه، مسیر بهینه را نشان می‌دهد. متاسفانه اغلب کسب و کارها، بدون انجام یک تحلیل روشمند، دست به تعدیل‌های تقریبا تصادفی می‌زنند). 

به عنوان نمونه دیگر در نظر بگیرید که یک صندوق سرمایه‌گذاری (صندوق پوشش ریسک) قصد تملک یک شرکت که مدعی در اختیار داشتن فناوری پیشرفته‌ای است، را دارد.

علاوه بر این که به سادگی می‌توان دفاتر رسمی این شرکت را ممیزی کرد، تحلیل‌گران این صندوق می‌توانند روش معرفی شده در این مقاله را جهت ارزیابی اینکه تعیین کنند به چه میزان رقبای شرکت مورد معامله در دستیابی به این فناوری نزدیک هستند، بکار بندند تا به متعادل کردن ریسک این معامله کمک شود.

ممکن است شرکت فناوری مورد نظر در معیارهای حیاتی بودن و قابلیت بازیابی نمره کمی بی‌آورد (که خوب است) و در مورد معیارهای در دسترس بودن و تاثیر نمره بالایی کسب کند (که بد است). نمره در دسترس بودن ممکن است این معنی را بدهد که شرکت رقیب در بازار پیشی می‌گیرد، و معیار تاثیر می‌تواند پیامد کمپین بازاریابی جنجالی را بسنجد.

حتی تحلیل‌گر صندوق سرمایه‌گذاری قادر است در مورد معیار تاثیر سوالی مانند: "اگر شرکت‌های رقیب کمپانی فناورانه در بازار پیشی بگیرند، چه تاثیری بر شرکت ما خواهد داشت؟" را بپرسد. آنگاه گزینه‌های زیر به طور مثال قابل تصور است:

  • تاثیرات اقتصادی، سیاسی، اجتماعی بسیار عمده بر سازمان: ۵
  • تاثیرات اقتصادی، سیاسی، اجتماعی زیاد: ۴ 
  • تاثیرات متوسط و ملایم: ۳
  • تاثیرات محدود و ناچیز: ۲
  • بدون تاثیر نامطلوب: ۱

نکته بسیار مهم جهت به خاطر سپاری آن است که این کار جهت شناسایی، طبقه‌بندی، و اولویت‌بندی موارد (دارایی‌ها، سیستم‌ها، زیرساخت‌ها، موقعیت‌ها) با ریسک بالا صورت پذیرفته است؛ در واقع جهت ارزیابی آسیب‌پذیری؛ و در جهت تبیین توصیه‌های لازم در مورد ریسک. هنگامی که ارزیابی مورد معرفی این مقاله به اتمام می‌رسد، ریسک‌ها و تهدیدهای موجود مورد شناسایی قرار می‌گیرند، متخصصین و کارشناسان مدیریت ریسک و امنیت می‌توانند بهترین رهیافت و رویکرد را انتخاب کنند. حتی تفاوت کوچک در نتایج ارزیابی این تحلیل (CARVER) می‌تواند مثلاً بر افتتاح یک شعبه در یک محل نسبت به محل‌های دیگر تاثیر گذاشته یا اینکه به انتخاب و تصمیم‌گیری بین ارتقاء خط تولید موجود یا توسعه یک خط جدید کمک کند.

تصمیم‌های راهبردی همه جا، میان مدیرانی که در پی کسب برتری بر رقبا هستند، در جلسات هیئت مدیره اتخاذ می‌شوند. رهبران کسب و کار به دنبال اعداد و ارقام قابل اتکاء و متقن هستند تا بستر لازم جهت بنیان فرایند تصمیم‌سازی‌شان فراهم شود. ابزار مورد اشاره در این مقاله می‌تواند توجیهات کمّی جهت اتخاذ و یا وانهادن یک تصمیم و اقدام را فراهم آورد.


(1) کتاب «هنر رزم»، سون جو، مترجم:نادر سعیدی

(2) Strength, Weakness, Opportunity, Threat: SWOT

(3) Wall street

(4) Criticality, Accessibility, Recoverability, Vulnerability, Effect, Recognizability :CARVER

منبع: HBR