برای استقرار نظام مدیریت ریسک در سازمان، استانداردها و چارچوب های مختلفی وجود دارد. چارچوب COSO ERM و استاندارد ISO 31000 در زمره معتبرترین و متداول ترین چارچوب ها برای این منظور هستند. استاندارد ISO 31000 راهنمایی برای استقرار نظام مدیریت ریسک سازمان است. در این استاندارد، سازمان با تعریف سه بخش کلیدی معماری ریسک ، استراتژی ریسک و پروتکل ریسک، زمینه را برای اجرای فرآیند مدیریت ریسک فراهم می سازد. شایان ذکر است که در صورتی فرآیند مدیریت ریسک در سازمان با موفقیت اجرایی می شود که چارچوب و نظام مدیریت ریسک در سازمان شکل گرفته باشد. به عبارت دیگر یک فرآیند بدون وجود پیش زمینه ها و پشتوانه های سازمانی، انسانی و فنی مورد نیاز نمی تواند به اهداف مورد نظر دست یابد.
معماری ریسک در واقع مشخص کننده نقش ها و مسئولیت های ارکان مختلف سازمان در نظام مدیریت ریسک است. در این معماری، تعیین می گردد که از ارکان مدیریتی و ارشد تا کارکنان چه وظایفی را در قبال نظام مدیریت ریسک بر عهده دارند.
هر سازمان حسب اهداف، ماموریت و ساختار خود ممکن است معماری خاصی برای مدیریت ریسک پیشنهاد کند. لیکن در ادامه به صورت عمومی برخی از نقش های اصلی معماری ریسک و مسئولیت های آنها در قبال نظام مدیریت ریسک توصیف شده است. این نقش ها و مسئولیت ها می تواند در طرح ریزی نظام مدیریت ریسک سازمان توسط مدیران ارشد و مدیران ریسک سازمان مورد بهره برداری قرار گیرد.
هیات مدیره
• مسئولیت اصلی مدیریت ریسک
• حصول اطمینان از تلفیق مدیریت ریسک در تمامی فرآیندها و فعالیت ها
• مرور ریسک های کلیدی
کمیته حسابرسی
• دریافت و بررسی گزارش های مستمر از کمیته ریسک
• تدوین برنامه سالانه حسابرسی و پایش نظام مدیریت ریسک سازمان
• پایش فرآیند مدیریت ریسک براساس توصیه های ارائه شده
• نظارت بر ساختار مدیریت ریسک سازمان
کمیته ریسک
• تدوین استراتژی و سیاست ها براساس اشتهای ریسک، نگرش به ریسک و مواجهه سازمان با ریسک
• دریافت گزارش های واحدهای سازمانی، مرور فعالیت های مدیریت ریسک و پردازش اطلاعات دریافتی
• تهیه و ارائه گزارش کلی به هیات مدیره و کمیته حسابرسی براساس اطلاعات دریافتی از واحدهای سازمانی
• مرور و پایش فعالیت های مدیریت ریسک در بخش های مختلف سازمان و حصول اطمینان از اجرای این فعالیت ها در قالب نظام مدیریت ریسک
مدیریت ریسک
• تدوین پروتکل ها و فرآیندهای نظام مدیریت ریسک
• هماهنگی درون سازمانی جهت اجرای استراتژی های مدیریت ریسک
• آموزش و آگاه سازی در راستای ایجاد فرهنگ آگاه به ریسک
• دریافت گزارش های واحدهای سازمانی و طرح آنها در کمیته ریسک
• پیگیری مصوبات کمیته ریسک سازمان
واحدهای سازمانی
• ایجاد فرهنگ آگاه به ریسک در واحد سازمانی
• تهیه سیاست های بخشی و تخصصی مدیریت ریسک در صورت نیاز
• تهیه و به روزرسانی شناسنامه ریسک واحد سازمانی
• تعیین اولویت های ریسک واحد سازمانی
• اتخاذ راهکارها و تعیین کنترل ها برای کاهش ریسک ها و اجرای راهکارهای تعیین شده
• تهیه گزارش برای کمیته ریسک