نقدی بر منشور کمیتۀ ریسک شرکت نمونه

به موجب مادۀ ۱۴ از «دستورالعمل حاکمیت شرکتی ناشران ثبت‌شده نزد سازمان بورس و اوراق بهادار» مصوب ۱۸/۰۷/۱۴۰۱، تمامی شرکت‌های بورسی و فرابورسی (به استثنای شرکت‌های درج شده در تابلوی قرمز و نارنجی بازار پایه) ملزم هستند کمیتۀ مدیریت ریسک را تحت نظر هیات ‌مدیره تشکیل و عملکرد آن را مورد نظارت قرار دهند. در راستای تسهیل اجرای تبصرۀ (۱) از این ماده، سازمان بورس و اوراق بهادار در تاریخ ۰۱/۰۳/۱۴۰۳ اقدام به ابلاغ منشور کمیتۀ مدیریت ریسک شرکت نمونه (سهامی عام) کرد. در منشور نمونه، برخی از مواد و تبصره‌ها نیازمند بازنگری و اصلاح هستند که جزئیات آن به شرح زیر ارائه می‌شود:

فصل یک – تعاریف

۱- عنوانِ کمیته، «ریسک» بیان شده است، این در حالی است که عبارت «کمیتۀ ریسک»، رسالت درست و واقعی کمیته را منتقل نمی‌کند.

نقد: در ارتباط با رعایت استانداردهای حاکمیت شرکتی و استفادۀ صحیح از اصطلاحات تخصصی، توجه به دقت و شفافیت در انتساب عناوین کمیته‌های هیات‌مدیره اهمیت بسزایی دارد. بر اساس مرجعیت و رویه‌های معتبر بین‌المللی و نیز مفاد آیین‌نامه‌های داخلی، یکی از کمیته‌های کلیدی هیات‌مدیره، «کمیتۀ مدیریت ریسک» نام‌گذاری شده است. این عنوان بر عهده‌دار بودن وظایف راهبردی، سیاست‌گذاری و نظارتی بر فرآیندهای مدیریت ریسک تأکید دارد و نقش راهبری و استراتژیک آن را برجسته می‌سازد. در مقابل، در دستورالعمل حاکمیت شرکتی ناشران ثبت‌شده نزد سازمان بورس و اوراق بهادار و منشور کمیتۀ ریسک شرکت نمونه (سهامی عام)، ابلاغ‌شده توسط سازمان بورس و اوراق بهادار مورخ ۰۱/۰۳/۱۴۰۳، در خصوص تشکیل و وظایف «کمیتۀ ریسک»، به بهره‌گیری از اصطلاح کوتاه و کلیِ «کمیتۀ ریسک» بسنده شده است. اما عبارت «کمیتۀ ریسک»، رسالت درست و واقعی کمیته را منتقل نمی‌کند و ممکن است ابهاماتی در تفسیر وظایف و دامنۀ فعالیت‌های کمیته ایجاد کند. چراکه به لحاظ معنایی، مفهوم «ریسک» تنها بخشی از فعالیت‌های گستردۀ مدیریت ریسک در سازمان را شامل می‌شود و نمی‌تواند نقش کامل و راهبردی آن را منعکس کند. در نتیجه، پیشنهاد می‌شود در تمامی مستندات، «کمیتۀ مدیریت ریسک» به‌عنوان اصطلاح رسمی و صحیح به کار رود. این تغییر نه‌تنها با اصول استانداردهای بین‌المللی انطباق دارد، بلکه موجب افزایش وضوح، دقت و انسجام در مباحث مربوطه می‌شود و از سوء‌برداشت‌های احتمالی جلوگیری می‌کند. همچنین، باید یادآور شد که اصطلاح «کمیتة ریسک» ممکن است بار معنایی منفی و منفی‌نگر ایجاد کند و برداشت شود که خود کمیته به نوعی در فرآیند ریسک‌پذیری یا ریسک‌آفرینی مشارکت دارد، در حالی‌که هدف اصلی آن، نظارت و مدیریت علمی و استراتژیک بر ریسک‌های سازمان است. البته به نظر می‌رسد که برای این اصطلاح، ترجمۀ تحت‌الفظی Risk Committee یعنی «کمیتۀ ریسک» استفاده شده که اشتباه است و این عبارت در اصل معادل «کمیتۀ مدیریت ریسک» است.

پیشنهاد اصلاحی در خصوص عنوان:

عنوان منشور از «کمیتۀ ریسک» به «کمیتۀ مدیریت ریسک» تغییر پیدا کند.

۲- در بند (۱) از مادۀ (۱)، تعریف «ریسک» به این صورت ارائه شده است: امکان وقوع رویدادی که دستیابی به اهداف شرکت را تحت تأثیر قرار می‌دهد. ریسک با دو عامل «تحت تأثیر قرار دادن» و «احتمال» اندازه‌گیری می‌شود.

نقد: در بخش اول این بند، تعریف ارائه‌شده از ریسک، ناقص است و در بخش دوم نیز نحوۀ اندازه‌گیری ریسک اشتباه بیان شده است. در خصوص بخش اول توجه به این موارد ضروری است: مؤسسۀ مدیریت ریسک (IRM)، ریسک را ترکیبی از احتمال وقوع یک رویداد و پیامد ناشی از آن تعریف می‌کند. این پیامدها می‌توانند در دامنۀ «مثبت تا منفی» متغیر باشند. چنین تعریفی بسیار کاربردی و عملی است و به ‌راحتی می‌توان از آن در فضای عملیاتی استفاده کرد. راهنمای ۷۳ ایزو و مؤسسۀ حسابرسان داخلی، ریسک را «تأثیر نااطمینانی بر اهداف» تعریف می‌کنند. این تعریف، نه مثبت است و نه منفی و دیدگاه دقیق‌تر و ظریف‌تری نسبت به تعریف «عامیانه» یا لغوی آن ارائه می‌دهد. جدول (۱) جهت جمع‌بندی و رفع ابهام بخش اول (تعریف ریسک) از بند (۱) در مادۀ (۱) ارائه شده است.

در نقد بخش دوم از این بند نیز لازم به ذکر است که هر کدام از ریسک‌ها (بسته به کمی و یا کیفی بودن آنها)، مدل‌های خاص خود را جهت اندازه‌گیری دارند و معیار اندازه‌گیری ریسک‌ها «تحت تأثیر قرار دادن» و «احتمال» نیست، بلکه این دو معیار جایگاه ریسک را در نقشۀ ریسک شرکت مشخص می‌سازند.

پیشنهاد اصلاحی در خصوص بند (۱) از مادۀ (۱):

این بند به صورت زیر تغییر پیدا کند:

ریسک، احتمال تفاوت پیامد واقعی از پیامد مورد انتظار و یا اثر عدم قطعیت بر اهداف است. به‌ عبارت‌ دیگر، ریسک، عدم اطمینان و آگاهی در مورد نتیجۀ یک عمل است. بنابراین، برای تعریف ریسک می‏توان دو دیدگاه را ارائه کرد:

- دیدگاه اول: احتمال وقوع پدیده، نتیجه و یا بازدهی غیر از پدیده، نتیجه و یا بازدهی مورد انتظار را ریسک می‌گویند (هرگونه نوسانات احتمالی در بازدهی اقتصادی در آینده) (ریسک‌های مطلوب و نامطلوب)؛

- دیدگاه دوم: ریسک به‌عنوان نوسانات احتمالی منفی در بازدهی اقتصادی در آینده (ریسک‌های نامطلوب).

تبصرۀ (۱): در رویکرد مدیریت ریسک سازمانی (Enterprise Risk Management)، ریسک با رویکرد اول مورد توجه قرار می‏گیرد. به‌ عبارت ‌دیگر، هم ریسک‏های نامطلوب (تهدیدات) و هم ریسک‏های مطلوب (فرصت‏ها) مدنظر هستند.

۳- در بند (۲) از مادۀ (۱)، تعریف «مدیریت ریسک» به این صورت ارائه شده است: فرهنگ، توانمندی‌ها و راهکارهایی که با فرآیند تعیین و پیگیری راهبردها یکپارچه می‌شود و با استفاده از آن، ریسک پیش‌رو در مسیر خلق، توسعه و صیانت از ارزش‌های اصلی شرکت، مدیریت می‌شود.

نقد: این تعریف بسیار کلی و انتزاعی است و ضرورت دارد که در تعریف مدیریت ریسک، به جزئیات عملیاتی و مراحل مشخص فرآیند مدیریت ریسک نیز اشاره شود. بر اساس استاندارد کوزو، مدیریت ریسک، فرآیندی است که توسط هیات‌مدیره، مدیریت و دیگر کارمندان سازمان در روند تدوین و اجرای استراتژی‌ها در سراسر سازمان اعمال می‌شود. هدف این فرآیند، شناسایی رویدادهای بالقوه‌ای است که ممکن است بر سازمان تأثیرگذار باشد و مدیریت این رویدادها، با در نظر گرفتن میزان تمایل به ریسک، به منظور اطمینان منطقی و مطلوب نسبت به دستیابی به اهداف سازمانی صورت می‌پذیرد. همچنین، بر اساس استاندارد ISO ۳۱۰۰۰، مدیریت ریسک به فعالیت‌های هم‌راستا و منسجمی اطلاق می‌شود که با هدف هدایت و کنترل سازمان در مواجهه با ریسک‌ها انجام می‌گیرد. در یک تعریف عمومی‌تر، مدیریت ریسک عبارت است از فرآیندی که از طریق آن، یک سازمان با روشی بهینه در مقابل انواع ریسک‌ها از خود واکنش نشان می‌دهد.

پیشنهاد اصلاحی در خصوص بند (۲) از مادۀ (۱):

این بند به صورت زیر تغییر پیدا کند:

مدیریت ریسک یک فرآیند یکپارچه، ساختارمند و مستمر شامل شناسایی؛ اندازه‌گیری، تحلیل و ارزیابی؛ تدوین استراتژی‌های مدیریت ریسک‌ها؛ اتخاذ و اجرای استراتژی بهینۀ مدیریت ریسک‌ها؛ و دریافت بازخورد و کنترل است که به سازمان کمک می‌کند تا با مدیریت ریسک‌های داخل و خارج از سازمان به اهداف مالی، عملیاتی، استراتژیک و انطباق خود دست پیدا کند.

۴- در بند (۴) از مادۀ (۱) بیان شده است که منظور از «کمیته»، کمیتۀ ریسک است.

پیشنهاد اصلاحی در خصوص بند (۴) از مادۀ (۱):

منظور، کمیتۀ مدیریت ریسک شرکت است.

نکته: با استناد به بندهای ۱ و ۴ از این نوشتار، الزامی است که ترکیب «کمیتۀ ریسک» در تمام متن منشور نمونه به «کمیتۀ مدیریت ریسک» تبدیل شود.

۵- در بند (۷) از مادۀ (۱)، اشتهای ریسک به این صورت تعریف شده است: نوع و میزان ریسکی که هیات‌مدیرۀ شرکت مایل به پذیرش آن برای کسب ارزش افزودۀ بیشتر است.

نقد: این تعریف بسیار کلی است و نواقصی دارد که نیاز است ترمیم شود. اشتهای ریسک یک مفهوم استراتژیک است که بر اساس اهداف و سیاست‌های سازمان تعیین می‌شود و ممکن است توسط اعضای هیات‌مدیره و عوامل مختلف دیگر شکل بگیرد، اما کاملاً بستگی به آن‌ها ندارد. در اصل، اشتهای ریسک باید در تطابق کامل با اهداف استراتژیک سازمان باشد، نه جدا از آن. لذا ضروری است تعریف ارائه شده بازنگری شود. ایزو ۳۱۰۰۰ (۲۰۱۸) اشتهای ریسک را به این صورت تعریف می‌کند: اشتهای ریسک به میزان و نوع ریسکی گفته می‌شود که یک سازمان مایل است آن را در جهت دستیابی به اهداف استراتژیک خود، بپذیرد. به عبارت دیگر، این مفهوم نشان می‌دهد که سازمان چقدر ریسک‌پذیر است و چه حدی از ریسک را می‌تواند تحمل کند بدون اینکه به اهداف بلندمدت خود آسیب برساند. در جدول (۲) خلاصۀ تعریف اشتهای ریسک از دیدگاه‌های مختلف ارائه شده است.

پیشنهاد اصلاحی در خصوص بند (۷) از مادۀ (۱):

این بند به صورت زیر تغییر پیدا کند:

اشتهای ریسک، ریسکی است که یک شرکت مایل است در راه دستیابی به استراتژی خود بپذیرد. ویژگی‌های مهم این تعریف عبارت هستند از: «مایل بودن» که به شناسایی و پذیرش آگاهانۀ ریسک/عایدی اشاره دارد. «به دنبال هدف بودن» که می‌گوید شرکت‌ها ممکن است حتی پس از تحمل ریسک، در دستیابی به اهداف خود شکست بخورند. همچنین «استراتژی» که نشان می‌دهد اشتها چگونه باید همیشه در پرتوی مدل کلّی کسب‌وکار شرکت در نظر گرفته شود.

فصل دو – اهداف

۵- در مادۀ (۲) بیان شده است: هدف از تشکیل کمیته، ارائه نظرات مشورتی و کمک به ایفای مسئولیت نظارتی هیات‌مدیرۀ شرکت و بهبود آن جهت کسب اطمینان معقول از تحقق موارد زیر و کسب اطمینان از استقرار سازوکارهای مناسب برای مدیریت ریسک است

۱- سیاستگذاری و تعیین خط مشی‌های شرکت در حوزۀ ریسک؛

۲- استقرار فرآیندهای شناسایی، ارزیابی، تجزیه‌وتحلیل و پاسخ به ریسک؛

۳- وجود فرآیندها و سامانه‌های لازم برای گزارش‌دهی ریسک‌های شرکت؛

۴- مدیریت مؤثر ریسک‌ها و اطمینان معقول از دستیابی به اهداف و ارزش‌های اصلی شرکت؛

۵- تعیین اشتهای ریسک شرکت.

نقد: اهدافی که برای کمیتۀ مدیریت ریسک برشمرده شده، ناقص است و ضرورت دارد موارد ذکرشده اصلاح و موارد دیگری نیز به آن‌ها اضافه شود.

پیشنهاد اصلاحی در خصوص مادۀ (۲):

این ماده به صورت زیر تغییر پیدا کند:

از آنجا که هیات‌مدیره مسئولیت مدیریت ریسک‌های شرکت را بر عهده دارد، شناسایی دقیق ریسک‌ها و اتخاذ رویه‌های مناسب برای رفع عواقب احتمالی آن در تطبیق با ضوابط و مقررات داخلی و قانونی را به کمیتۀ مدیریت ریسک محول می‌نماید. لذا کمیتۀ مدیریت ریسک باید هیات‌مدیره را در تشخیص و ممیزی انواع مختلف ریسک یاری دهد. بر همین اساس، هدف از تشکیل کمیته، ارائه نظرات مشورتی و کمک به ایفای مسئولیت نظارتی هیات‌مدیرۀ شرکت و بهبود آن جهت کسب اطمینان معقول از تحقق موارد زیر و کسب اطمینان از استقرار سازوکارهای مناسب برای مدیریت ریسک است:

۱- استقرار فرهنگ مطلوب ریسک در شرکت؛

۲- استقرار نظام جامع حاکمیت، مدیریت ریسک و انطباق در شرکت؛

۳- سیاستگذاری و تعیین خط مشی‌های شرکت در حوزۀ مدیریت ریسک (منطبق با استانداردهای بین‌المللی و سفارشی‌سازی در سطح شرکت)؛

۴- استقرار فرآیند مؤثر پیاده‌سازی مدیریت ریسک شامل شناسایی، ارزیابی، تجزیه‌وتحلیل و مدیریت ریسک‌های شرکت؛

۵- وجود فرآیندها و سامانه‌های لازم برای گزارش‌دهی ریسک‌های شرکت به هیات‌مدیره، کمیته و تیم مدیران اجرایی؛

۶- مدیریت مؤثر ریسک‌ها و اطمینان معقول از دستیابی به اهداف و ارزش‌های اصلی شرکت؛

۷- نظارت بر تدوین بیانیۀ اشتهای ریسک هیات‌مدیره.

فصل سه – وظایف و اختیارات

۶- در مادۀ (۳) بیان شده است: هیات‌مدیرۀ شرکت، وظایف کمیته را به صورت زیر تعیین نمود:

۱-بررسی و ارزیابی مدیریت ریسک در شرکت؛

۲- بررسی وضعیت ریسک‌های شرکت بر حسب درجۀ ریسک‌پذیری و اشتهای ریسک تعیین‌شده هیات‌مدیره و در صورت لزوم ارائه مشاوره به مدیرعامل و یا سایر واحدها؛

۳- پیشنهاد رویکردها، راهبردها و سیاست‌های مدیریت ریسک به هیات‌مدیرۀ شرکت؛

۴- نظارت بر استقرار برنامه یا چارچوب نظام مدیریت ریسک یکپارچه در شرکت و پیگیری اجرای آن؛

۵- نظارت بر عملکرد واحد مدیریت ریسک شرکت؛

۶- شناسایی نارسایی‌های موجود در مدیریت ریسک جهت طرح در هیات‌مدیره؛

۷- حصول اطمینان معقول از عدم هم‌پوشانی و شکاف‌های احتمالی در نظارت از طریق برگزاری جلسات با سایر کمیته‌های هیات‌مدیره؛

۸- حصول اطمینان معقول از ایجاد و ارتقاء آگاهی نسبت به ریسک در سطح شرکت؛

۹- ارائه گزارش‌های مستمر در مورد وضعیت انواع ریسک‌های شرکت از قبیل مالی و اعتباری، حقوقی و قانونی، راهبردی و تجاری، عملیاتی، ریسک‌های مربوط به تکنولوژی، فناوری اطلاعات و ارتباطات به هیات‌مدیره؛

۱۰- بررسی عملکرد، پایش دوره‌ای برنامه یا چارچوب مدیریت ریسک شرکت و ارزیابی اثربخشی آن و ارائه گزارش به هیات‌مدیره؛

۱۱- استفاده از بسترهای لازم جهت دریافت گزارش‌ها و موضوعات مرتبط با ریسک از کلیۀ ذینفعان شرکت؛

۱۲- [سایر موارد به تشخیص هیات‌مدیرۀ شرکت]

نقد: لازم است وظایف کمیتۀ مدیریت ریسک اصلاح و مواردی به آن‌ها اضافه شود.

پیشنهاد اصلاحی در خصوص مادۀ (۳):

این ماده به صورت زیر تغییر پیدا کند:

هیات‌مدیرۀ شرکت، وظایف کمیته را به صورت زیر تعیین نمود:

۱- معماری ساختار مدیریت ریسک سازمانی، که شامل ایجاد یک چارچوب میزان ریسک‌پذیری، مدل حاکمیت و وظایف آن، مدل شناسایی و نظارت بر ریسک‌ها و زیرساخت‌ها و فرآیندهای لازم برای مدیریت مؤثر و شفاف ریسک‌ها است؛

۲- نظارت بر فرآیند تدوین استراتژی‌های شرکت منطبق با چارچوب مدیریت ریسک شرکت؛

۳- حصول اطمینان از ایجاد و ارتقاء آگاهی نسبت به ریسک در سطح شرکت (اطمینان از ایجاد فرهنگ مطلوب ریسک و ترویج و توسعۀ فرهنگ ریسک در سراسر شرکت)؛

۴- بررسی و ارزیابی مستمر مدیریت ریسک در شرکت؛

۵- پیشنهاد رویکردها، راهبردها و سیاست‌های مدیریت ریسک به هیات‌مدیرۀ شرکت؛

۶- اطمینان از شناسایی ریسک‌های مطلوب و نامطلوب توسط واحد مدیریت ریسک؛

۷- نظارت بر استقرار برنامه یا چارچوب نظام مدیریت ریسک یکپارچه در شرکت و پیگیری اجرای آن (در قالب ۵ مرحله)؛

۸- نظارت بر عملکرد واحد مدیریت ریسک شرکت در راستای انجام صحیح فرآیند مدیریت ریسک، ایجاد پایگاه دادۀ ریسک، ایجاد داشبورد ریسک، تدوین و ارائه دستورالعمل اجرایی و سند مدیریت ریسک، تدوین نظام‌نامۀ مدیریت ریسک و تدوین بیانیۀ اشتهای ریسک هیات‌مدیره؛

۹- بررسی وضعیت ریسک‌های شرکت بر حسب ظرفیت ریسک و اشتهای ریسک هیات‌مدیره و در صورت لزوم ارائه مشاوره به مدیرعامل و یا سایر واحدها؛

۱۰- ارائه گزارش‌های مستمر در مورد وضعیت انواع ریسک‌های شرکت از قبیل بازار، نقدینگی، اعتباری، قانونی، استراتژیک، عملیاتی و انطباق به هیات‌مدیره؛

۱۱- شناسایی چالش‌ها و موانع موجود در مدیریت ریسک‌ها جهت طرح در هیات‌مدیره؛

۱۲- ارائه گزارش‌های دوره‌ای جلسات کمیته به هیات‌مدیره و ارسال صورتجلسات کمیته توسط دبیر کمیته برای دبیر هیات‌مدیره به صورت منظم؛

۱۳- ارسال گزارش‌های سالانه در خصوص تعداد جلسات برگزارشده، تصمیم‌های اتخاذشده، پیشنهادهای تصمیم‌گیری به هیات‌مدیره به مجمع عمومی سالانه؛

فصل چهار – ترکیب و ویژگی‌های اعضا

۷- در مادۀ (۵) بیان شده است: کمیته متشکل از ۳ یا ۵ عضو است که اکثریت آنها عضو مستقل خارج از هیات‌مدیرۀ شرکت هستند. اعضای کمیته به پیشنهاد کمیتۀ انتصابات، توسط هیات‌مدیره منصوب می‌شوند. هیات‌مدیره در انتصاب اعضای کمیته، باید تخصص، دانش و تجربۀ آنان را مدنظر قرار دهد و حداقل یک نفر از اعضای کمیته باید دارای تخصص و تجربه در حوزۀ مدیریت، ارزیابی و تجزیه و تحلیل ریسک باشد.

نقد: در تعداد اعضای کمیته هیچ‌گونه محدودیتی نباید وجود داشته باشد. تعداد اعضای کمیتۀ مدیریت ریسک معمولاً باید متناسب با حجم، پیچیدگی سازمان و نوع ریسک‌های پیش‌روی آن باشد. اعضای کمیتۀ مدیریت ریسک را رئیس کمیته، اعضای مستقل خارج از شرکت، معاونین و مدیران عملیاتی و مالی شرکت تشکیل می‌دهند که تعداد آنها می‌تواند بسیار بالاتر از پیشنهاد منشور نمونه باشد. در هر صورت، اعضای صاحب رأی را رئیس کمیته و اعضای مستقل تشکیل می‌دهند که مجموع تعداد آن‌ها فرد است. با توجه به اینکه اعضای صاحب رأی کمیته شامل رئیس کمیته (عضو غیرموظف هیات‌مدیره) و اعضای مستقل هستند، برای ناشران بانکی با توجه به تخصصی‌تر بودن موضوع مدیریت ریسک، تعداد اعضای مستقل می‌تواند تا ۴ نفر (متخصص ریسک‌های اعتباری، نقدینگی، بازار و عملیاتی) هم باشد. با این وجود، در اکثر موارد، کمیته‌های کوچک‌تر (همانند تعداد پیشنهادی در منشور نمونه، یعنی ۳ یا ۵ عضو) بهتر کار می‌کنند، چون تصمیم‌گیری در آنها سریع‌تر و ارتباط میان اعضاء مؤثرتر است. همچنین، در خصوص انتخاب اعضای کمیته نیز لازم به ذکر است که در شرایط ایده‌آل، اعضای کمیته به پیشنهاد رئیس کمیتۀ مدیریت ریسک در کمیتۀ انتصابات تأیید صلاحیت و پس از احراز صلاحیت توسط رئیس کمیته منصوب می‌شوند. بر اساس تمامی موارد گفته‌شده، این ماده نیازمند یک تبصره است.

پیشنهاد اصلاحی در خصوص مادۀ (۵):

این ماده به صورت زیر تغییر پیدا کند:

تعداد اعضای کمیته، با توجه به نوع شرکت و ماهیت فعالیت آن، می‌تواند متغیر باشد که اکثریت اعضای صاحب رأی کمیته را افراد مستقل خارج از هیات‌مدیرۀ شرکت تشکیل می‌دهند. اعضای کمیته به پیشنهاد رئیس کمیته در کمیتۀ انتصابات تأیید صلاحیت و پس از احراز صلاحیت توسط رئیس کمیته منصوب می‌شوند. هیات‌مدیره در انتصاب اعضای کمیته، باید تخصص، دانش و تجربۀ آنان را مدنظر قرار دهد. در صورتی‌که تعداد اعضای مستقل کمیته ۲ نفر باشد، الزامی است که یک نفر از آنها دارای تخصص و تجربۀ کافی در حوزۀ مدیریت ریسک و نفر دیگر متخصص صنعت مربوطه باشد. به همین صورت، اگر تعداد اعضای مستقل کمیته ۴ نفر باشد، باید دو نفر از آنها متخصص و با تجربۀ کافی در مدیریت ریسک و دو نفر دیگر متخصص صنعت مربوطه باشند.

تبصرۀ پیشنهادی مادۀ (۵): اعضای صاحب رأی در کمیته شامل رئیس کمیته و اعضای مستقل خارج از شرکت (که جمعاً تعداد آن‌ها فرد است) هستند. سایر اعضای کمیته صاحب رأی نیستند.

۸- در مادۀ (۶) بیان شده است: رئیس کمیته، یکی از اعضای غیرموظف/غیر اجرایی هیات‌مدیره است که به انتخاب هیات‌مدیره تعیین شده و با ابلاغ رئیس هیات‌مدیره منصوب می‌شود. اعضای کمیته با پیشنهاد رئیس کمیته، پس از بررسی و تأیید توسط هیات‌مدیره حداکثر به مدت دو سال منصوب می‌شوند.

نقد: این ماده در تضاد با مادۀ (۵) قرار دارد. علی‌رغم این موضوع، هر دو ماده در این خصوص دارای نواقصی هستند. همان‌طورکه در نقد مادۀ (۵) بیان شد، ضرورت دارد که پس از پیشنهاد اعضای کمیتۀ مدیریت ریسک توسط رئیس کمیته، این اعضاء در کمیتۀ انتصابات تأیید صلاحیت و پس از احراز صلاحیت توسط رئیس کمیته منصوب شوند (احکام اعضای کمیته توسط رئیس کمیته ابلاغ می‌شود). شایان ذکر است که جهت احراز صلاحیت اعضای مستقل کمیتۀ مدیریت ریسک در کمیتۀ انتصابات، این کمیته (انتصابات) می‌تواند از مشاوران مدیریت ریسک خارج از سازمان نیز بهره‌مند شود. این در صورتی است که رئیس کمیتۀ مدیریت ریسک (عضو غیرموظف هیات‌مدیره) خود تجربه و تخصص کافی در مدیریت ریسک نداشته باشد. موضوع دومی که در این خصوص باید مورد توجه قرار گیرد، درج اسامی اعضای کمیته در صورت‌جلسه‌های هیات‌مدیره است. چرا که در مواردی که رئیس کمیته، خود رئیس هیات‌مدیره باشد، ابلاغ حکم انتصاب اعضاء توسط ایشان نمی‌تواند از نظر مرجع قضایی کافی و معتبر باشد. لذا، شفافیت و رعایت مقررات، ایجاب می‌کند که انتصابات و اسامی اعضاء در صورت‌جلسه‌های رسمی ثبت و ضبط شود تا از نظر حقوقی و قضایی اعتبار لازم را داشته باشد. در نهایت، نکته‌ای که در این ماده مشاهده می‌شود، محدودیت حداکثر مدت زمان فعالیت اعضای کمیته است. با توجه به متن منشور نمونه، در بخش مربوط به مدت زمان انتصاب اعضای کمیته در این ماده، ذکر شده است که اعضاء حداکثر به مدت دو سال منصوب می‌شوند. هرچند تعیین محدودیت زمانی می‌تواند منطق مدیریت ریسک و تنوع دیدگاه‌ها را تأمین کند، اما در عمل، این نوع محدودیت ممکن است در برخی موارد کاهش کارایی و از دست رفتن تجربیات ارزشمند در کمیته‌ها را به همراه داشته باشد. از این رو، پیشنهاد می‌شود سازمان بورس و اوراق بهادار، در اصلاحات منشور نمونه، به صورت صریح قید نماید که محدودیت زمانی فعالیت اعضاء باید به‌گونه‌ای باشد که امکان تمدید، یا تغییر وضعیت فعالیت آن‌ها در صورت موفقیت و بهره‌وری مناسب وجود داشته باشد. این تغییر، به بهبود فرآیندهای تصمیم‌گیری و حفظ کارایی و تخصص اعضاء کمک شایانی خواهد کرد و انعطاف لازم را برای شرکت‌ها فراهم می‌کند.

پیشنهاد اصلاحی در خصوص مادۀ (۶):

این ماده به صورت زیر تغییر پیدا کند:

رئیس کمیته، یکی از اعضای غیرموظف و غیراجرایی هیات‌مدیره است که به انتخاب هیات‌مدیره تعیین و با ابلاغ رئیس هیات‌مدیره منصوب می‌شود. احکام اعضای کمیته توسط رئیس کمیته ابلاغ می‌شود. دورۀ عضویت اعضای کمیته در کمیتۀ مدیریت ریسک، بر اساس فرآیندهای داخلی سازمان باید به مدتِ حداکثر دو سال باشد. در صورت اثربخشی و حفظ صلاحیت اعضاء، امکان تمدید مدت فعالیت آنان فراهم است که باید صراحتاً در فرآیندهای مربوطه (خصوصاً صورت‌جلسۀ هیات‌مدیره) ثبت و اعلام شود (ضرورت دارد برای دورۀ جدید مجدداً احکام جدید صادر شود). همچنین، اسامی اعضای کمیته باید در صورت‌جلسه‌های رسمی هیات‌مدیره ثبت و ضبط گردد، به‌خصوص در مواردی که رئیس کمیته، خود رئیس هیات‌مدیره است، تا از منظر حقوقی و قضایی اعتبار لازم و کافی را داشته باشد.

۹- در تبصرۀ (۱) از مادۀ (۶) بیان شده است: مدت مأموریت اعضای کمیتۀ ریسک برای دو دوره (حداکثر چهار سال) امکان‌پذیر است. مدت عضویت اعضاء تا زمان جایگزینی عضو، مطابق مقررات ادامه پیدا می‌کند. هیات‌مدیره حداکثر ظرف مهلت یک ماه پیش از پایان مدت عضویت اعضاء، به پیشنهاد کمیتۀ انتصابات اعضای جدید را انتخاب می‌کند.

نقد: بر اساس نقد صورت گرفته در بخش آخر از مادۀ (۶)، ضرورت دارد این تبصره نیز اصلاح شود.

پیشنهاد اصلاحی در خصوص تبصرۀ (۱) از مادۀ (۶):

این ماده به صورت زیر تغییر پیدا کند:

مدت مأموریت اعضای کمیتۀ مدیریت ریسک در صورت اثربخشی، بهره‌وری و تداوم صلاحیت اعضا،، با رعایت فرآیندهای داخلی سازمان و تأیید هیات‌مدیره قابل تمدید و ادامه است. هیات‌مدیره، حداقل یک ماه قبل از پایان دورۀ فعالیت اعضا،، با پیشنهاد رئیس کمیته و با کسب صلاحیت از کمیتۀ انتصابات، فرآیند انتخاب و انتصاب اعضای جدید را آغاز می‌نماید تا خللی در فعالیت کمیته ایجاد نشود. تمامی فرآیندهای مربوطه، باید در صورت‌جلسه‌های رسمی هیات‌مدیره ثبت و ضبط گردد.

۱۰- در تبصرۀ (۲) از مادۀ (۶) بیان شده است: اشخاص می‌توانند در هر شرکت با در نظر گرفتن الزامات ذکرشده در مقررات لازم‌الاجرا در کمیته‌های تخصصی هیات‌مدیرۀ آن شرکت به طور همزمان عضویت داشته باشند، با این وجود، هیچ شخصی نمی‌تواند به طور همزمان در بیش از سه کمیتۀ تخصصی هیات‌مدیره از شرکت‌های ثبت‌شده نزد سازمان یا نهادهای مالی، عضویت داشته باشد و در این خصوص اعضای کمیته باید اقرارنامه‌ای به کمیتۀ انتصابات شرکت ارائه دهند.

نقد: بر اساس واقعیت‌های موجود در بازار و کمبود نیروی متخصص خبره در حوزة مدیریت ریسک در ایران، این تبصره امکان بهره‌مندی همزمان تمامی شرکت‌ها از متخصصان مدیریت ریسک در کمیته‌های خود را غیرممکن می‌سازد. به عبارت دیگر، این محدودیت ممکن است به کاهش سطح مراقبت و تصمیم‌گیری‌های مرتبط با مدیریت ریسک در شرکت‌ها منجر شود، زیرا کمبود نیروی با تجربه و تخصص لازم را در پی خواهد داشت. لذا پیشنهاد می‌شود که محدودیت عضویت در کمیته‌های تخصصی برای اعضای کمیتۀ مدیریت ریسک برداشته شود یا اصلاح گردد تا فرصت بیشتری برای بهره‌برداری از تخصص‌های موجود در شرکت‌ها فراهم آید. این کار، در کنار حفظ الزامات نظارتی، می‌تواند سطح مدیریت ریسک در شرکت‌ها را بهبود بخشد و فرصت کافی برای بهره‌مندی حداکثری از کارشناسان مجرب در حوزۀ مدیریت ریسک را فراهم کند.

پیشنهاد اصلاحی در خصوص تبصرۀ (۲) از مادۀ (۶):

این تبصره به صورت زیر تغییر پیدا کند:

اشخاص می‌توانند در هر شرکت، با رعایت الزامات ذکرشده در مقررات لازم‌الاجرا، در کمیته‌های تخصصی هیات‌مدیرۀ آن شرکت، به صورت همزمان، عضویت داشته باشند.

فصل پنج - تشکیل جلسات

۱۱- در مادۀ (۹) بیان شده است: دبیر از بین افراد دارای صلاحیت و تخصص مرتبط با موضوع فعالیت شرکت انتخاب می‌شود. در صورت وجود مدیر ریسک در ساختار شرکت، وی به عنوان دبیر کمیته انتخاب می‌شود. در غیاب دبیر، یکی دیگر از اعضای کمیته باید به عنوان دبیر عمل کند.

نقد: در خصوص این ماده، توجه به این نکته ضرورت دارد که بر اساس اصول حاکمیت شرکتی، در صورتی که مدیر ریسک تحت نظر مدیرعامل به فعالیت بپردازد و به‌کارگماری و عزل ایشان توسط مدیرعامل صورت گیرد، به هیچ عنوان پیشنهاد نمی‌شود که مدیر ریسک، دبیر کمیتۀ مدیریت ریسک شرکت باشد. لذا بر اساس چارچوب حاکمیت شرکتی، انتصاب و عزل مدیر ریسک می‌بایست بر عهدۀ هیات‌مدیره باشد تا بتوان از ایشان به عنوان دبیر کمیتۀ مدیریت ریسک استفاده نمود. در غیر اینصورت پیشنهاد می‌شود که مدیر حسابرسی داخلی که تحت نظر کمیتۀ حسابرسی به فعالیت می‌پردازد به عنوان دبیر کمیتۀ مدیریت ریسک انتخاب شود. به طور جامع‌تر در این باره باید بیان کرد که: ۱) در ساختارهای حاکمیت شرکتی، مدیر ریسک معمولاً به عنوان یک مدیر اجرایی یا فنی معرفی می‌شود که تحت نظر مدیرعامل یا هیات‌مدیره فعالیت می‌کند. در این ساختار، انتصاب و عزل مدیر ریسک معمولاً توسط مدیرعامل انجام می‌شود، چرا که جزو مدیران اجرایی و عملیاتی است. اما در مواردی که شرکت دارای نهاد ناظر قوی‌تری باشد، مانند هیات‌مدیره، ممکن است انتخاب مدیر ریسک و تعیین وظایف و مسئولیت‌های او نیازمند تأیید هیات‌مدیره باشد. ۲) بر اساس اصول حاکمیت شرکتی، برای بهره‌مندی کامل از ویژگی‌های مدیریت ریسک، بهتر است مدیر ریسک، جایگاه مستقلی داشته باشد و انتخاب و عزل او بر عهدة هیات‌مدیره باشد. این موضوع، به منظور حفظ استقلال، بی‌طرف بودن، و تضمین کارایی عملیات مدیریت ریسک است. ۳) در صورت نبود مدیر ریسک، اگر فردی مانند مدیر حسابرسی داخلی به عنوان دبیر کمیتۀ مدیریت ریسک انتخاب شود، از جهت حفظ فعالیت‌های مربوط به مدیریت ریسک، کارآمد است؛ زیرا حسابرسی داخلی معمولاً به عنوان بازوی نظارتی مستقل عمل می‌کند و استقلال لازم را دارد. ۴) بسته به نوع و ساختار شرکت‌ها، ممکن است برخی از آنها مدیر ریسک را به عنوان یک مدیر مستقل، تحت نظر هیات‌مدیره، منصوب کنند یا در ساختارهای دیگر، مدیر حسابرسی داخلی جایگزین مدیر ریسک شود. بنابراین، اصلاح پیشنهاد در راستای رعایت اصول حاکمیت شرکتی و انعطاف‌پذیری مناسب، منطقی است.

پیشنهاد اصلاحی در خصوص مادۀ (۹):

این ماده به صورت زیر تغییر پیدا کند:

دبیر کمیتة مدیریت ریسک باید از بین افراد دارای صلاحیت و تخصص مرتبط با موضوع فعالیت شرکت انتخاب شود. در صورتی که ساختار شرکت بر اساس اصول حاکمیت شرکتی بوده و مدیر ریسک تحت نظر هیات‌مدیره و با اختیارات انتصاب و عزل مستقل باشد، مدیر ریسک می‌تواند به عنوان دبیر کمیته مدیریت ریسک انتخاب گردد. در غیر این صورت، پیشنهاد می‌شود فردی مانند مدیر حسابرسی داخلی که تحت نظر کمیتۀ حسابرسی فعالیت می‌کند، به عنوان دبیر کمیتة مدیریت ریسک انتخاب شود. در صورت غیاب دبیر، یکی دیگر از اعضای کمیته باید وظیفة دبیری را بر عهده گیرد. همچنین، انتخاب و عزل دبیر باید بر اساس مقررات حاکم بر ساختار گزارشگری و حاکمیت شرکتی انجام شود و در صورت لزوم، تصویب آن در مجمع یا هیات‌مدیره صورت پذیرد.

۱۲- در مادۀ (۱۰) بیان شده است: کمیته باید حداقل شش بار در سال یا در هر زمان که رئیس کمیته یا هیات‌مدیرۀ شرکت ضروری تشخیص دهد، تشکیل جلسه دهد.

نقد: در سیستم شرکتی ایران، تمایل شرکت‌ها تنها به رعایت حداقل الزامات قانونی است که این امر به وضوح مشهود است. کمیته‌های حاکمیت شرکتی، به‌عنوان نهادهای تصمیم‌گیری، باید بیش‌تر از انجام کمینة فعالیت‌های قانونی، تمرکز و دقت داشته باشند. در مورد کمیتۀ مدیریت ریسک، قید حداقل شش جلسه در سال، احتمالاً نشان‌دهندة سقف تعداد جلسات است و نه حداقل، و در نتیجه ممکن است مانع از برگزاری جلسات بیشتر در شرکت‌هایی که به‌تازگی ‌در حال راه‌اندازی سیستم مدیریت ریسک هستند، باشد. به‌ویژه در مراحل اولیه، برگزاری جلسات ماهانه یا بیشتر، درک اهمیت و کارایی این سیستم را تقویت می‌کند و احتمال موفقیت آن را افزایش می‌دهد. بنابراین، پیشنهاد می‌شود که در اصلاح ماده، تعداد حداقل جلسات به‌گونه‌ای تعیین گردد که انعطاف بیشتری برای شرکت‌ها ایجاد کند و در عین حال، نظارت مؤثر بر مدیریت ریسک تضمین شود.

پیشنهاد اصلاحی در خصوص مادۀ (۱۰):

این ماده به صورت زیر تغییر پیدا کند:

کمیتة مدیریت ریسک باید حداقل دوازده بار در سال تشکیل جلسه دهد. در هر زمان که رئیس کمیته یا هیات‌مدیرۀ شرکت، ضرورت تشخیص دهد، برگزاری جلسات بیشتری نیز مجاز و لازم‌الاجرا است.

۱۳- در مادۀ (۱۱) بیان شده است: جلسات کمیته با حضور اکثریت اعضاء که ضرورتاً یکی از آنها رئیس کمیته است، رسمیت می‌پیدا کند.

نقد: این ماده به صورت ناقص و مبهم است. حضور رئیس کمیته در تمامی جلسات، ضروری و عدم حضور او موجب عدم رسمیت جلسات است، مگر در موارد استثنایی که باید بتوان جلسه را در زمان دیگری تشکیل داد یا تصمیم‌گیری را به تعویق انداخت. همچنین، برگزاری جلسات تنها با حضور اکثریت اعضای صاحب رأی، تضمین‌کنندۀ تصمیم‌گیری‌های معتبر است. بنابراین، متن باید به‌گونه‌ای توضیح داده شود که تمام موارد فوق در آن لحاظ شده باشد، تا هم از لحاظ حقوقی دقیق و هم از منظر عملی کارآمد باشد.

پیشنهاد اصلاحی در خصوص مادۀ (۱۱):

این ماده به صورت زیر تغییر پیدا کند:

جلسات کمیته با حضور رئیس کمیته و اکثریت اعضای صاحب رأی آن رسمیت می‌پیدا کند. در صورت غیبت رئیس کمیته، جلسه نمی‌تواند به صورت رسمی برگزار شود، مگر اینکه رئیس در زمان مقرر، جلسة دیگری تشکیل دهد یا تصمیم‌گیری در خصوص موضوع مورد نظر به وقت دیگری موکول گردد.

۱۴- در مادۀ (۱۲) بیان شده است: کمیته باید در تصمیم‌گیری‌های خود، توجه لازم را به هرگونه الزامات قانونی یا نظارتی مربوطه و همچنین پیامدهای تصمیمات خود به عمل آورد. تصمیمات کمیته با رأی اکثریت اعضاء اتخاذ می‌شود که در صورت عدم حصول اکثریت، رأی رئیس کمیته تعیین‌کننده است.

نقد: بخش دوم این ماده نیازمند بازنگری اساسی است، چراکه در ساختارهای حاکمیت شرکتی، اعضای مستقل خارج از شرکت نقش کلیدی در فرآیند تصمیم‌گیری ایفا می‌کنند؛ زیرا آن‌ها به‌جای منافع شخصی، بر اساس اصول بی‌طرفی و رعایت منافع سهامداران و ذینفعان شرکت، تصمیم‌گیری می‌نمایند. بنابراین، اتخاذ تصمیم نهایی باید مبتنی بر رأی اکثریت اعضای صاحب رأی باشد و نباید تنها تحت‌تأثیر رأی یا نظر رئیس کمیته قرار گیرد. تمرکز تصمیم‌گیری در اختیار رئیس کمیته، متناقض با اصول استقلال و بی‌طرفی اعضای مستقل است و احتمال بروز تضاد منافع یا نفوذ نادرست در فرآیند تصمیم‌گیری را افزایش می‌دهد. بنابراین، برای تضمین عدالت و شفافیت، لازم است بیان گردد که تمامی تصمیمات کمیته صرفاً بر اساس رأی اکثریت اعضای صاحب رأی اتخاذ می‌شود و رأی رئیس کمیته، در فرآیند نهایی، هیچ‌گونه تأثیری نخواهد داشت، مگر در موارد خاص و استثنایی که به‌طور شفاف و صریح مشخص شده است. لذا لازم است به صورت شفاف بیان شود که تصمیمات کمیته با رأی اکثریت اعضای صاحب رأی اتخاذ می‌شود.

پیشنهاد اصلاحی در خصوص مادۀ (۱۲):

این ماده به صورت زیر تغییر پیدا کند:

کمیته باید در تصمیم‌گیری‌های خود، توجه لازم را به هرگونه الزامات قانونی یا نظارتی مربوطه و همچنین پیامدهای تصمیمات خود به عمل آورد. تصمیمات کمیته با رأی اکثریت اعضای صاحب رأی اتخاذ می‌شود و رئیس کمیته نمی‌تواند تصمیمات نهایی را به تنهایی اتخاذ کند.

۱۵- در مادۀ (۱۴) بیان شده است: از موارد مطروحه در هر جلسه و تصمیمات اتخاذ شده، صورت‌جلسه‌ای توسط دبیر کمیته تهیه می‌شود که به امضای اعضای حاضر در جلسه خواهد رسید. یک نسخه از صورت‌جلسات کمیته مشتمل بر خلاصۀ تصمیمات اتخاذشده حداکثر یک هفته پس از تاریخ برگزاری هر جلسه، جهت طرح در هیات‌مدیره برای دبیرخانۀ هیات‌مدیرۀ شرکت ارسال می‌شود.

نقد: در فرآیند ارسال و ثبت صورت‌جلسات، رعایت کامل الزامات سامانه‌های معتبر الکترونیکی و اتوماسیون اداری الزامی است، چراکه ثبت دقیق تاریخ و زمان ارسال نقش مهمی در حمایت‌های حقوقی و استنادهای قضایی ایفا می‌کند. دبیر کمیته باید نسبت به اهمیت این موضوع آگاهی کامل داشته باشد و از روش‌های مطمئن و استاندارد برای ارسال، نگهداری و آرشیو صورت‌جلسات استفاده نماید.

پیشنهاد اصلاحی در خصوص مادۀ (۱۴):

این ماده به صورت زیر تغییر پیدا کند:

از موارد مطروحه در هر جلسه و تصمیمات اتخاذشده، صورت‌جلسه‌ای به‌صورت مکتوب توسط دبیر کمیته تدوین می‌شود و پس از امضای تمامی اعضای حاضر در جلسه، به عنوان سند رسمی ثبت و نگهداری می‌شود. یک نسخه از صورت‌جلسه، حاوی خلاصۀ تصمیمات اتخاذشده، باید حداکثر ظرف مدت یک هفته پس از تاریخ برگزاری جلسه، از طریق سامانه‌های اتوماسیون اداری به دبیرخانة هیات‌مدیرة شرکت ارسال گردد. در این فرآیند، باید دقت شود که ارسال صورت‌جلسه به‌نحوی صورت پذیرد که امکان استناد حقوقی و قضایی، از جمله در موارد مرتبط با تایم‌استمپ و تاریخ ارسال، به سهولت فراهم باشد.

سایر موارد

ضرورت دارد در فصل شش (سایر الزامات) مادۀ دیگری جهت ارزیابی نظام‌نامه و منشور کمیته بدین صورت اضافه گردد:

مادۀ پیشنهادی: کمیتۀ مدیریت ریسک باید سالی یک‌بار نسبت به ارزیابی مفاد منشور کمیته و نظام‌نامۀ مدیریت ریسک اقدام و آن را بروزرسانی کند و موارد تغییر را برای تصویب هیات‌مدیره ارسال نماید.

تبصره: در صورت بروز تغییرات عمده در منشور کمیتۀ مدیریت ریسک (بر اثر الزامات قانونی یا نیازهای شرکت)، ارزیابی منشور کمیتۀ مدیریت ریسک در طی سال مالی ضرورت دارد.

مجتبی رستمی نوروزآباد

مجری و مشاور پیاده‌سازی مدیریت ریسک