Dlaczego warto zarządzać ryzykiem
Dlaczego zarządzać ryzykiem?
Obecnie jednym z najważniejszych wyzwań w zakresie zarządzania jest określenie jak organizacje potrafią zarządzać ryzykiem biznesowym i wykorzystać je w kreowaniu i budowaniu wartości. Czy są zdolne wykorzystywać i zarządzać potencjałem jaki niosą w sobie ryzyka pozytywne i negatywne? Z analiz i badań PBSG wynika, że podstawowym problemem związanym z zarządzaniem ryzykiem w polskich firmach i jednostkach administracji jest koncentrowanie się na jego tradycyjnym podejściu tradycyjnym nie do końca odpowiadającemu pełnemu założeniu często nieprzystającym do koncepcji polegającej w skrócie na kompleksowej identyfikacji, ocenie i postępowaniu wobec ryzyka. Tradycyjne podejście ogranicza się do wycinkowych analiz działania organizacji i traktuje ryzyko bardzo fragmentarycznie w sposób odizolowany od całości. W szczególności ograniczenie to obejmuje jedynie aktywa fizyczne i finansowe. Ponadto w większości przypadków zarządzanie sprowadza się do działań prewencyjnych w kierunku zagrożeń mogących spowodować straty niż faktycznych czynności zmierzających do wykorzystania okazji i budowania trwałej wartości dodanej w organizacji. Niestety tradycyjne podejście nie dostarcza także metod zarządzania ryzykiem w sposób zintegrowany i systemowy, co dla większości organizacji ma kluczowe znaczenie w aspekcie coraz częstszej potrzeby redefiniowania obecnych i określania nowych ryzyk biznesowych.
Współczesne podejście do zarządzania ryzykiem określane mianem zintegrowanego zarządzania ryzykiem (ERM) skupia się na integracji zarządzania ryzykiem z istniejącymi w organizacji procesami i określaniu przyszłych zdarzeń, które mogą pozytywnie bądź negatywnie oddziaływać na prowadzoną działalność. Ponadto podejście to wymusza ocenę przyjętej strategii zarządzania organizacją w kontekście przygotowania jej na przyszłe zdarzenia biznesowe. Zintegrowane zarządzanie ryzykiem przekształca powszechne statyczne podejście do proaktywnego zarządzania oraz budowania wartości z wykorzystaniem funkcjonujących mechanizmów zarządzania procesami.
Zintegrowane zarządzanie ryzykiem stanowi podstawę określania struktury i zakresu zarządzania strategią, procesami oraz wyznacza standardy oceny skuteczności i efektywności realizowanych działań. W podejściu takim głównymi efektami stają się optymalizacja kosztów zarządzania ryzykiem i poprawa efektywności funkcjonowania. Jednocześnie zintegrowany model zarządzania ryzykiem wymaga dynamicznej analizy otoczenia zewnętrznego i wewnętrznego w celu szybkiej oceny obecnych i przyszłych zdarzeń mogących mieć wpływ na prowadzoną działalność. Podstawą takiego działania jest dostarczenie możliwie dokładnych danych analitycznych (ze wszystkich poziomów organizacji) do określania przez kierownictwo strategii i oceny jej wdrożenia.
Zmiana w podejściu do zarządzania ryzykiem polega na uwzględnieniu w analizach wszystkich poziomów organizacji i wyboru najlepszych rozwiązań powodujących wzrost wartości organizacji. Generalnie cały proces wdrożenia tak rozumianego zarządzania ryzyka sprowadza się do czterech kroków.
Krok I. – Ocena ryzyka i określenie ryzyk krytycznych.
Ocena ryzyka polega na identyfikacji i priorytetyzacji ryzyka w organizacji. Ponadto dostarcza informacji w zakresie aktualnej wartości i pozwala na określenie wielkości granicznej i docelowej ryzyka. Tym samym w kolejnych krokach racjonalizuje wybór zabezpieczeń i środków służących do zarządzania ryzykiem. Ocena ryzyka jest także ekonomiczną analizą działań i podstawą do kreowania założeń strategicznych, struktury procesów, kompetencji, standardów raportowania oraz technologii wspólnie określanych mianem infrastruktury zintegrowanego zarządzania ryzykiem. Ocena ryzyka obejmuje definiowanie istotnych ryzyk oraz określanie obecnych mechanizmów zarządzania nimi służących do niwelowania różnicy między stanem obecnym, a docelowym. Wspomniane mechanizmy powinny zawierać relacyjne powiązania celów i wskaźników w obrębie wszystkich działań biznesowych organizacji. Zakres ryzyk, które mogą pojawić się w organizacji jest ogromny i może obejmować: klientów, zmiany prawne, zmiany polityczne, siły natury (katastrofy, klęski). Niemniej poza powszechnie znanymi zdarzeniami w obrębie wymienionych powyżej przykładów zdarzeń, które mogą powodować powstanie ryzyk, szczególną uwagę należy zwrócić na te zdarzenia, które mogą znacząco wpłynąć na działalność organizacji w przyszłości. Analiza zdarzeń powinna obejmować ryzyka obecne i przyszłe wraz z konsekwencjami ich wystąpienia i określenia wpływu na prowadzoną działalność.
Krok II. – Określenie standardów zarządzania ryzykiem krytycznym
Krok ten sprowadza się do określenia sposobów postępowania z ryzykiem krytycznym czyli takim, które jest dla nas nieakceptowalne. Podstawowe działanie polega na opracowaniu planów postępowania z takim ryzykiem, wdrożenia i monitorowania na ile przyjęte standardy postępowania przybliżają nas do wartości oczekiwanych. Wskazanie i przyjęcie określonych sposobów postępowania z ryzykiem może być wsparte wymaganiami np. Sarbanes-Oxley Act, krajowym ustawodawstwem, standardami i międzynarodowymi modelami zarządzania ryzykiem np. COSO II.
Niezależnie od przyjętych norm w tym zakresie powinna następować integracja wybranej przez organizację metodyki zintegrowanego zarządzania ryzykiem z działaniami operacyjnymi na poziomie operacyjnym, strategicznym i kontrolnym. Dla organizacji, które dotąd nie zarządzały w sposób systemowy ryzykiem najlepszym sposobem rozpoczęcia tego procesu jest zebranie możliwie największej ilości danych operacyjnych, technologicznych i organizacyjnych. Na tej podstawie organizacja będzie mogła precyzyjniej definiować podstawowe profile ryzyk i ustanawiać dla nich atrybuty podlegające ocenie. Agregowanie danych pozwala na precyzyjniejsze określanie konsekwencji, ocenę prawdopodobieństwa realizacji ryzyka i kosztów podjęcia działań lub kosztów rezygnacji z podejmowania takich działań. Zestawienie profili ryzyk z danymi historycznymi daje także duże bezpieczeństwo w prognozach dotyczących zagrożeń obecnych z potencjalnymi. Wynikiem prac tego etapu powinien być odpowiedni model analizy ryzyka obejmujący całą działalność organizacji wraz z jej otoczeniem. Przyjęta metoda powinna zagwarantować integrację całej infrastruktury zarządzania: procesów biznesowych, technologii oraz strategii.
Krok III. – Ocena metody zintegrowanego zarządzania ryzykiem i zarządzanie zmianami
Ocena i weryfikacja modelu ERM sprowadza się do analizy na ile przyjęte metody postępowania wobec ryzyka w celu osiągnięcia wartości akceptowalnych pozwalają te wartości osiągnąć oraz na ile wykorzystane do tego celu środki (procesy, technologie itp.) uwzględniają założenia ekonomiczne i strategiczne organizacji. Ocena metody polega także na weryfikacji adekwatności przyjętych mierników oraz wskaźników oceny skuteczności i efektywności. Wynikiem prac kroku III jest przygotowanie i wdrożenie zmian w zakresie tych części kompleksowego zarządzania ryzykiem, których wyniki nie spełniają zaplanowanych wartości oraz wynikają ze zmian prawnych, otoczenia lub wewnętrznych (połączenia, wydzielenia, restrukturyzacja). Istotnym elementem tego etapu jest zapewnienie właściwych mechanizmów weryfikacji wdrożonych zmian w szczególności w obszarze ryzyk krytycznych. Ocena przyjętej metody nierozerwalnie związana jest także z weryfikacją wielkości kosztów ponoszonych w kontekście przyjętego planu postępowania dla wybranego ryzyka z efektami biznesowymi, jakie powinniśmy osiągnąć w wyniku podjętych działań. Głównym efektem tego etapu powinno być określenie rekomendacji odnośnie zmian w metodzie analizy ryzyka jak i elementach zarządzania ryzykiem.
Krok IV. – Wdrożenie narzędzi IT wspomagających zarządzanie ryzykiem
Prawie każde działanie jakie jest podejmowane w ramach zarządzania ryzykiem można zrealizować wspierając się rozwiązaniami IT. Z analiz prowadzonych przez ekspertów PBSG wynika, że większość organizacji posiada informacje i dane niezbędne do analizy ryzyka. Problem polega na braku zintegrowania ich i ewentualnym zarządzaniem zmianami, które wynikają z potrzeby dokonywania modyfikacji w modelu zarządzania ryzykiem. W szczególności narzędzia takie wykorzystuje się w procesie identyfikacji i szacowania ryzyka, co znacznie przyśpiesza zakres prac obejmujący agregację i profilowanie ryzyk. W dalszej kolejności narzędzia takie pomagają zaprojektować sekwencję działań, niezbędnych w procesie oceny skuteczności i efektywności realizacji założonych wskaźników i celów. Podstawowa funkcjonalność narzędzi powinna ponadto zapewnić zdolność do integracji z procesami i strategią tym samym zapewnić możliwość ciągłego wdrażania zmian wynikających ze zmian otocznia biznesowego. Możliwość wprowadzania zmian do przyjętego modelu zarządzania ryzykiem i poszczególnych atrybutów tego modelu (zagrożenia, prawdopodobieństwa, skutki, plany postępowania wobec ryzyka, wskaźniki) powinno być kluczowym kryterium wyboru i wdrożenia rozwiązań IT w tym zakresie. W końcowym efekcie rozwiązania IT w zakresie zarządzania ryzykiem muszą zapewnić z jednej strony możliwość wprowadzania zmian do metody analizy ryzyka, z drugiej muszą zapewnić pełną transparentność po stronie użytkowników odpowiedzialnych za wprowadzanie i modyfikację danych.
Podsumowanie
Zarządzanie ryzykiem będzie odgrywać coraz większą rolę. Procesy decyzyjne oparte będą na coraz bardziej kompleksowej analizie uwzględniającej wiele atrybutów i czynników zarówno otoczenia, jak i procesów wewnętrznych. Liczba pojawiających się ryzyk biznesowych będzie wymagać adekwatnych modeli i narzędzi informatycznych pozwalających uodpornić organizację na nowe zagrożenia lub skorzystać z pojawiających się szans. Zrozumienie roli ryzyka w zarządzaniu jest pierwszym krokiem do zarządzania nim. Kolejnym krokiem jest posiadanie świadomości istnienia ryzyk i oceny wpływu na prowadzoną działalność. Ostatnim etapem jest sprawne zapobieganie ryzykom negatywnym i wykorzystywanie potencjału jakie niosą ryzyka pozytywne. Ewolucję rozwoju kultury zarządzaniem ryzykiem przedstawia poniższy rysunek.
Organizacje wdrażające i zarządzające zgodnie z ERM muszą mieć świadomość, że skuteczność tej metody zależy od jej systematyczność i ciągłe doskonalenie zarówno w obszarze metody analizy ryzyka, jak i mechanizmów oceny skuteczności wdrożonych rozwiązań. Poprawnie wdrożone mechanizmy zarządzania ryzykiem są źródłem inicjatyw strategicznych określania potencjału wzrostu organizacji i budowania zaufania. Wewnętrznie integruje procesy decyzyjne transferując analizę ryzyka i zdolności do jego podejmowania i zarządzania nim na wszystkie poziomy organizacji. Tym samym organizacja nabywa niepowtarzalnych umiejętności do budowania struktur zdolnych szybko wdrożyć produkty i usługi zdolne maksymalizować potencjał konkurencyjny, a tym samym budować wartość rynkową, czy społeczną.