Dlaczego warto wprowadzić systemowe zarządzanie ryzykiem?
Wprowadzenie systemowego zarządzania ryzykiem
Ryzyka i obszary ich definiowania nie są elementami oderwanymi od siebie. Powiązania i zależności stanowią swoiste obszary „niekompetencji” same w sobie będące źródłem części ryzyk.
Przykładowo, podejścia z perspektywy:
- bezpieczeństwa informacji,
- compliance,
- cyberbezpieczeństwa,
- jakości,
- ochrony danych osobowych,
- ciągłości działania,
oparte są na odniesieniu do wspólnych standardów i celów zarządzania ryzykiem.
Cele zarządzania ryzykiem
Standardy w większości opierają się na mechanizmach wypracowanych w ramach norm ISO, w tym przede wszystkim ISO 31000 i ISO/IEC 27005 oraz o metodykę COSO. Natomiast cele odnoszą się do efektywnego zapobiegania niepożądanym zdarzeniom, zjawiskom i incydentom. Do głównych z nich należą:
- ochrona kluczowych zasobów,
- ochrona wizerunku organizacji,
- lepsza alokacja i planowanie na przykład w kontekście mechanizmów kontrolnych i zabezpieczeń,
- zapewnienie zgodności z przepisami prawa.
Cele zarządzania ryzykiem powinny być ściśle powiązane z celami organizacji na poziomie strategicznym i operacyjnym. Stąd istotne jest integrowanie powyższych obszarów zarządzania organizacji w ramach ERM.
Jak zarządzanie ryzykiem pozwala rozwiązywać problemy?
Nieformalne zarządzanie ryzykiem pozwala co prawda na punktową reakcję w odniesieniu do zagrożeń i szans, lecz problemy zaczynają się w momencie kiedy reakcja na jedne ryzyka, w sposób trudny do przewidzenia, prowadzi do wzrostu prawdopodobieństwa bądź wpływu innych ryzyk.
Sytuacja ta wynika z braku wspólnej metodyki oraz braku centralnego punktu koordynującego sposób zarządzania ryzykiem oraz podejmowanie decyzji w tym zakresie. Warto zwrócić w tym miejscu uwagę, że nie jest możliwe zarządzanie wszystkimi istotnymi ryzykami operacyjnymi na poziomie najwyższego kierownictwa (np. Zarządu). Doświadczenia organizacji, z którymi od wielu lat współpracujemy oraz nasze pokazują, że możliwe jest efektywne postępowanie z ryzykami na różnych poziomach w zależności od wartości identyfikowanych zagrożeń.
W końcu warto zwrócić uwagę, że w ostatnim okresie bardzo szybko przybywa obszarów, w których zarządzanie ryzykiem jest nie tylko dobrą praktyką, ale również wymaganiem – np. RODO, czy Dyrektywa NIS i ustawa o krajowym systemie cyberbezpieczeństwa. Wpływa to również na inicjowanie wewnętrznych potrzeb w zakresie implementacji systemowego zarządzania ryzykiem, np. na potrzeby rady nadzorczej.
Trudno wyobrazić sobie, żeby narzędzie zarządcze, jakie to miano zyskał ERM w największych globalnych i zagranicznych firmach, nie przełożyło się na jeszcze większe jego spopularyzowanie w pozostałych organizacjach. Można pokusić się o śmiałą tezę, że stanie się ono niezbędnym wymogiem porównywalnym do audytu wewnętrznego, czy zarządzania procesowego. Dlatego warto na etapie budowania systemu ERM wesprzeć się doświadczonym zewnętrznym partnerem.
O Autorze
