COSO II – standard nie tylko popularny…

Zintegrowane Zarządzanie Ryzykiem – COSO II – standard  nie tylko popularny…

Dlaczego warto zarządzać ryzykiem?

Wszyscy chyba znamy przypadek Ericssona i Nokii – gdy w fabryce półprzewodników firmy Philips w Albuguergue wybuchł krótki 10 minutowy pożar, obaj główni kontrahenci zareagowali zupełnie inaczej. Nokia dzięki szybkiemu przepływowi informacji natychmiast podjęła działania i wynegocjowała z Philipsem całość rezerw produkcyjnych, a także zwiększyła import z krajów azjatyckich dzięki dywersyfikacji dostaw. Ericsson dowiedział się trzy dni po fakcie, kiedy nie było już możliwości negocjacji z Philipsem, co pociągnęło za sobą zmniejszenie produkcji, a jednocześnie spadek wartości akcji Ericssona. Jednocześnie Nokia, dzięki natychmiastowej reakcji w sytuacji kryzysowej, umocniła swoją pozycję na rynku lidera telefonów komórkowych.

Powyższy przykład pokazuje, że w dzisiejszych czasach każde przedsiębiorstwo, aby osiągnąć zaplanowane wyniki podejmuje ryzyko. Wolny rynek stwarza zarówno szanse na osiągnięcie ponadplanowych zysków
jak i ryzyko strat w wyniku niekorzystnych zmian w otoczeniu przedsiębiorstwa oraz błędów we wnętrzu organizacji. Wszystkie decyzje biznesowe obarczone są ryzykiem. Ryzyko to ma szczególny wymiar, gdyż dotyczy zaangażowanych środków finansowych, dlatego coraz częściej firmy decydują się na wdrożenie systemu zarządzania ryzykiem.

 Czym jest COSO II?

 Amerykańska organizacja sektora prywatnego COSO (The Committee of Sponsoring Organizations of the Treadway Commission) we wrześniu 2004 roku wydała opracowanie „Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa” zwane również COSO II, które dostępne jest w języku polskim. Obecnie jest to najpopularniejszy model zarządzania ryzykiem, który w sposób przejrzysty i prosty, krok po kroku
przybliża czytelnikowi mechanizmy zarządzania ryzykiem korporacyjnym. Składa się z dwóch części. Pierwsza część zawiera strukturę ramową, która definiuje zarządzanie ryzykiem korporacyjnym oraz opisuje zasady i koncepcje stanowiące wskazówki do oceny i zwiększenia efektywności zarządzania ryzykiem na wszystkich szczeblach organizacji. Główną część opracowania stanowi opis komponentów systemu koniecznych do osiągnięcia wcześniej założonych celów strategicznych i operacyjnych. Druga część ilustruje techniki zastosowania poszczególnych elementów struktury ramowej.

Jest to materiał w zamierzeniu przeznaczony do przybliżenia zastosowania w praktyce technik zarządzania ryzykiem korporacyjnym. Przedstawione techniki nie są jednak kompletne i odnoszą się jedynie do niektórych elementów z tomu I. (Niektóre techniki przeznaczone są dla mniej złożonych organizacji, podczas gdy inne dla większych, dlatego niemożliwe byłoby opisanie ich wszystkich).

Struktura COSO II

Zintegrowane zarządzanie ryzykiem obejmuje elementy związane z:

• uzgadnianiem apetytu na ryzyko ze strategią,

• wzmacnianiem decyzji w sprawie reakcji na ryzyko,

• ograniczeniem niespodzianek i strat operacyjnych,

• identyfikowaniem i zarządzaniem wieloma rodzajami ryzyka w przedsiębiorstwie,

• wykorzystywaniem możliwości/szans.

Podstawowym założeniem zarządzania ryzykiem korporacyjnym jest idea mówiąca, iż każdy podmiot gospodarczy istnieje po to, aby przynosić korzyści swoim udziałowcom. Ryzyko traktowane, jako źródło zarówno zagrożeń, jak i szans zwiększa zdolność do budowania wartości poprzez wykorzystywanie szans oraz radzenie sobie z ryzykiem. Według COSO II zdarzenia występujące w przedsiębiorstwie mogą mieć skutki pozytywne, negatywne lub oba jednocześnie. Zdarzenia o negatywnych skutkach oznaczają ryzyko, które może uniemożliwić tworzenie wartości lub zmniejszyć istniejącą wartość. Zdarzenia o pozytywnych skutkach mogą zniwelować skutki negatywne lub stanowić szansę, czyli możliwość wystąpienia zdarzenia, które pozytywnie wpłynie na osiąganie celów, tworzenie lub utrzymanie wartości. Zarządzanie ryzykiem korporacyjnym dotyczy zarówno szans jak i ryzyka związanego z utrzymaniem wartości. Definicja jest następująca:

Zarządzanie ryzykiem jest realizowanym przez najwyższe kierownictwo lub inny personel organizacji, uwzględnionym w strategii i w całej organizacji procesem, którego celem jest identyfikacja potencjalnych
zdarzeń, które mogą wywrzeć wpływ na organizację, utrzymywanie ryzyka w ustalonych granicach oraz rozsądne zapewnienie realizacji celów organizacji.

Zgodnie z definicją zarządzanie ryzykiem jest więc procesem zachodzącym w całej organizacji, realizowanym przez pracowników na każdym szczeblu. Zarządzanie ryzykiem korporacyjnym nie ma charakteru statycznego, dlatego też należy je traktować, jako ciągłe lub interaktywne przenikanie się zadań w przedsiębiorstwie.

Zarządzanie ryzykiem korporacyjnym składa się z ośmiu powiązanych elementów, które wykorzystuje się do osiągania celów wynikających ze strategii organizacji. Te elementy to:

• Środowisko wewnętrzne – obejmuje charakter organizacji i stanowi podstawę postrzegania i reagowania na ryzyko przez pracowników; filozofię zarządzania ryzykiem i dopuszczalny poziom ryzyka; uczciwość i wartości etyczne oraz środowisko pracy.

• Ustalanie celów – cele muszą zostać ustalone zanim kierownictwo przejdzie do identyfikacji potencjalnych zdarzeń wywierających wpływ na ich osiąganie. Zarządzanie ryzykiem zapewnia, że kierownictwo posiada procedury ustalania celów, które odwołują się do misji i wizji oraz odpowiadają poziomowi ryzyka dopuszczonego przez organizację.

• Identyfikacja zdarzeń – zdarzenia wewnętrzne i zewnętrzne wpływające na osiąganie celów muszą zostać zidentyfikowane z rozróżnieniem zagrożeń i szans, które w dalszym etapie uwzględniane są w procesie ustalania celów i budowania strategii organizacji.

• Ocena ryzyka – analiza i ocena prawdopodobieństwa wystąpienia danego ryzyka.

• Reakcja na wystąpienie ryzyka – kierownictwo wybiera rodzaj reakcji – unikanie, akceptacja, ograniczanie lub dzielenie się ryzykiem, by w dalszej kolejności opracować zestaw działań mających na celu powiązanie poszczególnych ryzyk z akceptowalnym poziomem.

• Działania kontrolne – polityki i procedury ustalone i realizowane w celu efektywnej realizacji reakcji na ryzyko.

• Informacja i komunikowanie się – odpowiednie informacje winny być zbierane i przekazywane w formie i ramach czasowych umożliwiających pracownikom wykonywanie swoich obowiązków. Skuteczna komunikacja musi także mieć miejsce w szerszym zakresie – w dół, w poprzek i w górę hierarchii organizacyjnej.

• Monitorowanie – Monitorowanie poszczególnych ryzyk realizowane jest poprzez stałe działania kierownictwa, niezależne oceny lub poprzez kombinację obu tych czynników.

Zintegrowane zarządzanie ryzykiem jest procesem dynamicznym oraz wielokierunkowym i interaktywnym, w którym prawie każdy komponent może wpływać na inne komponenty. Bezpośredni związek pomiędzy celami organizacji, a komponentami zarządzania ryzykiem korporacyjnym (czyli tym co jest potrzebne do osiągnięcia celów) przedstawiony został w standardzie w formie trójwymiarowej kostki.

Ponieważ w systemie zarządzania ryzykiem mogą pojawiać się błędy wynikające zarówno z błędów ludzkich jak i ze zmieniających się warunków, integralną częścią ERM jest kontrola wewnętrzna. Działania kontrolne mają na celu zapewnienie między innymi, realizacji ustalonych przez kierownictwo reakcji na ryzyko.

Zarządzanie ryzykiem korporacyjnym realizowane jest przez wiele osób, z których każda posiada ważne obowiązki. Ostateczną odpowiedzialność ponosi najwyższe kierownictwo. COSO II jest standardem zawierającym wskazówki dotyczące zarządzania ryzykiem zarówno dla zarządu, kierownictwa najwyższego szczebla jak i pozostałego organu organizacyjnego.

Dlaczego warto wybrać model COSO II?

Przedsiębiorstwo chcące wprowadzić system zarządzania ryzykiem musi przede wszystkim odpowiedzieć na pytanie według jakiego modelu lub standardu najlepiej byłoby je wdrożyć.

COSO II jest pierwszym opracowaniem, w którym w sposób kompleksowy opisane zostały wszystkie kluczowe zasady, które powinny być przestrzegane w organizacji zarządzającej ryzykiem. W opracowaniu wskazano zarówno problemy, którym stawia czoło organizacja w trakcie wdrożenia systemu, jak i drogi do skutecznego ich wyeliminowania.

Dokument napisany jest przystępnym językiem, znajduje się w nim wyjaśnienie podstawowych pojęć, co sprawia, że dyskutowanie na temat zarządzania ryzykiem w firmie staje się bardziej zrozumiałe, a przez to
bardziej efektywne. Publikacja z pewnością przyda się każdemu, kto odpowiada za zarządzanie ryzykiem organizacji.

Wiele firm głównie w Stanach Zjednoczonych wdrożyło proces zarządzania ryzykiem zgodnie z modelem COSO II, co może być zachętą do jego stosowania. W przyszłości raport może stać się podstawą do formułowania
wspólnego stanowiska dotyczącego zarządzania ryzykiem.

Tomasz Mechelewski,
Departament Zarządzania
Źródło: „Zintegrowany System Zarządzania Ryzykiem – COSO II. Struktura ramowa”