Patronaty

Marszałek

Rektor Uniwersytetu Szczecińskiego

Zarządzanie ryzykiem PDF Drukuj Email

Organizacja, która poważnie myśli o zarządzaniu ryzykiem w obszarach ESG (ang. environmental, social, governance), powinna najpierw przeprowadzić pogłębioną analizę czynników ryzyka w stosunku do oczekiwań najważniejszych interesariuszy. Jedną z największych trudności w tym procesie jest konieczność uwzględnienia wielu, często odmiennych, oczekiwań oraz zidentyfikowania priorytetów przed wdrożeniem działań. Narzędziem, które pomaga zidentyfikować obszary ryzyka ESG (zarówno zagrożenia, jak i szanse) specyficzne dla danej organizacji, jest właściwie prowadzony dialog z interesariuszami.

Chcąc go prowadzić skutecznie, warto korzystać z profesjonalnych narzędzi umożliwiających trafny wybór kluczowych interesariuszy i budowanie trwałych relacji opartych na otwartym dialogu i współpracy. Odpowiedni przekaz i wielostronna komunikacja są kluczem do zaangażowania partnerów oraz uzyskania od nich cennej informacji zwrotnej. Planując komunikację, należy pamiętać o zachodzących zmianach w dostępie do informacji. Na przykład, rosnąca w ostatnich latach popularność portali społecznościowych, sieci powiązań itp. może być zarówno szansą, jak i zagrożeniem dla reputacji firm.

Strategia komunikacyjna przedsiębiorstwa powinna zatem obejmować przemyślaną, spójną oraz systematyczną aktywność w różnych kanałach. Firmy, które nie mają doświadczenia w nowych narzędziach komunikacji, mogą skorzystać z wyspecjalizowanych usług, np. w dziedzinie pozycjonowania produktów w sieciach społecznościowych, moderowania dyskusji i kształtowania blogosfery. Wymaga to jednak świadomej decyzji o zakresie i sposobie prowadzenia aktywnej komunikacji.

Aby można było mówić o świadomym i dojrzałym zarządzaniu relacjami z interesariuszami, organizacja powinna:

  • zdefiniować najważniejszych interesariuszy,
  • określić najważniejsze obszary dialogu,
  • ustalić odpowiedzialności za efekty prowadzonego dialogu wpisane w struktury oraz procesy biznesowe i zarządcze organizacji,
  • ustalić formę i częstotliwość dialogu z interesariuszami (odpowiednio do oczekiwań danej grupy),
  • ustalić formę komunikacji wyników dialogu z interesariuszami (np. internet, raporty społeczne, spotkania z grupami interesariuszy, badania marketingowe itp.),
  • ustalić sposób sprawdzania postępów w realizacji podjętych zobowiązań i przyjętych celów,
  • określić formę okresowego sprawdzania skuteczności dialogu z danymi interesariuszami,
  • podejmować działania zmierzające do doskonalenia dialogu z interesariuszami w kontekście skuteczności realizowanych celów strategicznych i operacyjnych.

Wybrane w procesie dialogu priorytetowe obszary CSR powinny zostać uwzględnione w misji, planach strategicznych oraz w działalności operacyjnej firmy. Powinny także stać się integralną częścią procesu budowania ładu korporacyjnego. Norma ISO 26000 (6.2.3.2) zaleca, aby struktury i procesy decyzyjne organizacji umożliwiały:

  • opracowanie strategii, celów i wartości oddających społeczne zaangażowanie organizacji,
  • rozliczanie z podjętych zobowiązań i zaangażowanie pracowników na stanowiskach kierowniczych,
  • stworzenie i kultywowanie kultury, w której zasady społecznej odpowiedzialności są praktykowane,
  • stworzenie systemu motywacyjnego (opartego na bodźcach finansowych i pozafinansowych) promującego postawy społecznej odpowiedzialności,
  • wydajne użytkowanie zasobów finansowych, naturalnych i ludzkich,
  • propagowanie równych szans dla grup niedostatecznie reprezentowanych na wyższych stanowiskach,
  • osiągnięcie kompromisu między potrzebami organizacji i interesariuszy,
  • ustanowienie procesów komunikacji obustronnej z interesariuszami,
  • propagowanie uczestnictwa pracowników z wszystkich poziomów w działaniach organizacji na rzecz społecznej odpowiedzialności,
  • zbilansowanie poziomu uprawnień, odpowiedzialności i liczby osób podejmujących decyzje w imieniu organizacji,
  • sprawdzanie, czy podjęte decyzje są realizowane w sposób odpowiedzialny społecznie,
  • okresową weryfikację i ocenę procesów ładu organizacyjnego, jego modyfikowanie i komunikowanie zmian.

Komunikacja strategii powinna odbywać się za pomocą prostych, czytelnych i jednoznacznych informacji wyjaśniających założenia i skutki zarządzania ryzykiem ESG dla wszystkich istotnych interesariuszy. Warto przy tej okazji zwrócić uwagę, że zbyt długa lista celów, projektów i zadań może powodować rozproszenie zasobów, zagubienie wśród zbyt dużej liczby priorytetów oraz dekoncentrację.

Dobrą strategię zazwyczaj można streścić w kilku zwięzłych zdaniach mieszczących się na jednej stronie, a jej zaprezentowanie, zgodnie z koncepcją tzw. testu windy (ang. Elewator pitch), powinno zająć ok. 20 sekund.

Należy również pamiętać, że utrzymanie dyscypliny monitorowania realizacji strategii jest wyzwaniem samym w sobie. Pasja, wytrwałość oraz przekonanie, że nasze działanie jest zasadne i ma głębszy sens, są krytyczne dla procesu realizacji strategii.
Najistotniejsze rodzaje ryzyka na etapie opracowywania i wdrożenia strategii:

  • ryzyko wyboru nieodpowiedniej strategii, strategia może być błędna w założeniach, niewykonalna, mało precyzyjna, nieuwzględniająca opinii kluczowych interesariuszy, np. w wyniku braku dialogu,
  • ryzyko braku klarownego zakresu i przekazu, nie wiadomo, co jest ważne, a co nie,
  • ryzyko nadmiernego rozproszenia celów, niedostrzeganie, tego co ważne,
  • ryzyko nadmiernego skupienia na celach, brak elastyczności w dostrzeganiu szans,
  • ryzyko braku konsekwencji, w szczególności nieregularnego monitorowania realizacji strategii,
  • ryzyko nieadekwatnej reakcji na sygnały wczesnego ostrzegania, ignorowanie słabych, ale realnych sygnałów o zbliżającym się zagrożeniu lub pojawiających się szansach oraz nadinterpretacja sygnałów nieistotnych w celu podparcia już podjętych, często nietrafionych, decyzji.

W potocznym rozumieniu termin „ryzyko” znacznie częściej kojarzy się z niepożądanymi zdarzeniami (zagrożeniami) niż z pozytywnymi uwarunkowaniami (szansami). Ostatnio jednak widać stopniową zmianę podejścia do ryzyka polegającą na rozszerzeniu jego biznesowej definicji o możliwości zaistnienia pożądanego zdarzenia, tj. szansy rynkowej.

Coraz częściej mówi się więc o podwójnym znaczeniu pojęcia ryzyka, jako zjawiska zawierającego w sobie zarówno możliwości, jak i niebezpieczeństwa. W wielu organizacjach poziom ryzyka jest postrzegany i określany przez pryzmat możliwości wywierania wpływu na wydarzenia w danej dziedzinie. Ocenę ryzyka dodatkowo komplikuje fakt, iż to samo zdarzenie może być odbierane przez dwie różne osoby jako szansa lub zagrożenie. Osoby przedsiębiorcze z optymizmem podejmują wyzwania, które ludzie o nastawieniu asekuracyjnym oceniają jako zbyt ryzykowne. Również w korporacjach prawdopodobieństwo szans bądź zagrożeń związanych z działaniami konkurencji oceniane jest inaczej przez każdego menedżera. Często decyduje o tym intuicja, osobista percepcja silnych i słabych stron konkurenta oraz ich konfrontacja z sytuacją przedsiębiorstwa, a nie konkretna, wyrażona liczbowo, wartość statystyczna.

O tym indywidualnym podejściu do szans i zagrożeń należy pamiętać, konstruując plany postępowania z ryzykiem. Wszystkie działania i mechanizmy nadzoru zmierzające do ograniczenia ryzyka, w tym również łagodzące skutki zagrożeń, można nazwać działaniami proaktywnymi, ponieważ są podejmowane z wyprzedzeniem, na wypadek wystąpienia zdarzenia.

W zależności od sytuacji, organizacje podejmują ruchy jednorazowe oraz działania o charakterze bardziej trwałych zabezpieczeń lub środków nadzoru. W odniesieniu do niektórych rodzajów ryzyka konieczne jest zastosowanie kombinacji różnych działań lub mechanizmów nadzoru. Tylko wtedy będzie możliwe obniżenie ryzyka do poziomu akceptowalnego. Zasada ta ma zastosowanie w szczególności w przypadku zagrożeń, których najpoważniejsze skutki mogą spowodować nadzwyczajne straty.

Definicja ryzyka oparta na zagrożeniach i szansach oraz słabych i silnych stronach organizacji powinna obejmować również kwestię wiarygodności i zaufania. Po pierwsze, dlatego że zbyt duże zaufanie i związane z tym niedostateczne środki kontroli lub nieregularne ich stosowanie mogą sugerować brak zaangażowania lub profesjonalizmu, a tym samym obniżać wiarygodność organizacji. Po drugie, ponieważ nadmierna nieufność może prowadzić do zwiększenia nakładów na środki kontrolne, co często pociąga za sobą spadek lojalności pracowników, a nawet próby działania na szkodę organizacji, takie jak wyciek informacji czy defraudacja. Ponadto dzięki zaufaniu (np. do przełożonego, kierownictwa, systemu) możemy uniknąć ponoszenia nieuzasadnionych kosztów (niewspółmiernych do poziomu ryzyka) wynikających z nadmiernej kontroli.

Według reguły Pareto, w każdej organizacji ok. 20% kluczowych czynników ryzyka odpowiada za 80% potencjalnych strat lub niewykorzystanie 80% możliwych szans.

Dlatego menedżerowie powinni skupić się na tych 20% scenariuszy, zarówno pozytywnych, polegających na wykorzystaniu możliwości, jak i negatywnych, związanych z materializacją zagrożeń. Skuteczne zarządzanie ryzykiem umożliwia wyeliminowanie lub ograniczenie największych i najczęściej występujących zagrożeń, a także właściwe reagowanie na zachodzące zmiany i wykorzystanie dostępnych możliwości. Wielu menedżerów sądzi, że im mniejsza zmienność i niepewność, tym większa stabilność planowania i realizacji przyjętych celów. Chcąc ograniczyć niestabilność, korzystają z nowoczesnych technik zarządzania procesowego pomagających eliminować zmienność wewnętrzną i jej negatywny wpływ na efektywność procesów. Menedżerowie ci zapominają często, że niestabilność otoczenia może być też źródłem szans. Umiejętnie wykorzystana prowadzi do ponadprzeciętnych wyników w stosunku do konkurencji, która nie potrafi zarządzać ryzykiem równie skutecznie. Fundamentalnym celem strategicznego zarządzania ryzykiem powinno być tworzenie takich warunków, w których firma osiąga ponadprzeciętne zyski przy coraz niższym poziomie niepewności.

Umiejętne zarządzanie ryzykiem polega zatem na wzmacnianiu odporności organizacji na pojawiające się zagrożenia, a jednocześnie podejmowaniu działań wyprzedzających umożliwiających optymalne wykorzystywanie dostępnych zasobów oraz pojawiających się możliwości rozwoju.

Proces zarządzania ryzykiem powinien wykorzystywać funkcjonujące w organizacji struktury i procesy oraz kanały komunikacji. Wybór konkretnej strategii i ryzyka jej towarzyszącego zależy od świadomości zarządzających, wizji firmy oraz jej apetytu na ryzyko, tj. akceptowalnego poziomu zagrożenia przyjętego przez menedżerów dla danej strategii lub projektu. Możemy założyć, że dla danej specyficznej strategii i przyjętych celów rozwoju istnieje optymalny profil ryzyka (szans i zagrożeń) zapewniający organizacji osiągnięcie najlepszych efektów w danym czasie. Warto jednak pamiętać, że ścieżka ta jest „wąska”, co oznacza, że miejsca na pomyłkę jest niewiele. Dlatego też niezbędne jest budowanie kultury organizacyjnej wspierającej otwartą komunikację o ryzyku oraz skuteczny, odpowiednio dynamiczny i elastyczny styl zarządzania.

Biorąc pod uwagę dualizm ryzyka (zagrożenia i szanse oraz ich poziom), a także nasilenie się w ostatnich latach znaczenia biznesowego i siły oddziaływania obszarów zrównoważonego rozwoju, możemy wyróżnić cztery typy strategii: odważną, optymalną, zachowawczą, niezrównoważoną.

Strategia odważna: duże szanse, duże zagrożenia

Charakteryzująca się wysokim poziomem zagrożeń, ale również wysokim poziomem szans. Wśród przykładów wymienić można:

  • nieprzestrzeganie zasad etycznych w procesach zakupowych lub sprzedażowych – umożliwia pozyskiwanie intratnych kontraktów, ograniczenie kosztów zakupu, lub uzyskanie przewagi nad konkurencją w zakresie pozyskania surowców o ograniczonej podaży, może jednak skutkować wysokimi karami i utratą reputacji,
  • unikanie kosztów kompensacji przyrodniczej lub ograniczanie kosztów środowiskowych – pozwala osiągać ponadprzeciętne zyski, jednak w przypadku wykrycia niekorzystnych zmian w środowisku naraża firmę na kary sądowe i wstrzymanie działalności,
  • unikanie kosztów utrzymania personelu na rynkach silnie reagujących na zmiany popytu i podaży przez stosowanie outsourcingu bądź pracy tymczasowej – może negatywnie odbić się na reputacji firmy w związku z niską jakością świadczonych usług (np. branża technologii informacyjnych i komunikacyjnych lub motoryzacyjna).


Strategia nastawiona na wykorzystywanie szans (optymalna): duże szanse, niewielkie zagrożenia

Strategia optymalna jest nastawiona na wykorzystywanie szans i unikanie zagrożeń. Dobrym przykładem jej zastosowania jest podejście tzw. odpowiedzialnego inwestora, który realizując strategiczne projekty inwestycyjne, szczególnie dużo uwagi poświęca konsultacjom z otoczeniem. Pozwala mu to unikać ryzyka protestów społecznych, warunkuje krótsze terminy prowadzenia projektów i pozytywnie wpływa na czas i wielkość zwrotu z zaangażowanego kapitału.

Dodatkową korzyścią z realizacji tego typu strategii jest poprawa reputacji firmy i możliwość pozyskania kapitału na dalszy rozwój. Wysiłek włożony w prawidłowe prowadzenie konsultacji społecznych w branżach zaangażowanych w inwestycje infrastrukturalne (takich jak np. energetyka, telekomunikacja, czy budownictwo) w zestawieniu z łącznymi wydatkami ponoszonymi na całą inwestycję nie kosztuje wiele, a znacząco ogranicza ryzyko wystąpienia protestów i wstrzymania kluczowych projektów stanowiących o uzyskaniu przewagi konkurencyjnej. Innym przykładem optymalnej strategii jest usprawnianie procesów produkcji polegające na ograniczeniu materiałochłonności i energochłonności. Efektem jest zmniejszenie kosztów produkcji oraz redukcja emisji zanieczyszczeń (w tym odpadów i ścieków). Najczęściej można to osiągnąć niewielkim nakładem i przy minimalnym ryzyku.

Strategia zachowawcza: niewielkie szanse, niewielkie zagrożenia

Przykładem strategii bezpiecznych są strategie niektórych firm działających na rynkach regulowanych, takich jak np. energetyka czy telekomunikacja. Ich celem jest ustalenie stabilnych warunków prowadzenia biznesu, dzięki którym firmy te mogą uzyskiwać stały zwrot z zaangażowanego kapitału, jednak poziom tego zwrotu (EBIT i ROACE ) jest nadzorowany i z góry ustalony (przez regulatora), a także ograniczony oczekiwaniami społecznymi co do niskiej ceny świadczonych usług.

Strategia niezrównoważona: niewielkie szanse, duże zagrożenia Przykładami strategii wyróżniających się dużym ryzykiem wystąpienia zagrożeń przy stosunkowo niskich szansach są:

  • stosowanie pracy tymczasowej w obszarach, w których nie występują duże wahania zatrudnienia (np. w bankach lub handlu wielkopowierzchniowym). Zmienność zatrudnienia nie jest tu znacząca, a jednocześnie firmy narażają się na wiele zagrożeń natury prawnej (np. sprawy sądowe o ukrywanie zatrudnienia, spadek motywacji pracowników, kradzieże i defraudacje, duża rotacja personelu znacząco ograniczająca jakość świadczonych usług),
  • strategia walki cenowej i wynikająca z niej koncentracja na redukcji kosztów w łańcuchu dostaw. Strategia taka, gdy nie jest jednocześnie połączona z optymalizacją procesów i ograniczeniem ich materiałochłonności i energochłonności, powoduje szybkie wyzbycie się marży (niezbędnej dla rozwoju organizacji funkcjonujących w łańcuchu dostaw) i prowadzi do braku środków (zapasów kapitału) na ewentualne pokrycie ryzyka spadku popytu lub innych zdarzeń.

Zgodnie z wytycznymi normy ISO 31000, organizacja, która planuje wdrożenie systemu zarządzania ryzykiem, musi się przygotować na trzy główne etapy tego procesu: przyjęcie zasad zarządzania ryzykiem, włączenie struktury ramowej zarządzania ryzykiem w bieżący model zarządzania organizacją, ustanowienie właściciela (właścicieli) ryzyka oraz wdrożenie procesu zarządzania ryzykiem w organizacji.

Zasady zarządzania ryzykiem

Według normy ISO 310008, prawidłowo wdrożony i realizowany system zarządzania ryzykiem powinien:

  • tworzyć i chronić wartość, a więc wspierać osiąganie celów oraz zwiększać efektywność organizacji,
  • stanowić integralną część wszystkich procesów organizacyjnych, a w szczególności zarządzania, pozostawać w zakresie odpowiedzialności zarządzających,
  • stanowić element podejmowania decyzji, co oznacza, że ryzyko powinno być jednym z kryteriów hierarchizacji celów, projektów i zadań oraz motywować zarządzających do przedstawiania alternatywnych scenariuszy zdarzeń i decyzji,
  • wyraźnie uwzględniać kwestie niepewności w przyjętych celach, scenariuszach oraz ryzyku z nimi związanym,
  • być realizowany w sposób systematyczny, ustrukturyzowany i określony terminowo, ponieważ nie jest to czynność jednorazowa, lecz powtarzalny proces,
  • bazować na najlepszych dostępnych informacjach, w tym danych historycznych, doświadczeniach, informacji zwrotnej od interesariuszy, prognozach, obserwacjach, ocenach eksperckich i rozbieżnych opiniach,
  • dostosować się do specyfiki organizacji, co oznacza, że nie ma jednego skutecznego systemu zarządzania ryzykiem. Poziom szczegółowości gromadzonych informacji o ryzyku powinien być zatem dostosowany do złożoności struktury organizacji, procesów, specyfiki branży, produktu, czy też procesów komunikacji z interesariuszami,
  • brać pod uwagę czynniki ludzkie i kulturowe, pamiętając, iż przejawem kultury zarządzania ryzykiem jest sytuacja, w której pracownicy mogą zgłaszać informacje o zagrożeniach bez obaw o konsekwencje służbowe. Kreowanie kultury akceptacji ryzyka wydaje się najtrudniejszym elementem systemu zarządzania ryzykiem, szczególnie w dużych organizacjach, borykających się z inercją we wdrażaniu przyjętych rozwiązań,
  • być transparentny i dotyczyć wszystkich szczebli decyzyjnych w organizacji, gdyż odpowiednie do zakresu i możliwości czasowych angażowanie interesariuszy oraz decydentów na wszystkich szczeblach organizacji gwarantuje, że zarządzanie ryzykiem jest adekwatne i zawiera aktualne informacje o ekspozycji firmy na ryzyko związane z realizacją celów,
  • być dynamiczny, iteracyjny oraz reagować na zmiany, które mogą powodować przesunięcia w hierarchii ryzyka, np. pojawienie się nowych niebezpieczeństw lub dezaktualizacja części z nich. W zależności od specyfiki danego ryzyka i jego dynamiki, organizacje powinny w odpowiedzi podejmować długookresowe decyzje i działania podnoszące odporność na ryzyko natury strategicznej bądź krótkookresowe i szybkie akcje nakierowane na istotne i dynamiczne ryzyka operacyjne,
  • ułatwiać ciągłe doskonalenie organizacji, ponieważ w zarządzaniu ryzykiem, tak jak w innych metodach zarządzania, organizacje uczą się, a w rezultacie osiągają dojrzałość stosowanych mechanizmów i efektywność procesową, organizacyjną i biznesową (w ramach przywołanego już wcześniej cyklu PDCA).

Struktura ramowa zarządzania ryzykiem

Struktura ramowa wspiera efektywne zarządzanie ryzykiem poprzez odpowiednie zastosowanie działań z tego obszaru na wszystkich szczeblach struktury organizacyjnej w ramach określonego kontekstu przyjętego przez zarządzających przedsiębiorstwem (w naszym przypadku jest to kontekst CSR i zrównoważonego rozwoju). Od niej zależy, czy obowiązujący model kierowania firmą uda się rozszerzyć o zasady zarządzania ryzykiem w sposób zapewniający ich respektowanie na wszystkich szczeblach decyzyjnych. Struktura ramowa pozwala również na odpowiednie raportowanie informacji zarządczych o ryzyku i uwzględnianie ich w podejmowaniu decyzji na każdym szczeblu zarządzania. Struktura ramowa obejmuje także plan komunikacji w zakresie ryzyka z wewnętrznymi i zewnętrznymi interesariuszami organizacji. Elementami struktury ramowej są m.in. zasady, kodeksy, wytyczne, a także kampanie informacyjne i szkolenia umożliwiające płynne wprowadzenie nowej kultury zarządzania ryzykiem w organizacji.

Wszelkie materiały, dokumenty i narzędzia powinny zawierać proste, intuicyjne i zrozumiałe słownictwo z zakresu zarządzania ryzykiem, tak aby pracownicy byli w stanie sami poprawnie raportować ryzyko. Znane są przypadki skomplikowanych narzędzi analitycznych, baz danych czy formularzy opisu zagrożeń, w których gubili się nawet specjaliści na co dzień zajmujący się tym tematem. Osoby wdrażające w firmie system zarządzania ryzykiem powinny więc pamiętać, że w procesie tym będą uczestniczyć pracownicy z różnym doświadczeniem, dlatego też więcej uwagi poświęcić należy takim aspektom, jak motywacja, determinacja, postawy zarządzających i styl przywództwa w firmie. Elementy zarządzania ryzykiem powinny także zostać dostosowane do oczekiwań poszczególnych interesariuszy, tak aby można je było wykorzystać w procesie prowadzonego dialogu. Dzięki zaangażowaniu interesariuszy w zarządzanie ryzykiem można uzyskać informację na temat ich kryteriów oceny ryzyka czy apetytu na ryzyko (wiedza ta ułatwia dokonanie hierarchizacji czynników ryzyka).

Na etapie podejmowania decyzji o wdrożeniu zarządzania ryzykiem istotne jest podjęcie podstawowych upoważnień i zobowiązań na poziomie kierownictwa firmy, w tym w zakresie: alokacji zasobów do zarządzania ryzykiem, komunikacji korzyści z zarządzania ryzykiem skierowanej do interesariuszy, określenia odpowiedzialności i sposobów rozliczania z podjętych zobowiązań osób na różnych poziomach organizacji, uspójnienia wskaźników efektywności zarządzania ryzykiem z innymi wskaźnikami efektywności w organizacji, ujednolicenia kultury organizacji z polityką zarządzania ryzykiem, uspójnienia celów zarządzania ryzykiem z celami i strategią organizacji, zapewnienia zgodności z przepisami prawa.

Jednym z najistotniejszych działań przy projektowaniu struktury ramowej jest wskazanie właściciela ryzyka odpowiedzialnego za wykonanie określonego działania związanego z danym zagrożeniem. Każde ryzyko powinno mieć tylko jednego właściciela na każdym z istniejących poziomów organizacji (zgodnie z linią raportowania), przy czym najlepiej, aby był nim pracownik dysponujący zasobami oraz uprawnieniami do zapobiegania danemu rodzajowi ryzyka. Dobrą praktyką jest, aby właścicielem ryzyka był menedżer, którego cele biznesowe byłyby najbardziej zagrożone w przypadku zmaterializowania się danego ryzyka. Jednocześnie jego cele motywacyjne powinny być uzależnione od skutecznego zarządzania zagrożeniem. Niektórzy menedżerowie mogą ulec pokusie osiągania efektów w zbyt krótkim czasie, co jednak często prowadzi do rozbudowy procedur niewspółmiernie do możliwych efektów biznesowych.

Proces zarządzania ryzykiem

Trzecim elementem systemu zarządzania jest proces zarządzania ryzykiem, w ramach którego realizowane jest zarządzanie ryzykiem zrównoważonego rozwoju w organizacji.

Na każdym etapie procesu odbywa się komunikacja i konsultacja oraz monitorowanie i nadzór.

Elementy procesu zarządzania ryzykiem

Określenie kontekstu

Określenie celów strategicznego rozwoju i ich uwzględnienie w ocenie ryzyka Kontekst oznacza unikalną sytuację danej organizacji, a w szczególności: otoczenie konkurencyjne oraz ogólne trendy makroekonomiczne, wymagania prawne i dobrowolne zobowiązania branżowe, przyjęte wartości, zasady, misję i wizję firmy warunkujące w znaczącym stopniu jej kulturę organizacyjną, oczekiwania interesariuszy, strategie, w tym strategię CSR i zrównoważonego rozwoju, kluczowe ryzyka, w tym z dziedziny ESG, sposoby realizacji celów strategicznych.

Od właściwego zrozumienia kontekstu zależy w dużej mierze to, czy proces zarządzania ryzykiem w firmie zostanie uznany przez interesariuszy za realną wartość dodaną. Aby tak się stało, należy trafnie zidentyfikować i potwierdzić oczekiwania oraz obawy kluczowych interesariuszy. Dobrym narzędziem do określenia kontekstu jest opisany wcześniej dialog z otoczeniem. Znając oczekiwania kluczowych partnerów oraz mając świadomość ograniczeń rynkowych i organizacyjnych, można wypracować metodykę oceny oraz zarządzania ryzykiem dla danej organizacji.

Określenie kryteriów hierarchizacji ryzyka

Efektem tego etapu powinno być stworzenie formalnej podstawy do oceny istotności zidentyfikowanych scenariuszy ryzyka lub listy zagrożeń. Głównym kryterium uznania danego ryzyka za ważne lub nieistotne powinien być jego wpływ na realizację celów strategicznych firmy. Jeżeli dany czynnik nie stanowi istotnego zagrożenia lub szansy w kontekście osiągnięcia przyjętych celów, powinien uzyskać niższy priorytet od ryzyka, mającego wpływ krytyczny. Kryteria oceny istotności ryzyka wynikają często wprost z wymagań prawnych, np. limitów emisji CO2, których niespełnienie może mieć istotny wpływ na wynik finansowy przedsiębiorstwa. W wielu przypadkach apetyt na ryzyko będzie zerowy, gdy np. sankcje przewidziane przepisami prawa wiążą się z wysokimi karami finansowymi, koniecznością wstrzymania inwestycji lub działalności firmy.

Dlatego też ryzyko prawne i regulacyjne będzie miało najwyższy priorytet i niewielką tolerancję (przepisy prawa albo się spełnia, albo nie). Wysoko w hierarchii powinna się również znaleźć spójność pomiędzy deklarowanymi wartościami określonymi w misji przedsiębiorstwa a podejmowanymi decyzjami. Aby zabezpieczyć ryzyko z tym związane, należy do przyjętych wartości przypisać przykłady niepożądanych zachowań, takich jak np. nadużycia, korupcja, mobbing czy dyskryminacja pracowników. Dzięki temu w przypadku wystąpienia zdarzenia, jego sprawca z dużym prawdopodobieństwem poniesie dotkliwe konsekwencje służbowe. Brak tolerancji dla pewnych rodzajów ryzyka umieszczonych wysoko na liście priorytetów działa jak mechanizm prewencyjny przeciwdziałający niekorzystnym praktykom. Natomiast luki w systemie nadzoru mogą stać się źródłem pokus do ponownego popełnienia nadużycia przez tego samego lub kolejnych pracowników, co z kolei może doprowadzić do wysokich strat finansowych i poważnego uszczerbku na reputacji.

Poziom akceptowalności (dopuszczalności) niektórych rodzajów ryzyka może także wynikać z ograniczonych zasobów finansowych, ludzkich, materialnych i informacyjnych lub kluczowych czynników sukcesu w realizacji założonej strategii. W związku z tym firmy powinny koncentrować się na ryzyku najistotniejszym z punktu widzenia realizacji celów strategicznych, takim, którym w ramach istniejących zasobów można regularnie zarządzać. Oznacza to nadanie niższego priorytetu lub tolerowanie tych czynników ryzyka, którymi nie opłaca się bądź nie można zarządzać, np. brakuje zasobów ludzkich. W takich przypadkach należy rozważyć inne możliwości unikania istotnych niebezpieczeństw, takie jak na przykład transfer ryzyka do ubezpieczyciela, znalezienie partnerów bardziej odpornych na dany rodzaj ryzyka, lub wyjście z danego rynku. Priorytetowe rodzaje ryzyka powinny być zawarte w polityce zarządzania ryzykiem, zaś uszczegółowione kryteria – w metodyce procesu zarządzania ryzykiem.

Określone kryteria hierarchizacji ryzyka powinny podlegać systematycznym przeglądom z udziałem interesariuszy. Również proces monitorowania zmian otoczenia zewnętrznego i wewnętrznego powinien uwzględniać komunikację z najważniejszymi interesariuszami. Element przeglądu kryteriów hierarchizacji ryzyka stanowi także lista incydentów.

Chcąc ustalić kryteria hierarchizacji ryzyka, należy uwzględnić następujące czynniki: charakter i rodzaj szans i zagrożeń, wynikających z nich konsekwencji oraz możliwości i sposoby pomiaru, sposób określenia prawdopodobieństwa wystąpienia zagrożenia (uwzględniając specyficzną odporność i podatność organizacji na dany rodzaj ryzyka), okres, w jakim ryzyko może się zmaterializować, opinie, obawy i oczekiwania interesariuszy, określenie granicy, do której dane ryzyko zostanie uznane za akceptowalne lub tolerowalne, określenie powiązań pomiędzy ryzykami z różnych obszarów poprzez umieszczenie ich w określonym miejscu przyjętego modelu dekompozycji celów strategicznych, rodzaje ryzyka z różnych części organizacji, które muszą być zarządzane w sposób zintegrowany, tak aby osiągnąć pełen efekt synergii pomiędzy strategiami realizacji celów i mechanizmami kontrolowania i unikania zagrożeń. Istotnym elementem przed uruchomieniem procesu zarządzania ryzykiem jest wyznaczenie właścicieli ryzyka, tj. osób, które odpowiadają za podejmowanie decyzji związanych z danym źródłem zagrożenia. Decydują one m.in. o tym, czy ryzyko będzie akceptowane, czy nie (w tym przypadku powinny opracować plany postępowania z ryzykiem). Role właścicieli ryzyka powinny być określone w polityce zarządzania ryzykiem. Kolejnym istotnym krokiem na tym etapie jest określenie apetytu na ryzyko, stanowiącego swego rodzaju wartość graniczną, względem której podejmowane będą decyzje dotyczące sposobów postępowania z ryzykiem oraz ustanawiane będą mechanizmy monitorowania i raportowania ryzyka. Wskaźniki ryzyka w powiązaniu z apetytem stanowić będą system wczesnego ostrzegania o zagrożeniach istotnych dla realizacji celów strategicznych.

Model dekompozycji celów i powiązań pomiędzy ryzykami w organizacji

Istotną trudnością w zarządzaniu ryzykiem jest powiązanie zidentyfikowanych scenariuszy wydarzeń (pozytywnych i negatywnych) w jedną całość oraz ich wyrażenie za pomocą łącznej ekspozycji na ryzyko. Chcąc to osiągnąć, należy najpierw ustalić z interesariuszami (w ramach prowadzonego dialogu), które cele, procesy lub projekty powinny zostać objęte mechanizmami zarządzania ryzykiem. Dotyczy to m.in. wymienionych poniżej obszarów: realizacja strategii, w tym powodzenie projektów kluczowych dla osiągnięcia celów strategicznych, rynek oraz relacje z interesariuszami, zysk i koszty, możliwość pozyskania kapitału (szeroko rozumianego, obejmującego również kapitał społeczny organizacji), nowe procesy i produkty.

Identyfikacja ryzyka

Celem identyfikacji ryzyka jest opracowanie listy obejmującej 20% kluczowych czynników wpływających pozytywnie bądź negatywnie na realizację 80% celów strategii zrównoważonego rozwoju. Proces ten powinno się przeprowadzić w ramach dialogu z poszczególnymi grupami istotnych interesariuszy (pracowników, klientów, społeczności lokalnych itp.), z wykorzystaniem moderowanych warsztatów, burzy mózgów, oceny ekspertów (metody delfijskiej), list kontrolnych, wywiadów itp. Wykorzystywane narzędzia, kanały komunikacji i techniki pozyskiwania informacji o ryzyku muszą być dostosowane do specyfiki organizacji. Na etapie identyfikacji ryzyka istotne jest, aby nie skupiać się wyłącznie na negatywnej stronie ryzyka (potencjalnych zagrożeniach), lecz również na jego pozytywnym aspekcie (możliwości wykorzystania potencjalnych szans). Menedżerowie powinni starać się zidentyfikować wszystkie możliwe kluczowe scenariusze, ponieważ na kolejnym etapie prac, w trakcie pogłębionej analizy, informacje te mogą zostać utracone. Rozpoznanie ryzyka powinno uwzględniać również te czynniki, na które organizacja nie ma wpływu (nie są pod jej kontrolą).

Rezultatem identyfikacji ryzyka jest rejestr ryzyka lub scenariusze ryzyka i powiązań (potencjalnych sprzężeń oraz interakcji) pomiędzy nimi w różnych częściach organizacji. Na tym etapie nie jest jeszcze niezbędne oszacowanie prawdopodobieństwa i skutków. Zostaną one określone po szczegółowej analizie ryzyka.

W fazie identyfikacji ryzyka szczególnie ważny jest zrozumiały i jednoznaczny opis ryzyka, umożliwiający ustalenie działań ograniczających wskazane ryzyko na późniejszych etapach.

W opisie ryzyka należy precyzyjnie wskazać najbardziej prawdopodobne, bezpośrednie przyczyny oraz ewentualne głębsze powody opisanej sytuacji. To właśnie w nich często znajduje się klucz do zdefiniowania skutecznych działań obniżających poziom ryzyka, mechanizmów nadzoru oraz wskaźników ryzyka. W opisie można także spróbować skonkretyzować bezpośrednie (najbardziej prawdopodobne) efekty zagrożeń – może się to okazać przydatne przy szacowaniu ich skutków. Opisując ryzyko, należy unikać krótkich zdań lub niewiele mówiących haseł (np. ryzyko kredytowe, prawne, technologiczne), jak również sformułowań powodujących szum informacyjny. W przypadku opisów zbyt ogólnych lub wielowątkowych, osobom podejmującym decyzje dotyczące danego ryzyka, trudno jest jednoznacznie zrozumieć występujące między nimi zależności. Może to prowadzić do nieporozumień, a w konsekwencji – do błędnych decyzji, wniosków i nieodpowiedniej alokacji środków na zarządzanie ryzykiem. Na przykład, jeśli zarządzanie ryzykiem związanym z realizacją projektu odbywa się w kontekście takich celów, jak koszty, czas i jakość, to przytoczone poniżej sformułowania są zbyt ogólne: w projekcie może dojść do przekroczenia zaplanowanego poziomu kosztów, projekt może ulec opóźnieniu, dostawy na potrzeby projektu nie spełniają standardów jakości.

Analiza ryzyka

Celem analizy ryzyka jest określenie prawdopodobieństwa i wpływu (konsekwencji) zidentyfikowanego ryzyka na cele strategiczne. Wynikiem tego etapu powinien być rejestr ryzyka zaktualizowany o wartość prawdopodobieństwa oraz, wymierne konsekwencje finansowe i pozafinansowe. Należy pamiętać, że jeden rodzaj ryzyka może wpływać na kilka celów organizacji, zarówno finansowych, jak i pozafinansowych, takich jak kwestie środowiskowe oraz społeczne, w tym pracownicze. W analizie ryzyka należy również uwzględniać czynności kontrolne i ich skuteczność, gdyż mogą eliminować podatność na wiele zagrożeń lub słabości organizacyjne.

Analiza ryzyka powinna obejmować -badanie inicjujące zdarzenia lub okoliczności (ang. trigger – wyzwalacz), określenie przyczyn pierwotnych, kolejność i kombinację rozpatrywanych zdarzeń, możliwe scenariusze ryzyka, wszystkie okoliczności łagodzące charakter i zmniejszające częstość możliwych szkodliwych konsekwencji identyfikowanych zagrożeń.

Na etapie identyfikacji ryzyka możemy spotkać się z powstaniem bardzo dużej liczby scenariuszy wydarzeń, a poddanie każdego z nich szczegółowym analizom częstości i konsekwencji nie zawsze jest uzasadnione. W takich sytuacjach dobrym sposobem jest opracowanie jakościowego rankingu scenariuszy wypadków i umieszczenie go w macierzy ryzyka.

Zastosowanie tego narzędzia pozwala na odrzucenie w dalszych rozważaniach scenariuszy, dla których przewidziano niskie lub pomijalne ryzyko, pod warunkiem jednak, że łącznie nie zwiększają one ryzyka do istotnych poziomów. Nie wolno jednak pominąć tzw. słabych sygnałów wczesnego ostrzegania. Warto powiązać je z występującymi już incydentami czy sukcesami w firmie. W praktyce wykorzystuje się wiele macierzy ryzyka. Wybór najbardziej odpowiedniej do danej analizy zależy od przyjętych celów strategicznych, kryteriów oraz specyfiki ryzyka. Wybierając macierz, menedżerowie powinni rozważyć, czy wymiar 3x3 (3 wiersze na 3 kolumny) będzie wystarczający. Często bowiem największa grupa czynników ryzyka pojawia się w obszarze średnich zagrożeń, co powoduje trudności w hierarchizacji. Zgodnie z zasadą Pareto, źródeł ryzyka krytycznego nie może być za dużo, ponieważ w praktyce oznaczałoby to zagrożenie równowagi funkcjonalnej systemów i brak możliwości sterowania procesem. Chcąc uniknąć takiej sytuacji, można zastosować macierz 5x5, 5x7 lub 7x7. Większy obszar macierzy pozwoli zogniskować uwagę kierownictwa i środki przedsiębiorstwa na ograniczenie najważniejszych zagrożeń i wykorzystanie najważniejszych szans.

Ewaluacja ryzyka

Celem ewaluacji jest wsparcie procesu podejmowania decyzji (poprzez przypisanie do ryzyka rekomendowanych działań mających na celu obniżenie prawdopodobieństwa jego wystąpienia lub zniwelowanie skutków) oraz hierarchizacji ich wdrożenia dokonywanej na etapie „postępowanie z ryzykiem”. Rezultatem etapu szacowania jest rejestr ryzyka z przypisanymi rekomendacjami, określonym rodzajem działań (reakcji na ryzyko), priorytetem realizacji, informacją, które elementy przekroczyły poziom akceptowalny, oraz łączny wpływ (efekt finansowy i pozafinansowy wszystkich zagrożeń z rejestru) na całą firmę.

Ewaluacja ryzyka obejmuje porównanie poziomu ryzyka oszacowanego na etapie „analizy ryzyka” z kryteriami ryzyka uzgodnionymi na etapie „określania kontekstu”.

Zdarza się, że wnioskiem z ewaluacji ryzyka jest konieczność podjęcia dalszej pogłębionej analizy lub zasadność utrzymania dotychczas stosowanych środków kontroli, zabezpieczeń i sposobów monitorowania ich skuteczności. Na tym etapie powinna nastąpić agregacja i kompozycja ryzyka, czasami zwana również konsolidacją, która polega na porównaniu oceny łącznej zidentyfikowanych ryzyk w danym obszarze z ustalonym apetytem na ryzyko związanym np. z niezrealizowaniem zakładanych celów finansowych. Należy pamiętać, iż apetyt na ryzyko może dotyczyć również aspektów pozafinansowych. Celem etapu „postępowanie z ryzykiem” jest opracowanie szczegółowych rekomendacji oraz wybór jednej optymalnej lub kilku uzupełniających się opcji postępowania. Prowadzić to powinno do minimalizacji ryzyka, tj. redukcji prawdopodobieństwa lub ograniczenia negatywnych konsekwencji w przypadku zagrożeń oraz zwiększenia prawdopodobieństwa i maksymalizacji pozytywnych konsekwencji w przypadku szans. Wybrane opcje postępowania z ryzykiem (zwane również reakcjami na ryzyko lub planami minimalizacji ryzyka) mogą być opisane w rejestrze ryzyka, a szczegółowe opracowania mogą być traktowane jako załączniki. Na tym etapie właściciel ryzyka podejmuje decyzję dotyczącą postępowania z ryzykiem. Reakcja może polegać na akceptacji ryzyka (nie podejmujemy działań, obserwujemy, czy poziom ryzyka utrzymuje się czy nie), lub odrzuceniu ryzyka i wdrożeniu działań zaradczych (w odpowiedzi na ryzyko).

Ważne jest, aby decyzja w sprawie ryzyka była podjęta z zachowaniem formalności oraz aby była odpowiednio udokumentowana. W wielu organizacjach odpowiedzialność za podejmowanie decyzji w sprawie ryzyka uzależniona jest od poziomu zagrożenia, np. ryzyka krytyczne wymagają często decyzji komitetu ds. ryzyka, zarządu lub nawet rady nadzorczej. W takich przypadkach sposoby monitorowania i kontroli ryzyka określone są w procesach audytu, kontroli wewnętrznej i raportowania. Na tym etapie następuje również wdrożenie zaakceptowanych planów postępowania z ryzykiem. Równocześnie wchodzą w życie nowe środki kontroli, czynności kontrolne, zabezpieczenia lub modyfikacji ulegają aktualnie istniejące. Wszelkie zmiany w zabezpieczeniach, czynnościach kontrolnych muszą zostać odnotowane przez system nadzoru i ładu korporacyjnego.

Postępowanie z ryzykiem jest procesem cyklicznym, który powinien uwzględniać: ocenę danego sposobu postępowania z ryzykiem oraz stwierdzenie, czy poziom ryzyka po wdrożeniu środków kontroli jest na poziomie akceptowalnym, opracowanie nowego, skuteczniejszego planu postępowania z ryzykiem, gdy poziom ryzyka po wdrożeniu środków kontroli lub zabezpieczeń jest na poziomie nieakceptowalnym, ocenę efektywności wdrożonych środków kontroli i skuteczności zabezpieczeń. Po przeprowadzeniu analizy ryzyka organizacja dysponuje zestawem zagrożeń o różnym znaczeniu dla realizacji jej celów. Dążenie do zmniejszenia wszystkich rodzajów ryzyka nie byłoby ani efektywne kosztowo, ani praktyczne. Chcąc skutecznie zarządzać ryzykiem, musimy ustalić priorytety – zgodnie z przedstawioną wcześniej zasadą Pareto.

Monitorowanie i raportowanie ryzyka

Monitorowanie i przeglądy powinny być elementem planowania w procesie zarządzania ryzykiem zrównoważonego rozwoju. Polegają one na regularnych kontrolach lub nadzorze oraz działaniach podejmowanych ad hoc, gdy sytuacja tego wymaga. Ważne jest jednoznaczne zdefiniowanie odpowiedzialności za te zadania.

Należy także doprecyzować i zakomunikować procedury i struktury odpowiedzialne za monitorowanie i raportowanie procesu zarządzania ryzykiem w organizacji. Istotne jest również powiązanie kluczowych wskaźników ryzyka (ang. key risk indicators – KRI) z istniejącymi w organizacji kluczowymi wskaźnikami efektywności (ang. key performance indicators – KPI) oraz wskaźnikami realizacji celów.

Monitorowanie i przeglądy powinny wspierać realizację następujących działań - ocena efektywności środków kontroli, czynności kontrolnych, zabezpieczeń zarówno w zakresie ich projektowania, jak i operacyjnego działania, uzyskiwanie informacji w celu optymalizacji zarządzania ryzykiem, dokonywanie przeglądów i analiza zdobytych doświadczeń z zaistniałych incydentów, wykrywanie zmian w otoczeniu zewnętrznym i wewnętrznym, które mogą wpływać na apetyt na ryzyko, kryteria hierarchizacji ryzyka czy ryzyka per se, wykrywanie sygnałów wczesnego ostrzegania oraz wykrywanie nadarzających się szans.

Mierniki związane z monitorowaniem i przeglądami ryzyka powinny stać się integralnym elementem kontroli pozostałych wskaźników zarządczych, a informacja o ryzyku powinna stać się częścią ogólnej informacji zarządczej.

Ciągłe doskonalenie systemu zarządzania ryzykiem

Zarządzanie ryzykiem powinno, z jednej strony, gwarantować realizację założonych celów, a z drugiej – pomagać minimalizować rozbieżności oczekiwań poszczególnych grup interesariuszy. Jego rolą jest zapewnianie stabilnego wzrostu wyników i stałe podnoszenie efektywności procesów strategicznych i operacyjnych.

Osoby odpowiedzialne za zarządzanie ryzykiem zobowiązane są zatem: jak najszybciej trafnie rozpoznać wszelkie sytuacje będące źródłem zagrożeń, przygotować organizację na różne scenariusze rozwoju sytuacji, stworzyć warunki do podejmowania optymalnych decyzji w sytuacji zmienności i niepewności.

Jednocześnie wymagania ładu korporacyjnego nakazują, aby zarządzający systematycznie oceniali, na ile efektywne są ustanowione przez nich mechanizmy zarządzania ryzykiem. Szczegółowe pytania w tym obszarze stawiają zazwyczaj przedstawiciele audytu wewnętrznego, członkowie rady nadzorczej i zarząd. Chcąc na nie odpowiedzieć, należy przede wszystkim ustalić, jakie oczekiwania wobec systemu zarządzania ryzykiem miał zarząd organizacji, podejmując decyzję o jego wdrożeniu. Wśród najczęściej występujących oczekiwań zarządów firm w stosunku do systemów zarządzania ryzykiem wymienić można następujące:

powinien pozwalać na budowanie różnych scenariuszy strategicznych oraz na ocenę wykonalności celów strategicznych,

powinien umożliwiać ustalanie i hierarchizowanie projektów strategicznych z uwzględnieniem informacji o ryzyku,

powinien wspierać codzienne procesy operacyjne, a przez to umożliwiać podejmowanie lepszych decyzji i zwiększanie efektywności kosztowej,

powinien zapewniać zgodność z wymaganiami, w tym prawnymi,

powinien prowadzić do centralizacji wiedzy o ryzyku (szczególnie w dużych organizacjach), aby decydenci świadomie delegowali uprawnienia i odpowiedzialności oraz efektywniej alokowali środki na działania rozwojowe i kontrolne,

powinien tworzyć warunki, w których pojawiające się szanse rynkowe będą sprawnie wykorzystywane, ale bez narażania organizacji na nieakceptowane ryzyko polegające na niezrealizowaniu celów i zobowiązań wobec akcjonariuszy oraz partnerów społeczno-gospodarczych.

Do oceny efektywności zarządzania ryzykiem można podejść metodologicznie, jak do oceny procesu, analizując poziom skuteczności jego poszczególnych części składowych takich jak reguły (polityki, zasady i metodologie, adekwatność przyjętych metod), wdrożenia (odpowiedzialność, kompetencje, systematyczność, zakres i poziom wdrożenia, kultura organizacyjna), efektywność (dowody skutecznego wdrożenia dokumentacji i procesów, analiza efektywności poszczególnych elementów systemu zarządzania ryzykiem i skuteczne decyzje dotyczące zmiany lub doskonalenia stosowanych mechanizmów).

Wdrożenie skutecznych mechanizmów zarządzania ryzykiem jest procesem wieloetapowym i długotrwałym. Mimo to, zgodnie z zasadami ładu korporacyjnego, nie powinniśmy zwlekać z weryfikacją skuteczności podejmowanych działań zarządczych. Chcąc ocenić efektywność przyjętych mechanizmów zarządzania, należy odpowiedzieć sobie na kilka pytań dotyczących wdrożonego systemu, w szczególności, czy jest on: proporcjonalny, zharmonizowany, całościowy, dynamiczny, zakorzeniony.

Skuteczny system zarządzania ryzykiem powinien również być na tyle dynamiczny i elastyczny, by umożliwić organizacji unikanie zagrożeń i wykorzystywanie szans na poziomie operacyjnym.

Kolejnym istotnym miernikiem skuteczności i dojrzałości zarządzania ryzykiem jest zaplanowanie kosztów odpowiedzi na ryzyko. Przypisanie środków koniecznych na podjęcie reakcji na zagrożenia świadczy bowiem o tym, że zarządzanie ryzykiem nie jest tylko źródłem wzrostu biurokracji i że jest traktowane poważnie. Chcąc sprawdzić, skuteczność systemu zarządzania ryzykiem w tym zakresie, wystarczy przeanalizować liczbę zatwierdzonych przez zarząd projektów mających na celu minimalizację ryzyka, dysponujących własnym budżetem lub tych finansowanych z istniejących funduszy.

Już samo wyodrębnienie puli środków przeznaczonych na projekty, programy i portfele zmniejszające ryzyko można uznać za duży sukces. Z tych pieniędzy powinny być finansowane inicjatywy o znaczeniu strategicznym dla całej firmy, wykraczające poza daną jednostkę biznesową (chyba że ryzyko w danej jednostce wpływa na pozostałe). Dotyczy to przede wszystkim projektów mających na celu minimalizację zidentyfikowanego ryzyka nieosiągnięcia celów organizacji, niepojawienia się lub niewykorzystania szans bądź wystąpienia zagrożeń.

O skuteczności systemu zarządzania ryzykiem świadczy również to, czy przeznaczone na walkę z zagrożeniami środki są proporcjonalne do ryzyka i do budżetu organizacji.

Jeżeli wydatki na projekty minimalizujące zagrożenia są zbyt duże w relacji do całości funduszy inwestycyjnych lub operacyjnych firmy, to należałoby się zastanowić, czy nie stanowią one w rzeczywistości dodatkowego budżetu na poprawę jakości zarządzania firmą, wymaganiami, rozwojem systemów itp. Duża pula projektów tego typu może oznaczać, że firma stara się ulepszyć nieudolne lub nieefektywne działania (taka sytuacja może być więc sygnałem do restrukturyzacji firmy). Przedmiotem troski zarządu powinno być doskonalenie efektywności zarządzania na podstawie zidentyfikowanych źródeł szans i zagrożeń w kontekście realizacji postawionych celów. Oznacza to zatwierdzenie nie tylko projektów minimalizujących ryzyko, ale również akceptację modyfikacji poziomu mierników do realizacji w określonym czasie.

Zbyt duża pula środków przeznaczonych na projekty maksymalizujące ryzyko pozytywne (tj. możliwości wystąpienia szans) lub minimalizujące ryzyko ich przeoczenia może z kolei oznaczać, że firma ma zaburzone i nieefektywne procesy operacyjne (np. z powodu zbyt dużej liczby zmian), co generuje duże ryzyko operacyjne i sprawia, że działania na tym poziomie w niedostateczny sposób wspierają osiąganie ustalonych celów strategicznych. Analogicznie, jeżeli uczeń słabiej radzi sobie z jednego przedmiotu, może się okazać, że skutecznym środkiem zaradczym będą korepetycje, jeśli natomiast otrzymuje niskie oceny z większości przedmiotów, to przyczyną często nie jest brak zdolności, lecz brak motywacji do nauki, problemy osobiste itp. Rozwiązaniem w tym przypadku nie powinny być korepetycje ze wszystkich przedmiotów, lecz zmiana nastawienia ucznia. Podobnie dzieje się w firmie. Podsumowując, nawet formalna, potwierdzona przez zarząd, identyfikacja ryzyka i deklaracja o nieakceptowaniu określonego poziomu zagrożenia to za mało, aby uznać, że zarządzanie ryzykiem realnie działa i przynosi pożądane efekty. Istotne jest, aby za deklaracjami szły zatwierdzone i konsekwentnie egzekwowane plany działań uwzględniające (w uzasadnionych przypadkach) określony budżet.

O skuteczności zarządzania ryzykiem świadczy z jednej strony spełnienie oczekiwań interesariuszy, z drugiej zaś umiejętność dostosowywania metodyki i modeli scenariuszy ryzyka do zaistniałej rzeczywistości biznesowej konkretnej firmy. Umiejętność ta pozwala zwiększać przewidywalność pozytywnych i negatywnych skutków decyzji biznesowych kierownictwa organizacji i konkurentów firmy.

Chcąc się przekonać, czy wdrożony system zarządzania ryzykiem jest skuteczny, organizacje powinny symulować niecodzienne sytuacje, prowokować szanse i zagrożenia tak, aby móc przetestować własną gotowość na różne nieprzewidziane wydarzenia. Sytuacje takie jak, na przykład, kontrolowane nadużycie, włamanie czy test odtworzenia kopii bezpieczeństwa systemu informatycznego lub przeprowadzenie próbnej ewakuacji mogą obnażyć słabości i luki w procedurach lub procesach, a także pomóc zidentyfikować dodatkowe ryzyka.

Analogicznie, aby sprawdzić własną skuteczność w zarządzaniu ryzykiem w obszarze szans, firmy mogą zwiększyć liczbę przeprowadzanych badań rynkowych, wprowadzać kolejne innowacje, wykonywać prototypy, przeprowadzać pilotażowe wdrożenia, promocje pomysłów itp. Takie działania mogą wzmacniać pozycję organizacji, czynić ją bardziej odporną, a jednocześnie lepiej przygotowaną do budowania przewagi konkurencyjnej. Przeprowadzanymi tego rodzaju doświadczeniami pokazującymi, jak firma w praktyce radzi sobie z zagrożeniami (i szansami) pomijanymi w dotychczasowych analizach ryzyka, można na bieżąco weryfikować dojrzałość zarządzania ryzykiem. Im więcej organizacja przeprowadzi symulacji niespodziewanych zdarzeń, tym ma większe szanse, że pracownicy i kadra zarządzająca poradzą sobie w prawdziwej sytuacji kryzysowej. O dojrzałości zarządzania ryzykiem świadczy także przyjęty styl przywództwa (ang. leadership) oraz poziom kultury organizacyjnej – do jakiego stopnia wspiera ona swobodną wymianę informacji o ryzyku, niezależnie od tego, na ile ta wiedza jest przyjemna dla zarządzających lub łatwa do wykorzystania w operacyjnym zarządzaniu organizacją.

Ocena poziomu panowania nad ryzykiem

Oprócz analizy skuteczności i dojrzałości mechanizmów systemu zarządzania ryzykiem, menedżerowie często chcą wiedzieć, jaka jest efektywność zarządzania konkretnym, zidentyfikowanym już ryzykiem (np. w danym procesie lub projekcie). Odpowiedzi na to pytanie dostarczy dobrze przygotowany i przeprowadzony audyt wewnętrzny lub niezależne badanie obejmujące poniższe zagadnienia.

Czy organizacja osiąga cele zarządzania ryzykiem:

Czy jej działania są skuteczne i efektywne?

Czy w firmie przeprowadzana jest analiza skuteczności i efektywności podjętych działań?

Czy w przypadku przekroczenia limitu ryzyka podejmowane są działania zapobiegawcze?

Czy ustalono działania zaradcze (plany działań / reakcji na ryzyko) w przypadku przekroczenia limitu ryzyka?

Czy ustalone zostały limity ryzyka wymagające podjęcia działań?

Czy określono sposób mierzenia ryzyka – kto, kiedy, co, jak?

Czy ustalono wpływ ryzyka na realizację kluczowych celów?

Czy ustalono właściciela ryzyka (kaskada celów /kaskada ryzyka)?

Czy znana jest dynamika zmian dla ryzyka i scenariusze skutków ryzyka

Czy ustalono przyczyny ryzyka – czy mamy wpływ na ograniczanie przyczyn, minimalizowanie skutków ryzyka?

Czy ryzyko zostało zidentyfikowane i ocenione?

Czy ryzyko było znane wcześniej?

Skuteczne wdrożenie kultury, struktury, systemu i procesów zarządzania w organizacji

Ogólne ramy czasowe wdrożenia systemu zarządzania ryzykiem:

  • Uzupełnienie istniejącego modelu zarządzania o raportowanie ryzyka (argumenty za i przeciw danej decyzji zaczynają uwzględniać ryzyko) – trwa do pół roku.
  • Uzgodnienia w sprawie komunikowania ryzyka, podejmowania decyzji o akceptacji lub minimalizacji zagrożeń oraz identyfikacja inicjatyw strategicznych – trwa ok. pół roku.
  • Ustalenie polityki, opracowanie metodyki zarządzania ryzykiem, sposobu komunikacji, powołanie ról w całej organizacji, ustalenie odpowiedzialności – trwa ok. roku.
  • Określenie apetytu na ryzyko, wprowadzenie kaskadowania celów oraz wskaźników ryzyka, doprowadzenie do powtarzalności działań w obrębie danych ról – trwa od roku do trzech lat.
  • Wdrożenie procesu zarządzania ryzykiem i regularnego raportowania, zmiana kultury organizacyjnej: przejście z charakteru macierzowego na bezpośrednią odpowiedzialność w procesie zarządzania ryzykiem – trwa od trzech do pięciu lat.

Mimo iż proces wdrożenia systemu zarządzania ryzykiem trwa długo, pewne działania dające konkretne efekty w krótkim czasie można wykonać szybko i przy minimalnych nakładach. Szybkie efekty powinny działać zachęcająco na zaangażowanych w proces i motywować ich do dalszych wysiłków na rzecz wdrożenia.

Poniżej wskazano przykłady takich posunięć.

I. Projekt wdrożenia systemu zarządzania ryzykiem – efekty widoczne w okresie 3-6 miesięcy w postaci poprawy jakości podejmowanych decyzji w przedsiębiorstwie Szybkie działania, jakie można podjąć w tym celu, to:

  • analiza sposobów maksymalizowania szans i minimalizowania zagrożeń realizacji strategii,
  • dodanie do raportowania zarządczego obowiązku podawania informacji o źródłach ryzyka realizacji celów w tym samym terminie, w jakim dana komórka raportuje inne cele biznesowe,
  • wyciąganie wniosków na podstawie opracowywanych raportów (motywacja pracowników wzrośnie, gdy przekonają się, że raporty dotyczące ryzyka są czytane i na ich podstawie są wyciągane wnioski, a zgłaszającym ryzyko nie grożą sankcje),
  • pisemne informowanie menedżerów wyższego szczebla o ryzyku danego obszaru i przekazywanie rekomendacji w zakresie jego unikania (szczególnie w przypadku projektów strategicznych),
  • uzupełnienie zakresu pełnomocnictw kierownictwa firmy o akceptację ryzyka do określonej kwoty.

II. Projekt wdrożenia systemu zarządzania ryzykiem – efekty widoczne w okresie od 6 miesięcy do 1 roku w postaci optymalizacji wydatkowania nakładów inwestycyjnych i budżetu operacyjnego Szybkie działania, jakie można podjąć w tym celu, to:

  • określenie apetytu na ryzyko w zakresie wykorzystania budżetu,
  • określenie zakresu wykorzystania całego budżetu w danym kwartale (z uwzględnieniem czasu time-to-market oraz KPI procesów zakupowych),
  • wytypowanie projektów, które przyczyniają się do realizacji celów strategicznych,
  • określenie udziału majątku wykorzystywanego do realizacji celów strategicznych (majątku alokowanego) do całości majątku.


Źródło: Tomasz Gasiński, Sławomir Pijanowski; Zarządzanie ryzykiem w procesie zrównoważonego rozwoju biznesu. Podręcznik dla Dużych i średnich przedsiębiorstw. Publikacja przygotowana na zlecenie Ministerstwa Gospodarki.

 

Realizacja

Stowarzyszenie Kreatywni dla Szczecina

Mecenasi projektu



Dofinansowanie

Fundusz Inicjatyw Obywatelskich

Miasto Szczecin

Partner

Patroni medialni

SzczecinBiznes.pl