Wdrożenie systemowego zarządzania ryzykiem porządkuje komunikację pomiędzy uczestnikami procesów, czyli przed wdrożeniem wszyscy rozmawiamy o ryzyku, ale nie zawsze o tym wiemy.

PRÓBA DEFINICJI

Definiując efektywne zarządzanie ryzykiem, w pierwszej kolejności chcę się odnieść do każdego z elementów składających się na to pojęcie z osobna. Efektywność można zdefiniować jako działania najbardziej dopasowane do profilu działalności, tworzące wartość oczekiwaną. Innymi słowy, ani za duże, ani za małe, czyli – odpowiednie. Z kolei zarządzanie to kontrolowany – przemyślany, niespontaniczny – sposób realizacji pewnych sekwencji postępowania. By zdefiniować ryzyko, skorzystam z ogólnodostępnych formuł. Pierwsza jest moją ulubioną – to pozytywne lub negatywne odchylenie od oczekiwanych celów – z osobistym naciskiem na negatywne, gdyż pozytywne jednoznacznie kojarzę z szansą. Druga definicja pochodzi z normy ISO 31000: ryzyko to oddziaływanie/ wpływ niepewności na cele. A zatem nie ma zdefiniowanego celu, nie ma niepewności, nie ma więc ryzyka.

PIERWSZE KROKI

Odnosząc się do wcześniej przytoczonych definicji, w pierwszym kroku tworzenia efektywnego systemu zarządzania ryzykiem określamy nasze najważniejsze cele. W środowisku biznesowym wytycza je strategia albo plan roczny. Następnie musimy się zastanowić, z jaką stratą możemy się pogodzić. Tutaj pojawia się pewien dyskomfort, gdyż pogodzenie się ze stratą nie leży w naturze człowieka. Natomiast odnosząc się do efektywności, należy wskazać, że kontrola osiągnięcia 100 proc. celu może okazać się zbyt kosztowna. Zgodnie z zasadą SMART cele powinny być m.in. realne, więc osiągnięcie ich nie sprawi nam kłopotów. Niestety, nie wszystko da się zaplanować i przewidzieć, dlatego trzeba być gotowym na ryzyko. Powinno być ono kontrolowane i sterowane (obniżenie skutków do poziomu akceptowalnego). Celowo nie użyłem terminu „mitygacja”, gdyż często jest on kojarzony z obniżeniem ryzyka do zera, a to może już być nieefektywne.

MIERNIKI SUKCESU

Mając zdefiniowane najważniejsze cele, takie jak utrzymanie odpowiedniego poziomu jakości kluczowego procesu X, pozyskanie nowego portfela klientów czy zwiększenie przewagi konkurencyjnej na rynku, ustalamy mierniki sukcesu, czyli mierzalne wartości, którymi określimy osiągnięcie celu. Tutaj warto nawiązać do zarządzania projektami, gdyż w zarządzaniu ryzykiem i zarządzaniu projektami pojawia się to samo stwierdzenie. W projektach ważnymi elementami są: dobra definicja zakresu, określenie produktu, jaki będzie wytworzony, i korzyść, którą osiągniemy po zrealizowaniu projektu. Projekt jest narzędziem (metodą) wprowadzania zmiany w procesach firmy. Wiąże się zawsze z nakładami, jakie trzeba ponieść, ale również zawsze powinien być kojarzony z korzyścią, którą osiągniemy po jego zakończeniu. Jak stwierdzić, czy projekt się udał? To proste. Bierzemy kartę projektu, na której przed jego uruchomieniem określiliśmy cel, zakres, korzyści wraz z miernikami sukcesu (ważne, żeby podejmować decyzję o uruchomieniu projektu i inwestycji, mając m.in. tak zdefiniowane elementy), i sprawdzamy po zakończeniu projektu faktyczne osiągnięcie tych celów i korzyści względem pierwotnie zdefiniowanych. Trzeba przecież rozliczyć się przed sponsorem ze środków powierzonych na dany cel. Wiele metodologii zarządzania projektami opisuje zarządzanie ryzykiem w projektach jako niezbędne narzędzie kontrolowania odchyleń od zamierzonych celów (np. z perspektywy zakresu, budżetu i czasu). I słusznie, gdyż jest to niezbędne do podejmowania decyzji w trakcie trwania projektu.

Różnica pomiędzy zarządzaniem ryzykiem a zarządzaniem ryzykiem w projektach to inne cele i skala. Cele projektów skoncentrowane są raczej na wartości dodanej wynikającej z „nowego”, tzn. zmian w procesach (projekty jako narzędzie dostarczania zmian), a nie takich celów jak utrzymanie odpowiedniego poziomu wskaźników procesów, np. poziomu bezpieczeństwa czy celów sprzedażowych. W projektach też rzadko definiuje się akceptowalną stratę, raczej panuje nastawienie na pełny sukces i maksymalne wykorzystanie dostępnych narzędzi.

APETYT A TOLERANCJA

W kolejnym kroku definiujemy nominalną akceptowalną stratę, czyli jakie ryzyko chcemy podjąć lub zaakceptować, aby osiągnąć cele – tzw. apetyt na ryzyko i pewne tolerancje (plus/minus). Gdy elementy są zdefiniowane i potwierdzone z właścicielem ryzyka – przeważnie będzie to zarząd lub właściciel firmy – możemy przejść do zarządzania ryzykiem. Oczywiście jest wiele metodyk zarządzania ryzykiem i jego identyfikacji. Skoncentruję się na prostym podziale ryzyka na trzy kategorie: niskie (małe), średnie, wysokie (duże). Identyfikacja i analiza ryzyka powinna się odnieść do każdego pojawiającego się ryzyka, tak żeby móc na podstawie zebranych podstawowych informacji przypisać dane ryzyko do odpowiedniej kategorii, a następnie dopiero, w zależności od jego rangi, podjąć (lub nie) dalsze działania.

Jeśli efektywnie spojrzeć na temat, ryzyko niskie nie jest przedmiotem naszego większego zainteresowania, gdyż podczas identyfikacji i analizy ryzyka, gdy oceniamy je w tej kategorii, nie powinniśmy podejmować dalszych działań, tolerując ewentualne zmaterializowanie się tego ryzyka. Zaangażowanie w sterowanie czy kontrolę nad takim ryzykiem może być kosztowo nieuzasadnione – czytaj: nieefektywne. Podejście do ryzyka wysokiego (dużego) zależy od możliwości panowania nad nim we własnym zakresie. Często efektywniejszym sposobem jest transfer ryzyka, czyli przeniesienie go w całości lub częściowo na inny podmiot. W branży ubezpieczeniowej np. transferem ryzyka (podzieleniem się ryzykiem) jest reasekuracja, a dalszy jego transfer, od reasekuratora, to retrocesja.

Bez reasekuracji duża katastrofa mogłaby wpłynąć na wypłacalność i prowadzenie dalszej działalności ubezpieczyciela. Często od transferu zależy, czy w sytuacji materializowania się ryzyka dane przedsiębiorstwo jest w stanie pozostać w grze, dlatego też nie starajmy się za wszelką cenę przyjmować w pełni ryzyka na siebie. Przedmiotem naszego zainteresowania powinno być głównie ryzyko średnie, które powinniśmy objąć systemem zarządzania ryzykiem, pamiętając, że zarządzamy niepewnością, a tu odpowiednie dopasowanie środków do korzyści jest bardzo istotne.

SYSTEM ZARZĄDZANIA RYZYKIEM

Czym szerzej prowadzona jest działalność danej firmy, tym więcej pozostaje do uporządkowania (uspójnienia) w zakresie ryzyka. Pojawia się potrzeba agregacji informacji o rodzajach ryzyka firmy z kilku perspektyw i do różnych odbiorców tej informacji, budowania standardów analizy ryzyka czy zwiększania świadomości (kultury) ryzyka w danej firmie. Nie oznacza to, że prowadząc działalność i podejmując codzienne decyzje, nie zarządzamy ryzykiem – nie dzieje się to jednak według odpowiednio zdefiniowanych standardów, dających możliwość porównania decyzji ze sobą, a tym samym priorytetyzacji tematów.

Wdrożenie systemowego zarządzania ryzykiem porządkuje komunikację pomiędzy uczestnikami procesów, czyli przed wdrożeniem wszyscy rozmawiamy o ryzyku, ale nie zawsze o tym wiemy. Tutaj kluczowe jest dopasowanie zarządzania ryzykiem do profilu biznesowego i elastyczność w podejściu podczas wdrożenia. Pamiętajmy, że system zarządzania ryzykiem musi być integralnym elementem decyzji w procesach biznesowych, a nie niezależnym bytem w firmie, potrzebującym przekodowania. Kluczowe jest natomiast zdefiniowanie i wprowadzenie w kulturę biznesową podstawowych terminów, takich jak „przyjmujący ryzyko” (ang. risk taker) czy „właściciel ryzyka” (ang. risk owner). Podobnie jest w budowaniu kultury projektowej – tu wprowadza się terminy: „sponsor”, „beneficjent” czy „mapa drogowa”. Transparentny podział odpowiedzialności za zarządzanie ryzykiem w firmie czy odpowiedni podział ryzyka na poszczególne kategorie jest elementem koniecznym funkcjonowania systemu zarządzania ryzykiem. Pamiętajmy, że brak przejrzystego podziału odpowiedzialności w firmie jest ryzykiem operacyjnym.

I w tym miejscu należałoby przejść do podziału na rodzaje ryzyka jako istotnego elementu „personalizowania” zdefiniowanych celów i sposobu zarządzania nimi. Najbardziej uniwersalny przykład podziału ryzyka na kategorie może wyglądać następująco: wspomniane wcześniej ryzyko operacyjne, ryzyko strategiczne (biznesowe), ryzyko produktowe, ryzyko płynności, ryzyko kredytowe (wypłacalności podmiotów, z którymi współpracujemy), ryzyko rynkowe. Oczywiście, w zależności od działalności i rynku, na którym funkcjonujemy, kategorie można podzielić na podkategorie. Wracając do efektywności, trzeba oczywiście dopasować system zarządzania ryzykiem do wartości oczekiwanej. Czasem jest to powołanie samodzielnych menedżerów ryzyka, a kiedy indziej – utrzymanie departamentu zarządzania ryzykiem. W przypadku dużych podmiotów natomiast mamy do czynienia z wdrożeniem przejrzystego systemu zarządzania (ang. System of Governance). Poza wewnętrzną korzyścią dla firmy system zarządzania ryzykiem czy – w zakresie ryzyka operacyjnego – system kontroli wewnętrznej ICS (ang. Internal Control System) daje również wartość dodaną w postaci budowania zaufania do firmy w otoczeniu zewnętrznym (w gronie kontrahentów).

Odpowiednio zaimplementowane systemowe rozwiązania coraz częściej tworzą przewagę konkurencyjną, a co za tym idzie – potencjalnie wpływają na koszt pozyskania kapitału. Analogicznie dla spółek giełdowych coraz istotniejszym elementem jest tzw. ład korporacyjny (ang. Corporate Governance).

EFEKTYWNOŚĆ

Efektywność zarządzania ryzykiem musi być mierzona i oceniana, dlatego też samo systemowe zarządzanie ryzykiem powinno stać się procesem firmy z odpowiednio dopasowanymi pomiarami. Nie oznacza to, że w jego ramach przeprowadza się analizę ryzyka czy podejmuje decyzje z tym związane (to robią menedżerowie ryzyka/przyjmujący ryzyko). Chodzi o to, że powinien zostać zdefiniowany proces monitorowania ryzyka i zaleceń, szkolenia pracowników, raportowania do właściciela ryzyka czy rozwijania samego systemu. Za taki proces odpowiada właściciel procesu, który często jest menedżerem jednostki odpowiedzialnej za zarządzanie ryzykiem czy głównym oficerem ryzyka (ang. Chief Risk Officer).

Jeżeli np. po zakończonej identyfikacji i analizie ryzyka występującego w procesach przez menedżerów w ramach systemu kontroli wewnętrznej (ICS) nie są wprowadzone odpowiednie kontrole (jest ich za dużo lub nie zostały zaprojektowane prawidłowo), mamy do czynienia z nieefektywnym zarządzaniem ryzykiem operacyjnym. Skutkiem może być również wyznaczenie niepotrzebnych lub nieadekwatnych środków zaradczych (ang. interim measures).

Dopiero po takiej analizie procesów zestawienie efektów wszystkich kontroli i ewentualnych zaleceń pozwoli odpowiednio zweryfikować istotność i podjąć dalsze decyzje w zakresie tolerowania ryzyka lub dalszego ograniczania go na poziomie całej spółki. Ogólna ocena procesów z perspektywy ryzyka, w tym procesu zarządzania ryzykiem, powinna być przedstawiana cyklicznie w formie raportu do właściciela ryzyka (zarządu czy właściciela firmy). W przypadku dużych struktur można tworzyć A ciało pośrednie zwane komitetem, które wspiera działalność firmy w zarządzaniu ryzykiem. Dobrą praktyką jest również cykliczne raportowanie sytuacji w zakresie wszystkich kategorii ryzyka na poziomie spółki, tak by móc ocenić całościowo profil ryzyka spółki.

Reasumując, w danym roku może się nic złego w firmie nie wydarzyć, a zatem poświęcenie zbyt dużej uwagi zarządzaniu ryzykiem może wygenerować nieadekwatne koszty z tym związane. A to z kolei generuje nowe ryzyko nieefektywnego zarządzania firmą, co w konsekwencji może skutkować nieosiągnięciem celu kosztowego związanego z marżą czy wynikiem technicznym przedsiębiorstwa. Z drugiej strony może dojść do kumulacji zdarzeń, których nie udało się w pełni ograniczyć, przez co nie osiągniemy 100 proc. celów strategicznych. W takim przypadku jednak odpowiednio dopasowane środki i wdrożone rozwiązania z pewnością przybliżą nas do wcześniej zdefiniowanego apetytu, a tym samym celu efektywnego zarządzania ryzykiem. Osobiście wybieram opcję: zarządzać ryzykiem, ale w odpowiedni sposób, tworząc wartość dodaną.

About the author

POLECANE DLA CIEBIE

TAGI