Zarządzanie ryzykiem

Z nielicznych badań w tej materii wynika, że przedsiębiorcy zarządzają ryzykiem ad hoc, w zależności od indywidualnej odwagi, wiedzy i umiejętności. Niekiedy, w odniesieniu do wybranych obszarów ryzyka (np. ryzyko występujące przy podpisywaniu kontraktów, ryzyko kursowe), korzystają z pomocy specjalistów. Jednak trudno tu dopatrywać się zarządzania zintegrowanego (Enterprice Risk Management), które skutecznie chroniłoby przedsiębiorstwo przed gospodarczymi, społecznymi czy moralnymi konsekwencjami różnorodnych zdarzeń.

Dzięki świadomemu zarządzaniu ryzykiem przedsiębiorstwo jest w stanie sprawniej wykorzystywać nadarzające się okazje i uzyskuje większą odporność na skutki niekorzystnych zdarzeń. Oszacowanie prawdopodobieństwa wystąpienia różnych rodzajów ryzyka sprawia, że można zawczasu przygotować alternatywne plany działania. Wprowadzenie idei ryzyka do świadomości funkcjonowania przedsiębiorstwa - jego pracowników - pozwala zawczasu oswoić ludzi z myślą o możliwych zagrożeniach i przygotować ich do działania, gdy rzeczywiście wystąpią.

Problematyka zarządzania ryzykiem doczekała się już za granicą opracowań teoretycznych, które zostały ujęte w formę modeli czy standardów postępowania.

COSO

Najbardziej obszerny, bo liczący ponad 200 stron, jest amerykański standard zarządzania ryzykiem (Enterprice Risk Management Integrated Framework COSO 2004).

Zarządzanie ryzykiem zgodnie z COSO II składa się z następujących elementów: środowisko wewnętrzne, ustalanie celów, identyfikacja ryzyka, ocena ryzyka, reakcja na ryzyko, kontrola, informacja i komunikacja, monitorowanie. Z niemal identycznych elementów składają się inne modele, w tym model brytyjski. Najważniejsze z metodologicznego punktu widzenia są cztery elementy: identyfikacja ryzyka, ocena ryzyka, reakcja na ryzyko oraz kontrola.

W pierwszej kolejności należy zidentyfikować punkty krytyczne na przestrzeni całej firmy z podziałem na obszary ryzyka. Etap ten polega na zidentyfikowaniu wszelkiego rodzaju możliwych do wystąpienia zdarzeń mających swoje źródło zarówno wewnątrz, jak i na zewnątrz organizacji. Celem jest stworzenie listy punktów krytycznych w firmie. Etap ten może zostać zrealizowany poprzez spotkania z pracownikami, analizę procesów, sprawdzanie listy potencjalnych zdarzeń itp.

Ocena ryzyka to proces przyporządkowania poszczególnym punktom krytycznym skutku oraz prawdopodobieństwa wystąpienia. Wartości te mogą być wyrażone ilościowo lub jakościowo i zostać określone na podstawie wywiadów z pracownikami, porad ekspertów, danych statystycznych, badań rynkowych itp. Ogólny poziom ryzyka wyznaczany jest zgodnie z przyjętą w organizacji metodyką. Przy jego wyliczeniu, oprócz wartości skutku i prawdopodobieństwa, często uwzględnia się również skuteczność istniejących już środków kontroli. Określone poziomy ryzyka pozwalają na uszeregowanie punktów krytycznych i wybór typów zagrożeń o nieakceptowanym poziomie. Kolejnym krokiem jest określenie reakcji na ryzyko dla wyodrębnionych punktów krytycznych o nieakceptowanym poziomie.

Reakcja może polegać na rezygnacji z działalności powodującej powstanie ryzyka, działaniach zmierzających do ograniczenia prawdopodobieństwa lub skutku wystąpienia, czy przeniesieniu ryzyka na podmiot trzeci bądź akceptacji ryzyka.

Działania kontrolne to następny komponent COSO II. Polega on na ustanowieniu czynności mających na celu zapobieganie wystąpieniu nieprawidłowości oraz czynności odpowiadających za wykrywanie zrealizowanych rodzajów ryzyka.

Zagrożenia pod lupą

FERMA

W Europie najczęściej stosuje się brytyjski standard zarządzania ryzykiem (FERMA), który powstał w 2002 r. Jest on wynikiem pracy zespołu, w którego skład weszli przedstawiciele kilku największych brytyjskich organizacji branżowych. Brytyjski standard został przyjęty przez Europejską Federację Stowarzyszeń Zarządzania Ryzykiem, które zrzesza większość krajowych organizacji zajmujących się tym problemem. FERMA stanowi szkielet procesu zarządzania ryzykiem w firmie i obejmuje m.in.: identyfikację, ocenę, kontrolowanie oraz monitorowanie i dokumentowanie działań związanych z ryzykiem, kładąc nacisk na fakt, że przyjęte przez daną organizację/firmę zasady zarządzania ryzykiem powinny określać ogólne podejście do ryzyka, zakres tolerancji na ryzyko, a także metody zarządzania. Standard nie jest jednak zbiorem gotowych rozwiązań dla każdego przedsiębiorstwa. Jest swoistym drogowskazem, który pokazuje kierunek, w jakim powinny iść firmy, które chcą stworzyć własny system.

 

Zgodnie ze standardem FERMA, zarządzanie ryzykiem pozwala realizować cele firmy poprzez:

• zapewnienie ram systemowych, dzięki którym dalsza działalność będzie prowadzona spójnie i w kontrolowany sposób;

• usprawnienie procesu podejmowania decyzji, planowania i określania priorytetów dzięki uzyskaniu kompleksowej wiedzy na temat działalności przedsiębiorstwa, stopnia niepewności oraz szans i zagrożeń;

• przyczynienie się do efektywniejszego wykorzystania (alokacji) kapitału i zasobów, jakimi dysponuje firma;

• ochronę i budowanie majątku i wizerunku przedsiębiorstwa;

• pomoc w rozwijaniu potencjału ludzkiego oraz bazy wiedzy firmy;

• poprawę efektywności działania.

FERMA 2002 podkreśla, że zarządzanie ryzykiem musi być procesem ciągłym i systemowym, a aktywne podejście do niego powinno się stać integralnym elementem kultury organizacyjnej firmy.

Chodzi bowiem o zapewnienie maksymalnych, trwałych korzyści na wszystkich obszarach działalności, co powoduje, że zarządzanie ryzykiem dotyczy pozytywnych i negatywnych aspektów. Zatem risk management obejmuje nie tylko zagrożenia, ale również szanse osiągnięcia sukcesu lub wygranej.

Według modelu, na ocenę ryzyka składają się:

• analiza ryzyka;

• identyfikacja ryzyka;

• opis ryzyka;

• pomiar ryzyka;

• ewaluacja ryzyka - porównanie szacunkowej wielkości ryzyka z przyjętymi w danej firmie kryteriami, które mogą dotyczyć kosztów oraz spodziewanych korzyści, wymogów prawnych, względów społeczno-ekonomicznych lub ekologicznych, obaw i oczekiwań grup nacisku (np. akcjonariuszy lub interesariuszy).

Tak przygotowana ocena jest podstawą do podjęcia decyzji, na ile dane ryzyko jest istotne dla firmy, czy można je zaakceptować i co w tej sytuacji robić.

Etapy zarządzania ryzykiem:

• informacja do odpowiednich działów/pionów, sprawozdawczość wewnętrzna, komunikacja dotycząca zarządzania (residual risk reporting) - odmienne na różnych szczeblach przedsiębiorstwa (zarząd, jednostki organizacyjne, właściciele, akcjonariusze);

• działania wobec ryzyka, które obejmują wybór i wdrożenie środków pozwalających na zmodyfikowanie ryzyka, jego redukcję (bardzo bogaty repertuar środków, np. ubezpieczenie, wywiad gospodarczy, zabezpieczenie kursowe, etc.);

• monitoring (ryzyko nie jest statyczne, nieustannie się zmienia, wpływają na to bieżące decyzje, zachowania, procesy zarówno w samej firmie, jak i zachodzące w otoczeniu).

Kliknij aby zobaczyć ilustrację.

Opr.: Jana