ERM w praktyce polskiej

W zakresie praktyki zarządzania ryzykiem wykazywane jest stopniowe przechodzenie od organizacji procesu zarządzania ryzykiem i identyfikacji ryzyka (u ponad połowy respondentów zadania już zrealizowane) do tworzenia systemów wewnętrznego raportowania, audytu i zarządzania danymi.

RAMKA 3

Laboratorium badawcze branży spożywczej przeprowadza analizy artykułów spożywczych w celu dopuszczenia ich do obrotu na rynku. Prowadzi badania dla producenta jogurtu. Produktem laboratorium jest sprawozdanie z badań zawierające wyniki analiz i badań, na których podstawie producent jogurtu wprowadzi towar na rynek. Jakikolwiek wynik badań niezgodny z wymaganiami stawianymi producentowi daje laboratorium sygnał do wdrożenia działań zgodnie z procedurami dotyczącymi wyrobu niezgodnego. Procedury muszą zawierać tryb postępowania w takim przypadku, zidentyfikowane zagrożenia oraz hipotetycznie wielkość skutków zagrożeń, jakie może spowodować nieprawidłowy wynik badań i analiz przekazanych do producenta. Laboratorium stwierdza, że jego działania są prawidłowe, a wyniki badań jak najbardziej zgodne z założoną specyfikacją i metodami badawczymi. Sprawozdanie zostaje przekazane producentowi jogurtu. Producent jest zaskoczony, ponieważ okazuje się, że ma wdrożony system HACCP, którego integralną częścią jest analiza ryzyka metodą HAZOP. Producent na podstawie sprawozdania z badań laboratorium przeprowadza proces analizy ryzyka, zaczynając od technik identyfikacji ryzyka, zadając sobie pytanie, jak to się mogło stać. Kto miał rację i kto zapłaci za błąd - laboratorium czy producent?

Badania firmy Marsh, przeprowadzone również w roku 2006, dotyczyły 12 krajów Europy Środkowo-Wschodniej. Analizy dokonano na podstawie informacji uzyskanych od ponad tysiąca menedżerów, głównie z sektora produkcyjnego oraz handlu hurtowego i detalicznego. Dane uzyskane od respondentów wykazały, że główne obszary ryzyka to: rosnąca konkurencja, nieterminowe płatności, zmiany popytu i cen towarów oraz zmniejszona wydajność związana z absencją i fluktuacją pracowników. Jednocześnie stosunkowo niski procent respondentów (26 - 50%) deklaruje stosowanie skutecznych procedur ograniczania tych elementów ryzyka. Firmy, które skutecznie zarządzają ryzykiem, mają szanse na uzyskanie przewagi konkurencyjnej. Jednak w wielu przedsiębiorstwach nadal nie ma formalnego rejestru ryzyka oraz wdrożonych metod ich identyfikacji i oceny, a także innych elementów tzw. klasycznego zarządzania ryzykiem.

Podane wyżej informacje, dotyczące wyników badań firmy Marsh, wykazują, że opisane na początku niniejszego artykułu doświadczenia menedżerów ryzyka są zgodne z wynikami badań. W Polsce brakuje systematycznego podejścia do problemów zarządzania ryzykiem, a przez to świadomi menedżerowie firm robią coś, co należałoby uporządkować i dostosować do znanych w świecie metodologii.

Nasuwa się kolejne pytanie: dlaczego właśnie teraz zaczynamy się nad tym zastanawiać?

Już trzeci rok jesteśmy w Unii Europejskiej, a to wymaga od nas dostosowania się do dyrektyw Unii Europejskiej i standardów w niej obowiązujących, które zostały zaimplementowane w postaci ustaw lub rozporządzeń do prawa polskiego. Przykładem takich aktów prawnych jest Ustawa o ochronie danych osobowych czy Kodeks pracy. W obydwu dokumentach wymagane jest od firmy przeprowadzenie analizy ryzyka w przedmiotowej sprawie. Po przeprowadzeniu tejże analizy często okazuje się, że wymuszona przez przepisy prawa analiza ryzyka uratowała firmę przed dużymi problemami, z których nie zdawałaby sobie sprawy.

Patrz ramka nr 4.

RAMKA 4

Firma w wyniku szkolenia uzyskuje informacje o wymogu prawnym dotyczącym wprowadzenia procedur zarządzania ryzykiem związanym z ochroną danych osobowych. Kompleksowa analiza ryzyka wskazuje na szereg nieprawidłowości w zabezpieczeniu dostępu do pomieszczeń firmy z danymi osobowymi. Nieprawidłowości zostają przekazane pisemnie zarządowi firmy, ze wskazaniem na konieczność realizacji zadań priorytetowych, czyli postępowania z ryzykiem nieakceptowanym. Zarząd odkłada procedury ochrony danych osobowych na półkę i cieszy się z wywiązania się z obowiązujących przepisów prawa (wprowadzenie wymaganych dokumentów w firmie i przeszkolenie pracowników). Po kilku miesiącach w miejscu wskazanym w analizie ryzyka jako zadanie priorytetowe następuje włamanie w sposób dokładnie wskazany przez menedżera ryzyka w dokumencie poufnym dostarczonym do rąk własnych członka zarządu. Wynikiem włamania jest kradzież komputerów. W tym momencie zarząd powraca do przedstawionej analizy ryzyka i konsekwentnie realizuje wszystkie zalecenia związane z postępowaniem z ryzykiem.

Cóż można powiedzieć na zakończenie? Mądry Polak po szkodzie! A można było nie myśleć tylko o samej Ustawie i jej aktach wykonawczych, tylko opierając się na analizie ryzyka, pomyśleć kompleksowo o firmie.

Proces zarządzania ryzykiem jest także standardem w zagranicznych firmach, niezależnie tego, czy wymagają tego przepisy prawa czy też tylko zagraniczni kontrahenci, w celu wypełnienia każdego swojego ogniwa biznesowego procedurami gwarantującymi nieprzerwanie ciągłości działania firmy. Nowe standardy zarządzania w firmach, ich wprowadzanie i certyfikacja nie zawsze przytaczają wprost wymóg dotyczący wprowadzenia procedur zarządzania ryzykiem czy analizy ryzyka. Jednakże zawsze wprowadzają szereg sformułowań nomenklaturowych (np. walidacja), które stają się niejako namiastką obszaru zarządzania ryzykiem. Przykładem jasnego i konkretnego wprowadzenia wymogu analizy ryzyka jest system zarządzania bezpieczeństwem informacji, zgodnie z normą ISO/IEC 27001.

Patrz ramka nr 1 - ponowne odwołanie.

Patrz ramka nr 3 - ponowne odwołanie.

Zwróćmy uwagę na finalny efekt powołanego wcześniej raportu FERMA, wg którego w prognozie na następne lata daje się zaobserwować wyraźny wzrost istotności takich obszarów ryzyka, jak zasoby ludzkie i ochrona środowiska. Przedsiębiorstwa powinny na bieżąco monitorować pojawiające się nowe wymagania dotyczące ochrony środowiska oraz pilnować terminów realizacji obowiązków zapisanych w prawie. Doświadczenia i obserwacje wskazują jednak na częste zaniedbania w identyfikacji tego rodzaju ryzyka. Raport Marsha dotyczący odpowiedzialności z tytułu zanieczyszczeń środowiska bardzo trafnie oddaje stan świadomości polskich i środkowoeuropejskich przedsiębiorstw w tym zakresie. Rekomendowane działania wskazują na potrzebę stosowania systemowych rozwiązań w obszarze ryzyka środowiskowego.

Patrz ramka nr 5.

RAMKA 5

Według Ustawy o zapobieganiu i naprawie szkód w środowisku, która weszła w życie z dniem 30 kwietnia 2007 r., do działalności stwarzającej ryzyko szkody w środowisku zalicza się m.in. eksploatację instalacji wymagającej pozwolenia zintegrowanego (IPPC - Integrated Pollution Prevention and Control).

Ustawa przewiduje, że w pozwoleniu zintegrowanym będzie mogło być ustanowione zabezpieczenie roszczeń z tytułu wystąpienia szkód w środowisku.

Ustawa ta nie będzie działała wstecz, ale inspekcje związane ze zintegrowanymi pozwoleniami mogą wykryć zanieczyszczenia i przedsiębiorstwo zmuszone zostanie do podjęcia stosownych działań.

Według ustawy Prawo ochrony środowiska, w dniu 30 kwietnia 2007 r. minął ostatni już późniejszy termin do uzyskania pozwolenia zintegrowanego i dotyczy to niektórych instalacji w hutnictwie i przemyśle metalurgicznym (których użytkowanie rozpoczęto przed 31.10.2000 r.), w przemyśle mineralnym (piece koksownicze) i w gospodarce odpadami.

Dla instalacji IPPC bez wymaganego pozwolenia zintegrowanego lub eksploatowanej z naruszeniem warunków pozwolenia zintegrowanego przez okres przekraczający 6 miesięcy grozi wstrzymanie jej użytkowania. Jedynie dla instalacji, których użytkowanie rozpoczęto do 30 października 2000 r., prowadzący instalację może wnioskować o ustalenie terminu usunięcia naruszenia, ale termin usunięcia naruszenia nie może upływać później niż 30 października 2007 r.