Zintegrowane zarządzanie ryzykiem - LUKSUS CZY KONIECZNOŚĆ


Z CRO czy bez niego następuje również wzrost znaczenia komitetów ds. ryzyka w celu zapewnienia bardziej zintegrowanego i systematycznego podejścia do ryzyka w całej organizacji. W przypadku dużej organizacji utworzenie stanowiska odpowiedzialnego za koordynację działań w zakresie zarządzania ryzykiem na pewno będzie z korzyścią dla firmy, aczkolwiek wiele zależy od kultury organizacyjnej samej firmy oraz właściwego umocowania.

Należy pamiętać, że zarządzanie ryzykiem na bazie całego przedsiębiorstwa nie powinno być traktowane jako podejście dla wybranych. Nie powinno się patrzeć na ERM w pierwszej kolejności przez pryzmat struktury, procedur, formularzy, formalnego procesu. Zaleca się, aby pierwszym krokiem była budowa świadomości ryzyka, a do tego nie zawsze trzeba zatrudniania risk managera czy opracowywania wielkiej księgi procedur. Bez zwiększonej świadomości i zrozumienia, czym jest zintegrowane spojrzenie na ryzyko i jakie wartości niesie, ERM będzie wyłącznie kolejnym odhaczeniem na liście do zrobienia w celu zaraportowania zgodności działania ze stosownymi regulacjami.

Oczywiście, jedną z głównych przyczyn wzrostu rangi zarządzania ryzykiem oraz wypracowania nowego podejścia były skandale korporacyjne (Enron, Wordcom) i pojawiające się regulacje wymuszające na zarządzających lepszą kontrolę organizacji i wiarygodność przekazywanych informacji. Można tu wymienić amerykańską regulację Sarbanes-Oxley Act. Ta sytuacja i nacisk na lepszy nadzór czy ład korporacyjny (corporate governance) wpłynęły na renesans zarządzania ryzykiem.

Zarządzanie ryzykiem jest częścią skutecznego ładu korporacyjnego, który stanowi zbiór zasad postępowania, całość działań oraz regulacji odnoszących się do szeroko rozumianego zarządzania organizacją. W tym zakresie powstaje wiele "twardych" czy "miękkich" regulacji, które mają na celu wymuszanie i promowanie właściwego zachowania i praktyk. Zagadnienia ładu korporacyjnego można odnaleźć w wielu przepisach prawna krajowego oraz w dyrektywach europejskich. W skali międzynarodowej pierwszą inicjatywą sformułowania podstawowych elementów systemu nadzoru korporacyjnego był dokument OECD - Principles of Corporate Governance - jego ostatnią wersję państwa członkowskie przyjęły w 2004 r. W Polsce regulacje ładu korporacyjnego "Dobre praktyki w spółkach publicznych w 2005" zostały przyjęte przez Giełdę Papierów Wartościowych w Warszawie. Pomimo nacisku na ochronę akcjonariuszy mniejszościowych wskazują one również pośrednio lub bezpośrednio na kwestie zarządzania ryzykiem.

Zarządzanie ryzykiem nie jest tylko dla dużych organizacji, ale dla nawet najmniejszego przedsiębiorcy. Zarówno duża korporacja, jak i mały przedsiębiorca boryka się z tym samym problemem w dzisiejszym zmieniającym się świecie - czy mam wystarczające informacje do analizy, podjęcia właściwych decyzji oraz umiejętności kontrolowania i realizowania zadań. Duża korporacja powinna opracować i wdrożyć cały system wspomagający zarządzanie organizacją, obudowany procedurami oraz wieloma wysiłkami, aby właściwie funkcjonował. Małemu przedsiębiorcy może wystarczyć zaadaptowanie podstawowych elementów metodologii oraz zrozumienie podstaw jej działania.

Do tej pory opracowano już wiele wytycznych reprezentujących najlepsze, rozpoznawalne na rynku, praktyki zarządzania ryzykiem, do których można zaliczyć:

  • amerykańskie Enterprise Risk Management - Integrated Framework COSO II 2004;
  • brytyjskie RM Standard AIRMIC/ ALARM/ IRM 2002;
  • australijsko-nowozelandzkie AS/NZS 4360:2004;
  • południowoafrykańskie King II.

Niektóre z nich zostały scharakteryzowane w skrócie w kolejnych częściach raportu.

W odróżnieniu od powyższych dobrych praktyk o charakterze "miękkim" lub dobrowolnym, należy wspomnieć o "twardych" uregulowaniach występujących na finansowych rynkach, również europejskich: Bazylea II dla bankowości (Basel Committee on Banking Supervision - International Convergence of Capital Measurement and Capital Standards; A Revised Framework) lub Solvency II dla ubezpieczeń.

Od kilku lat trwa międzynarodowa debata, nabierająca ostatnio tempa i temperatury, na temat stworzenia standardu ISO dotyczącego reguł korporacyjnego zarządzania ryzykiem. Latem tego roku FERMA wydało w tej sprawie oświadczenie na temat stanowiska risk managerów - praktyków, którzy są zdania, że stworzenie takiego "sztywnego" standardu przysporzy więcej szkód rozwojowi dyscypliny zarządzania ryzykiem niż pożytku oraz ujemnie odbije się na jakości risk managementu w przedsiębiorstwie. Tego samego zdania są autorzy artykułu i prawdopodobnie większość polskich risk managerów, członków POLRISK.

Każde z prezentowanych podejść zarządzania ryzykiem obejmuje identyfikację ryzyka, jego ocenę, postępowanie oraz monitoring i raportowanie. Elementy te nie zmieniły się i stanowią trwałe filary procesu. Jednakże koncepcja ERM jest nakierowana na lepsze powiązanie działań w kontekście ryzyka z celami biznesowymi organizacji i eliminacje ograniczeń wynikających z tradycyjnego podejścia. ERM ma umożliwić spójność działań w zakresie zarządzania ryzykiem, zapewniać akcjonariuszy, że ich środki są właściwie rozporządzane i wspierać sukces organizacji.

To wszystko łączy ERM z takimi zagadnieniami, jak audyt wewnętrzny czy zarządzanie ciągłością działalności. Koncepcje te przenikają się nawzajem lub się uzupełniają, ale ERM wydaje się spinać wszystkie elementy.

Audyt wewnętrzny ma zagwarantować zarządowi, że wytyczone przez niego reguły gry są przestrzegane przez kierownictwo i wszystkich pracowników - a w praktyce ma pokazać, gdzie i przez kogo nie są przestrzegane. Działania audytu weryfikują zatem skuteczność wdrożonych systemów kontroli i zapewniają ich obiektywną ocenę i prawidłowe działanie. Zarządzanie ryzykiem, pokazujące dynamicznie zmieniającą się mapę różnych rodzajów ryzyka firmy i jej otoczenia, oraz wnioski z niego płynące są właśnie takim ukierunkowaniem działań funkcji audytu wewnętrznego.

Po przeprowadzonej analizie ryzyka, skwantyfikowaniu oraz wyłonieniu grupy rodzajów ryzyka krytycznego, które mogą zagrozić ciągłości biznesu (przetrwaniu firmy), jednym z kolejnych kroków czy podejmowanych środków zaradczych jest próba zarządzania ciągłością działalności firmy w kontekście wcześniej zdiagnozowanych rodzajów ryzyka krytycznego. W tym sensie Business Continuity Management (BCM) jest jakby gałęzią odrębnych działań, wynikającą jednak bezpośrednio z mechanizmów zarządzania ryzykiem (i oczywiście wniosków z niego płynących). Wśród zwolenników i sympatyków BCM jest wielu takich, którzy twierdzą, że to zarządzanie ryzykiem jest elementem BCM, ale to już zapewne materia na osobny, bardzo długi artykuł.