Definicja i etapy zarządzania ryzykiem

W przedsiębiorstwach różnych branż od wielu lat – bardziej lub mniej świadomie – podejmuje się czynności mające na celu wyeliminowanie lub redukcję negatywnych skutków wystąpienia ryzykownych zjawisk gospodarczych. Z biegiem czasu takie działania zaczęto nazywać „zarządzaniem ryzykiem”. Termin ten jako jedna z rozwijających się dziedzin nauki, funkcjonuje od początku lat 70-tych ubiegłego wieku. Głównym bodźcem rozwoju nauki o zarządzaniu ryzykiem były zmiany, jakie zaszły na rynkach finansowych po upadku porozumienia z Bretton Woods (1971 rok). Zamieszanie wywołane po odstąpieniu od obowiązującego przez wiele lat parytetu złotowego, spowodowało „narodziny” wielu nowych rodzajów ryzyka. Stworzyła się zatem potrzeba formalnego opisu działań, które mogłyby przynajmniej w pewnym stopniu zneutralizować negatywne skutki takich niepożądanych zjawisk, jak wahania kursów walut i po-ziomów stóp procentowych czy wreszcie niespotykana wcześniej wysoka zmienność cen surowców.

Dokonując przeglądu definicji zarządzania ryzykiem, można je podzielić na dwie zasadnicze grupy. Podział ten jest ściśle powiązany ze sposobem postrzegania terminu „ryzyko”. Jak wspomniano w pierwszej części tego rozdziału, ryzyko może mieć wymiar negatywny (koncepcja negatywna) lub neutralny (koncepcja neutralna/ofensywna). W przypadku zwolenników koncepcji negatywnej, zarządzanie ryzykiem utożsamiane było z dążeniem do ochrony przed pewnymi zjawiskami, które mogą doprowadzić do pogorszenia wyników finansowych. Zgodnie z tym podejściem H. E. Buschgen [1997] definiuje zarządzanie ryzykiem jako „gamę środków, które są skierowane na identyfikowanie ewentualnych zagrożeń wyniku finansowego”. Zdaniem Buschgena „zastosowane środki” mają doprowadzić do „ograniczenia możliwości wystąpienia ryzyka” lub przynajmniej „złagodzenia jego skutków” [Buschgen 1997, s. 190]. Jak widać, w tak sformułowanej definicji ryzyko ma jedynie negatywny wymiar, a pod-stawowym celem zarządzania ryzykiem jest niedopuszczenie do zajścia sytuacji, które mogłyby zagrozić prawidłowemu funkcjonowaniu przedsiębiorstwa.

Zwolennicy neutralnej koncepcji ryzyka określali z kolei zarządzanie ryzykiem jako działania oparte o metody pozwalające na „optymalizację ryzyka w funkcjonowaniu organizacji”. Wiązali to pojęcie z procesem podejmowania decyzji, które miały być dla przedsiębiorstwa „racjonalne” [Bizon-Górecka 2001, s. 13]. Przez optymalizację ryzyka rozumiano natomiast jego określenie (pomiar) i realizowanie czynności, mających doprowadzić do neutralizacji niektórych rodzajów ryzyka (o ile to możliwe) lub minimalizowania ewentualnych skutków. K. Jajuga [2007] wiąże z kolei zarządzanie ryzykiem z takimi określeniami jak „działanie” i „konieczność podejmowania decyzji”. Sformułowana przez niego definicja jest tożsama z neutralną koncepcją ryzyka. Według niego zarządzanie ryzykiem to „podejmowanie decyzji i realizacja działań prowadzących do osiągnięcia przez podmiot akceptowalnego poziomu ryzyka” [Jajuga 2007, s. 15].

Obydwa podejścia do zarządzania ryzykiem znajdują swoje uzasadnienie w działalności gospodarczej przedsiębiorstw. W przypadku niektórych rodzajów ryzyka (a zwłaszcza tych niebędących konsekwencją prowadzonej przez przedsiębiorstwo działalności), nie jest możliwa ich „optymalizacja” czy osiągnięcie „akceptowalnego poziomu”. Przykładowo, ryzyko katastroficzne – związane z możliwością zajścia takich niepożądanych zjawisk jak m.in. trzęsienia ziemi czy pożar – może być pojmowane wyłącznie jako takie, które przynosi negatywne skutki. Menedżerowie przedsiębiorstw – o ile uznają, że prawdopodobieństwo i efekty jego zajścia są odpowiednio wysokie, tzn. zagrażają bezpieczeństwu dalszego sprawnego funkcjonowania – dążą do całkowitego wyeliminowania ewentualnych konsekwencji. Jedynym ze sposobów „zarządzania ryzykiem” jest w tym przypadku ubezpieczenie się od skutków katastrof. Działania podejmowane przez menedżerów polegają zatem na przeniesieniu ryzyka na zakład ubezpieczeniowy. Z kolei definicje zarządzania ryzykiem, które uwzględniają „podwójny

wymiar” ryzyka (koncepcja neutralna), wydają się bardziej odpowiednie przy rozważaniu takich rodzajów ryzyka, jak np. ryzyko rynkowe33

. Podejście to pozwala przede wszystkim na podejmowanie „ryzykownych decyzji”, co w przypadku działalności przedsiębiorstw (jak np. rafinerie), jest warunkiem koniecznym osiągnięcia ewentualnych korzyści. W takim przypadku niezbędne jest jednak traktowanie zarządzania ryzykiem jako złożonego procesu, na który składa się szereg następujących po sobie w ustalonej kolejności czynności, określanych jako etapy zarządzania ryzykiem (por. rys. 2.5).

Rys. 2.5. Etapy zarządzania ryzykiem

Źródło: opracowanie własne na podstawie [Jajuga 2007, s. 15]

Pierwszym z wymienionych etapów jest identyfikacja rodzajów ryzyka zagrażających przedsiębiorstwu. Skuteczna realizacja tego procesu wymaga zgromadzenia „jak największej ilości dobrej jakości informacji oraz niepominięcia żadnych źródeł ryzyka” [Korombel 2011, s. 707-708]. Do metod, które przedsiębiorstwa takie jak rafinerie wykorzystują w procesie identyfikacji ryzyka należą m.in.:

 metoda zagrożenia – polega na identyfikowaniu rodzajów ryzyka, wpływających na stan posiadanych zasobów; wykorzystywana w procesach, w których realizacja założonych celów zależy właśnie od dostępności owych zasobów (m.in. procesy produkcyjne, por. [McName 2004, s. 54], por. także [Korombel 2011, s. 708]);

 metoda środowiskowa – identyfikowanie ryzyka wynikającego z obecnych i przysz-łych stanów otoczenia zewnętrznego jednostki, analiza dokonywana pod kątem oddziaływania na realizację przyszłych celów (por. [Kiziukiewicz 2009, s. 121]);

 metoda tworzenia schematów systemowych – identyfikowanie ryzykownych zdarzeń przez analizę ich przyczyn i skutków (analiza dokonywana za pomocą opisu słownego lub graficznego);

 metoda SWOT (ang. Strengths, Weaknesses, Opportunities, Threats) – identyfikowanie silnych i słabych stron organizacji oraz szans i zagrożeń w jej otoczeniu; pozwala zidentyfikować czynniki mające wpływ na realizację założonego celu i przypisać im odpowiednią kategorię (np. czynniki zewnętrzne lub wewnętrzne, słabe lub silne).

Menedżerowie odpowiedzialni za zarządzanie ryzykiem w przedsiębiorstwach, stosują zwykle kilka metod identyfikacji ryzyka jednocześnie. Opracowują także na własne potrzeby indywidualne metody dostosowywania ich do charakteru organizacji i specyfiki danego procesu.

33 Definicja tego i innych rodzajów ryzyka, związanych z działalnością gospodarczą rafinerii, została podana w dalszej części opracowania (rozdział 2.4.2).

Identyfikacja ryzyka Pomiar i ocena ryzyka Sterowanie ryzykiem Monitorowanie i kontrola ryzyka

Kolejnym etapem w procesie zarządzania ryzykiem jest pomiar i ocena ryzyka, czyli próba wyrażenia ryzyka w formie liczbowej lub przy użyciu pewnych kategorii (w przypadku braku możliwości wykorzystania liczbowej postaci). Ustalana liczba (lub kategoria) stanowi ważną informację przy podejmowaniu decyzji w kolejnych etapach zarządzania ryzykiem. Natomiast przedmiotem rozważań w przypadku samego pomiaru ryzyka powinny być [Jedynak i Szydło 1997, s. 22]:

 określenie przedmiotu pomiaru;

 przyjęcie odpowiednich miar ryzyka;

 przyjęcie standardów pomiaru i właściwy pomiar.

Realizacja tego etapu jest niezbędna przy podejmowaniu decyzji odnośnie tego, czy dany rodzaj ryzyka jest dla przedsiębiorstwa istotny. Jeżeli menedżerowie uznają, że ryzyko nie wpływa znacząco na sposób funkcjonowania organizacji (np. na płynność finansową przedsiębiorstwa albo jego wartość), dochodzi do tzw. akceptacji ryzyka. W przeciwnym razie przedsiębiorstwo realizuje dalsze etapy zarządzania ryzykiem.

Czynnością następującą po identyfikacji i pomiarze ryzyka jest sterowanie ryzykiem, przez które należy rozumieć podejmowanie działań dostosowujących poziom ryzyka do akcep-towalnego poziomu. Etap ten jest ściśle związany z procesem decyzyjnym, gdyż wymaga doboru odpowiednich (zdaniem menedżerów) strategii. Składa się na niego zatem przegląd różnych podejść, które pozwolą na optymalizację poziomu ryzyka. Wyróżnia się dwa zasadnicze podejścia: pasywne i aktywne. Pierwsze z nich polega zazwyczaj na gromadzeniu środków, które mają pokryć ewentualne straty, wywołane materializacją danego rodzaju ryzyka. Podejście aktywne obejmuje natomiast:

 unikanie ryzyka (np. odstąpienie od inwestycji, które są szczególnie „ryzykowne”);

 działania polegające na zapobieganiu zdarzeniom losowym (minimalizacji prawdopodobieństwa ich wystąpienia przez np. wybór lokalizacji);

 przenoszenie ryzyka na inne podmioty (ubezpieczenia, gwarancje, umowy na rynku terminowym);

 dywersyfikacja ryzyka (np. wybór kilku dostawców ropy naftowej w celu

zabezpieczenia się od sytuacji całkowitego zawieszenia dostaw przy problemach jednego z dostawców).

Etap monitorowania i kontroli ryzyka wynika z faktu, że zarządzanie ryzykiem nie jest jednorazowo podejmowanym działaniem, a procesem, na który składają się czynności wielokrotnie powtarzane. Samo wdrażanie do przedsiębiorstwa strategii zabezpieczającej wymaga kontroli – zwłaszcza w przypadku stosowania innowacyjnych rozwiązań. Konieczne jest również monitorowanie efektów, jakie owe strategie przynoszą i wprowadzanie ewentualnych modyfikacji po to, by proces zarządzania ryzykiem stawał się coraz bardziej skuteczny.

Wzrost zapotrzebowania na opracowanie wymogów, które powinny być wdrażane w przed-siębiorstwach chcących skutecznie zarządzać ryzykiem, przyczynił się do sformułowania i opu-blikowania pewnych standardów zarządzania ryzykiem. Obecnie do najważniejszych z nich należy zaliczyć:

 FERMA (ang. Federation of European Risk Management Associations) – standardy opracowane i opublikowane w 2003 roku przez trzy brytyjskie organizacje związane z zarządzaniem ryzykiem: IRM (ang. The Institute of Risk Management), AIRMIC (ang. The Association of Insurance and Risk Managers) i ALARM (ang. ALARM The

National Forum for Risk Management in the Public Sector). Dokument zawiera opis

poszczególnych etapów procesu zarządzania ryzykiem wraz z narzędziami i sce-nariuszami działań [FERMA 2010];

 COSO II (ang. The Committee of Sponsoring Organizations of the Treadway

Commission) – standard wprowadzony w 2004 roku, odnoszący się do składników

zintegrowanego system zarządzania ryzykiem w przedsiębiorstwach, a także do sposobów wdrażania tego systemu [COSO 2004]. Stanowi nowszą i poszerzoną wersję standardu COSO I opracowanego w latach 90-tych ubiegłego wieku;

 ISO 31000:2009 – standard opracowany przez ISO (ang. International Standard

Organization) w 2009 roku, który miał zastąpić liczne branżowe metodologie,

odnoszących się do zarządzania ryzykiem w przedsiębiorstwach. Definiuje zarządzanie ryzykiem jako „skoordynowane działania, które dotyczą kierowania i nadzorowania organizacji w stosunku do odpowiedniego rodzaju ryzyka” [ISO 2009]. Jego polskim odpowiednikiem jest norma opracowana w 2012 roku (PN-ISO 31000:2012).

Rozumienie i sposób wdrażania procesu zarządzania ryzykiem w organizacjach ewoluowały na przestrzeni lat. Początkowo identyfikacja i pomiar ryzyka miały pozwolić menedżerom na dobór odpowiednich metod, przez które sterowano ekspozycją przedsiębiorstwa na konkretny rodzaj ryzyka. Skupiano się jednak na zarządzaniu każdym ryzykiem z osobna, nie uwzględniając wzajemnego oddziaływania na siebie różnych jego rodzajów. Podejście to – określane mianem „tradycyjnego” – nie brało pod uwagę również wpływu zastosowanych metod zarządzania ryzykiem na sposób funkcjonowania przedsiębiorstwa w przyszłości [Adamska 2009, s. 14]. Z czasem zaczęto odchodzić jednak od podejścia tradycyjnego, a jego miejsce zajął tzw. zintegrowany system zarządzania ryzykiem korporacyjnym (ang. ERM – Enterprise Risk

Management). Nowa koncepcja podkreślała rolę zarządzania ryzykiem w procesie zarządzania

całym przedsiębiorstwem. Do jej najważniejszych cech należy zaliczyć [Kaszuba-Perz i Perz 2010, s. 54-55]:

 ustalanie „apetytu na ryzyko” na etapie planowania strategicznego;

 koncentrację na rodzajach ryzyka uznanych za „krytyczne”;

 włączenie narzędzi pomiaru ryzyka do wewnętrznych systemów służących ocenie działalności przedsiębiorstwa;

 zarządzanie ryzykiem jako istotny element kształtujący wartość przedsiębiorstwa i część realizowanej przez przedsiębiorstwo strategii;

 świadomy wybór reakcji na ryzyko poprzez akceptację, unikanie, podział lub ograniczanie wpływu ryzyka.

Podejście zintegrowane wykorzystują obecnie organizacje, zajmujące się analizą teoretycznych i praktycznych aspektów zarządzania ryzykiem w przedsiębiorstwie. Przykładowo, według normy COSO II zarządzanie ryzykiem „jest realizowanym przez szeroko rozumiany zarząd, kierownictwo i pozostały personel przedsiębiorstwa, uwzględnionym w strategii i w ca-łym przedsiębiorstwie procesem, mającym na celu identyfikację potencjalnych zdarzeń, które mogą wywrzeć wpływ na przedsiębiorstwo, utrzymywanie odpowiedniego apetytu na ryzyko oraz rozsądne zapewnienie realizacji celów jednostki” [COSO 2004].

Zintegrowany system zarządzania ryzykiem (ERM) jest obecnie bardzo popularny w dużych przedsiębiorstwach. Do tej grupy zalicza się także spółki sektora rafineryjnego – w tym polskie koncerny PKN Orlen i Lotos. Wzrost znaczenia ERM w ostatnich dwóch dekadach napędzany jest zwłaszcza przez naciski akcjonariuszy, instytucji regulacyjnych, organizacji zarządzania ryzykiem i agencji ratingowych (na podstawie: [Bhimani 2009, s. 2-5], [Power 2007, s. 849-855], [Soin i Collier 2013, s. 82-87]). Po ostatnim kryzysie finansowym (lata 2007-2009) nastąpił bowiem znaczny wzrost prawdopodobieństwa pojawienia się problemów związanych z fi-nansowaniem bieżącej działalności. Dotyczyło to m.in. przedsiębiorstw sektora rafineryjnego, które po 2008 roku zmagały się z bardzo niskimi marżami. W efekcie rosnącego zagrożenia upadkiem kolejnych przedsiębiorstw, rządy czołowych państw coraz głośniej domagały się opracowania nowych przepisów, kładąc nacisk na ich większą przejrzystość [Woods 2011, s. 147-152].

Obecnie rola ERM w sektorze rafineryjnym jest postrzegana nie tylko jako budowanie wartości finansowej przedsiębiorstw. Zadaniem stawianym przed procesem zarządzania ryzykiem w przedsiębiorstwach jest również dążenie do udoskonalania procesu decyzyjnego [Arena, Arnaboldi i Azzone 2010, s. 659-675]. Dlatego tak dużą rolę odgrywa prawidłowe wdrażanie nowych strategii zarządzania ryzykiem oraz kontrolowanie efektów ich stosowania [Meidell i Kaarbøe 2017, s. 39-55].

2.4.2. Podstawowe rodzaje ryzyka w sektorze rafineryjnym i metody