Podstawowe zasady zarządzania ryzykiem

Jednym z podstawowych założeń współczesnego podejścia do zarządzania ryzykiem jest integracja ERM. Jak pokazują badania, integracja systemów zarządzania prowadzi do bardziej spójnej, konsekwentnej, kompleksowej i zharmonizowanej identyfikacji ryzyk oraz zmniejszenia wielkości ryzyk wpływających na kluczowe aspekty biznesowe organizacji (Rebelo, Silva, Santos, 2017). Zarządzanie ryzykiem powinno być więc zintegrowane z wszystkimi procesami w organizacji (AFP, 2011). Procesy ERM muszą być osadzone w organizacji i dynamicznie dostosowywać się do zmieniającego się środowiska wewnętrznego i zewnętrznego (Gorzeń-Mitka, 2011). Co więcej, kluczowe dla efektywnego funkcjonowania systemu zarządzania ryzykiem jest jego integracja ze strategią i planowaniem strategicznym organizacji (AFP, 2011; Fraser, Simkins, 2016; Beasley, Frigo, 2010, s. 31-50; Frigo, Anderson, 2011; Driscoll, 2011), a także z planowaniem biznesowym. Częścią planowania biznesowego powinna być właściwa alokacja zasobów przedsiębiorstwa, opierająca się na ocenie ryzyka (Toneguzzo, 2010, Fraser, Simkins, 2016). Z drugiej strony, również zarządzanie ryzykiem powinno być dostosowane do procesów biznesowych danej organizacji (Hopkin, 2010, s. 329). Aby system zarządzania ryzykiem funkcjonował dobrze, konieczne jest także ciągłe identyfikowanie, monitorowanie i zarządzanie wszystkimi głównymi ryzykami, na jakie narażona jest organizacja (Stulz, 2008). Tradycyjne, silosowe podejście do zarządzania ryzykiem, zgodnie z którym identyfikowane są jedynie te ryzyka, dla których możliwe jest wykupienie ubezpieczenia jest niewystarczające. Konieczne jest uwzględnienie i identyfikacja wszystkich rodzajów ryzyk (strategicznych, operacyjnych, finansowych, reputacji, prawnych itd.), na jakie może być narażone przedsiębiorstwo, dotyczących wszystkich jego funkcji

83

(Decker, Galler, 2013, s. 14-17). Co więcej, w związku z coraz większą zmiennością otoczenia biznesowego, a co za tym idzie coraz większą szybkością pojawiania się ryzyk, niezbędne jest dostosowanie ERM do bezustannie zmieniających się warunków funkcjonowania przedsiębiorstwa. Konieczne jest zatem zarządzanie ryzykiem w sposób ciągły, polegające na ustawicznym monitorowaniu ryzyka i reakcji na nie (Lam, 2017, s. 44-46). Istotne jest również stworzenie możliwie jak najbardziej rozległych modeli i scenariuszy najgorszych sytuacji, w celu minimalizacji zakresu tego, co niemożliwe do przewidzenia – tzw. „czarnych łabędzi” (Decker, Galler, 2013, s. 14-17). „Czarne łabędzie”, mimo, iż są zdarzeniami trudnymi do przewidzenia i nie jest możliwe przygotowanie się na nie, są sytuacjami mającymi ogromny wpływ na życie ludzi, a co za tym idzie również funkcjonowanie firmy (Taleb, 2007). Dlatego też, ważna jest świadomość możliwości wystąpienia tego typu zdarzeń oraz przygotowanie organizacji na taką ewentualność (umożliwienie jak najszybszej identyfikacji takiego zdarzenia oraz niezwłocznej reakcji na nie) (Decker, Galler, 2013, s. 15-17).

Elementem mogącym mieć istotny wpływ na efektywność ERM jest zarządzanie ryzykami łącznie, w formie portfela ryzyk. Zarządzanie portfelem ryzyk uwzględnia wspólne cechy poszczególnych ryzyk oraz współzależności występujące między nimi (Sharman, 2002). Umożliwia to dywersyfikację ryzyk, stosowanie naturalnego hedgingu i obniżenie całkowitej wielkości ryzyka, na jakie narażona jest organizacja (Lam, 2014, s. 101). Z tego względu zarządzanie portfelem ryzyk jest bardziej efektywne niż zarządzanie poszczególnymi ryzykami oddzielnie (Bromiley i in., 2015), co wpływa na efektywność działania całego systemu ERM i pozytywnie wpływa na osiągane wyniki (Eckles, Hoyt, Miller, 2014; Hoyt, Liebenberg, 2011). Celem zarządzania ryzykiem powinno być zrównoważenie portfela ryzyk w taki sposób, aby utrzymać całkowite ryzyko w przedsiębiorstwie na poziomie odpowiadającym apetytowi na ryzyko interesariuszy organizacji (Frigo, Anderson, 2011).

Istotnym założeniem koncepcji ERM jest także prezentowane podejście do ryzyka. Po pierwsze, ryzyko nie powinno być postrzegane jedynie jako problem, który należy ograniczać. Zamiast tego przedsiębiorstwa powinny optymalizować wielkość ryzyka, upatrując w nim nie tylko zagrożenia, ale również przewagi konkurencyjnej (Bromiley i in., 2015), uwzględniając wielkość podejmowanego ryzyka oraz potencjalny zysk z nim związany (Przetacznik, 2018). Należy pamiętać, aby w każdym przypadku zysk płynący z podejmowanego przez przedsiębiorstwo projektu, wpływającego na wzrost całkowitego ryzyka przedsiębiorstwa,

84

kompensował wzrost ryzyka związanego z danym projektem (Nocco, Stulz, 2006). Dodatkowo, cechą charakteryzującą udane programy ERM jest uwzględnianie w nich zarówno ryzyk negatywnych, jak i pozytywnych (Corporate Treasurers Council, 2013; Driscoll, Walker, Torok, 2011). Zatem oprócz identyfikacji zagrożeń, konieczne jest również identyfikowanie możliwych do wykorzystania szans.

Warto również wspomnieć, iż nie ma jednego uniwersalnego systemu zarządzania ryzykiem, który może być stosowany w każdej organizacji i w każdych okolicznościach. Stosowane systemy ERM powinny uwzględniać warunki, w jakich funkcjonują poszczególne przedsiębiorstwa, dopasowując cechy systemu do specyfiki danej organizacji (Mikes, Kaplan, 2015; Mikes, Kaplan, 2014). Również znane i stosowane standardy zarządzania ryzykiem nie mogą być stosowane dosłownie i bezwzględnie. Przedsiębiorstwa nie powinny myśleć schematycznie, powinny dopasowywać istniejące standardy lub tworzyć własne (Agarwal, Ansell, 2016). Co ważne, również wdrożony system zarządzania ryzykiem powinien być elastyczny (Sheffi, 2007, s. 181-286), aby móc reagować na występujące zmiany i dostosowywać się do bieżącej sytuacji. Konieczna jest ciągła obserwacja i kontrola zarządzania ryzykiem, przy uwzględnieniu zmian zachodzących w otoczeniu, w celu dopasowania systemu zarządzania ryzykiem do zewnętrznych uwarunkowań organizacji (Malinowska, 2011). Jak pokazują badania, właściwie zaprojektowany system ERM, dopasowany do danej organizacji prowadzi do poprawy osiąganych przez tą organizację wyników (Nedaei, 2015).

Podsumowując powyższe rozważania, do czynników sukcesu systemów zarządzania ryzykiem, dotyczących podstawowych zasad zarządzania ryzykiem można zaliczyć:

• Integrację zarządzania ryzykiem ze wszystkimi procesami w organizacji. • Integrację zarządzania ryzykiem ze strategią i zarządzaniem strategicznym. • Zarządzanie ryzykiem, będące elementem planowania biznesowego.

• Dostosowanie zarządzania ryzykiem do procesów biznesowych danej organizacji. • Zarządzanie wszystkimi głównymi ryzykami, na jakie narażona jest organizacja. • Identyfikacja wszystkich rodzajów ryzyk (strategicznych, operacyjnych,

finansowych, reputacji, prawnych itd.), na jakie może być narażone przedsiębiorstwo, dotyczących wszystkich jego funkcji.

85

• Zarządzanie ryzykiem w sposób ciągły, polegające na ustawicznym monitorowaniu ryzyka i reakcji na nie.

• Świadomość możliwości wystąpienia tzw. „czarnych łabędzi” – zdarzeń niespodziewanych, niemożliwych do przewidzenia oraz przygotowanie firmy na taką ewentualność.

• Zarządzanie ryzykami łącznie, w formie portfela ryzyk (uwzględnianie współzależności występujących między ryzykami).

• Utrzymywanie całkowitego ryzyka na poziomie odpowiadającym apetytowi na ryzyko danej organizacji.

• Optymalizacja wielkości ryzyka, uwzględniając relację ryzyko-zysk. • Identyfikacja szans (ryzyk pozytywnych).

• Dopasowanie systemu zarządzania ryzykiem do konkretnej organizacji i do warunków, w jakich ta organizacja funkcjonuje.

• Elastyczny system zarządzania ryzykiem, umożliwiający dopasowanie go do zmian występujących w organizacji i jej otoczeniu.