1. Zarządzanie ryzykiem w przedsiębiorstwie
2.4 Podsumowanie potencjalnych czynników sukcesu systemów ERM
Niniejszy podrozdział stanowi podsumowanie czynników sukcesu systemów zarządzania ryzykiem opisanych w standardach zarządzania ryzykiem oraz w literaturze przedmiotu. Autorka podjęła w nim próbę możliwie zwięzłej i prostej prezentacji najistotniejszych elementów ERM, mogących mieć znaczący wpływ na ich sukces. Syntetyczna prezentacja opisanych w powyższych podrozdziałach czynników jest podstawą do stworzenia ankiety, która ma za zadanie identyfikację kluczowych czynników sukcesu systemów zarządzania ryzykiem w przedsiębiorstwach.
Podobnie jak w podrozdziale 2.3 Czynniki sukcesu systemów ERM opisane w literaturze, analizowane czynniki zostały podzielone na pięć grup: podstawowe zasady zarządzania ryzykiem, kultura i komunikacja ryzyka, proces zarządzania ryzykiem, zarządzanie i nadzór, stosowane narzędzia i techniki. Do każdej grupy zostały przyporządkowane czynniki sukcesu opisane w standardach zarządzania ryzykiem lub literaturze. Podsumowanie potencjalnych czynników sukcesu systemów ERM zostało przedstawione w formie tabeli widocznej poniżej (Tabela 4).
106
Tabela 4: Podsumowanie czynników sukcesu systemów zarządzania ryzykiem opisanych w literaturze i standardach zarządzania ryzykiem.
Pod st aw o w e zasa d y zar ządz an ia r yzykiem
Integracja zarządzania ryzykiem ze wszystkimi procesami w organizacji. Integracja zarządzania ryzykiem ze strategią i zarządzaniem strategicznym. Zarządzanie ryzykiem, będące elementem planowania biznesowego.
Dostosowanie zarządzania ryzykiem do procesów biznesowych danej organizacji. Zarządzanie wszystkimi głównymi ryzykami, na jakie narażona jest organizacja. Identyfikacja wszystkich rodzajów ryzyk (strategicznych, operacyjnych, finansowych, reputacji, prawnych itd.), na jakie może być narażone przedsiębiorstwo, dotyczących wszystkich jego funkcji i obszarów działalności. Zarządzanie ryzykiem w sposób ciągły, polegające na ustawicznym monitorowaniu ryzyka i reakcji na nie.
Świadomość możliwości wystąpienia tzw. „czarnych łabędzi” – zdarzeń niespodziewanych, niemożliwych do przewidzenia oraz przygotowanie firmy na taką ewentualność.
Zarządzanie ryzykami łącznie, w formie portfela ryzyk (uwzględnianie powiązań występujących między ryzykami).
Utrzymywanie całkowitego ryzyka na poziomie odpowiadającym apetytowi na ryzyko danej organizacji.
Optymalizacja wielkości ryzyka, uwzględniając relację ryzyko-zysk. Identyfikacja szans (ryzyk pozytywnych).
Dopasowanie systemu zarządzania ryzykiem do konkretnej organizacji i do warunków, w jakich ta organizacja funkcjonuje.
Elastyczny i dynamiczny system zarządzania ryzykiem, umożliwiający dopasowanie go do zmian występujących w organizacji i jej otoczeniu.
107 K u lt u ra i komu n ika cj a ry zyka
Zarządzanie ryzykiem wbudowane w kulturę organizacji.
Zaangażowanie w zarządzanie ryzykiem wszystkich pracowników. Jasne określenie systemu wartości, poglądów, celów i priorytetów.
Wiedza i świadomość wszystkich pracowników dotycząca kluczowych ryzyk.
Informowanie pracowników o ich odpowiedzialności za ryzyko, możliwości przeciwdziałania mu i konieczności informowania kierownictwa o zagrożeniach. Wiedza i świadomość zarządzających dotycząca ryzyka i zarządzania nim. Promowanie świadomości ryzyka w organizacji.
Szkolenia i warsztaty z ryzyka dla pracowników i zarządzających.
Uwzględnienie zarządzania ryzykiem w programach orientacyjnych dla nowych pracowników.
Odpowiednio wykwalifikowani pracownicy.
Świadomość kwalifikacji podwładnych wśród zarządzających.
Zarządzanie ryzykiem, będące elementem pracy wszystkich pracowników. Odpowiedzialność za ryzyko na każdym stanowisku pracy.
Uwzględnianie wpływu ryzyka przy podejmowaniu wszystkich decyzji.
Silne zaangażowanie osób zarządzających w zarządzanie ryzykiem i tworzenie odpowiedniej kultury ryzyka w organizacji.
Zarządzający dający przykład zaangażowania i właściwego zachowania w zakresie zarządzania ryzykiem.
Odpowiedzialność zarządzających za wdrożenie pożądanych zachowań i kultury ryzyka w całej organizacji.
Zapewnienie przez zarządzających odpowiednich środków finansowych i zasobów oraz warunków do zarządzania ryzykiem.
108 Dobra komunikacja ryzyka wewnątrz organizacji.
Stworzenie wspólnego dla całej organizacji języka ryzyka.
Utrzymywanie dobrych relacji i dobra komunikacja z dostawcami i klientami. Regularne informowanie udziałowców o zasadach zarządzania ryzykiem i stopniu realizacji celów z tym związanych.
Stosowanie mierników kultury ryzyka, umożliwiających monitorowanie efektów i kontrolowanie postępów wdrażania kultury ryzyka.
Nagradzanie świadomego podejścia do ryzyka, prawidłowych postaw i działań u pracowników.
Uwzględnianie wpływu kultury organizacyjnej na sposób identyfikacji i oceny ryzyka oraz na preferowane odpowiedzi na ryzyko w danym przedsiębiorstwie.
Uwzględnienie i przeciwdziałanie indywidualnym i grupowym biasom (subiektywnym przekonaniom, opiniom), mogących wystąpić u pracowników i zarządzających.
Świadomość i uwzględnianie możliwości wystąpienia typowych dla ludzi błędów i pomyłek. Pr oc e s zar ząd zani a ry zyk ie m
Zarządzanie ryzykiem jako ciągły i powtarzalny proces.
Dopasowanie procesu zarządzania ryzykiem do struktur, procesów i celów przedsiębiorstwa.
Określenie wewnętrznego i zewnętrznego kontekstu – zdefiniowanie czynników mających lub mogących mieć wpływ na organizację.
Identyfikacja podmiotów, które mogą odczuwać konsekwencje decyzji podejmowanych w organizacji (na które dana organizacja może mieć wpływ). Przeprowadzona w sposób metodyczny identyfikacja ryzyk, uwzględniając ich źródła oraz konsekwencje.
109
Identyfikacja ryzyk inherentnych (w sytuacji braku działań ograniczających dane ryzyko) i rezydualnych (pozostające po zastosowaniu reakcji na ryzyko inherentne). Bieżąca identyfikacja ryzyk będąca odpowiedzialnością wszystkich pracowników, na wszystkich poziomach organizacji.
Ocena wpływu wcześniej zidentyfikowanych ryzyk na organizację, poprzez określenie ich wielkości oraz prawdopodobieństwa wystąpienia.
Graficzne przedstawienie efektów oceny ryzyka (np. mapa lub matryca ryzyka). Określenie priorytetów poszczególnych ryzyk.
Wybór i wdrożenie właściwej reakcji dla wszystkich ryzyk (akceptacja, unikanie, redukcja, zwiększanie lub transfer).
Opracowanie strategii alternatywnych zarządzania głównymi ryzykami.
Wybór reakcji na ryzyko w taki sposób, aby ryzyka znalazły się w obrębie ustalonych tolerancji na ryzyko.
Wybór optymalnej reakcji na ryzyko, z uwzględnieniem kosztów i korzyści poszczególnych reakcji oraz zobowiązań organizacji.
Ocena opłacalności stosowanych mechanizmów kontroli ryzyka, rezygnacja z mechanizmów nieopłacalnych.
Dostępność środków (środki finansowe, narzędzia, technologie), potrzebnych do zarządzania ryzykiem.
Dostępność pracowników dysponujących odpowiednią wiedzą, umiejętnościami i zaangażowaniem.
Jasny podział obowiązków, określenie ról, odpowiedzialności, rozliczalności i uprawnień związanych z nadzorem i zarządzaniem ryzykiem.
Wyznaczenie właścicieli ryzyk.
Ciągłe monitorowanie i kontrola procesu zarządzania ryzykiem. Regularna weryfikacja i aktualizacja rejestru ryzyk.
110
Kontrola efektywności wdrożonych reakcji na ryzyko.
Analiza zdarzeń historycznych i wyciąganie z nich wniosków na przyszłość.
Rzetelny i aktualny system informacyjny wspomagający strategię i zarządzanie ryzykiem.
System komunikacji wewnątrz i na zewnątrz organizacji zapewniający rzetelne i terminowe komunikowanie informacji do odpowiednich osób.
Raportowanie ryzyka i działań związanych z zarządzaniem ryzykiem.
Zarz ąd zani e i n ad zó r
System wynagradzania zarządzających zależny od długoterminowych wyników, uwzględniający efektywność funkcjonowania zarządzania ryzykiem w organizacji. Spisanie obowiązków dotyczących ryzyka w kontraktach osób zarządzających. Przygotowanie do sukcesji w przypadku kluczowych pracowników i zarządzających. Ustanowienie odpowiedniej struktury operacyjnej oraz struktur ERM tak, aby wspierały one realizację strategii i celów organizacji.
Wpasowanie struktur zarządzania ryzykiem w istniejące w organizacji struktury organizacyjne i procesy.
Właściwy dobór pracowników na stanowiska i ich rozwój z uwzględnieniem niezbędnych na danym stanowisku kompetencji.
Funkcjonowanie menedżera ryzyka.
Menedżer ryzyka dysponujący odpowiednimi zasobami, możliwościami przywódczymi i wsparciem.
Menedżer ryzyka zajmujący odpowiednio wysoką pozycję w strukturze organizacyjnej, mający realny wpływ na podejmowane decyzje dotyczące zarządzania ryzykiem.
Funkcjonowanie w przedsiębiorstwie komitetu ryzyka.
Silne zaangażowanie i wsparcie zarządzania ryzykiem ze strony zarządu. Wdrożenie systemu zarządzania ryzykiem, będące inicjatywą zarządu.
111
Świadomość zarządu dotycząca bieżącej ekspozycji na ryzyko oraz podejmowanych decyzji dotyczących ryzyka.
Odpowiedzialność zarządu za monitorowanie i ocenę efektywności funkcjonowania zarządzania ryzykiem.
Zaangażowanie zarządu w definiowanie apetytu na ryzyko oraz jego akceptacja przez zarząd.
Niezwłoczne informowanie zarządu o istotnych przypadkach ryzyk. Zaangażowanie kierownictwa wszystkich szczebli w zarządzanie ryzykiem. Silne zaangażowanie dyrektora finansowego w zarządzanie ryzykiem. Niezależny, obiektywny i regularny audyt wewnętrzny jednostki.
Stos ow an e n ar zęd zi a i t e ch n iki
Stosowanie ilościowych metod zarządzania ryzykiem (np. VaR, analiza wrażliwości, analiza danych historycznych).
Stosowanie jakościowych metod zarządzania ryzykiem (np. burze mózgów, analiza scenariuszowa).
Ilościowe (liczbowe) określanie wielkości poszczególnych ryzyk.
Analiza i przedstawianie danych w sposób prosty, funkcjonalny i łatwy w interpretacji.
Uwzględnianie w zarządzaniu ryzykiem subiektywnej, racjonalnej oceny sytuacji osób zarządzających.
Określenie strategii zarządzania ryzykiem.
Stworzenie formalnej polityki zarządzania ryzykiem.
Określenie zasad opisujących sposób zarządzania ryzykiem w organizacji, np. wykorzystując do tego celu istniejące standardy zarządzania ryzykiem.
Spisanie procedur zarządzania ryzykiem. Zdefiniowanie apetytu na ryzyko.
112
Określenie poziomów tolerancji dla głównych ryzyk, na jakie narażona jest organizacja.
Stosowanie kluczowych wskaźników ryzyka (key risk indicators/KRI). Wykorzystanie wskaźników wczesnego ostrzegania przed zagrożeniami.
Wykorzystanie wskaźników obrazujących efektywność funkcjonowania systemu zarządzania ryzykiem.
Wykorzystanie narzędzi informatycznych wspomagających zarządzanie ryzykiem. Wykorzystanie nowoczesnej technologii do zarządzania ryzykiem.
Źródło: Opracowanie własne.
Powyższa tabela stanowi syntetyczne podsumowanie najważniejszych elementów zarządzania ryzykiem, opisanych w literaturze oraz standardach zarządzania ryzykiem, będących czynnikami sukcesu tych systemów. Na podstawie szczegółowego przeglądu literatury, autorka wybrała najczęściej wymieniane cechy systemów ERM, mające pozytywny wpływ na funkcjonowanie zarządzania ryzykiem, a co za tym idzie również na wyniki osiągane przez przedsiębiorstwa. Powyższa lista została wykorzystana do przygotowania ankiety, opisanej szczegółowo w rozdziale 4. Czynniki sukcesu systemów zarządzania ryzykiem w
113