Historia zarządzania ryzykiem rozpoczęła się wraz ze zdolnością ludzi do logicznego myślenia – rozważano ryzyko zaatakowania dużego zwierzęcia, mając w perspektywie korzyść z dużej ilości jedzenia, ryzykowano zasobami ziarna przeprowadzając zasiewy pól, w oczekiwaniu nagrody w postaci żniw, składano ofiary bogom w oczekiwaniu nagrody w życiu pozagrobowym. Tak, więc podejmowanie ryzyka w oczekiwaniu odniesienia korzyści jest naturalną konsekwencją przemyślanego działania człowieka. Jednak koncepcja zarządzania ryzykiem jako systematycznego, konsekwentnego i logicznego procesu pojawiła się dopiero wraz z powstaniem matematycznej teorii prawdopodobieństwa. Od tego czasu rozpoczął się rozwój coraz bardziej wyrafinowanych ilościowych metod określających prawdopodobieństwo, wpływ i ekspozycje na ryzyko106. Należy podkreślić, że zarządzanie ryzykiem jest właśnie procesem, a nie jednorazowym przedsięwzięciem107
. Właściwy przebieg tego procesu uzależniony jest od dostępności danych niezbędnych do oszacowania poziomu ekspozycji. Dane dotyczące niektórych obszarów ryzyka w tym ryzyka operacyjnego pozyskiwane są metodami jakościowymi polegającymi na subiektywnej ocenie czynników ryzyka oraz prawdopodobieństwie ich wystąpienia w kontekście korzyści lub strat z podjęcia bądź zaniechania określonego działania. Dodatkowym aspektem związanym z pomiarem ryzyka operacyjnego są trudności w oszacowaniu wartości niematerialnych aspektów działalności takich jak na przykład reputacja firmy.
Systemy zarządzania ryzykiem początkowo były wdrażane w bankach oraz instytucjach finansowych. Dla potrzeb związanych z ich funkcjonowaniem na rynkach finansowych instytucje nadzorcze wydały regulacje dotyczące metod i standardów zarządzania ryzykiem rynkowym, kredytowym i operacyjnym. Rozwój koncepcji zarządzania ryzykiem w sektorze przedsiębiorstw spowodowany został przez szereg czynników, które spowodowały, że ten problem, stał się elementem decydującym w niektórych przypadkach o być albo nie być przedsiębiorstwa. Wśród nich można wyróżnić: nowe technologie, globalizację, konkurencję, deregulację oraz otwarcie rynków, które dotychczas były chronione. Tendencja do globalizacji opanowująca niemal wszystkie rynki i sektory gospodarki powoduje, że przed otwierają się przed przedsiębiorstwami nowe dotychczas nieznane obszary ryzyka. Zwiększający się poziom konkurencyjności, powoduje pokusę ograniczania kosztów poprzez eksponowanie się na wyższe ryzyko, co w rezultacie prowadzi do olbrzymich strat czy nawet upadków przedsiębiorstw. Właściwe zarządzanie ryzykiem powoduje wzrost konkurencyjności firmy zarówno w aspekcie jej stabilnej pozycji rynkowej, jak i zachowaniu niezachwianej reputacji, a tym samym wiarygodności przedsiębiorstwa. W literaturze przedmiotu proces zarządzania ryzykiem często definiowany jest jako koordynacja zbiorowych wysiłków zmierzających do obniżenia stopnia oddziaływania ryzyka na funkcjonowanie podmiotu gospodarczego i do podejmowania w tym celu optymalnych
106
Sparrow A., A theoretical framework for operational risk management and opportunity realization, New Zealand Treasury Working Paper 10/2000 s.6
decyzji108. Szczegółowe poznanie charakteru i zakresu potencjalnego ryzyka pozwala na wybór w odpowiednim czasie czynności zapobiegawczych bądź też minimalizujących jego wpływ i skutki. Zarządzanie ryzykiem stanowi centralny element zarządzania każdej organizacji. Jest to proces, w ramach którego organizacja w sposób metodyczny rozwiązuje problemy związane z ryzykiem, które towarzyszy jej działalności, w taki sposób, aby ta działalność – zarówno w poszczególnych dziedzinach jak i traktowana jako całość – przynosiła trwałe korzyści. Celem zarządzania ryzykiem jest zapewnienie maksymalnych korzyści we wszelkich dziedzinach działalności organizacji. Obejmujących zarówno zrozumienie potencjalnych pozytywnych i negatywnych skutków oddziaływania poszczególnych czynników ryzyka, jak i działania na rzecz zwiększenia prawdopodobieństwa sukcesu oraz zmniejszenia prawdopodobieństwa porażki. Istotne jest by zarządzanie ryzykiem było procesem stale udoskonalanym i na bieżąco aktualizowanym. Powinno w sposób metodyczny rozwiązywać wszelkie kwestie związane z zagrożeniami dla działalności organizacji. Zarządzanie ryzykiem musi się stać integralnym elementem kultury organizacyjnej, rozumianej jako styl działania organizacji. W ramach tego procesu musi dochodzić do przełożenia założeń strategicznych na konkretne cele taktyczne i operacyjne, a także ścisłego określenia odpowiedzialności wszystkich menedżerów i pracowników, którzy w ramach swoich obowiązków zajmują się zarządzaniem ryzykiem. Ponadto implementacja systemu zarządzania ryzykiem powinna wiązać się z oceną osiągnięć i właściwym wynagradzaniem za nie, a tym samym promowaniem efektywności działania na wszystkich szczeblach organizacji109.
Sposób definiowania procesu zarządzania ryzykiem jest zależny od przyjętej definicji ryzyka. Autorzy, którzy przyjęli neutralną definicję ryzyka definiują zarządzanie ryzykiem jako proces za pomocą którego kierownictwo identyfikuje, ocenia, monitoruje i kontroluje ryzyko związane z działalnością110. Według tak przyjętej definicji celem procesu zarządzania ryzykiem nie jest minimalizacja ryzyka, lecz jego ograniczenie do poziomu akceptowanego przez strategię firmy. Podejście takie pozwala na podjęcie ryzyka w akceptowalnym wymiarze co jest warunkiem koniecznym uzyskania dodatkowych korzyści. Przykładem definicji tego typu jest stanowisko M. Mainelliego, który zarządzanie ryzykiem traktuje jako proces analizowania ryzyka w odniesieniu do strategii firmy, ludzi, systemów i problemów organizacyjnych celem poprawy wyników finansowych. Identyfikacja, zrozumienie i kontrolowanie ryzyka pozwala firmie zaakceptować wyższy jego poziom, a tym samym poprawić wynik finansowy111
.
Alternatywne definicje zarządzania ryzykiem prezentują zwolennicy negatywnej definicji ryzyka, rozumiejący je wyłącznie jako możliwość poniesienia straty. Według tego podejścia zarządzanie ryzkiem to zespół środków ukierunkowanych na zidentyfikowanie występujących w firmie zagrożeń wyniku finansowego, ewentualne ograniczenie możliwości jego wystąpienia lub złagodzenia jego skutków112. Celem zarządzania ryzykiem według tej koncepcji jest niedopuszczenie do powstania strat, które zagrażałyby funkcjonowaniu firmy. Bardziej rozbudowaną definicję proponują autorzy, którzy koncentrują się na samym procesie zarządzania ryzykiem. Według nich zarządzanie ryzykiem to zespół działań związanych z koordynacją, organizowaniem , planowaniem i kontrolowaniem zarówno wykonawców, jak
108 Kast F., Rosenzweig J., Organization and Management, A System and Contingency Approach, McGraw Hill, New York 1979, s. 339
109 Raport Federation of European Risk Management Associations : Standard Zarządzania Ryzkiem, 2003 dostępny na www.farma-asso.org
110 Koch T., MacDonald S., Bank Management, The Drydden Press, 2000, s.120
111 Mainelli M., Industrial Strengths: Operational Risk and Banks, Balance Sheet, Vol. 10, Nr 3, , MCB University Press August 2002, s.28
i środków materialnych i informacyjnych związanych z realizacja przedsięwzięć o niskim prawdopodobieństwie wykonania lub/i wysokim prawdopodobieństwie porażki, przy dużym potencjale zysku związanym z osiągnięciem zakładanych celów113. Definicją wpisującą się w tą koncepcję jest również propozycja J. Bizon- Góreckiej, która definiuje zarządzanie ryzykiem jako plan działania w istotnym dla organizacji obszarze, polegający na sformułowaniu celów, a także podejmowaniu świadomych i elastycznych działań zależnych od poziomu prawdopodobieństwa zaistnienia straty114
Propozycje uproszczonej definicji ukierunkowanej na sposoby radzenia sobie z ryzykiem zaproponowali M. Hillman i H. Keltz z AMR Research. Według nich zarządzanie ryzykiem to: ”proces obejmujący pomiar ekspozycji na ryzyko a następnie przyjęcie strategii radzenia sobie z ryzykiem. Te strategie mogą polegać na przeniesieniu ryzyka na inne podmioty, podziale i unikaniu ryzyka, łagodzeniu jego skutków”115.
Odmienną klasyfikację definicji zarządzania ryzykiem stanowi podział na: zarządzanie ryzykiem sensu stricte i zarządzanie ryzykiem sensu largo. Proces zarządzania ryzykiem sensu stricte polega na identyfikacji, pomiarze, sterowaniu i kontrolowaniu ekspozycji na ryzyko116. Natomiast szerszy wariant definicji zawiera dodatkowo etap planowania obejmujący ustalenie celów, które mają zostać zrealizowane w procesie zarządzania. Zarządzanie ryzykiem w szerszym wariancie rozpatruje sam proces z perspektywy funkcji kierowniczych. Chcąc przeanalizować ten wariant definicji należy odwołać się do charakterystyki podstawowych funkcji kierowniczych. Opis tych funkcji zawarty został w Tabeli 2.1.
Tabela 2.1. Podstawowe funkcje kierowania
Funkcja Opis
planowanie obejmujące wyznaczenie podstawowych
celów
organizowanie polegające na określeniu działań i czynności
określonego procesu, a także alokacja zasobów
przewodzenie dotyczące kierowania, motywowania i
wywierania wpływu na pracowników
kontrolowanie obejmujące ocenę efektywności i
podejmowanie działań korygujących Źródło: opracowanie na podst. Stoner J., Freeman R., Gilbert D., Kierowanie, PWE, Warszawa 1997, s.27 Wymienione funkcje kierowania można odnieść do procesu zarządzania ryzykiem w przedsiębiorstwie. Szczegółowy przebieg tego procesu został zilustrowany na Rysunku 2.1.
113Teczke J., Zarządzanie …, op.cit., , s.5
114 Bizon- Górecka J., Strategie zarządzania ryzykiem w organizacji gospodarczej, Przegląd organizacji, 1/2001, s.13
115 Hillman M., Keltz H., Managing Risk in the Supply Chain—A Quantitative Study, AMR Research, Boston January 03, 2007, s.2
116
Thornhill T., Effective risk management for financial institutions, Bank Administration Institute, Illinois 1989, s.20
Rysunek 2.1. Proces zarządzania ryzykiem
źródło: opracowanie własne na podst. Dublaszewski M., Zarządzanie ryzykiem w sektorze publicznym, Gazeta Prawna nr 94, 14 maj 2008
Odmienna koncepcja systemu zarządzania ryzykiem zaprezentowana została przez firmę Ernest & Young117. Według tej koncepcji warunkiem koniecznym osiągnięcia sukcesu przez organizację jest podjęcie aktywnej polityki zarządzania ryzykiem. Firmy muszą mięć świadomość zagrożeń związanych z kluczowymi ryzykami towarzyszącymi ich działalności i wprowadzić odpowiednie procedury pozwalające na podjęcie skoordynowanych i zintegrowanych działań umożliwiających zarządzanie zidentyfikowanymi ryzykami. Według tego podejścia zarządzanie ryzykiem jest przede wszystkim zorientowane na realne zwiększenie prawdopodobieństwa osiągnięcia zamierzonych przez firmę celów. Określenie celów pozwala na identyfikacje ryzyka, które może w przyszłości zagrozić ich realizacji. Proces zarządzania ryzykiem według tej koncepcji składa się z sześciu etapów (patrz rysunek 2.2.):
budowa infrastruktury zarządzania ryzykiem;
określenie ryzyk gospodarczych;
opracowanie strategii zarządzania ryzykiem;
projektowanie i wdrażanie mechanizmów kontroli ryzyka;
monitorowanie efektywności procedur kontroli ryzyka;
usprawnianie mechanizmów zarządzania ryzykiem.
117
Namazbayev A., Enterprise Risk Management An Aspect of Corporate Governance, Business Risk Services Ernest & Young, September 2005, s.2
proces zarządzania ryzykiem 1. ustalenie ogólnych i szczegółowych celów procesu 2. stworzenie struktur organizacyjnych i przyporządkowanie im okreslonych zadań 3. kierowanie działalnością, motywowanie i kontrolowanie przebiegu procesu 4. badanie stopnia realizacji wyzynaczonych celów i dzialania korygujące
Rysunek 2.2. System zarządzania ryzykiem
Źródło: opracowanie własne na podst. Wietrzyk A., Zarządzanie ryzykiem w organizacjach, Ernest & Young Advisory, październik 2005, s.5
Zarządzanie ryzykiem obejmuje procesy zmierzające do ograniczania wpływu czynników ryzyka na elementy prowadzonej działalności biznesowej118. W szerszym ujęciu, dąży do identyfikacji możliwości inwestycyjnego wykorzystania tych fluktuacji do zwiększania zysków119. Z uwagi na ciągłą zmienność warunków działalności zarządzanie ryzykiem nie ma charakteru periodycznego, lecz jest logicznie uporządkowanym ciągiem następujących po sobie zdarzeń, działań, decyzji i uzgodnień120, których efektem jest powstanie pewnej wartości dodanej. Szczegółowy przebieg procesu zarządzania ryzykiem jest przedstawiony z Tabeli 2.2.
Tabela 2.2. Proces zarządzania ryzykiem Etapy procesu zarządzania ryzykiem charakterystyka budowa infrastruktury zarządzania ryzykiem
Wdrożenie etapu budowy infrastruktury można podzielić na trzy fazy:
określenie polityki zarządzania ryzykiem- faza obejmująca określenie celów i zadań organizacji w zakresie zarządzania ryzykiem i uzgodnienie ich z ogólną strategią organizacji, przyjęte cele powinny zostać formalnie przyjęte przez kierownictwo organizacji i przedstawione wszystkim pracownikom. Polityka zarządzania ryzykiem zależy od charakteru organizacji, od jej dotychczasowego podejścia i skłonności do podejmowania ryzyka tzw. apetytu na ryzyko oraz od warunków otoczenia121.
ustalenie sposobu komunikacji wewnętrznej- przeprowadzane w celu
118 Panjer H., Operational risk; Modeling Analytics, Wiley & Sons 2006, s.35 119Smołka M., Ryzyko pod kontrolą, Nowe Technologie, 5 kwiecień 2006
120
Perera, J.; Holsomback, J., An integrated risk management tool and process, Aerospace Conference IEEE, 5-12 March 2005, Big Sky, Montana, s. 129 dostepny na http://ieeexplore.ieee.org
121
Wang S., Faber R. Enterprise Risk Management for Property-Casualty Insurance Companies, research project, Casualty Actuarial Society and ERM Institute International, Ltd, August 1, 2006, s. 15
usprawnianie mechanizmów zarządzania ryzykiem monitorowanie efektywności
procedur kontroli ryzyka projektowanie i wdrażanie mechanizmów kontroli ryzyka opracowanie strategii zarządzania
ryzykiem
określenie ryzyk gospodarczych budowa infrastruktury zarządzania
ryzykiem SYSTEM ZARZĄDZANIA RYZYKIEM
ustalenia wspólnej płaszczyzny komunikacji w odniesieniu do wszystkich rodzajów ryzyka dotykających firmy122. Wdrożenie właściwej komunikacji jest bardzo istotne z uwagi na to, że proces zarządzania ryzykiem może być efektywny tylko w przypadku gdy ryzyko jest jednakowo definiowane i identyfikowane przez pracowników funkcjonujących na różnych szczeblach struktury organizacyjnej, odpowiedzialnych za poszczególne procesy gospodarcze lub zlokalizowanych w różnych jednostkach organizacyjnych zdefiniowanie struktury organizacyjnej- Polega na określeniu roli pracowników i kierownictwa w procesie zarządzania ryzykiem. Do każdego szczebla organizacji powinien zostać przyporządkowany zdefiniowany zakres obowiązków, a także sposób raportowania strat i koordynowania działań. określenie ryzyk
gospodarczych
obejmuje identyfikacje poszczególnych rodzajów ryzyka wraz z ich hierarchizacją według istotności z punktu widzenia bezpieczeństwa firmy. Proces identyfikacji i analizy ryzyka powinien być prowadzany w sposób planowy i systematyczny. Powinien obejmować poszczególne procesy działalności jak i jednostkę jako całość, zarówno w odniesieniu do czynników wewnętrznych jak i zewnętrznych.
opracowanie strategii zarządzania ryzykiem
polega na określeniu sposobu radzenia sobie z ryzykiem w zależności od skłonności do akceptacji. Powszechnie akceptowanymi strategiami są strategie unikania ryzyka, podjęcia ryzyka, redukcji lub transferu ryzyka123
. Po przeanalizowaniu poszczególnych możliwych wariantów strategii zarządzania ryzykiem, należy podjąć decyzje co do wyboru strategii właściwej dla danego rodzaju ryzyka, ale w sposób spójny z ogólną strategią firmy. Wyborowi odpowiedniej startego powinny zostać przyporządkowane konkretne działania służące do jej realizacji.
projektowanie i wdrażanie
mechanizmów kontroli ryzyka
Faza polegająca na monitorowaniu i kontroli wszystkich kluczowych elementów procesu zarządzania ryzykiem wraz z ich wzajemnymi powiązaniami. Opracowanie i wdrożenie mechanizmów kontroli ryzyka odbywać się powinno w sposób ciągły z uwagi na to, że poszczególne elementy procesu powinny podlegać stałemu usprawnianiu.
monitorowanie efektywności procedur kontroli ryzyka
polega na sformalizowanym raportowaniu i planowanych spotkaniach dotyczących istotnych kwestii zidentyfikowanych w ramach istniejących procedur zarządzania ryzykiem124 oraz na przeprowadzaniu okresowego audytu wewnętrznego i kontroli efektywności systemu. Monitorowaniu podlega m.in.: adekwatność ogólnej strategii organizacji i struktur zarządzania ryzykiem, adekwatności profilu ryzyka z uwagi na zmienność otoczenia. Efektywne monitorowanie systemu zarządzania ryzykiem umożliwia Zarządowi firmy właściwą ocenę jego poprawności.
usprawnianie mechanizmów zarządzania ryzykiem
polega na stałym uaktualnianiu procedur związanych z identyfikacją, pomiarem, monitorowaniem i kontrolą procesu zarządzania ryzykiem.
Źródło: opracowanie własne
W literaturze przedmiotu125 wyróżnia się siedem elementów skutecznego procesu zarządzania ryzykiem, a mianowicie:
122
Dyche J., The CRM Handbook: A Business Guide to Customer Relationship Management, Addison Wesley,2000, s.15
123
Lee S., Chung H., Build a Framework to Measure, Minimize Data Risks, Information Management Journal, August 18, 2008, s.3
124 Kendall R. Zarządzanie ryzykiem dla menadżerów, Liber, Warszawa 2000, s. 29
125
Por. Jajuga K., Zarządzanie… op.cit., s.27, Lam J., Enterprise Risk Management, from incentives to control, Wiley & Sons, New York 2003
ład korporacyjny (corporate governance),
zarządzanie liniami biznesowymi,
zarządzanie portfelem,
transfer ryzyka,
analiza ryzyka,
zasoby technologiczne i zasoby danych,
komunikacja z interesariuszami podmiotu.
Tabela 2.3. zawiera omówienie każdego z elementów z punktu widzenia zarządzania ryzykiem
Tabela 2.3. Elementy skutecznego procesu zarządzania ryzykiem
elementy charakterystyka
ład korporacyjny oznacza sposób funkcjonowania firmy pod względem relacji pomiędzy poszczególnymi podmiotami zaangażowanymi w firmę, chodzi tu m.in. o wierzycieli, udziałowców, inwestorów. Wprowadzenie zasad ładu korporacyjnego w podmiocie gospodarczym powinno gwarantować, że zarządzający tym podmiotem (np. zarząd i rada nadzorcza) przestrzegają procedur organizacyjnych i kontrolnych umożliwiających pomiar i sterowanie ryzykiem126
zarządzanie liniami biznesowymi
Zarządzanie ryzykiem powinno być jednocześnie procesem charakteryzowanym jako top down i bottom up127. Top down oznacza, że zarządzający podmiotem gospodarczym określają limity ryzyka w odniesieniu do poszczególnych linii biznesowych, powierzając zarządzanie tymi liniami, a tym samym zarządzanie ryzykiem danej linii właściwym osobom odpowiedzialnym za te zadania. Bottom up oznacza, że informacji o wielkości ryzyka odnoszonych do konkretnych linii biznesowych są agregowane, aby na poziomie całego przedsiębiorstwa generować informacje o ryzyku całego przedsiębiorstwa.
zarządzanie portfelem
Ryzyko podmiotu gospodarczego nie jest suma ryzyk poszczególnych części składowych tego podmiotu. Ryzyko całego podmiotu zależy nie tylko od ryzyka poszczególnych linii biznesowych, ale również od stopnia powiązania tych linii. W tym ujęciu podmiot traktowany jest jako portfel linii biznesowych, a do pomiaru ryzyka i sterowania ryzykiem stosowane są narzędzia wypracowane na gruncie teorii portfela128.
transfer ryzyka To najczęściej stosowany sposób sterowania ryzykiem, w sytuacji gdy podmiot nie jest w stanie uniknąć ryzyka
analiza ryzyka To najbardziej zaawansowany element zarządzania ryzykiem. Analiza ryzyka koncentruje się na identyfikacji i pomiarze ekspozycji na ryzyko, który jest kluczowym elementem każdego procesu zarządzania ryzkiem129
zasoby
technologiczne i zasoby danych
Skuteczny system zarządzania ryzykiem musi mieć u podstaw odpowiednie narzędzia informatyczne umożliwiające bieżący monitoring i pomiar ryzyka. Jeszcze bardziej istotne jest zgromadzenie bazy danych o stratach historycznych130 oraz bieżących danych dotyczących danego podmiotu i jego otoczenia umożliwiające dynamiczne dostosowywanie procesu zarządzania ryzykiem do zmieniającej się sytuacji.
126 Szerzej problematyka ładu korporacyjnego (corporate governance została poruszona w dalszej części Rozdziału II
127 modele szacowania ryzyka oparte o podejście bottom up i top down zostały omówione w Rozdziale III
128
Teoria portfela została opracowana przez H. Markowitza na potrzeby analizy ryzyka inwestycji finansowych szerzej H. Markowitz, Portfolio Selection .Efficient Diversification of Investments, Yale University Press, New Haven 1959
129
Metody pomiaru ryzyka operacyjnego zostały szczegółowo omówione w Rozdziale III
komunikacja z interesariuszami podmiotu
Zarządzanie ryzykiem nie jest wewnętrzną sprawą zarządzających podmiotem gospodarczym. Istotne jest włączenie w ten proces wszystkich pracowników przedsiębiorstwa. Muszą oni wiedzieć w jaki sposób ich działania wpływa na ryzyko podmiotu, a zatem także na wartość podmiotu- jest to kluczowy element tworzenia kultury zarządzania ryzykiem. Proces zarządzania ryzykiem musi być przejrzysta dla interesariuszy podmiotu do których można zaliczyć: wierzycieli, organy nadzorcze, analityków finansowych którzy dokonują oceny danego podmiotu jako obiektu inwestycji. W sektorze przedsiębiorstw zarządzanie ryzykiem nie jest wymogiem prawnym, aczkolwiek sprawnie funkcjonujący system zarządzania zwiększa wiarygodność a tym samym atrakcyjność firmy dla inwestorów.
Źródło: opracowanie na podst. Jajuga K., Zarządzanie ryzykiem, Wydawnictwo Naukowe PWN, Warszawa 2007, s.27-29