Zarządzanie i nadzór

Zarządzanie i nadzór to kluczowy element w przypadku systemu ERM. Postawa zarządzających ma znaczący wpływ na podejmowane decyzje i działania związane z zarządzaniem ryzykiem, a efektywne przywództwo uważane jest za jeden z kluczowych czynników wpływających na przetrwanie firmy (Ahmed, Manab, 2016). Wielu badaczy wskazuje na konieczność silnego zaangażowania i wsparcia zarządzania ryzykiem ze strony zarządzających, bez którego ERM nie może działać prawidłowo (Cormican, 2014; Barton Shenkir, Walker, 2002; Harland, Brenchley, Walker, 2003; Kaplan, 1997; Payne, 2010). Takie wsparcie jest niezbędne do stworzenia właściwej motywacji i poświęcenia oraz zagwarantowania zasobów koniecznych do wdrożenia ERM (Frigo, Anderson, 2011). Aby wzmocnić zaangażowanie zarządzających warto odpowiednio motywować ich do pracy w zarządzaniu ryzykiem. Dobrym rozwiązaniem może być uwzględnienie obowiązków dotyczących ryzyka w ich kontraktach (Fraser, Simkins, 2016) oraz stworzenie odpowiedniego systemu wynagradzania. Wynagrodzenia zarządzających powinny zależeć od długoterminowych wyników przedsiębiorstwa oraz powinny uwzględniać efektywność funkcjonowania zarządzania ryzykiem w organizacji (AFP Asociation for Financial Professionals, 2011).

Chcąc pełnić konstruktywną i efektywną rolę w procesie ERM, menedżerowie powinni ustalić struktury zarządzania ryzykiem umożliwiające właściwy nadzór nad nim (AFP Asociation for Financial Professionals, 2011). Jakkolwiek istnieją pewne struktury specyficzne dla zarządzania ryzykiem, wymagające wyodrębnienia konkretnych elementów procesu zarządzania, jednak większość struktur ERM powinna obejmować już istniejące struktury organizacyjne. Zarządzanie ryzykiem powinno być wpasowane w istniejące w organizacji

97

procesy i być z nimi zintegrowane. Z tego względu struktury zarządzania ryzykiem powinny być dopasowane do danej organizacji i specyficznej dla niej kultury (Segal, 2011, s. 298).

Wśród elementów struktury organizacyjnej, charakterystycznych dla zarządzania ryzykiem warto wymienić przede wszystkim stanowisko menedżera ryzyka. Jak pokazują badania, funkcjonowanie w przedsiębiorstwie menedżera ryzyka wpływa pozytywnie na wartość i wyniki organizacji (Grace, i in., 2015; Duckert, 2011, s. 27). Warto zauważyć, że nie zawsze konieczne jest tworzenie nowego stanowiska CRO (Chief Risk Oficer), konieczne jest jednak wyznaczenie osób kompetentnych, które będą kierować wdrażaniem i monitorować funkcjonowanie ERM (Krysiak, 2011). Menedżer ryzyka to osoba odpowiedzialna przede wszystkim za wdrożenie i nadzór nad funkcjonowaniem ERM, ustalenie zasad i polityki zarządzania ryzykiem, rozwój narzędzi wspomagających ERM oraz komunikowanie profilu ryzyka wewnątrz i na zewnątrz organizacji (Lam, 2014, s. 58). Zatrudnianie menedżera ryzyka jest specyficzne dla przedsiębiorstw charakteryzujących się bardziej zaawansowanym systemem ERM (Lundqvist, 2014). Co ważne, menedżer ryzyka powinien dysponować odpowiednimi zasobami, możliwościami przywódczymi i wsparciem, aby proaktywnie i autorytatywnie komunikować ryzyka w organizacji i móc efektywnie nimi zarządzać (Kaplan, 2016). Powinien on zajmować odpowiednio wysoką pozycję w strukturze organizacji tak, aby miał on realny wpływ na proces zarządzania ryzykiem (Malinowska, 2011, s. 70).

Innym, specyficznym dla zarządzania ryzykiem elementem struktury, wymienianym w literaturze przedmiotu jest komitet ryzyka (Segal, 2011, s. 311, 324). Organ ten powoływany jest zazwyczaj przez radę nadzorczą i ma za zadanie wspomóc ją w wykonywaniu obowiązków związanych z nadzorem nad praktykami zarządzania ryzykiem w spółce. W skład komitetu wchodzić powinni niezależni członkowie rady nadzorczej (Wieczorek, 2015). Zaleca się jednak, aby przynajmniej jednym z członków komitetu była osoba będąca ekspertem w zakresie ryzyka (Deloitte, 2012, s. 9). Zarówno skład komitetu, jak i jego dokładny zakres obowiązków może się różnić w zależności od przedsiębiorstwa, jednak jego główne zadania skupiają się wokół działań nadzorczych i doradczych nad procesem zarządzania ryzykiem. W warunkach polskich funkcjonowanie komitetu ryzyka przypisane jest w dalszym ciągu jedynie dużym spółkom, głównie w sektorze usług bankowych i finansowych (Wieczorek, 2015).

98

Ważną rolę w zarządzaniu ryzykiem pełni również zarząd. Jest on przede wszystkim odpowiedzialni za ustalenie strategii i priorytetów organizacji, a także zatwierdzanie stosowanych polityk i programów (Benjamin, 2017, s. 27-30), również tych dotyczących zarządzania ryzykiem. Aby zapewnić efektywność działania przedsiębiorstwa, to właśnie zarząd powinien być odpowiedzialny za zainicjowanie wdrożenia zarządzania ryzykiem w organizacji (Kleffner, Lee, McGannon, 2003). Powinien również ustanowić strukturę organizacyjną ERM, określić zasady zarządzania ryzykiem oraz zdefiniować role i odpowiedzialności dla zarządzania ryzykiem, w tym rolę menedżera ryzyka (Lam, 2014, s. 62). Zarząd pełni funkcję nadzorczą wobec zarządzania ryzykiem (Młodzik, 2014). Wśród jego zadań z tym związanych wyróżnia się przede wszystkim świadomość ekspozycji na ryzyko oraz podejmowanych decyzji dotyczących ryzyka oraz znajomość stosowanych w przedsiębiorstwie zasad zarządzania ryzykiem. Powinien być on również odpowiedzialny za ocenę efektywności systemu ERM (Segal, 2011, s. 314-316), regularnie monitorując zarówno funkcjonowanie systemu zarządzania ryzykiem, jak i bieżącą ekspozycję przedsiębiorstwa na główne ryzyka (Branson, 2010, s. 63). Ważne jest również zaangażowanie w definiowanie apetytu na ryzyko przedsiębiorstwa (Segal, 2011, s. 314-316), a także jego akceptacja przez zarząd (Whyntie, 2016, s. 196). Do zadań zarządu należy także ustanowienie w organizacji kultury wspierającej i utrzymującej efektywne zarządzanie ryzykiem, gdyż do wdrożenia pożądanej kultury organizacyjnej konieczna jest inicjatywa i przykład płynące z góry (Whyntie, 2016, s. 197). Ważne jest, aby zarząd był terminowo informowany przez kierownictwo o istotnych przypadkach ryzyk, a także aby miał pewność, iż jego bezpośredni podwładni są w stanie właściwie zidentyfikować, ocenić i reagować na ryzyka towarzyszące działalności jednostki (Młodzik, 2014).

Widoczne i skuteczne przywództwo jest elementem krytycznym efektywnego procesu ERM (Branson, 2010, s. 60-61). Dlatego niezwykle ważnym elementem struktury odpowiedzialności za zarządzanie ryzykiem jest kierownictwo wszystkich szczebli organizacji (Młodzik, 2014). Zaangażowanie kierownictwa wzmacnia wagę odpowiedzialności za ryzyko wśród wszystkich pracowników, a także zapewnia spójną ocenę ryzyk w całej organizacji. Wśród osób szczególnie istotnych warto wymienić przede wszystkim dyrektora finansowego, który dzięki możliwości całościowej analizy organizacji od strony finansowej, rozumie jej kluczowe działania, wpływające na uzyskiwane wyniki, co można wykorzystać przy tworzeniu

99

podstawowych struktur wspomagających identyfikację i ocenę ryzyk (Branson, 2010, s. 60-61). Co więcej, dyrektor finansowy jest odpowiedzialny za monitorowanie działań przedsiębiorstwa od strony finansowej, a także wykrywanie ewentualnych oszustw finansowych, co również odgrywa ważną rolę w zarządzaniu ryzykiem (Młodzik, 2014).

Warto również dodać, że zaangażowanie w proces zarządzania ryzykiem nie może kończyć się na zarządzie i kierownictwie organizacji. W proces ten powinni być włączeni wszyscy pracownicy przedsiębiorstwa. Powinni być oni odpowiedzialni za realizację zarządzania ryzykiem w organizacji zgodnie z ustalonymi zasadami i procedurami (Młodzik, 2014). Całkowite ryzyko organizacji jest zależne od tego, w jaki sposób szeregowi pracownicy wykonują swoje obowiązki. W wielu przypadkach to właśnie pracownicy bezpośrednio zaangażowani w poszczególne procesy są wstanie najwcześniej zidentyfikować wewnętrzne czynniki ryzyka (Malinowska, 2011, s. 70).

Istotną rolę w ocenie efektywności i proponowaniu ulepszeń dotyczących zarządzania ryzykiem odgrywa audyt wewnętrzny (Młodzik, 2014). Do jego zadań należy przede wszystkim ocena procesów, operacji oraz podsystemów zarządzania w przedsiębiorstwie, w tym zarządzania ryzykiem. Głównymi cechami audytu wewnętrznego są niezależność od audytowanych obszarów, obiektywizm oceny oraz regularność przeprowadzania audytu (Malinowska, 2011, s. 74). Audyt wewnętrzny, dzięki temu, iż jest wyodrębnioną, niezależną funkcją zapewnia wiarygodne informacje na temat efektywności zarządzania ryzykiem, procesów kontroli wewnętrznej i ładu organizacyjnego (Lam, 2017, s. 160). Powinien też pozytywnie wpływać na sprawność działania tych procesów (Dz. Urz. Min. Fin. 2013 r. poz. 15). Co więcej, audyt wewnętrzny weryfikuje funkcjonowanie polityk i procedur dotyczących ERM oraz dostarcza ważne informacje osobom odpowiedzialnym za zarządzanie ryzykiem (Segal, 2011, s. 316-318).

Podsumowując, do czynników sukcesu systemów zarządzania ryzykiem dotyczących zarządzania można zaliczyć:

• System wynagradzania zarządzających zależny od długoterminowych wyników, uwzględniający efektywność funkcjonowania zarządzania ryzykiem w organizacji. • Spisanie obowiązków dotyczących ryzyka w kontraktach osób zarządzających.

100

• Wpasowanie struktur zarządzania ryzykiem w istniejące w organizacji struktury organizacyjne i procesy.

• Funkcjonowanie menedżera ryzyka.

• Menedżer ryzyka dysponujący odpowiednimi zasobami, możliwościami przywódczymi i wsparciem.

• Menedżer ryzyka zajmujący odpowiednio wysoką pozycję w strukturze organizacyjnej, mający realny wpływ na podejmowane decyzje dotyczące zarządzania ryzykiem.

• Funkcjonowanie w firmie komitetu ryzyka.

• Silne zaangażowanie i wsparcie zarządzania ryzykiem ze strony zarządu. • Wdrożenie systemu zarządzania ryzykiem, będące inicjatywą zarządu.

• Świadomość zarządu dotycząca bieżącej ekspozycji na ryzyko oraz podejmowanych decyzji dotyczących ryzyka.

• Odpowiedzialność zarządu za monitorowanie i ocenę efektywności funkcjonowania zarządzania ryzykiem.

• Zaangażowanie zarządu w definiowanie apetytu na ryzyko oraz jego akceptacja przez zarząd.

• Niezwłoczne informowanie zarządu o istotnych przypadkach ryzyk. • Zaangażowanie kierownictwa wszystkich szczebli w zarządzanie ryzykiem. • Silne zaangażowanie dyrektora finansowego w zarządzanie ryzykiem. • Niezależny, obiektywny i regularny audyt wewnętrzny jednostki.