ŁUKASZ KOWALSKI, PBSG – ZARZĄDZANIE RYZYKIEM
„Ryzyko” oraz „zarządzanie ryzykiem” to bardzo powszechnie używane w dzisiejszych czasach terminy. Odnoszą się one do każdej formy działalności. Ryzyko jest niezbędne do osiągnięcia zysku w transakcjach na rynkach finansowych, w produkcji, czy też w handlu.
Wobec bardzo szybko zmieniających się warunków zewnętrznych oraz niejednokrotnie złożonych procesów składających się na biznes, istnieje wiele różnych sposobów klasyfikacji ryzyka. Co więcej, każda forma działalności wiąże się z innymi obszarami ryzyka, aczkolwiek sam proces zarządzania ryzykiem, mimo wielu podejść, charakteryzuje się jednolitą strukturą.
Istnieje szereg modeli zarządzania ryzykiem, do których zaliczamy między innymi:
- COSO II (USA)
- AS/NZS 4360:2004 (Australia i Nowa Zelandia)
- Management of Risk (UK)
- Risk Management Standard (UK).
Najbardziej popularnym podejściem jest COSO II – zintegrowana struktura ramowa zarządzania ryzykiem korporacyjnym, które polecają eksperci PBSG.
COSO II
Dlaczego warto zarządzać ryzykiem? Kierownictwo dzięki zidentyfikowaniu wszelkiego rodzaju zdarzeń mających wpływ na osiąganie przez przedsiębiorstwo zaplanowanych celów jest świadome ryzyka prowadzenia działalności, może podejmować trafniejsze decyzje oraz w ostatecznym rozrachunku osiągnąć założony poziom zysku.
Dzięki zarządzaniu ryzykiem możliwe jest określenie wymaganego poziomu ryzyka dla poszczególnych obszarów, jak i dla całej organizacji. Takie podejście pozwala na kontrolowanie działań firmy w zakresie ryzyka. Jeżeli okaże się, że poziom ryzyka w firmie jest wyższy lub niższy niż wskazuje na to poziom akceptowalny, kierownictwo powinno zarządzić podjęcie odpowiednich działań.
Oprogramowanie Smart - Mapa ryzyka
Zarządzanie ryzykiem zgodnie z COSO II składa się z następujących elementów: środowisko wewnętrzne, ustalanie celów, identyfikacja ryzyka, ocena ryzyka, reakcja na ryzyko, kontrola, informacja i komunikacja, monitorowanie. Z niemal identycznych elementów składają się pozostałe modele. Najważniejsze z metodologicznego punktu widzenia są cztery elementy: identyfikacja ryzyka, ocena ryzyka, reakcja na ryzyko oraz kontrola.
W pierwszej kolejności należy zidentyfikować punkty krytyczne na przestrzeni całej firmy z podziałem na obszary ryzyka. Etap ten polega na zidentyfikowaniu wszelkiego rodzaju możliwych do wystąpienia zdarzeń mających swoje źródło wewnątrz, jak i na zewnątrz organizacji. Celem jest stworzenie listy punktów krytycznych w organizacji. Etap ten może zostać zrealizowany poprzez spotkania z pracownikami, analizę procesów, sprawdzanie listy potencjalnych zdarzeń itp.
Ocena ryzyka to proces przyporządkowania poszczególnym punktom krytycznym skutku oraz prawdopodobieństwa wystąpienia. Wartości te mogą być wyrażone ilościowo lub jakościowo i zostać określone na podstawie wywiadów z pracownikami, porad ekspertów, danych statystycznych, badań rynkowych itp. Ogólny poziom ryzyka wyznaczany jest zgodnie z przyjętą w organizacji metodyką. Przy jego wyliczeniu oprócz wartości skutku i prawdopodobieństwa często uwzględnia się również skuteczność istniejących już środków kontroli. Określone poziomy ryzyka pozwalają na uszeregowanie punktów krytycznych i wybór ryzyk o nieakceptowalnym poziomie.
Oprogramowanie Smart - Punkt krytyczny, środek kontroli, właściciel ryzyka
Kolejnym krokiem jest określenie reakcji na ryzyko dla wyodrębnionych punktów krytycznych o nieakceptowalnym poziomie. Reakcja może polegać na rezygnacji z działalności powodującej powstanie ryzyka, działaniach zmierzających do ograniczenia prawdopodobieństwa lub skutku wystąpienia, przeniesieniu ryzyka na podmiot trzeci lub też akceptacji ryzyka.
Działania kontrolne to następny komponent COSO II. Polega on na ustanowieniu czynności mających na celu zapobieganie wystąpieniu nieprawidłowości oraz czynności odpowiadających za wykrywanie zrealizowanych ryzyk.
Opisane wyżej cztery komponenty zarządzania ryzykiem stanowią podstawę działania oprogramowania Smart. Identyfikacja ryzyka, jego analiza i ocena oraz czynności kontrolne zobrazowane są w formie graficznej, co pozwala w intuicyjny sposób organizować zarządzanie ryzykiem w przedsiębiorstwie.
Każdemu elementowi przyporządkowany jest szereg atrybutów. Punkty krytyczne oceniane są względem skutku i prawdopodobieństwa wystąpienia, środki kontroli względem skuteczności ich działania oraz stopnia wdrożenia. Pozwala to na określenie poziomów ryzyka, które umożliwiają podjęcie decyzji w zakresie reakcji na ryzyko przy pomocy różnego rodzaju raportów (np. macierzy ryzyka).
Oprogramowanie Smart - Macierz ryzyka
Nie należy zapominać o komponenty takich, jak środowisko wewnętrzne, ustalanie celów, informacja i komunikacja oraz monitorowanie, które również są ważnymi elementami zarządzania ryzykiem w organizacji. Środowisko wewnętrzne oznacza między innymi sposób podejścia do analizy ryzyka prezentowany przez zarząd i najwyższe kierownictwo oraz strukturę organizacyjną firmy. Ustalanie celów jest ważne dla wyboru strategii zgodnej z przyjętym poziomem ryzyka. Komponent informacji i komunikacji jest odpowiedzialny za przepływ wiadomości wewnątrz i na zewnątrz. Monitorowanie polega zaś na ciągłym sprawdzaniu procesu zarządzania ryzykiem.
Uwzględnienie tych elementów w oprogramowaniu Smart polega na utworzeniu struktury odpowiedzialności, modelowaniu procesów, załączeniu dokumentów takich jak kodeks etyczny, filozofia działania przedsiębiorstwa. Ważna część oprogramowania to audyt wewnętrzny, za pomocą którego możliwy jest monitoring procesu zarządzania ryzykiem. Jest to bardzo rozbudowana funkcjonalność Smarta.
Podsumowując, oprogramowanie Smart to bardzo elastyczne narzędzie, które pozwala na usprawnienie procesu zarządzania ryzykiem w przedsiębiorstwie zgodnie z wybranym standardem – COSO II, AS/NZS 4360:2004, Management of Risk, Risk Management Standard (UK) – lub też wewnętrznie opracowanym w przedsiębiorstwie podejściem.
Simoni