W większości polskich przedsiębiorstw zarządzanie ryzykiem sprowadza się do mniej lub bardziej uświadomionego zidentyfikowania potencjalnych zagrożeń dla działalności operacyjnej. Nowo wprowadzane regulacje (np. Dobre Praktyki Spółek notowanych na GPW, ISO 9001:2015) chociaż zakładają wprowadzenie systematycznego podejścia do zarządzania ryzykiem, to jednak zwykle kończy się to na politykach, procedurach i opasłych plikach Excel. A firma jak działała, tak działa według starych utartych reguł, co w żaden widoczny sposób nie przekłada się na zmniejszenie ryzyka prowadzonej działalności. A przecież dobrze zidentyfikowane ryzyka oraz skuteczne wdrożenie działań zapobiegawczych mogą przynieść wiele korzyści dla przedsiębiorstwa, o których wspominaliśmy już w naszym ostatnim artykule „Jakie korzyści może dać firmie zarządzanie ryzykiem?”.

Pod tym względem istnieje spora różnica między przedsiębiorstwami w Polsce i w krajach rozwiniętych, co widać chociażby na poniższym zestawieniu prezentującym techniki stosowane przez obie grupy firm do identyfikacji ryzyka. Od prezentowanych badań minęło już wprawdzie kilka lat, ale można powątpiewać, czy w tym czasie miała miejsce w Polsce znacząca rewolucja w obszarze zarządzania ryzykiem. Nowe standardy działania są raczej adaptowane i wdrażane powoli i z pewnym oporem.

Metody identyfikacji ryzyka w przedsiębiorstwach polskich i na świecie

Pozostaje zatem pytanie, co zrobić albo w jaki sposób postępować przy projektowaniu i wdrożeniu systemu zarządzania ryzykiem, aby przyniosło to wymierne efekty, tzn. aby w poszczególnych obszarach działalności firmy ograniczyć ryzyko do akceptowalnego poziomu. Punktem wyjścia powinien być jakiś schemat postępowania, np. zaproponowany w którymś z funkcjonujących na rynku standardach zarządzania ryzykiem. Ze względu na to, że praktycy na świecie najczęściej proponują ISO 31000, my również odniesiemy się do niego. Często można bowiem spotkać się ze stwierdzeniem, że w odróżnieniu od innych standardów jest łatwo zrozumiały dla przeciętnego pracownika.

W standardzie tym przyjęto ogólny proces zarządzania ryzykiem, który przedstawiony został na rysunku poniżej.

Na czym zatem to polega? W skrócie chodzi o to, aby przedsiębiorstwo  kolejno zidentyfikowało, przeanalizowało i oceniło kategorie ryzyka, na które jest narażone. Następnie – co najistotniejsze – powinno wypracować odpowiednie metody i działania, które pozwolą pozwolą na ograniczenie istniejącego ryzyka do poziomu, który pozwoli na maksymalizację zysków, a jednocześnie zminimalizuje ryzyko ponoszonych strat.  W praktyce najtrudniejszy zwykle jest początek oraz koniec, tzn. najtrudniej jest zmusić się do uporządkowanego wysiłku, który pozwoli poznać firmę i jej otoczenie, co jest podstawą dla etapu identyfikacji ryzyka. Jest to tzw. poznanie kontekstu organizacji, któremu autorzy standardów poświęcają stosunkowo niewiele czasu, a jest to zagadnienie trudne nawet dla doświadczonych praktyków. Poświęcimy mu jeden z kolejnych naszych wpisów.

Z drugiej strony najtrudniejszy jest również ostatni etap – czyli wypracowanie rozwiązań, które pozwolą na redukcję ryzyka. Wydawać by się mogło, że doświadczeni pracownicy mający po kilka lub kilkanaście lat stażu pracy w danym dziale z łatwością wskażą potencjalne rozwiązania i tylko czekają na okazję do tego. Praktyka jednak pokazuje, że poza nielicznymi wyjątkami sytuacja jest zupełnie inna. Najczęściej spotkamy się z brakiem jakichkolwiek pomysłów i wtedy ciężar ten spada na barki prowadzącego projekt.

Zatem, aby skorzystać na wdrożeniu systemu zarządzania ryzykiem i nie zamęczyć tym projektem organizacji trzeba kierować się pewnymi zasadami, co też pozwoli na uzyskanie korzyści, o których wspominaliśmy wcześniej. Bez stosowania tych zasad, zrealizowanie naszych celów może okazać się bardzo trudne, wręcz niemożliwe:

• Należy dopasować projektowane rozwiązania do specyfiki firmy, jej otoczenia zewnętrznego oraz skłonności do ryzyka.

Najłatwiej wykorzystać gotowe wzorce z innych firm lub książek na temat zarządzania ryzykiem i narzucić ich stosowanie w organizacji. Jest to też bardzo łatwa droga, aby wygenerować konflikt i pozbawić się szans na jakiekolwiek sukcesy. Gotowe szablony powinny zostać dopasowane do naszej firmy. Aby to zrobić najpierw trzeba zebrać szereg informacji na jej temat, co pozwoli zespołowi projektowemu na przeprowadzenie bardziej konstruktywnych i pogłębionych dyskusji. Zwiększy to również szansę na wypracowanie wartościowych rozwiązań i finalnych dokumentów z wynikami prac. W wyniku takiego podejścia należy oczekiwać, że podniesie się poziom merytoryczny produktów prac i będzie można je wpleść w istniejące procesy organizacyjne.

• Ustal kryteria oceny ryzyka przed dokonaniem jego oceny

 Jednym z istotnych aspektów, które lepiej przedyskutować na początku niż w trakcie dalszych prac, jest ustalenie kryteriów oceny istotności ryzyka dla firmy. Chodzi o  kryteria oceny prawdopodobieństwa oraz konsekwencji wystąpienia niekorzystnych zdarzeń. Należy podkreślić, że przyjęte przez Zarząd kryteria będą w dużej mierze subiektywne i nie ma jednego standardu, który by definiował modelowe podejście w tym zakresie. Dokonany wybór powinien być jednak przedyskutowany przez kierownictwo firmy, a następnie zakomunikowany w dół organizacji do powszechnego stosowania. Zapewni to jednolitość i spójność późniejszej oceny ryzyka w każdym analizowanym obszarze. W przyszłości poświęcimy temu tematowi więcej miejsca.

• Stosowanie wystandaryzowanych narzędzi, szablonów do gromadzenia i zarządzania danymi oraz raportowania uzyskanych wyników dla całej firmy

 Zidentyfikowane i przeanalizowane grupy ryzyka powinny zostać udokumentowane w uporządkowany oraz systematyczny sposób jednolity dla całej firmy. Tak, aby można je  było potem wykorzystać jako wsad do dalszych dyskusji, analiz oraz komunikacji w firmie. Zdecydowanie lepiej unikać stosowania wyłącznie gotowych szablonów stworzonych przez innych. Dopuszczenie różnorodności to pierwszy krok do chaosu.

• Powiązanie zarządzania ryzykiem z audytem wewnętrznym, działem jakości, biurem zarządzania projektami

Po wdrożeniu działań zaradczych, które często sprowadzają się do zidentyfikowania i zaprojektowania kontroli wewnętrznych dla kluczowych grup ryzyka w firmie, powinny one zostać udokumentowane, tak aby było wiadomo, w jaki sposób dana kontrola działa, kto ją sprawuje i czemu ona właściwie służy. Udokumentowany zbiór wszystkich kluczowych kontroli stanowi bardzo dobry punkt wyjścia dla audytu wewnętrznego, który na tej podstawie może zbudować zakres i plan swojej pracy. Ostatnim etapem procesu zarządzania ryzykiem jest bieżący monitoring oraz okresowy przegląd. Głównym jego celem jest zweryfikowanie, czy dane grupy ryzyka wciąż istnieją, czy pojawiły się jakieś nowe rodzaje ryzyka, czy zmieniło się ich prawdopodobieństwo lub zakres potencjalnych konsekwencji, a także zweryfikowanie efektywności wdrożonych zmian z punktu widzenia poziomu redukcji ryzyka, na które wystawiona jest firma. W tym ostatnim przypadku chodzi o sprawdzenie m.in. czy wdrożone kontrole wewnętrzne są rzeczywiście efektywne zgodnie z założeniami.

Zarządzanie ryzkiem w przedsiębiorstwie, to nie tylko identyfikacja problemów i wdrożenie metod zapobiegawczych. Bardzo istotne jest bowiem jeszcze to, w jaki sposób osoby uczestniczące w tym procesie podchodzą do realizacji przypisanych im zadań.

Świetnym przykładem takiej sytuacji jest firma General Motors, która w 2010 roku podjęła decyzję o wdrożeniu zarządzania ryzykiem. GM było bardzo dumne z przeprowadzonych wdrożeń, ale rzeczywistość nie okazała się aż tak kolorowa.

Na początku 2014 roku firma wezwała ponad 6 mln samochodów w USA do warsztatów ze względu na wadliwe działanie stacyjki zapłonu. Podejrzewa się, że co najmniej 12 ofiar wypadków z udziałem samochodów tej firmy było wynikiem tego problemu. Dalsza analiza pokazała, że problemy ze stacyjką w rejestrach ryzyka firmy zostały wprawdzie zidentyfikowane, ale inżynierowie sklasyfikowali je tylko jako „potencjalna niewygoda dla klientów”. Potem nikt w firmie nie zajmował się już tym zagadnieniem, do czego w dużej mierze przyczynił się brak właściwej komunikacji między działami.

Firma poniosła oczywiście wielkie straty finansowe, ale co najgorsze straciła reputacje i zaufanie klientów. Od odpowiedniego zarządzania ryzykiem może zależeć przyszłość i rozwój firmy, warto zatem zadbać tę strefę w swoim przedsiębiorstwie.