Howgh dla oceny ryzyka. …   Jeżeli ktoś myślał, że po 6ciu poprzednich odcinkach wyjaśniających jak zawsze na Ryzykonomii w celny, przystępny i zabawny sposób meandry tego opasłego standardu ERM już więcej o COSO nie będzie, to się stety pomylił. Będzie część 7-a i to dzisiaj. Już teraz.

Po etapie identyfikacji ryzyka, o którym pisaliśmy w poprzednim 6-tym odcinku (link) historii COSO II czas na kolejny krok czyli „Ocenę ryzyka”.

Takwięc przede wszystkim, dzielni autorzy COSO radzę aby zanim ryzyko ocenimy czyli dogłębnie zanalizujemy  i wymierzymy, zastanowić się (i ustalić) jaki jest kontekst tej oceny. Jest to więc niejako znowu nawiązanie do kroku 1-ego COSO czyli „ Środowiska wewnętrznego”.

Choćby budowa skali ryzyka powinna zdaje się mieścić w tym kroku, a więc np. czy skala ryzyka gdzie strata PLN 100 tyś jest stratą „małą” odpowiada wielkości, złożoności  i profilowi ryzyka naszej organizacji ?
A może „mała”  to będzie PLN 1 milion ? Etcetera.

Dalej w aspekcie oceny ryzyka KOSO jak najtrafniej dyskutuje kwestię oceny ryzyka rezydualnego i inherentnego. To zresztą bardzo dyskusyjny temat bo niektórzy uważają , że to dzielenie włosa na czworo, gdy My z doświadczenia jesteśmy przekonani , że taka inherento-rezydualna analiza ryzyka choć bardziej czasochłonna (ale nie aż tak bardzo) daje bardzo cenną informację nt. efektywności istniejących/planowanych mechanizmów kontroli i reagowania na ryzyko. Ale wiemy też, że wielu tego nie robi i też rzyją. Obiecujemy, że do tematu wrócimy oddzielnie jeszcze….  

Kolejne zagadnienie w tym punkcie COSO podniesione to sposób oceny prawdopodobieństwa i skutków ryzyka. Każde dziecko wie, że ryzyko Pe razy es się mierzy więc rozwodzić się nie będziemy, natomiast ciekawe, że COSO tu się zastanawia nad strategią alokacji sił i środków między ryzyka o różnych Pe-esach, także najwyraźniej wagę Czarnych łabędzi się sugeruje, a w każdym razie o racjonalność i staranność analizy ryzyka Czytelników się uprasza.

Mowa też tu jest o tzw. oddaleniu ryzyka w czasie i sugeruje, że również o ryzykach bardzo oddalonych w przyszłość nie należy zapominać bo tam niejedno niedobre ( i dobre) się czai.

Dalej jest mowa o tym, że przy analizie P nie należy o twardych danych zapominać, choćby o częstości występowania zdarzeń w przeszłości (prosty przykład – typowe awarie techniczne) co statystycznie trafnie na przyszłość można ekstrapolować.  Z tym się w zupełności zgadzamy bo nieraz widzimy, że jak się jakościówkę zacznie to, się potem nawet na zegarek nie chce niektórym spojrzeć i zamiast 4-a, 5-a, 23-a mówią „ciemno”, „jasno”, bo tak łatwiej, wiadomo.

Wreszcie z lekka nizgruszki i pietruszki (akademicką tu dłoń wyczuwamy) mowa jest o perspektywie czyli framingu percepcji ryzyka, nawet przykład klasycznego eksperymentu Tverskiego i Kahnemana czyli „ Asian diseasu” w stosownej ramce się przytacza, ale kto się w ekonomię behawioralną nie zagłębiał niespecjalnie skuma ocotuchodzi, po co o tym tyle mowa i my słabo rozumiemy.

Dalej na dwie stronniczki Standard sie rozwodzi o technikach oceny ryzyka, bardzo, bardzo ogólnie o nie- i pro- babilistyce  jest mowa takoż o benchmarkingu, i że konkretne techniki trzeba dostosować do organizacji. Wiadomo, ale czy  wystarczy ?

Pewnie Czytelnik standardu więcej wskazówek by tu oczekiwał, jak tę ocenę technicznie zrobić, bo tu całe praktyczne kontrowersje jakościowo-ilościowe się gromadzą, ale jest jak-jest i dzisiaj objaśniany element

COSOII dotyczący Oceny ryzyka kończy się pokreśleniem, że ryzyko należy oceniać całościowo, bo ryzyka ze sobą powiązane są. Howgh !