Z samozapałem godnym może i lepszej sprawy kontynuujemy w 6-ym już odcinku Przewodnik Ryzykonomii po standardzie zarządzania ryzykiem COSO II. Dziś „Identyfikacja ryzyka”. Zasadniczo to o identyfikacji ryzyka już nieraz pisaliśmy i mówiliśmy i tu i TU i tuteż. Oczywiście identyfikacja ryzyk w firmie czy innej organizacji to jedno, ale oszacowanie ryzyka jako „dużego” czy „małego” (tu też trzeba odwagi czarnowidza) to dopiero wyzwanie a ….. przypisanie konkretnego właściciela („nie lubicie mnie?”) to jeszcze inne, nie mniejsze wyzwanie. Także wyzwań na ścieżce zarządzania ryzykiem nie brakuje….
Zasadniczo – i tego należałoby po standardzie ERM-u oczekiwać – COSO II w omawianej części o intrygującym tytule „Identyfikacji zdarzeń” (a dlaczego nie ryzyka ?) zaczyna od definiowania „zdarzenia” jako „sytuacji wywołanej przez czynniki zewnętrzne lub wewnętrzne, które wywiera wpływ na realizację strategii lub osiągnięcie celów” .
Po co ta kategoria „eventu” się pojawia nie dociekamy, ale jest. Może…
…z ubezpieczeń ? Dalej mowa o „czynnikach wywierających wpływ na zdarzenia” i właśnie te „czynniki” ryzyka w rejestrach ryzyka, tam gdzie są, często widzimy. Ale rozumiemy też że „czynniki” to są po prostu przyczyny (grupy) przyczyn ryzyka.
Dla lepszego zobrazowania intrygującości tego problemu poddamy pod rozwagę Czytelnika takie oto zdanie
„Czynnikiem złamania nogi u Jasia była dziura w chodniku”
Tak czy inaczej podstawowe czynniki/przyczyny zdarzeń dla eventów/ryzyk autorzy COSO II pomocnie wylistowują w 2 grupach: czynniki zewnętrzne i czynniki wewnętrzne.
Zewnętrzne to: gospodarcze, środowisko naturalne, polityczne, społeczne , technologiczne
Wewnętrzne to: infrastruktura, pracownicy, procesy, technologie
Dalej w kolejnym podrozdziale mowa jest mniej, lub bardziej konkretnie o technikach identyfikacji zdarzeń (czyli ryzyka!) . My po przeczytaniu rozumiemy, o co mniej więcej autorom chodziło ale na Zeusa !
Konia z rzędem temu kto tylko na podstawie zawartych tutaj opisów będzie potrafił seansowaną identyfikację ryzyka przeprowadzić. (Przyznajemy, co prawda że jest też i 2-ga część COSO „Techniki i zastosowania” ale o tym jeszcze…).
Wreszcie na zakończenie COSOwej części o identyfikacji znajdziemy typową typologię zdarzeń-ryzyk, choć zapewne Czytelnik napotka tutaj trudność w nałożeniu 9 podgrup zdarzeń-ryzyk wewnętrznych i zewnętrznych na 4 fundamentalne dla COSO II obszary analizy ryzyka opisane na kostce COSO: strategia, operacje, sprawozdawczość, zgodność.
Aha, na końcu jeszcze mini pod-rozdzialik o potrzebie analizy szans znajdziemy. Parę razy takie zarzuty czytaliśmy, że COSO za mało o analizie szans mówi, ale z drugiej strony to chyba jedno z największych wyzwań dla ERMu i nie tylko cosowego, o czym jeszcze….