Uczestniczyliśmy ostatnio w ciekawej dyskusji w pewnym gronie profesjonalistów na temat ryzyko inherentne a ryzyko rezydualne. No, mówiąc bez ogródek po rozważeniu tej kwestii, naszym zdaniem koncepcja ryzyka inherentnego jest czysto teoretyczna, niepraktyczna i jak to z teoriami bywa może być myląca. Albo, co najmniej wpuszcza nas zarządzających w ślepą uliczkę, kanał na etapie analiz ryzyk.
Jak P.T. Czytelnicy bloga być może pamiętają koncepcje te zostały chyba najbardziej spopularyzowane przez standardy COSO. I tak COSO II Zarządzanie ryzykiem korporacyjnym – Struktura Ramowa mówi, że:
Kierownictwo analizuje zarówno ryzyka wewnętrzne (inherentne) jak i nieodłączne (rezydualne). Ryzyko inherentne jest to ryzyko występujące w sytuacji braku działań kierownictwa w kierunku wpłynięcia na prawdopodobieństwo wystąpienia ryzyka lub jego efekty.
Ryzyko nieodłączne (rezydualne) to ryzyko, które pozostaje po reakcji kierownictwa na ryzyko. Ocenę ryzyka stosuje się najpierw wobec ryzyka inherentnego. Kiedy określone zostaną reakcje na ryzyko, kierownictwo przystępuje do analiz ryzyka rezydualnego (nieodłącznego).
No właśnie, ryzyko inherentne występuje w sytuacji braku działania na ryzyko, innymi słowy braku jakichkolwiek postępowań z ryzykiem (mówiąc językiem ISO 31000), bez istnienia jakichkolwiek mechanizmów kontrolnych wpływających na ryzyko.
Zastanówmy się jednka, czy gdziekolwiek, w jakiejkolwiek organizacji znajdziemy ryzyko w swojej naturalnej, czystej niezarządzanej, inherentnej postaci?
No, nie, oczywiście, że nie. Naszym zdaniem ryzyko inherentne to konstrukt czysto teoretyczny, już nawet nie akademicki, czysta fikcja nieobserwowana w przyrodzie i gospodarce.
Wyobraźmy sobie, że określamy ryzyko inherentne związane z pokojem, w którym siedzimy (albo leżymy…). Konsekwentnie musielibyśmy założyć, że został on (pokój) wykonany w 100 % z
[sociallocker id=3307]
100% palnych materiałów, zbudowany z całkowitym pominięciem zasad sztuki budowalnej, jednym słowem powinien już dawno zwalić się nam na głowę. To oczywisty absurd i podobną sytuację można odnieść również do rzeczywistości organizacyjnej, technicznej, każdej.
W istocie, więc protagoniści tej koncepcji (na czele z COSO) zmuszają oceniających ryzyko do intelektualnych łamigłówek niemających odniesienia do rzeczywistości.
Co gorsza jednak taka ocena MUSI być obarczona poważnym błędem, bo oceniający ryzyko MUSI wyobrazić sobie (wg. COSO) taką czystą, wolną od mechanizmów kontrolnych postać ryzyka. Albo, i mamy wrażenie tak dzieje się częściej, ryzyko inherentne
[/sociallocker]
zawiera już w sobie pierwiastek mechanizmów kontrolnych, więc jest skażone kontrolą, a więc rezydualne.
Jakie są następstwa takiego podejścia? Z definicji COSO wynika, że określenie wielkości ryzyka inherentnego jest punktem odniesiena do określenia poziomu ryzyka rezydualnego. Ergo, jeżeli błędnie (na co istnieją jak wskazujemy wszelkie przesłanki) zostanie określony poziom ryzyka inherentnego, to i poziom ryzyka rezydualnego będzie określony z błedem, co oczywiście będzie miało wiadomym dramatyczny skutek na wybór odpowiedniej reakcji na ryzyko.
Także wydaje nam się, że koncepcja aczkolwiek nęcąca możliwościami oceny relacji zysk/koszt wdrażanych mechanizmów kontroli jest obarczona błędem i stąd nieefektywna i najlepiej po prostu oceniać tylko ryzyko „takie jakie jest”, a więc rezydualne. Tak czyni zresztą chyba większość (?) zarządzających ryzykiem, choć na przykład spodziewamy się tu zdania odrębnego w szczególności ze strony audytu…
Ciekawi nas więc bardzo opinia Czytelników Ryzykonomii w tym „oczywistym” temacie, takie mamy wrażenie, że to kolejny paradygmat, błędny paradygmat zarządzania ryzykiem…
Pliki cookie Aby zapewnić sprawne funkcjonowanie tego portalu, używamy pliki cookies („ciasteczka”). Jeśli nie wyrażasz na to zgody opuść portal.