Ryzykonomiczne executive summary >>>
Oczywiście fundamentalną zasadą jest, bez tego nie ma procesu zarządzania ryzykiem, aby proces ten był audytowalny. Innymi słowy, musi fizycznie istnieć.
Musi znajdować odbicie w dokumentacji, politykach, procedurach, zapisach w rejestrach ryzyk. Audytowalny oznacza także, że będzie mógł być poddany audytowi, wewnętrznemu i/lub wewnętrznemu. A audytorzy przecież nie pracują na tym co „wieść gminna niesie”, ani na tym co mówią kierownicy, ale na dokumentacji, realnych dowodach, że w sprawie „coś” się dzieje. Dokumentacja procesu zarządzania ryzykiem może być mniej lub bardziej rozbudowana, to zależy od potrzeb, wiedzy i stopnia zaawansowania samego procesu.
Podstawowe, najczęściej spotykane elementy tej dokumentacji to polityka zarządzania ryzykiem, która jest ogólną, ale niezwykle potrzebną deklaracją zarządu, że zarządzania ryzykiem jest ważne i że organizacja „chce” ryzykiem zarządzać.
Kolejny dokument to procedura zarządzania ryzykiem, szczegółowo opisująca framework, strukturę ramową procesu. Pokazuje ona jak zarządzanie ryzykiem „dzieje się” w organizacji. Jest oczywiście też rejestr ryzyka, w którym na bieżąco (częściej niż raz do roku, prosimy!) opisuje się ryzyka. I to w zasadzie mogłoby wystarczyć.
Jest jednak jeszcze jedno ciekawe narzędzie komunikacji, szczególnie pomocne dla C-level poziomu zarządu przedsiębiorstwa, pożądane również przez światłe rady nadzorcza. To profil ryzyka organizacji. Do dziś (nawiasem mówiąc) pamiętam jak pewien uczony akademik gwałtownie zripostował użycie tego określenie, twierdząc, że to anglicyzm i czegoś takiego nie ma.
Nie zdziwiłoby mnie jednak, gdyby część Czytelników już spotkała się z takim określeniem, bo zrobiło ono już pewną karierę w biznesie, choć pewnie raczej tym korporacyjnym, międzynarodowym, niż polskim.
No więc, jeżeli zajrzymy do przewodnika PKN-ISO Guide 73 „Zarządzanie ryzykiem terminologia”, to przeczytamy tam, że jest to „opis zestawu ryzyk” przy czym „zestaw ryzyk może zawierać ryzyka odnoszące się do całej organizacji, do jej części, lub do inaczej zdefiniowanego zakresu”.
Rzecz to najwyraźniej bardzo istotna w zarządzaniu ryzykiem, bo w dyskutowanej właśnie nowej wersji standardu COSOII „Zarządzanie ryzykiem korporacyjnym” opisowi czym jest i jak „ugryźć” praktycznie profil ryzyka poświęcono znacznie więcej miejsca. Dowiemy się tam przede wszystkim, że profil ryzyka dostarcza (zarządowi) całościowego obrazu ryzyka na określonym poziomie organizacyjnym (w tym całego przedsiębiorstwa); lub w odniesieniu do modelu biznesowego wybranego przez organizację.
Jak zauważają autorzy COSO relacje profil ryzyka – organizacja – model biznesowy nie są ani linearne, ani niezmienne. Zależą również od specyfiki organizacji, tak jak samo ryzyko.
Koncepcja profilu ryzyka jest również ważna przy analizie takich pojęć jak apetyt na ryzyko, akceptowany poziom ryzyka, tolerancja na ryzyko.
Idąc dalej, całościowa ocena ryzyka, właśnie ów „profil” pozwala kierownictwu w realnym, codziennym, ale i długoterminowym, strategicznym zarządzaniu oceniać, gdzie w stosunku do deklarowanego apetytu na ryzyko, znajduje się organizacja. Czy odchylenia w stosunku do zakładanych wyników działalności są akceptowalne? Czy mieszczą się w granicach tolerancji, czy już ją przekraczają. Stąd profil ryzyka to i narzędzie modnego dzisiaj performance management.
Profil ryzyka jest z natury rzeczy narzędziem kierowniczym, swoistym executive summary całej analizy ryzyka i stąd jest bardzo często (tam gdzie jest) analizowany i wykorzystywany przez rady nadzorcze. Rada i jej członkowie zwykle nie prowadzą szczegółowej analizy każdego ryzyka, które może wydarzyć się na każdym poziomie organizacji. Natomiast całościowy obraz jest dla tego „ciała” bardzo ważny. Pozwala również efektywniej nadzorować, jak działania podejmowane przez zarząd wpływają na profil ryzyka organizacji, jej apetyt na ryzyko, wreszcie na wyniki działalności.
Dobrą praktyką, ba, koniecznością dobrze zarządzanej organizacji jest, aby ów profil ryzyka znajdował odbicie „na papierze”, również jako ważne (i audytowalne!) narzędzie komunikacji. Tu, znowu organizacje mają dowolność w określaniu zawartości i formuły takiego profilu. Na pewno nie powinien być on zbyt długi (maksymalnie 2 strony), powinien zawierać opis najważniejszych, wyselekcjonowanych według przyjętych kryteriów ryzyk, wnioski z analizy i proponowane działania. I oczywiście powinien być czytany i zawsze brany pod uwagę przy podejmowaniu najważniejszych decyzji zarządczych.
Artykuł ukazał się w Gazecie Ubezpieczeniowej z dnia 29.05.17
Ryzykonomiczne executive summary Ryzykonomiczne executive summary Ryzykonomiczne executive summary
Pliki cookie Aby zapewnić sprawne funkcjonowanie tego portalu, używamy pliki cookies („ciasteczka”). Jeśli nie wyrażasz na to zgody opuść portal.