Międzynarodowe standardy zarządzania ryzykiem

Wraz z nasilaniem się zmian występujących w otoczeniu zewnętrznym zarządy wielu firm wyraźniej dostrzegają różnego rodzaju ryzyka związane z prowadzoną działalnością gospodarczą oraz poświęcają więcej uwagi tematyce zarządzania ryzykiem.

Zarządzanie ryzykiem jest również istotnym elementem zarządzania przedsiębiorstwem logistycznym. Z trzech przedstawionych poniżej koncepcji zarządzania ryzykiem najbardziej interesującą dla przedsiębiorstw logistycznych może być ta ostatnia.

Enterprise Risk Management

Koncepcja ta wydaje się być obecnie najbardziej kompletnym i uniwersalnym, holistycznym podejściem do systemowego zarządzania ryzykiem. Należy podkreślić, że ERM nie jest koncepcją w pełni jednoznaczną – w różnych opracowaniach przyjmuje nieco odmienne, czasami dość znacznie różniące się formy i treści. Pomimo to, a także wbrew bardzo silnej niekiedy opozycji zwłaszcza ze strony “wyznawców” tradycyjnego, finansowo-ubezpieczeniowego postrzegania problematyki ryzyka w biznesie, ERM znajduje coraz szerszą akceptację jako standardowe rozwiązanie modelu zarządzania ryzykiem w przedsiębiorstwie.

Business Continuity Management

Podejście to (vide np. A. Hiles, P. Barnes: Business Continuity Management) kładzie główny nacisk na utrzymanie ciągłości biznesu, jednak w wielu punktach jest zbieżne z założeniami ERM. Obejmuje oprócz wielu koncepcji znanych z zarządzania ryzykiem także elementy Business Impact Analysis i Crisis Managementu. Przez niektórych autorów BCM traktowane jest jako koncepcja szersza od ERM, inni reprezentują pogląd odwrotny. W wielu środowiskach biznesowych BCM przyjęło się i zostało wdrożone wcześniej od holistycznych systemów zarządzania ryzykiem.

Supply Chain Risk Management

Jest to koncepcja przyszłościowa, bardzo obiecująca ze względu m.in. na to, że odwołuje się do konkurencji pomiędzy całymi łańcuchami dostaw, a nie tylko pomiędzy pojedynczymi przedsiębiorstwami. Jest to obiecujące podejście również dlatego, że bierze pod uwagę także ryzyka specyficzne dla łańcuchów dostaw, a więc nie występujące na poziomie pojedynczego przedsiębiorstwa. Jak dotychczas jednak SCRM wywołuje bardzo szerokie zainteresowanie w środowiskach akademickich. SCRM jest traktowane przez niektórych analityków biznesu i firmy consultingowe jako jeden z najważniejszych trendów rozwojowych w strategiach biznesu na najbliższe lata (np. Aberdeen Group). Rzeczywiste zainteresowanie praktyków takim podejściem rozwinie się na szerszą skalę z pewnością z chwilą zdobycia sobie prawa obywatelstwa w biznesie logistycznym przez zastosowanie go w praktyce zarządzania łańcuchami dostaw. Obecnie poza pojedynczymi przykładami (Zara, GM) ciągle jeszcze koncepcja ta jest bardziej teorią niż bieżącą praktyką. Vide np. Supply Chain Risk, p/red. C. Brindley i B. Ritchie).

Standardy płyną z zewnątrz

W zakresie zarządzania ryzykiem nie ma znaczących polskich rozwiązań, ale istnieje kilka obcych standardów utworzonych przez różnego rodzaju organizacje zajmujące się tą problematyką. Międzynarodowym standardem określającym podejście do procesu zarządzania ryzykiem jest norma ISO 31000:2009. Dokument ten zawiera ogólne zasady i wytyczne dotyczące zarządzania ryzykiem, które mogą być stosowane we wszystkich organizacjach, ponieważ nie są one specyficzne dla konkretnej branży czy sektora. W związku z tym, że ISO 31000 nie promuje jednolitego modelu zarządzania ryzykiem, standard ten nie jest przeznaczony do celów certyfikacji. Służy on przede wszystkim do zharmonizowania i wsparcia innych norm ISO związanych z ujętymi w nich i opisanymi konkretnymi rodzajami zagrożeń.

Standard FERMA definiuje ryzyko jako kombinację prawdopodobieństwa wystąpienia zdarzenia oraz jego skutków i uwzględnia dwoistą perspektywę ryzyka rozumianą neutralnie

Obecnie toczą się prace Komitetu Technicznego nr 6 ds. Systemów Zarządzania Polskiego Komitetu Normalizacyjnego, które mają na celu opracowanie norm PN-ISO 31000 „Zarządzanie ryzykiem – Zasady i wytyczne” oraz PKN–ISO GUIDE 73 „Zarządzanie ryzykiem – Terminologia”, będących polskimi odpowiednikami oryginalnych dokumentów anglojęzycznych.

Podstawą metodyczną opracowania normy ISO 31000 był australijsko-nowozelandzki standard AS/NZS 4360:2004 będący poprawioną wersją dokumentu z 1999 r. opisującego proces zarządzania ryzykiem. AS/NZS 4360 opracowany został w 2004 r. wspólnie przez Joint Standards Australia i Standards New Zealand Committee OB-007. Komitety te zdecydowały wówczas, że za kolejne pięć lat, zamiast przeprowadzać rutynowe zmiany opracowanej przez siebie normy, będą promowały rozwój jednolitego, międzynarodowego standardu. Zaowocowało to opracowaniem w 2009 r. wspomnianego na wstępie dokumentu ISO 31000:2009.

Podejście systemowe

Norma ISO 31000 opisuje systemowo-sytuacyjne podejście do zarządzania ryzykiem. Istotą systemowego podejścia do zarządzania ryzykiem jest uświadomienie zarządowi przedsiębiorstwa, że wzajemne wpływy w firmie nie następują tylko jednokierunkowo.

W praktyce analizę otoczenia przedsiębiorstwa można przeprowadzić przy pomocy metody PEST (analiza czynników politycznych, ekonomicznych, społeczno-kulturowych oraz technologicznych) lub jednej z jej odmian (PESTER lub PRESTCOM) i uzyskane wyniki powiązać z analizą trendów wybranych czynników określających prawdopodobne kierunki ich rozwoju. Wyniki wspomnianej analizy można również wykorzystać do budowy scenariuszy stanów otoczenia oraz określenia prawdopodobnych przebiegów wybranych przyszłych wydarzeń. Analizę sektora można natomiast przeprowadzić metodą tworzenia map grup strategicznych, punktowej analizy atrakcyjności sektora, metodą pięciu sił lub poprzez zastosowanie benchmarkingu.

Istotą systemowego podejścia do zarządzania ryzykiem jest uświadomienie zarządowi przedsiębiorstwa, że wzajemne wpływy w firmie nie następują tylko jednokierunkowo

Struktura ramowa dla zarządzania ryzykiem obejmuje również opracowanie i przyjęcie polityki zarządzania ryzykiem, przypisanie odpowiedzialności, integrację procesu zarządzania ryzykiem z pozostałymi procesami w organizacji, przydzielenie zasobów oraz ustalanie sposobów komunikacji wewnętrznej i raportowania.

Aby zilustrować wzajemne powiązania pomiędzy systemem celów przedsiębiorstwa, Robert S. Kaplan i David P. Norton wskazują na możliwość wykorzystania koncepcji mapy strategii [Kaplan R. S., Norton D. P., Masz problem ze strategią? Przedstaw ją w formie mapy – w pracy Sekrety skutecznych strategii, pod red. Jankowski W., HBR Polska, Warszawa 2007 s. 46].

Już starożytni wiedzieli, że punktem wyjścia wszelkich dobrze zorganizowanych działań jest postawienie jasno określonych celów. ISO 31000 zaleca, aby wdrażanie systemu zarządzania ryzykiem, monitorowania i przeglądu istniejącej struktury oraz jej ciągłego doskonalenia zostało poprzedzone budową odpowiedniego systemu mierników związanego z opracowanym uprzednio systemem celów. W praktyce, do budowy takiego systemu, opartego o różne perspektywy przedsiębiorstwa, można zastosować strategiczną kartę wyników [Kaplan R. S., Norton D.P., Strategiczna karta wyników. Jak przełożyć strategie na działanie. PWN, Warszawa 2007 s. 32].

ISO 31000 ujmuje ryzyko jako skutek powstały w wyniku niepewności w odniesieniu do ustalonych przez przedsiębiorstwo celów. Jak podaje Krzysztof Jajuga, w takim ujęciu jest to ryzyko rozumiane neutralnie, zarówno jako szansa, jak również zagrożenie [Jajuga K., Zarządzanie ryzykiem. PWN, Warszawa 2009 s. 13]. Podejście to umożliwia zatem zarówno zarządzanie zagrożeniami, jak również doskonalenie zarządzania potencjalnymi szansami.

Oprócz międzynarodowej normy ISO istnieje również kilka innych standardów zarządzania ryzykiem, takich jak standard opracowany w Wielkiej Brytanii, opublikowany przez Federację Europejskich Stowarzyszeń Zarządzania Ryzykiem (Federation of European Risk Management Associations, FERMA) czy amerykański Enterprise Risk Management – Integrated Framework (Zarządzanie Ryzykiem Korporacyjnym – zintegrowana struktura ramowa), zwany COSO II, który został opracowany przez Committee of Sponsoring Organizations of the Tread way Commission (COSO).

FERMA

Podobnie jak inne standardy, FERMA zakłada, że przełożenie założeń strategicznych na cele taktyczne i operacyjne musi być powiązane z określeniem odpowiedzialności kadry kierowniczej i pracowników zajmujących się zarządzaniem ryzykiem. Działania te powinny pozostawać w silnym związku z promowaniem efektywności działania na wszystkich szczeblach organizacji. Efektywność ta może zostać osiągnięta poprzez usprawnienie procesu podejmowania decyzji, planowania i określania priorytetów na podstawie kompleksowej wiedzy o organizacji, stopnia niepewności oraz możliwych do wystąpienia szans i zagrożeń.

Już starożytni wiedzieli, że punktem wyjścia wszelkich dobrze zorganizowanych działań jest postawienie jasno określonych celów

Standard FERMA definiuje ryzyko jako kombinację prawdopodobieństwa wystąpienia zdarzenia oraz jego skutków i uwzględnia dwoistą perspektywę ryzyka rozumianą neutralnie.

FERMA powstał w wyniku wspólnych prac największych brytyjskich organizacji branżowych: Instytutu Zarządzania Ryzykiem (The Institute of Risk Management – IRM), Stowarzyszenia Menedżerów Ubezpieczeniowych i Zarządzających Ryzykiem (The Association of Insurance and Risk Managers – AIRMIC) oraz Krajowego Forum na rzecz Zarządzania Ryzykiem w Sektorze Publicznym – ALARM (ALARM The National Forum for Risk Management in the Public Sector).

Dokument FERMA podkreśla, że ryzyko może wynikać zarówno z przyczyn wewnętrznych organizacji, jak i zewnętrznych czynników otoczenia, a oba te obszary nakładają się na siebie (rys. 1).

Rysunek ilustruje proces zarządzania ryzykiem opisany przez standard FERMA. Proces ten zawiera kilkanaście dodatnich sprzężeń zwrotnych. W szczególności cele strategiczne przedsiębiorstwa są określane nie tylko na podstawie informacji pochodzących z otoczenia przedsiębiorstwa, lecz również na podstawie stanu powstającego na wyjściu systemu (monitorowanie), który pozwala dokonać stosownych zmian na jego wejściu (cele strategiczne).

COSO II

W standardzie COSO II zarządzanie ryzykiem jest procesem, który ma za zadanie identyfikować potencjalne zdarzenia mogące wywrzeć negatywny wpływ na przedsiębiorstwo, a utrzymywanie ryzyka w ustalonych granicach ma zapewnić realizację celów przedsiębiorstwa. COSO II wprowadza kilka kategorii celów: strategiczne – wypływające z misji firmy; operacyjne – związane z efektywnym i wydajnym wykorzystaniem zasobów organizacji; sprawozdawczości, które są uwarunkowane jej wiarygodnością oraz celów zgodności – opartych na przestrzeganiu prawa.

Poszczególne kategorie celów pozostają w relacjach ze wszystkimi elementami zarządzania ryzykiem, na które składają się: środowisko wewnętrzne, metody ustalania celów, identyfikacji zdarzeń i oceny ryzyka, reakcja na wystąpienie ryzyka, działania kontrolne, informacja i komunikacja oraz monitorowanie związane z doskonaleniem procesu zarządzania ryzykiem, które odbywa się poprzez ciągłą ocenę osiąganych wyników.

Dokument COSO II określa zdarzenie jako sytuację, która wywiera negatywny wpływ na osiąganie określonych celów i definiuje ryzyko jako zdarzenie będące zagrożeniem, które może uniemożliwić tworzenie wartości lub zniszczyć już istniejącą. (rys.2)

Rysunek prezentuje strukturę ramową zarządzania ryzykiem w COSO II, na którą składają się relacje pomiędzy celami i elementami zarządzania ryzykiem oraz strukturą organizacyjną przedsiębiorstwa.

Związek pomiędzy celami, czyli tym co organizacja zamierza osiągnąć a komponentami, czyli tym co jest konieczne do osiągnięcia postawionych celów, ukazany w został w postaci trójwymiarowej kostki, która ilustruje relacje pomiędzy wszystkimi elementami składającymi się na proces zarządzania ryzykiem. Pierwszy z wymiarów tej kostki wskazuje na główne elementy zintegrowanego systemu zarządzania ryzykiem w przedsiębiorstwie, do których należą: środowisko wewnętrzne, ustalanie celów, identyfikacja zdarzeń, ocena ryzyka, reakcja na ryzyko, kontrola, informacja i komunikacja oraz monitorowanie.