Podejmując decyzje, zarząd, menedżer, kierownik programu czy projektu stają przed koniecznością mniej lub bardziej intuicyjnej oceny szans i zagrożeń. Dążąc do uzyskania jak najlepszych rezultatów, organizacje starają się uporządkować to intuicyjne podejście, określając odpowiedni proces ujęty w ramy polityki zarządzania ryzykiem. Opisujemy, jak to zrobić. Zarządzanie ryzykiem to dosyć specyficzny temat, który podczas prowadzonych szkoleń dzieli uczestników na dwie dosyć precyzyjnie określone grupy. Pierwsza zrzesza zwolenników gorących dyskusji na temat, drugą zaś grupę charakteryzuje raczej chłodne podejście do zagadnienia, przyjmowane bez większych emocji. Dlaczego tak się dzieje? Podstawowym czynnikiem, określającym tak różny temperament dyskusji, są zapewne indywidualne doświadczenia uczestników szkoleń. W zdecydowanej większości niestety negatywne, sprowadzające się zwykle do: · wypełnienia stosownego szablonu Strategii Zarządzania Ryzykiem; · jednorazowego zasilenia Rejestru Ryzyk, ryzykami zidentyfikowanymi jednoosobowo przez kierownika projektu w trakcie etapu inicjowania. Są również firmy, w których od kierownika projektu wymaga się jeszcze na końcu etapu zarządczego wypełnienia odpowiedniej rubryczki, odnoszącej się do stanu ryzyk w Raporcie Końcowym Etapu. Na dodatkowe pytania, dotyczące np. czy są widoczne objawy systemowego zarządzania ryzykiem w organizacji, czy istnieje wsparcie ze strony najwyższego kierownictwa, czy istnieją jasne wytyczne dla kierowników i członków zespołu oraz czy są prowadzone szkolenia w tym zakresie, najczęściej odpowiedź jest negatywna. Co więcej, czasami szkolący się kierownicy projektów sygnalizują, że ich zwierzchnicy w przypadku zgłoszenia przez kierownika projektu potrzeby przeprowadzenia z zespołem sesji identyfikacji ryzyka spotykają się z odpowiedzią: „Ty chyba nie wierzysz w powodzenie projektu”. Co może zrobić kierownik projektu? W takiej sytuacji należy zacząć wszystko od początku, czyli od organizacji, a nie oczekiwać, że w projekcie będziemy efektywnie zarządzać ryzykiem. Jest oczywiste, że osiąganie celów przez firmę wymaga podejmowania ryzyka. Efektywne zarządzanie nie tylko potencjalnymi zagrożeniami, ale i nadarzającymi się okazjami daje przewagę konkurencyjną organizacji. Początkowe działania związane z zarządzaniem ryzykiem w firmach koncentrowały się głównie na zarządzaniu ubezpieczeniami, których celem było dostarczenie odpowiedniej rekompensaty finansowej na wypadek pojawienia się negatywnych skutków niepożądanych zdarzeń. W latach 70. XX wieku, w ramach szerszych koncepcji, organizacje zaczęły lepiej rozumieć naturę ryzyka, przed którym stały, i zaczęły uwzględniać także inne możliwości. Jednak ciągle skupiano się na negatywnych efektach ryzyka. Dopiero w ostatnich latach w firmach zauważono, że zarządzanie ryzykiem w tym najszerszym sensie może być stosowane zarówno do negatywnych zagrożeń, jak i pozytywnych okazji. W każdym z tych przypadków wymagane jest podejście proaktywne zmierzające do określenia rozmiaru potencjalnych zagrożeń i okazji, przez co możliwe staje się podjęcie decyzji albo o akceptacji danego zagrożenia lub okazji, albo podjęcia wobec nich adekwatnych działań. Następstwem spektakularnych upadków wielu dużych organizacji, podejmujących zbyt wysokie ryzyko, było wypracowanie bardziej sformalizowanego podejścia do zarządzania ryzykiem. Jest ono jednym z kluczowych elementów ładu korporacyjnego i kontroli wewnętrznej zdefiniowanych tak, aby chronić aktywa, zdolność do generowania przychodów i reputację firmy. Zarządzanie ryzykiem jest jednym ze sposobów ustanowienia w organizacji kontroli wewnętrznej, powiązanej z kontrolą finansową, operacyjną i kontrolą zgodności z obowiązującymi regulacjami. Pryncypium to w Brytyjskim Kodeksie Ładu Korporacyjnego (2010) jest zdefiniowane następująco: „Zarząd odpowiada za określenie natury i zakresu istotnego ryzyka, jakie jest w stanie podjąć w związku z realizacją celów strategicznych. Zarząd powinien utrzymywać solidny system zarządzania ryzykiem i kontroli wewnętrznej oraz dokonywać jego przeglądów w okresach co najmniej rocznych”. Reguły ładu korporacyjnego i ogólne zalecenia odnośnie do kontroli wewnętrznej są coraz częściej uznawane za bardzo przydatne we wszystkich organizacjach prywatnych i publicznych. Pozwalają one osiągać równowagę między innowacyjnością a ścisłą kontrolą. Gdzie i kiedy stosować zarządzanie ryzykiem? Zarządzanie ryzykiem zasila informacyjnie system podejmowania decyzji w całej organizacji. Aby to zrealizować, zarządzanie ryzykiem musi mieć charakter ciągły. Dzięki temu będzie udostępniać istotne informacje zawsze wtedy, gdy zapadają istotne decyzje. Decyzje podejmowane w organizacji będą zależały od tego, do jakich celów się odnoszą. Mogą nimi być: · Cele długoterminowe - związane z podejmowaniem decyzji w perspektywie strategicznej. Jednocześnie określają one kontekst do podejmowania decyzji w pozostałych perspektywach firmy. · Cele średnioterminowe - dotyczą perspektywy programów i projektów, w których prowadzone działania implikują zmiany w biznesie. · Cele krótkoterminowe - związane są z ciągłością działalności biznesowej. Decyzje podjęte na tym poziomie powinny wspierać cele długo- i średnioterminowe. Wsparcie w procesie podejmowania decyzji Ponieważ ryzyko ma wpływ na każdą decyzję, zarządzanie ryzykiem powinno pomóc decydentom zidentyfikować istotne korzyści, zagrożenia i okazje oraz wesprzeć w przemyślanym podjęciu optymalnej decyzji. W praktyce głównym mechanizmem, który umożliwia efektywne zarządzanie ryzykiem - zgodnie z przewodnikiem M_o_R - jest określenie w organizacji poziomów ryzyka dopuszczalnego i tolerowanego oraz zastosowanie progów tolerancji na ryzyko dla każdego przedsięwzięcia i w każdej z perspektyw organizacyjnych. Mechanizm ten uzupełniony jest możliwością delegowania i eskalowania ryzyka na właściwy poziom podejmowania decyzji. Zespół zarządzający (w tej perspektywie) jest informowany o progach tolerancji na pojedyncze ryzyko lub grupę ryzyk. Przekroczenie uzgodnionego progu tolerancji na ryzyko jest eskalowane do kierownika wyższego szczebla, który będzie odpowiedzialny albo za decyzję co do rodzaju działań, jakie należy podjąć, albo za eskalację informacji na kolejny, wyższy poziom zarządzania. Model M_o_R Model zarządzania ryzykiem M_o_R oparty jest na czterech podstawowych koncepcjach: 1. Pryncypia M_o_R, które są pochodną zasad ładu korporacyjnego oraz międzynarodowego standardu zarządzania ryzykiem ISO31000:2009. 2. Podejście do M_o_R opisuje indywidualny stosunek organizacji do pryncypiów. Takie podejście należy uzgodnić i zdefiniować w ramach polityki zarządzania ryzykiem, w opisie procesu i w odpowiednich strategiach. 3. Proces M_o_R podzielony jest na cztery główne kroki: identyfikuj, oceniaj, planuj i wdrażaj. 4. Wdrożenie i przeglądy M_o_R umożliwiają spójne stosowanie podejścia i procesu w zgodzie z pryncypiami we wszystkich obszarach działania organizacji. Należy dbać, aby ich użycie podlegało ciągłemu doskonaleniu. W przewodniku M_o_R zdefiniowano 8 pryncypiów, które stanowią punkt wyjścia do przygotowania i utrzymania zestawu dobrych praktyk w zakresie zarządzania ryzykiem. Pierwsze siedem to pryncypia umożliwiające zarządzanie ryzykiem. Ostatnie pryncypium jest rezultatem dobrego wdrożenia zarządzania ryzykiem. Efektywne zarządzanie ryzykiem musi być czymś więcej, niż tylko działaniami mającymi zapewnić zgodność z przyjętymi w organizacji regułami. Dlatego też wartość zarządzania ryzykiem, mierzona zwrotem z inwestycji w zarządzanie ryzykiem, musi być określona i znana zainteresowanym. Pryncypia stanowią podstawę do budowy systemu zarządzania ryzykiem. Ich implementację należy jednak dopasować do specyficznych potrzeb organizacji. Istotą podejścia do M_o_R jest stworzenie zestawu dokumentów głównych, na które składają się: · polityka zarządzania ryzykiem; · opis procesu zarządzania ryzykiem; · odpowiednie strategie zarządzania ryzykiem przygotowane dla każdego przedsięwzięcia. To tę Strategię Zarządzania Ryzykiem dla projektu powinien przygotować kierownik projektu. Powinna być ona oczywiście zgodna z polityką i opisem procesu zarządzania ryzykiem, czyli regułami gry w zakresie zarządzania ryzykiem, jakie określa organizacja. Dokumenty te wyjaśniają, jak firma zamierza wdrożyć zarządzanie ryzykiem. Opisują działania, które zostaną podjęte, w jakiej kolejności będą one wykonywane, oraz role i zakresy odpowiedzialności, konieczne do ich przeprowadzenia. Wdrożenie i doskonalenie zarządzania ryzykiem w organizacji Aby organizacja świadomie i efektywnie zarządzała ryzykiem w czterech perspektywach, wymagane jest wdrożenie powyższego modelu w życie i jego doskonalenie. Będzie to polegało na wprowadzeniu pryncypiów i przeprowadzeniu zmiany kulturowej na potrzeby zarządzania ryzykiem. Wdrożenie i doskonalenie zarządzania ryzykiem w organizacji to długi proces związany z pokonywaniem powszechnie występujących barier i ograniczeń. Wymaga on regularnego określania stanu bieżących praktyk zarządzania ryzykiem oraz wskazywania tych obszarów, gdzie zarządzanie ryzykiem może być udoskonalone. Kontrola stanu może dotyczyć całej organizacji lub tylko wybranych perspektyw, a w jej przeprowadzenie powinny być zaangażowane niezależne osoby - audytor, niezależny konsultant, członek innego zespołu. Kontrola stanu powinna być wykorzystywana w powiązaniu z modelem dojrzałości, który pozwala na porównanie możliwości i dojrzałości zarządzania ryzykiem ze zdefiniowanym wcześniej standardem. Umożliwia to identyfikację kierunków ulepszeń o przyrostowe doskonalenie praktyk w zakresie zarządzania ryzykiem. Dzięki temu możliwe jest wyznaczenie realistycznych i długoterminowych celów w zakresie rozwoju zarządzania ryzykiem. Pomyślne wdrożenie pryncypiów oznaczać będzie, że zarządzanie ryzykiem w organizacji: · jest dopasowane do celów przedsięwzięcia; · jest dostosowane do kontekstu przedsięwzięcia; · angażuje interesariuszy; · daje jasne wskazówki; · udostępnia informacje do procesu decyzyjnego; · wspomaga ciągłe doskonalenie; · kreuje kulturę wsparcia. W rezultacie wdrożenie siedmiu pryncypiów, tzw. umożliwiających zarządzanie ryzykiem, daje mierzalną wartość dla organizacji. Efekt: mniej niemiłych niespodzianek Efektywne zarządzanie ryzykiem stwarza szansę na poprawę osiągnięć firmy w stosunku do założonych celów poprzez przyczynienie się m.in. do: redukcji czasu poświęcanego na „gaszenie pożarów”, zmniejszenia liczby niemiłych niespodzianek, lepszego wykorzystania zasobów i redukcji marnotrawstwa. Pozwala na świadczenie usług o wysokiej jakości, ogranicza defraudacje. Zwiększa szanse na przeprowadzenie założonych zmian. Wdrożone zarządzanie ryzykiem w całej organizacji umożliwia sprawne zarządzanie ryzykiem w projekcie. Robert Maślanek jest Senior Consultantem, Accredited Trainer w CTPartners SA z GK Infovide-Matrix SA.
