Czym jest ERM i do czego możesz go wykorzystać w przedsiębiorstwie?

ERM to podejście do zarządzania ryzykiem obejmujące identyfikację, ocenę, kontrolę i monitorowanie wszystkich rodzajów ryzyka, które mogą mieć wpływ na osiąganie celów organizacji. Jak dzielimy ryzyko? Jakie cele ma ERM? Wyjaśnia Lider ERM, Paweł Zanin.

Zarządzanie ryzykiem w przedsiębiorstwie (ERM, ang. Enterprise Risk Management) określa ramy zarządzania ryzykiem na wszystkich poziomach organizacji, co ma zapewnić optymalne podejmowanie decyzji, minimalizować straty i wykorzystać możliwości związane z ryzykiem.

Z tego artykułu dowiesz się m.in.:

• co to jest ryzyko;
• co to jest ERM i jakie ma kluczowe elementy;
• co łączy ERM z cyklem Deminga;
• które z norm ISO stosują ERM w kontekście modelu PDCA;
• jak zwinne podejście do ERM może wspierać efektywne zarządzanie ryzykiem w dynamicznie zmieniającym się środowisku.

Te i inne ważne kwestie w odniesieniu do zarządzania ryzykiem w przedsiębiorstwie porusza nasz ekspert, Lider ERM w PBSG, Paweł Zanin.

Ryzyko jest to prawdopodobieństwo wystąpienia niepożądanych lub nieoczekiwanych zdarzeń albo sytuacji oraz skutków, jakie mogą wyniknąć z tych zdarzeń.

W kontekście biznesowym ryzyko może obejmować:

1. Ryzyko finansowe – związane z utratą kapitału, zmianami cen, fluktuacjami walutowymi itp.
2. Ryzyko operacyjne – związane z procesami biznesowymi, technologią, zarządzaniem personelem itp.
3. Ryzyko strategiczne – związane z podejmowaniem złych decyzji strategicznych, zmianami na rynku, zmianami w regulacjach prawnych itp.
4. Ryzyko reputacyjne – związane z utratą reputacji firmy, np. z powodu skandalu, negatywnych recenzji itp.

Wdrożenie skutecznego programu ERM umożliwia organizacjom nie tylko ochronę przed negatywnymi skutkami ryzyka, ale także wykorzystanie możliwości, które mogą się z nim wiązać. To z kolei może przyczynić się do osiągania strategicznych celów biznesowych. Trzeba wiedzieć bowiem, że ryzyko nie ogranicza się tylko do zagrożeń. Obejmuje ono również możliwość wystąpienia nieoczekiwanych korzyści lub pozytywnych zdarzeń.

W kontekście zarządzania ryzykiem możemy ryzyko podzielić na dwa główne rodzaje:

1. Ryzyko negatywne (czyli zagrożenia) – obejmuje wszystkie niepożądane lub nieoczekiwane zdarzenia, które mogą spowodować straty, szkody lub inne niekorzystne skutki. Przykłady to: strata finansowa, utrata lub wyciek danych, problemy wizerunkowe.
2. Ryzyko pozytywne (czyli możliwości lub szanse) – często pomijane przez właścicieli ryzyk. Obejmuje wszystkie nieoczekiwane pozytywne zdarzenia, które mogą przynieść korzyści lub możliwości rozwoju. Przykłady to: niespodziewane wzrosty sprzedaży, odkrycie nowej technologii, pojawienie się nowego rynku.Warto dodać, że wiele organizacji przyznaje się, że pandemia przyniosła niespodziewane korzyści, takie jak: udoskonalenie i nauczenie się korzystania z narzędzi zdalnej komunikacji, przystosowanie do pracy zdalnej, możliwość ograniczenia powierzchni biurowej oraz większą świadomość w dbaniu o zdrowie, co przełożyło się na mniej infekcji, a co za tym idzie – mniejszą zachorowalność wśród pracowników.

W efektywnym zarządzaniu ryzykiem istotne jest uwzględnienie obu powyższych aspektów i podejmowanie działań zarówno w celu minimalizacji ryzyka negatywnego, jak i wykorzystanie szans pozytywnych. Dlatego podejście do zarządzania ryzykiem, takie jak Enterprise Risk Management (ERM), uwzględnia oba te elementy, aby organizacja mogła nie tylko uniknąć niepożądanych zdarzeń, ale także mogła osiągnąć swoje cele i maksymalizować wartość.

ERM różni się zatem od tradycyjnego zarządzania ryzykiem tym, że nie skupia się tylko na minimalizowaniu ryzyk związanych z określonymi obszarami, jak finanse, operacje czy ochrona danych, ale obejmuje szerokie spektrum ryzyka w całej organizacji, łącząc je w spójny system zarządzania. Dzięki temu organizacje mogą lepiej zrozumieć złożone i powiązane ze sobą ryzyka, na które są narażone, oraz efektywniej nimi zarządzać.

Kluczowymi elementami procesu ERM są:

• Identyfikacja ryzyka – rozpoznanie wszystkich potencjalnych zagrożeń dla organizacji.
• Ocena ryzyka – analiza prawdopodobieństwa wystąpienia ryzyka i jego potencjalnego wpływu.
• Reakcja na ryzyko – określenie, jak organizacja zamierza zarządzać lub łagodzić ryzyko, np. poprzez unikanie, akceptację, transfer lub ograniczanie ryzyka. Organizacja może także podjąć decyzję o akceptacji ryzyka.
• Monitorowanie i raportowanie – bieżące śledzenie ryzyka i efektywności podjętych działań zarządczych oraz komunikowanie informacji o ryzyku na wszystkich poziomach organizacji.

Nietrudno dostrzec, że opisany wyżej model ERM oparty jest na powszechnie stosowanym, zwłaszcza w systemach zarządzania według norm ISO, schemacie. Mowa o cyklu Deminga, znanym również jako PDCA (Plan-Do-Check-Act). Jest to metoda ciągłego doskonalenia procesów i jakości, która znalazła zastosowanie w wielu dziedzinach zarządzania, w tym w zarządzaniu ryzykiem poprzez ERM. Chociaż ERM i cykl Deminga mają różne cele główne, to można znaleźć między nimi znaczące powiązania, umożliwiające efektywne wykorzystanie PDCA w ramach zarządzania ryzykiem w przedsiębiorstwie. Omówię ten związek szerzej.

Zastosowanie PDCA w zarządzaniu ryzykiem:

• Plan (planowanie) – w kontekście ERM obejmuje identyfikację ryzyk, ocenę ich potencjalnego wpływu i prawdopodobieństwa wystąpienia oraz planowanie działań zarządzających tymi ryzykami. Na tym etapie organizacje określają cele zarządzania ryzykiem, które są zgodne z ogólną strategią biznesową.
• Do (realizacja, działanie) – na tym etapie wdrażane są wybrane strategie zarządzania ryzykiem. Może to obejmować wprowadzenie nowych zabezpieczeń, np. polityk, procedur, technologii, lub dokonanie zmian organizacyjnych, mających na celu minimalizację, przeniesienie lub akceptację ryzyka.
• Check (weryfikacja) – weryfikacja efektywności wdrożonych działań zarządzania ryzykiem jest kluczowa, a bywa czasem pomijana przez organizacje. Obejmuje ona monitoring i ocenę wyników w stosunku do wcześniej ustalonych celów zarządzania ryzykiem. Ten etap pomaga w identyfikacji wszelkich odchyleń od planu i potrzebnych korekt.
• Act (działanie) – na podstawie analizy przeprowadzonej w etapie „Check” organizacje podejmują działania korekcyjne lub korygujące w celu usprawnienia procesu zarządzania ryzykiem. Może to oznaczać dostosowanie strategii, poprawę procesów lub wprowadzenie dodatkowych środków zaradczych.

Integracja ERM z cyklem Deminga

Integracja ERM z cyklem Deminga umożliwia organizacjom nie tylko efektywne zarządzanie ryzykiem, ale także ciągłe doskonalenie procesów zarządzania ryzykiem. Takie procesowe podejście sprawia, że zarządzanie ryzykiem jest dynamiczne i dostosowuje się do zmieniających się warunków zewnętrznych i wewnętrznych, a także do nowych zagrożeń i możliwości.

Wykorzystanie PDCA w ERM promuje kulturę ciągłej poprawy i uczenia się na błędach, co jest kluczowe dla efektywnego zarządzania ryzykiem w złożonym i niepewnym środowisku biznesowym. Pozwala to na bardziej strategiczne podejście do ryzyka, gdzie zarządzanie ryzykiem jest integralną częścią procesów decyzyjnych na wszystkich poziomach organizacji.

Zarządzanie ryzykiem w przedsiębiorstwie (ERM), realizowane według modelu PDCA (Plan-Do-Check-Act), znajduje odzwierciedlenie w kilku normach ISO, które bezpośrednio odnoszą się do zarządzania ryzykiem lub wdrażają podejście oparte na cyklu PDCA w kontekście zarządzania jakością, bezpieczeństwem i innymi aspektami organizacji. Należą do nich:

1. ISO 31000:2018 (zarządzanie ryzykiem; wytyczne) – choć ISO 31000 nie jest strukturalnie oparte na cyklu PDCA, to promuje zintegrowane podejście do zarządzania ryzykiem, które można adaptować do modelu PDCA. Norma ta dostarcza wytycznych dotyczących procesu zarządzania ryzykiem, który można planować (Plan), wdrażać (Do), monitorować i przeglądać (Check), a następnie dostosowywać (Act) w ramach ciągłego doskonalenia.
2. ISO 9001:2015 (system zarządzania jakością; wymagania) – chociaż ISO 9001 koncentruje się na zarządzaniu jakością, wprowadza wymóg stosowania procesowego podejścia opartego na zasadach PDCA do wszystkich procesów systemowych, w tym do zarządzania ryzykiem. Wymaga od organizacji identyfikacji ryzyk i szans w procesach oraz podejmowania odpowiednich działań w celu ich adresowania, co jest zgodne z ideą ERM.
3. ISO 27001:2013 (system zarządzania bezpieczeństwem informacji) – ta norma również wykorzystuje model PDCA do ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji (SZBI). Zarządzanie ryzykiem jest kluczowym elementem ISO 27001, wymagającym od organizacji systematycznego podejścia do identyfikacji, oceny i zarządzania ryzykami bezpieczeństwa informacji.
4. ISO 22301:2019 (system zarządzania ciągłością działania) – podobnie jak inne normy, ISO 22301 wdraża model PDCA do zarządzania ciągłością działania, gdzie zarządzanie ryzykiem jest kluczowym elementem planowania ciągłości działania i przygotowania na wypadek awarii lub innych zakłóceń. Szczególną rolę w tym modelu zajmuje analiza BIA (ang. Business Impact Analysis), która jest procesem pozwalającym zidentyfikować i ocenić skutki przerw w działalności krytycznych procesów biznesowych. Dzięki BIA organizacja może zrozumieć, które procesy biznesowe są krytyczne dla jej przetrwania i jakie zasoby są potrzebne do ich utrzymania podczas zakłóceń. Analiza BIA jest fundamentem dla skutecznego planowania ciągłości działania zgodnie z ISO 22301, ponieważ dostarcza danych niezbędnych do zrozumienia, jakie procesy muszą zostać szybko przywrócone po awarii oraz jakie zasoby są niezbędne do zapewnienia ciągłości działalności. Poprzez skupienie się na krytycznych procesach biznesowych i ich potrzebach organizacje mogą lepiej przygotować się na potencjalne zakłócenia i minimalizować ich wpływ na działalność.
5. ISO 45001:2018 (system zarządzania bezpieczeństwem i higieną pracy) – ta norma, skupiająca się na bezpieczeństwie i higienie pracy, także promuje użycie cyklu PDCA do ciągłego doskonalenia systemu zarządzania BHP, włączając w to zarządzanie ryzykiem związanym z bezpieczeństwem na miejscu pracy.

Wszystkie powyższe normy, choć skupiają się na różnych aspektach zarządzania organizacją, wspólnie promują podejście oparte na ciągłym doskonaleniu i systematycznym zarządzaniu ryzykiem, co idzie w parze z zasadami zarządzania ryzykiem przedsiębiorstwa (ERM) opartym na modelu PDCA.

Zarządzanie ryzykiem przedsiębiorstwa (ERM) może być realizowane w sposób zwinny. O ile samo wdrożenie systemu opartego na ERM często realizowane jest metodyką kaskadową (waterfall), to późniejsza kontynuacja systemu idealnie realizuje się za pomocą metodyki zwinnej.

Podejście zwinne do ERM polega na integracji praktyk zarządzania ryzykiem z filozofią zwinności, która promuje szybkość, elastyczność, ciągłą adaptację do zmieniającego się otoczenia oraz intensywną współpracę wewnątrz organizacji. Jednak to, co najbardziej łączy ERM ze zwinnością, to działania oparte na ciągłym doskonaleniu.

Zwinną realizację ERM charakteryzuje także kilka innych aspektów:

1. Iteracyjność i adaptacyjność

ERM stosuje iteracyjne cykle planowania i oceny, co pozwala na szybką adaptację do nowych informacji lub zmian w środowisku biznesowym. Procesy są regularnie aktualizowane i dostosowywane, aby lepiej odpowiadały na aktualne ryzyka i możliwości.

2. Wczesna i ciągła dostawa wartości

Podobnie jak w przypadku zwinnych metodologii stosowanych w zarządzaniu projektowym (np. rozwój oprogramowania), zwinny ERM koncentruje się na szybkim identyfikowaniu i adresowaniu najbardziej krytycznych ryzyk, dostarczając wartość i redukując potencjalne szkody w możliwie najkrótszym czasie. Po zrealizowaniu celów krytycznych docieramy do mniej krytycznych zgodnie z przyjętą strategią.

3. Zaangażowanie interesariuszy

Zwinny ERM promuje ciągłą komunikację i współpracę z interesariuszami, co pomaga w lepszym rozumieniu ryzyk i potrzeb biznesowych. Regularne spotkania i aktualizacje zapewniają, że wszystkie strony są na bieżąco z procesem zarządzania ryzykiem.

4. Elastyczność i reagowanie na zmiany

W środowisku biznesowym, które szybko się zmienia, zwinny ERM umożliwia organizacjom szybkie reagowanie na nowe zagrożenia i szanse. Elastyczność w podejściu do zarządzania ryzykiem jest kluczowa, aby utrzymać ciągłość działania i konkurencyjność.

5. Skupienie na wartości i minimalizacja marnotrawstwa

Zwinny ERM kładzie nacisk na optymalizację zasobów i wysiłków w celu skoncentrowania się na działaniach, które najbardziej przyczyniają się do minimalizacji ryzyka i maksymalizacji wartości dla przedsiębiorstwa.

Aby zaimplementować zwinny ERM, organizacje mogą stosować różne narzędzia i techniki – od waterfallowych po zwinne metodologie, takie jak scrum czy kanban. Ważne jest, aby kultura organizacyjna wspierała ciągłe uczenie się i adaptację, a liderzy promowali otwartość na zmiany i proaktywne podejście do zarządzania ryzykiem.

Reasumując zwinny ERM oferuje dynamiczne i skuteczne podejście do zarządzania ryzykiem, które jest szczególnie przydatne w szybko zmieniających się środowiskach biznesowych, gdzie tradycyjne, statyczne metody zarządzania ryzykiem mogą nie być wystarczająco skuteczne.

Mam nadzieję, że w tym krótkim artykule udało mi się zainteresować Cię tematyką związaną z zarządzaniem ryzykiem w przedsiębiorstwie (ERM) i jego powiązaniach z cyklem Deminga (PDCA). Myślę, że teraz już rozumiesz, na czym polega zarządzanie ryzykiem w przedsiębiorstwie (ERM), dlaczego jest tak ważne i jakie korzyści może przynieść także Twojej organizacji w efektywniejszym osiąganiu celów. Wiesz także, jakimi podstawowymi narzędziami się posłużyć w celu wdrożenia systemu ERM oraz w jak różny i elastyczny sposób można ten system realizować.

Jeśli chcesz dowiedzieć się więcej o tym, jak ERM może pomóc Twojej firmie, zachęcam do zgłębiania wiedzy dotyczącej tej tematyki lub skontaktowania się z konsultantem ds. zarządzania ryzykiem.