Nagroda Lider ERM

Jakie nowe metodyki zarządzania ryzykiem są potrzebne w świetle nowych regulacji? Jak budować efektywną bazę ryzyk?

Autor:
Łukasz Turzyński
czytaj dalej

Zarządzanie ryzykiem w obliczu zmieniających się regulacji zyskuje na znaczeniu. Czy nowa regulacja prawna wymaga opracowania nowej metodyki zarządzania ryzykiem? A może podstawowe zasady zarządzania ryzykiem są na tyle uniwersalne, że wystarczy je przeanalizować i zintegrować z istniejącym systemem? Na te i inne pytania odpowiada Łukasz Turzyński, Lider ERM. 

 

Rozważania, czy opracowywać nową metodykę zarządzania ryzykiem, czy może wystarczy ją tylko przeanalizować i dostosować, prowadzone są za każdym razem, gdy analizowana jest jakakolwiek nowa lub zmieniana regulacja prawna, w której poprzez funkcję wyszukiwania znajdujemy wyrażenie „ryzyko”. Mnogość regulacji sprawia, że łatwo można się pogubić. Nic więc dziwnego, że mogą pojawić się pytania o to, czy obecna metodyka spełnia stawiane wymagania i czy baza ryzyk jest nie tyle aktualna, ile efektywna. 

 

Z tego artykułu dowiesz się m.in.: 

  • jakie są obszary regulacyjne związane z zarządzaniem ryzykiem; 
  • jaka jest rola wykwalifikowanego zespołu w budowaniu i dostosowywaniu metodyk; 
  • na co należy zwrócić uwagę przy budowie efektywnej bazy ryzyk. 

Na powyższe pytania odpowiada Lider ERM, Łukasz Turzyński, na co dzień związany z obszarami zarządzania bezpieczeństwem i ciągłości działania. 

Łukasz Turzyński
Profil lidera

Zarządzanie ryzykiem a zmiany regulacyjne

Do istotnych obszarów zmian regulacyjnych powiązanych metodycznie z zarządzaniem ryzykiem można zaliczyć: 

  1. Zarządzanie ryzykiem w obszarze ESG, w szczególności wpływu organizacji na aspekty zrównoważonego rozwoju, ale też – co bywa pomijane – wpływu zmian klimatu na model biznesowy organizacji. 
  2. Zarządzanie ryzykiem w obszarze cyberbezpieczeństwa z uwzględnieniem operacyjnej odporności cyfrowej sektora finansowego na zagrożenia. 
  3. Zarządzanie ryzykiem prania pieniędzy i finansowania terroryzmu przez podmioty o statusie instytucji zobowiązanych do oceny ryzyka w tej kategorii. 
  4. Zarządzanie ryzykiem ciągłości działania, w szczególności w zakresie zdolności organizacji świadczących usługi kluczowe do zachowania funkcji obsługi cyberincydentu, a także warunków braku dostępności zasobów wykorzystywanych w procesach produkcyjnych organizacji. 
  5. Zarządzanie ryzykiem zgodności, szczególnie w odniesieniu do nowych przepisów o ochronie sygnalistów z zakresu zgłaszania naruszeń prawa. 

Podstawą jest zasób ludzki i silne kompetencje

Każdy system organizacyjny, w tym system zarządzania ryzykiem, który jest prowadzony w sposób świadomy, opiera się na zasobach. Przede wszystkim w przedsiębiorstwach potrzebne są silne kompetencje do zarządzania ryzykiem. Jeżeli zbudowany i utrzymany zostanie odpowiedni zasób ludzki ukierunkowany na rozwój metodyki zarządzania ryzykiem, to w krótkiej perspektywie czasowej będzie on w stanie stworzyć zintegrowaną metodykę zarządzania ryzykiem skrojoną na miarę konkretnej organizacji. Będzie też zdolny, aby rozbudować tę metodykę o nowe wymagane elementy. 

 

Na tej podstawie chciałbym postawić tezę, że nowe metodyki – nawet jeśli są wymagane do opracowania, by spełnić wymagania danej regulacji – nie są przeszkodą nie do przejścia przez wykwalifikowany zespół.  

Bez wiedzy o ryzyku nie ma świadomego budowania biznesu

System organizacyjny opiera się także na zasobach informacyjnych służących do monitorowania jego funkcji biznesowych. Na temat zasadności budowania bazy ryzyk napisano już wiele. Spotkać ją możemy pod różnymi nazwami: rejestry ryzyk, baza danych o ryzykach, księga ryzyka itd. Jej zadanie polega na dokumentowaniu i rejestracji w sposób formalny istotnych informacji o ryzyku i elementach systemowo z nim powiązanych – materializacjach, planach postępowania z ryzykiem, wynikach audytów, wskaźnikach KRI.  

Posiadanie zasobów bazodanowych z obszaru zarządzania ryzykiem wydaje się czymś zupełnie naturalnym w organizacjach. Przy czym ważne, aby ta świadomość (i naturalność) wynikała z potrzeby posiadania wiedzy o ryzyku, a nie z chęci pochwalenia się certyfikatami. Tylko wtedy możemy mówić o realnym wpływie na prowadzoną działalność gospodarczą.  

Efektywna baza ryzyk... czyli jaka?

Jaka zatem powinna być baza ryzyk dająca wymierne efekty w procesie zarządzania ryzykiem? W mojej opinii efektywna baza ryzyk powinna być narzędziem, które nie tylko wspiera identyfikację i analizę ryzyk, ale również umożliwia ich monitorowanie, raportowanie i zarządzanie nimi na bieżąco.  

Trudno sobie wyobrazić podejmowanie decyzji na podstawie analizy ryzyka bez aktualnych i dobrych jakościowo danych zebranych w bazie. Efektywna baza ryzyk to zatem taka baza danych, której walory informacyjne będą przydatne do zarządzania ryzykiem, a w konsekwencji – do podejmowania decyzji biznesowych w organizacji.  

Analizując funkcjonowanie bazy ryzyk, warto w mojej opinii rozważyć:  

  1. Systematyczne identyfikowanie zagrożeń i szans towarzyszących prowadzonej działalności. Nieprawidłowo zdefiniowane zagrożenia (lub szanse), konsekwencje, ryzyko mogą prowadzić do błędnych wniosków i działań łagodzących ukierunkowanych nie tam, gdzie istnieje ryzyko. 
  2. Skrupulatne gromadzenie danych o zdefiniowanych materializacjach ryzyka oraz incydentach, które wcześniej nie zostały zauważone w organizacji, i – co ważne – o przyczynach ich występowania. Z mojej obserwacji wynika, że organizacje niestety nie przywiązują należytej wagi do inwestygacji pod kątem ustalenia przyczyn występowania poszczególnych zdarzeń. Ogranicza to właściwe definiowanie strategii postępowania z ryzykiem w rozumieniu eliminacji źródła ryzyka.  
  3. Zapewnienie odpowiedniego środowiska informatycznego do gromadzenia, analizy i przetwarzania zgromadzonych danych. 
  4. Integrację różnych kategorii ryzyk, tworzenie relacji bazodanowych pomiędzy czynnikami ryzyka, działaniami zaradczymi oraz pozostałymi systemami informatycznymi w celu panowania na parametrem wyceny ryzyka. 
  5. Zachowanie rozsądnego poziomu szczegółowości w zakresie gromadzonych informacji a zasobami i środkami zdolnymi pracować z takim zasobem informacyjnym. 
  6. Poddawanie zidentyfikowanego ryzyka pomiarowi za pomocą wskaźników ryzyka, o czym często zapomina się jako o jednej z podstaw zarządzania sensu stricto.  
  7. Wprowadzanie elementów automatyzacji, szczególnie w tym procesach, gdzie raporty ostrzegawcze o alertach w czasie rzeczywistym wpływają wprost na sterowanie procesami operacyjnymi organizacji. 
  8. Dążenie do scentralizowania baz danych, aby zwiększyć ich dostępność dla różnych jednostek organizacyjnych, a nie tylko dla komórki/osoby odpowiedzialnej za koordynowanie procesu zarządzania ryzykiem. 

Podsumowanie

Współczesne środowisko biznesowe, charakteryzujące się dynamicznymi zmianami i coraz bardziej złożonymi regulacjami, wymaga od przedsiębiorstw elastycznego i proaktywnego podejścia do zarządzania ryzykiem. Systematyczna identyfikacja zagrożeń, gromadzenie danych oraz analiza przyczyn powstawania i materializacji ryzyka to podstawa skutecznego zarządzania. Jednakże, aby baza ryzyk była naprawdę wartościowa, niezbędny jest świadomy i wykwalifikowany zespół. 

Wykwalifikowany zespół będzie w stanie zadbać nie tylko o poprawność i aktualizację metodyki, ale też o stały jej rozwój poprzez dodawanie nowych elementów. Co więcej, będzie wiedział, kiedy, które i jakie elementy systemu zarządzania ryzykiem wymagają zmian lub dostosowania w obliczu nowych albo zmieniających się wymagań. Jego wysokie kompetencje i świadomość co do zarządzania ryzykiem to nie tylko szansa na zbudowanie efektywnej bazy ryzyk oraz gwarancja zgodności metodyki, ale też zapewnienie spokoju organizacyjnego, dzięki czemu przedsiębiorstwo będzie mogło skupić się na swojej działalności. 

O autorze

Łukasz Turzyński – związany jest z zarządzaniem bezpieczeństwem. Od 2011 roku aktywnie zajmował się wdrażaniem standardów międzynarodowych oraz systemów zarządzania dla lotnictwa cywilnego, a od 2021 – dla sektora energetycznego. Aktualnie Główny Specjalista w Biurze Zarządzania Ryzykiem w PGE Energetyka Kolejowa S.A.