Dopasowanie systemu zarządzania
ryzykiem do potrzeb organizacji
– jakie kroki należy podjąć,
aby był szyty na miarę?

O tym, czy system zarządzania ryzykiem (ERM) będzie dopasowany do organizacji, decyduje wiele czynników. Właściwie każde podjęte działanie ma tu ogromne znaczenie. Przy czym warto pamiętać, że muszą być to działania zaplanowane i w pełni skoncentrowane na indywidualnych potrzebach i wymaganiach organizacji. Jakie kroki należy podjąć, aby uzyskanie systemu szytego na miarę było możliwe? Wyjaśnia Lider ERM, Justyna Mizera.

Decyzja o wdrażaniu ERM w organizacji powinna być krokiem świadomym, niezależnie od charakteru organizacji i prowadzonej działalności. Instytucje państwowe jak PFRON mają obowiązek stosowania przepisów ustawy o finansach publicznych oraz innych wytycznych, które odnoszą się do zarządzania ryzykiem. Na przykładzie tej organizacji omówię krok po kroku, jak powinno wyglądać wdrażanie i dopasowywanie systemu zarządzania ryzykiem do potrzeb organizacji. Pamiętajmy o tym, że kroki te są uniwersalne i odnoszą się do każdej organizacji, która zdecydowała się wdrożyć ERM, bez względu na jej wielkość czy charakter.

Z decyzją o wdrażaniu ERM wiąże się nie tylko przekonanie najwyższego kierownictwa, ale komunikowanie o tym w organizacji. Przewodnictwo i aktywna postawa są tu niezmiernie ważne. Najwyższe kierownictwo musi liczyć się z koniecznością utrzymywania wysokiej aktywności na każdym etapie wdrażania i użytkowania systemu.

Wdrażanie ERM wymaga przede wszystkim zapewnienia odpowiednich zasobów do realizacji. Mowa tu o zasobach finansowych, kadrowych i technicznych. Niezbędne środki w budżecie należy zaplanować na etap projektowania systemu oraz na jego przyszły rozwój. Zwróćmy na to szczególną uwagę, jeśli zarządzanie ryzykiem ma być wspierane narzędziem informatycznym. Wiele potrzeb dotyczących różnych funkcjonalności w systemie ujawnia się bowiem dopiero po pewnym czasie jego używania. Brak zaplanowanych środków finansowych na rozwój systemu może być dużym ograniczeniem w możliwości jego dopasowania do organizacji.

Oprócz środków finansowych na współpracę z partnerem zewnętrznym można rozważyć zabezpieczenie środków na wynagrodzenia (system motywacyjny) dla pracowników, którzy będą brali udział w projekcie i/lub pełnili określone role w ramach ERM w przyszłości.

Tu przechodzimy do kolejnego, ważnego elementu, jakim są ludzie. Nie chodzi jedynie o wybór właściwego partnera zewnętrznego, który przeprowadzi szkolenia i warsztaty, opracuje metodykę lub dostarczy narzędzie informatyczne. Nasza organizacja musi zapewnić odpowiednie zasoby ludzkie, które w sposób aktywny i odpowiedzialny będą realizowały przydzielone zadania na każdym etapie. Kluczowa wydaje się tu być rola grupy pracowników, którą określimy jako zespół ds. ryzyka. Nie mogą to być osoby anonimowe w organizacji, a ich otwartość ma zachęcać innych do kontaktu i działania.

Zespół ds. ryzyka powinien być wsparciem dla innych w organizacji. Powinien również stanowić łącznik w komunikacji pomiędzy właścicielami ryzyk a najwyższym kierownictwem. Już na etapie projektowania ERM widać, jak znaczącą rolę odgrywa zespół ds. ryzyka. Ściśle współpracuje z partnerem zewnętrznym, jednocześnie czuwa nad sprawną realizacją projektu. Otacza opieką uczestników ERM na etapie projektowania i po jego wdrożeniu. Dlatego tak ważne jest, aby w miarę upływu czasu nie słabła jego aktywność i zaangażowanie.

Dobór składu osobowego (pod względem ilościowym, a zwłaszcza kompetencyjnym) ma tu ogromne znaczenie. Osoby w zespole ds. ryzyka muszą mieć odpowiednią wiedzę na temat zarządzania ryzykiem oraz umiejętność dzielenia się nią z innymi. Powinny inicjować dyskusje w poszukiwaniu obszarów do doskonalenia ERM.

Należy pamiętać, że rolą zespołu ds. ryzyka nie jest wyręczanie innych w ich zadaniach. To właściciele ryzyk odpowiadają za zarządzanie ryzykiem w podległym im obszarze (za identyfikację ryzyk, terminową ocenę i przygotowanie planów postępowania w reakcji na ryzyko). Zespół ds. ryzyka czuwa nad poprawnością realizacji procesów w ramach ERM, zbiera i analizuje dane oraz przedstawia rekomendacje. Ostateczne decyzje w skali całej organizacji podejmowane są przez najwyższe kierownictwo.

Idealną sytuacją jest, gdy zarówno osoby w zespole ds. ryzyka, jak i pozostali uczestnicy, dobrze znają organizację. Wiedza na ten temat umożliwia prawidłowe określenie otoczenia zewnętrznego, ale też naszych wewnętrznych potrzeb.

Badając otoczenie zewnętrzne, bierzemy pod uwagę wszystkie wytyczne konieczne do spełnienia. Z pewnością będą to przepisy prawa, ale również potrzeby i oczekiwania podmiotów zewnętrznych. Warto przyjrzeć się przy tym, jak silny jest wpływ otoczenia zewnętrznego na naszą organizację (historia, stan aktualny oraz zmiany).

W przypadku PFRON regulacje zewnętrzne to m.in.:

• Ustawa z dn. 27 sierpnia 2009 r. o finansach publicznych art. 68; art. 69 ust.5;
• Zarządzenie nr 3 Ministra Rodziny i Polityki Społecznej z 20 stycznia 2022 r. w sprawie kontroli zarządczej w MRiPS oraz obowiązków jednostek podległych Ministrowi RiPS lub przez niego nadzorowanych w ramach kontroli zarządczej;
• Komunikat Ministra Finansów z dn. 6 grudnia 2012 r. w sprawie szczegółowych wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem).

Powyższe regulacje dają konkretne wytyczne, jakie elementy musimy uwzględnić i jakie dokumenty musimy opracować w ramach kontroli zarządczej.

Opracowując metodykę zarządzania ryzykiem, możemy też czerpać z innych źródeł, takich jak: norma ISO 31000 i dokument COSO II (wydany w 2004 r. przez amerykańską organizację The Committee of Sponsoring Organizations of the Treadway Commission).

Nie zapomnijmy o podmiotach zewnętrznych. Analiza oczekiwań i potrzeb tych podmiotów opierać się będzie na doświadczeniach w dotychczasowych kontaktach, różnego rodzaju badaniach (w tym ankietowych) czy wywiadach. W przypadku PFRON podmioty zewnętrzne to np.: beneficjenci, podmioty korzystające z dofinansowań wynagrodzeń pracowników lub programów PFRON, NGO-sy, płatnicy składek, ale też Ministerstwo Rodziny i Polityki Społecznej, które jako jednostka nadrzędna tworzy dodatkowe wytyczne i warunki dla sposobu funkcjonowania PFRON.

Dla prawidłowego określenia otoczenia wewnętrznego bezcenna jest znajomość organizacji przez wieloletnich pracowników. Nie zawsze mamy komfort posiadania takiej wiedzy – wówczas zbieramy informacje od bardziej doświadczonych pracowników.

Zgłębienie takich kwestii, jak: struktura organizacyjna, kultura i organizacja pracy (w tym: realizacja procesów i zadań, formy komunikacji; stosowana dokumentacja, podejmowane decyzje przez organy wewnętrzne, planowane kierunki zmian i możliwości), pozwoli nam na stworzenie ERM mocno dopasowanego do naszych potrzeb. Otoczenie wewnętrzne będzie silnie wpływało na sposób organizacji ERM.

Jak widać, dopiero połączenie wiedzy na temat środowiska zewnętrznego i wewnętrznego pozwoli na prawidłowe i pełne określenie naszych potrzeb w ramach budowania ERM. Będziemy umieć odpowiedzieć na wiele kluczowych pytań, takich jak:

• Jakie kryteria musi spełniać nasz ERM?
• Jakie informacje powinniśmy pozyskiwać/gromadzić?
• Z jakiej perspektywy mamy zajmować się badaniem ryzyka (obszary, cele strategiczne, procesy)?
• Czy potrzebujemy narzędzia informatycznego do zarządzania ryzykiem?
• W jakiej formie ma być przyjęta metodyka ERM (formalny dokument jak polityka, instrukcja lub procedura)?
• Czy potrzebujemy szkoleń?
• Kto będzie prowadził projekt?
• Czy potrzebujemy formalnego powołania zespołu projektowego?
• Jakie mamy środki na ten cel?

Precyzyjne określenie naszych potrzeb (i możliwości), jest podstawą odpowiedzialnej decyzji o wyborze partnera zewnętrznego, który będzie nas wspierał we wdrażaniu ERM. Na co zwrócić uwagę?

Wybierzmy firmę, która ma doświadczenie we współpracy z różnymi podmiotami, w tym podobnymi do nas. Ważne jest, aby firma ta zachowała elastyczność i umiała wsłuchać się w nasze potrzeby. Oferowane przez nią usługi i produkty powinny dawać możliwość uwzględnienia naszych indywidualnych wymogów. Współpraca z partnerem zewnętrznym dotyczy na ogół przeprowadzenia szkoleń i warsztatów, opracowania metodyki ERM i dostarczenia narzędzia informatycznego. Poniżej omawiam niektóre elementy współpracy.

Możemy zdecydować o skali realizowanych szkoleń. O tym, czy objąć nimi wszystkich pracowników, wszystkie osoby zaplanowane do pełnienia określonych ról w ERM czy jedynie zespół ds. ryzyka. Optymalny wydaje się wariant drugi. Będzie on mniej kosztowny, co ma znaczenie, jeśli jesteśmy dużą organizacją. Jednocześnie zapewnimy przekazanie wiedzy przez specjalistów pracownikom, od których będziemy wymagali największego zaangażowania.

Od przeszkolonych osób możemy oczekiwać sprawnej realizacji zadań w ramach wdrażania i stosowania ERM. Ich obowiązkiem będzie również przekazywanie zdobytej wiedzy innym. Nad szerzeniem wiedzy na temat zarządzania ryzykiem musi jednak czuwać zespół ds. ryzyka. Czasami – pomimo zaangażowania właścicieli ryzyk – świadomość o zarządzaniu ryzykiem wśród pozostałych pracowników jest niska. Rolą zespołu ds. ryzyka jest wówczas przeprowadzenie szkoleń wewnętrznych.

Pamiętaj: Wyższa kultura zarządzania ryzykiem w organizacji to sprecyzowane potrzeby, oczekiwania i efektywniejsze działania w ramach ERM.

Firma zewnętrzna pomoże nam w opracowaniu metodyki zarządzania ryzykiem. Chcemy, żeby była dopasowana do naszej organizacji. Określmy na początek perspektywę, z jakiej zamierzamy identyfikować i oceniać ryzyka.

Identyfikacja ryzyk może odnosić się do różnych obszarów, np. bezpieczeństwa informacji, ochrony danych osobowych, przeciwdziałania korupcji. Innym ujęciem będzie przypisanie ryzyk do celów strategicznych/operacyjnych. Jeszcze inną perspektywą jest identyfikacja ryzyk do procesów i zadań. Możemy też badać ryzyka z puntu widzenia realizacji projektów. W zależności od charakteru organizacji wybierzemy najbardziej odpowiednią dla nas opcję.

Kolejny element to dokładne ustalenie wszystkich ról i zakresu ich odpowiedzialności w ramach ERM. Musimy zdecydować, kto i jakie czynności ma wykonywać w procesie identyfikacji i oceny ryzyk oraz jak ten proces ma przebiegać.

Pamiętajmy, że każda rola wiąże się z góry określonymi odpowiedzialnościami:

• Najwyższe kierownictwo odpowiada za zarządzanie ryzykiem w skali całej organizacji. Jego rola w procesie zarządzania ryzykiem będzie polegała na podejmowaniu decyzji na poziomie globalnym, w tym: zatwierdzaniu rejestru ryzyk, progów akceptowalności i planów postępowania z ryzykiem.
• Zespół ds. ryzyka powinien czuwać nad poprawnością przebiegu procesu i kompletnością danych, analizować te dane, formułować rekomendacje do rejestru ryzyka i progów akceptowalności, opiniować projekty planów postępowania z ryzykiem.
• Właściciel ryzyka natomiast ma zarządzać ryzykiem w danym obszarze. Odpowiada za identyfikację i terminową ocenę ryzyk z danego zakresu. W przypadku ryzyk nieakceptowalnych jest zobowiązany do przygotowania planów postępowania z ryzykami nieakceptowalnymi i do ich wdrożenia.

Właściciel ryzyka może wyznaczyć opiekuna ryzyka. Jest to osoba, która będzie wspierała go we wszystkich działaniach w ramach zarządzania ryzykiem. Niezależnie jednak, czy opiekun został wyznaczony, czy nie, odpowiedzialność za zarządzanie ryzykiem ciąży zawsze na właścicielu ryzyka.

Oprócz ról i czynności musimy określić zdarzenia i terminy w ramach przebiegu procesu. Niektóre zdarzenia mogą inicjować konieczność zgłoszenia incydentu, materializacji ryzyka lub zgłoszenia nowego ryzyka. Terminy z kolei będą uruchamiały proces oceny ryzyk, środków kontroli czy wdrożenia planów postępowania. Będą też sygnałem do realizacji czynności związanych z przygotowywaniem różnych raportów, podsumowań i analiz.

W ramach przebiegu procesu ważne jest ustalenie sposobu komunikacji. Możemy wykorzystać np. dedykowany adres mailowy do wymiany korespondencji i informacji. Jednak warto wspierać się narzędziem informatycznym, w którym uwzględnimy możliwość zgłaszania pewnych zdarzeń albo automatyczne wysyłanie komunikatów do odpowiednich osób w określonych sytuacjach.

Dobór samej metodyki identyfikacji i oceny ryzyk jest kolejnym, niezwykle ważnym elementem. Warunkiem jej dopasowania jest adekwatność z punktu widzenia charakteru naszej organizacji i realizowanych zadań, z uwzględnieniem wybranej perspektywy (obszar, cele strategiczne, procesy, zadania, projekty). Istnieje oczywiście wiele sposobów identyfikacji, oceny i wartościowania ryzyk. Jest jednak sporo punktów wspólnych dla większości z nich.

O tym należy pamiętać przy opracowywaniu metodyki:

• Nie może być zbyt skomplikowana. Uczestnicy ERM (i pozostali pracownicy) nie powinni mieć problemu z jej zrozumieniem i stosowaniem.
• Identyfikując konkretne ryzyko, zwróćmy uwagę, aby jego nazwa nie była zbyt długa. Najlepsza jest krótka i zwięzła. Możemy ją ewentualnie doprecyzować w opisie.
• Dla każdego ryzyka powinniśmy określić przyczyny, skutki i stosowane mechanizmy kontroli ryzyka.

Wszystkie działania, mechanizmy i narzędzia, którymi staramy się wpłynąć na ryzyko (zmniejszając jego siłę), stanową właśnie mechanizmy kontroli ryzyka. Sposób oceny może być oparty o liczbowe skale punktowe (np. 4 czy 5-punktowa). Staramy się oszacować skuteczność mechanizmów kontroli ryzyka, prawdopodobieństwo wystąpienia ryzyka oraz jego wpływ na różne sfery działalności firmy (jeśli już wystąpi). Oceniamy tu np. wpływ na finanse, zgodność z prawem, realizację zadań i wizerunek (przy szansach nie oceniamy zgodności z prawem). W przypadku perspektywy realizacji projektów mogą to być nieco inne kryteria, np. wpływ na budżet projektu, harmonogram, jakość produktu końcowego.

Co istotne, informacje opisowe i uzyskane wartości dla poszczególnych ryzyk powinny pozwolić nam na zbudowanie rejestru ryzyka (listy wszystkich ryzyk). Przyjęta metodyka powinna umożliwić zhierarchizowanie ryzyk i wyłonienie tzw. ryzyk nieakceptowalnych.

Jedną z częściej stosowanych metod jest reguła Pareto. Pozwala na pogrupowanie ryzyk według stopnia istotności na: ryzyka nieakceptowalne, ryzyka istotne i ryzyka akceptowalne (odpowiednio szanse kluczowe, istotnie i mało istotne). Dla poszczególnych grup istotności możemy określić różne terminy monitorowania tych ryzyk (np. nieakceptowalne – raz na miesiąc, istotne – raz na kwartał, akceptowalne – raz na pół roku; szanse – raz na kwartał niezależnie od poziomu istotności). Z najwyższym, nieakceptowalnym poziomem będą wiązały się dodatkowe obowiązki dla właściciela ryzyka – opracowanie i wdrożenie planu postępowania z tym ryzykiem.

Pamiętaj: Wybór metodyki należy odpowiednio zakomunikować w organizacji. Oznacza to np. przyjęcie metodyki w sposób formalny poprzez opracowanie i przyjęcie do stosowania określonych dokumentów wewnętrznych (polityki, zarządzenia, procedury czy instrukcje przebiegu procesów).

W dzisiejszych czasach nikt już raczej nie zastanawia się, czy wspierać realizację zadań narzędziem informatycznym. Odpowiedź jest oczywista. Pytanie dotyczy raczej właściwości i funkcjonalności oprogramowania. Wybierzmy narzędzie spełniające wszystkie konieczne wymagania, ale jednocześnie niezbyt skomplikowane w obsłudze.

Weźmy pod uwagę, że wdrażając ERM, nakładamy na jego uczestników dodatkowe zadania i obowiązki. To z kolei może spowodować ogólny opór w organizacji, co jest zjawiskiem naturalnym i oczywistym na etapie podjęcia decyzji o wdrożeniu. Wraz ze wzrostem świadomości i wiedzy na temat zarządzania ryzykiem opór ten powinien słabnąć. Tymczasem zakup zbyt skomplikowanego i nadmiernie rozbudowanego narzędzia informatycznego do obsługi zadań z zarządzania ryzykiem taką niechęć utrzyma.

Oprogramowanie powinno być przyjazne dla użytkowników i intuicyjne w obsłudze. Powinno zaspokajać nasze potrzeby w zakresie ERM na chwilę obecną, ale też umożliwiać wprowadzanie modyfikacji w przyszłości. Jest to warunek konieczny, ponieważ to, co mogło z powodzeniem funkcjonować w innych firmach do tej pory, niekoniecznie sprawdzi się u nas lub w przyszłości.

Zwróćmy uwagę, czy oprogramowanie może być dopasowane do naszej organizacji: do struktury organizacyjnej, do przyjętej metodyki i perspektywy (z jakiej będziemy identyfikować i analizować ryzyka). Musi uwzględniać sposób, w jaki chcemy oceniać nasze ryzyka i elementy z nimi powiązane (metodyka), z możliwością doboru terminów uruchamiania procesów oceny (np. tak, aby nie kolidowały z innymi realizowanymi zadaniami). Cenną funkcjonalnością systemu będzie przy tym automatyczne wysyłanie powiadomień do osób, które powinny dokonać działań w systemie.

Ważne jest również spełnienie naszych oczekiwań co do tego, jakie dane na temat ryzyk chcemy gromadzić w narzędziu i jakie z niego pozyskiwać. Mam tu na myśli aktualnie dostępne raporty i inne sposoby uzyskania danych (analiza danych historycznych, eksport danych, wydruk itp.), ale też możliwość stworzenia raportów spełniających nasze indywidualne potrzeby (obecne lub przyszłe).

Kolejna, ważna kwestia to wprowadzanie modyfikacji w systemie. Zmiany czy to przepisów prawa, czy też samej struktury organizacyjnej i podziału zadań mogą w przyszłości spowodować konieczność zmiany katalogu danych lub układu ich prezentacji. W przyszłości niektóre pozycje (ryzyka, szanse, środki kontroli) mogą okazać się nieaktualne, w ich miejsce pojawią się z pewnością inne, nowe obiekty. Czy są zatem elementy, które będziemy mogli samodzielnie modyfikować i w jakim zakresie? Narzędzie informatyczne powinno dawać możliwość wprowadzania koniecznych, bieżących zmian przez odpowiednie osoby w naszej organizacji (przez zespół ds. ryzyka).

Upewnijmy się, czy po zakupieniu narzędzia informatycznego będziemy mieli wsparcie firmy zewnętrznej w kwestiach związanych z ewentualnym rozwiązywaniem problemów, zgłaszaniem błędów czy zgłaszaniem zapytań co do funkcjonalności systemu. Warto utrzymać taką współpracę nawet na podstawie dodatkowych umów. Jest to ważne ze względu choćby na konieczność przeprowadzania aktualizacji oprogramowania w przyszłości.