Nagroda Lider ERM

Wdrożenie ERM – czy zawsze działa?

czytaj dalej

Zarządzanie ryzykiem odgrywa w zmieniającym się otoczeniu biznesowym coraz większą rolę, co oznacza, że skuteczność wdrożenia systemu zarządzania ryzykiem jest istotna. Zależy ona w głównej mierze od systematyczności i ciągłego doskonalenia, zarówno w obszarze analizy ryzyka, mechanizmów sterowania ryzykiem, jak i oceny skuteczności wdrożonych rozwiązań. Organizacja w ten sposób nabywa bowiem niepowtarzalnych umiejętności budowania rzeczywistej wartości rynkowej.

 

Z tego artykułu dowiesz się m.in.:

  • czym jest zarządzanie ryzykiem;
  • jakie są korzyści z posiadania systemu ERM;
  • jak wygląda wdrożenie procesu zarządzania ryzykiem;
  • jakie wyzwania może przynieść wdrożenie i utrzymanie systemu ERM i jak sobie z nimi poradzić, aby osiągnąć cele założone w strategii zarządzania ryzykiem.

 

Na powyższe pytania odpowiada Monika Bieszk, Lider ERM, na co dzień zajmująca się doskonaleniem zarządzania ryzykiem w organizacji.

Monika Bieszk
Profil lidera

Czym jest zarządzanie ryzykiem (Enterprise Risk Management - ERM)?

Zintegrowane zarządzanie ryzykiem w ocenie firm, które posiadają ten system, jest ważnym elementem dotyczącym zapewnienia ciągłości działania, stabilnych wyników finansowych i stworzenia warunków do dalszego rozwoju organizacji. Dla swojej skuteczności powinna to być część strategii biznesowej organizacji, która przygotowuje firmę na ewentualność wystąpienia przyszłych zdarzeń, które mogą wpływać na rachunek zysków i strat firmy, czyli na cele organizacji. ERM polega na skoordynowaniu działań dotyczących kierowania i nadzorowania organizacją w odniesieniu do ryzyka.

Mówiąc bardziej szczegółowo, ERM to system zarządzania, który w sposób kompleksowy, systemowy i systematyczny pozwala organizacjom identyfikować i oceniać ryzyko w różnych aspektach i obszarach działania oraz podejmować świadome i racjonalne decyzje o postępowaniu z ryzykiem. Rozwiązania w zakresie zarządzania ryzykiem mają dwa cele: chronią przedsiębiorstwo przed szkodami i stwarzają możliwości poprawy wyników prowadzonej działalności.

Co ważne, zarządzanie ryzykiem jest procesem podlegającym zmianom w czasie. Oznacza to, że w zarządzaniu ryzykiem należy reagować na zmieniające się czynniki wewnętrzne, rynkowe, polityczne, środowiskowe czy legislacyjne, które sprawiają, że ocena ryzyka i ich ważność może zmieniać się w czasie.

Korzyści z posiadania systemu zarządzania ryzykiem

Celem nadrzędnym wdrożenia systemu zarządzania ryzykiem są korzyści wpływające na prowadzenie biznesu. Zaliczyć do nich można między innymi:

  • uświadomienie sobie, jaki wpływ na działanie organizacji, na realizację celów i zadań w poszczególnych obszarach mają ryzyka oraz w jakim stopniu zmniejszają one podatność na zagrożenia i zwiększają ogólną odporność organizacji na ryzyka oraz pozwalają wykorzystać możliwości;
  • podejmowanie świadomych decyzji przez kierownictwo organizacji uwzględniających zdefiniowane ryzyka;
  • wprowadzenie mechanizmów zapobiegających wystąpieniu ryzyka lub minimalizujących skutki wystąpienia ryzyka;
  • wprowadzenie mechanizmów umożliwiających wykorzystanie możliwości wynikających z oceny ryzyka (tzw. ryzyko pozytywne);
  • ciągłe monitorowanie ryzyk oraz okresowe analizy ryzyka, dające możliwość bieżącego zapewnienia adekwatności zabezpieczeń i ich doskonalenia, jak również zwiększania szans;
  • pomoc w przestrzeganiu przepisów, unikaniu kar i utrzymywaniu zaufania interesariuszy;
  • zapewnienie, że ​​zarządzanie ryzykiem jest zgodne z celami strategicznymi, wspiera zrównoważony rozwój i innowacyjność;
  • utrzymywanie przewagi konkurencyjnej w niepewnym świecie, przewidywanie potencjalnych zagrożeń i szybsza adaptacja do zmian w otoczeniu biznesowym pozwalająca działać, zanim wystąpią problemy (ryzyko pozytywne i negatywne);
  • zapobieganie stratom finansowym spowodowanym przez nieprzewidziane zdarzenia lub nieefektywność;
  • jasną odpowiedzialność za ryzyko wśród pracowników, które zwiększa przejrzystość i zarządzanie we wszystkich obszarach/działach firmy.

Jak wygląda wdrożenie procesu zarządzania ryzykiem?

Kluczowe kroki w procesie zarządzania ryzykiem można opisać w poniższy sposób:

Krok 1: Identyfikacja ryzyka, czyli rozpoznawanie ryzyk wewnętrznych i zewnętrznych, które mogą wywrzeć negatywny lub pozytywny skutek na organizację. Po przeprowadzeniu tego kroku powinna powstać lista ryzyk (pozytywnych i negatywnych) w podziale na obszary występowania.

Krok 2: Ocena ryzyka, czyli analiza prawdopodobieństwa i skutków zidentyfikowanych ryzyk.

Krok 3: Pomiar (wielkość) ryzyka w każdym z obszarów.

W kroku 2 i 3 należy ryzyko ocenić i wycenić tak, aby powstała lista ryzyk z priorytetami w każdym z obszarów działalności firmy. Pomoże to w realizacji kolejnego Kroku.

Krok 4: Sterowanie ryzykiem, czyli opracowywanie działań, które mają na celu minimalizację lub eliminację narażenia na ryzyko bądź też wykorzystanie zidentyfikowanych zdarzeń, które wpływają pozytywnie na wynik finansowy firmy. Chodzi o opracowanie strategii postępowania z ryzykiem.

Przykładowe działania, jakie można podjąć w tym kroku:

  • zaprzestanie działań, które wiążą się z ryzykiem;
  • wdrożenie rozwiązań minimalizujących ryzyko lub wykorzystujących szanse ich wystąpienia;
  • wdrożenie kontroli w celu zmniejszenia wpływu lub prawdopodobieństwa ryzyka;
  • ubezpieczenie ryzyka;
  • akceptacja ryzyk, które nie wymagają natychmiastowego działania.

Krok 5: Monitorowanie i raportowanie ryzyka polega na ciągłym śledzeniu wcześniej zdefiniowanych wskaźników ryzyka. Jest to niezbędne, aby w kroku 6 określić efektywność wprowadzonego ERM.

W tym kroku pomocne będzie:

  • wdrożenie narzędzia (np. MS Excel) lub specjalistycznego oprogramowania do zarządzania ryzykiem, jeśli jest to zasadne kosztowo i organizacyjnie;
  • prowadzenie szkoleń z ERM i komunikowanie działań związanych z zarządzaniem ryzykiem w organizacji, w tym stworzenie kultury reagowania na ryzyko czy zgłaszania działań, które mogły nie zostać wzięte pod uwagę w dotychczasowym procesie lub mogły pojawić się jako nowe.

Krok 6: Analiza efektywności wprowadzonego ERM. W tym kroku chodzi o ustalenie, czy podjęte działania wpływają na zmniejszenie ryzyka lub stwarzanie możliwości w prowadzeniu działalności, czyli na ile przyjęte standardy postępowania przybliżają nas do oczekiwanych wartości.

Można to zrobić m.in. poprzez:

  • ustalenie okresowych przeglądów ryzyka – systemu ERM;
  • ustalenie okresowych analiz wdrożonych działań służących sterowaniu ryzykiem i komunikacja działań;
  • ustalenie kluczowych KRI (Key Risk Indicators), którymi mogą być np. ilość występujących błędów w procesach, liczba zdarzeń mających wpływ na cyberbezpieczeństwo, ilość produktów niezgodnych, wyniki ankiet zadowolenia klientów etc.;
  • regularne przeglądy i korygowanie działań związanych ze sterowaniem ryzykiem.

Zebranie możliwie największej ilości danych operacyjnych, technologicznych czy organizacyjnych pozwala precyzyjniej definiować podstawowe profile ryzyk i ustanawiać dla nich wskaźniki podlegające ocenie. Zbieranie i raportowanie danych pozwala też na precyzyjniejsze określanie konsekwencji, ocenę prawdopodobieństwa realizacji ryzyka i kosztów podjęcia działań lub kosztów rezygnacji z podejmowania takich działań.

W kroku 6 należy ocenić, w jakim stopniu przyjęte metody postępowania wobec ryzyka, w celu osiągnięcia tzw. wartości akceptowalnych, ustalone w trakcie wdrożenia ERM, pozwalają te wartości osiągnąć oraz jak bardzo wykorzystane do tego celu środki uwzględniają założenia ekonomiczne i strategiczne organizacji.

Ocena efektywności polega także na weryfikacji, czy przyjęte KRI i KPI są skuteczne. Wynikiem tej oceny może być decyzja co do wdrożenia zmian w zakresie tych części ERM, których wyniki nie spełniają zaplanowanych wartości albo wynikają ze zmian prawnych, otoczenia zewnętrznego lub wewnętrznego. Ocena przyjętej metody zarządzania ERM związana jest także z porównaniem wielkości kosztów ponoszonych w kontekście przyjętego planu postępowania dla wybranego ryzyka z efektami biznesowymi, jakie powinniśmy osiągnąć w wyniku podjętych działań.

Wyzwania w zarządzaniu ryzykiem i sposoby ich eliminacji

Wdrażanie Enterprise Risk Management (ERM) wiąże się z kilkoma wyzwaniami, które mogą utrudniać jego skuteczność. Identyfikacja typowych pułapek i zrozumienie, jak ich unikać, ma kluczowe znaczenie dla pomyślnej implementacji ERM.

 

Najczęściej występujące wyzwania w procesie ERM:

Wyzwanie Skutek Działania eliminujące / zapobiegające

szybko zmieniające się warunki, które mają wpływ na analizę ryzyka (np. technologia i inne czynniki wewnętrzne i zewnętrzne)
niepełne zarządzanie ryzykiem i niewłaściwa koncentracja na działaniach związanych ze sterowaniem ryzykiem
  1. regularnie monitorowanie trendów i postępów technologicznych istotnych dla branży;
  2. bieżące monitorowanie zmian przepisów prawa istotnych dla działalności;
  3. stała analiza efektywności wdrożonego ERM ;

brak jasnych celów (KRI) i niewłaściwa identyfikacja ryzyk oraz niepowiązanie ERM ze strategią firmy
niepełne zarządzanie ryzykiem i niewłaściwa koncentracja na działaniach związanych ze sterowaniem ryzykiem
  1. ustalenie KRI i KPI operacyjnych zgodnych ze strategią biznesową celem śledzenia postępów;
  2. zaangażowanie kadry zarządzającej (kierownictwa);
  3. regularne przeglądy ryzyk i stała analiza efektywności wdrożonego ERM;
  4. umożliwienie wszystkim pracownikom zgłaszania nowych lub nieprzewidzianych ryzyk;

zarządzanie ryzykiem przez kilka osób lub w poszczególnych działach oddzielnie
pomijanie niektórych ryzyk, nieefektywne zarządzanie ryzykiem (niepełne i niespójne)
  1. ustalenie odpowiedzialności wśród pracowników;
  2. jedno narzędzie/oprogramowanie do zarządzania ryzykiem;
  3. jasne, zakomunikowane procedury związane z zarządzaniem ryzykiem;

niekompletne dane wykorzystywane w monitorowaniu ryzyka
spowolnione lub zaburzone funkcjonowanie ERM, niepełne zarządzanie ryzykiem i niewłaściwa koncentracja na działaniach związanych ze sterowaniem ryzykiem
  1. wdrożenie stałego monitorowania wskaźników umożliwiającego natychmiastową ocenę ryzyka;
  2. aktualizacja i omawianie z kierownictwem informacji;
  3. odpowiednie praktyki zarządzania danymi: gromadzenie, przechowywanie, dostęp
  4. stała analiza efektywności wdrożonego ERM;

opór pracowników i brak odpowiedzialności
spowolnione lub zaburzone funkcjonowanie ERM, brak wyników wdrożenia procesu
  1. ustalenie ról poszczególnych pracowników i odpowiedzialności w procesie ERM
  2. komunikowanie pracownikom korzyści z posiadania systemu;
  3. szkolenia pracowników w zakresie świadomości ryzyka i procedur z tym związanych;
  4. umożliwienie wszystkim pracownikom wpływu na system (np. zgłaszanie ryzyk, zagrożeń i problemów);
  5. monitorowanie ryzyk, ich analiza i komunikowanie pracownikom;
  6. element systemu premiowego jako uznanie zaangażowania w proces wspieranie kultury, w której pracownicy rozumieją rolę, jaką odgrywają w zarządzaniu ryzykiem

Czy ERM przynosi efekty?

Jak wynika z powyższego, wdrożenie ERM wiązać się powinno z założeniami osiągnięcia pewnych celów i wskaźników, które pozytywnie wpływają na działalność.

Założone rezultaty, możliwe są do osiągnięcia poprzez systematyczne działania we wszystkich krokach wdrożenia ERM. Wśród nich niezwykle istotną rolę odgrywa ostatni krok, czyli analiza efektywności wdrożonego ERM.

Świadomość wyzwań, jakie niesie za sobą zarządzanie ryzykiem, pozwoli na zminimalizowanie ich wystąpienia, a zatem osiągnięcia założonych efektów, przyjętych w strategii. Nieodzownym elementem skuteczności ERM jest budowanie i ciągłe wspieranie kultury, w której pracownicy rozumieją, czym jest zarządzanie ryzykiem i rozumieją, jak ważną rolę w nim odgrywają.

Każde zarządzanie zmianą w organizacji może być związane z pewnymi kryzysami i oporem. Przygotowanie kierownictwa na występujące etapy wdrożenia zmian zminimalizuje ich skutki i pozwoli się cieszyć sprawnym systemem, który pozwoli organizacji zapewnić ciągłość działania, stabilne wyniki finansowe i stworzyć warunki do dalszego rozwoju.

 

Kluczowymi czynnikami sukcesu wdrożenia zmiany w organizacji, jaką zdecydowanie jest wdrożenie systemu ERM, są:

  • klarowna wizja strategiczna powiązana z konkretnymi wskaźnikami mierzenia sukcesu;
  • zbudowanie zespołu, który przeprowadzi zmianę i zakotwiczy ERM na stałe w procesach biznesowych; kierownictwo, które wierzy w zmianę i buduje wiarygodność procesu;
  • zaprojektowanie jasnych kroków wdrożenia zmiany wraz z odpowiedzialnościami;
  • stałe komunikowanie zmiany (szczególnie wewnątrz organizacji i do interesariuszy);
  • utrzymanie poczucia pilności i ważności wśród pracowników podczas całego procesu;
  • utrwalanie zmiany w kulturze organizacji.

Biorąc pod uwagę powyższe wyzwania i działając tak, by im zapobiegać, bez żadnych wątpliwości mogę stwierdzić, że wdrożenie systemu zarządzania ryzykiem przynosi wymierne skutki i pozwala być organizacjom bardziej konkurencyjnymi na rynku, szczególnie w tak szybko zmieniającym się otoczeniu biznesowym.

O autorce

Monika Bieszk przez wiele lat pracowała w obszarze HR, w tym dla funduszu private equity oraz w organizacjach międzynarodowych. Jako dyrektor personalny i członek zarządu była odpowiedzialna za obszar HR, IT i bezpieczeństwa oraz ESG i zarządzania rozwojem w firmach produkcyjnych. Doskonale rozumie biznes i jego potrzeby, dzięki czemu wie, jak wspierać realizację celów firmy, zarówno na poziomie strategicznym, jak i operacyjnym, poprzez np. tworzenie i optymalizację procesów, planu ciągłości działania, poprawę wskaźników, budowę efektywnych zespołów, analizę i minimalizację ryzyka biznesowego. Ma doświadczenie w integracji i restrukturyzacji procesów biznesowych, w tym M&A. W pracy ceni szacunek, współpracę, partnerstwo, komunikację, profesjonalizm i rozwój.