Nagroda Lider ERM

Zarządzanie ryzykiem – przychód czy koszt?

Autor:
Monika Bieszk
czytaj dalej

Czy wszystkie firmy powinny wdrożyć w swoich organizacjach system zarządzania ryzykiem? W jakiej skali najlepiej jest to zrobić? Czy wykorzystać swoje zasoby, czy może wiedzę i czas zewnętrznych konsultantów? I najważniejsze: czy to się w ogóle opłaca? Na te i inne pytania odpowiada Monika Bieszk, Lider ERM, na co dzień zajmująca się doskonaleniem zarządzania ryzykiem w organizacji.

 

Wiele się mówi o korzyściach, jakie niesie ze sobą zarządzanie ryzykiem. Jednak, aby o tych korzyściach w ogóle mówić, należy zaznaczyć, że to zarządzanie powinno być przede wszystkim skuteczne. Tylko wtedy będzie można liczyć m.in. na zwiększenie bezpieczeństwa biznesu czy też szybsze reagowanie na zmiany rynkowe. Obok pytań o to, jak sprawić, by system ERM był efektywny i od czego zacząć jego wdrożenie, pojawia się jedno, jak najbardziej uzasadnione biznesowo: czy to się w ogóle opłaca? Warto przyjrzeć się bliżej zarządzaniu ryzykiem i zrozumieć, jakie realne korzyści może przynieść jego skuteczne wdrożenie w organizacji.

 

Z tego artykułu dowiesz się m.in.:

  • co to jest ryzyko;
  • na czym polega zarządzanie ryzykiem;
  • jakie są rodzaje ryzyka;
  • jak myśleć o ERM, by określić, czy to przychód czy koszt.
Monika Bieszk
Profil lidera

Co to jest ryzyko?

Każdy biznes, niezależnie od skali i branży, narażony jest na ryzyka występujące w związku z naturalnym tokiem prowadzeniem działalności. Dodatkowo pojawić się mogą również ryzyka, na które firma i jej pracownicy nie mają bezpośredniego wpływu, np. ryzyko związane ze zmianami klimatycznymi i dostępnością zasobów naturalnych niezbędnych do produkcji.

Czym zatem jest ryzyko? Najogólniej rzecz ujmując, to możliwość wystąpienia w przyszłości jakiegoś zdarzenia, które może mieć wpływ na realizację celów biznesowych przedsiębiorstwa. Warto zaznaczyć, że ryzyko mierzy się za pomocą dwóch czynników: wpływu i prawdopodobieństwa wystąpienia. Szerzej o ryzykach, ich rodzajach i przykładach, piszę w dalszej części artykułu.

Na czym polega zintegrowane zarządzanie ryzykiem?

Mówiąc o zintegrowanym zarządzaniu ryzykiem (Enterprise Risk Management – ERM), mam na myśli system zarządzania, który w sposób kompleksowy, systemowy i systematyczny pozwala organizacjom identyfikować i oceniać ryzyko w różnych aspektach i obszarach działania, ale również podejmować świadome i racjonalne decyzje o postępowaniu z ryzykiem.

Zarządzanie ryzykiem (ERM), w ocenie firm, które mają ten system, jest ważnym elementem zapewniającym ciągłość działania, stabilne wyniki finansowe; tworzy też warunki do dalszego rozwoju organizacji.

ERM to niejako część strategii biznesowej, ponieważ wymusza ocenę przyjętej strategii zarządzania organizacją w kontekście przygotowania jej na przyszłe zdarzenia biznesowe (te pozytywne i negatywne). Polega zatem na skoordynowaniu działań dotyczących kierowania i nadzorowania organizacją w odniesieniu do ryzyka.

Zarządzanie ryzykiem często sprowadza się bardziej do działań prewencyjnych w kierunku zaistnienia zagrożeń mogących spowodować straty niż do rzeczywistych działań zmierzających do wykorzystania okazji i budowania trwałej wartości dodanej w organizacji. Ryzyko to nie tylko negatywny wpływ na działalność, to również szanse, które można rozpoznać w toku analizy ryzyka (tzw. ryzyka pozytywne i negatywne). Ponadto z analizy ryzyka wyniknąć mogą aspekty wpływające na zmniejszenie przychodów lub zwiększenie kosztów, ale mogą też wyniknąć szanse mające wpływ na zwiększenie przychodów lub zmniejszenie kosztów w toku prowadzonej działalności.

Dobrym przykładem są systemy zarządzania ISO, między innymi ISO 9001, ISO 14001 i ISO 45001, w których to identyfikuje się właśnie ryzyko negatywne związane z zagrożeniami funkcjonowania jednostki certyfikowanej oraz ryzyko pozytywne, które wiąże się z szansami dla organizacji.

Identyfikacja ryzyk – od tego warto zacząć myślenie o ERM

Przed podjęciem decyzji co do wdrożenia systemu zarządzania ryzykiem należy zidentyfikować obszary i rodzaje ryzyk już występujące lub możliwe do wystąpienia w najbliższych kilku latach w organizacji. Sam ten proces pozwoli zrozumieć bądź zwiększyć świadomość co do tego, jakie efekty na prowadzenie biznesu może mieć wystąpienie zdarzeń ujętych w ramach identyfikacji ryzyk. To z kolei podpowie zarządom, czy dalsze kroki są zasadne biznesowo i w jakim stopniu wpłyną na rachunek zysków i strat; czy rozwiną organizację, czy może będą blokować jej rozwój.

Na tym etapie warto firmę podzielić na obszary, np. dział zakupów, dział sprzedaży, HR, IT etc. oraz w każdym z tych obszarów ustalić rodzaje zdarzeń mogących mieć wpływ na działalność.

 

Przykładowe rodzaje ryzyk, które mogą zostać zidentyfikowane w ramach pierwszego etapu ERM:

Ryzyka wewnętrzne Ryzyka zewnętrzne
awarie infrastruktury IT i wszelkie awarie sprzętu wykorzystywanego w działalności ekstremalne zdarzenia pogodowe lub kryzys zasobów naturalnych
zdarzenia mające wpływ na cyberbezpieczeństwo – świadomość pracowników i zabezpieczenia sieci i urządzeń zdarzenia mające wpływ na cyberbezpieczeństwo – ataki hakerskie
przerwy lub awarie związane z dostawami mediów (energia, gaz, woda) lub brak ciągłości dostaw tych mediów stosunki i sytuacja polityczna, geopolityczna i ekonomiczna w kraju i na świecie
zanieczyszczenie środowiska w toku prowadzenia działalności regulacje prawne w zakresie prowadzonej działalności
płynność finansowa – ściągalność należności płynność finansowa – ryzyko kredytowe
brak lub niedostateczna kontrola procesów w firmie, nieodpowiednie podejmowanie decyzji, przepływ informacji logistyczne zapewnienie dostaw komponentów i realizacja dostaw towarów/usług do klientów
dostępność pracowników – zarządzanie personelem dostępność pracowników – stopa bezrobocia w regionie prowadzenia działalności
sztuczna inteligencja i jej zastosowanie lub niedostateczne zastosowanie sztuczna inteligencja i jej zastosowanie przez hakerów i nienadążanie za rozwojem AI
bezpieczeństwo pracowników i bezpieczeństwo danych wrażliwych

W większości powyższych ryzyk zdecydowanie można wyodrębnić występujące w nich szanse, jak i zagrożenia dla biznesu. Wynik wystąpienia takich ryzyk może mieć wpływ:

  • finansowy, czyli bezpośrednio wpływać na zyski lub straty firmy;
  • niefinansowy, czyli wpływać pośrednio na wysokość zysków lub strat (np. wizerunek firmy).

 

Zdefiniowanie występujących ryzyk jest pierwszym z etapów ERM w przedsiębiorstwie. Do pozostałych należą:

  • ocena ryzyka, czyli analiza prawdopodobieństwa i skutków;
  • pomiar (wielkość) ryzyka w każdym z obszarów (wpływ finansowy i/lub niefinansowy);
  • sterowanie ryzykiem, czyli podejmowanie działań zmierzających do jego wyeliminowania lub ograniczenia wpływu albo decyzja co do akceptacji ryzyka, kiedy działania okażą się np. zbyt kosztowne;
  • monitorowanie i raportowanie ryzyka, czyli okresowe ciągłe śledzenie wskaźników ryzyka;
  • analiza efektywności wprowadzonego ERM.
Infografika przedstawiająca 6 etapów zarządzania ryzykiem (ERM) w przedsiębiorstwie: 1. Identyfikacja ryzyk, 2. Ocena ryzyka, 3. Pomiar ryzyka, 4. Sterowanie ryzykiem, 5. Monitorowanie i raportowanie ryzyka, 6. Analiza efektywności wprowadzonego ERM. Każdy etap zilustrowany ikoną i oznaczony numerem w czerwonym kółku.

W toku procesu warto również wziąć pod uwagę rozważenie następujących aspektów:

  • stworzenie harmonogramu wdrożenia ERM;
  • określenie zasobów, które będą zaangażowane w proces (w tym decyzja o roli zewnętrznych konsultantów);
  • jakie narzędzia będą stosowane do zarządzania ryzykiem (np. MS Excel czy system informatyczny do analizy ryzyka, jego pomiaru i monitorowania);
  • szkolenia pracowników z uwzględnieniem etapów wdrożenia systemu;
  • opracowanie dokumentacji dotyczącej zarządzania ryzykiem (polityki i procedury).

Korzyści systemu ERM – dlaczego warto go wdrożyć?

Wśród przykładowych korzyści, jakie może nieść za sobą posiadanie systemu zarządzania ryzykiem, wymieniłabym:

  • uświadomienie sobie, jaki wpływ na działanie organizacji, na realizację celów i zadań w poszczególnych obszarach, mają ryzyka oraz w jakim stopniu zmniejszają one podatność na zagrożenia i zwiększają ogólną odporność organizacji na ryzyka;
  • podejmowanie świadomych decyzji przez kierownictwo organizacji uwzględniających zdefiniowane ryzyka;
  • wprowadzenie mechanizmów zapobiegających wystąpieniu ryzyka lub minimalizujących skutki wystąpienia ryzyka;
  • ciągłe monitorowanie ryzyk oraz okresowe analizy ryzyka, dające możliwość bieżącego zapewnienia adekwatności zabezpieczeń i ich doskonalenia, jak również zwiększania szans;
  • pomoc w przestrzeganiu przepisów, unikaniu kar i utrzymywaniu zaufania interesariuszy;
  • zapewnienie, że zarządzanie ryzykiem jest zgodne z celami strategicznymi, wspiera zrównoważony rozwój i innowacyjność;
  • utrzymywanie przewagi konkurencyjnej w niepewnym świecie, przewidywanie potencjalnych zagrożeń i szybsza adaptacja do zmian w otoczeniu biznesowym pozwalająca działać, zanim wystąpią problemy (ryzyko pozytywne i negatywne);
  • zapobieganie stratom finansowym spowodowanym przez nieprzewidziane zdarzenia lub nieefektywność;
  • jasną odpowiedzialność za ryzyko wśród pracowników, które zwiększa przejrzystość i zarządzanie we wszystkich obszarach/działach firmy.
Infografika przedstawiająca korzyści z posiadania systemu zarządzania ryzykiem: bezpieczeństwo, odporność organizacyjna, reakcja na zmiany, zapobieganie stratom, świadome decyzje, spełnianie regulacji, przewaga konkurencyjna, jasna odpowiedzialność. Każda korzyść zilustrowana ikoną i opisana krótkim tekstem.

W ostatnich latach przedsiębiorstwa stanęły w obliczu m.in. COVID-19, wojny w Ukrainie, doświadczyły braków w łańcuchu dostaw, wysokiej inflacji czy pracy zdalnej. W czasach tak niepewnych stało się niezbędne dla organizacji, aby pozostać konkurencyjnymi i odpornymi.

ERM coraz bardziej staje się nieodzownym elementem strategii biznesowych, ponieważ wiele firm zostało wystawionych na ciężką próbę. W mojej ocenie tylko firmy odporne na ryzyko (szanse i zagrożenia) odnoszą sukces wraz z upływem czasu, ponieważ ich strategie biznesowe uwzględniają również ryzyko i gotowość do zmierzenia się z trudnymi i/lub nieprzewidzianymi zdarzeniami.

Czy ERM to tylko koszty?

Każde wdrożenie ERM wiąże się z kosztami jego wdrożenia i utrzymania. Myślę jednak, że warto zmierzyć się z tematem zarządzania ryzykiem i dokonać kalkulacji zysków oraz strat. Na tej podstawie podjąć świadomą decyzję co do uwzględnienia systemu zarządzania ryzykiem w strategii biznesowej w części, jaka będzie adekwatna do rodzaju biznesu, skali działalności i możliwości firmy.

Co ważne, nie zawsze trzeba wdrażać kosztowne działania wynikające z analizy ryzyka. Czasem sama świadomość lub wdrożenie procedur postępowania związanych z zapewnieniem ciągłości działania w razie wystąpienia zdarzenia są wartością dodaną. Pamiętajmy, że głównym celem jest tutaj ograniczenie strat finansowych i zapewnienie stabilności przedsiębiorstwa – i w takich kategoriach należy myśleć o zarządzaniu ryzykiem.

O autorce

Monika Bieszk przez wiele lat pracowała w obszarze HR, w tym dla funduszu private equity oraz w organizacjach międzynarodowych. Jako dyrektor personalny i członek zarządu była odpowiedzialna za obszar HR, IT i bezpieczeństwa oraz ESG i zarządzania rozwojem w firmach produkcyjnych. Doskonale rozumie biznes i jego potrzeby, dzięki czemu wie, jak wspierać realizację celów firmy, zarówno na poziomie strategicznym, jak i operacyjnym, poprzez np. tworzenie i optymalizację procesów, planu ciągłości działania, poprawę wskaźników, budowę efektywnych zespołów, analizę i minimalizację ryzyka biznesowego. Ma doświadczenie w integracji i restrukturyzacji procesów biznesowych, w tym M&A. W pracy ceni szacunek, współpracę, partnerstwo, komunikację, profesjonalizm i rozwój.