Zarządzanie ryzykiem to skoordynowane działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka. Zarządzanie ryzykiem to proces, który podlega zmianom w czasie. Jednak zawiera on pewne stałe elementy.
Elementy systemu zarządzania ryzykiem
Do standardowych elementów zarządzania ryzykiem zaliczamy:
Ustalenie kontekstu
Identyfikowanie ryzyka
Estymowanie ryzyka
Ocenę ryzyka
Postępowanie z ryzykiem
Komunikację i konsultacje
Monitorowanie i przegląd ryzyka
Ustalenie kontekstu to definiowanie zewnętrznych i wewnętrznych parametrów, które powinny być uwzględniane podczas zarządzania ryzykiem. Inaczej mówiąc to środowisko, w którym organizacja dąży do osiągnięcia swoich celów.
Identyfikacja ryzyka to proces wyszukiwania, rozpoznawania i opisywania ryzyka. Obejmuje rozpoznanie źródła ryzyka, zdarzeń (incydentów), ich przyczyn i potencjalnych następstw.
Estymowanie ryzyka to proces dążący do poznania charakteru ryzyka oraz określenia jego poziomu. Polega na przypisywaniu wartości do prawdopodobieństwa i następstw ryzyka.
Ocena ryzyka to proces porównywania wyników estymowania ryzyka z kryteriami ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane. W ten sposób dokonujemy oceny znaczenia ryzyka w organizacji.
Postępowanie z ryzykiem to proces modyfikacji ryzyka.
Komunikacja i konsultacje to ciągłe procesy prowadzone przez organizację, w celu zapewnienia przekazywania lub uzyskania informacji, jak również porozumiewanie się w zakresie zarządzania ryzykiem.
Monitorowanie to ciągłe sprawdzanie, nadzorowanie, lub określanie stanu prowadzone w celu zidentyfikowania zmian w zakresie wymaganego lub oczekiwanego poziomu skuteczności.
Efektem prac związanych z analizą i oceną ryzyka jest jego uszeregowanie według kryterium istotności. Dla każdego ryzyka należy przeanalizować i opisać stosowny mechanizm nadzoru i sprawdzić, czy w wystarczający sposób zapewnia on kontrolę nad zagrożeniami.
Etapy procesu zarządzania ryzykiem
Proces zarządzania ryzykiem to systematyczne stosowanie polityk, procedur i praktyk zarządzania do działań w zakresie komunikacji, konsultacji, ustalenia kontekstu, oraz identyfikowania, analizowania, ewaluacji, postępowania z ryzykiem, monitorowania i przeglądu ryzyka.
Każdy proces zarządzania ryzykiem składa się z czterech następujących po sobie etapów:
- identyfikacja ryzyka,
- pomiar ryzyka,
- sterowanie ryzykiem,
- monitorowanie i kontrola ryzyka.
Identyfikacja ryzyka to proces polegający na ustaleniu potencjalnych ryzyk, przyczyn i źródeł ich występowania, określeniu możliwych następstw oraz wskazaniu podmiotów dotkniętych danym ryzykiem. Identyfikacja ryzyka, jako najważniejszy etap zarządzania ryzykiem, nie ogranicza się wyłącznie do obszaru zagrożeń, lecz również do poszukiwania szans. Polega na szczegółowej analizie różnych sytuacji, które mogą powodować pozytywny bądź negatywny wpływ organizację oraz przerwanie czy zakłócenie ciągłości działania.
Pomiar ryzyka polega na ustaleniu hierarchii ryzyka w działalności. Każde zidentyfikowane ryzyko oceniamy indywidualnie na podstawie doświadczeń, dobrych praktyk i kategoryzacji ryzyka pod względem prawdopodobieństwa wystąpienia i siły oddziaływania. Na tym etapie dowiemy się czy dane ryzyko jest na akceptowalnym poziomie.
Sterowanie ryzykiem zwane też postępowaniem z ryzykiem to działanie, które ma na celu m.in. zmniejszenie ryzyka do poziomu akceptowalnego poprzez dobór i wdrożenie odpowiednich środków sterowania ryzykiem. Odbywa się poprzez określenie priorytetów, dobranie właściwych narzędzi i metod oraz wdrożenie odpowiedniej strategii neutralizowania czy zapobiegania ryzyku. Dla każdego zidentyfikowanego ryzyka określamy planowane działania zapobiegawcze oraz działania, jakie podejmiemy w razie jego wystąpienia.
Monitorowanie i kontrola ryzyka wiąże się między innymi ze sprawdzaniem oraz oceną skuteczności podjętych działań. Na tym etapie obserwujemy zarejestrowane ryzyka, wprowadzamy plany reakcji na ryzyko, a także oceniamy ich efektywność. Sprawdzamy, czy nasze działania przynoszą oczekiwane rezultaty oraz czy polityki i procedury są aktualne i wydajne. Monitorowanie służy też do zbadania, czy nie pojawiły się inne ryzyka, których dotąd nie rozpoznaliśmy. W takim przypadku konieczne jest wprowadzenie zmian lub nowych procesów zarządzania ryzykiem. Z każdej niezgodności trzeba wyciągnąć wnioski, żeby poprawić niedociągnięcia.
Potrzeba nieustannego monitorowania poziomu ryzyka i jego kontroli wynika z faktu, iż zarządzanie ryzykiem jest procesem, a nie jednorazowym działaniem.
Korzyści z posiadania systemu zarządzania ryzykiem
Zarządzanie ryzykiem służy dwóm zasadniczym celom: zbudowaniu wysokiej odporności przedsiębiorstwa na możliwe zagrożenia oraz skutecznemu rozwiązywaniu problemów i minimalizowaniu strat w kryzysowych sytuacjach.
Posiadanie systemu zarządzania ryzykiem pomaga również budować przewagę konkurencyjną poprzez:
- zwiększenie prawdopodobieństwa osiągnięcia celów organizacji,
- ułatwienie planowania i podejmowania decyzji,
- minimalizację strat,
- lepszą organizację wszystkich procesów zachodzących w organizacji,
- świadome minimalizowanie ryzyka,
- dostrzeganie szans w otoczeniu organizacji,
- odpowiedzialne wykorzystywanie własnych zasobów,
- znajomość potencjalnych konsekwencji negatywnych zdarzeń,
- przestrzegane odpowiednich procedur i zaleceń,
- zapewnienie zgodności z prawem oraz z innymi wymogami,
- wzmocnienie zaufanie interesariuszy do organizacji,
- doskonalenie mechanizmy kontroli,
- doskonalenie uczenia się organizacji,
- posiadanie kompetentnego personelu, przeszkolonego do działania w kryzysowych warunkach.
Ryzyka nie można wyeliminować, można je jednak rozpoznać, by następnie nim zarządzać. Pomaga to ograniczyć podejmowanie błędnych decyzji, ponoszenie strat, czy też odchodzenie od wytyczonych w organizacji celów.