Zależności kluczowych ryzyk i ich obszarów. Dlaczego ryzykami należy zarządzać systemowo?

Zależności kluczowych ryzyk i ich obszarów. Dlaczego ryzykami należy zarządzać systemowo?

Ryzyka i obszary ich definiowania nie są elementami oderwanymi od siebie. Powiązania i zależności stanowią swoiste obszary „niekompetencji” same w sobie będące źródłem części ryzyk.

Przykładowo, podejścia z perspektywy:

• bezpieczeństwa informacji,
• compliance,
• cyberbezpieczeństwa,
• jakości,
• ochrony danych osobowych,
• ciągłości działania,

oparte są na odniesieniu do wspólnych standardów i celów zarządzania ryzykiem.

Standardy w większości opierają się na mechanizmach wypracowanych w ramach norm ISO, w tym przede wszystkim ISO 31000 i ISO/IEC 27005 oraz o metodykę COSO. Natomiast cele odnoszą się do efektywnego zapobiegania niepożądanym zdarzeniom, zjawiskom i incydentom. Do głównych z nich należą:

• ochrona kluczowych zasobów,
• ochrona wizerunku organizacji,
• lepsza alokacja i planowanie na przykład w kontekście mechanizmów kontrolnych i zabezpieczeń,
• zapewnienie zgodności z przepisami prawa.

Cele zarządzania ryzykiem powinny być ściśle powiązane z celami organizacji na poziomie strategicznym i operacyjnym. Stąd istotne jest integrowanie powyższych obszarów zarządzania organizacji w ramach ERM.

Nieformalne zarządzanie ryzykiem pozwala co prawda na punktową reakcję w odniesieniu do zagrożeń i szans, lecz problemy zaczynają się w momencie kiedy reakcja na jedne ryzyka, w sposób trudny do przewidzenia, prowadzi do wzrostu prawdopodobieństwa bądź wpływu innych ryzyk.

Sytuacja ta wynika z braku wspólnej metodyki oraz braku centralnego punktu koordynującego sposób zarządzania ryzykiem oraz podejmowanie decyzji w tym zakresie. Warto zwrócić w tym miejscu uwagę, że nie jest możliwe zarządzanie wszystkimi istotnymi ryzykami operacyjnymi na poziomie najwyższego kierownictwa (np. Zarządu). Doświadczenia organizacji, z którymi od wielu lat współpracujemy oraz nasze pokazują, że możliwe jest efektywne postępowanie z ryzykami na różnych poziomach w zależności od wartości identyfikowanych zagrożeń.

W końcu warto zwrócić uwagę, że w ostatnim okresie bardzo szybko przybywa obszarów, w których zarządzanie ryzykiem jest nie tylko dobrą praktyką, ale również wymaganiem – np. RODO, czy Dyrektywa NIS i ustawa o krajowym systemie cyberbezpieczeństwa. Wpływa to również na inicjowanie wewnętrznych potrzeb w zakresie implementacji systemowego zarządzania ryzykiem, np. na potrzeby rady nadzorczej.

Trudno wyobrazić sobie, żeby narzędzie zarządcze, jakie to miano zyskał ERM w największych globalnych i zagranicznych firmach, nie przełożyło się na jeszcze większe jego spopularyzowanie w pozostałych organizacjach. Można pokusić się o śmiałą tezę, że stanie się ono niezbędnym wymogiem porównywalnym do audytu wewnętrznego, czy zarządzania procesowego. Dlatego warto na etapie budowania systemu ERM wesprzeć się doświadczonym zewnętrznym partnerem.

 

Jacek Knopik
Starszy konsultant ds. analizy ryzyka w PBSG