Czym jest zarządzanie ryzykiem przedsiębiorstwa (Enterprise Risk Management – ERM)?

Firmy od zawsze musiały mierzyć się z różnymi rodzajami ryzyk, jednak wiele z nich robiło to w sposób dość chaotyczny, często w poszczególnych działach. Tak sporadyczne lub fragmentaryczne podejście do zarządzania ryzykiem może odciągać uwagę od kluczowych działań biznesowych organizacji i prowadzić do całkowitego pominięcia niektórych zagrożeń.

Zarządzanie ryzykiem przedsiębiorstwa (ERM) to natomiast strategiczne, holistyczne podejście, które umożliwia firmie systematyczną identyfikację, równoważenie i kontrolowanie ryzyk biznesowych. Dobrze wdrożony program ERM zapewnia, że wszystkie rodzaje ryzyk (strategiczne, operacyjne, finansowe, zgodności itp.) są konsekwentnie identyfikowane i adresowane.

Definicja i znaczenie zarządzania ryzykiem przedsiębiorstwa

ERM to proces stosowany przez organizacje do zarządzania ryzykiem i wykorzystywania szans związanych z realizacją ich celów. Zapewnia on ramy zarządzania ryzykiem, które zazwyczaj obejmują identyfikację – w miarę możliwości – zdarzeń lub okoliczności istotnych dla celów organizacji (zarówno ryzyk, jak i szans), ocenę ich prawdopodobieństwa i skali wpływu, określenie strategii reagowania oraz monitorowanie postępów.

W ostatnich latach pojawienie się cyberataków i skutki pandemii COVID-19 unaoczniły ograniczenia tradycyjnych, fragmentarycznych metod oceny ryzyka. ERM stał się kluczowym elementem ładu korporacyjnego organizacji i jest procesem ciągłym, wymagającym stałego doskonalenia oraz dostosowywania do nowych zagrożeń i możliwości.

Etapy i elementy zarządzania ryzykiem przedsiębiorstwa

ERM nie powinno być realizowane w oderwaniu od innych działań – powinno być zintegrowane z wszystkimi procesami i decyzjami organizacyjnymi. Większość standardów systemów zarządzania, takich jak ISO 9001 (jakość), ISO/IEC 27001 (bezpieczeństwo informacji), ISO 14001 (zarządzanie środowiskowe) czy wiele innych stosowanych przez firmy w celu doskonalenia produktów, usług i reputacji, zawiera wymagania dotyczące zarządzania ryzykiem oraz sposobów realizacji tego procesu w ramach systemu zarządzania. Bardziej szczegółowe wskazówki można znaleźć w normie ISO 31000 dotyczącej zarządzania ryzykiem.

Współczesne środowisko biznesowe często wymaga od firm i organizacji wykazania zgodności z określonym standardem wobec klientów oraz interesariuszy wewnętrznych i zewnętrznych. Dlatego skuteczne zarządzanie ryzykiem przedsiębiorstwa oraz możliwość jego udokumentowania poprzez niezależną certyfikację stały się niezbędne.

Kluczowe kroki w procesie zarządzania ryzykiem przedsiębiorstwa:

  • Identyfikacja ryzyka: Proces wykrywania i opisywania ryzyk, które mogą potencjalnie wpłynąć na działalność firmy. Polega na rozpoznawaniu zagrożeń, które mogą mieć wpływ na realizację celów organizacji.

  • Ocena ryzyka: Po zidentyfikowaniu ryzyk następuje określenie prawdopodobieństwa ich wystąpienia oraz potencjalnych skutków. Obejmuje to analizę zarówno prawdopodobieństwa, jak i konsekwencji każdego zidentyfikowanego ryzyka.

  • Reakcja na ryzyko (postępowanie z ryzykiem): Opracowanie działań w celu zwiększenia szans i ograniczenia zagrożeń. Ten etap obejmuje formułowanie strategii zarządzania lub łagodzenia zidentyfikowanych ryzyk.

  • Działania kontrolne: Wdrożenie mechanizmów zapewniających skuteczne wdrażanie reakcji na ryzyko. Obejmuje to polityki i procedury gwarantujące właściwe wykonanie planowanych działań.

  • Informacja i komunikacja: Zapewnienie, że istotne informacje o ryzyku są identyfikowane, gromadzone i przekazywane w odpowiednim czasie w całej organizacji. Ten etap jest kluczowy dla podejmowania świadomych decyzji.

  • Monitorowanie i przegląd: Ostatni etap polega na ciągłym obserwowaniu procesów zarządzania ryzykiem, aby upewnić się, że są skuteczne, oraz wprowadzaniu niezbędnych korekt. Obejmuje to bieżący przegląd środowiska ryzyka i skuteczności strategii reagowania.

Przykłady zarządzania ryzykiem przedsiębiorstwa

Rodzaje ryzyk różnią się w zależności od działalności, branży czy nawet lokalizacji firmy. Tradycyjne ryzyka, wspólne dla wielu organizacji, to np. zagrożenia dla konkurencyjności produktów lub usług czy trudności w spełnianiu wymogów BHP.

Większość firm musi również zarządzać oczekiwaniami interesariuszy, a bezpieczeństwo informacji stało się powszechnym zagrożeniem. Sztuczna inteligencja znajduje się obecnie w centrum zainteresowania wielu organizacji, a tematy takie jak różnorodność, równość i inkluzywność (DEI) zyskują coraz większe znaczenie.

W szerszej perspektywie, realizacja wymagań dotyczących środowiska, społeczeństwa i ładu korporacyjnego (ESG) oraz wykazywanie wyników w tych obszarach są coraz bardziej istotne dla inwestorów i innych interesariuszy. Dzięki wdrożeniu solidnej strategii ERM organizacje nie tylko chronią się przed potencjalnymi zagrożeniami, ale także zyskują możliwość wykorzystania nowych szans.

Przykłady praktycznego zastosowania ERM:

  • firma technologiczna wdraża zaawansowane środki cyberbezpieczeństwa, aby chronić dane przed naruszeniami,

  • producent żywności stosuje wyłącznie surowce pochodzące ze zrównoważonych źródeł i wprowadza dodatkowe środki bezpieczeństwa żywności w całym łańcuchu dostaw, by chronić zdrowie konsumentów.

Narzędzia i rozwiązania ERM

Istnieje wiele narzędzi i rozwiązań wspierających ERM – niektóre z nich są bardziej złożone niż inne.

System zarządzania zgodny z certyfikowalnymi standardami ISO lub innymi uznanymi schematami może zapewnić ustrukturyzowane podejście. W przypadku norm ISO szczególnie przydatna jest ISO 31000, a także inne przewodniki i podręczniki oferujące praktyczne podejścia do wdrażania ERM zgodnie z wymogami branżowymi.

Wpływ ryzyk można przedstawić w macierzy ryzyka, gdzie na jednej osi znajduje się prawdopodobieństwo wystąpienia zdarzenia, a na drugiej – jego skala oddziaływania. Zazwyczaj poziom ryzyka rośnie od „niskiego” w lewym dolnym rogu, przez „umiarkowany” i „wysoki”, aż po „bardzo wysoki” w prawym górnym.

W zarządzaniu ryzykiem można również wykorzystać diagram rybiej ości (diagram Ishikawy), znany z analizy przyczyn źródłowych (Root Cause Analysis – RCA). Diagram ma kształt szkieletu ryby – z problemem umieszczonym w głowie i przyczynami rozchodzącymi się w lewo jako „ości”, pogrupowane w kategorie, takie jak: metody, maszyny, materiały, ludzie, pomiary i środowisko.
Stosując go w zarządzaniu ryzykiem, można zidentyfikować potencjalne przyczyny zagrożeń dla projektu lub działalności.

Przykład: w projekcie tworzenia oprogramowania istnieje ryzyko opóźnień. Diagram rybiej ości może pomóc wskazać ich możliwe przyczyny – np. związane z personelem, sprzętem, procesami czy regulacjami.

  • „Ość” dotycząca ludzi może obejmować potrzebę szkoleń lub brak odpowiednich kandydatów.

  • „Ość” sprzętowa – potrzebę nowej technologii lub awarie.

  • „Ość” procesowa – opracowanie instrukcji, uzgodnienia finansowe lub unikanie wpływu na inne priorytetowe projekty.

  • „Ość” regulacyjna – opóźnienia mogą wynikać z braku opublikowanych wytycznych lub ich przeglądu przez organy nadzoru.

Innym narzędziem są platformy oprogramowania ERM, które umożliwiają elastyczne modelowanie, ocenę wielu typów aktywów i kompleksowe zarządzanie ryzykiem w przedsiębiorstwie.

Skuteczne wdrożenie ERM pozwala organizacjom nie tylko chronić się przed potencjalnymi zagrożeniami, ale także lepiej wykorzystywać pojawiające się możliwości.
Firmy, które chcą wzmocnić swoje kompetencje w tym zakresie, mogą skorzystać z kursów i szkoleń z zarządzania ryzykiem, aby efektywniej wdrażać praktyki i ramy ERM w swojej działalności.

Powiązane artykuły