PROCEDURY I NARZĘDZIA IDENTYFIKACJI RYZYKA
Ryzyko:
niepewność naszej przyszłości i nieodzowna część rzeczywistości;
prawdopodobieństwo wystąpienia zdarzenia niepożądanego, niebezpiecznego lub wyrządzającego szkodę oraz efektu, jakie to zdarzenie może wywołać;
wynika z działania lub jego braku;
wynika z otoczenia lub wnętrza organizacji;
obejmuje negatywne konsekwencje oraz niewykorzystane możliwości;
traktuje się jako prawdopodobieństwo odchylenia osiągalnych wyników od stanu oczekiwanego - rozumiane jako możliwość pogorszenia lub polepszenia planowanych wyników podejmowanych działań.
Dlaczego warto zarządzać ryzykiem:
wymagają tego akcjonariusze dbający o wartość firmy;
banki same poddane są rygorom zarządzania ryzykiem, więc narzucają podobne rygory swoim klientom;
czynniki wewnętrzne - poznanie ryzyka pozwala na jego ograniczenie.
Cele identyfikacji ryzyk:
ze względu na charakter celu:
cele formalne;
cele nieformalne.
ze względu na przedmiot celu:
ocena ryzyk projektu;
ocena ryzyk organizacji.
Cele formalne:
określenie ryzyk funkcjonujących w organizacji;
skatalogowanie ryzyk organizacji;
zasilanie systemu zarządzania ryzykiem w informacje;
określenie znaczenia poszczególnych ryzyk dla organizacji.
Cele nieformalne:
budowa świadomości istnienia ryzyk u wszystkich zaangażowanych;
refleksja u poszczególnych osób nad ryzykami dotyczącymi poszczególnych stanowisk/funkcji;
pobudzenie do myślenia: czy zajmujemy się danym ryzykiem? I czy nie angażujemy zbyt dużych/małych zasobów do zarządzania danym ryzykiem?;
czy to co postrzegamy jako ryzyko stanowi naprawdę ryzyko?
Cele identyfikacji ryzyka (a ERM):
Cecha wyjściowa: Fragmentaryczność zarządzania ryzykiem; Kreowanie zarządzania ryzykiem ad hoc; Brak wspólnego języka; Brak przypisania ryzyk do właścicieli; Zarządzanie ryzykiem realizowane w oderwaniu od strategii i celów.
Cecha Kompleksowego Systemu Zarządzania Ryzykiem (ERM): Zintegrowanie zarządzania ryzykiem; Proces ciągły; Stworzenie wspólnego języka zarządzania ryzykiem, opisu ryzyka (model, rejestr i mapa ryzyk); Jednoznaczne przypisanie ryzyk do właścicieli; Uspójnienie i definicja celów ERM z uwzględnieniem strategii biznesowej.
Cele ERM: Umożliwienie właściwego zarządzania ryzykiem na poziomie całej Spółki/Grupy; Umożliwienie realizacji założonych celów biznesowych w ramach przyjętego i akceptowalnego poziomu ryzyka; Umożliwienie innym spółkom grupy kapitałowej przeprowadzenia analogicznego procesu budowy szczegółowego ERM w każdej ze spółek poprzez budowę systemu `globalnego' dla całej grupy kapitałowej.
Ocena ryzyk w organizacji:
identyfikacja zagrożeń mających wpływ na ciągłość działania organizacji;
określenie szans i zagrożeń dla prowadzonej działalności;
identyfikacja czynników wpływających na osiągane wyniki;
ocena możliwości zwiększenia/zmniejszenia wykorzystania posiadanych i już zaangażowanych zasobów.
Ocena ryzyk w projekcie:
identyfikacja zagrożeń mogących uniemożliwić zakończenie projektu;
identyfikacja zagrożeń mających wpływ na budżet projektu;
identyfikacja zagrożeń mających wpływ na harmonogram projektu;
identyfikacja zagrożeń mających wpływ na osiągniecie planowanych do uzyskania z projektu korzyści.
Ogólne aspekty istnienia ryzyka:
Poparcie naczelnego kierownictwa jako kluczowy element wdrażania zarządzania ryzykiem:
polecenie na zaangażowanie pracowników;
zwiększenie motywacji;
poprawa komunikacji (prawidłowe informacje o ryzyku.
Zaangażowanie osób zajmujących się operacyjnie działalnością organizacji:
praktyczna ocena zjawisk w konkretnej organizacji;
budowa świadomości zarządzania ryzykiem u osób odpowiedzialnych za zadania operacyjne;
poczucie odpowiedzialności na każdym etapie.
Udział fachowców od zarządzania ryzykiem:
poprawność prowadzenia procesu identyfikacji ryzyk:
przeszkolenie wstępne osób,
efektywność procesu,
weryfikacja wyników.
unikanie typowych błędów w procesie identyfikacji ryzyka.
Czynniki ryzyka - zdarzenia, uwarunkowania, sytuacje, które mogą spowodować bądź wpływają na możliwość zmaterializowania się ryzyka.
Ryzyko - stan (zdarzenie), w którego skutek następuje odchylenie od planowanych (spodziewanych) wyników.
Skutek ryzyka - efekt wystąpienia ryzyka.
Identyfikacja ryzyka zakres procedury:
Cel procedury (ustalenie jednolitych zasad identyfikacji i oceny ryzyk biznesowych w ERM; ustalenie zasad oceny ryzyk i wyboru kluczowych ryzyk, którymi zarządza się w ramach ERM).
Przedmiot procedury (określenie i zdefiniowanie działań wykonywanych w związku z identyfikacją i oceną ryzyk biznesowych; określenie podstawowych zasad zbierania i analizowania informacji dotyczących poszczególnych ryzyk; wskazanie jednostek organizacyjnych i osób odpowiedzialnych za ocenę ryzyk biznesowych)
Odpowiedzialność (wskazanie osób, które są uprawnione do przeprowadzenia postępowania zgodne z procedurą; zakresy uprawnień osób - określone w procedurze).
Działania (zasady uruchamiania procedur, zasady wypełniania kwestionariuszy ryzyka, agregacja ryzyk, analiza i oceny ryzyk, selekcja kluczowych ryzyk, analiza profilu ryzyka, utrzymanie rezultatów pracy).
Metody identyfikacji ryzyk:
warsztat, burza mózgów;
analiza SWOT;
badanie rejestrów historycznych;
badania ankietowe;
weryfikacja dokumentów wewnętrznych i wymagań formalnych w zakresie bezpieczeństwa.
Badanie wewnętrzne powinno określić co dla danej organizacji:
stanowi prawdziwe ryzyko;
jaki jest rzeczywisty poziom ryzyka;
jakie jest prawdopodobieństwo wystąpienie ryzyka;
kto odpowiada za zarządzanie tym ryzykiem.
Karta ryzyka:
standardowe narzędzie wykorzystywane w procesie identyfikacji ryzyka oraz w całym procesie zarządzania ryzykiem;
wypełnienie karty dla zidentyfikowanego ryzyka umożliwia określenie jego parametrów;
karty wypełniane są zgodnie z kryteriami ERM - model ryzyk który definiuje kryteria podziału (np. ryzyka: strategiczne, finansowe, operacyjne i rynkowe).
Kata ryzyka - przykład:
Definicja ryzyka (opis ryzyka; najczęstsze skutki materializacji; kategoria).
Charakterystyka ryzyka (właściciel, prawdopodobieństwo materializacji ryzyka; wpływ - skutek materializacji, strategia zarządzania ryzykiem).
Zasady pomiaru (parametry mierzące ryzyko, limity ryzyka).
Plan realizacji na ryzyko (planowane działania).
Parametry ryzyka:
Za kluczowe parametry ryzyka uznaje się (i słusznie):
Prawdopodobieństwo jego wystąpienia.
Wpływ (stratę) w przypadku materializacji ryzyka.
Ryzyka kwantyfikowalne - ryzyka dla których możemy wyznaczyć na podstawie różnych metod ale w wiarygodny sposób prawdopodobieństwo i skutki ich wystąpienia.
W celu zarządzania ryzykami kwantyfikowalnymi wykorzystuje się koncepcję określenia apetytu na ryzyko i system limitów dla ryzyk kwantyfikowalnych oraz ustanawia dla każdego ryzyka kwantyfikowalnego miary ryzyka (Key Risk Indicator - KRI), która wskazuje na wielkość samego ryzyka. Są to w zasadzie wszystkie ryzyka rynkowe i finansowe np. ryzyko zmiany cen, ryzyko kredytowe.
Ryzyka niekwantyfikowalne - ryzyka dla których nie jest możliwe wiarygodne wyznaczenie prawdopodobieństwa lub skutku ich wystąpienia.
W celu zarządzania ustanawia się dla każdego ryzyka tzw. kluczowy wskaźnik efektywności (Key Performance Indicator - KPI), który wskazuje na cele, jakie mają zostać osiągnięte w działalności zagrożonej danym ryzykiem. Wskaźniki KPI w rzeczywistości nie uwzględniają poziomu ryzyka, a jedynie wskazują, jaki rezultat powinien zostać osiągnięty w danym obszarze zagrożonym ryzykiem. Miara KPI powinna być miarą zobiektywizowaną, zakłada ona, że osiągnięcie rezultatu mierzonego KPI prowadzi do ograniczenia ryzyka związanego z tym KPI. KPI określa się w sposób jakościowy i/lub opisowy w przypadku, gdy nie ma możliwości (lub jest to nieuzasadnione) określenia tej miary w postaci mierzalnej, lub postaci oceny punktowej. KPI określone w sposób jakościowy nie mogą być podstawą do oceny właściciela danego ryzyka, stanowią natomiast podstawę do analizy zmian ryzyka w czasie i podjęcia działań zaradczych w kolejnych okresach. Do ryzyk niekwantyfikowanych zaliczają się bardzo często ryzyka strategiczne i część ryzyk operacyjnych.
Zarządzanie ryzykiem - wykład 1.
2