Štefan Majtán, Daniela Rybárová

Zarządzanie ryzykiem w biznesie a znaczenie ubezpieczeń[1]

Wstęp

Wiele nieubezpieczonych szkód było bezpośrednim następstwem działań ludzkich w czasie kryzysu i wiązało się z niezdolnością do zrozumienia sygnałów, że dochodzi do klęski lub że oczekiwany wynik nie zostanie osiągnięty. Jeśli raporty nie są bezpośrednio skierowane do kierownictwa, giną w biurokratycznym zamieszaniu. Gdy są konfrontowane przez katastrofę, menedżerowie mają w zwyczaju od początku ratować się stosowanymi wcześniej odniesieniami i czynnościami, pochłania ich rutyna i utarte już schematy zachowań. Menedżerowie często poświęcają tak wiele czasu skupiając uwagę na znaczących bieżących zagrożeniach, że trudno im radzić sobie z zagrożeniami w bardziej odległej skali czasowej. Powszechne procedury mogą się okazać najmniej odpowiednie w obliczu kryzysu. Wiele niepowodzeń wynika z działań organizacji, którym nie udaje się zapobiec pogłębianiu się kryzysu, i które reagują tylko wtedy, gdy sytuacja rozrasta się do rozmiarów katastrofy. Zapobieganie kryzysowi jest bardziej efektywne niż podnoszenie się po katastrofie. Inwestorzy coraz częściej domagają się kontroli sytuacji i przygotowania  alternatywnych rozwiązań na wypadek nieprzewidzianych zdarzeń losowych, opierania zatwierdzanych i przyszłych inwestycji na udokumentowanych przesłankach w procesie ich planowania.

Sterowanie ryzykiem biznesowym

Zarządzanie ryzykiem w biznesie skupia się na dwóch głównych czynnikach:

- zapewnieniu ciągłości działania organizacji bez względu na to, jak trudnemu scenariuszowi przyjdzie jej stawić czoła;

- określeniu i zredukowaniu zagrożeń w działalności operacyjnej w kontekście danych celów biznesowych.

Tabela nr 1. Etapy zarządzania ryzykiem w biznesie

Ocena ryzyka może się odbywać w każdym momencie, natomiast kontrola ryzyka nie będzie efektywna bez uprzedniego dokonania oceny ryzyka. Podobnie, większość osób uważa błędnie, że ocena ryzyka wystarcza dla właściwego zarządzania ryzykiem i że wyczerpuje nasze możliwości w tym zakresie. Często wkłada się niezwykle dużo wysiłku w ocenę ryzyka zupełnie ignorując  potrzebę kontroli ryzyka.

Graf 2:  Łączenie dwóch stadiów procesu zarządzania ryzykiem z celami biznesowymi

Identyfikacja ryzyka i źródła zagrożeń

• Rosnący zakres i złożoność komunikacji z organizacjami.
• Rosnąca złożoność systemów informatycznych i korzystanie z e-biznesu, przy jednoczesnym dalszym stosowaniu przestarzałych praktyk biznesowych, zapór firewall i nie wystarczających zabezpieczeń przed globalnym hackerami i wirusami.
• Ciągłe zmiany w oczekiwaniach klientów oraz zaostrzająca się konkurencja na rynku związana z e-biznesem i rosnącą globalizacją rynku, rosnącą siłą przetargową klientów i kooperantów.
• innowacje w liniach technologicznych, wejścia na nowe rynki, czy zmiany w wymaganiach wynikających z przepisów.
• Wprowadzanie nowych strategii, procesów i standardów bez uwzględnienia potencjalnych braków umiejętności w kluczowych dziedzinach.
• Do tempa zmian należałoby dostosować metody zabezpieczania informacji oraz strategie i kontrole zarządzania ryzykiem.
• Znaczne zmiany w przepisach dotyczących wymagań i ich kontroli oraz ich wdrożenie. Zarząd musi zapewnić stosowanie się do nowych regulacji.
• Świadomość ryzyka i kontrola zagrożeń w przedsiębiorstwie jest niezbędna, bowiem w przeciwnym razie może dojść do bardzo kłopotliwych konsekwencji finansowych, jak na przykład w przypadku kontraktów terminowych lub zabezpieczaniu waluty.
• Podejmowane decyzje często opierają się na niesystematycznych lub nieanalizowanych danych, co może skutkować błędnym rozumieniem konkretnych zagrożeń albo powstaniem dużych wahań w zależności od wizji technologicznej.
• Odpowiedzialność za obszary krytyczne jest często powierzana organizacjom zewnętrznym przy zachowaniu małej kontroli nad tym, jak będzie wyglądać zarządzanie ryzykiem i jak zewnętrzny usługodawca będzie reagować. W niektórych przypadkach usługodawca zewnętrzny ma nieograniczony dostęp do systemów informatycznych, a jest kontrolowany w małym stopniu lub wcale.

Graf 3: Zagrożenia uważane wcześniej za najbardziej niepokojące (Deloitte & Touche)

Ogólne zasady zarządzania ryzykiem w bezpieczeństwie żywności

• Zarządzanie ryzykiem powinno być zgodne z podejściem strukturalnym.
• Ochrona zdrowia człowieka powinna być podstawowym priorytetem w decyzjach dotyczących zarządzania ryzykiem.
• Decyzje i praktyka zarządzania ryzykiem powinna być klarowna.
• Ocena ryzyka powinna zostać włączona do specyficznych komponentów zarządzania ryzykiem.
• Zarządzanie ryzykiem powinno zapewnić naukową spójność procesu oceny ryzyka poprzez zachowanie funkcjonalnego oddzielenia kontroli ryzyka i oceny ryzyka.
• Decyzje na podstawie wniosków wynikających z kontroli ryzyka powinny uwzględniać niepewność w wynikach oceny ryzyka.
• Zarzadznie ryzykiem powinno włączać jasną, interaktywną komunikację z klientami i innymi zainteresowanymi stronami we wszystkich aspektach procesu.
• Kontrola ryzyka powinna być ciągłym procesem, w którym bierze się pod uwagę wszystkie nowowytworzone dane w ewaluacji i przeglądzie oceny ryzyka.

Zarządzanie ryzykiem pozwala organizacjom zbadać wszystkie zagrożenia, w obliczu których stają, ocenić potencjalny wpływ tych zagrożeń na długoterminową dolność do utrzymania się na rynku i podjąć odpowiednie kroki, by poradzić sobie lub złagodzić te zagrożenia. Służy temu konsekwentna realizacja strategii, wykorzystanie dotychczasowych praktyk i posiadanych zasobów przy ocenie i kontroli. Zarządzanie ryzykiem skupia się na podstawowym czynniku, jakim jest zapewnienie ciągłości działania organizacji w obliczu każdego trudnego scenariusza, z jakim przyjdzie się jej zmierzyć. Proces ten pokazuje jak osiągnąć zamierzone cele.

Ocena ryzyka

Proces identyfikacji, ilościowego określania i szeregowania zagrożeń według ważności czyni je bardziej widocznymi i realnymi dla kierowników i menedżerów, którzy wcześniej mogli nie myśleć poważnie o zarządzaniu ryzykiem. Ostatecznie to bezpośredni przełożeni muszą być odpowiedzialni za identyfikację, klasyfikację, monitorowanie i kontrolę ryzyka. Zespół zarządzania ryzykiem w firmie musi też koniecznie stworzyć silniejszą więź z przełożonymi.

Aby zidentyfikować ryzyko przedsiębiorstwo powinno:

• uwzględnić profil działalności określony przez wytwarzany produkt i/lub świadczone usługi;
• znać zagrożenia procesu biznesowego;
• brać pod uwagę jak zachowują się ludzie w różnych okolicznościach;
• uwzględnić jakość zespołu zarządzającego;
• uwzględnić zmieniające się środowisko zewnętrzne.

Identyfikacja ryzyka jest procesem uświadamiania sobie, że zagrożenia istnieją i podejmowania prób, by określić ich rodzaje i zdefiniować ich cechy. Często zagrożenia istnieją i są mierzone już pewien czas przed tym, gdy zostanie rozpoznane ich niekorzystne oddziaływanie. W innych przypadkach identyfikacja ryzyka jest przemyślaną procedurą, której celem jest przegląd i, czego się również oczekuje, przewidzenie możliwych skutków. Podczas gdy postulat identyfikacji, oceny ilościowej i reakcji na ryzyko, w obliczu którego stoi firma nie budzi wątpliwości, faktyczny proces zarządzania ryzykiem może się wydawać zniechęcający i sprawiać wrażenie zadania z pozoru nieskończonego. Ponieważ jest praktycznie niemożliwe, aby firma oceniła wszystkie napotykane zagrożenia, identyfikacja zagrożeń na poziomie drobnych szczegółów nie jest konieczna, a może nawet okazać się szkodliwa dla przemyślanej oceny ryzyka. Aby zarządzanie ryzykiem było skuteczne, firma powinna wyznaczyć jasne, realistyczne cele, a potem określić zamierzone rezultaty. Zespół oceniający powinien wyznaczyć priorytety i skoncentrować swe wysiłki wyłącznie na tych pięciu czy 10 zagrożeniach, które są wystarczająco znaczne, by mieć podstawy do poddania ich ocenie ilościowej i analizie.

Graf 4: Przydatne techniki identyfikacji zagrożeń biznesowych (Deloitte & Touche)

Gdy firma zidentyfikuje już kluczowe dla siebie zagrożenia, musi ocenić ilościowo ich rozmiar. Ocena ilościowa pomaga organizacji zdecydować o tym, czy kontrolować, zapobiegać, finansować ryzyko, czy też go unikać. Analiza ryzyka jest naukowym ustaleniem cech zagrożeń, zwykle tak dalece wymiernie w wyrażeniu liczbowym, jak to tylko jest możliwe. Zestaw cech obejmuje rozmiar, skalę przestrzenną, czas trwania i natężenie niekorzystnych skutków i związanych z nimi konsekwencji, jak również opis związków przyczynowo-skutkowych. Ewaluacja ryzyka jest częścią składową oceny ryzyka, w której wydaje się sądy na temat znaczenia i akceptowalności ryzyka.

Należy przeanalizować każdą potencjalną czynność i ustalić jej możliwe rezultaty od początku do końca. Należy ocenić potencjalny wpływ na działalność i wpływ na koszty w:

• Przepływie środków pieniężnych;
• Zyskach i stratach;
• Public relations, reputacji zewnętrznej i wizerunku;
• Zaufaniu banków i udziałowców;
• Zobowiązaniach.

Wpływ realizacji ryzyka powinien być rozpatrywany nie tylko w znaczeniu finansowym, ale także w odniesieniu do możliwości osiągnięcia celów firmy.

Kontrola ryzyka

Po identyfikacji i uszeregowaniu zagrożeń należy dokonać selekcji preferowanych opcji zarządzania, w tym chodzi o rozważenie odpowiedniego standardu bezpieczeństwa, ocenę skuteczności podjętych kroków, i jeśli to konieczne - zrewidowanie zarządzania ryzykiem i oceny.

Wynik procesu ewaluacji ryzyka powinien zostać połączony z ewaluacją dostępnych opcji zarządzania ryzykiem, aby podjąć decyzję dotyczącą wyboru właściwej metody zarządzaniu ryzykiem. W dochodzeniu do tej decyzji należy wziąć pod uwagę przede wszystkim ochronę zdrowia człowieka, oraz np. koszty gospodarcze, zyski, wykonalność techniczną, postrzeganie ryzyka, i inne czynniki uznane za stosowne. Wdrażanie tej decyzji powinno pociągnąć za sobą monitorowanie zarówno skuteczności przyjętych środków kontrolnych, jak i ich wpływu na ryzyko w obrębie danej grupy konsumenckiej, aby upewnić się, że cel bezpieczeństwa żywności został osiągnięty.

Ważne pytania z procesie kontroli ryzyka:

Czy ryzyko jest akceptowalne?

Czy zidentyfikowane zagrożenia są na tyle groźne dla przedsiębiorstwa, że swoją wartością przewyższają korzyści spodziewane przy założeniu osiągnięcia celu ekonomicznego?

Ocena ilościowa ryzyka wymaga dużej ilości starszych danych na temat doświadczenia firmy związanych z ryzykiem w danej dziedzinie. Kiedy firma zidentyfikuje i uporządkuje swoje dane, może ich użyć do stworzenia modelu straty, jaką może odczuć w danej kategorii ryzyka, jak również ocenić szanse, że takie straty się nie przydarzą.

Jaka strategia pozwoli uniknąć lub złagodzić ryzyko?

Nie wypracowano dotychczas jednolitego wzorca na zbudowanie najlepszej strategii zarządzania ryzykiem. Wybór odpowiedniej strategii jest uzależniony od istniejących czynników ryzyka oraz analizy kosztów i zysków. Typowe strategie zarządzania ryzykiem to:

• Finansowanie ryzyka - Ubezpieczenie - Jedno z podejść do zarządzania ryzykiem wiąże się z nabyciem wystarczającego ubezpieczenia, by przenieść odpowiedzialność za straty na ubezpieczyciela.
• Przeniesienie ryzyka - Tam, gdzie jest to stosowne, firma będzie chciała przerzucić odpowiedzialność za ryzyko na swoich najmodawców, sprzedawców, podwykonawców, konkurentów, a nawet klientów.
• Kontrolowanie ryzyka - Mogą mieć miejsce zdarzenia losowe, których firma nie jest w stanie przewidzieć, jak na przykład burze, awarie sieci energetycznej, wypadki. Jednak istnieją sposoby na zminimalizowanie albo prawdopodobieństwa wystąpienia niektórych zdarzeń, albo skutków, jakie realizacja tych zdarzeń dla działalności firmy.

Firmy najczęściej radzą sobie z zagrożeniami, od skutków których można się ubezpieczyć poprzez przegląd przedsięwzięć podejmowanych w poprzednim roku i przegląd oferty rynku ubezpieczeń w roku bieżącym. Jeśli chodzi o ubezpieczanie skutków pewnych zagrożeń, firmy powinny przyjąć nowe spojrzenie na tę kwestię. Przy tak dużej pojemności rynku ubezpieczeń przedsiębiorstwa mogą pracować z ubezpieczycielami i pośrednikami, tak, aby zaprojektować dopasowane do siebie rozwiązanie ubezpieczeniowe. Przyjmując wyspecjalizowane podejście do ubezpieczeń, organizacje powinny stworzyć rozwiązania długookresowe. Warto zwrócić uwagę, że istnieją pewne rodzaje ryzyka, takie jak te związane z marką czy reputacją firmy, których ubezpieczenie nie pokryje. W takich przypadkach łagodzenie i zarządzanie ryzykiem oznacza zapewnienie, że ktoś jest odpowiedzialny za to ryzyko, posiada materiały niezbędne do radzenia sobie z nim i ma plan ratunkowy na wypadek katastrofy, gdyby do takiej doszło.

Kto odpowiada za zarządzanie ryzykiem w przedsiębiorstwie oraz monitoring i kontrolę w tym zakresie?

Za zarządzanie ryzykiem w przedsiębiorstwie odpowiadają upoważnieni przez osoby odpowiedzialne za kierowanie działalnością biznesową.

Jakie ryzyko pozostaje po zastosowaniu procedur kontrolnych?

Niemożliwe jest, by całkowicie wyeliminować ryzyko - należy znać profil ryzyka i wiedzieć jak sobie z nim radzić, znać cele biznesowe zgodne z akceptowalnym ryzykiem. W planowaniu biznesowym przyjmuje się, że poziom akceptowalności ryzyka to taki poziom ryzyka, jaki gotów jest zaakceptować starszy menedżer. Kryteria ustanowienia granicy poziomu tolerancji ryzyka różnią się w zależności od sprawy i organizacji.

Co to jest system wczesnego ostrzegania?

System kontroli wewnętrznej firmy odgrywa kluczową rolę w zarządzaniu zagrożeniami, które są znaczące w wypełnianiu celów biznesowych. Cele firmy, jej organizacja wewnętrzna i środowisko, w którym prowadzi działalność stale ewoluują, a zagrożenia ciągle się zmieniają. Skuteczny system kontroli wewnętrznej zależy od dokładnej i regularnej ewaluacji natury i zasięgu zagrożeń, na które firma jest narażona.

Tworzenie i wdrażanie planów ciągłości biznesowej

Zarządzający ryzykiem przygotowują formalny plan środków ochronnych, które stworzyli oraz kroków uzdrowienia, które mają być podjęte. Plan taki musi mieć formę dokumentu a nie jakiejś niesformalizowanej koncepcji, która nie jest nigdzie zapisana. Reakcja jest bardziej skuteczna, jeśli myślenie odbyło się już zawczasu. Plan powinien zostać skopiowany dla każdego menedżera i być łatwo dostępny w nagłych przypadkach.

Graf 5: Tworzenie i wdrażanie planów ciągłości biznesowej i zalecane etapy:

Stwórz pomocniczy program, aby wszyscy pracownicy wiedzieli o jego istnieniu. Przekaż kluczowym pracownikom treści i czynności wymagane w przypadku, gdy trzeba zastosować plan. Przygotuj stałe ćwiczenia do trenowania i testowania procedur. Popraw plan i zmień sposób komunikowania, jeśli zdarzy się, że widoczne są jego niedoskonałości.

Tworzenie kultury zarządzania ryzykiem jest głównie procesem rozwijania ludzi w organizacji, którzy skutecznie myślą i planują, oraz którzy są wspierani przez systemy firmy, aby zachęcać ich do takiego skutecznego myślenia i planowania. Kulturę zarządzania ryzykiem można zdefiniować jako główny standard na radzenie sobie z ryzykiem. Organizacja z silna kulturą zarządzania ryzykiem ma wypracowane procedury, które wymagają, by pracownicyw sposób zdyscyplinowany przechodzili przez kolejne etapy poczynając od identyfikacji ryzyka, jego oceny aż do planowania.

Problem kultury i kadr w zarządzaniu ryzykiem:

• Czy strategie wynagrodzenia zachęcają do dobrego zarządzania ryzykiem?
• Czy praktyka pracy pomaga w dobrym zarządzaniu ryzykiem i czy zapobiega podejmowaniu nierozważnego lub groźnego ryzyka?
• Wypróbuj i zaszczep praktykę robienia rzeczy dobrze za pierwszym razem.
• Czy jest wystarczająco jasne, kto jest odpowiedzialny?
• Czy jest gdzieś w zwyczaju, że zamiast dyskutować nad problemem zdaje się z niego sprawozdanie?
• Czy różne części firmy są odpowiednio skoordynowane?
• Czy personel ma wystarczającą wiedzę, umiejętności i narzędzia, by osiągnąć cele firmy i skutecznie radzić sobie z zagrożeniami??
• Czy wdrożono odpowiednie praktyki pracy i przeprowadzono szkolenia?
• Czy w firmie jest jednolite słownictwo z zakresu zarządzania ryzykiem?

Wnioski

Głównym wyzwaniem w zarządzaniu ryzykiem jest doprowadzenie firmy do punktu, w którym może ona zidentyfikować zagrożenia, które najbardziej mogą wpłynąć na ciągłość jej wzrostu i sukcesu, ocenić ilościowo rozmiar tych zagrożeń oraz podjąć kroki służące radzeniu sobie z nimi i ich łagodzeniu.

Do potencjalnych korzyści dla firmy z zarządzania ryzykiem należy zaliczyć:

• korzyści z szybkiego reagowania dzięki szybszemu dostosowywaniu się do warunków
• lepszą bazę dla przyjmowania strategii;
• mniejszą liczbę zaskakujących sytuacji i niechcianych niespodzianek;
• większe prawdopodobieństwo osiągnięcia celów biznesowych;
• redukcję czasu na zarządzanie w sytuacjach nagłych;
• większe prawdopodobieństwo na osiągnięcie celów w warunkach nowych inicjatyw;
• więcej wewnętrznego skupienia na robieniu odpowiednich rzeczy tak jak należy;
• szybsze wejście w obszary biznesowe;
• zdobycie przewagi nad konkurencją.

prof. Inż. Štefan Majtan, PhD. Dyrektor Katedry Ekonomii Przedsiębiorstw Wydziału Zarządzania Biznesem Uniwersytetu Ekonomicznego w Bratysławie

Inż. Daniela Rybárová, Katedra Ekonomii Przedsiębiorstw Wydziału Zarzadzania Biznesem Uniwersytetu Ekonomicznego w Bratysławie

Summary of the article

Targeting business risk and  insurance atributes

There is growing awareness of organizations as to their ability to continue, whatever the severity of business interruption. The practical application of the targeting business risk is of particular relevance for this ability. One, which finds itself in a state of perpetual crisis, is failing to manage risks properly. Failure to manage risks is characterized by inability to decide what to do, when to do it, and whether enough has been done. Understanding business risk requires three criteria:

Ø      a through understanding of the business process;

Ø      an active imagination and tools to generate ideas about possible effects of risks;

Ø      a framework or risk model and a common language to discuss risk.

Key words: Risk Assessment, Risk Control, Source of Risks, Insurance

BIBLIOGRAFIA

1. Bruce T. Barkley: Zarządzanie ryzykiem projektów [Project Risk Management]. McGraw-Hill, New York, 2004. ISBN 0-07-143691-X
2. Culp, Ch.L.: Proces Zarządzania Ryzykiem [The Risk Management Process]. Business Strategy and Tactics. John Wiley and Sons, 2001. ISBN 0-47-140554-X
3. Vaughan, E. J., Vaughan, T.M.: Podstawy Zarządzania Ryzykiem i Ubezpieczenia [Essentials of Risk Management and Insurance]. Second Edition, 2000. ISBN 0-47- 133183-X

[1] Według VEGA 206