Zarządzanie Ryzykiem, Risk Management, Ryzyko, Analiza Ryzyka Rozliczamy z przyszłości

Prowadzenie działalności biznesowej nie jest wyłącznie domeną sektora prywatnego ?wszystkie organizacje prywatne, publiczne i non-profit dostarczają usługi bądź produkty swoim klientom.

W łańcuchu dostaw pojawiają się incydenty i zdarzenia, które mogą nie tylko zakłócić efektywny proces realizacji zamówień, ale wręcz go zablokować i doprowadzić do przestoju operacyjnego w danej organizacji. Skutkuje to najczęściej obniżeniem reputacji organizacji, a przy powtarzaniu się takich sytuacji prowadzi do marginalizacji i ostatecznie upadku. Zatem postrzeganie systemu zarządzania ryzykiem jedynie jako narzędzia spełniania wymagań prawnych oraz bezpieczeństwa IT może prowadzić do sytuacji, w której instytucja będąc zgodną z przepisami lub odporna na zagrożenia IT nie przestanie być narażona na poważne straty finansowe zagrażające jej istnieniu. Strategia zarządzania ryzykiem to holistyczne podejście obejmujące szerokie spektrum narzędzi strategicznych, technologicznych i doradczych. Wykorzystuje ona narzędzia zautomatyzowane i manualne oraz stosuje podejście indywidualne lub globalne. Zyskuje coraz większe znaczenie zarówno w procesie zarządzania ryzykiem operacyjnym, jak i ochronie reputacji przedsiębiorstw, obejmując działania związanie z zarządzaniem kryzysowym czy budowaniem planów ciągłości działania. Należy jednak zaznaczyć, że efektywność tych działań zależy w głównej mierze od ujęcia ich w planach strategii przedsiębiorstwa i pełnej integracji tych działań z działaniami biznesowymi organizacji.

IT? i co dalej?
Zarządzanie ryzykiem nie jest jedynie odpowiedzialnością działów IT. Wskazuję na ten aspekt, gdyż taki przez długi okres pogląd dominował w wielu kręgach. Prawdą jest, że zarządzanie ryzykiem działania narodziło się i rozwijało od planów kontroli incydentów IT, ale już dawno przestało być domeną departamentów IT i stało się częścią strategii przedsiębiorstwa związanej bezpośrednio z działaniami pionów biznesowych.
Wykorzystując narzędzia IT służące do pomiaru ilościowego, należy korzystać z mapy ujawniającej ryzyka organizacji, ich częstotliwość występowania oraz prawdopodobne straty dla organizacji. Kluczowym narzędziem takiej mapy ryzyka są narzędzia IT i procedury eskalacyjne, umożliwiające szybkie i skuteczne informowanie decydentów o zagrożeniach dla operacyjnej i biznesowej działalności banku. Z drugiej natomiast strony, pojawiające się zagrożenia jakościowe (takie jak zgodność z przepisami prawa czy właściwy dla organizacji poziom automatyzacji i obsługi danych produktów sprzedawanych klientom zamożnych) i narzędzia ich pomiaru powinny tworzyć kolejny wymiar mapy ryzyk.

Ekonomika zarządzania ryzykiem
M.Cruz w swojej książce ?Modeling, measuring and hedging operational risk? twierdzi, że strategia zarządzania ryzykiem operacyjnym powinna bazować na dwóch fundamentach gwarantujących redukcję niepewności oraz unikania niespodziewanych zdarzeń. Tylko wówczas jej sens ma uzasadnienie ekonomiczne dla zarządu organizacji.
C. Alexander w publikacji ? Operational Risk ? Regulation, Analysis and Management? wskazuje z kolei, że sam proces wykorzystujący narzędzia IT do zarządzania ryzykiem powinien uwzględniać przynajmniej poniższe elementy:
? Identyfikacja ryzyk operacyjnych ? budowa listy potencjalnych zagrożeń dla organizacji wraz z dokumentem mapy ryzyk i ich wpływu na poszczególne działy biznesowe, procesy wewnętrzne oraz ich wagi (np. niska, średnia czy wysoka).
? Struktura kontroli ryzyka ? definiowanie właściwego podejścia do danego ryzyka operacyjnego określanego często mianem ?zbiorem najlepszych praktyk?, na bazie których buduje się mechanizmy kontroli, włączając w to np. szkolenia zespołów, outsourcowanie procesów i obszarów organizacji czy tworzenie procedur i narzędzi informatycznych.
? Ocena ? zbiór obiektywnych reguł i procedur, które w sposób jakościowy wspierają proces oceny systemu zarządzania ryzykiem operacyjnym organizacji. Ocena powinna pozwolić na znalezienie potencjalnych słabości modelu i procesu, określenia miejsc, gdzie należy udoskonalać procedury i działania, a także jak z perspektywy przeszłości były realizowane zalecenia Komitetu.
? Pomiar i monitoring ? posiadając zidentyfikowane ryzyka dla organizacji należy dokonywać ich pomiaru oraz określać ekspozycję instytucji w przypadku ich wystąpienia.
? Raportowanie ? walidacja i ponowna ocena procesu jest możliwa tylko wówczas, gdy każda zaangażowana w proces linia biznesowa przygotowuje dla osoby zarządzającej ryzykiem pełną informację stanowiącą podstawę bazy raportowej, a realizuje to w ramach swoich normalnych codziennych obowiązków. Osoba zarządzająca prezentuje zagregowane dane wraz mapą ryzyk, listą wewnętrznych i zewnętrznych zdarzeń powodujących straty, identyfikatory ryzyk, wyniki stress i back testingu czy analizę kapitałową. Na poziomie CRO lub COO następują decyzje zatwierdzenia strategii lub jej modyfikacji na podstawie przekazanych raportów.