Po trzecie: rozpoznanie
Od właściwego rozpoznania ryzyka zależy skuteczność zarządzania
- Pracochłonny etap cyklu. Kluczem do sukcesu jest pokora i wyzbycie się nadmiernego optymizmu. Nieujawnione ryzyko nie będzie przedmiotem analizy i nie zostanie uwzględnione w ramach reakcji na ryzyko.
Kiedy organizacja jest w pełni świadoma swojej działalności, środowiska w jakim funkcjonuje, własnych wartości, zamierzeń i celów i oczekiwań zewnętrznych interesariuszy a także kiedy ustaliła swoje priorytety i pożądane parametry funkcjonowania może przystąpić do rozpoznania ryzyka: potencjalnych zagrożeń i szans.
Faza rozpoznania obejmuje procesy prognozowania, identyfikacji, analizy i oceny zagrożeń dla prowadzonej przez organizację działalności a także szans wzmacniających możliwość uzyskania korzyści wynikających z osiągania celów.
ISTOTA
1. Zrozumienie ryzyka (zagrożeń i szans) poprzez poszukiwanie odpowiedzi na pytania:
Co, kto, gdzie, kiedy, jak, w jaki sposób, dlaczego, w jakich okolicznościach i jak bardzo … może:
– uniemożliwić osiąganie celu lub celów przez organizację
– ograniczyć możliwość osiągania celu (celów)
– opóźnić osiąganie celu (celów)
i / lub
– zwiększyć możliwość osiągnięcia celu (celów)
– wpłynąć na uzyskanie – większych niż spodziewane- korzyści.
2. Ocena ryzyka poprzez odniesienie zidentyfikowanych zagrożeń (szans) do poziomu odporności organizacji (zdolności do pojęcia ryzyka), apetytu na ryzyko oraz ustalonych limitów.
3. Rozpoznanie i ocena korelacji (powiązania) ryzyka
A good rule of thumb is to assume that everything matters Richard Thaler
ZAKRES
Poszukiwanie rzetelnych i obiektywnych odpowiedzi na pytania:
- Co może się wydarzyć? Jakie zdarzenia (okoliczności) mogą uniemożliwić, zmienić, opóźnić lub wspomóc osiąganie celów?
- Gdzie jakieś zdarzenie może uniemożliwić, zmienić, opóźnić lub wspomóc osiąganie celów?
- Kiedy jakieś zdarzenie może uniemożliwić, zmienić, opóźnić lub wspomóc osiąganie celów?
- Dlaczego jakieś zdarzenie może uniemożliwić, zmienić, opóźnić lub wspomóc osiąganie celów?
- Jak, w jaki sposób, w jakim stopniu jakieś zdarzenie może uniemożliwić, zmienić, opóźnić lub wspomóc osiąganie celów
- … etc.
Ujawnienie ryzyka
- Prognozowanie ryzyka
Rozpoznanie ryzyka w perspektywie wieloletniej – w ramach planowania strategicznego i po za jego granicami; tzw. foresight ryzyka - Identyfikacja ryzyka
Rozpoznanie ryzyka w perspektywie planowania operacyjnego – krótko i średnioterminowego
Analiza ryzyka
Przyczyny ryzyka
- Charakter i rodzaj okoliczności sprzyjających materializacji ryzyka
Możliwość materializacji ryzyka
- Na ile możliwe jest, że jakieś zdarzenie (okoliczność) wystąpi (lub nie wystąpi)?
- Na ile możliwe jest, że podatność organizacji wywoła jakieś zdarzenie?
Ekspozycja na ryzyko
- Ile można stracić i kiedy?
- Ile można zyskać i kiedy?
Skala ryzyka (dotkliwość / potencjał)
- Jak bardzo może być źle (zagrożenie)?
- Jak bardzo może być dobrze (szansa)?
Charakter konsekwencji
- Rodzaj skutków (korzyści)
- Propagacja (łańcuch, korelacja) skutków (korzyści)
Wpływ na osiąganie celów
- Czysto negatywny
- Czysto pozytywny
- Obustronny
Okres
- Czas, kiedy organizacja będzie narażona na zagrożenie
- Czas, kiedy organizacja będzie miała szansę (tzw. window of opportunity)
Kapitał
- Jak dużo kapitału potrzeba na pokrycie nieoczekiwanych strat lub akumulację korzyści?
- Kiedy kapitał może być potrzebny?
Zmienność
- Jak niepewna jest przyszłość?
Wrażliwość
- Jak bardzo organizacja jest podatna na zmiany środowiska wewnętrznego i otoczenia?
- Jak bardzo cele organizacji są wrażliwe na zmiany czynników ryzyka?
Korelacja i portfele ryzyka
1. Czy i jak jedne ryzyka związane są z innymi?
- ze względu na przyczyny
- ze względu na zdarzenia
- ze względu na skutki (bezpośrednie / pośrednie)
- ze względu na wpływ na cele
- ze względu na rodzaj działalności
- ze względu na rodzaj aktywów narażonych na ryzyko
- ze względu na miejsce
- ze względu na czas
- … etc.
2. Czy można oddziaływać w ten sam sposób na różne ryzyka / portfele ryzyka?
3. Czy oddziaływanie na poziom jednego ryzyka nie spowoduje zwiększenia poziomu innego lub wywołanie nowego (ryzyko wtórne)?
… etc.
Ocena (oszacowanie, ewaluacja) ryzyka
- Określenie poziomów ryzyka
- Porównanie poziomów ryzyka z ustalonymi kryteriami (limitami)
- Ustalenie relacji pomiędzy potencjalnymi korzyściami a negatywnymi skutkami
- Porównanie poziomu ryzyka z limitami (kryteriami akceptacji) określonymi w poprzedniej fazie cyklu
- Ocena bieżących mechanizmów kontrolnych i ich potencjalnego wpływu na poziom ryzyka (ryzyko szczątkowe)
REZULTAT
1. Rozpoznana struktura ryzyka
- Źródła (czynniki) ryzyka
- Symptomy
- Przyczyny i zdarzenia
- Konsekwencje – skutek i/lub wpływ na osiąganie celów
- Kapitał niezbędny do absorbcji skutków (wpływu)
2. Określona możliwość (prawdopodobieństwo) materializacji ryzyka
3. Określona korelacja ryzyka
4. Ustalone portfele ryzyka
5. Określone poziomy ryzyka: brutto i netto – z uwzględnieniem istniejących mechanizmów kontrolnych (mechanizmów oddziaływania na ryzyko)
6. Określone profil(e) ryzyka
7. Ustalone priorytetu w zakresie reagowania na ryzyko
