System zarządzania ryzykiem, czyli co?
Z czego składa się system zarządzania ryzykiem
- Intuicyjnie sądzimy, że pojęcie „system” powinno oznaczać coś, co jest kompletne, całościowe. Coś, co składa się ze wszystkich niezbędnych – dla właściwego funkcjonowania – elementów. A system zarządzania ryzykiem to coś więcej, niż oprogramowanie, dużo więcej.
Zauważyłem, że najwięcej odsłon na tym portalu zyskał artykuł zatytułowany „System Zarządzania Ryzykiem – przykłady z Polski”. Nie jestem tym zaskoczony. Jestem bowiem przekonany, że znacząca liczba Czytelników kierowała się przekonaniem, że w artykule zostały opisane systemy (w znaczeniu oprogramowania) wspierające działania w zakresie zarządzania ryzykiem. Cóż, oprogramowanie zawsze budzi zainteresowanie…
W innym artykule, zatytułowanym „System Zarządzania Ryzykiem: W poszukiwaniu definicji” Gospodarze Portalu podjęli próbę ujawnienia definicji systemu zarządzania ryzykiem (SZR). Taka definicja może być pomocna tym wszystkim, którzy stoją przed zadaniem zaprojektowania i zbudowania systemu zarządzania ryzykiem jako podsystemu zarządzania organizacją.
Zamierzam ten temat (i cały cykl dotyczący systemu zarządzania ryzykiem) kontynuować.
System zarządzania ryzykiem
Niewątpliwie liderami w dziedzinie wdrażania mechanizmów zarządzania ryzykiem są (powinny być) podmioty rynku finansowego. Wynika to z prostej przyczyny: ta branża jest najmocniej obudowania przepisami i regulacjami dotyczącymi zarządzania ryzykiem.
W artykule 111a, punkt 4 Prawa Bankowego zapisano co następuje: Bank jest obowiązany ogłaszać, w sposób ogólnie dostępny, opis systemu zarządzania, w tym systemu zarządzania ryzykiem …
Banki wywiązują się z tego obowiązku zamieszczając rzeczone opisy w swoich raportach rocznych. Ale każdy bank robi to po swojemu, przy czym niektóre z banków podają własną definicję Systemu Zarządzania Ryzykiem. Na przykład, jeden z banków działających w Polsce – w raporcie zintegrowanym za rok 2021 – tak definiuje pojęcie systemu zarządzania ryzykiem:
System zarządzania ryzykiem stanowi zintegrowany zbiór zasad, mechanizmów i narzędzi
(w tym m.in. polityk i procedur) odnoszących się do procesów dotyczących ryzyka.
Ktoś, kto chciałby zbudować system zarządzania ryzykiem w swojej organizacji musiałby na podstawie powyższej definicji poszukać odpowiedzi na kilka pytań:
– Jakich zasad?
– Jakich konkretnych mechanizmów i narzędzi?
– Jakich procesów?
Charakterystyczne jest to, że kluczowy standard z dziedziny zarządzania ryzykiem (ISO 31000) nie zawiera definicji systemu zarządzania ryzykiem. Ale w wielu innych standardach ISO może znaleźć definicje niemal identyczne jak ta, zapisana w standardzie ISO Guide 73:2002:
Zespół elementów systemu zarządzania organizacji związanych z zarządzaniem ryzykiem.
Uwaga 1 do wpisu:
1 — Elementy systemu zarządzania mogą obejmować planowanie strategiczne, podejmowanie decyzji i inne procesy radzenia sobie z ryzykiem.
2 — Kultura organizacji znajduje odzwierciedlenie w jej systemie zarządzania ryzykiem.
Tu pojawia się nowy element stanowiący system zarządzania ryzykiem: kultura organizacji.
Z kolei Europejska Agencja Medyczna definiuje system zarządzania ryzykiem jako:
Zestaw działań i interwencji mających na celu identyfikację, scharakteryzowanie, zapobieganie lub minimalizację ryzyka medycznego, w tym ocenę skuteczności tych działań i interwencji.
Inna definicja stanowi, że:
W teorii, system zarządzania ryzykiem definiuje się jako proces wraz z procedurami, który polega na systematycznym stosowaniu polityk i procesów zarządzania w celu utworzenia systemu identyfikowania, analizowania, reagowania, monitorowania i komunikowania ryzyka
Źródło: Cooper, D., Grey, S., Raymond, G., and Walker, P., 2005. Project Risk Management Guidelines: Managing Risk in Large Projects and Complex Procurements. Chichester: John Wiley & Sons, Ltd
Z powyższych definicji można wyciągnąć wniosek, że system zarządzania ryzykiem składa się z zasad, polityk, procedur i innych mechanizmów, działań (procesów), kultury organizacji.
Czy to są wszystkie niezbędne składniki?
Kłopot polega na tym, że każda organizacja (firma, instytucja) musi odpowiedzieć sobie sama albowiem nie ma jednej, uniwersalnej i pełnej definicji systemu zarządzania ryzykiem. Takiej, która wskazuje na wszystkie niezbędne elementy SZR. Niestety, wiele podmiotów powiela te same definicje, poprzestając na dużym poziomie ogólności. O ile w sprawozdawczości zewnętrznej to można to zrozumieć. Gorzej, jeżeli na bazie takich definicji dany podmiot chce tworzyć swój własny system zarządzania ryzykiem będący częścią ogólnego systemu zarządzania.
Udało mi się znaleźć taką oto definicję, w moim przekonaniu bardziej pomocną – niż przytoczone wyżej – w dziele budowy systemu zarządzania ryzykiem:
System zarządzania ryzykiem składa się ze struktury organizacyjnej, zasad, procesów, działań i zasobów służących do identyfikacji, pomiaru lub oceny, zarządzania i raportowania ekspozycji na ryzyko, czyli zarządzania ryzykiem w całości i obejmuje odpowiedni ład korporacyjny i kulturę ryzyka
Źródło: Ivana Dvorski Lacković, Vladimir Kovšca, Zrinka Lacković Vincek; Framework for big data usage in risk management process in banking institutions; Faculty of Organization and Informatics; University of Zagreb; Source / Izvornik: Central European Conference on Information and Intelligent Systems
Z tej definicji wynika, że do zasad, polityk, procedur i innych mechanizmów, działań (procesów) oraz kultury organizacji należy dołączyć ład korporacyjny, kulturę ryzyka, strukturę organizacyjną oraz zasoby.
Trochę lepiej ale nadal nie mamy pełnej odpowiedzi na pytanie o wszystkie niezbędne elementy systemu zarządzania ryzykiem – bez względu na charakter prowadzonej działalności.
Zarządzanie ryzykiem jest (powinno być!) elementem składowym ogólnego systemu zarządzania organizacją (firmą, instytucją, urzędem …). Wydaje się oczywiste, że struktura systemu zarządzania ryzykiem powinna być integralną częścią struktury ogólnego systemu zarządzania.
Popatrzmy na kilka definicji „systemu zarządzania”, może tu znajdziemy więcej podpowiedzi.
System zarządzania
We wspomnianym Prawie bankowym, w artykule 9 (w punkcie 2) zapisano:
System zarządzania stanowi zbiór zasad i mechanizmów odnoszących się do procesów decyzyjnych, zachodzących w banku oraz do oceny prowadzonej działalności bankowej.
Z kolei ISO na swoich stronach internetowych definiuje system zarządzania następująco:
System zarządzania to sposób, w jaki organizacja zarządza wzajemnie powiązanymi częściami swojej działalności, aby osiągnąć swoje cele.
Gdybyśmy odnieśli tę definicję do zarządzania ryzykiem moglibyśmy powiedzieć, że system zarządzania ryzykiem to:
sposób, w jaki organizacja zarządza – odniesieniu do ryzyka (tj. zagrożeniami i szansami) – wzajemnie powiązanymi częściami swojej działalności, aby osiągnąć swoje cele.
Ale powyższe definicje nie dają odpowiedzi na pytanie: z jakich elementów powinien się składać system zarządzania ryzykiem?
Ta sama organizacja – ISO – w treści standardu 22300:2018 wskazuje, że system zarządzania to:
Zestaw wzajemnie powiązanych lub oddziałujących elementów ustanawiających polityki i cele oraz procesów osiągania tych celów.
Nota 1: System zarządzania może dotyczyć pojedynczej dziedziny lub kilku dziedzin, np. zarządzanie jakością, zarządzanie finansowe lub zarządzanie środowiskiem.
Nota 2: Elementy systemu zarządzania określają strukturę organizacji, role i obowiązki, planowanie, działanie, zasady, praktyki, reguły, przekonania, cele i procesy do osiągnięcia tych celów.
Nota 3: Zakres systemu zarządzania może obejmować całą organizację, określone i zidentyfikowane funkcje organizacji, konkretne i zidentyfikowane sekcje organizacji lub jedną lub więcej funkcji w grupie organizacji.
Trochę lepiej: na tej podstawie mogę napisać, że na system zarządzania (ryzykiem) składają się: struktura (organizacyjna), role i obowiązki, działania (procesy) – w tym planowanie, zasady, praktyki, reguły, przekonania oraz cele.
To jest dobry trop ale nie prowadzi bezpośrednio aż do ostatecznego sukcesu.
Popularne źródło, jakim jest Wikipedia podaje:
System zarządzania to zestaw polityk , procesów i procedur stosowanych przez organizację w celu zapewnienia, że może ona wypełniać zadania wymagane do osiągnięcia jej celów.
Czytelnicy mogą też spotkać inne definicje systemu zarządzania, jak na przykład:
– Zbiór reguł, norm i umiejętności kadry kierowniczej, określający zasady i sposoby zachowania organizacji
– Uporządkowany zbiór regulacji, mechanizmów zarządczych oraz kompetencji kierownictwa i pracowników, określający zasady i sposoby zachowania organizacji w różnych dziedzinach i na różnych poziomach aktywności gospodarczej
W powyższych definicjach wskazano na procesy, umiejętności (kompetencji) ludzi oraz mechanizmy zarządcze – w tym polityki, zasady, reguły, procedury, normy i inne (jakie?) regulacje
Jaki ogólny wniosek – co do składników systemu zarządzania ryzykiem – można wyciągnąć z przytoczonych definicji zarówno „systemu zarządzania ryzykiem” jak i „systemu zarządzania”?
Organizacja sama powinna opracować własną definicję systemu zarządzania ryzykiem. Im ta definicja będzie mniej ogólnikowa tym łatwiej i skuteczniej będzie można ów system zarządzania ryzykiem zaprojektować, zbudować, wdrożyć do działania a następnie utrzymywać i rozwijać. Przy czym pod pojęciem definicji rozumiem wskazanie wszystkich składowych elementów systemu zarządzania ryzykiem.
Jak to zrobić? Najlepiej zacząć od fundamentu, czyli od definicji „systemu”
Co to jest SYSTEM?
Słownik języka polskiego opisuje system jako:
Układ elementów mający określoną strukturę i stanowiący logicznie uporządkowaną całość
Internetowa Encyklopedia zarządzania zawiera taki opis:
System to celowo określony zbiór elementów i zbiór sprzężeń między nimi, które wspólnie określają cechy całości. Definiowanie systemu polega na wyodrębnieniu: elementów otoczenia systemu, istotnych sprzężeń między elementami systemu oraz istotnych sprzężeń systemu z jego otoczeniem.
Według Encyklopedii PWN system to:
zespół wzajemnie sprzężonych elementów, spełniający określoną funkcję i traktowany jako wyodrębniony z otoczenia w określonym celu (…)
Dla moich potrzeb, wystarczająca będzie ogólna, powszechnie akceptowana definicja systemu, która jest bardzo prosta:
System to zbiór elementów funkcjonujących jako całość i zachodzących między nimi relacji.
Kolejnym krokiem będzie określenie:
- (grup, kategorii) Składników systemu zarządzania ryzykiem
- Atrybutów (cech, właściwości) tych składników
- Relacji (zależności, wpływów) między poszczególnymi składnikami
Póki co, z przytoczonych wielu definicji wynika, że na system zarządzania ryzykiem powinny składać się następujące elementy:
- Cele
- Mechanizmy zarządcze w postaci zasad, reguł, polityk, procedur, norm oraz praktyk i innych regulacji
- Działania i procesy
- Kultura ryzyka i kultura organizacji, w tym przekonania
- Struktura organizacyjna
- Role i obowiązki
- Umiejętności (kompetencje)
- Zasoby
Trzeba to uporządkować … tym bardziej, że nie są to wszystkie elementy
cdn