Czy trzeba zajmować się ryzykiem
Brak zajmowania się ryzykiem może być ogromnym ryzykiem
- W wielu dziedzinach aktywności gospodarczej i pozagospodarczej nie ma prawnego przymusu zajmowania się ryzykiem. Ale we własnym dobrze pojętym interesie organizacje powinny uwzględniać ryzyko i zarządzanie ryzykiem. Tak jak ryzykiem zgodności - compliance risk.
Nie, nie trzeba. Tyle tylko, że to może przynieść niepożądane konsekwencje. Polskie organizacje, firmy, przedsiębiorstwa, instytucje i urzędy mają taką ciekawą cechę, że jeżeli czegoś nie trzeba – z mocy prawa – robić, to tego nie robią. Jest w tym jakaś logika i ma ona charakter wybitnie kosztowy – często uznaje się zarządzanie ryzykiem za działalność, która przede wszystkim i wyłącznie generuje koszty. A kosztów nikt nie lubi.
Są jednak okoliczności, w których organizacje muszą w swoich aktywnościach uwzględniać ryzyko – muszą się nim zajmować. Dotyczy to przede wszystkim podmiotów działających na rynkach finansowych: banki, ubezpieczyciele etc. Wynika to wprost z przepisów prawa oraz z regulacji obowiązujących na tych rynkach. Ale czy wywiązują się z tych obowiązków w sposób prawidłowy? Przypadki „wpadek” instytucji finansowych na całym świecie pokazują, że bywa różnie.
Najczęściej zajmowanie się ryzykiem jest wymuszane przez przepisy ale nie wprost. Przykład? W urzędach i podmiotach administracji publicznej obowiązuje ustawa o finansach publicznych. To nie jest ustawa o ryzyku ani ustawa o zarządzaniu ryzykiem ale w jej treści – w rozdziale 6, w artykule 68 -znajdują się zapisy odnoszące się do tzw. kontroli zarządczej, obejmującej m.in. zarządzanie ryzykiem. A więc trzeba się nim, to jest ryzykiem, zajmować …
Ale co ma zrobić firma (na przykład z sektora IT), która nie podlega takim regulacjom jak banki albo podmioty administracji publicznej? Jak może się zorientować, czy prawo nakłada na ów podmiot obowiązek zarządzania ryzykiem? Co prawda kadrowcy (HR) w takiej firmie wiedzą (lub powinni wiedzieć), że istnieje coś takiego jak ryzyko zawodowe i prawo nakłada obowiązek zajmowania się nim przez wszystkie podmioty spełniające określone kryteria ale to tylko wycinek potencjalnych wymagań.
Gdzie ich szukać?
Pierwsze kroki skierujemy do Sejmu, a ściśle rzecz ujmując do sejmowej wyszukiwarki aktów prawnych. Mamy tam możliwość wyszukania aktów prawnych poprzez podanie hasła – to jest poprzez wybór interesującego nas zagadnienia z zestawu haseł. I jak to wygląda w przypadku ryzyka? Ano tak:
Są „ryby” – można uzyskać informację na temat przepisów dotyczących ryb. Są rzecznicy prasowi. Ale … „ryzyka” („ryzyko”) nie ma. Nie ma takiej możliwości, aby wyszukiwarka zwróciła zestaw przepisów odnoszących się do ryzyka na podstawie hasła.
Popatrzmy dalej:
Są „zapasy obowiązkowe”, jest „zarząd przymusowy” ale nie ma „zarządzania ryzykiem”. Nie ma i już.
Co nam pozostaje (na stronie wyszukiwarki)? Spróbować poszukać w inny sposób. Popatrzmy:
Wprowadziliśmy do pola „Tytuł” pojęcie „ryzyk”. Dlaczego nie „ryzyko”? Dlatego iż mamy nadzieję, że wyszukiwarka sejmowa zwróci nam te akty prawne, w których tytułach znają się słowa „ryzyko”, „ryzykiem”, „ryzyka” … etc. tj. ciąg znaków „ryzyk”..
No i jest efekt – mamy 65 dokumentów. Dokumentów, ale to nie oznacza, że ustaw. Zaznaczmy zatem, że interesują nas wyłącznie ustawy, w których tytułach znajduje się ciąg znaków „ryzyk”:
Nie ma nic. Nie istnieje ustawa, w której tytule znajduje się ciąg znaków „ryzyk”, „ryzyka”, „ryzykiem” … etc.
Pozostaje nam jedno, z zestawu 65 dokumentów powinniśmy wybrać te, które odnoszą się do działalności prowadzonej przez naszą organizację. Innego sposobu nie ma – trzeba po prostu znać przepisy.
Pójdźmy jeszcze na całość, spróbujmy odszukać akt prawny, w którego tytule zapisano „zarządzanie ryzykiem”.
Niestety, nic z tego.
Pozostaje nam szukać słów kluczowych w treści aktów prawnych. A skąd mamy wiedzieć w których? Cóż, pierwszą fazą cyklu zarządzania ryzykiem jest „faza kreowania świadomości ryzyka”. W tej oto fazie organizacja powinna zidentyfikować WSZYSTKIE te przepisy, które odnoszą się do działalności prowadzonej przez daną organizację, firmę, przedsiębiorstwo. I w nich szukać wymagań i inspiracji co do zakresu i sposobów zarządzania ryzykiem. Jest nowiem jedno ryzyko, które dotyczy wszystkich organizacji i podmiotów. To jest tzw. „compliance risk” – ryzyko zgodności, czyli ryzyko prowadzenia działalności niezgodnie z prawem i regulacjami. Tym trzeba się zajmować o ile organizacja chce i ma działać.
Proszę też zwrócić uwagę, że nie ma na przykład jednoznacznych wymagań co do konieczności zajmowania się (zarządzania) ryzykiem podatkowym. Ale wiemy przecież, że podmiot który nie realizuje zobowiązań podatkowych (i towarzyszących im obowiązków sprawozdawczych) narażony jest na sankcje. Trzeba zatem brać pod uwagę, że konieczność czy też uzasadnienie dla zajmowania się ryzykiem jest zapisane najczęściej nie wprost. Ale jest i można je (a nawet trzeba) znaleźć.
Szukając odpowiedzi na pytanie, czy trzeba zajmować się innym ryzykiem niż tzw. ryzykiem zgodności, powinniśmy (o ile nie jesteśmy bankiem, ubezpieczycielem, urzędem administracji publicznej) przede wszystkim zajrzeć do Kodeksu Cywilnego i sprawdzić, czy nasza firma przypadkiem nie prowadzi działalności „na zasadzie ryzyka”. Jeżeli tak, to – w najlepiej pojętym interesie firmy – należy zajmować się ryzykiem. Koniecznie!
Jeżeli nie musimy zajmować się – z mocy prawa – ryzykiem (lub jakimś rodzajem ryzyka) a chcemy to robić, bo uważamy to za słuszne, to róbmy to dobrze: porządnie. Bylejakość w zarządzaniu ryzykiem nie pomaga a wprost przeciwnie, może dołożyć jeszcze kłopotów. Nie ma nic gorszego niż nieuzasadnione subiektywne przekonanie (ułuda) iż jesteśmy przygotowani i zabezpieczeni na okoliczność niepożądanych zdarzeń.
