Artykuł powstał na podstawie podręcznika „Kontrola zarządcza – ujęcie praktyczne” A.Mazurek, K.Knedler, Handikap.
Jednym z celów kontroli zarządczej jest zapewnienie zarządzania ryzykiem. Zanim przejdziemy do omawiania samego procesu czy też struktury organizacyjnej, konieczne jest przybliżenie kilku podstawowych pojęć. Najbardziej pierwotnym jest pojęcie ryzyka. Według Instytutu Audytorów Wewnętrznych ryzyko to możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia. Wdrożenie zarządzania ryzykiem można przedstawić jako proces składający się z kilku etapów – mających następnie swoje odzwierciedlenie w tworzonym rejestrze ryzyka.
1. Przygotowanie struktury zarządzania ryzykiem
Rozpoczynając wdrożenie zarządzania ryzykiem musimy od przygotowania procedury zarządzania ryzykiem. Taka procedura musi opisać co najmniej kilka elementów:
1) Strukturę odpowiedzialności
2) Zakres zarządzania ryzykiem
3) Zasady wyznaczania zadań, dla których identyfikowane będzie ryzyko
4) Przyjęta skala (wraz ze szczegółowym opisem poszczególnych wartości) dla oceny prawdopodobieństwa i skutków jakie wystąpią w przypadku zaistnienia (zmaterializowania się ryzyka). Uwaga: dla całej jednostki samorządu terytorialnego – tj. dla wszystkich jednostek musi być przyjęta taka sama skala
5) Zasady monitorowania i aktualizowania rejestru ryzyka
6) Zasady postępowania z niezgodnościami
7) Wzór rejestru ryzyka.
2. Wyznaczanie zadań dla celów zarządzania ryzykiem
Przyjęte w tym zakresie rozwiązania są różne – są jednostki identyfikujące ryzyko w odniesieniu do zadań wskazanych w budżecie zadaniowym (jeśli go posiadają), są także jednostki, które wyznaczają cele strategiczne i dla zadań związanych z realizacją tych celów identyfikują ryzyko. Moim zdaniem najlepiej sprawdzający się system to system scentralizowanego zarządzania ryzykiem strategicznym – w tym przypadku tworzymy wspólny dla całej jednostki samorządu terytorialnego rejestr ryzyka dla zadań strategicznych (np. do zadań wskazanych w Planie działalności) połączony z rozproszonym systemem zarządzania ryzkiem organizacyjnym – w tym przypadku każda komórka organizacyjna urzędu tworzy swój rejestr ryzyka (i przechowuje go u siebie) dla zadań wskazanych np. w regulaminie jednostki organizacyjnej. Należy pamiętać, że każda jednostka organizacyjna (szkoła, przedszkole) musi także stworzyć swój rejestr ryzyka.
3. Identyfikacja ryzyka
Najczęstszym rozwiązaniem jest zastosowanie samooceny, czyli identyfikacji i oceny ryzyka przez samych pracowników danej organizacji. W celu zapewnienia jednolitości podejścia czasami stosuje się kwestionariusze, wyznaczając tym samym ramy, w których poruszają się oceniający. Można także przeprowadzić warsztaty, które oprócz właścicieli ryzyka angażują moderatora (np. audytora wewnętrznego). Jego zadaniem jest prowadzenie warsztatów i wspieranie jego uczestników.
4. Wskazanie istniejących mechanizmów kontrolnych
W tym miejscu rejestru ryzyka wskazujemy wszelkie działania, które wykonujemy obecnie w celu ograniczenia ryzyka – warto pamiętać, że nie są to tylko wprowadzone procedury ale także np. szkolenia pracowników, podział obowiązków czy bieżące monitorowanie.
5. Analiza ryzyka
Po zidentyfikowaniu ryzyka czas przystąpić do jego oceny. Nie wolno zapominać o tym, aby przy ocenie brać pod uwagę zarówno prawdopodobieństwo wystąpienia ryzyka, jak i jego skutki (oddziaływanie). Wiele organizacji, aby zobrazować te dwa wymiary, posługuje się różnego rodzaju macierzami.
Ocenę należy przeprowadzić po wskazaniu istniejących mechanizmów kontroli. Są jednostki, które zaczynają od ryzyka pierwotnego, nie uwzględniającego skuteczności istniejących mechanizmów kontroli a dopiero później określają ryzyko po ich wprowadzeniu (tzw. ryzyko rezydualne) ale moim zdaniem jest to już wyższa szkoła i w początkowym okresie wdrażania zarządzania ryzykiem może uczynić ten proces całkowicie niezrozumiałym dla pracowników.
Nie ma jasnych wskazówek, ilu punktowe skale należy stosować. Najczęściej spotyka się jednak skale od 1 do 3, 4 lub 5. Należy też pamiętać, że ostateczna ocena ryzyka jest wyznaczona zarówno przez skutki, jak i prawdopodobieństwo, co oznacza, że skala również będzie większa. Z reguły wylicza się ją jako iloczyn skutków i prawdopodobieństwa.
6. Czy ryzyko jest na akceptowanym poziomie?
To jest najważniejsze pytanie jakie powinniśmy sobie zadać w zarządzania ryzykiem. Odpowiedź „NIE” nie oznacza, że cos robimy źle, niezgodnie z prawem ale, że myślimy, że dany proces możemy usprawnić, możemy coś zmienić. Może być też tak, że nie akceptujemy danego ryzyka (np. uznajemy, że możliwość popełnienia błędów jest zbyt duża) ale nie mamy na to wpływu – wskazujemy wtedy „NIE” i piszemy, że nie mamy możliwości podjęcia działań (np. ryzyka niezrealizowania zadań z uwagi na zbyt późne otrzymanie dokumentacji z innej jednostki).
7. Reakcja na ryzyko
Jeśli ryzyko jest nieakceptowane to musimy rozważyć jakie mamy możliwości przeciwdziałania mu. Po zastanowieniu okazuje się że mamy cztery sposoby radzenia sobie z ryzykiem:
1) jego akceptacja takim, jakie jest, bez podejmowania dodatkowych działań. Ważne jest, aby podjęcie decyzji o akceptacji było świadome, w szczególności w kategorii potencjalnych skutków, jakie niesie ze sobą dane ryzyko np. ze względu na zbyt wysokie koszty przeciwdziałania ryzykiem.
2) unikanie to sposób zarządzania ryzykiem całkowicie przeciwstawny do jego akceptacji. Polega on na zrezygnowaniu z działalności lub procesu obarczonego takim ryzykiem, a w przypadku nowych zadań – po prostu na niepodejmowaniu ich.
3) przeniesienie (rozłożenie) ryzyka to następny sposób reakcji na ryzyko. Polega on na dzieleniu się ryzykiem z innymi podmiotami np. poprzez ubezpieczenie się.
4) działanie czyli podejmowanie wszelkich działań, mających na celu zmniejszenie stopnia prawdopodobieństwa wystąpienia ryzyka lub skali skutków z nim związanych. Dla przykładu: ograniczeniem ryzyka związanego z nieterminowym załatwianiem spraw jest wdrożenie oprogramowania, w którym będzie zapisywana data wpływu sprawy, nazwisko osoby odpowiedzialnej oraz termin załatwienia sprawy.
Należy pamiętać, że ponieważ jednostki muszą co najmniej raz w roku dokonać identyfikacji ryzyka (Standardy kontroli zarządczej) a co za tym idzie jego analizy musi to mieć swoje odzwierciedlenie w rejestrze ryzyka.
Wdrażając powyższy system cały czas trzeba pamiętać, że zarządzanie ryzykiem nie jest celem samym w sobie ale ma poprawić wykonywanie zadań jednostki.
Autor:
Agnieszka Mazurek
Artykuł w wersji PDF do pobrania tutaj