Katarzyny Kubicka-Żach: Jak postrzegamy ryzyko w zmieniającej się rzeczywistości?

Iwona Bogucka: Od kilku, a nawet kilkunastu lat w literaturze z obszaru zarządzania można niejednokrotnie spotkać się z określeniem, że żyjemy w „turbulentnym otoczeniu” i koncepcjami, które odnoszą się do takiego stanu. Teraz w rzeczywistości, jakiej przyszło nam funkcjonować, można stwierdzić, że ta turbulencja przybrała na sile. Niektóre koncepcje trzeba zrewidować, inne zapewne budować na nowo. Okoliczności zmieniają się bardzo szybko, pojawiają się podatności, zagrożenia, niepewność, ryzyko, ale też i szanse. Zjawiska przenikają do naszego obrotu organizacyjnego, gospodarczego i występują w codziennej komunikacji. Jestem głęboko przekonana, że nie ma takiego dnia w organizacji, w którym nie mówiłoby się o ryzyku, bez względu na sektor, w którym dana organizacja funkcjonuje w kontekście wymiaru naszej obecnej rzeczywistości. O dłuższej perspektywie w zakresie planowania strategicznego mówimy ze swego rodzaju ostrożnością, ponieważ wszystko zmienia się dynamicznie z dnia na dzień i musimy reagować ad hoc.

Powoli oswajamy się z ryzykiem, ale czy to słuszne?

Oswojenie się z pojęciem ryzyka i całym aparatem pojęciowym z obszaru zarządzania ryzykiem jest jak najbardziej słusznym podejściem, jako rozumienie i pojmowanie tego zjawiska, że jest ono immanentną częścią działalności nie tylko biznesowej, ale także administracji publicznej, natomiast stanowczo sprzeciwiam się oswajaniu w kategorii przyzwyczajania się, czy też ignorowania możliwości jego wystąpienia i skutków. Analizując różne zjawiska na przestrzeni ostatnich lat w obszarze zarządzania można zauważyć, że wspólnym mianownikiem wielu katastrof na świecie było ignorowanie i niedocenianie ryzyka. Podkreślenia wymaga fakt, że ryzyka nie da się uniknąć, ale można i trzeba je kontrolować i to jest umiejętność skutecznego zarządzania, nie tylko w czasach trudnych i niepewnych. Jeśli nie mierzysz – to nie kontrolujesz - nie kontrolujesz - to nie zarządzasz - to elementarne zasady.

Jak rozmawiać o ryzyku z pracownikami jednostki w administracji publicznej?

Proszę zauważyć, pomimo tego że ryzyko nie ma jednej definicji, jednego wymiaru to etymologicznie wywodzi się od słowa „risicare” - co oznacza odważyć się, a zatem odważmy się mówić o ryzyku, a następnie działać w stosunku do zidentyfikowanego ryzyka! To, że nie będziemy mówić o ryzyku, nie sprawi, że przestanie ono istnieć. Nie zaczarujemy rzeczywistości. O ryzyku trzeba mówić zdecydowanie i odważnie, ale prostym językiem, jak również niekoniecznie w pierwszej kolejności w kategorii negatywnego wydźwięku, odwoływania się do konsekwencji, straszenia karami, odpowiedzialnością, raczej zachęty do poznania zjawiska, czynników ryzyka i podjęcia adekwatnych kroków w celu ograniczenia prawdopodobieństwa jego wystąpienia i dotkliwości. Jako tworzenie nowego ładu i kultury organizacji, dojrzałości zarządzania, brania odpowiedzialności za procesy zarządcze, za rezultaty, które chcemy osiągnąć.

Ponadto na gruncie obowiązujących regulacji w kontekście administracji publicznej mamy postanowienia artykułu 68 ust. 2 pkt 7 ustawy o finansach publicznych, która nakłada obowiązek zarządzania ryzykiem, w ramach kontroli zarządczej. Co więcej, mamy też dużo standardów, które możemy z powodzeniem stosować i traktować jako wskazówki w procesie identyfikacji, szacowania i analizie oraz zarządzaniu ryzykiem, jak chociażby te opisane w komunikacie w sprawie szczegółowych wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem, ale też standardy COSO Zarządzanie ryzykiem korporacyjnym (przetłumaczone na język polski), standardy FERMA Standard zarządzania ryzykiem, standardy ISO i inne. Wszystko może być dla nas inspiracją w budowaniu świadomości w zakresie zarządzania ryzykiem w organizacji.

Co jest ważne w rozumieniu ryzyka?

Niezwykle istotny jest aspekt poznawczy, kontekst wewnętrzny i zewnętrzny naszej organizacji, poziom organizacyjno-techniczny i zasoby, wielkość organizacji, sektor, w którym funkcjonuje oraz informacja w rozumieniu ryzyka. Przytoczę prostą definicję, żeby można było dokonać jej analizy i podkreślić wymiar tego, co istotne w pojmowaniu ryzyka. Ryzyko - to prawdopodobieństwo wystąpienia pewnego zdarzenia, które ((nie)korzystnie)) wpłynie na realizację celów danej działalności. Celowo wzięłam w nawias słowo (nie/korzystnie).

Przyjrzyjmy się poszczególnym elementom definicji po pierwsze prawdopodobieństwo, a zatem nie mamy pewności, że wystąpi. Prawdopodobieństwo – czyli możliwość wystąpienia jakiegoś zdarzenia, a także jego stopniowalnej częstotliwości wystąpienia od znikomej, aż do pewnej. Po drugie mamy konsekwencje, a zatem negatywny wydźwięk definicji możliwość straty, szkody, niezrealizowanego celu. Przechodząc do drugiego wymiaru definicji ryzyka, rozpatrujemy go w kategorii pojawienia się szansy, jako zdarzenia pozytywnego w takim samym stopniu stopniowalności i w dodatku z pozytywnym wydźwiękiem, ale szansę trzeba umieć wykorzystać. Niewykorzystana szansa to ogromna strata w przestrzeni naszej działalności.

Czytaj też: W pandemii samoocena kontroli zarządczej nabiera szczególnego znaczenia>>

Skąd się bierze ryzyko?

To niemalże pytanie z pogranicza filozofii i można byłoby dodać, gdzie jest jak go nie ma? Ryzyko nie istnieje samo dla siebie, nie jest krążącym neutronem w wolnej przestrzeni organizacyjnej, jest zawsze związane z celami, które sobie stawiamy do realizacji w krótkiej lub długiej perspektywie czasu. Dlatego też potrzebna jest strategia, plan działalności naszej organizacji - jako zbiór naszych celów, określenia generalnych kierunków działania także alokacji zasobów, jakie są niezbędne do ich realizacji. Najważniejsze to umiejętne zdefiniowanie celów, określenie mierników w zakresie pomiaru stopnia realizacji celu i w końcu identyfikacja, szacowanie i analiza ryzyka. Czyli co może pójść źle? Gdzie może pojawić się problem? Jakie mogą pojawić się nagłe zdarzenia, które uniemożliwią nam osiągnięcie celu i wprowadzenie odpowiednich czyli adekwatnych, efektywnych i skutecznych mechanizmów kontroli. Co ważne trzeba też pamiętać, że ryzyko i niepewność to nie to samo. Ryzyko różni się od niepewności tym, że dotyczy zjawisk powtarzalnych, które można w pewnej mierze skalkulować. Czasami mylnie używamy tych pojęć jako synonimów.

Jak zidentyfikować przestrzeń do dyskusji o ryzyku?

Kluczowym jest rozumienie podstawowych pojęć, i rozróżnianie ich, którymi posługujemy się w przestrzeni identyfikacji i szacowania ryzyka oraz tolerancji, czy też przeciwdziałania ryzyku. Czym innym jest ryzyko, a czym innym czynnik ryzyka. Na tym poziomie postrzegania mamy problemy z właściwym rozkodowaniem pojęć i często czynniki ryzyka utożsamiamy z ryzykiem. Przy takim niedopowiedzeniu dokonywana jest identyfikacja niepoliczalnej ilości ryzyk, gdzie czynnikiem ryzyka jest każdy stan (działanie i zaniechanie), który zwiększa wystąpienie ryzyka, a zatem na jedno ryzyko może mieć wpływ wiele czynników. To najczęstsze błędy jakie popełniamy przy identyfikacji ryzyka. Korzystanie z usystematyzowanej terminologii i kategoryzacji ryzyka pomaga w ocenie ryzyka na różnych poziomach organizacji.

Istotne jest też rozumienie ryzyka jako czegoś mierzalnego dla konkretnych jego rodzajów. W identyfikacji ryzyka dostępnych jest wiele metod od prostych kwestionariuszy, warsztatów, wywiadów po dedykowane rozwiązania dostępne na rynku. Możemy budować swoje własne rozwiązania lub sięgać - po rozwiązania dostępne. Kluczowym w całym aparacie pojęciowym jest także pojęcie „apetyty na ryzyko” – rozumiane jako poziom ryzyka, który organizacja jest gotowana przyjąć w dążeniu do swoich celów. Biorąc od uwagę różne obszary organizacyjne, apetyt na ryzyko powinien mieć dynamiczny, a nie statyczny - jeden dla wszystkich ryzyk - charakter.

Jaki jest podział ról i odpowiedzialności za ryzyko w organizacji?

Pewnym uproszczeniem jest twierdzenie, że kierownik jednostki ponosi odpowiedzialność za zarządzanie ryzykiem. Rzeczywiście odpowiada za podejmowanie działań na poziomie strategii, polityk określających sposoby identyfikacji, szacowania i analizowania ryzyka, określania miar (ilościowych, jakościowych, mieszanych) mechanizmów kontrolnych, nadaje ton z góry, wyznacza poziom apetytu na ryzyko, jednak wszyscy pracownicy organizacji ponoszą odpowiedzialność za zarządzanie ryzykiem na poziomie operacyjnym. W zależności od liczby szczebli (poziomów) zarządzania, każdy menedżer odpowiada za swoją część zarządzania ryzykiem. Ryzyko musi mieć swojego właściciela, musi być zarządzane.

W strukturach organizacji też często występuje komórka organizacyjna lub stanowisko do spraw zarządzania ryzykiem, która gromadzi informacje o ryzyku, czynnikach ryzyka, monitoruje poziom ryzyka, raportuje do kierownika jednostki o poziomie ryzyk, o materializacji ryzyk, o słabościach i lukach w systemie zarządzania ryzykiem. Mamy też audyt wewnętrzny jako niezależną i obiektywną funkcję zapewnienia identyfikowania słabości w obszarze zarządzania ryzykiem, który korzystając też z funkcji doradczej rekomenduje usprawnienia w procesie zarządzania ryzykiem, tym samym zamykając proces zarządzania ryzykiem wewnątrz organizacji. Korzyści z zarządzania ryzykiem – to rozpoznanie wyzwań, które stoją przed organizacją i dostosowanie do nich strategii, zdolność do szybkiej adaptacji.

Iwona Bogucka - Prezes IIA Polska - absolwentka prawa oraz licznych studiów podyplomowych z zakresu kompetencji menedżerskich, doradztwa podatkowego, audytu wewnętrznego poprzez kryminalistykę i prawo dowodowe do systemów IT, analityk zarządzania. Posiadaczka uznanych międzynarodowych i krajowych certyfikatów dotyczących m.in. zarządzania ryzkiem CRMA, audytu wewnętrznego, certyfikowany Approved Compliance Officer ACO, Approved Compliance Expert ACE, menedżer w audycie wewnętrznym i zewnętrznym z kilkunastoletnim doświadczeniem w kluczowych obszarach zarządzania finansami publicznymi. Doświadczony trener i wykładowca akademicki na studiach wyższych i podyplomowych, autorka i współautorka publikacji naukowych i popularyzatorskich.