Ryzyko kontrolowane

Jak definiuje Pan rolę działu zarządzania ryzykiem w przedsiębiorstwie?

Zgodnie z powszechnie przyjętymi definicjami ryzyka, może być ono określone jako kombinacja prawdopodobieństwa zdarzenia i jego konsekwencji, które mogą nastąpić i wpłynąć pozytywnie lub negatywnie na osiągnięcie celów biznesowych i realizację strategii firmy. Podejmowanie decyzji mających za zadanie pozwolić spółkom zarabiać, unikając nadmiernego ryzyka, od zawsze było częścią odpowiedzialności zarządów spółek. Zintegrowany System Zarządzania Ryzykiem Korporacyjnym (Enterprice Risk Management System – ERM) jest narzędziem, które to zadanie pozwala realizować zdecydowanie sprawniej, pozwalając tym samym proaktywnie zarządzać ryzykiem.

Wdrożenie procesu zarządzania ryzykiem w klasycznym modelu obejmuje cztery etapy:

• identyfikację strategicznych celów biznesowych,
• identyfikację zagrożeń mogących uniemożliwić osiągnięcie tych celów, czyli właśnie ryzyk,
• ocenę zidentyfikowanych ryzyk,
• budowę mapy ryzyka.

Rolą działu zarządzania ryzykiem powinno być przeprowadzenie powyższych etapów oraz zapewnienie, że raz wdrożony system będzie funkcjonował i będzie wykorzystywany, co nie jest zadaniem trywialnym.

Rolą działu zarządzania ryzykiem jest więc dostarczenie kierownictwu firmy informacji o zagrożeniach wewnątrz i na zewnątrz organizacji oraz informacji o istotnych zmianach zachodzących w otoczeniu, które mogą być istotne w procesie podejmowania decyzji.

Jak zazwyczaj wygląda współpraca tego działu z poszczególnymi elementami systemu zarządzania w przedsiębiorstwach? Jakie jest jego miejsce w strukturze organizacyjnej?

Dział zarządzania ryzykiem najczęściej znajduje swoje miejsce w strukturze organizacyjnej jako oddzielna jednostka organizacyjna podlegająca bezpośrednio prezesowi zarządu lub członkowi zarządu odpowiedzialnemu za system zarządzania ryzykiem (tzw. CRO, czyli Chief Risk Officer). Umiejscowienie takie nadaje odpowiednią rangę i uprawnienia działowi zarządzania ryzykiem, ułatwiając współpracę z innymi jednostkami organizacyjnymi w przedsiębiorstwie oraz realizację swojej roli.

Omawiając współpracę działu zarządzania ryzykiem z poszczególnymi elementami systemu zarządzania, warto przytoczyć klasyczny model trzech linii obrony – gdzie dział zarządzania ryzykiem stanowi pomost pomiędzy właścicielami ryzyka i kontroli (1 linia obrony) a audytem wewnętrznym (3 linia obrony). Właściciele ryzyka i kontroli (1 linia obrony) zarządzają ryzykiem na co dzień i wykonują kontrole nakierowane na ograniczenie ryzyka. Postępują zgodnie z określonymi procedurami procesu zarządzania ryzykiem, identyfikują i oceniają ryzyka oraz przekazują odpowiednie informacje do działu zarządzania ryzykiem w przedsiębiorstwie. Audyt wewnętrzny (3 linia obrony) pełni funkcję niezależnego obserwatora i ocenia adekwatność procesu zarządzania ryzykiem w kontekście potrzeb całej organizacji.