Na Blogu Compliance poruszam często tematykę zarządzania ryzykiem. Jest ona ściśle związana z obszarem compliance. Dowiedz się, w jaki sposób i co zrobić, aby rozwijać równolegle Funkcję Compliance i Funkcję Zarządzania ryzykiem.
Czym jest ryzyko?
Chcąc mówić o ryzyku, powinniśmy je najpierw zdefiniować. Nie jest to proste, bowiem w literaturze naukowej namnożyło się tyle definicji, że nawet nie podejmuję się ich przytaczania. Najczęściej ryzyko utożsamia się z możliwością wystąpienia straty bądź stanem, w którym ta możliwość istnieje. Są i tacy, którzy ryzyko łączą z szansą, a więc niekoniecznie stratą, lecz zyskiem. Dla mnie ryzyko a szansa to dwa różne pojęcia, choć często w praktyce może je stworzyć jedno zdarzenie czy te same okoliczności. Przedstawię definicję ryzyka, którą przyjmujemy w ramach OMEGA SHIELD i którą posługuję się w życiu zawodowym i na blogu.
Definicja ryzyka
Ryzykiem nazywamy możliwość poniesienia straty (finansowej lub niefinansowej) w wyniku wystąpienia określonego zdarzenia.
I tyle nam wystarczy. Kiedy mamy do czynienia z ryzykiem, istnieje widmo poniesienia straty (czasem też jakiejś wartości dodanej, np. zysku finansowego, polepszenia renomy), a straty tej chcemy przecież uniknąć (w przypadku równoczesnego występowania możliwości uzyskania wartości dodanej musimy skalkulować ryzyko). Wówczas zachodzi konieczność odpowiedniego zarządzania ryzykiem, tak aby je wyeliminować, ograniczyć albo zaakceptować.
Zarządzanie ryzykiem
Pojęcie „zarządzanie ryzykiem” zyskuje na popularności, co mnie bardzo cieszy, ponieważ wiąże się z ustanowieniem konkretnego procesu, a nie tylko podejmowania decyzji związanej z ryzykiem. Proces ten ma charakter ciągły i ściśle wiąże się z funkcjonowaniem w organizacji systemu zarządzania ryzykiem. Jest to całość, dzięki której możliwe są działania prewencyjne (zabezpieczające) i detekcyjne (wykrywające).
Ciągły charakter procesu zarządzania ryzykiem oznacza, że nie ma on swojego początku ani końca. Każde działanie jest składową cyklu, który się powtarza. Można jednak powiedzieć, że zarządzanie incydentem (zdarzeniem ryzyka) jest linearne – od czegoś się zaczyna i na czymś się kończy. Zarządzanie incydentem stanowi pewną część zarządzania ryzykiem, bardziej operacyjną i wpadkową w tym znaczeniu, że tego podprocesu nie planujemy. Z kolei typowe działania zawierające się w procesie zarządzania ryzykiem można (i powinno się) planować w harmonogramie prac. Inna kwestia, że niektóre z tych działań są realizowane w sposób stały, ale do tego jeszcze dojdziemy.
Proces zarządzania ryzykiem
Na proces zarządzania ryzykiem możemy patrzeć dwojako, co nieco utrudnia mówienie o nim.
Zarządzanie ryzykiem sensu stricto to kilka etapów, które w zasadzie dotyczą konkretnych ryzyk i pracy z nimi. Etapy te zataczają krąg, a ich liczba i sposób zdefiniowania zależy od podejścia. Równie dobrze mogą to być 4 kroki, jak i 6 czy 8. W ramach OMEGA SHIELD preferujemy następujący kształt procesu zarządzania ryzykiem sensu stricto:
- Analiza kontekstowa
- Identyfikacja ryzyka
- Szacowanie i pomiar ryzyka
- Decydowanie o ryzyku
- Monitorowanie i raportowanie.
Z kolei zarządzanie ryzykiem sensu largo to całokształt działań, które realizuje Funkcja Zarządzania Ryzykiem oraz inni pracownicy w ramach realizacji modelu Trzech Linii Obrony. Tu również nie ma katalogu zamkniętego działań, które stanowią o tym procesie. Do przykładowych możemy zaliczyć:
- Mapowanie ryzyka
- Gromadzenie informacji o zdarzeniach ryzyka
- Testowanie ryzyka
- Zarządzanie incydentem (zdarzeniem ryzyka)
Wymieniłem 4 elementy, które możemy nazwać podprocesami i które w mojej ocenie stanowią absolutne minimum. Bez nich zarządzanie ryzykiem w firmie nie ma najmniejszego sensu. W zależności od sektora, wielkości lub złożoności organizacji czy też dojrzałości w zakresie GRC zasadne jest ukształtowanie dodatkowych podprocesów (np. wyliczanie wymogu kapitałowego, określenie apetytu na ryzyko, zdefiniowanie i aktualizacja strategii ryzyka).
Dodatkową kwestią jest odpowiednie przyjęcie zakresu zarządzania ryzykiem, które przeważnie dzieli się na kilka obszarów. W ten sposób wyodrębnia nam się m.in. ryzyko operacyjne, ryzyko ciągłości działania, ryzyko płynności/ wypłacalności, ryzyko outsourcingu czy ryzyko ICT.
Potrzebujesz więcej informacji?
Więcej o tym, jak prawidłowo zarządzać ryzykiem w firmie, dowiesz się z osobnego artykułu, który już niedługo powstanie. Śledź Bloga Compliance i pozostań na bieżąco z poruszanymi tutaj tematami.
Co łączy compliance z zarządzaniem ryzykiem w firmie?
Mam nadzieję, że nie dziwi Cię obecność zagadnienia „zarządzanie ryzykiem” na blogu, który wydaje się poświęcony tylko dziedzinie compliance. Jak wspominałem w swoim pierwszym artykule na blogu, a także co podkreślam w informacjach o Blogu Compliance, zamierzam pisać zarówno o compliance, jak i o ryzyku. Te zagadnienia przenikają się. Compliance to cel związany z ryzykiem braku zgodności, a jeśli bardzo szeroko spojrzymy na kwestię zgodności, okaże się, że musimy mieć na uwadze różne rodzaje ryzyka. Na blogu będę często pisał o ryzyku operacyjnym, a tak się składa, że ryzyko compliance stanowi część ryzyka operacyjnego. Naprawdę, compliance i ryzyko mają ze sobą dużo wspólnego!
Przede wszystkim chodzi o zależność compliance i non-compliance. Żeby ocenić stan zgodności w organizacji, musisz mieć zmapowane obowiązki, którym organizacja ma sprostać. Każdy taki obowiązek wiąże się z ryzykiem non-compliance. Na początku mówimy bardziej o ryzyku inherentnym, a po analizie wdrożenia zgodności możliwa jest ocena ryzyka rezydualnego.
I teraz przechodzimy do istotnej kwestii. Otóż eliminacja ryzyka inherentnego w jakimś obszarze, np. RODO czy AML, może dziś zredukować ryzyko rezydualne do zera czy prawie do zera (tak, jest to realne), jednak procesy biznesowe, jak i całe funkcjonowanie firmy jest na tyle płynne, że jutro stan ten może ulec zmianie. I co wtedy? Wdrożyłeś zgodność, a za jakiś czas tej zgodności nie ma? Tak, to bardzo prawdopodobne i przyzwyczaj się do tej myśli. Compliance nie jest uszyciem garnituru na miarę, jak to się mówi w mojej branży. To ciągła praca jak utrzymywanie formy u sportowca czy proces rozwoju w jakiejś dyscyplinie. Czynniki ryzyka non-compliance będą obecne na każdym kroku, począwszy od ludzi i działań operacyjnych, a kończąc na ewolucji prawa i innych czynnikach typowo zewnętrznych. Dlatego nie da się wdrożyć compliance! Wdrażamy system zarządzania zgodnością albo…
Zarządzanie ryzykiem i compliance w jednym
Zastanawiasz się, czy możliwe jest połączenie zarządzania ryzykiem i compliance w firmie? Odpowiem krótko i jednoznacznie: tak. Trzeba jedynie pamiętać, że nie w każdej firmie i nie każdym sektorze będzie to zasadne czy nawet dozwolone. Np. W sektorze bankowym Funkcja Compliance oraz Funkcja Zarządzania Ryzykiem są realizowane odrębnie, a sama FZR dzieli się na różne ryzyka zarządzane przez różne jednostki. W sektorze prywatnym taka sytuacja może wystąpić w dużych przedsiębiorstwach, jednak nie musi być to regułą. Czasem ta hybryda zarządzania ryzykiem i compliance będzie usprawiedliwiona, tym bardziej, że ryzyko non-compliance w istocie włącza się w ryzyko operacyjne. Mam wrażenie, że wyszkoleni w różnych szkołach i na różnych kursach „compliansowcy” nie zgadzają się z tym, ale cóż… Tak właśnie jest! Po prostu z uwagi na pewne uwarunkowania historyczne i podejście do compliance ta dziedzina jest wyróżniana (chociażby w GRC mamy osobno Risk management & Compliance już w samej nazwie).
Stworzenie modelu systemu hybrydowego stanowi wyzwanie, ale finalnie może się okazać sporą oszczędnością dla organizacji. Oczywiście nie unikniemy pewnego wyodrębnienia w tym RCM (Risk & Compliance Management) obszaru compliance i innych ryzyk, jak również istotnego znaczenia ryzyka non-compliance na tle innych. Ale nie o hierarchizację tu chodzi. Zarządzanie compliance czerpie bardzo wiele z zarządzania ryzykiem i warto wdrożyć w tym obszarze te same narzędzia, a w firmie kształtować postawę działań opartych na kulturze compliance i zarządzania ryzykiem. To właśnie ta kultura pracy przyczyni się do „zdrowego” funkcjonowania systemu zarządzania ryzykiem i compliance.
Na Blogu Compliance będę pisał o tym, jak krok po kroku wdrożyć taki system w organizacji, a także z jakimi wyzwaniami będziesz miał styczność.
Dowiedz się więcej o zarządzaniu ryzykiem i compliance w sekcji Compliance w firmie
O zapewnieniu zgodności oraz zarządzaniu ryzykiem dowiesz się więcej w sekcji Compliance w firmie. Gromadzę tam dla Ciebie niezbędną wiedzę na ten temat.
Ten artykuł może być ważny zarówno dla przedsiębiorców, jak i pracowników. Jeśli uznajesz go za przydatny, prześlij go innym. Możesz go udostępnić w swoich mediach społecznościowych, klikając jeden z poniższych przycisków. Jeśli interesuje Cię więcej porad na temat compliance przedsiębiorstw, polub stronę Bloga Compliance na LinkedIn, a także zapisz się do Newslettera GRC Compass. Korzystaj z oferowanych porad i informacji, a jeśli będziesz miał własne pytania – śmiało napisz do mnie!