Kobieta przeprowadzająca analizę ryzyka dzięki szkoleniu M_o_R realizowanym w Inprogress

Złapmy byka za rogi! Zarządzanie ryzykiem w praktyce

Zarządzanie ryzykiem najczęściej kojarzy nam się z biznesem, korporacjami i firmami prywatnymi.

Zdecydowanie rzadziej myślimy o najlepszych praktykach zarządzania ryzykiem w kontekście jednostek sektora finansów publicznych. Moje pierwsze skojarzenie z zarządzaniem ryzykiem w tym kontekście to standardy kontroli zarządczej dla jednostek sektora finansów publicznych oraz wytyczne Ministra Finansów, wydane na podstawie art. 69 ust. 4 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.

Małe wprowadzenie w temat

Celem standardów kontroli zarządczej jest pomoc we wdrożeniu w sektorze finansów publicznych spójnego i jednolitego modelu kontroli zarządczej w zgodzie ze standardami międzynarodowymi. Obejmują one pięć podstawowych obszarów takich jak:

  • środowisko wewnętrzne,
  • cele i zarządzanie ryzykiem, 
  • mechanizmy kontroli,
  • informacja i komunikacja,
  • monitorowanie i ocena.

Każdy z tych obszarów jest opisany na dużym poziomie ogólności. Standardy mówią nam, że przynajmniej raz w roku powinniśmy ryzyka zidentyfikować, zanalizować i zaplanować dla nich najbardziej adekwatne reakcje na ryzyko.

I tu pojawia się pytanie jak i kiedy zrobić to w praktyce?

Jak dostosować proces zarządzania ryzykiem do codziennej pracy?

1. Identyfikacja ryzyka

Dobrym momentem na identyfikację ryzyka jest czas kiedy tworzymy plany roczne, podejmujemy się nowych inwestycji czy rozpoczynamy realizację programów i projektów. Punktem startowym w identyfikacji ryzyka powinno być dobre zrozumienie celów i zadań, które stoją przed naszą jednostką ponieważ to w odniesieniu do nich będziemy identyfikować ryzyka.

Za identyfikację ryzyka odpowiedzialny jest kierownik danej jednostki, obszaru czy projektu.  Jednak nie powinien podejmować się tego zadania samodzielnie. Warto zaprosić do współpracy swoich współpracowników, kontrahentów oraz przedstawicieli szerzej rozumianej społeczności ponieważ większość technik identyfikacji ryzyka jest rekomendowanych do pracy warsztatowej.

Identyfikację ryzyka warto rozpocząć od analizy czynników zewnętrznych i wewnętrznych, które mogą wpłynąć na naszą organizację. Następnie skorzystajmy z wcześniejszych doświadczeń. Przejrzyjmy rejestry ryzyka z ostatniego roku (w przypadku działalności operacyjnej) czy z poprzednich podobnych projektów (w przypadku realizacji projektu) i spróbujmy odpowiedzieć sobie na pytanie czy zidentyfikowane wcześniej ryzyka będą nadal aktualne w kolejnym roku/projekcie. Jeśli tak to poddamy je dalszej analizie. Po zebraniu wcześniejszych doświadczeń warto zanalizować dokumentację naszego przedsięwzięcia (dokumentację przetargową – jeśli nas dotyczy), przyjrzeć się przyjętym założeniom oraz ograniczeniom – wynikającym zarówno z zewnętrznych regulacji, jak i naszych wewnętrznych standardów, procedur, regulaminów.  

Analiza dokumentacji to też weryfikacja naszych kontrahentów w ogólnodostępnych rejestrach (np. CEiDG, KRS czy Biała lista podatników VAT). Przeprowadźmy też krótki wywiad z osobami zarządzającymi naszą jednostką – ich, często wieloletnie, doświadczenie może być bardzo pomocne w identyfikacji potencjalnych ryzyk. Zorganizujmy również warsztat identyfikacji ryzyka z wykorzystaniem np. burzy mózgów i technik kategoryzacji ryzyka – najlepiej poprowadzony przez facylitatora warsztatów.

Więcej technik identyfikacji ryzyka możesz poznać na naszym szkoleniu z zakresu metodyki M_o_R.

2. Analiza ryzyka

Kolejny krok rekomendowany przez standardy kontroli zarządczej to analiza ryzyka, która pozwoli nam spriorytetyzować zidentyfikowane wcześniej ryzyka. W trakcie analizy należy określić akceptowany w naszej jednostce poziom ryzyka oraz ocenić prawdopodobieństwo wystąpienia ryzyka i jego potencjalne skutki. Większość metodyk i modeli zarządzania ryzykiem rekomenduje użycie 5-stopniowej skali do oceny prawdopodobieństwa wystąpienia ryzyka (np. jego częstotliwości czy krotności) oraz do oceny wpływu ryzyka na cele i zadania naszej jednostki. Jednak dla nas wiążące są skale, które już obowiązują w naszej organizacji. Ocenione ryzyka możemy przedstawić w formie graficznej na mapie ryzyka.

3. Reakcje na ryzyka

Dla ocenionych i spriorytetyzowanych ryzyk należy przygotować konkretne reakcje na ryzyko, które w idealnej sytuacji pozwolą nam na unikniecie lub zminimalizowanie zagrożeń oraz zmaksymalizowanie szans. Planując reakcję na ryzyko należy uwzględnić poziom akceptowalnego ryzyka w naszej jednostce, priorytet ryzyka oraz jej efektywność kosztową (uwzględniając zarówno koszty finansowe wdrożenia danej reakcji, jak również koszty pozafinansowe np. koszty społeczne). 

Jeżeli priorytet ryzyka jest niski to najczęściej będziemy tolerować ryzyko (w sposób aktywny – wpiszemy je do naszego rejestru ryzyka i regularnie będziemy je monitorować). Dla ryzyk o wyższych priorytetach możemy zastosować reakcje typu przeniesienie, wycofanie się czy działanie.

  • Reakcja typu przeniesienie ryzyka będzie polegało na przeniesieniu ryzyka na stronę trzecią, np. na ubezpieczyciela czy naszego wykonawcę/podwykonawcę (ubezpieczenie składników majątku naszej jednostki jest przykładem tego typu reakcji).
  • Jeśli ryzyko jest wysokie możemy zastosować reakcje typu wycofanie się – reakcja ta będzie polegała na rezygnacji z działań czy projektów, które wystawiają naszą organizację na ryzyka.
  • Najpopularniejszą jednak reakcją na ryzyko jest redukowanie zagrożenia/przybliżenie okazji (nazywane również działaniem) – czyli sytuacja w której będziemy podejmować działania mające na celu zmniejszenie lub zwiększenie prawdopodobieństwa wystąpienia ryzyka lub jego wpływu ( przykłady takich reakcji to: przeprowadzenie kampanii medialnej promującej działalność naszej jednostki by zwiększyć zainteresowanie naszą ofertą, np. badaniami profilaktycznymi dla seniorów lub skanowanie dokumentów, aby zredukować wpływ ryzyka związanego z zaginięciem dokumentów).

Zarządzanie ryzykiem

W ramach zarządzania ryzykiem w Waszych jednostkach rekomenduję Wam m.in.

  • dywersyfikację ryzyka (np. poprzez zróżnicowanie swoich dostawców i wykonawców zamiast korzystania z usług jednego monopolisty),
  • ochronę swoich zasobów ludzkich i fizycznych (np. poprzez zastosowanie dobrej jakości odzieży ochronnej,
  • regularne wykorzystywanie kopii zapasowych czy ograniczenie dostępu i monitorowanie naszej infrastruktury),
  • szkolenie pracowników (np. w zakresie obowiązujących standardów czy pożądanych zachowań).

Kilka praktycznych przykładów i wskazówek dot. zarządzania ryzykiem znajdziecie w Wytycznych do planowania i zarządzania ryzykiem: (https://www.gov.pl/attachment/9c82233b-fd33-4879-a301-0f744857c002) opublikowanych w serwisie Rzeczypospolitej Polskiej.

Przepis na sukces?

Skuteczność wdrożenia zarządzania ryzykiem do naszych jednostek nie wymaga stosowania skomplikowanych narzędzi i dedykowanego oprogramowania. Wystarczy zestaw dość prostych technik i metod stosowanych regularnie, aby zarządzanie ryzykiem dało Waszej organizacji realną korzyść i przestało być traktowane przez naszych pracowników jedynie jako przykry obowiązek wynikający z zewnętrznych regulacji. Po więcej informacji zapraszam Cię na szkolenie z metodyki M_o_R lub dedykowane warsztaty, które przygotujemy dla Twojej jednostki.

Monika Olejniczak
Akredytowana Trenerka metodyki M_o_R, przez 16 lat pełniła funkcję Pełnomocnika Wójta w jednostce samorządu terytorialnego.