Holistyczne podejście do zarządzania ryzykiem

Idea

Instytucje i przedsiębiorstwa działają w dynamicznie zmieniającym się środowisku.

Problemem nie jest brak informacji ale zdolność do jej porządkowania i przekształcania w wiedzę użyteczną w zarządzaniu.

Drugim istotnym problemem zarządzania są silosy informacyjne.

Jednym z możliwych rozwiązań tych problemów jest holistyczne podejście do zarządzania i wykorzystanie systemów eksperckich i AI.

System ekspercki wspomaga gromadzenie danych i ich analityczne przetwarzanie oraz efektywne wykorzystanie w procesie zarządzania.

Z uwagi na zainteresowania i dotychczasowe doświadczenia autora jako obszar zainteresowania wybrano zarządzanie ryzykiem w sektorze finansowym.

Nie wyklucza to zastosowanie opracowanych technologii i platformy systemowej w innych obszarach. W szczególności w branżach gdzie występują szczególne zagrożenia i bardzo restrykcyjne regulacje i gdzie koszty zapewnienia bezpieczeństwa i ciągłości działania są wysokie. Np.: przemysł chemiczny, petrochemia, sieci przesyłowe, energetyka.

Podejście holistyczne

Holizm jest teorią rzeczywistości, zgodnie z którą świat stanowi całość hierarchicznie złożoną z licznych całości niższego rzędu i podlega dynamicznej, twórczej ewolucji, prowadzącej do powstania coraz to nowych, jakościowo różnych całości (niedających się zredukować do sumy swych części).

Metodologiczne spojrzenie: zachowanie systemu można zrozumieć rozpatrując go jako całość a nie jako sumę zachowań jego cześci składowych.

Właściwości systemu nie są zdeterminowane przez cechy jego składowych.

Cechy podejścia holistycznego:

- perspektywa celów organizacji

- zarządzanie procesowe

- przyjęcie standardu zarządzania dla wszystkich rodzajów ryzyka występujących w organizacji

- optymalizacja zasobów

Dlaczego podejście holistyczne?

Powtarzające się w ostatnich latach kryzysy w sektorze finansowym przenoszące się na całą gospodarkę wskazują, że dotychczasowe podejście do zarządzania ryzykiem jest nieadekwatne do zagrożeń.

Obecnie zagrożenia definuje się na wiele sposobów i odpowiednio do nich przyjmuje się metody zarzadzania ryzykiem jakie niosą ze sobą. W ramach jednej organizacji istnieje zwykle kilka komórek, które zajmują się różnymi ryzykami. Wynika to często z formalnego postrzegania zarządzania ryzykiem. Ryzyka te są definiowane w zależności od regulacji prawnych i ukształtowanych systemów zarządzania organizacją.

Podejście holistyczne pozwala na uniknięcie tworzenia silosów informacyjnych w organizacji.

Pozwala także na skuteczną identyfikację ryzyka i optymalną alokację zasobów.

Takie podejście pozwala także na identyfikację luki zarządzania ryzykiem, czyli obszar gdzie ryzyko nie zostało rozpoznane i nie zarządzamy nim. To może generować istotne zagrożenia dla organizacji.

 

Praktyczna propozycja

Konieczność całościowego podejścia do postrzegania ryzyka w organizacji i zarządzania nim jest jasno widoczna z perspektywy realizacji celów. Niewłaściwe rozpoznanie ryzyka lub jego niewłaściwe oszacowanie ma bardzo istotny wpływ na osiąganie celów. Zwykle nie jest to prosta suma skutków. Ryzyka oddziaływują na siebie często wzmacniając swoje efekty.

Osiąganie celów strategicznych wymaga wysiłku całej organizacji i zarządzanie ryzykiem oraz jego mitygacja powinny być rozpatrywane w skali całej organizacji i w perspektywie celów strategicznych. Szukamy odpowiedzi na pytanie: jakimi ryzykami są obciążone cele organizacji i jak mitygować rozpoznane ryzyko? Jeżeli przyjmiemy takie założenie, to należy poszukać takiego modelu zarządzania ryzykiem, który pozwoli nie tylko na proste sumowanie skutków ale pomaga w rozumieniu zależności i interakcji pomiędzy rożnymi typami ryzyka. W tak określonym modelu niebędne są narzędzia do szczegółowych analiz ale także metody agregowania ich wyników na kolejnych szczeblach zarządzania. Końcowym efektem powinna być odpowiedź na pytanie jakim ryzykiem są obciążone cele organizacji.

Takie spojrzenie na problem możemy nazwać holistycznym podejściem do zarządzania ryzykiem w organizacji.

Cykl zarządzania ryzykiem ( ISO 31000:2009)

- określenie kontekstu

- identyfikacja ryzyka

- analiza ryzyka

- ocena ryzyka

- postępowanie z ryzykiem

Implementacja

W bankach i instytucjach finansowych zarządzanie różnymi rodzajami ryzyka jest rozdzielone ze względów organizacyjnych i prawnych.

W aspekcie organizacyjnym nie wydaje się istotne jak zorganizowane są komórki funkcjonalne.

Istotne jest podejście do zarządzania ryzykiem i przepływ informacji.

W podejściu holistycznym istotny jest jednolity model dla całej organizacji i wszystkich rodzajów ryzyka. W zależności od regulacji prawnych, instytucji nadzorczych i specyfiki działalności należy dobierać odpowiednie metody. Dobrą podstawę do budowy tak rozumianego systemu stanowi norma ISO 31000:2009. Nie jest to jednak wystarczające, należy uwzględnić specyfikę organizacji, warunki i regulacje lokalne. Wdrożenie systemu wymaga zmian organizacyjnych. Trudności zmiany podejścia mają głównie naturę „miękką”. Podstawowym problemem jest zmiana sposobu myślenia o ryzyku. To dotyczy zarówno podstawowych stanowisk jak i top management.

Implementacja wykonywana jest w nstępujących podstawowych krokach:

 1. strategia zarządzania ryzykiem skoordynowana ze strategią organizacji

 2. polityki zarządzania ryzykiem

 3. ustanowienie struktury zarządzania

 4. kompetencje

 5. źródła danych

 6. eksperci

 7. polityka informacyjna

Struktura systemu

Funkcje systemu

 1. Wspomaganie decyzji (baza wiedzy)

 2. Wymiana informacji (on-line)

 3. Zbieranie danych

 4. Kontrola adekwatności i gotowości zasobów

 5. Edukacja (publikowanie materiałów i informacji, e-learning)

Poziomy zarządzania i raportowania

Zarządzanie ryzykiem w organizacji - 4 poziomy, w bardzo dużych organizacjach - 5 poziomów

Architektura systemu

Central system and Database

Access to Intranet

Elementy systemu

Interfejs użytkownika - WorkFlow, powiadomienia

Edytor bazy wiedzy

Baza wiedzy

Baza danych

Interfejs do zewnętrznych baz danych

Silnik reguł

Zasadniczy system można uzupełniać o moduły rozszerzające. Zależy to od specyfiki organizacji i potrzeb informacyjnych - wewnętrznych i zewnętrznych.

W niektórych zagadnieniach może być przydatne modelowanie, w innych metody scenariuszowe.

System może być uzupełniony także o funkcje takie jak plany ciągłości działania (BCP), plany awaryjne (DRP), metody wskaźnikowe jak np.: KRI czy KPI, samooceny (np. CSA) oraz wiele innych przydatnych w konkretnej implementacji.

Wszystkie moduły mogą korzystać z jednego modelu danych.

Model jest budowany na bazie podstawowego z rozwinięciem o specyficzne wymogi wdrożenia.

Dane przesyłane z innych systemów powinny być standaryzowane do tego modelu.

Pozwala to na ich efektywne wykorzystanie oraz budowę zbioru danych historycznych.

Raportowanie

Bardzo ważna jest warstwa raportowa systemu. Powinna być dostosowana do specyfiki organizacji.

Raporty i powiadomienia powinny być dostosowane do poziomów zarządzania i sterowane uprawnieniami użytkowników. Daje to możliwość automatycznego i precyzyjnego adresowania informacji. System dostarcza informacje w postaci standardowych raportów oraz raportów ad hoc tworzonych przy pomocy generatora raportów. W system także są wbudowane alarmy i powiadomienia. Są one generowane zgodnie z zadanymi parametrami lub regułami.

Aspekt organizacyjny systemu

Struktura systemu zarządzania ryzykiem musi być adekwatna do potrzeb i warunków organizacji.

Główne elementy systemu:

 • Identyfikacja i ocena ryzyka

 • Monitorowanie i mitygacja

 • Kontrola i ocena systemu zarządzania ryzykiem

 • Raportowanie

 • Integracja informacji, dobre praktyki, komunikacja

Summary

Dlaczego powinniśmy zarządzać ryzykiem?

 • Ponieważ daje to bezpieczeństwo wszystkim interesariuszom.

 • Ponieważ daje to przewagę konkurencyjną

 • Ponieważ podnosi to wartość firmy.

Należy szukać efektywnych rozwiązań dających dobre rozwiązania w praktyce. W opinii autora budowa zintegrowanego systemu zarządzania ryzykiem opartego o oprogramowanie eksperckie jest dobrym i ekonomicznym rozwiązaniem. Jest to wynik wieloletnich doświadczeń we wdrażaniu systemów zarządzania ryzykiem w bankach. Aplikacje mogą być oparte na istniejących systemach szkieletowych. Upraszcza to i istotnie przyspiesza proces wdrożenia. Wiele firm oferuje takie oprogramowanie. Są to rozbudowane aplikacje pozwalające na budowę systemu dla dużej organizacji. Wspólnie z Politechniką Warszawską Wydziałem Zarządzania przeprowadziliśmy analize najpopularniejszych programów szkieletowych. Wszystkie spełniają podstawowe wymagania i mogą być wykorzystane w opisywanym systemie.

Innym zagadnieniem są rozszerzenia. W zależności od potrzeb użytkowników mogą być tworzone na zamówienia lub budowane z istniejących modułów. Wiele rozszerzeń dostarczaja dostawcy oprogramowania.

Zarządzanie ryzykiem to jeden z instrumentów zarządzania. Błędem jest traktowanie go jako narzędzia działającego poza strukturami zarządzania i poza systemem informacji zarówno dla zarządu jak i dla wszystkich pracownikó w. Zastosowanie platformy z systemem eksperckim zwiększa istotnie efektywność. Obniża koszty, pozwala na przetwarzanie wielkich ilości danych i udostępnia wiedzę ekspercką.

Zarządzanie ryzykiem daje organizacji przewagę konkurencyjną.

Notatka o autorze Note about the author

Absolwent Politechniki Poznańskiej od 20 lat zaangażowany w branży IT. Od 2005 dostarcza do banków systemy wspomagające zarządzanie ryzykiem. Ekspert od zarządzania ryzykiem operacyjnym w bankach. Współpracuje z uczelniami, autor wielu publikacji.

Literatura

1. Jack. L. King - Operational risk

2. Paweł Matkowski - Zarządzanie ryzykiem operacyjnym

3. Systemy informatyczne - pod red. F. Marecki, J. Grabara, J. Nowak

4. Kontrola wewnętrzna - COSO

5. Umowa Bazylejska II/III - BIS

6. Esther Dyson - Wersja 2.0

7. Andy Warchol - Atak z internetu

8. ISO 31000:2009

9. Uchwały i rekomendacje (Resolution) KNF

10. Nassim Taleb - The Black Swan

11. Zarządzanie ryzykiem operacyjnym - pod red. I. Staniec, J. Zawiła-Niedźwiedzki

12. L Czarnecki - Ryzyko w działalności bankowej

Definicje

Ryzyko: efekt niepewności osiągania celów. (Odchyłka +/-)

risk assessment - identyfikacja, analiza i ocena ryzyka (myRMS - moduł Ryzyko)

identyfikacja - rozpoznanie ryzyka i opis (źródła ryzyka, incydenty, przyczyny, potencjalne konsekwencje)

źródło ryzyka (czynnik ryzyka) - element, który samodzielnie lub w kombinacji z innymi może potencjalnie zwiększyć ryzyko

incydent - zdarzenie lub zmiana stanu

incydent bez konsekwencji - near miss (close call)

skutek - wynik zdarzenia mający wpływ na realizację celów

podatność (prawdopodobieństwo) - szansa, że coś się wydarzy

profil ryzyka - opis ryzyka (w jakimś obszarze)

analiza ryzyka - proces oceny ryzyka i ocena jego poziomu

kryteria ryzyka - wynikające z celów organizacji i regulacji wewnętrznych i zewnętrznych

poziom ryzyka - kombinacja skutku i prawdopodobieństwa

ocena ryzyka - porównanie wyników analizy ryzyka i kryteriów ryzyka - określa to poziom akceptowalny

zarządzanie ryzykiem (risk treatment) - wynika z oceny ryzyka (mitygacja ryzyka, redukcja ryzyka)

ryzyko rezydualne - pozostające po działaniach risk treatment (obejmuje także ryzyko niezidentyfikowane)

Zarządzanie ryzykiem - kreowanie i ochrona wartości (bezp. ludzi, zgodność z prawem, wizerunek, ochrona środowiska, realizacja celów, obniżenie strat,...)