Cecha charakterystyczna

Z Michaelem McGowanem, partnerem w KPMG Polska, i Krzysztofem Radziwonem, menedżerem w dziale Risk Advisory Services w KMPG Polska, rozmawia Przemysław Gamdzyk.

Z Michaelem McGowanem, partnerem w KPMG Polska, i Krzysztofem Radziwonem, menedżerem w dziale Risk Advisory Services w KMPG Polska, rozmawia Przemysław Gamdzyk.

Analiza ryzyka jest czynnością, rzec by można, wręcz fizjologiczną. Oceniać ryzyko musi każdy człowiek, ba - nawet każda żywa istota. Tego wymaga przetrwanie w środowisku naturalnym. To jedna z podstawowych funkcji naszego mózgu. Czy biznesowa analiza ryzyka ma w ogóle coś wspólnego z taką naturalną analizą?

Michael McGowan: Na pewno mamy tutaj analogię z naturą - tak jak pewni ludzie, np. z racji swojej profesji są bardziej narażeni na ryzyko, tak samo funkcjonowanie określonych podmiotów gospodarczych jest obarczone większym ryzykiem. Zależy to często od świadomych decyzji zarządów - jakie ryzyko akceptują, na jakie ryzyko chcą swoje przedsiębiorstwa wystawić. Między innymi dlatego nie ma żadnych benchmarków mówiących o tym, jaki poziom ryzyka jest dla danej firmy optymalny.

Decyzja, jakie zasoby przeznacza się na zarządzanie ryzykiem, zależy zatem od podejścia do kwestii ryzyka. To decyzja biznesowa. Standardowym elementem każdego audytu firmy jest badanie zagrażającego jej ryzyka, zarówno wewnętrznego, jak i zewnętrznego.

Cecha charakterystyczna

Krzysztof Radziwon

Ryzyko zależy od wielu różnych czynników, takich jak ludzie, procesy czy technologia. W zarządzaniu ryzykiem chodzi o to, by obejmować jednocześnie wszystkie te elementy, a nie stosować wycinkowego podejścia dziedzinowego.

Krzysztof Radziwon: Rozmawiając o ryzyku, warto podjąć próbę jego definicji. Na przykład z punktu widzenia systemów informatycznych przyjmuje się definicję, według której ryzyko to prawdopodobieństwo, że określone zagrożenie (threat) wykorzysta istniejącą słabość (vulnerability). Zatem mówiąc o ryzyku, zawsze mamy do czynienia z jego składowymi - zagrożeniem, słabością w systemie oraz prawdopodobieństwem. Taka definicja daje się przełożyć również na wymiar biznesowy.

Czy problem zarządzania ryzykiem jest obliczalny w tym sensie, że posługując się statystyką i kalkulacjami matematycznymi, jeśli tylko mamy potrzebne dane, możemy precyzyjnie oszacować ryzyko? Czy też wprost przeciwnie - bardziej liczy się doświadczenie i związana z nim intuicja?

M.M.: To zależy od rodzaju ryzyka. Niektóre są łatwiej mierzalne, inne gorzej. Oczywiście można z pewną dokładnością wyliczyć, jakie zagrożenie niesie określone ryzyko. Komputer włączony do Internetu z określonym prawdopodobieństwem może zostać zaatakowany i spenetrowany. Wysokość szkód jest jednak zazwyczaj zupełnie nieporównywalna, gdy chodzi o komputer w domu i komputer znajdujący się w sieci korporacyjnej. Łatwo oszacować koszt narzędzi, które mogą zmniejszyć to ryzyko. Zatem, znając potencjalne straty, można wyliczyć współczynnik ROI. W praktyce jednak do takich wyliczeń używa się również trudnego do zdefiniowania czynnika, powiedzmy, "nienaukowego".

Czy zatem zarządzanie ryzykiem ma wiele wspólnego z optymalizacją - tutaj wydatków w zestawieniu z potencjalnymi zagrożeniami?

Cecha charakterystyczna

Michael McGowan

M.M.: W jakiejś mierze tak, ale dla różnych firm różnie może wyglądać ten poziom optymalny. W praktyce często korzysta się z najlepszych dostępnych w danym czasie tzw. dobrych praktyk. Wszystkiego nie da się wyliczyć - w końcu zarządzanie polega na podejmowaniu decyzji, a zarządzanie ryzykiem jest elementem zarządzania w ogóle.

K.R.: Mierzenie ryzyka, jego składowych, to tylko jeden z elementów zarządzania ryzykiem. Zarządzanie ryzykiem jest przede wszystkim ważnym procesem biznesowym, a podejście do tego procesu jest charakterystyczne dla danej firmy.

M.M.: Jest coś takiego jak kultura ryzyka, którą można wychwycić, oceniając daną organizację. Niektóre firmy są bardziej świadome ryzyka. Wiele podmiotów nie rozumie znaczenia ryzyka dopóty, dopóki ich coś złego nie spotka. Oczywiście istnieją branże, które są bardziej świadome ryzyka niż inne, często także za sprawą rozwiązań prawnych, czego przykładem jest sektor finansowy, który jest obszarem ściśle regulowanym, w tym pod względem zarządzania ryzykiem.

Czy zatem podejście do zarządzania ryzykiem jest dobrym indykatorem poziomu dojrzałości firmy?

MM: Oczywiście, tak. Widać wyraźną korelację między rozmiarem przedsiębiorstwa a podejściem do zarządzania ryzykiem. Duże podmioty, by mogły przetrwać i rozwijać się, muszą mieć wbudowane mechanizmy zarządzania ryzykiem. Co istotne, rośnie świadomość ryzyka wśród menedżerów i te zmiany są widoczne na przestrzeni minionych 5-10 lat. Widać to również wśród władz państwowych, zwłaszcza w odniesieniu do obszarów, które dotyczą znacznych grup społecznych czy państw. Nawet ostatnie skandale finansowe w dużych korporacjach jeszcze bardziej uświadomiły wszystkim, jak ważne jest zarządzanie ryzykiem, celem zmniejszenia prawdopodobieństwa wystąpienia oszustw i malwersacji. Standardem stają się stanowiska wewnętrznego audytora czy oficera ds. bezpieczeństwa. To także elementy zarządzania ryzykiem. Dawniej można je było spotkać tylko w największych korporacjach.

K.R.: Warto zauważyć, że z zarządzaniem ryzykiem mamy do czynienia praktycznie od zawsze. Natomiast obecnie obserwujemy przesunięcie pewnych elementów zarządzania ryzykiem, poprzez formalizację działań i podejście metodyczne, z obszaru intuicji do obszaru w pełni świadomego. Pamiętajmy, że praktycznie każda decyzja, zwłaszcza jeżeli istnieje do niej alternatywa, niesie ryzyko. Sztuką jest podjęcie decyzji właściwej, gdy jest się świadomym ryzyka, jakie niesie ze sobą. Tak zawsze było i będzie.

Czy zatem powstała już osobna profesja specjalisty od zarządzania ryzykiem? Czy uczą tego na uczelniach?

M.M.: Według mojej najlepszej wiedzy nie ma osobnych studiów poświęconych zarządzaniu ryzykiem; to zbyt obszerna dziedzina. Widać natomiast wyraźny rozwój pewnych specjalizacji i certyfikatów potwierdzających kompetencje w zakresie zarządzania ryzykiem w wybranych obszarach.

W powszechnym odczuciu najlepsze w zarządzaniu ryzykiem są firmy ubezpieczeniowe, dla których liczenie prawdopodobieństwa jest podstawą biznesu.

Czy rzeczywiście są to liderzy zarządzania ryzykiem? Kto jest najważniejszym klientem KPMG w tym obszarze?

MM: Ogólnie cały sektor finansowy. Oczywiście, ryzyko to podstawowy biznes firm ubezpieczeniowych, mają więc one rozwiniętą, bardzo wysoką świadomość ryzyka.

A sektor publiczny?

M.M.: Bardzo intensywnie współpracujemy w charakterze doradców z instytucjami zajmującymi się regulacjami prawnymi. Jeśli chodzi zaś o instytucje państwowe traktowane jako specjalna forma biznesu, to wygląda to bardzo różnie pomiędzy poszczególnymi krajami.

Obserwuje się na przykład nowe zjawisko powoływania osób odpowiedzialnych za sprawy ryzyka w ramach całej administracji państwowej, np. za aspekty bezpieczeństwa systemów IT. Jest to szczególnie istotne w sytuacjach, kiedy instytucje państwowe posługują się systemami informatycznymi, tworząc swoisty e-government. Istotne jest, aby rządy były bardziej efektywne, nie tracąc zarazem zdolności do sprawowania kontroli i rozliczalności.

Jak wyglądają możliwości informatycznego wsparcia zarządzania ryzykiem?

M.M.: Istnieją różne wyspecjalizowane produkty, np. służące do analizy ryzyka kredytowego w bankach, ale nie ma czegoś na kształt zintegrowanego pakietu do ogólnego zarządzania ryzykiem.

K.R.: Tak naprawdę w zarządzaniu ryzykiem można wykorzystywać dowolne narzędzia wspomagające proces podejmowania decyzji - rozwiązania Business Intelligence, systemy bazodanowe, systemy eksperckie i tak dalej. Celem jest zawsze dążenie do bardziej świadomego podejmowania decyzji. Zarządzanie ryzykiem ma się przecież firmom w ostatecznym rozrachunku opłacać.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200