Firmy stające wobec nowych wyzwań nie są w stanie im sprostać, dysponując wyłącznie tradycyjnymi, finansowo-ubezpieczeniowymi instrumentami. Nowe kategorie ryzyka wymagają zmiany podejścia, zmiany w zakresie wiedzy i umiejętności kadry wysokiego i średniego szczebla, ale przede wszystkim potraktowania (zintegrowanego) zarządzania ryzykiem jako elementu strategii przedsiębiorstwa, za którą musi pójść przesunięcie kompetencyjne– zarządzanie ryzykiem z domeny pionów finansowych powinno stać się przedmiotem bezpośredniego zainteresowania zarządów przedsiębiorstw.

Niestety, zarządzanie ryzykiem nie jest wprost ujmowane w ramach różnych ideologii zarządzania, standardów i regulacji prawnych. Oto obszary z uregulowanym stanem prawnym odnośnie zarządzania ryzykiem:

• finansowy – Bazylea II, Nowa Umowa Kapitałowa;
• ubezpieczeniowy – Solvency II;
• medyczny – BRC/IFS,
• spożywczy – HACCP ISO 22000, BRC/IOP. Przykładowe dobrowolne uregulowania:
• COSO II funkcjonuje w obszarze ładu organizacyjnego;
• Sarbanes-Oxley Act 2002 w ramach regulacji dla spółek giełdowych notowanych w USA;
• standard ISO 27001 dla zarządzania bezpieczeństwem informacji;
• AS/NZS 4360 – australijsko-nowozelandzki standard zarządzania ryzykiem;
• BS 7799-3 – zarządzanie ryzykiem bezpieczeństwa informacji;
• corporate governance – kodeks „Dobre praktyki spółek notowanych na GPW”.

Wymienione standardy i dobre praktyki mimo różnych źródeł powstania i celów łączy jedno – badanie i zarządzanie ryzykiem.

Pojawiające się lub stosowane na świecie praktyki w zakresie zarządzania ryzykiem nie narzucają konkretnych (jednych właściwych) sposobów wdrożenia. Natomiast dostarczają wskazówek do zorganizowania niezbędnych mechanizmów, przy zachowaniu właściwej i sprawdzonej koncepcji. Każdy standard nie wymusza konkretnego sposobu, pozostawia elastyczność we wprowadzaniu w życie organizacji procesu zarządzania ryzykiem. Podkreśla, że proces ten zależy od organizacji i zakresu jej działalności i jest procesem ciągłym, osadzonym w istniejących procesach biznesowych.

Standardy zwracają uwagę, że wdrażając system zarządzania ryzykiem w organizacji, należy zadbać o odpowiednie metody zbierania informacji oraz mechanizmy reakcji na zagrożenia.

Kluczem do sukcesu jest zintegrowane podejście do zarządzania ryzykiem oraz:

• opracowanie i wdrożenie skutecznego mechanizmu umożliwiającego na bieżąco kadrze kierowniczej ocenę ryzyka i dostarczające informacje do podejmowania decyzji;
• ukształtowanie świadomości co do wagi zarządzania ryzykiem oraz korzyści z tego płynących;
• integracja zarządzania ryzykiem z istniejącymi w organizacji procesami;
• ocena przyjętej strategii zarządzania organizacją w kontekście przygotowania jej na przyszłe zdarzenia biznesowe;
• dostarczanie dokładnych danych analitycznych (ze wszystkich poziomów organizacji).

W ostatnich latach coraz częściej przeprowadza się badania dotyczące zarządzania ryzykiem. Z publikowanych wyników badań i raportów wynika, że:

• zarządzanie ryzykiem w przedsiębiorstwie staje się integralną częścią procesów biznesowych firm ubezpieczeniowych na całym świecie, co jest częściowo spowodowane zwiększonym zapotrzebowaniem ze strony agencji rządowych i ratingowych²;
• 60% firm ubezpieczeniowych na świecie świadomie bierze pod uwagę zarządzanie ryzykiem w procesie decyzyjnym³;
• zewnętrzne naciski, tj. nowe regulacje prawne czy kodeksy dobrych praktyk zwiększają poprzeczkę dla zarządzania ryzykiem na świecie;

Na podstawie różnych badań i sądów można stwierdzić, że zarządzanie ryzykiem nabiera znaczenia, gdyż:

• stanowisko menedżera ryzyka w ostatnich latach pojawia się coraz częściej w strukturach organizacyjnych firm⁴;
• firmy ubezpieczeniowe nie tylko w większym stopniu badają ryzyko, ale także coraz częściej obarczają kadrę kierowniczą odpowiedzialnością za wyniki finansowe⁵;
• w firmach ubezpieczeniowych raportowanie o ryzyku przez pracowników niższych szczebli do wyższej kadry zarządzającej stało się wszechobecną praktyką – 39% respondentów składa raporty miesięczne, a 35% kwartalne⁶;
• wymagania zewnętrzne w postaci aktów prawnych, takich jak: Solvency II, Turnbull, King II, CI 49 itp., wpływają na powstawanie innowacyjnych metod zarządzania ryzykiem i określają struktury zasobów finansowych, np. większość banków dostrzega znaczne korzyści wynikające z przepisów Nowej Umowy Bazylejskiej, szczególnie dzięki możliwościom lepszej alokacji kapitału oraz ulepszeniu wyceny produktów związanych z ryzykiem⁷;
• ponad 70% ankietowanych banków planuje przyjęcie zaawansowanego podejścia opisanego w Nowej Umowie Bazylejskiej w odniesieniu do ryzyka kredytowego oraz ryzyka operacyjnego⁸;
• około 30% firm z regionu CEE prowadzi formalny rejestr ocenianego ryzyka, rejestry ryzyka są najpopularniejsze na Węgrzech (posiada je około 40%);
• 20% firm w regionie CEE doświadczyło poważnych strat finansowych w ciągu ubiegłych trzech lat i już 75% z nich stworzyło plany zarządzania kryzysowego, aby zminimalizować negatywny wpływ przyszłych wydarzeń⁹.

Z badań wynika również, że zarządzanie ryzykiem nie jest doskonałe i niektóre obszary ERM wymagają poprawy; możemy do nich zaliczyć:

• sposoby pomiaru ryzyka i metody jego obliczania, szczególnie niezadowoleni są menedżerowie w Wielkiej Brytanii (97%) oraz w Japonii (95%)¹⁰;
• umiejętność obliczania ryzyka operacyjnego i jego odzwierciedlenia we wskaźnikach finansowych¹¹.