Oswoić ryzyko

Kto po stronie firmowych działów biznesowych jest najważniejszym partnerem CIO i pionu IT w tych działaniach?

Gdy nie ma ERM w firmie, CIO powinien szukać osób odpowiedzialnych za realizację celów biznesowych, kierując się kryterium zakresu obowiązków danej osoby lub danej komórki organizacyjnej. W sytuacji, gdy ERM będzie wdrażany w danym przedsiębiorstwie, osoba odpowiedzialna za wdrożenie tego projektu (przyszły menedżer ryzyka lub ubezpieczeń, lub osoby z takich jednostek, audyt wewnętrzny, finanse, CFO, kontrola wewnętrzna, Sarbanes--Oxley, Compliance, bezpieczeństwo itp.), CIO w początkowej fazie takiego projektu znajdzie się w systemie ERM jako jedna z osób odpowiedzialnych za zdefiniowanie celów i rodzajów ryzyka ze swojego obszaru. Dodatkowo wystarczy wyodrębnienie z istniejących już obszarów pracowników odpowiedzialnych za gromadzenie informacji o ryzyku i przekazywanie do osoby odpowiedzialnej za opracowanie rodzajów ryzyka dla danej komórki organizacyjnej.

Zobacz również:

  • Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem
  • 9 cech wielkich liderów IT

Mamy szereg koncepcji starających się wyjaśnić zagadnienie zarządzania ryzykiem w przedsiębiorstwie i zaproponować właściwe podejście. Czy to należy traktować jako bogactwo, czy raczej pewien czynnik chaosu, utrudniający odniesienia, porównywanie, jednym słowem - nadmiar nie przechodzący w jakość zarządzania ryzykiem?

- Jest kilka możliwych podejść do ERM (COSO II, ISO 31000, AS, NZS 4360 itd.), jednak należy odróżnić je od podejść dotyczących zarządzania ryzykiem w określonym obszarze przedsiębiorstwa (np. zarządzanie ryzykiem bezpieczeństwa informacji - ISO27005 - zarządzanie ciągłością działania - BS 25999) i innych norm, standardów oraz praktyk danego obszaru firmy zależnego również od branży.

Istotne jest to, że zarządzanie firmą czy prowadzenie własnego biznesu zawiera w sobie pewne rodzaje ryzyka istotne i wspólne dla każdej organizacji (powiedzmy, że 60% ryzyka się powtarza w każdej firmie, bez względu na branżę - ryzyko płynności dotyczy każdej firmy, ale zarządza się nim nieco inaczej w zależności od branży - a 40% dotyczy ryzyka specyficznego dla danej firmy i branży).

Czy mamy do czynienia z chaosem pojęciowym? Zdecydowanie tak, dopóki nie zaczniemy posługiwać się określonymi pojęciami i definicjami zrozumiałymi przez obie strony tak samo. Dają one poczucie pewności, że nie nazywamy tych samych rzeczy inaczej lub że rozmawiamy o zupełnie czymś innym, posługując się tym samym wyrazem.


TOP 200