Mimo kryzysów ostatnich lat firmy wciąż nie przykładają należytej wagi do zarządzania ryzykiem
Osiem na dziesięć organizacji w ostatnich pięciu latach zetknęło się z niespodziewanym ryzykiem, które mogło utrudnić prowadzenie działalności – wynika z 13. edycji raportu „State of Risk Oversight: An Overview of Enterprise Risk Management Practices” opublikowanego we współpracy z AICPA. 65 proc. menedżerów i dyrektorów finansowych badanych spółek publicznych, dużych firm, przedsiębiorstw z sektora finansowego i organizacji non-profit dostrzegło znaczący wzrost ryzyka w biznesie. Mimo to wiele organizacji wciąż nie przykłada należytej wagi do zarządzania nim. Te, które wdrożyły procedury, kładą duży nacisk głównie na ryzyka technologiczne i prawno-finansowe, ale stosunkowo rzadko są skoncentrowane na ryzykach strategicznych, branżowych lub związanych z reputacją.
– Kiedy w marcu 2020 roku WHO ogłosiło stan pandemii, wielu przedsiębiorców zupełnie spanikowało. Nie mieli pojęcia, co mają w tej sytuacji robić. Jednak niektórzy już wcześniej wsłuchiwali się w napływające informacje i mieli gotowe plany działania. Byli więc dwa, trzy, a może nawet cztery tygodnie przed konkurencją – mówi agencji Newseria Biznes Jennifer H. Elder, CPA, CGMA, właścicielka i prezeska zarządu firmy The Sustainable CFO oraz autorka i instruktorka AICPA (American Institute of CPAs, który wraz z CIMA reprezentowany jest przez Association of International Certified Professional Accountants).
Pandemia COVID-19 i kryzys gospodarczy będący jej następstwem, przerwane łańcuchy dostaw, rosnąca inflacja, wybuch wojny w Ukrainie, kryzys energetyczny i żywnościowy, niepokoje społeczno-polityczne w wielu krajach świata, cyberzagrożenia i pogłębiający się kryzys klimatyczny – to tylko część czynników, które powodują, że organizacje od kilku lat działają w warunkach niepewności i podwyższonego ryzyka. Wiele z nich dostrzega, że proaktywne zarządzanie tym ryzykiem może w nadchodzących latach przesądzić o ich rynkowym sukcesie albo pozwolić im uniknąć katastrofy.
– Każda organizacja, która chce odnieść sukces, musi mieć na uwadze wszystkie kwestie, które mogą stanąć na jej drodze. W dzisiejszym otoczeniu, które określamy akronimem VUCA – czyli pełnym zmienności, niepewności, złożoności i niejednoznaczności – dzieje się tak wiele, że trzeba wciąż myśleć o tym, co może się stać i jak na to zareagować – mówi Jennifer H. Elder.
– Zarządzanie ryzykiem jest odpowiedzialnością każdego biznesu i dyrektorów zarządzających tymże biznesem – dodaje Magdalena Bogdał, dyrektor ds. sprawozdawczości finansowej w Shellu.
Jak pokazuje tegoroczne badanie „State of Risk Oversight: An Overview of Enterprise Risk Management Practices” przeprowadzone w ramach Enterprise Risk Management Initiative (ERM Initiative) na Uniwersytecie Stanowym Karoliny Północnej we współpracy z AICPA na grupie 560 dyrektorów finansowych, już 65 proc. z nich dostrzegło wzrost ryzyka w biznesie na przestrzeni ostatnich pięciu lat. W tym okresie aż 81 proc. firm i organizacji zetknęło się z niespodziewanym zdarzeniem, które mogło zakłócić ich podstawowe procesy i utrudnić prowadzenie działalności. Mimo to wiele z nich wciąż nie przykłada należytej wagi do zarządzania ryzykiem. Z opublikowanego raportu wynika również, że mniej niż połowa organizacji (47 proc.) bierze ten czynnik pod uwagę podczas planowania nowych inicjatyw strategicznych, a tylko 33 proc. ma kompletny system zarządzania ryzykiem.
– Dobry proces zarządzania ryzykiem to taki, który obejmuje całą organizację. Nie skupia się tylko na jednej osobie, bo nikt nie ma oczu dookoła głowy. Wszyscy, na każdym szczeblu, muszą być wyczuleni na to, co się dzieje, i zgłaszać wszystkie potencjalne problemy. To po pierwsze. Po drugie, trzeba się przysłuchiwać i przyglądać temu, co może wydarzyć się w szerszej perspektywie, zamiast skupiać się wyłącznie na swoich zadaniach. Po trzecie, trzeba być zwinnym (ang. agile), żeby móc w szybki sposób reagować na zmiany – wymienia Jennifer H. Elder.
System zarządzania ryzykiem w przedsiębiorstwie (ERM) obejmuje monitorowanie, identyfikację i analizę potencjalnych zagrożeń, zewnętrznych i wewnętrznych, które mogą hamować jego rozwój, oraz opracowywanie planów reagowania w celu złagodzenia szkód i strat finansowych. Jak pokazują badania ERM Initiative i AICPA, stosunkowo najlepiej radzą sobie z tym zadaniem duże firmy i spółki publiczne.
– W Shellu nie traktujemy zarządzania ryzykiem jako kolejnego zadania do odhaczenia. To jest dobrze przemyślany proces, który analizuje zależności pomiędzy otoczeniem biznesowym, ryzykami i celami firmy. I na podstawie tego są wdrażane odpowiednie działania, które mogą zminimalizować wpływ tych ryzyk – mówi Magdalena Bogdał. – W praktyce wygląda to tak, że odpowiedzialnością każdego zespołu zarządzającego jest zrozumieć środowisko biznesowe, w którym funkcjonuje dana część biznesu, zdefiniować dla niej cele i przeanalizować, jakie ryzyka mogą nas spowolnić albo zastopować w realizacji tych celów. Odbywa się to najczęściej w czasie spotkań zespołowych, gdzie perspektywy wszystkich uczestników są wysłuchane. Dalej wszystkie te ryzyka są oceniane m.in. pod względem ich wpływu i prawdopodobieństwa wystąpienia, a następnie opracowywane są strategie zarządzania lub odpowiednie akcje do wdrożenia, żeby zminimalizować następstwa, gdyby te ryzyka się zmaterializowały.
Choć wiele organizacji wciąż traktuje zarządzanie ryzykiem po macoszemu, ten aspekt działalności powinien mieć dla nich fundamentalne znaczenie. W sytuacji kryzysowej każda sekunda spóźnionej reakcji może bowiem skutkować szkodami wizerunkowymi albo dotkliwymi stratami finansowymi. Jak wynika z raportu ERM Initiative i AICPA, ponad 2/3 badanych spółek publicznych, dużych firm, przedsiębiorstw z sektora finansowego i organizacji non-profit wciąż nie ma rozwiniętego systemu ERM. Natomiast te, które go wdrożyły, kładą duży nacisk głównie na ryzyka technologiczne i związane z kwestiami prawno-finansowymi. Procesy ERM rzadziej są zaś skoncentrowane na ryzykach strategicznych, branżowych lub związanych z reputacją.
– W branży paliwowo-energetycznej charakterystyczne są ryzyka, z którymi stykamy się na platformach wydobywczych. Przykładowo w Zatoce Meksykańskiej u wybrzeży Stanów Zjednoczonych występuje dodatkowe niebezpieczeństwo związane z huraganami, które dość często występują w tym rejonie. Dlatego wdrażane tam strategie zarządzania ryzykiem zawierają wiele elementów i są wdrażane na różnych etapach zagrożenia – od prewencyjnych, regularnych ćwiczeń z ewakuacji czy monitorowania prognoz pogody, aż do takich, które są wdrażane w momencie realnego ryzyka – gdzie mamy procedury pokazujące krok po kroku, co robić w razie zbliżającego się huraganu, kiedy i których pracowników ewakuować z platformy. Poprzez wdrożenie tych procedur i wielokrotne ich testowanie w przypadku zagrożenia nie traci się czasu na zastanawianie się, co robić, tylko aktywuje się umówiony scenariusz, który zapewnia bezpieczeństwo pracowników, sprzętu i środowiska naturalnego – mówi przedstawicielka Shella.