Skip to main content

Zarządzanie ryzykiem w przedsiębiorstwie to termin opisujący całościowe podejście do zarządzania ryzykiem i szansami, które firma musi inteligentnie zarządzać, aby stworzyć maksymalną wartość dla swoich akcjonariuszy. Podstawą tego podejścia jest dostosowanie zarządzania ryzykiem i możliwości organizacji do jej celów. Jednym z kluczy do tego dostosowania jest stwierdzenie „Ryzyko apetytu”, które określa instrukcje zarządu dotyczące kontroli praktyk zarządzania ryzykiem. Oświadczenie powinno ogólnie opisywać, jakie rodzaje ryzyka organizacja może tolerować, a które nie. To oświadczenie, a także cele i specyfikacje organizacji kierują zarządzaniem w wyborze projektów realizowanych przez organizację. To oświadczenie pomaga również kierownictwu w określaniu poziomów tolerancji ryzyka i określaniu, które ryzyko jest dopuszczalne, a które należy ograniczyć.

W tym artykule podjęto próbę przeglądu zarządzania ryzykiem korporacyjnym (ERM) i powiązania go z najlepszymi praktykami zarządzania projektami w PMBOK® (wydanie 4). Źródło większości moich informacji o ERM pochodzi z badania opublikowanego przez Komitet Organizacji Sponsoringowych Komisji Treadway (COSO) i opublikowanego w 2004 r. Komisja Treadway była sponsorowana przez American Institute of Certified Public Accountants (AICPA), a COSO składało się z przedstawicieli 5 różnych grup kontrolnych, a także z North Carolina State University, EI Dupont, Motorola, American Express, Protective Life Corporation, Community Trust Bancorp i Brigham Young University. Badanie zostało napisane przez PriceWaterhouseCoopers. Powodem umieszczenia Rady Nadzorczej i autorów jest wykazanie wpływu branży ubezpieczeniowej i finansowej na badanie.

Podejście zaproponowane w badaniu, które jest prawdopodobnie najbardziej wiarygodnym źródłem informacji o ERM, jest bardzo podobne do podejścia do zarządzania jakością w organizacji, ponieważ podkreśla odpowiedzialność kierownictwa za wspieranie wysiłków ERM i zapewnianie wytycznych. Różnica polega na tym, że metody jakości, takie jak CMM lub CMMI, nakładają na kierownictwo odpowiedzialność za formułowanie i wdrażanie wytycznych dotyczących jakości, podczas gdy ERM bierze odpowiedzialność na pierwszym miejscu: zarząd.

Przyjrzyjmy się zaleceniom badania i odniesmy je do procesów zalecanych w PMBOK. Aby odświeżyć wspomnienia, te procesy to:

  • Zaplanuj zarządzanie ryzykiem
  • Zidentyfikuj ryzyko
  • Wykonaj jakościową analizę ryzyka
  • Wykonaj ilościową analizę ryzyka
  • Zaplanuj reakcję na ryzyko
  • Monitoruj i kontroluj ryzyko

ERM zaczyna się od podzielenia celów na cztery grupy: strategia, operacje, raportowanie i zgodność. Nie musimy radzić sobie z ryzykiem operacyjnym, aby zarządzać projektami. Nasze projekty mogą wspierać wdrażanie raportów, a nasze projekty mogą być ograniczone koniecznością przestrzegania wytycznych, standardów lub wytycznych organizacyjnych lub regulacyjnych. Projekty w branży budowlanej są ograniczone koniecznością przestrzegania odpowiednich przepisów bezpieczeństwa obowiązujących w ich lokalizacji. Projekty w branży finansowej, naftowej i gazowej, obronnej i farmaceutycznej muszą być również zgodne z rządowymi przepisami i standardami. Nawet projekty rozwoju oprogramowania mogą wymagać spełnienia standardów określonych przez organizację, takich jak standardy jakości. Projekty są ważnym sposobem osiągania celów strategicznych, więc cele w tej grupie zwykle dotyczą naszych projektów.

Badanie zaleca 7 elementów:

  • Środowisko wewnętrzne Kluczowym elementem środowiska wewnętrznego jest deklaracja Rady dotycząca „apetytu na ryzyko”. Środowisko obejmuje również postawy organizacji, ich wartości etyczne oraz środowisko, w którym działają.
    Wyrównanie PMBOK® Opis w badaniu jest bardzo zbliżony do opisu korporacyjnych czynników środowiskowych. Korporacyjne czynniki środowiskowe stanowią wkład w proces zarządzania ryzykiem w planie. W opisie czynników środowiskowych firmy i jej stosunku do ryzyka PMBOK odnosi się również do apetytu na ryzyko organizacji.

  • Ustalanie celu Kierownictwo jest odpowiedzialne za wyznaczanie celów, które wspierają misję, cele i zadania organizacji. Cel na tym poziomie musi odpowiadać apetytowi organizacji na ryzyko. Cel tutaj może odnosić się do celu projektu, jak również do jednej z pozostałych 4 grup.
    Wyrównanie PMBOK® Cele i zadania powinny obejmować te związane z zarządzaniem ryzykiem. Plany zarządzania kosztami i harmonogramem projektu są wprowadzane do procesu zarządzania ryzykiem planu. Dokumenty te powinny zawierać opisy celów w poszczególnych obszarach. Cele te mogą określać, w jaki sposób ryzyka są kategoryzowane (identyfikować ryzyko), ustalać priorytety (przeprowadzać jakościową analizę ryzyka) i reagować na nie (plan reakcji na ryzyko).

  • Identyfikacja zdarzenia Zidentyfikowano zdarzenia, które stanowią zagrożenie dla celów i zadań organizacji oraz zdarzenia, które umożliwiają organizacji osiągnięcie jej celów i działań (lub niezidentyfikowanych celów i zadań). Możliwości są przypisywane do strategii firmy lub procesów ustalania celów.
    Wyrównanie PMBOK® Ten komponent odpowiada dokładnie procesowi „Identyfikacja ryzyka” z PMBOK. Jedyną istotną różnicą jest zalecenie, aby szanse przypisać strategii organizacji w zakresie ustalania obiektywnych procesów. PMBOK nie zapewnia tutaj wskazówek, ale ten element można wesprzeć, po prostu odwołując się do sponsora projektu, o każdej okazji, która nie została zidentyfikowana z istniejącym celem projektu.

  • Ocena ryzyka Ryzyko ocenia się za pomocą systemu oceny prawdopodobieństwa i wpływu. Ryzyko ocenia się na podstawie „nieodłącznych i pozostających”. Oznacza to po prostu, że po zdefiniowaniu strategii redukcji ryzyka jej skuteczność mierzy się poprzez określenie wartości wpływu prawdopodobieństwa przy użyciu istniejącej strategii redukcji ryzyka. Ta ocena nazywa się ryzykiem rezydualnym.
    Wyrównanie PMBOK® Ten komponent jest ściśle skoordynowany z procesem jakościowej analizy ryzyka. Proces ten zapewnia ocenę prawdopodobieństwa i wpływu zidentyfikowanych ryzyk. Proces monitorowania i kontroli ryzyka obsługuje również ten komponent. Jest to proces mierzący skuteczność strategii łagodzących. Jest to proces, który określa pozostałe ryzyko.

  • Działania w zakresie nadzoru Ustanowiono zasady i procedury w celu zapewnienia skutecznego reagowania na ryzyko.
    Wyrównanie PMBOK® Ten komponent jest obsługiwany przez proces zarządzania ryzykiem w planie. Wynikiem tego procesu jest plan zarządzania ryzykiem, który opisuje procedury zarządzania ryzykiem, których będzie przestrzegać projekt. Należy pamiętać, że działania kontrolne są szersze niż planowane zarządzanie ryzykiem. Plan obejmuje tylko procedury związane z projektem. Proces monitorowania i kontroli ryzyka obsługuje również ten komponent. Proces ten zapewnia, że ​​procedury określone w planie są przeprowadzane i są skuteczne.

  • Informacja i komunikacja Ten komponent opisuje, w jaki sposób informacje o ryzyku i zarządzaniu ryzykiem są identyfikowane, rejestrowane i przekazywane w całej firmie.
    Wyrównanie PMBOK® Ten komponent jest faktycznie obsługiwany przez procesy w obszarze wiedzy na temat zarządzania komunikacją. Procesy w tym obszarze zarządzają komunikacją całego projektu. Plan zarządzania ryzykiem określa informacje, sposób ich rejestrowania i sposób zarządzania. Plan komunikacji opisuje, komu, kiedy i jak informacje mają być przekazywane.

  • Nadzór Wskazuje, że ERM jest monitorowany i zmieniany w razie potrzeby. Monitorowanie i zmiany są przeprowadzane na dwa sposoby: bieżące działania zarządcze i audyty.
    Wyrównanie PMBOK® Monitorowanie i kontrola ryzyka obsługuje ten komponent. Proces ten wykorzystuje ocenę ryzyka, analizę wariancji i trendów, analizę rezerw i przeglądy statusu w celu monitorowania działań związanych z zarządzaniem ryzykiem i zapewnienia, że ​​działania spełniają cele i założenia projektu. W tym procesie audyty są również opisywane jako technika, którą można wykorzystać do ustalenia, czy planowane działania są przeprowadzane i czy są skuteczne. Jednym z rezultatów tego procesu są aktualizacje planu zarządzania ryzykiem na wypadek, gdyby działania kontroli ryzyka nie były skuteczne. Zaleca się również środki zapobiegawcze i naprawcze w celu rozwiązania przypadków, w których działania nie są wykonywane lub są wykonywane nieprawidłowo.

ERM zapewnia efektywność poprzez określenie, czy wszystkie 7 elementów ERM jest przeznaczone we wszystkich 4 kategoriach celów organizacyjnych. Zarządzanie projektem nie obejmuje wszystkich obszarów każdego elementu w każdej kategorii, ale cele organizacyjne i wytyczne wspierane przez projekt, a także wszystkie cele raportowania i zgodności dotyczące projektu.

Kontrola wewnętrzna dla ERM jest regulowana przez wytyczne opisane w dokumencie Kontrola wewnętrzna – zintegrowane ramy napisane przez COSO. Nie będziemy szczegółowo opisywać tych wytycznych, ale zajmiemy się nimi w skrócie. Badanie ERM jest zgodne z wytycznymi i odsyła czytelnika do tego dokumentu w celu uzyskania szczegółowych informacji na temat zgodności z przepisami. Dane dotyczące zgodności wpłynęłyby na organizację wdrażającą ERM, ale musi to zrobić zarząd i wpłynęłyby tylko na kierownika projektu, jeśli byłyby odpowiedzialne za projekt, który wdraża ERM. Wytyczne zapewniają kontrolę ryzyka wraz z innymi kontrolami wewnętrznymi w organizacji (należy pamiętać, że wytyczne te dotyczą ubezpieczeń i finansów). Wytyczne przypisują obowiązki trzem rolom organizacyjnym: dyrektorowi finansowemu, dyrektorowi ds. Informacji i dyrektorowi ds. Ryzyka. Zastępca dyrektora prawnego jest identyfikowany zamiast dyrektora ds. Ryzyka. Dyrektor finansowy odpowiada za nadzór nad wewnętrzną kontrolą sprawozdawczości finansowej, dyrektor ds. Informatycznych odpowiada za nadzór nad wewnętrzną kontrolą systemów informatycznych, a dyrektor odpowiedzialny za nadzór nad wewnętrzną kontrolą nad przestrzeganiem prawa, standardów i przepisów. Wytyczne powtarzają, że ton zarządzania ryzykiem jest ustalany z góry organizacji, o czym świadczą pracownicy nadzoru firmy.

Wytyczne kontroli wewnętrznej – zintegrowane ramy uznają również, że nadzór i kontrola są podatne na błędy ludzkie i że nie wszystkie procedury są jednakowo ważne. Rozwiązują ten problem, identyfikując najbardziej krytyczne procedury za pomocą „analizy kluczowej kontroli”. Analiza kluczowej kontroli służy do ustalenia, czy procedury i procesy kontroli są skuteczne. Wytyczne mają również na celu dostarczenie instrukcji identyfikujących działania zapobiegawcze lub naprawcze w celu poprawy kontroli wewnętrznej. Dokonują tego poprzez ocenę informacji mierzących skuteczność. Korekty należy wprowadzać tylko wtedy, gdy informacje są „przekonujące”. Wytyczne przewidują wewnętrzne audyty procedur kontroli wewnętrznej, ale uznają, że nie każda organizacja może być wystarczająco duża, aby zagwarantować tę rolę, oraz że kontrole wewnętrzne mają miejsce na audyty zewnętrzne.

Większość raportów, za które odpowiedzialny będzie kierownik projektu, określana jest w wytycznych jako „wewnętrzna”, co oznacza, że ​​raporty są odczytywane wyłącznie przez kierownictwo. W niektórych przypadkach raporty mogą być czytane przez organizacje zewnętrzne. Raporty kierownika projektu dotyczące zarządzania ryzykiem związane z jego projektem mogą stanowić część informacji zgłaszanych zewnętrznie, ale kierownik projektu nie powinien ponosić odpowiedzialności za sprawozdawczość zewnętrzną.

Wytyczne wymagają, aby wdrożenie struktury było dostosowane do wielkości i złożoności organizacji, której służy. Aby uzyskać skalowalność, organizacja musi określić, kto jest odpowiedzialny za dane działanie. Na przykład organizacja może nie mieć dyrektora ds. Ryzyka. W takim przypadku należy zdefiniować inną rolę odpowiedzialności za zgodność. Odpowiedzialność ta jest przekazywana kierownikowi projektu, jeśli cele zgodności są częścią celów projektu.

ERM jest przeznaczony dla branży finansowej i ubezpieczeniowej, a niektóre aspekty są specyficzne dla tych branż. Niektóre, a nawet większość komponentów, będą bardzo dobrze służyć każdej branży. Pamiętaj, że wkład uniwersytetów, elektroniki (Motorola) i chemikaliów (E.I. Dupont) przyczynił się do badania. Najlepsze praktyki zarządzania projektami opisane w PMBOK® bardzo dobrze wspierają ERM z niewielkimi zmianami. Sztuką jest identyfikacja działań zarządzania ryzykiem projektu, które są spójne z ERM i wspierają je. Gdy to zrobisz, wdrożenie ERM z twoim projektem będzie łatwe.

[ff id=”2″]