Celem zarządzania ryzykiem korporacyjnym nie jest budowanie awersji do ryzyka. Organizacje rozumiejące i wykorzystujące ryzyko, mogą bezpiecznie przełknąć go więcej, niż pozostałe firmy z branży.
Kategorie: Wszystkie | Koncepcje | Polemika | Rynek
RSS
czwartek, 19 listopada 2009
ISO 31000 w praktyce
Parę mięsięcy temu przedstawiłem swoją własną opinię na gorąco, dotyczącą nowego standardu zarządzania ryzykiem. Podczas ostatniego Forum FERMA w Pradze miałem możliwość znów spotkać Kevina Knighta (ojca chrzestnego ISO 31000) i porozmawiać z nim, a także posłuchać opinii innych guru ERM na temat nowego standardu.

Ci ostatni już w zasadzie przesądzili, że skomplikowany i nieprzyjazny amerykański COSO II oraz nadmiernie uproszczony standard brytyjski promowany przez FERMA chowają się, jeśli chodzi o jakość i nowoczesność koncepcji i modelu ERM, jakie przedstawiają. Z kolei Australijczycy dobrowolnie wycofują z użycia swój doskonały AS/NZS:4360 aby go zastąpić międzynarodowym, lepszym dokumentem ISO. Teraz mówi się nie "czy", ale "jak" zastąpić dotychczasowe modele w firmach tym proponowanym w ISO 31000.

W środowisku widać troskę o to, aby właściwie zrozumiano sens nowego standardu:
  • mimo, że jest normą ISO, jest jedynie przewodnikiem (a nie obowiązkowym zbiorem przepisów czy wymagań)
  • powinien być stosowany dobrowolnie i może być przez firmy modyfikowany
  • nie podlega ceryfikacji !

Druga troska, czy obawa dotyczy możliwości popełnienia błędu jaki towarzyszył wprowadzeniu SOX (Sorbannes-Oxley Act) czy COSO II: mnóstwo pracy, kosztów i papierkowej roboty, a bardzo ograniczone korzyści.

We wrześniowym StrategicRisk praktycy radzą:
  • wykorzystaj możliwości, jakie daje ISO31000 do zaprowadzenia prostego systemu ERM; nie ma obowiązku budowania własnego modelu ERM będącego pełnym odzwierciedleniem wszystkich elementów zawartych w ISO, jak najbardziej dopuszcza (wręcz sugeruje) się jego dalsze uproszczenie
  • nie traktuj ERM jako systemu zarządzania równoległego do istniejących systemów zarządczych; musi on bowiem zostać wpleciony w istniejące systemy, procedury, procesy i ścieżki raportowania
  • wprowadzając model proponowany w tym standardzie, nie przekreślaj istniejących praktyk, mechanizmów, narzędzi, lecz staraj się je wykorzystać, uporządkować i zintegrować ze sobą
  • postaraj się wykorzystać wprowadzany model ERM do podniesienia zdolności firmy do uzyskania wyższego ratingu (chodzi o sygnalizowaną już praktykę Standard & Poors polegającą na ujmowaniu oceny skuteczności ERM w ogólnym ratingu nadawanym firmie)
  • duży nacisk na komunikację z interesariuszami na każdym etapie projektowania i funkcjonowania modelu ERM może dla niektórych firm być tzw. "overkill"; należy do tej zasady stosować się z wyczuciem charakteru danej firmy
  • uważaj na sprzedawców wielkich, skomplikowanych systemów IT ("kombajnów") wciskających Ci kit, że są niezbędne do zaimplementowania ISO31000; nic bardziej mylnego: na początek starczy arkusz kalkulacyjny a na dalszym etapie prosty i niedrogi system zarządzania informacją z dostępem przez Firefoxa (np taki jak ten, o którym pisałem).
Jesteśmy w okresie, w którym sporo polskich firm zaczyna na poważnie przymierzać się do ERM i podejmują one pierwsze wybory, m.in. na jakiej dobrej praktyce oprzeć własny system ERM. ISO najlepiej nadaje się dla początkujących, gdyż nie tylko pokazuje jak powinien wyglądać ukończony, funkcjonujący system ERM, ale pokazuje jaką drogą osiągnąć taki stan i jakie warunki należy spełnić, aby projekt wdrożenia ERM się powiódł.

14:16, rudnicki.com.pl , Polemika
Link Dodaj komentarz »
Creative Commons License
Rudnicki

View Rafał Rudnicki's profile on LinkedIn