20. Сер 2020

Audytowanie zarządzania ryzykiem – 3 kroki do tego, by było skuteczne

Może to prawda, że bez ryzyka nie ma zabawy, ale… może ono również siać duże spustoszenie. Zwłaszcza, gdy zagrożenie pojawia się niepostrzeżenie – wtedy często jest już za późno, by myśleć jak mu przeciwdziałać. Pozostają więc dwa wyjścia: od razu się poddać albo… stanąć z nim „twarzą w twarz” i stoczyć walkę o przetrwanie. W dobie pandemii niewątpliwie przekonało się o tym wiele firm. Jednak często nauczka na przyszłość i nauka na błędach motywuje do tego, by wyciągnąć wnioski i poprawić się na przyszłość. Ryzyko to nie temat tabu, który można lekceważyć. Właśnie m.in. poprzez częste mówienie o nim mamy szansę wygrać z nieznanym zagrożeniem. By zarządzanie ryzykiem było skuteczne warto poddawać je audytowaniu - są 3 proste kroki, które w tym pomogą.

Audytowanie zarządzania ryzykiem

Mimo tego, iż wyróżniamy normę ISO 31000 zawierającą wytyczne zarządzania ryzykiem – nie ma niezależnych auditów realizowanych zgodnie z tym standardem. Nie ma czegoś takiego jak „Audyt wewnętrzny zarządzania ryzykiem”, po którym firma otrzymałaby certyfikat potwierdzający, że np. procesy działające w firmie działają zgodnie z wymaganiami ISO 31000. Może właśnie dlatego w dalszym ciągu tematy dotyczące ryzyka są tabu? W końcu po co wprowadzać działania, które są „niepotrzebne” i zbędne – przecież nie ma tematu to nie ma problemu….

 

Otóż jest to bardzo mylne myślenie. Również wszystkie firmy, które uważają, że zarządzanie ryzykiem jest zbędne – mylą się. I wcale nie jest tak, że zarządzanie ryzykiem nie jest audytowane. Otóż jest – tyle, że nie bezpośrednio. Więc jak?

 

Odpowiedzią na pytanie są standardy ISO 9001, ISO 14001, ISO 45001 itd. To właśnie w nich znajduje się punkt 6.1, który dotyczy „działań odnoszących się do ryzyk i szans”. Tak więc, podczas przeprowadzania audytu wewnętrznego ISO, audytowane są również (w formie niejawnej) działania/ procesy związane z ryzykiem.

 

By zarządzanie ryzykiem w firmie było skuteczne, warto zadbać o to żeby obszar ten uwzględnić w audytach wewnętrznych. Poniżej przedstawiamy 3 kroki, w których opisujemy na co audytor wewnętrzny powinien zwrócić szczególną uwagę audytując zarządzanie ryzykiem.

Krok 1: Umacnianie kultury zarządzania ryzykiem wewnątrz i na zewnątrz firmy

Na to czy zarządzanie ryzykiem jest skuteczne, wpływają m.in.:

  • Umiejętność podejmowania decyzji w sytuacjach niepewnych przez osoby decyzyjne, kierownictwo czy też menadżerów biznesowych,
  • Psychologia człowieka.

Z badań wynika, że większość osób (świadomie lub podświadomie) woli nie myśleć o ryzyku i unikać tematów z nim związanych. Dlatego też silna kultura zarządzania ryzykiem jest bardzo ważna, aby móc skutecznie zarządzać ryzykiem.

 

Ważne jest, aby audytor wewnętrzny zwrócił uwagę na to czy dana firma szerzy tematy związane z ryzykiem (np. poprzez dokumentowanie i ujawnianie informacji) zarówno wewnątrz firmy jak i na zewnątrz.

W kwestii działań wewnętrznych audytor może zbada np. czy firma:

  • dokumentuje analizy ryzyka w wewnętrznych procesach decyzyjnych
  • realizuje szkolenia stacjonarne lub on-line, poprzez które podnosi świadomość oraz kompetencje pracowników (niezależnie od stanowiska i szczebla) w zakresie zarządzania ryzykiem.

 

Audytor wewnętrzny może również zweryfikować jakie są podejmowane działania uświadamiające o ryzyku na zewnątrz. Wówczas warto, by zwrócił uwagę na to czy firma np.:

  • ujawniania istotne informacje o ryzyku tym interesariuszom, którzy powinni być świadomi ewentualnych zagrożeń
  • w odpowiednich przypadkach, udostępnia raporty zewnętrzne (np. w formie broszur, lub na stronie WWW danej firmy).

 

Najlepszym przykładem firm ujawniających stosowne informacje na zewnątrz są banki, które udostępniają wiadomości m.in. dotyczące ponoszonych ryzyk w zakresie płynności finansowej.

Warto również pamiętać o tym, że niektóre informacje o ryzyku mogą przy okazji zawierać dane wrażliwe lub tajemnicę handlową. Dlatego też (zamiast skupiania się na samym ryzyku) wystarczy, że firma przedstawia np. ogólny zakres zarządzania ryzykiem, wiadomości odnoście zaangażowania kierownictwa w zarządzanie ryzykiem oraz dotyczące kultury organizacji.

 

 

Більше інформації про компетенцію аудитора.

Ви хочете знати більше. Перегляньте нашу статтю: https://www.qualityaustria.com.pl/auditor-iso-jak-zostac-auditorem-wewnetrznym/

Krok 2: Uwzględnianie ryzyka w procesie decyzyjnym

Każda firma powinna brać pod uwagę wszystkie ryzyka i zagrożenia podczas każdego planowania działań, procesów oraz strategii. Może wydaje się to zbędne i kłopotliwe, jednak należy pamiętać, że niebezpieczeństwa czyhają na każdym kroku i często pojawiają się z zaskoczenia. A w razie kryzysu firma będzie miała już gotową strategię działania, podczas gdy konkurencja dopiero zacznie zastanawiać się jak przetrwać.

 

W związku z tym warto, by audytor wewnętrzny zbadał (np. poprzez rozmowę z pracownikami) czy dana firma systematycznie uwzględnia zarządzanie ryzykiem w decyzjach związanych m.in. z:

  • planowaniem,
  • podstawowymi operacjami w procesach biznesowych oraz w ważnych funkcjach wspierających
  • budżetowaniem,
  • inwestycjami.

 

Dodajmy, że firmy stosujące się do powyższych zaleceń mają szansę osiągnąć długoterminową przewagę w stosunku do firm, które nie łączą zarządzania ryzykiem z podejmowanymi decyzjami.

Przykładem podejmowania takich działań może być duża linia lotnicza analizująca kluczowe decyzje na podstawie kilku alternatyw (przy czym dla każdej z nich została dokonana ocena ryzyka).

 

 

Krok 3: Ciągłe doskonalenie zarządzania ryzykiem

Samo wdrożenie działań/procesów itd. związanych z zarządzaniem ryzykiem to nie wszystko. Ważne jest, by cały system utrzymać, monitorować i sprawdzać np. przy okazji realizowanych audytów ISO. Dzięki temu, firma będzie na bieżąco wiedziała, czy zarządzanie ryzykiem jest skuteczne i jakie procesy należy wprowadzić, by skuteczność była jeszcze większa.

 

Podczas audytu wewnętrznego, należy sprawdzić czy podejmowane są działania mające na celu doskonalenie zarządzania ryzykiem oraz zespół zajmujący się tym obszarem. W związku z tym audytor wewnętrzny powinien zwrócić uwagę (m.in. poprzez wywiad wśród pracowników, przeglądając odpowiednich dokumentów itp.) czy w danej firmie dokonuje się np.:

  • regularnej oceny jakości i terminowej analizy ryzyka,
  • okresowego weryfikowania i uaktualniania kompetencji zespołu powołanego do spraw zarządzania ryzykiem
  • corocznej oceny kultury zarządzania ryzykiem

 

Podejmowanie, planowanie i wdrażanie działań związanych z ryzykiem jest bardzo ważne. Dzięki temu dana firma będzie przygotowana w razie wystąpienia kryzysu. Istotne jest też ciągłe uświadamianiu personelu (na każdym szczeblu) o istniejących zagrożeniach np. poprzez organizowanie szkoleń. Z kolei audyty ISO (na zgodność np. z normami: ISO 9001, ISO 14001 czy też ISO 45001) pozwalają: zarówno potwierdzić czy zarządzanie ryzykiem jest skuteczne, w jaki sposób można je doskonalić i jak wykryć ewentualne niezgodności, które trzeba wyeliminować.

 

Czas realizacji audytu wewnętrznego w firmie jest bardzo ograniczony, więc należy skoncentrować się tylko na najważniejszych aspektach dążących do zrealizowania celu audytu. Dlatego, każdy audytor wewnętrzny audytując zarządzanie ryzykiem powinien zbadać (poprzez rozmowę z pracownikami, obserwację lub pozyskanie odpowiednich dokumentów) , czy firma:

  • podejmuje działania związane z umacnianiem kultury zarządzania ryzykiem
  • uwzględnia ryzyka w procesach decyzyjnych
  • stawia na ciągłe doskonalenie zarządzania ryzykiem.

Wówczas będzie miał pewność, że skutecznie zweryfikował elementy, mówiące o tym czy firma dobrze zarządza ryzykiem i podejmuje działania w tym zakresie.

Автор тексту: Барбара Корпала

Nie znaleziono siatki dla: wso-news-slider.

+43 732 34 23 22