Tomasz GregorczykWiele różnych środowisk biznesowych rozmaicie rozumie pojęcie zarządzania ryzykiem. Szczególnie wyraźnie pokazują to komentarze ekspertów i osób zarządzających, dotyczące ostatniego kryzysu finansowego. Większość instytucji, które poległy na kryzysie, twierdzi, że miały wdrożone systemy zarządzania ryzykiem. Przeważająca liczba ekspertów holistycznego zarządzania ryzykiem (ze mną włącznie) twierdzi natomiast, że wspomniane instytucje nie miały wdrożonego tego rodzaju systemu. Nie oznacza to, że jedna ze stron kłamie – oznacza jedynie, że inaczej rozumiemy termin „zarządzanie ryzykiem”. Czym więc jest zarządzanie ryzykiem według Pana?
Rafał RudnickiW języku angielskim nazywa się je enterprise risk management (ERM), holistic risk management lub business risk management. Wszystkie te nazwy wskazują na to, że nie chodzi o zarządzanie jedynie grupami ryzyka pewnego typu: finansowego, IT czy bezpieczeństwa fizycznego, ale
o zarządzanie każdym typem ryzyka, jakie może zagrozić nadrzędnym celom firmy. Celem zarządzania ryzykiem jest doprowadzenie do takiego stanu zarządzania firmą, aby mogła ona z wyprzedzeniem zdiagnozować zagrożenia, jakie przed nią stoją, ale też i pojawiające się na horyzoncie szanse. Zagrożenia mają być z wyprzedzeniem eliminowane, a szanse wykorzystywane.Nie są to działania spontaniczne, przeprowadzane na tak zwanego menedżerskiego nosa, ale prowadzone za pomocą całej machiny, która w sposób uporządkowany „omiata radarem” otoczenie firmy i pozwala na odpowiednią reakcję z wyprzedzeniem. Z tą machiną związane są działania kontrolne, procedury i – tu dwie wersje – albo osoby oddelegowane specjalnie do działań w ramach tej dziedziny, albo menedżerowie jedynie część swojego czasu i wysiłku intelektualnego poświęcający na zarządzanie ryzykiem.
Cała trudność polega na tym, aby ta machina harmonijnie współdziałała z tym, co się dzieje w firmie na co dzień, a nie tworzyła dodatkowego gorsetu biurokratycznego, jak to czasem bywa z kontrolingiem czy z działami ISO. To wielkie dodatkowe zagrożenie dla risk management – jeśli stanie się ono tylko narzuconym obowiązkiem lub, co gorsza, skostniałym i szczegółowym systemem określającym, jak należy postępować, skutki jego wprowadzenia mogą być opłakane. Po prostu menedżerowie przestaną myśleć, a zaczną działać według sztywno ustalonych reguł.