Zarządzanie ryzykiem – według międzynarodowej normy ISO 31000:2009, oraz polskiej normy PN-ISO 31000:2018-08 skoordynowane działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka.
Z pojęciem zarządzania ryzykiem związany jest nieodłącznie proces zarządzania ryzykiem – systematyczne stosowanie polityk, procedur i praktyk zarządzania do działań w zakresie komunikacji, konsultacji, ustanawiania kontekstu, oraz identyfikowania, analizowania, ewaluacji, postępowania z ryzykiem, monitorowania (2.28) i przeglądu ryzyka.
Z perspektywy zarządzania ryzyko można definiować w różny sposób w zależności od przyjętego głównego kryterium, którym może być na przykład[1]:
Efekt:
Ryzyko specyficzne – jest ściśle związane z obszarem działania danego podmiotu, a także jest lub może być pod jego kontrolą. Źródłami ryzyka specyficznego są: zarządzanie firmą, dostępność surowców, płynność finansowa.
Ryzyko systemowe (rynkowe) – jest wynikiem działania sił zewnętrznych, a podmiot nie może mieć na nie wpływu. Jest ono związane z siłami przyrody oraz uwarunkowaniami ekonomicznymi, a jego przykładem mogą być warunki pogodowe czy inflacja. Podmiot, który jest w zasięgu tego rodzaju ryzyka nie może go wyeliminować. Zasadniczymi źródłami omawianego ryzyka są: zmiany stopy procentowej, inflacji, przepisów podatkowych, czy sytuacji społeczno-ekonomicznej[2].
Ryzyko statyczne – na to ryzyko nie wpływa postęp technologiczny. Wynika ono z nieprzewidywalności natury. Dobrym przykładem będzie np.: tornado niszczące fabrykę.
Ryzyko dynamiczne – jest ono dyktowane zmianami i stałym rozwojem cywilizacji w której istnieje dany podmiot.
ryzyko finansowe – cechuje się ono możliwością bezpośredniego określenia jego wpływu na wynik finansowy. Zatem jest ono w pełni mierzalne.
ryzyko pozafinansowe – odwrotność ryzyka finansowego. Tutaj nie jesteśmy w stanie określić w jakim stopniu wpłynie ono na wynik finansowy.
Istnieje wiele standardów zarządzania ryzyka. Do najpopularniejszych z nich należą FERMA, COSO II, AS/NZS 4360:2004 oraz ISO 31000. Poza wymienionymi standardami powszechnie wykorzystywane są również standardy krajowe (na przykład w RPA) oraz branżowe[5].
Standard FERMA (ang.Federation of European Risk Management Associations) jest opracowany przez Federację Europejskich Stowarzyszeń Zarządzania Ryzykiem. Wprowadza sposoby identyfikowania ryzyk, przy czym ryzyko rozumiane jest zarówno jako szansa (pozytywny efekt), jak i zagrożenie (negatywny efekt). Standard jest ogólny oraz uniwersalny, co ułatwia jego adaptację. Na standard składają się następujące etapy[6]:
COSO II (The Committee of Sponsoring Organizations of the Tradeway Commission) jest to standard wykorzystywany do zarządzania ryzykiem korporacyjnym. Standard jest przedstawiony za pomocą kostki sześciennej. Opisuje takie elementy jak[7]:
Środowisko zewnętrzne,
Ustalenie celów,
Identyfikacja zdarzeń,
Ocena ryzyka,
Reakcja na ryzyko,
Kontrola,
Informacja i komunikacja,
Monitorowanie.
Powyższe elementy są oceniane przez wymiar następujących kategorii[7]:
strategia,
operacje,
sprawozdawczość,
zgodność (z prawem).
Ostatnią ścianę kostki tworzą szczeble organizacyjne.
W analizie różnych standardów zarządzania ryzykiem Dubiel wyróżnia kilka powtarzających się etapów tworzących proces zarządzania ryzykiem[8]:
Określenie celu zarządzania ryzykiem – celem zarządzania ryzykiem może być minimalizacja prawdopodobieństwa wystąpienia danego zdarzenia lub ograniczenie negatywnych skutków zajścia takiego zdarzenia.
Identyfikacja ryzyk – polega na wykrywaniu istniejących ryzyk, między innymi poprzez rozmowy z pracownikami, ankietyzację oraz wykorzystywanie doświadczeń innych jednostek.
Ocena ryzyk – polega na oszacowaniu potencjalnych skutków zajścia zdarzenia oraz prawdopodobieństwa wystąpienia.
Wybór metody zarządzania ryzykiem – do najpopularniejszych metod należą: przeciwdziałanie ryzyku, przenoszenie ryzyka na inne podmioty, akceptacja ryzyka, wycofanie się z działań oraz monitorowanie ryzyka.
Monitorowanie – polega na ocenie efektywności wybranych metod[8].
Strategia postępowania z ryzykiem zależy od tego czy postrzegamy dane ryzyko jako szansę, czy też jako zagrożenie. W stosunku do zagrożeń najczęściej – według opracowania Spałka i Trzeciaka – stosuje się następujące metody[9]:
Unikanie – eliminacja zagrożeń poprzez zmianę części lub całości projektu.
Przeniesienie – przeniesienie ryzyka na inny podmiot, na przykład poprzez outsourcing lub ubezpieczenie.
Łagodzenie – podjęcie działań mających na celu zmniejszenie negatywnych skutków wystąpienia zagrożenia.
Akceptacja – zaakceptowanie istniejącego ryzyka i wstrzymania reakcji do chwili zaistnienia zagrożenia.
Natomiast mając do czynienia z szansami można skorzystać z poniższych metod:
Podjęcie – podjęcie działań mających na celu doprowadzenie do urzeczywistnienia szansy[10].
Wzmocnienie – podjęcie działań mających na celu zwiększenie prawdopodobieństwa lub skutków wystąpienia szansy.
Udostępnienie – zakłada częściowe lub całkowite przekazanie możliwości wykorzystania potencjalnej szansy na inny podmiot, który lepiej ją wykorzysta.
Akceptacja – gotowość na skorzystanie z pozytywnych skutków szansy, bez aktywnej próby jej wykorzystania[9].
AndrzejA.LiwaczAndrzejA., Captive jako metoda finansowania ekonomicznych skutków ryzyka oraz perspektywy jej rozwoju, Warszawa: Fundacja Warta, 2003. Brak numerów stron w książce
JanuszJ.Zawiła-NiedźwieckiJanuszJ., Zarządzanie ryzykiem operacyjnym w zapewnianiu ciągłości działania organizacji, Kraków: Wydawnictwo edu-Libri, 2013, ISBN978-83-63804-12-1, OCLC843399077 [dostęp 2019-06-21]. Brak numerów stron w książce
RyszardR.WróblewskiRyszardR., Zarządzanie ryzykiem w przedsiębiorstwie, „Zeszyty Naukowe Uniwersytetu Przyrodniczo-Humanistycznego w Siedlcach Seria: Administracja i Zarządzanie” (90), 2011, s. 9–31, ISSN2082-5501 [dostęp 2019-06-21](pol.).