A hagyományos megfelelési logikára épülő, illetve kontroll-centrikus kockázatkezelési megközelítés alkalmassága mind a globális pénzügyi-gazdasági válság kialakulása, mind pedig a konkrét vállalatirányítási botrányok, üzemi katasztrófák, vagy akár csak a „túlélésért való küzdelem" kapcsán joggal megkérdőjelezhető. A korábban tapasztaltakhoz képest lényegesen nagyobb mértékű külső és belső bizonytalansághoz igazodó, a kontrollok helyett a célokra koncentráló, és így a sikeres működést támogató kockázatkezelés alapjául szolgáló elvek elsajátítására és alkalmazására minden vezetőnek szüksége van.
A következőkben az ISO 31000:2009 Risk Management szabvány által meghivatkozott alapelveket mutatjuk be, melyek értelmezése és alkalmazása hozzásegíti a vezetést a kockázatkezelés átfogó szervezeti kereteinek kialakításához, illetve a kontroll- vagy megfelelési szempontok szerint korábban megvalósított gyakorlatok továbbfejlesztéséhez.
a) A kockázatkezelés értéket teremt és értéket őriz.
A kockázatkezelésnek hozzá kell járulnia a célok kimutatható teljesüléséhez és a teljesítmény javulásához. Ugyanakkor nem csak a közvetlen érdekeltek egy szűkebb csoportja (pl. tulajdonosok, befektetők, vezetők, stb.) igényeit és a hatósági (pl. egészségügyi, üzembiztonsági, jogi, pénzügyi, illetve egyéb) szabályoknak való megfelelést kell szem előtt tartani. A kockázatkezelés során valamennyi érdekelt fél szempontjait figyelembe kell venni. A külső és belső környezet széleskörű elvárásait tükröző célok vonatkozásában, melyek magukba foglalják például a közérdeket, a környezet védelmét, a termékek és szolgáltatások minőségét, a projektek és erőforrások menedzselését, a működés hatékonyságát, a felelős irányítást és a jó hírnevet érintő kérdéseket is, gondoskodni kell a bizonytalanság hatásainak érdekeltek általi megismerhetőségéről és számukra elfogadható szinten tartásáról.
A valamennyi érdekelt fél szempontjait figyelembe véve kitűzött célok érintettek részéről is áttekinthető teljesülése és a teljesítmény javulása az adott szervezet sikeres működését igazolják. A sikeresség e tekintetben jóval tágabb értelmű, mint az adott szervezet vagyoni helyzetének vagy nyereségtermelő képességének kedvező alakulása, illetve a megfelelési követelmények teljesítése.
b) A kockázatkezelés az összes szervezeti folyamat integrált alkotórésze.
A kockázatkezelés nem különíthető el a szervezet lényeges folyamataitól és tevékenységeitől. A kockázatkezelés a vezetés felelősségi körébe tartozik, és minden szervezeti folyamat integrált része, ideértve a stratégiai tervezést, valamint minden projektirányítással és változáskezeléssel összefüggő feladatot is.
Habár az egyes területek irányítása speciális szakmai ismereteket igényelhet, mindez nem indokolja a szakmai alapon elkülönített kockázati „silók" létrehozását a szervezet egészére kitűzött célokat érintő bizonytalanság hatásainak kezelésében. A kockázatkezelés az egyes szervezeti és működési szintek többé vagy kevésbé szabályozott, illetve kialakított folyamatainak végrehajtását irányító vezetői tevékenységek által valósul meg. Ugyanakkor az érintett, egymáshoz kapcsolódó folyamatok specifikus céljainak teljesülését alátámasztó eredmények eléréséhez olyan, az adott szakterületre jellemző és elvárt tudás, illetve képességek rendelkezésre állása és fejlesztése szükséges, melyek mind az alkalmazott terminológia szakmai kommunikációban való alkalmazásához, mind pedig a kezelendő kockázatok összefüggéseinek szükséges szintű megértéséhez nélkülözhetetlenek.
A kockázatkezelési funkciók vagy szerepkörök szervezeti elkülönítése csak akkor indokolt, ha a kockázatkezelés megvalósulását támogató tevékenységek (pl. új módszerek bevezetése, tanácsadás, képzés, mentoring, stb.) optimális ellátására irányul, és nem a konkrét kockázatkezelési tevékenységek átadását, illetve a vonatkozó vezetői felelősségek áthárítását jelenti. Igaz ez a legfelsőbb irányító testületek kockázatkezeléssel kapcsolatos feladataira és felelősségeire is.
c) A kockázatkezelés a döntéshozatal része.
A kockázatkezelés segíti a döntéshozókat abban, hogy megalapozottan választhassanak a felmerülő lehetőségek közül, fontossági sorrendet állíthassanak fel a szükséges beavatkozások vonatkozásában, illetve mérlegelhessék a különböző alternatív megoldásokat.
A kockázatkezelés a rendelkezésre álló információk szisztematikus feldolgozásával járul hozzá a vezetői döntések meghozatalához. A kockázatkezelési módszerek kiválasztása és alkalmazása, valamint a kockázatkezelési lépések dokumentálási módja függhet a döntési folyamat összetettségétől illetve az adott szervezeti vagy működési szinten alkalmazandó szabályoktól.
d) A kockázatkezelés kifejezetten a bizonytalanságot kezeli.
A kockázatkezelés figyelembe veszi a célokra ható bizonytalanság jellegét és jellemzőit, valamint azok megközelítési lehetőségeit.
A bizonytalansági tényezők akár egyszerre több forrásból is származhatnak és eltérő módon jellemezhetők. A bekövetkezési valószínűség vagy előfordulási gyakoriság hagyományosan alkalmazott kvalitatív vagy kvantitatív ábrázolása (pl. kockázati térképen) nem feltétlenül elégséges a bizonytalanság jellemzésére, hiszen lehetnek olyan nem vagy nehezen számszerűsíthető és mérhető összetevők, mint például az egyedi emberi viselkedés, a stressz-tűrő képesség, a folyamatok és tevékenységek egymásra hatása, stb., melyek a körülmények függvényében jelentős mértékben eltéríthetik egy bizonytalansági tényező tényleges előfordulását annak elvárt gyakoriságától. Amúgy a bizonytalanság is elsősorban a nem elvárt vagy tervezhető módon bekövetkező körülmények kiszámíthatatlanságából származik, vagyis ebben az értelemben a leggyakrabban előforduló, tehát leginkább ismert és így akár megfelelő kontroll alá is helyezhető körülmények a kockázatkezelés szempontjából kevésbé jelentősek, mint azok, amelyek bekövetkezési valószínűségét nem tudjuk mérni vagy jellemezni.
A bizonytalanság kezelése tehát jelentősen eltérhet a kontrollok kialakítása során alkalmazott módszerektől, mivel a kontrollok jellemzően az eredendő (vélt vagy valós) kockázati szintekhez viszonyítva jól eltervezhető (vagy legalábbis jól dokumentálható) módon kívánják csökkenteni a bekövetkezés valószínűségét és a negatív hatást, ami a gyakran előforduló vagy jól ismert lefolyású események kapcsán valóban indokolt megközelítés. A kockázatkezelés során viszont nem az eredendő kockázatokból kell kiindulni, hanem az aktuális állapot kapcsán a már kialakított és működő kontrollok, valamint az egyéb körülmények és intézkedések hatásainak együttes figyelembe vételével fennmaradó - így lényegében a már (leg)kevésbé számszerűsíthető - bizonytalanság jellegét és jellemzőit kell mérlegelni.
A kontroll-központú megközelítéssel ellentétben, a célok teljesülése vonatkozásában pozitív hatások felerősítésére a kontrollok - bizonytalanságot csökkentő - alkalmazási körén kívüli intézkedések is szükségesek lehetnek, melyek a bizonytalanság adott szintjének elfogadását vagy akár növelését is jelenthetik. Például a kutatás-fejlesztési tevékenységek bővítése, új termékek piaci bevezetése, gyártási innováció, stb. kapcsán meghozott döntések egyes bizonytalansági szintek növelésére irányulhatnak annak érdekében, hogy egy átfogó sikertényező kapcsán, mint például a piaci részesedés növelése, a bizonytalanság csökkenhessen.
e) A kockázatkezelés módszeres, strukturált és időszerű.
A kockázatkezelés módszeres, strukturált és időszerű alkalmazása növeli a hatékonyságot, valamint konzisztens, összehasonlítható és megbízható eredményeket hoz létre.
Ez egyrészt vonatkozik a kockázatkezelési folyamatra, vagyis az összefüggések megállapítására, a kockázatok felmérésére és az intézkedések tervezésére, megvalósítására és nyomon követésére, másrészt az irányítási feladatok támogatásával növeli az érintett működési és szervezeti szinteken megvalósuló folyamatok és tevékenységek végrehajtásának hatékonyságát és eredményességét.
f) A kockázatkezelés a rendelkezésre álló legjobb információkon alapszik.
A kockázatkezelési folyamat bemeneteit olyan információk jelentik, mint például a történeti adatok, a korábbi tapasztalatok, az érdekeltek visszajelzései, a megfigyelések, az előrejelzések, a szakértői megállapítások, stb. Ugyanakkor a szakértői vélemények lehetséges eltéréseit és az alkalmazott modellek illetve adatok korlátait a döntéshozatal során ismerni és mérlegelni szükséges.
g) A kockázatkezelés testreszabott.
A kockázatkezelést a szervezet egyedi kockázati profiljának, valamint a külső és belső összefüggések figyelembe vételével kell kialakítani.
Ennek megfelelően sem a más szervezet által alkalmazott megoldások (pl. szabályzatok) lemásolása, sem a kockázatkezelési rendszer működésének külső fél általi „tanúsítása" nem garantálja a kockázatkezelés megfelelő alkalmazását. Ugyanakkor az ISO 31000:2009 Risk Management szabványban hivatkozott alapelvek, valamint a kockázatkezelés keretrendszerével és a kockázatkezelési folyamatokkal kapcsolatos ajánlások figyelembe vételével lehetőség nyílik a kontroll-alapú szemléletről áttérni a célok teljesülésére fókuszáló kockázatkezelésre.
h) A kockázatkezelés figyelembe veszi a kulturális és emberi tényezőket.
A kockázatkezelés során figyelembe kell venni a külső és belső emberi tényezőket, vagyis az érintett személyek képességeit, elvárásait és szándékait, melyek elősegíthetik vagy akadályozhatják a szervezeti célok elérését.
i) A kockázatkezelés átlátható és bevonja az érdekelt feleket.
A külső és belső érdekelt felek, és különösen a szervezet döntéshozóinak megfelelő időben és módon történő bevonása szükséges ahhoz, hogy a kockázatkezelés minden működési és szervezeti szinten érdemi és aktuális maradjon. Az érdekelt felek megfelelő képviseletével biztosítható, hogy szempontjaik figyelembe vételre kerüljenek a döntéseket befolyásoló kockázati kritériumok kialakításában és alkalmazásában.
Felmerülhet az a kérdés, hogy milyen mértékben kell a külső érdekelt feleket tájékoztatni az adott szervezet által alkalmazott kockázati toleranciákról vagy akár a kockázatvállalási hajlandóságról. Az üzleti vagy egyéb méltányolható titokra való hivatkozás nem megalapozott az olyan információk visszatartása kapcsán, melyek közvetlen kihatással lehetnek bármelyik érintett személy életkörülményeire, vagy olyan esetekben, amikor az információkhoz való hozzáférés hiánya akadályozza az érintett felek kármegelőzési, illetve kárelhárítási törekvéseit vagy a szervezettel kapcsolatos azon döntéseik meghozatalát, melyekre jogi lehetőségük, illetve egyéb felhatalmazásuk van.
Például egy engedélyezett és megvásárolható gyógyszer esetén a forgalmazók, a kezelőorvosok és a fogyasztók jogos elvárása, hogy a saját tevékenységükhöz szükséges mértékben tájékoztatást kapjanak nemcsak az előírtak szerinti alkalmazás lehetőségeiről, hanem a kockázatokról és mellékhatásokról is. Bár a konkrét gyártási technológia vonatkozásában ezen érintett feleket célzó tájékoztatási kötelezettség nem áll fenn, a gyártási folyamat üzembiztonsági illetve környezeti hatásairól és kockázatairól szóló tájékoztatásba más érintetteket (pl. a dolgozókat, a lakosságot, a helyi hatóságokat, stb.) nyilvánvalóan be kell vonni.
j) A kockázatkezelés dinamikus, iteratív és a változásokra gyorsan reagáló.
A kockázatkezelés során a változásokat folyamatosan érzékelni kell és azokra megfelelő választ kell adni. A külső és belső események, körülmények és ismeretek változásának figyelemmel kísérésével, illetve a kockázatok nyomon követésével és kivizsgálásával megállapítható, hogy felmerültek-e új kockázatok, illetve megváltozott-e az ismert kockázatok állapota, vagy akár megszűntek-e bizonyos kockázatok.
A kockázatkezelési ciklusokat értelemszerűen az egyes működési és szervezeti szinteken kitűzött célok időhorizontjait és az érintett folyamatok irányítási teendőit figyelembe vevő tervezési vagy beszámolási időszakok határozzák meg. Ugyanakkor a váratlan eseményekre vagy a körülmények változására való gyors reagáláshoz a vezetők naprakész információkkal történő ellátásának folyamatos biztosítása szükséges.
A kontroll-alapú megközelítés, mely a kockázatok és kockázati válaszok felülvizsgálatát lényegében az ellenőrzési tervekhez és nem a vezetői döntési szintekhez és ciklusokhoz köti, nehezen tud hozzájárulni a szervezeti célokat érintő, előre nem „tervezhető" változásokra való megfelelő reagálási képesség fenntartásához.
k) A kockázatkezelés elősegíti a szervezet fejlődését, működésének folyamatos javítását.
Olyan stratégiai terveket és eljárásokat kell kialakítani és megvalósítani, melyekkel a szervezet irányításának minden lényeges vonatkozásában biztosítható a kockázatkezelési képességek és a működési folyamatok folyamatos fejlesztése a célok sikeres megvalósítása érdekében.
A kockázatkezelés szervezet-fejlesztési vonatkozásainak értelmezéséhez a folyamatjavítási módszerek (pl. az ISO/IEC 15504 folyamat-felmérési szabvány) irányítási képesség fejlesztésében való alkalmazása nyújt segítséget. Az irányítási képesség - ld. Irányítási képességfelmérés (Governance SPICE) alkalmazása - a szervezet működésének olyan jellemzője, mely azt mutatja, hogy az irányítási rendszer milyen mértékben támogatja a működési folyamatok szervezeti céloknak megfelelő végrehajtását. Az irányítási képesség meghatározása és javítása eszközül szolgál a kockázatkezelés szervezeti kereteinek fejlesztéséhez, így segítheti a kockázatkezelés mind teljesebb integrálódását a szervezet döntéshozatali és végrehajtási folyamataiba, illetve a szervezeti kultúrába.
Előző részek: 1. rész: Kontrollok és mellékhatások, 2. rész: Az új Ptk. mellékhatásai, 3. rész: A siker tényezővé válása
Következő részek: 5. rész: A kockázati szintek alkalmazása, 6. rész: A siker buktatóinak elkerülése, 7. rész: Szerepek és felelősségek, 8. rész: Az eredményesség értékelése, 9. rész: A vezető tisztségviselők kártérítési felelősségének egyes kérdései
Kapcsolódó ajánlatunk: Risk Management Mentoring