Czy wiesz Drogi Czytelniku, że w naszym sektorze publicznym (administracji, samorządach, policji, wojsku, szkolach, uczelniach, szpitalach a nawet w teatrach) zarządza się ryzykiem ?!
Tak, tak istnienie Zarządzania ryzykiem potwierdza sama Ustawa o finansach publicznych i stosowne do niej rozporządzenia i komunikaty!
Występowanie zarządzanie ryzykiem w sektorze publicznym dowodzi również istnienie znakomitego skądinąd podręcznika zarządzania ryzykiem przetłumaczonego z angielskiego przez Ministerstwo Finansów. Znakomitego, bo wiernie przenoszącego sprawdzone rozwiązania w zakresie zarządzania ryzykiem rządu Jej Królewskiej Mości. (tu dygresja: spotkałem się z opinią, że podręcznik ten nie pasuje do naszych „uwarunkowań”. Mam wrażenie jednak, że nasze „uwarunkowania” w zakresie metodycznego zarządzania czymkolwiek zostały już dość dawno trafnie z-pointowane przez narodowego Wieszcza: patrz motto bloga)
Idea zarządzania ryzykiem w polskim sektorze publicznym została oparta na „Strukturze ramowej zarządzania ryzykiem” COSO II. (COSO to renomowana amerykańska organizacja non-profit, która od lat 90-tych określa standardy w zakresie kontroli wewnętrznej, a obecnie również całościowego zarządzania ryzykiem Enterprise Risk Management).
Skoro już istnienie stosownych Ustaw upewnia nas, że w sektorze publicznym JEST zarządzanie ryzykiem, kontynuując nasze poszukiwania można postawić kolejne pytanie:
Kto ryzykiem w polskim sektorze publicznym zarządza?
Analizując istniejąc regulacje w zakresie zarządzania ryzykiem w sektorze publicznym można zauważyć, że zarządzanie ryzykiem zostało silnie „przypisane” do znanego i w miarę zrozumiałego dla jednostek sektora publicznego obszaru audytu wewnętrznego. Widać to również wyraźnie w publikowanych na stronach WWW różnych jednostek dokumentach, gdzie o ryzyku mówi się najczęściej właśnie w kontekście audytu. Co więcej, z dostępnej na stronach internetowych dokumentacji można wywnioskować, że chociażby podstawowy dla zarządzania ryzykiem etap identyfikacji i oceny ryzyka jest inicjowany dopiero na potrzeby audytu wewnętrznego. Trudno natomiast znaleźć informację o samym procesie zarządzania ryzykiem, które temu audytowi powinien podlegać.
Można również zauważyć, że nawet funkcjonujące w ramach funkcji audytowych elementy procesu zarządzania ryzykiem mają specyficzny wymiar. Na przykład porównanie ocen typowych obszarów ryzyka dokonywanych na potrzeby audytu w przypadkowo wybranych jednostkach samorządu, ujawnia wiele mówiące podobieństwa tych ocen i jednoczenie zbieżność z przykładami zawartymi w podręczniku audytu wewnętrznego administracji publicznej.Nie trzeba chyba dodawać, że każda organizacja ma swoją specyfikę i działa w różnym otoczeniu, co zwykle powoduje, że oddziałuje na nie zróżnicowane ryzyko. W tym przypadku sugestie zawarte w podręczniku są chyba traktowane przy ocenie ryzyka zbyt dosłownie.
Nie można oczywiście nie wspomnieć, że elementy procesu zarządzaniu ryzykiem lub jemu pokrewne obszary można spotkać w rozproszeniu w innych „miejscach” struktury organizacyjnej jednostek sektora publicznego. Wystarczy tu chociażby wspomnieć o zarządzaniu kryzysowym, zarządzaniu informacją niejawną czy przeciwdziałaniu korupcji.
Z powyższych rozważań wynikałoby więc, że w praktyce funkcjonowania jednostek sektora publicznego to audytorzy stają się odpowiedzialni za proces zarządzania ryzykiem. Oczywiście udział audytorów jest niezmiernie istotny. Trzeba natomiast zauważyć, że jego „właścicielem” powinno być kierownictwo organizacji. Można by więc przypuszczać, że ryzykiem w w naszym sektorze publicznym zarządza się jednak w sposób przystosowany do naszych „uwarunkowań” ( patrz motto bloga), co po raz kolejny świadczyłoby o profetycznej przenikliwości Poety również na gruncie nauk o zarządzaniu.
Kto ma apetyt na ryzyko ???
Jednym z fundamentów procesu zarządzania ryzykiem w każdej organizacji jest określenie tak zwanego „apetytu” na ryzyko.
Z apetytem na ryzyko jest jak z apetytem na słodycze: chodzi o to, żeby podejmować ryzyko, ale tylko tyle, aby osiągać wyznaczone cele. Definiowanie apetytu na ryzyko staje się obecnie jednym z podstawowych elementów definiowania strategii działania każdej organizacji i jest zarezerwowane do decyzji jej najwyższego kierownictwa. W trakcie szkolenia każdego audytora podkreśla się wręcz, że określanie apetytu na ryzyko nie jest funkcją audytu.
Zdefiniowanie apetytu na ryzyko ma również o tyle kluczowe znacznie, że stanowi punkt odniesienia do oszacowania jak istotne jest określone ryzyko dla organizacji . To z kolei umożliwia wybór odpowiedniej opcji reagowanie na ryzyko.
Można się więc zastanowić: jeżeli to nie audytorzy definiują apetyt na ryzyko w jednostkach sektora publicznego, to kto?
Jeśli przyjąć, że apetyt na ryzyko nie jest w nich formalnie określany, to również jedna z najistotniejszych funkcji audytu wewnętrznego, a więc kontrola efektywności procesu zarządzania ryzykiem nie może spełniać właściwie swojej roli.

Hmmm… Jako mi się dziwnie to zarządanie ryzykiem w sektorze
publicznym kojarzy… A przecież i jedno i drugie na pewno
gdzies jest „lecz nie wiadomo gdzie”

gdzie…

6KPVBQTXVVFB