Hanna Hendrysiak: Czym jest dla pana zarządzanie ryzykiem?
Mariusz Sujka: Już w starożytności greccy stoicy stosowali metodę zwaną „premeditatio malorum”, czyli wyobrażanie sobie sytuacji, kiedy coś idzie nie tak albo jest nam odbierane. Ćwiczenie miało na celu przygotowanie się do ewentualnego niepowodzenia i budowanie psychicznej odporności. Od tego czasu ludzie rozwinęli wiele technik i narzędzi radzenia sobie z niepewnością. Dla mnie zarządzanie ryzykiem to dyscyplina, która ma na celu pomaganie organizacji w sprawniejszym działaniu. Trochę takie budowanie wewnętrznej odporności organizacji na radzenie sobie z problemami w czasach dużej zmienności i niepewności.
Jaka jest rola zarządzania ryzykiem w ramach kontroli zarządczej?
Zarządzanie ryzykiem jest ważne. Sama kontrola zarządcza opiera się na trzech filarach: wyznaczaniu celów, identyfikacji i analizie ryzyka oraz szeregu wbudowanych w codzienną działalność mechanizmów kontrolnych, które stanowią taką odpowiedź na ryzyko, aby projektowane cele były osiągane.
Dzięki systematycznemu i zorganizowanemu zarządzaniu ryzykiem można działać bardziej efektywnie, dbając przy tym o bezpieczeństwo. Weźmy np. realizację jakiejś gminnej inwestycji – potrzebne do tego są środki finansowe, zasoby, technologia, wykonawca, a po stronie urzędu – osoby, które będą monitorowały i nadzorowały przebieg inwestycji. We wszystkich obszarach występuje szereg ryzyk. Otwartą kwestią pozostaje, czy podejdziemy do tego proaktywnie i metodycznie, czy ograniczymy się do reagowania na to, co się wydarzy.
Dlaczego warto zarządzać ryzykiem w urzędzie?
Problemem jest, że wiele urzędów nadal traktuje obszar zarządzania ryzykiem jako dodatkowe obciążenie biurokratyczne, nie dostrzegając w nim realnych korzyści. Takie podejście jest zrozumiałe i dość oczywiste w sytuacji, kiedy wdrażając rozwiązania z zakresu kontroli zarządczej i zarządzania ryzykiem nie uruchomiono przemyślanego procesu zarządzania zmianą. Ludzie działają, co do zasady, racjonalnie – dążą do tego, co przynosi satysfakcję i korzyści, unikając przy tym zbędnych obciążeń. No i generalnie opierają się zmianom, zwłaszcza tym niechcianym i nierozumianym.
Zamysłem ustawodawcy było usprawnianie jakości procesów zarządczych przez poprawę efektywności podmiotów sektora publicznego. Wytyczne ministra finansów podkreślają, że procesy kontrolne mają być „wbudowane” w codzienną działalność urzędu. Ustawa miała dawać impuls, by porządkować i systematyzować pracę urzędów, by przez wdrożenie standardów usprawniać praktyki dotyczące celów, realizacji zadań, zarządzania ryzykiem. Pojawia się jednak pytanie, czy urzędom faktycznie udało się zdefiniować swoje korzyści z kontroli zarządczej i zarządzania ryzykiem. Czy same wiedzą, dlaczego warto się zmieniać?
Przyjrzyjmy się sytuacji w samorządach. Gminy na podstawie postulatów mieszkańców, zgłaszających zapotrzebowanie na inwestycje czy usługi określają i realizują bardzo konkretne cele. Te cele opisane są zazwyczaj w różnych dokumentach, strategiach, programach, dokumentach planistycznych. Ma to mocne polityczne przełożenie, ponieważ kandydat na wójta, burmistrza, prezydenta składa obietnice wyborcze, które potem spełnia poprzez działanie całego aparatu urzędniczego. Dla wójta, burmistrza, prezydenta liczy się więc sprawność, z której będzie rozliczany przez swoich wyborców, a także bezpieczeństwo, z którego będzie rozliczany najczęściej przez organy kontroli i nadzoru.
Stworzenie odpowiedniego kontekstu otwiera dyskusję nad tym, dlaczego warto. Sprawny wójt, burmistrz, prezydent chce dbać o wizerunek dobrego gospodarza i sprawnego menadżera, zwiększając w ten sposób prawdopodobieństwo wygrania kolejnych wyborów. Urzędnicy chcą pracować w przyjaznym miejscu. Mieszkańcy - żyć w miejscu, w którym dobrze im się funkcjonuje. Kontrola zarządcza i zarządzanie ryzykiem po prostu może łączyć te różne światy.
A jak to robić?
Z jednej strony trzeba dobrze poznać potrzeby interesariuszy. Na przykład, jeśli matka małego dziecka chce wrócić do pracy, ale nie może, bo obawia się, że nie będzie miała zapewnionej opieki dla dziecka - pojawiają się oczekiwania, by gmina rozbudowała sieć przedszkoli czy wydłużyła godziny ich pracy. Inny przykład, ludzie chcą uciec z dużego miasta i zamieszkać w mniejszej gminie ościennej w otoczeniu natury, ale ta nie ma przygotowanej infrastruktury drogowej czy wodociągowej. Obywatele definiują swoje potrzeby i oczekują ich zaspokojenia przez urząd.
Z drugiej strony szybko może się okazać, że urzędnik staje wobec szeregu wyzwań – ograniczonego budżetu, wątpliwości natury prawnej, braku wykwalifikowanego personelu, ograniczenia w dostępnie do nowoczesnych technologii informatycznych itd. Zarządzanie ryzykiem ma mu w tym pomóc.
Zarządzanie ryzykiem jest zajęciem kreatywnym, w którym liczy się umiejętność pozyskiwania i przetwarzania informacji od różnych interesariuszy i to z różnych źródeł. Standardy kontroli zarządczej tworzą ramy, wskazówki ministra finansów podpowiadają, co i jak robić, jednak to wszystko nie zadziała bez sprawnej komunikacji urzędu z otoczeniem zewnętrznym, ale także w obrębie samego urzędu. Z tego względu wdrażając lub rozwijając ten proces warto pomyśleć, czy oprócz doświadczonych kadr urzędniczych nie potrzebujemy rozwiązań technologicznych, które pozwolą na gromadzenie i przetwarzania dużych zbiorów danych zarządczych.
Czyli do zarządzania ryzykiem potrzebne jest myślenie strategiczne i działanie długofalowe?
Tak. I jest to jest spore wyzwanie. Gminy i w ogóle cały aparat administracji publicznej działają pod silną presją obywateli. Z tego względu, co jest dość oczywiste, gdyż nikt nie lubi być krytykowany, słabości są ukrywane. Tymczasem proces zarządzania ryzykiem powinien je wyciągać na powierzchnię i odpowiednio zaadresować, by usprawniać działalność urzędów w dłuższej perspektywie. W zasadzie określę to dość przewrotnie, że wykrywanie ryzyk powinno być nagradzane. Ryzyko istnieje zawsze i fakt wykrycia ryzyka nie powinien stanowić powodu do wstydu. Z krytyką opinii publicznej powinno się raczej spotykać to, że dopuszczono do materializacji ryzyka, czyli nieprawidłowości. Długofalowe myślenie wymaga jednak przyjęcia postawy, że obecnie występują słabości i zagrożenia, wiemy o nich i projektujemy rozwiązania, które pomogą nam działać lepiej w przyszłości. Zdaję sobie jednak sprawę, że wymagałoby to dużego zaufania zarówno w obrębie urzędu, jak i na linii urząd – obywatel. A dziś zaufanie to towar deficytowy.
Czy zarządzanie ryzykiem to proces ciągły czy „gaszenie pożarów” w sytuacji kryzysowej?
Każdy, kto coś robi, popełnia błędy. Wyzwaniem zarządczym w urzędach jest to, że o nieprawidłowościach dowiadujemy się zbyt późno: z kontroli organów zewnętrznych, takich jak NIK, RIO, CBA, doniesień dziennikarzy śledczych, skarg mieszkańców.
Zarządzanie ryzykiem ma chronić urząd przed taką sytuacją. Może nawet nie tyle całkowicie wykluczać, ale na pewno istotnie ograniczać. Metodyczne podejście powoduje, że działamy bardziej realistycznie i przygotowujemy się na przykład na możliwość porażki. Działamy przy tym w sposób ciągły. Jeśli pojawia się jakieś nowe zagrożenie, to my je identyfikujemy i śledzimy, co się z nim dzieje. Chodzi o to, aby regularnie spoglądać na organizację z „lotu ptaka”, dostrzegać to, co może utrudnić jej działanie w przyszłości. I w końcu nie popełniać wciąż tych samych błędów.
Kto odpowiada za zarządzanie ryzykiem w samorządzie?
W myśl ustawy - zawsze odpowiada kierownik jednostki. Jego odpowiedzialność polega na rozliczalności z wykonania obowiązku ustawowego (ang. accountability). Oczywistym jest, że kierownik jednostki będzie powierzał realizację zadań swoim podwładnym – dyrektorom, naczelnikom, kierownikom, koordynatorom kontroli zarządczej, menadżerom ryzyka oraz pracownikom, którzy odpowiadają za zadania w drodze służbowej (ang. responsibility). W końcu w urzędach zatrudnieni są audytorzy wewnętrzni, którzy odpowiadają za niezależną i obiektywną ocenę zarządzania ryzykiem. Można więc powiedzieć, że za zarządzanie ryzykiem odpowiada każdy, lecz w różnym zakresie. Pamiętać jednak trzeba, że kontrola zarządcza i zarządzanie ryzykiem jest ostatecznie narzędziem kierownika jednostki.
Podsumujmy więc, co jest niezbędne do dobrego zarządzania ryzykiem
W urzędzie o zarządzaniu ryzykiem warto myśleć jako elemencie systemu kontroli zarządczej. Aby wszystko właściwie zadziałało, kierownictwo urzędów i pracownicy muszą mieć poczucie sensu i zacząć dostrzegać jego korzyści.
Kolejna sprawą jest praktyczna znajomość metodyk – te akurat są na tyle dostępne, by do nich regularnie wracać. Warto także rozważać wykorzystanie odpowiednich narzędzi informatycznych. Oczywiście można nadal pracować z wykorzystaniem pakietu Office – worda i excela, ale pamiętajmy, że nie są to narzędzia do komunikacji i wymiany informacji, a tego najbardziej potrzebujemy w zarządzaniu ryzykiem – wymiany informacji, by przełamywać organizacyjne silosy i bańki informacyjne. Urząd to złożony organizm, w którym pojedynczemu urzędnikowi trudno samodzielnie rozwiązywać problemy.
Wydaje się, że Kontrola zarządcza i zarządzanie ryzykiem to takie straszne i trudne procedury. Język standardów i poradników jest dość techniczny
Kiedy chcę wyjaśnić całą koncepcję odkładam na chwilę ustawę i standardy na bok i tłumaczę własnymi słowami, tak jak to wynika z mojego doświadczenia i rozumienia tematu. Dla mnie kontrola zarządcza to współpraca kadry zarządzającej i pracowników na rzecz rozwiązywania aktualnych problemów organizacji, które mogą wywołać jeszcze większe komplikacje i zagrozić osiągnięciu wyznaczonych celów.
W oryginalnej definicji w wytycznych INTOSAI GOV 9100, a więc jednym ze źródeł opracowania standardów kontroli zarządczej podkreśla się rolę i znaczenie tzw. czynnika ludzkiego. Z tego względów urzędy, które planują dokonać przeglądu swoich systemów kontroli zarządczej i zarządzania ryzykiem zachęcam do odpowiedzi na krótkie, co nie oznacza wcale, że proste pytania:
- Czyją i jaką potrzebę zaspokajają wyznaczone przez urząd cele?
- Kto w urzędzie realizuje cel i czy posiada niezbędne zasoby, umiejętności i doświadczenie?
- Co zagraża w osiągnięciu celu?
- Jakimi działaniami można ograniczyć ryzyko niepowodzenia?
- Jakie informacje są potrzebne i kto jest zainteresowany uzyskanymi rezultatami?
- Które działania i jak można usprawnić?
Ostatnia kwestia to pytanie audytora wewnętrznego:
- Skąd znam odpowiedzi na powyższe pytania?
Czy można zapewnić ciągłość działania urzędu bez zarządzania ryzykiem?
To pytanie np. o sytuację COVID-ową. Czy urzędy w Polsce były przygotowane do zapewnienia ciągłości działania w czasie pandemii? Bardzo wiele z nich nie, bo pojawił się problem z pracą zdalną czy hybrydową. Zapewnienie ciągłości działania jest elementem kontroli zarządczej, bo mamy cel i standard dotyczący ochrony zasobów czy efektywności działania. Nie można zapewnić ciągłości działania bez zarządzania ryzykiem. Mamy np. kwestię bezpieczeństwa informatycznego w urzędach – bez kopii zapasowych, zidentyfikowania ryzyka dostępu do zasobów nie możemy zapewnić ciągłości działania. Te procesy są ze sobą powiązane. Ciągłość działania jest podstawą, gdy pojawiają się krytyczne okoliczności i nie można realizować pracy na dotychczasowych zasadach, a musimy zapewnić jej kontynuację.
No tak, ale przed pandemią pewnie nikt nie brał takiego ryzyka zbyt poważnie i nie przygotował się na nie.
To jest moim zdaniem błędne podejście. Pandemia czy katastrofa naturalna to zdarzenia, które ograniczają ciągłość działania. A w procesie zarządzania ryzykiem chodzi o takie definiowanie ryzyk, by mieć je pod kontrolą. Powinniśmy więc odpowiadać za to, jak jesteśmy zabezpieczeni na wypadek jakiejkolwiek niemożności działania na przykład w obecnej lokalizacji. Cokolwiek by się wydarzyło, to mamy procedury, by urząd (szkoła, szpital itp.) dalej działał. I tu wracamy do początku – kontrola zarządcza jest po to, by dawać ludziom poczucie sprawczości i bezpieczeństwa. Kiedy go nie ma w sytuacjach kryzysowych, to ludzie popełniają mnóstwo błędów, bo nie są w stanie działać racjonalnie w stanie wzburzenia emocjonalnego. Do tego potrzebują procedur. Pilot lecący na wysokości kilku kilometrów z kilkuset pasażerami na pokładzie, podczas awarii nie ma czasu zastanawiać się, co robić. On musi natychmiast wdrożyć pewną procedurę, która powstaje właśnie w procesie zarządzania ryzykiem. Podobnie podejście trzeba stosować w urzędzie.