Ο Ν.4706 /2020 για την Εταιρική Διακυβέρνηση, προβλέπει επί της ουσίας την υιοθέτηση και την υλοποίηση μιας Στρατηγικής Διαχείρισης Κινδύνων. Προβλέπει σαφώς την ύπαρξη πολιτικών, διαδικασιών, ρόλων και εργαλείων.
Ο Νόμος δεν προβλέπει ρητά την ύπαρξη μονάδας Διαχείρισης Κινδύνων, αλλά ένα ερώτημα είναι κατά πόσο η υλοποίηση μιας Στρατηγικής είναι εφικτή χωρίς κάποιον υπεύθυνο και μία ομάδα υποστήριξης. Επίσης, κάποιοι «παραδοσιακοί» σύμβουλοι, υποβαθμίζουν και αναβάλλουν την αναγκαιότητα των Εργαλείων! Ας δούμε τι ακριβώς συμβαίνει.
Η Στρατηγική Διαχείρισης Κινδύνων είναι μια δομημένη προσέγγιση για την αντιμετώπιση των κινδύνων και μπορεί να χρησιμοποιηθεί από εταιρείες όλων των μεγεθών και σε οποιονδήποτε κλάδο.
Η διαχείριση κινδύνων κατανοείται καλύτερα όχι ως μια αλληλουχία σειριακών βημάτων και εργασιών, αλλά ως μια κυκλική διαδικασία κατά την οποία οι «παλιοί» κίνδυνοι επαναπροσδιορίζονται και νέοι κίνδυνοι εντοπίζονται και παρακολουθούνται συνεχώς, από ολοένα και περισσότερους εμπλεκόμενους και με περισσότερη εμβάθυνση στην ανάλυσή τους.
Μπορεί να υλοποιηθεί στην πράξη μία Στρατηγική Διαχείρισης Κινδύνων ενσωματώνοντας την κυκλικότητα της διαδικασίας χωρίς λογισμικό εργαλείο, χωρίς «σύστημα πληροφορικής»; H απάντηση είναι όχι!
Και το ερώτημα είναι, μπορεί να υλοποιηθεί στην πράξη μία Στρατηγική Διαχείρισης Κινδύνων όπως ακριβώς θα σχεδιαστεί με βάση το Ν.4706/2020 αλλά και τα γνωστά πρότυπα ISO 31000 ή και COSO, ενσωματώνοντας την κυκλικότητα της διαδικασίας χωρίς λογισμικό εργαλείο, χωρίς «σύστημα πληροφορικής»; H απάντηση είναι όχι!
- Πρώτα - πρώτα, γεννάται το ερώτημα, πού (σε ποιο μέσο) θα γράφονται αυτά που αναλύονται; Σε τετράδιο ή σε excel?
- Κατόπιν, κατά την επεξεργασία των αποτελεσμάτων της ανάλυσης Κινδύνων, θα ανακύπτουν ερωτήματα τύπου “what if”, τα οποία θα τίθενται συνήθως από την Διοίκηση της Επιχείρησης ή του Οργανισμού που κάνει την ανάλυση, τα οποία θα οδηγούν σε πάρα πολλά (αν όχι άπειρα) σενάρια και μοντέλα διερεύνησης, μέχρις ότου καταλήξει η διαδικασία αυτή σε ένα τελικό σχέδιο και μία στρατηγική που θα πάει προς έγκριση από το Δ.Σ. ή και άλλα όργανα της εταιρίας ή οργανισμού. Πώς θα γίνουν αυτά τα σενάρια, π.χ. να ευρεθεί το σημείο ισορροπίας μεταξύ αποδεκτού επιπέδου κινδύνων σε σχέση με το (διαθέσιμο και εφικτό) κόστος των ενεργειών μετριασμού αυτών (Mitigation actions).
- Κατά τρίτον, πώς, με ποιον τρόπο θα παρακολουθούνται οι ενέργειες που έχουν αποφασισθεί στο μέλλον; Με ποιο μέσο; Με e-mail? Πώς θα χρεωθούν οι Mitigation actions σε λειτουργούς που θα τις υλοποιήσουν, πως θα παράγεται status reporting και πως θα αναπροσαρμόζονται και θα επανεκτιμώνται τα νέα επίπεδα κινδύνων στην αναπτυσσόμενη – διαρκή στρατηγική;
- Τέλος πώς (με ποια μέθοδο) θα ποσοτικοποιηθούν οι κίνδυνοι και οι ενέργειες μετριασμού; Χωρίς ποσοτικοποίηση η αξιοπιστία της ανάλυσης θα είναι φτωχή. Από την άλλη, ποσοτικοποίηση σε 50-100-150 κινδύνους με 200-300 ενέργειες μετριασμού (κατά μέσο όρο από την εμπειρία των περιπτώσεων που γνωρίζουμε) ΔΕΝ γίνεται χωρίς σύστημα πληροφορικής, ιδιαίτερα αν θέλουμε να τρέχουμε σενάρια what-if.
Ο χρόνος, το κόστος και ο κόπος που θα απαιτηθεί, αν τα παραπάνω γίνουν με μολύβι και χαρτί ή με το μάτι, δεν θα αξίζει το αποτέλεσμα. Ή τα αποτελέσματα θα είναι αναξιόπιστα και προβληματικά, την επομένη ημέρα από εκείνη που παράχθηκαν.
Θα πρέπει να γίνει κατανοητό πως πλέον τo software δεν υποστηρίζει απλώς τη μεθοδολογία, την εξασφαλίζει και την αυτοματοποιεί, κάνοντάς την εφικτή λειτουργικά.
Συμπέρασμα: Για την πραγματική και επιτυχή υλοποίηση λοιπόν μία Στρατηγικής Διαχείρισης Κινδύνων, απαιτούνται:
· Μεθοδολογία
· Αξιόλογα Στελέχη
· Λογισμικό
Κάθε ένα από τα αυτά τα τρία “assets” έχει τη δική του μοναδική αξία και είναι απαραίτητα και τα τρία για κάθε εταιρία.