Ryzyko rezydualne

Ryzyko rezydualne
Polecane artykuły


Ryzyko rezydualne to ryzyko, które pozostaje po podjęciu wszystkich możliwych, bądź też wszelkich ekonomicznie zasadnych kroków zmierzających do jego uniknięcia.

Charakterystyka

Ryzyko rezydualne (cząstkowe lub resztkowe) to ryzyko pozostające po wprowadzeniu procedur kontroli ryzyka wyselekcjonowanych dla określonych zagrożeń. Można je uznać za prawdziwe jedynie wówczas, gdy wdrożone zostały wybrane procedury jego eliminacji bądź zredukowania. Kiedy tylko określone procedury dla zidentyfikowanych zagrożeń zostaną wyselekcjonowane, zagrożenia te są ponownie szacowane, a poziom ryzyka na powrót weryfikowany. Należy liczyć się z faktem, że zastosowanie wybranych procedur nie będzie wystarczające, by znacząco obniżyć poziom ryzyka. Całkowite ryzyko rezydualne powinno być określone poprzez rozważenie poszczególnych rezydualnych ryzyk odnoszących się do każdego zidentyfikowanego zagrożenia.

W zależności od prawdopodobieństwa i dotkliwości zagrażającego potencjalnie zdarzenia oraz realnych zagrożeń aktualnych, ryzyko rezydualne dla każdego zagrożenia może być różne. Zwykło się przyjmować, że całkowite ryzyko rezydualne ma być równe lub większe największemu zidentyfikowanemu ryzyku, które dotyczy któregoś ze zidentyfikowanych zagrożeń. Należy ponadto wziąć pod uwagę zarówno ilość, jak i charakter (jakość) istniejących zagrożeń.

W niektórych przypadkach zarządzający projektem może podjąć decyzję, że całkowite ryzyko rezydualne jest wyższe niż którekolwiek z zagrożeń. Podstawą podjęcia takiej decyzji jest liczba zagrożeń o niższym ryzyku, jeśli w zestawieniu prezentują zagrożenie o większej skali. Przykładowo rezultatem oceny ryzyka w określonym przedsięwzięciu może być umiarkowane ryzyko rezydualne dla poszczególnych zidentyfikowanych zagrożeń. Mając jednak na względzie złożoność wymagań procedur kontrolujących ryzyko oraz efekt synergiczny wszystkich zagrożeń, kierownik projektu podejmie decyzję, że ryzyko rezydualne dla całego przedsięwzięcia jest zbyt wysokie, by je podjąć.

Rodzaje ryzyka rezydualnego

Ryzyko rezydualne, które celowo nie podlega żadnym ograniczeniom, ponieważ zostało zaakceptowane, określa się także mianem ryzyka akceptowalnego. Swoistym jego przejawem jest ryzyko szczątkowe, tj. ryzyko, które pozostaje po wdrożeniu zabezpieczeń. W praktyce ryzyko takie istnieje zawsze z konieczności, gdyż żaden system nie jest całkowicie bezpieczny, a ponadto pewne zasoby celowo nie podlegają ochronie (z powodu niskiego ryzyka wystąpienia zagrożenia, bądź też wysokich kosztów związanych z zabezpieczeniem). Istotne jest jednak, by osoby decydujące o wyborze zabezpieczeń miały świadomość istnienia ryzyka szczątkowego i w pełni je akceptowały. W obliczu takiego postawienia sprawy możliwa staje się dla nich wyłącznie alternatywa: akceptują ryzyko, lub decydują się na zastosowanie dodatkowych zabezpieczeń, celem których będzie zniwelowanie ryzyka, czyli zredukowanie go do akceptowanego poziomu, co na ogół ściśle wiąże się z ponoszeniem dodatkowych kosztów. Dobrze jest więc podjąć działalność w kierunku kontroli ryzyka.

Zarządzanie ryzykiem rezydualnym

Kompleksowe Zarządzanie ryzykiem (ang. Composite Risk Management – CRM) jest metodą służącą do identyfikacji zagrożeń oraz kontroli związanego z nimi ryzyka. W skład jego wchodzi pięć zasadniczych czynności:

  1. Identyfikacja zagrożeń;
  2. Ocena zagrożeń;
  3. Opracowanie narzędzi kontroli ryzyka;
  4. Wdrożenie;
  5. Nadzór

Dwa pierwsze etapy są etapami oceny ryzyka, dwa ostatnie stanowią elementy zarządzania ryzykiem. Dopiero w trzecim etapie opracowuje się i wprowadza procedury kontroli ryzyka, celem których jest eliminacja zagrożeń lub zminimalizowanie ryzyka z nimi związanego. Następnie zagrożenia podlegają weryfikacji celem określenia ryzyka rezydualnego (pozostałego) aż do momentu, w którym zostanie osiągnięty akceptowalny poziom ryzyka lub wszelkiego rodzaju ryzyko nie zostanie zredukowane do poziomu, w którym korzyści przewyższać będą poniesione koszty. Etap ten powinien być dokonywany podczas opracowywania, rozważania i zestawiania rozmaitych wariantów działania oraz wyboru jednego z nich, czyli podjęcia decyzji.

Celem bowiem całego procesu oceny i zarządzania ryzykiem (CRM) jest stworzenie podstaw do podjęcia optymalnej decyzji odnośnie akceptacji ryzyka, bądź jej braku. Elementem kluczowym jest określenie akceptowalnego poziomu ryzyka. ryzyko lub możliwość potencjalnych strat muszą być zbalansowane oczekiwanymi korzyściami. Decyzja zaś odnośnie akceptacji pułapu ryzyka winna być podejmowana na adekwatnym dla danej operacji czy zadania szczeblu kierownictwa, a podstawę jej podjęcia stanowi poziom istniejącego ryzyka (rezydualnego).

Podejmowanie ryzykownych decyzji nie zawsze wiąże się z negatywnymi skutkami; niejednokrotnie towarzyszy ono przedsiębiorczości oraz innowacyjności, co jest jednym z motorów rozwoju kapitalizmu. Negatywne konsekwencje pociąga zwykle wtedy, gdy przekroczony zostaje pewien próg dopuszczalnego ryzyka, poza którym rozciąga się już tylko obszar niedopuszczalnej brawury i braku kontroli. Stąd też niezwykle potrzebne są (dla przypadków, w których decyzje obarczone ryzykiem mogą wymknąć się spod kontroli, jak też wtedy gdy powstaje ryzyko stowarzyszone, wtórne i indukowane) scenariusze działań anty ryzyka.

Bibliografia

Autor: Kamil Stojek