Miesiąc: Wrzesień 2008

Dlaczego niebawem zrezygnuję z zasiadania w zarządzie Polrisk ?

Na mojej witrynie można przeczytać, że …

Korzystając ze swoich kilkuletnich związków z międzynarodowym środowiskiem risk managerów, wraz z kilkoma aktywnymi pasjonatami zarządzania ryzykiem, doprowadziłem do założenia i zarejestrowania stowarzyszenia w Polsce, ukształtowania zrębów jego misji celów i strategii. Między innymi dzięki mnie zarządzanie ryzykiem zaczęło być rozpoznawane jako profesja w naszym kraju, a stowarzyszenie skutecznie ogniskuje wokół sztuki risk managementu najbardziej znaczące środowiska: dużego konsultingu, ośrodków dobrych praktyk biznesowych i stowarzyszeń pokrewnych profesji. Między innymi, dzięki moim szerokim kontaktom z międzynarodowymi instytucjami, ekspertami i źródłami know-how, nieprzeciętny poziom merytoryczny kolejnych konferencji organizowanych w Polsce był zdecydowanie poza zasięgiem jakiegokolwiek innego organizatora. Wciągu dwóch pierwszych lat mojej prezesury, stowarzyszenie urosło od kilkunastu do około osiemdziesięciu członków profesjonalistów – rynek risk managementu w Polsce wreszcie zaistniał …

I właśnie teraz rezygnuję z przewodzenia zarządowi Polrisk i w uczestniczeniu w pracach zarządu wogóle. Czy w Polrisk dzieje się źle ? Czy pokłóciłem się z pozostałymi członkami zarządu ? Czy Polrisk powoli zamiera i nie mam już tu nic do roboty ? Nie, wręcz przeciwnie – Polrisk kwitnie, członkowie zarządu to godni zaufania menedżerowie ryzyka i sprawdzeni członkowie Polrisk, a pomysłów i pracy starczy dla zarządu na kilka następnych lat. Dlaczego postanowiłem zrezygnować ?

Odpowiedzi dostarczy jedna z pierwszych uchwał pierwszego zarządu, któremu przewodniczyłem – i za uchwałą osobiście głosowałem. Uchwała mówi, że "Zarząd Stowarzyszenia Zarządzania Ryzykiem POLRISK uchwala, że osoby fizyczne będące akcjonariuszami, członkami, wspólnikami, właścicielami, pracownikami lub członkami władz firm ubezpieczeniowych, brokerskich lub agencji ubezpieczeniowych mogą być przyjmowane wyłącznie jako członkowie wspierający" – a więc tacy, którzy mogą w pełni uczestniczyć w aktywności Stowarzyszenia, lecz nie mogą uczestniczyć w rządzeniu Stowarzyszeniem. Była to jak do tej pory najtrudniejsza i najintensywniej konsultowana uchwała zarządu Polrisk. Dyskusja, w której aktywnie uczestniczyli współzałożyciele Stowarzyszenia reprezentujący zarówno brokerkę jak i rynek ubezpieczeniowy była bardzo gorąca i długa, jednak w końcu pełen skład zarządu – wraz z zainteresowanymi brokerami i ubezpieczycielami – nie miał wątpliwości: Polrisk powinno być rządzone tylko przez "czystych" menedżerów ryzyka, z pewnościa nie przez brokerów i nie przez pracowników towarzystw ubezpieczeniowych.

Z chwilą przejścia na "ciemną stronę mocy" – tj przyjęcia funkcji zarządczej w firmie brokerskiej, muszę zrezygnować z członkostwa zwyczajnego a tym samym z prawa do zasiadania w zarządzie Polrisk. Inaczej przełomowa decyzja zarządu zostałaby ośmieszona a ja popisałbym się brakiem szacunku dla osób, z którymi tę uchwałę podjąłem.

Choć polski rynek zarządzania ryzykiem gospodarczym już zaczął się rysować, a głos menedżerów ryzyka jest coraz bardziej słyszalny na forum gospodarczym naszego kraju, jesteśmy jeszcze ciągle bardzo młodą i stosunkowo słabą merytorycznie społecznością. Daleko nam do Wielkiej Brytani, z tysiącem risk managerów i stowarzyszeniem AIRMIC, dyktującym warunki ubezpieczycielom i brokerom, i rozmawiającym z brytyjskim ministerstwem finansów jak równy z równym. Polskim menedżerom ryzyka ciągle potrzeba inkubatora – warunków, w których ze spokojem będą mogli się nauczyć wszystkich szkół zarządzania ryzykiem, podyskutować wyłącznie we własnym gronie, wybrać własną drogę i rację, oraz nauczyć się jej bronić. Jak będzie nas znacznie więcej i będziemy reprezentować wyższy poziom ekspercki – wtedy być może przyjdzie czas aby przestać się izolować i już na oścież otworzyć drzwi brokerom i ubezpieczycielom bez obawy, że nasze poglądy na zarządzanie ryzykiem zostaną zdominowane przez silnych marketingowo brokerów i "wszechwiedzących" ubezpieczycieli. Ale zapewne ten czas nadejdzie dopiero za parę lat – oby jak najszybciej.

Komentarze prasy zagranicznej dot mojej rezygnacji – czytaj w Business Insurance Europe

Systemy informatyczne wspierające procesy ERM

Niniejszym wpisem reaguję na sygnały, że systemy informatyczne wspierające system korporacyjnego zarządzania ryzykiem to temat na czasie. Odgrzebuję więc moje notatki sprzed 3 lat i …

… kilka lat temu, próbując dowiedzieć się, czy wogóle na świecie jest publicznie dostępne takie oprogramowanie byłem bardzo sceptyczny co do wyników poszukiwań. Jednak wkrótce musiałem zrewidować swoją wstępną ocenę – osobiście odnalazłem i znam pobieżnie ponad 20 różnych programów i pakietów wspomagających zarządzanie ryzykiem. Jakiś czas temu miałem możliwość porozmawiania na ten temat z firmą Galorath, która asystowała brytyjskiemu ministerstwu obrony, podczas wyboru systemu zarządzania ryzykiem dla tej instytucji – przeanalizowano wówczas około 200 pozycji oprogramowania. Z drugiej strony każdy z pakietów jest użytkowany jedynie przez kilkadziesiąt do ponad stu firm w kilku do kilkunastu krajach – mowa więc o oprogramowaniu specjalistycznym, dostosowanym do potrzeb niemalże pojedynczych firm czy sektorów.

Programy są w większości skonstruowane tak, aby spełniać wymogi prawne, standardy, zalecenia lub dobre praktyki – narodowe lub międzynarodowe, przykładowo doskonale znane: SOX, Basel II, ISO17799, COSO, Turnbull, AS/NZS 4360 czy też mniej powszechne ASX Guidelines (Australia), Cobit, COSA oraz COCO (Kanada), HIPAA, Bill C6 (PIPEDA) oraz Gramm-Leach-Bliley (Kanada) czy też King Report (RPA).

W większości oprogramowanie jest sprzedawane w różnych wersjach, dla różnej ilości użytkowników, począwszy od wersji najprostszej dla jednego użytkownika aż po rozwiązania klient/serwer opartych na technologii ODBC (Open Database Connectivity) lub rozwiązania oparte na sieci internetowej ? dla wielu rozproszonych użytkowników z różnymi prawami dostępu.

Konsekwencją różnorodności są również znaczne różnice w przeznaczeniu i stopniu rozbudowania tych pakietów. Oprogramowanie to może przykładowo być wyłącznie elektronicznym rejestrem ryzyka bądź stanowić wsparcie dla podstawowych funkcji (etapów) zarządzania ryzykiem lub też może być wzbogacone o dodatkowe komponenty dotyczące takich zagadnień jak tzw. compliance (zgodnośc z wymogami prawa), audyt wewnętrzny, tzw knowledge base (baza wiedzy), analiza ryzyk spekulacyjnych (sukces / porażka), wspomaganie zarządzania projektami, budowa ilościowych modeli ryzyka lub analiza kosztów tego ryzyka.

Dalej będę pokazywał zrzuty z ekranu i przykłady z 8 wybranych programów:
– Risk Wizard, Australia
– Enterprise Risk Assessor, Methodware, Nowa Zelandia
– Risk Register, Noweco, Nowa Zelandia
– J-Port, Portiva, Kanada
– Securac, Acertus, Kanada
– Know Risk, CorProfit, Australia
– Risk Decisions, Predict!, Wielka Brytania
– International Security Technology, CORA, USA.

Na mojej witrynie internetowej można znaleźć adresy witryn internetowych tych, i kilku innych producentów oprogramowania wspierającego systemy ERM.

Podstawowe zalety, o jakich można się przekonać użytkując te systemy to automatyzacja procesu i czynności, współdzielenie przez wielu użytkowników bazy danych, a w niektórych wypadkach możliwość konfigurowania i śledzenia key risk indicators (kluczowych czynników ryzyka) czy automatyczne prowadzenie analizy kosztów i korzyści. Mowa również o wielu zaletach z menedżerskiego punktu widzenia podstawowych: zdolność większości programów do elastycznego dostosowania się do charakteru i wielkości firmy; do konsolidacji, monitorowania i dokumentowania oraz raportowania informacji o ryzyku; do elastycznej wizualizacji ryzyka lub filtrowania ryzyk czy też potencjalna (możliwa do wprowadzenia) wielojęzyczność niektórych wersji. Omawiane programy są zwykle podzielone na kilka modułów – przy czym podział może być wyłącznie logiczny (jeden pakiet podzielony na funkcje) lub fizyczny (pojedyncze moduły są osobno dokupywane).

Moduł konfiguracji służy opisaniu unikalnego kontekstu danej firmy i jej otoczenia. Na tym etapie następuje hierarchizacja obszarów ryzyka, zdefiniowanie terminologii, opisanie pól występujących w programie, klasyfikacja ryzyk oraz kalibracja skal. Niektóre programy pozwalają tworzyć związki pomiędzy celami biznesowymi a ryzykami a w większości z nich można zaimportować informacje z istniejących już w firmie systemów baz danych.

Moduł Identyfikacji ryzyka – rejestruje wyniki procesu identyfikacji ryzyka i pozwala przypisać właściciela do poszczególnych ryzyk. Moduł oceny (zwykle jakościowej) ryzyka, służy określeniu skutku i prawdopodobieństwa według skal zdefiniowanych wcześniej, na etapie konfiguracji.

Wynikiem oceny ryzyk (przypisania im miary) jest mapa ryzyka – programiści popisali się na tym etapie największą fantazją oferując całą gamę różnych wersji mapy ryzyka: mapy opisujące ryzyka "twardymi" wartościami liczbowymi, uproszczone mapy "słupkowe", mapy klasyczne (5 x 5 pól), rozwinięte (nawet do 10 x 10 pól), dynamiczne mapy ryzyka, pokazujące na jednym wykresie jak dane ryzyko ewoluuje w czasie, czy też w końcu mapy zagnieżdząjące ryzyka małych biznes unitów (np. oddziałów) w ryzykach dużych jednostek biznesowych (np. korporacji, spółek).

Programy najczęściej oferują możliwość różnicowania pomiędzy ryzykiem pierwotnym i "skontrolowanym" (tzw residual risk – zmniejszone na skutek świadomych działań zarządczych). Różnicowanie tych ryzyk wyraża się w zmianie jednego lub obu parametrów ryzyka.

Moduł minimalizacji (kontrolowania) ryzyka pozwala na opisanie (zdefiniowanie celów) a następnie śledzenie działań naprawczych, ich statusu lub priorytetu. Moduł jest sprzężony z funkcją rozliczania właściciela ryzyka lub wykonawcy programu kontrolowania ryzyka z ich działań i decyzji oraz funkcją śledzenia stanu key risk indicators z możliwością np. ustalenia górnego i dolnego progu tolerancji, po przekroczeniu których uaktywniają się tzw alerty (informacja o przekroczeniu progu dozwolonej wielkości ryzyka). Program "Risk Register" firmy NOWECO wspiera przykładowo aż cztery odrębne techniki postępowania wobec ryzyka: działania prewencyjne (minimalizacja prawdopodobieństwa), transfer (ubezpieczeniowy i pozaubezpieczeniowy), działania kryzysowe (minimalizacja skutków już zaistniałego zdarzenia) i działania przywracające funkcjonowanie biznesu (Business Recovery).

Moduł monitorowania automatycznie monitoruje stan (np. status, wielkość) ryzyka oraz stan zaawansowania i skuteczność (wyniki) działań kontrolujących ryzyko. Wspomniana funkcja alertów działa jak system czujek dymu w systemie przeciwpożarowym lub jak czujek ruchu w systemie antywłamaniowym.

Moduł raportowania oferuje zwyczajowo od kilkudziesięciu do nawet kilkuset gotowych wzorów raportu, które mogą być dowolnie zmieniane przez użytkowników. Najczęstsze formaty raportów to popularne pdf, html lub MS Excel, Word, Access. Moduł raportowania zawiera oczywiście zaawansowane funkcje grafiki (wykresów), filtrowania i sortowania ryzyk, ich właścicieli, biznes unitów czy zagrożonych elementów majątku firmy.

Przy takiej różnorodności trudno wyraźnie określić granice pomiędzy modułami czy funkcjami "obowiązkowymi" i "opcjonalnymi". Mniej powszechne moduły (opcjonalne) są krótko opisane poniżej.

Opcjonalny moduł rejestrowania zdarzeń (szkód, wypadków, awarii) uwzględnia skutki zarówno finansowe (mierzalne) jak i pozafinansowe oraz umożliwia łączenie zdarzeń ze sobą a także przygotowanie działań prewencyjnych (reakcja na trendy szkodowe).

Opcjonalny moduł konsolidacyjny pomaga wykonać przegląd i porównanie ryzyk w różnych częściach bądź oddziałach firmy, lub ich zmiany w czasie. Ułatwia jednoznaczną identyfikację priorytetowych ryzyk w ujęciu interdyscyplinarnym (np. gdy różne części firmy lub holdingu prowadzą inny typ działalności gospodarczej).

Kilka innych ciekawych funkcji dodatkowych, które wydają się najbardziej przydatne to:
– (Enterprice Risk Assessor, Methodware): zmiana ryzyka w czasie pokazana na dynamicznej mapie ryzyka, dowolne zmiany nazwy pól i ich opisów (podpowiedzi), wprowadzenie bezpiecznego dostępu i zróżnicowanie prawa dostępu dla użytkowników;
– (Know – Risk, CorProfit): zmiana wyglądu ekranu i dowolne definiowanie które informacje są widoczne, które nie, budowa własnych filtrów do sortowania informacji;
– (Securac, Acerturs): symulator analizy "what if"
– (Risk Wizard, firma Risk Wizard) ? elektroniczna sekretarka śledząca zmiany KRI, terminy wykonania zadań minimalizujących ryzyko i wysyłanie mailowych przypominaczy wszystkim zainteresowanym.

Niestety, dokonanie trafnego wyboru nie jest łatwym zadaniem ? moim zdaniem należy wyboru dokonywać w chwili, gdy ramy systemu zarządzania ryzykiem są już stworzone i system zaczyna w firmie poprawnie funkcjonować (tj wiadomo, że nie będzie wymagał istotnych poprawek).

Poniżej zamieszczam moją ściągę (a nuż się przyda ?), podsumowującą oceny czterech finalistów, spośród których wybrałem dostawcę systemu jakieś trzy lata temu – proponuję ściągnąć plik i powiększyć na monitorze. Cenę oprogramowania zamieniłem (zachowując proporcje) na fikcyjną Międzynarodową Jednostkę Rozliczeniową (MJR). Z doświadczenia moge powiedzieć, że język (tj jego zmiana) nie jest najmniejszym problemem, podobnie jak strefa czasowa / geograficzna dostawcy – tym nie należy się kierować przy wyborze dostawcy. Życzę miłego wybierania ….

zestawienie systemów IT wspomagających ERM, (Rudnicki)