Miesiąc: Grudzień 2009

Andrey Elokhin – swieży powiew zza Buga

„Jeśli zbudujesz nowy dom, zrób balustradę na dachu, żebyś nie obciążył swego domu winą krwi, ponieważ ktoś mógłby się przewrócić i z niego spaść” (Ks. Powtórzonego Prawa 22:8)

Mniej więcej w czasie ostatniego Forum FERMA, Pan Andrey Elokhin, risk manager w firmie Lukoil, zostal okrzyknięty przez Business Insurance europejskim menedżerem ryzyka roku 2009. Po poprzednich nominacjach, jakie otrzymali rasowi, zachodnioeuropejscy gracze dużego kalibru, nominacja kogoś z Rosji, gdzie w kwestiach ryzyka jeszcze słoma wychodzi z butów, jest po prostu rewelacją. Przyjrzyjmy się tej rewelacji bliżej.

Pan Elokhin ma akademickie przygotowanie w dziedzinie matematyki i nie stroni od jej wykorzystania podczas badania ryzyk. Spędził 15 lat pracując w Instytucie Naukowo Badawczym Ministerstwa Zarządzania Kryzysowego (Ministry of Emergencies). Jest autorem kilku książek z dziedziny zarządzania ryzykiem, m in. „Ubezpieczenia w sektorach wysokiego ryzyka: niektóre aspekty inżynieryjne”, „Analiza i zarządzanie ryzykiem: teoria i praktyka” oraz setek opracowań i raportów. W latach 90-tych pomagał również tworzyć prawo regulujące bezpieczeństwo przemysłowe. W jego życiu nie brakuje nawet wątków sensacyjnych – był pierwszym inżynierem, jaki osobiście wszedł na teren reaktora w Czernobylu, zaraz po jego wybuchu, aby ocenić sytuację i zarekomendować pierwsze działania zaradcze.

Zachodnioeuropejscy konsultanci twierdzą, że zarządzanie ryzykiem jest dziedziną nie rozumianą w Rosji, gdzie wiele osób nazywa siebie menedżerami ryzyka mimo, że są jedynie kupcami ubezpieczeń. W swoim kraju, gdzie zarządzanie ryzykami innymi niż finansowe jest traktowane po macoszemu, Pan Elokhin nie ma łatwego zadania – jednak postanowił rozwinąć dojrzałą kulturę zarządzania ryzykiem począwszy od agencji rządowych po przedsiębiorstwa prywatne.

Zdaniem Andreya, pierwsza wskazówka charakterystyczna dla ERM pojawia się już w Starym Testamencie (w cytowanej wyżej Księdze Powtórzonego Prawa), gdzie Mojżesz nawołuje do działań prewencyjnych, mających zapobiec dramatycznym skutkom pozostawienia ryzyka samemu sobie.

Dzięki jego osobistym osiągnięciom, oraz ścisłej współracy z konsultantami z Londyńskiej firmy Suregrove, o firmie Lukoil mówi się teraz, że wyznacza rynkowe wysokie standardy szacowania i prezentowania profilu ryzyka tego typu firm. Pan Elokhin opracował i wdrożył program, który stał się modelowym rozwiązaniem dla sektora paliwowego w Rosji. Zdarza się, że nawet konkurenci Lukoil starają się podpytać i nauczyć od Andreya.

Jest on wiceprezesem Rosyjskiego Towarzystwa Zarządzania Ryzykiem (Rusrisk). Jego prezes, Wiktor Vereshchagin ocenia, że od początku istnienia tej organizacji Elokhin był jej motorem napędowym. Jest współtwórcą najnowszej rosyjskiej terminologii i metodologii zarządzania ryzykiem, stworzył zespół ekspercki, który przekłada główne tytuły dotyczace ERM na język rosyjski.

Być może czas na zmianę warty w Rusrisk ? Chyba się kończy czas liderów biegłych w zacieśnianiu więzów z zagranicznymi delegatami przy kieliszku czegoś mocniejszego, a zaczyna czas profesjonalistów z konkretnymi osiągnięciami.

Mam apetyt na ryzyko

Apetyt i tolerancja na ryzyko – to magiczne słowa, jakie coraz częściej pojawiają się w prezentacjach, metodologiach i opracowaniach dotyczących ERM. Aby firma była w stanie zająć świadome stanowisko wobec swoich ryzyk i zdecydować jaką przyjąć filozofię postępowania wobec całego portfela ryzyk, powinna najpierw określić jaki jest jej apetyt na ryzyko, oraz (lub ?) tolerancja na ryzyko. Na ostatnim Walnym Zebraniu Polrisk ktoś powiedział, że „z apetytem i tolerancją na ryzyko jest jak z Yeti” (tj. niby ktoś go widział, ale nikt nie ma pewności jak wygląda i gdzie go znaleźć). Czy apetyt i tolerancja na ryzyko są tożsame, czy też określają inne wielkości ? Czy należy je określać indywidualnie dla każdego ryzyka, dla grupy (kategorii) ryzyk czy też dla całego portfela ryzyk w firmie ? Nie ma w tym względzie jednomyślności zarówno między firmami (praktykami) jak i teoretykami ERM, firmy robią to intuicyjnie. Również przedstawiciel Deloitte na tym samym spotkaniu nie był w stanie jednoznacznie, w sposób ostry przedstawić sposobu wykorzystania obu pojęć w praktyce.

Już kilka late temu w gronie Polrisk zaproponowaliśmy następującą definicję:
„Zdolność organizacji do zakceptowania określonego poziomu ryzyka, który będzie nieustannie kontrolowany np. za pomocą środków kontroli ryzyka. Poziom tolerowanego ryzyka można wyliczyć jedną z metod koszykowych, bazujących na podstawowych parametrach finansowych firmy: obroty, zysk, majątek trwały. Ryzyko akceptowalne jest zwykle znacznie mniejsze niż ryzyko tolerowane, są to dwie różne wartości i pojęcia.”

Apetyt na ryzyko to ciągle bardziej koncepcja, teza, niż przydatne i praktyczne narzędzie. Nadal, ma ona wielu przeciwników, jak np. Richard Anderson: „… in my mind most of what is written about risk appetite is self-serving nonsense. As we stand at the moment, risk appetite is almost impossible to measure and can never sensibly be expressed … The suggestion that risk appetite is an elusive concept is anathema to many risk practitioners and risk consultants. However, there is no adequate approach to risk appetite that fits comfortably within a risk management framework.”

Panowie J. David Dean i Andrew F. Giffin w artykule „What’s Your Risk Appetite ?” opublikowanym w Emphasis 2009/1*, różnicują te dwa pojęcia w ten sposób, że zarówno apetyt jak i tolerancja to maksymalna całkowita (zagregowana) ekspozycja na ryzyko, jaką firma chce (bądź może) na siebie przyjąć podczas sięgania po swoje cele biznesowe, przy czym:

  • apetyt to wartość o charakterze jakościowym, opisowym , wyznaczona przez zarząd w dyskusji z managerami i po konsultacjach z udziałowcami
  • tolerancja to wartość o charakterze ilościowym, jaka może być monitorowania w różnych zakątkach firmy.

Innymi słowy, oba terminy oddają zarówno konieczność ograniczania ryzyka jak i jego podejmowania. Kaskadowanie poziomów tolerancji na ryzyko, o jakim piszę niżej, nazywają wyznaczaniem limitów ryzyka dla poszczególnych departamentów. Dalsze wywody, wiążące te parametry z kapitałem ekonomicznym, mówiące o konieczności „przetestowania” tych limitów oraz dotyczące VAR i procentowo określonych poziomów pewności osiągnięcia celów tzw performance, wskazuje na bankowe doświadczenia autorów. Jednak uniwersalne są co najmniej dwa znajdujące się w tekście stwierdzenia:

  • apetyt (tolerancja) na ryzyko jest pomostem łączącym strategię z zarządzaniem ryzykiem,
  • nie wystarczy ich ustalenie na poziomie organizacji jako jednej zagregowanej wartości, konieczne jest ich odzwierciedlenie na niższych poziomach zarządczych.

Poniżej przedstawiam mój nieco odmienny pogląd, propozycję jak te terminy należy rozumieć, uporządkować i w praktyce wykorzystać w firmie.

Wszelkie ryzyka można dzielić na różne sposoby, jednak w omawianym kontekście jest istotny jedynie podział na ryzyka:

  • czyste (hazardowe, „negatywne”) – np. pożar, śmierć pracownika przy linii produkcyjnej, zmniejszenie kontyngentu na nasz produkt w kraju naszego głównego odbiorcy …
  • spekulacyjne („pozytywne”) – np. rozpoczęcie sprzedaży nowego prodktu, zainwestowanie w nową technologię produkcji, inwestowanie w opcje …

Pierwszych w firmie nie chcemy widzieć wogóle, a jeśli już musimy je tolerować to najchętniej na najniższym możliwym poziomie jaki można osiągnąć bez wydawania na to majątku. Jeśli ryzyka czyste staną się zbyt wielkie (a pamiętajmy, że za ich ponoszenie firma nie otrzyma żadnych benefitów), to zarząd czuje się niekomfortowo i wychodzi z gry lub reaguje inaczej – gdyż został przekroczony jego próg tolerancji na ryzyko.

Drugie ryzyka to te, które chcemy świadomie podejmować, w zamian za obietnicę adekwatnych zysków. Niektóre firmy są bardziej skłonne niż inne do inwestowania w ryzykowne technologie, gdy jest sporo do wygrania. Zarządy, które mają spory apetyt na zyski czerpane z nowych technologii mają nieuchronnie spory apetyt na ryzyko, jakie się z nimi wiąże – to ryzyko ich nie zraża, nie stanowi dla nich nadmiernego dyskomfortu.

Tutaj można się na moment zatrzymać i podsumować: moim zdaniem tolerancja na ryzyko i apetyt na ryzyko opisują inne zjawiska, parametry stanu umysłowego zarządu i powinny być traktowane i wyznaczane odrębnie.

Jak w praktyce wyznaczać i wykorzystać te wielkości ?

Przyjmijmy, że jest sobie zakład produkcji chemicznej, którego CFO ocenił, że sytuacja finansowa firmy pozwoliłaby jej teoretcznie sfinansować samodzielnie jednorazową stratę w wysokości 60 mln PLN. Każda większa stratę mogłaby pociagnąć firmę w kierunku bankructwa. Zarząd następująco zdecydował co do swojego do apetytu (na „dobre”) i tolerancji (na „złe”) ryzyko:

  • apetyt = 2/3 ww. kwoty progowej (tj. zarząd jest w stanie położyć na szali 40 mln, jeśli przedsięwzięcie łączy się z wystarczająco dużym zyskiem)
  • tolerancja = 1/3 ww. kwoty progowej (tj. żadne zagrożenie inherentne dla biznesu, ale nie niosące za sobą żadnych konkretnych zysków, nie może zabrać firmie więcej niż 20 mln).

Firma przymierza się do zbudowania nowej fabryki, gdzie z wykorzystaniem nowatorskiej technologii zamierza produkować jako pierwsza na świecie nową klasę produktu. Wśród wielu ryzyk jakie zidentyfikowano, pojawiają się dwa główne:

  • ryzyko spekulacyjne: (1) jeśli nowa technologia będzie funkcjonować tak, jak się tego firma spodziewa, można liczyć na dodatkowe 150 mln przychodów rocznie, (2) jeśli technologia zawiedzie lub się „nie sprzeda”, to firma poniesie koszt nietrafionej inwestycji w wysokości 25 mln
  • ryzyko czyste: pożar hali produkcyjnej spowodowany utratą kontroli nad nowym procesem produkcji bedzie firmę kosztował 40 mln zł.

Decyzja zarządu wobec tych ryzyk będzie prawdopodobnie wyglądać następująco: ryzyko spekulacyjne takiej wielkości jest warte podjęcia (zarząd ciągle ma na nie apetyt), natomiast ryzyko czyste jest nie do przyjęcia (zarząd takiego ryzyka nie toleruje). Innymi słowy – nowa technologia i fabryka tak, ale w innej konstrukcji budynku, z innymi zabezpieczeniami czy warunkami technicznymi lub ze skutecznym transferem ryzyka np. na ubezpieczyciela.

To był stosunkowo prosty przykład. W rzeczywistości nie ma decyzji zero-jedynkowych lecz wielość departamentów, projektów, procesów, ryzyk i ich właścicieli. Zatem dobrą praktyką byłoby „kaskadowanie” progów tolerancji i apetytu na ryzyko na niższe poziomy zarządcze (jednestki biznesowe, dyrektorzy departamentów itp.). Apetyt na przykład w proporcji do zysków lub przychodów jakie generują departamenty, a tolerancja np. do wartości majątku jakim zarządzają. Każdy dyrektor powinien wiedzieć, ile ryzyka może sumarycznie pociągnąć za sobą jego polityka sprzedażowa (apetyt na ryzyko), oraz jaki poziom ryzyka czystego może w sumie zaakceptować (tolerować) swoim departamencie. Takie kaskadowanie jest lustrzanym odbiciem kaskadowania celów biznesowych od poziomu zarządu do poziomów dyrektorów i kierowników, oraz kaskadowania właścicielstwa ryzyka, w dół tych samych szczebli zarządczych. Stanowi to czytelny sygnał dla właścicieli ryzyk (menedżerów) na poszczególnych szczeblach, czego zarząd od nich oczekuje: na ile agresywnie mają sięgać po „dobre” ryzyka i jak duża lub mała ma być ich awersja do „złych” ryzyk.

* Patrz również: „Risk Appetite: A Boundary for Decisions”, Emphasis 2008/1.