Jerzy w Krainie Czarów

Jedną z sesji na ostatniej Konferencji Polrisk, która stanowiła odskocznię od całej poważnej reszty, była sesja prowadzona przez Pana Jerzego Ziębę, chodzącego z etykietą firmy SMG/KRC HR. Z CV Pana Jerzego wynikało, że uczył się zarządzania ryzykiem w Australii – której pragmatyczne i prostolinijne podejscie do zarządzania ryzykiem cenię. Postanowiłem, że posłucham co ma do powiedzenia.

Zaczęło się efektownie – listą firm, które mają pokaźny dorobek jeśli chodzi o zarządzanie ryzykiem. Pan Jerzy przygotował nas na wstępie na olśnienie – pokaże jak to się robi „na zachodzie”, w nowoczesnych firmach, już od ponad dziesięciu lat. Drugi slajd (i ostatni, bo tylko na tym slajdzie opierała się większość prezentacji) z każdą minutą się komplikował, obrazując mnogość procedur, dokumentów, procesów, systemów i gąszcz strukturalny firmy a także zależnosci między nimi – w końcu odlecieliśmy w kosmos …

Pan Jerzy wielokrotnie powtarzał, że przecież mówimy o dużych, skomplikowanych mega-korporacjach. Ja się jednak nie zgadzam – mówimy o polskich firmach, funkcjonujacych tu i teraz – być może dużych zakładach przemysłowych, być może wielooddziałowych firmach dystrybucyjnych – lecz z całą pewnościa to nie skala Lockheed czy Rolls-Royce, znacznie mniejsze doswiadczenie w gospodarce wolnorynkowej, inne potrzeby mierzone ilością i stopniem skomplikowania systemów biznesowych i informatycznych.

Pan Jerzy również postawił tezę, że to „wymagania” są siła napędową wszystkich ryzyk (risk drivers). Słyszeliśmy np. o otoczeniu zewnętrznym i procesach biznesowych w firmie jako źródłach ryzyka, ale o wymaganiach … ? To bardzo mocno pachnie podejściem compliance, już odchodzącym do lamusa i niezbyt chwalonym w kontekscie ERM – wstyd sprzedawać to jako podejście nowoczesne.

Czekałem na konkrety, metody, wynalazki cały czas zapowiadane przez Pana Ziębę – ale nie nadchodziły. Natomiast „sprzedawany” nam świat, w którym firmy bazują wyłącznie na systemach informatycznych zarzadzających wymaganiami, dokumentacją, systemami, procesami i porozumiewających się między sobą niemalże bez udziału człowieka – to zwyczajna utopia. W wizji Pana Jerzego nie ma komitetów ryzyka, rejestrów ryzyka, ryzyka zmieniają się przez 24/7/365, systemy same je śledzą, „rozmawiają ze sobą” i prawie, że za nas decydują. Zdecentralizowane i dynamiczne zarządzanie ryzykiem – jak najbardziej tak, ale ERM to sposób podejmowania decyzji a nie sposób na uciekanie od decyzji.

Panu Jerzemu również nie podobało się polskie tłumaczenie COSO II (prawdopodobnie chodzi o wydanie PBSG). Panie Jerzy – z zapartym tchem czekamy na Pańskie, lepsze tłumaczenie. Nie żebym był jakimś specjalnym zwolennikiem COSO II (wręcz przeciwnie), czy firmy PBSG (ledwo raz się z nimi zetknąłem), ale moim zdaniem nie należy się tak przyczepiać do braku przymiotnika „ciągły” przy słowie „proces” w definicji ryzyka. W końcu proces może być tylko ciągły, inaczej nie byłby procesem …

Zastanowiła mnie również koncepcja ustalania prawdopodobieństwa każdego ryzyka w ten sposób, że „zbieramy ekspertów zewnętrznych, sadzamy ich do jednego stołu i każemy im wyliczyć”. Panie Jerzy, czy kiedyś wogóle próbował Pan to w ten sposób zrobić ? Kogo stać na tak luksusowy sposób ustalania podstawowych danych ? Być może Rolls-Royce …

Zastanowiła mnie – i powiem szczerze, zniecierpliwiła – otwarta krytyka autorskiego podejścia do ERM przedstawiana podczas konferencji np. przez zespół SGH czy przez członka Polrisk, a dotycząca modelu ERM tworzonego w Telekomunikacji Polskiej. „Zrobiliście panowie kawał dobrej roboty, ale nikomu niepotrzebnej. Tak się tego nie robi”.

Ale niestety, do końca prezentacji nie dowiedziałem się od Pana Zięby jak to się robi.

Zajrzałem jeszcze raz do CV udostępnionego w materiałach konferencyjnych:
– w Australii Pan Zięba zajmował się zarządzaniem ryzykiem korporacyjnym
– brał udział w tworzeniu „pierwszych na świecie standardów ERM” – tj. AS/NZS:2004 (to nie jest prawda, były inne wcześniej)
– prowadził firmy, zajmujące się wprowadzaniem pierwszych na świecie systemów ERM opartych na technologiach internetowych.

Zapytałem Kevina Knighta – guru z australijskim RMIA, twórcy AS/NZS 4360 oraz później ISO 31000 – czy kojarzy Pana Ziębę w kontekście zarządzania ryzykiem, RMIA lub zarządzania wogóle. Kevin stwierdził, że „z pewnością nie pamiętam, żeby mi to nazwisko kiedyś nawet wspominano w jakimkolwiek kontekście, również nie znalazłem żadnego odniesienia do niego w moich różnorakich notatkach”.

Z kolei moi znajomi dostawcy jednego z systemów informatycznych wspierających ERM i sprzedawanych w Australii, znali Pana Jerzego. Keith poinformował, że Pan Zięba przez niecałe dwa lata (2001-2003) zajmował się sprzedażą oprogramowania brytyjskiej firmy Strategic Thought, która jednak po jakimś czasie wycofała się z rynku, kiedy Pan Jerzy nie mógł wykonać zamierzonych planów sprzedaży.

To by wyjaśniało „ślizganie się” po powierzchni ERM i uciekanie do skomplikowanych systemów informatycznych… Panie Jerzy, może należaloby zacząć od własnoręcznego zaprojektowania i wdrożenia choćby jednego systemu ERM – niekoniecznie w wielkiej korporacji, ale chociażby w małym zakładzie. To znacznie pomaga nabrać nie tylko doświadczenia, ale i dystansu do swoich kwalifikacji i pokory w stosunku do trudnej sztuki ERM.

Prezent od Eyjafjallajökull – Wielka Chmura

Za meteogroup.pl: wulkan Eyjafjallajökull położony w południowo-wschodniej części Islandii zaczął przejawiać aktywność pod koniec 2009 roku – po 187 latach uśpienia. 20 marca 2010 doszło do pierwszego wybuch, a 14 kwietnia rozpoczął się drugi, silniejszy wybuch. Eyjafjallajökull jest wulkanem ukrytym pod lodowcem, co w konsekwencji wybuchu powoduje zagrożenie powodzią z powodu gwałtownego topnienia lodowca, a także sprawia, że pył wulkaniczny w połączeniu z parą wodną tworzy lotną chmurę, mogącą długo unosić się w powietrzu. Wybuch ma potężna energię, która sprawia, że pył może zostać wyrzucony na wysokość do 10-12 km. Pył w o największej koncentracji unosi się obecnie na wysokości około 6 km.

To próbka, jak „miękkie” zjawisko jakim jest zdarzenie klimatyczne może w sposób twardy uderzyć w gospodarki lub biznes i zabrać z dnia na dzień miliony (jesli nie w krótce miliardy) euro.

Spójrzmy na statystyke lotniczą:

czwartek 27% lotów w Europie odwołano
piatek prawie 60% lotów odwołano
sobota 78% lotów
niedziela 84% lotów.

Bieżące ruchy chmury pyłu można śledzić tutaj.

Oprócz wycieczek turystycznych odwoływane są konferencje, spotkania biznesowe, spotkania rządowe. Jak tak dalej pódzie, biznes stanie a co najmniej prowadzenie biznesu przestanie być lekkie, przyjemne i komfortowe. Również Polrisk ucierpiało przez Islandzki wulkan – Kevin Knight nie pojawi się na konferencji (Australia zamroziła połączenia lotnicze z Europą), przylot prelegentów z Londynu stoi pod zakiem zapytania.

Lufthansa i KLM już myślą jak prowadzić loty mimo zagrożenia pyłem wulkanicznym, naturalnie zmniejszając margines bezpieczeństwa. Pewnie będzie trzeba wrócić do podróży samochodem, pociągiem lub przesiąść się do mniejszych samolotów przemykających się poniżej chmury.

Islandczycy mówią, że ostatnim razem (prawie 200 lat temu), wulkan dymił prawie przez rok … Przyszło nam żyć w przedziwnych czasach …

Ocena dojrzałości systemu ERM – jakt to się robi w RIMS

W pewnym momencie, już po wdrożeniu systemu ERM przychodzi refleksja: czy to rzeczywiście działa, czy kierownictwo liczy się z elementem ryzyka w swoich codziennych decyzjach, czy jesteśmy już dobrzy w zarządzaniu ryzykiem czy też może to jeszcze okres niemowlęcy ? Co jest jeszcze dalekie od doskonałości, co poprawić ?

I wtedy zaczyna się mały problem: jak dokonać samooceny ?

Jest takie pojęcie „Risk Maturity Model”, które oznacza „Model Dojrzałosci Zarządzania Ryzykiem”. Jest to teoretyczny stan wzorcowy, do którego firma może się porównywać, żeby ocenić co jest jeszcze do poprawy. Większość znających się na rzeczy firm konsultingowych ma lepsze lub gorsze systemy autorskie. W Polsce taki model opracowała np. firma DNV, jednak za jego wykorzystanie trzeba zapłacić. Są jednak inne niezłe modele, a niektóre z nich są dostępne dla risk managerów za darmo.

Jednym z nich jest „RIMS Risk Maturity Model (RMM) for Enterprise Risk Management”. Nie jest to niestety dokument nowy (opublikowano go pod koniec roku 2006) , ale reprezentuje całościowe, holistyczne podejście do ERM. Nawiasem – RIMS to „The Risk and Insurance Management Society”, amerykańskie stowarzyszenie menedżerów ryzyka, jak dotąd liczebnie największe na świecie. Przeglądając listę twórców ich Modelu Dojrzałości, zobaczymy risk managerów firmy ubezpieczeniowej, energetycznej, paliwowej, branży rolnej, IT oraz konsultingu.

Niestety, ze względu na zastrzeżenia RIMS dotyczące ich praw autorskich, nie bedę mógł tutaj szczegółowo omówić ich metodologii i pytań. Poprzestanę jedynie na zasygnalizowaniu kilku charakterystycznych cech ich podejścia. Przede wszystkim, każdy menedżer ryzyka może zalogować się na witrynie RIMS i przystąpić do wypełnienia kwestionariusza on-line składającego sią z 25 pytań, a następnie (za darmo) otrzymać ocenę swojej firmy. Chętni mogą iść dwa kroki dalej – skorzystać ze szkolenia i przystąpic do członkostwa w RIMS.

Metodologia RIMS opiera się na 7 obszarach („atrybutach”), z których każdy jest oceniany w 5-cio punktowej skali dojrzałości.

Wspomniane atrybuty to:

Stopień wsparcia zarządu dla ERM-owego podejścia do biznesu
Stopień, w jakim proces ERM jest wpleciony w procesy biznesowe (powtarzalność i skalowalność, role i odpowiedzialność, raportowanie, jakościowy i ilościowy pomiar ryzyka)
Zarządzanie apetytem na ryzyko (zrozumienie równowagi pomiędzy ryzykiem a nagrodą, kierowanie się apetytem na ryzyko podczas decydowania, alokacja zasobów bazuje na percepcji ryzyka)
Stopień zdyscyplinowania i konsekwencji w docieraniu do przyczyn zagrożeń (stosowanie KRI i klasyfikacji ryzyka, rozumienie zależności i łańcucha przyczynowo-skutkowego)
Jakość i stopień penetracji (ogarnięcia) całokształtu firmy podczas działań identyfikowania i poznawania ryzyk
Zarządzanie efektywnością (np. z perspektywy finansowej, klienta, procesu biznesowego, wzrostu – tzw. balanced scorecard, zintegrowanie informacji ERM z planowaniem biznesowym). Proszę zauważyć, że to już znacznie wykracza poza ERM, to generalnie ocena jakości zarządzania firmą.
Odporność biznesu na sytuacje kryzysowe i jego zdolność do przetrwania (stopień, w jakim ERM i BCM są zintegrowane, planowanie bazujące na analizie scenariuszowej).

Atrybuty zostały tak pomyślane, że są zgodne z wieloma branżowymi standardami, m.in. z Australisko-Nowozelandzkim, amerykańskim COSO ERM oraz Sarbanes-Oxley a także – co ciekawe – z wymaganiamii Standard & Poor’s dotyczącymi ERM. Zastanawiam się, jak to osiagnięto w dokumencie z listopada 2006, skoro Standard & Poor’s zaczęło formułować swoje wymagania dotyczące ERM dopiero na przełomie 2008 i 2009 … Ze zgodności Modelu Dojrzałości RIMS z wieloma rozpoznanymi, dobrymi praktykami wynika podstawowa zaleta tego narzędzia: możliwość porównywania się (tzw. benchmark) do innych firm wg obiektywnego, uniwersalnego i publicznie dostępnego wzorca.

Jednak Model RIMS nie jest również pozbawiony wad, które „odkryłem” podczas próby wykorzystania go do oceny dojrzałości istniejącego systemu ERM w jednej z polskich firm z rynku energetycznego. Okazuje się, że amerykański Risk Management Maturity Model w sposób zbyt ogólny formułuje pytania, a zatem dla firm początkujacych jest trudny do wykorzystania. Mam równiez wrażenie, że jest zbyt odległy od nurtu europejskiego ERM (nieproporcjonalnie duży nacisk na procesy i funkcje kontrolingowe oraz compliance i business continuity).

Z tego też względu niedawno zabrałem się za stworzenie własnego modelu oceny dojrzałości systemu ERM, bazującego na 54 bardzo konkretnych pytaniach, na które w większosci można odzieluć odpowiedzi tak/nie lub źle/dostatecznie/dobrze, a zatem model może być wykorzystany przez początkujące firmy. Dziesięć obszarów analizowanych w moim ujęciu, to:

sposób w jaki projektowano i wdrażano system ERM
założenia co do kryteriów, miar i oceny ryzyka
podział ról, kompetencji i odpowiedzialności w kontekście ryzyka
jakość właścicielstwa ryzyk
monitorowanie i raportowanie związane z procesem zarządzania ryzykiem
realne działania podejmowane w sprawie ryzyk
komunikacja i performance w obszarze ryzyk
sposób zbierania i wykorzystywania informacji o ryzykach i o zarządzaniu ryzykami
holistyczne a silosowe zarządzanie ryzykiem
rola zarządu w systemie ERM.

Kształtując swoją autorską metodologię oceny dojrzałości systemu ERM doszedłem do wniosku, że taka metoda powinna być z jednej strony oparta na konkretnych pytaniach a z drugiej bardzo uniwersalna i pojemna, zważywszy, że w różnych branżach i firmach system ERM może wyglądać inaczej i służyć różnym celom.

Dlaczego ?

Po tym co się stało, pozostaje bez odpowiedzi wiele pytań. Jednak trzy będą trwały niezależnie od wszystkich odpowiedzi:

Dlaczego wszyscy lecieli razem ? Panowie generałowie, to od Was biznes uczył się, że tego nie wolno robić …
Dziennikarze – dlaczego wśród ofiar prawie nigdy nie wymieniacie załogi ?
Dlaczego oskarżacie pilotów, nie mając wiedzy co się wydarzyło w kabinie Tupolewa i jakimi informacjami pilot się kierował ?

Kpt. pil. Arkadiusz Protasiuk – pierwszy pilot samolotu. Miał 36 lat. Był absolwentem Wyższej Szkoły Oficerskiej Sił Powietrznych w Dęblinie (1997 r.), Wydziału Dziennikarstwa i Nauk Politycznych Uniwersytetu Warszawskiego (1999 r.) oraz Wydziału Cybernetyki Wojskowej Akademii Technicznej (2003 r.). Od 1997 roku służył w 36. specjalnym pułku lotnictwa transportowego, a od 2009 r. był dowódcą załogi. Został odznaczony Brązowym Medalem Za Zasługi dla Obronności Kraju. Wylatał 1939 godzin.

Mjr Robert Karol Grzywa – był drugim pilotem. Także miał 36 lat i także został odznaczony Brązowym Medalem za Zasługi dla Obronności Kraju. Był absolwentem Wyższej Szkoły Oficerskiej Sił Powietrznych (1997 r.), ukończył też Zarządzanie Ruchem Lotniczym w Akademii Obrony Narodowej (2003 r.). Od 1997 roku służył w 36. specjalnym pułku lotnictwa transportowego jako dowódca klucza, nawigator, a od 1 lipca 2007 roku jako oficer sekcji. Wylatał 3521 godzin.