Miesiąc: Wrzesień 2010

8 Dyrektywa

Dobre praktyki dla spółek notowanych na GPW stanowią w sekcji III pkt 1, że rada nadzorcza powinna raz w roku sporządzać i przedstawiać zwyczajnemu walnemu zgromadzeniu zwięzłą ocenę sytuacji spółki, z uwzględnieniem oceny systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki. Taki zapis w Dobrych Praktykach obowiązuje już od co najmniej trzech lat, jednak spółki robią z tym zapisem „dziwne rzeczy” – albo go nie rozumieją i interpretują jako zapis o charakterze SOX, albo udają że nie rozumieją – gdyż boją się zarządzania ryzykiem i nie wiedzą co z nim począć.

Pierwszy z brzegu przykład oświadczenia spólki giełdowej o stosowaniu Dobrych Praktyk:
„3. Opis głównych cech stosowanych w spółce systemów kontroli wewnętrznej i zarządzania ryzykiem w odniesieniu do procesu sporządzania sprawozdań finansowych i skonsolidowanych sprawozdań finansowych”. Proszę zwrócić uwagę, jak zgrabnie spółka sprowadziła bardzo ambitne zadanie „zarządzania ryzykiem istotnym dla spółki” do czynności czysto księgowej – „żebyśmy tylko nie pomylili się w papierach dotyczących sprawozdania finansowego”. W tym miejscu każdego risk managera aż korci, żeby rzucić jakimś bardzo ciężkim słowem.

Z drugiej strony, to idealna sytuacja, w której powinno uaktywnić się Stowarzyszenie Polrisk i wydać przewodnik, manual, zalecenia – cokolwiek, co ten krótki zapis z Dobrych Praktyk zamieni w jednoznaczy opis ról, obowiązków, zadań i ich rezultatów, adresowany do zarządów i rad nadzorczych spółek notowanych na GPW. Jestem przekonany, że jeśli będzie to rzetelnie przygotowany dokument, znajdzie poparcie wśród środowisk giełdowych.

Do tej pory spółki mogły postępować jeszcze bardziej przewrotnie – mogły w swoich oświadczeniach zwyczajnie informować, że w spółce nie ma systemu zarządzania ryzykiem i/lub kontroli wewnętrznej a zatem rada nadzorcza zwalnia się z obowiązku kontrolowania tegoż i meldowania akcjonariuszom. To trochę tak, jakby specjalista ppoż w przedsiebiorstwie produkcyjnym informował, że „u nas nie stosuje się gaśnic ani hydrantów, w związku z tym specjalista ppoż nie widzi potrzeby aby raportować zarządowi nt stanu systemu ppoż w przedsiębiorstwie”.

Jednak należy pamiętać, że od paru lat mamy Dyrektywę UE nr 8, która (w najnowszej wersji) w artykule 41 sekcji 2b jednoznacznie stwierdza, że:
„komited audytu (tj organ rady nadzorczej) powinien monitorować efektywność systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem”
Interesujące nas zapisy z Dobrych Praktyk GPW stają się zatem obowiązującym prawem. Przez niektórych, 8 dyrektywa jest zwana „europejskim Sarbanes Oxley Act” lub Euro-SOX, choć moim zdaniem to nazwa krzywdząca i spłycająca sens dyrektywy (niezależnie od faktu, że 8 dyrektywa pozostawia spółkom znacznie wiecej swobody niż SOX w obszarze „JAK ?”). Tak jak na poziomie narodowym w naszym Kraju zabrakło szybkiej reakcji społeczności menedżerów ryzyka na pojawienie się Dobrych Praktyk, tak na rynku europejskim społeczność w końcu zareagowała i to właściwie. FERMA (Federation of European Risk Management Associations) wraz z ECIIA (European Confederation of Institutes of Internal Auditing) wspólnie zredagowały i opublikowały przewodnik dla rad nadzorczych, zarządów, audytorów wewnętrznych i komitetów audytów, oraz osób odpowiedzialnych za zarządzanie ryzykiem i kontrolę wewnętrznę w spółkach.

Przewodnik stanowi wykładnię, jak 8 dyrektywa (art 41 sekcja 2b) powinna być należycie rozumiana. Nawiasem, przewodnik jednoznacznie stwierdza, że mechanizmy kontroli wewnętrznej stanowią jedynie element składowy systemu zarządzania ryzykiem.

Co ciekawego znalazłem w przewodniku ? Przede wszystkim jasny podział ról i obowiązków podstawowych szczebli zarządczych spółki:

  • Rada nadzorcza
    1. ustanawia apetyt na ryzyko
    2. jest informowana o najwazniejszych ryzykach spółki
    3. upewnia się, że zarząd własciwie reaguje na nie
  • CEO i zarząd
    1. odpowiada za zaistnienie w spółce właściwej kultury i środowiska sprzyjających ERM
    2. stanowi siłę przewodnią dla dyrektorów operacyjnych w kontekście zarządzania ryzykiem
    3. reaguje w sytuacji braku harmonii pomiędzy apetytem na ryzyko a podejmowanym ryzykiem
    4. członkowie zarządu osobiście zarządzaja istotnymi ryzykami w ich obszarach funkcjonalnych lub kompetencyjnych
  • Dyrektorzy operacyjni
    1. są właścicielami ryzyk w obszarze konkretnych funkcji, procesów i departamentów
    2. odpowiadają za codzienne czynności i procedury systemu zarządzania ryzykiem.

Obie organizacje, które stworzyły przewodnik,  jednoznacznie popierają utworzenie centralnej funkcji risk managera, który powinien raportować bezpośrednio do CEO lub członka zarządu. Przywołują nawet górnolotny tytuł Chief Risk Officer, sugerujący zasiadanie w zarządzie.

  • Obowiązki risk managera bądź jego działu to:
    1. ustanawianie celu dla ERM (choc zdaniem autora poprzeczka odpowiedzialności jest postawiona zbyt wysoko, to jest bowiem rola zarządu)
    2. ustanowienie ram, procesów i funkcji systemu zarządzania ryzykiem
    3. promowanie kompetencji potrzebnych w zarządzaniu ryzykiem (wspólny język i kryteria oceny, zasady raportowania).
  • W końcu zdefiniowana zostaje rola audytu wewnętrznego:
    1. gwarantowanie, że ryzyka w spółce są rozumiane i właściwie oraz aktywnie zarządzane
    2. funkcjonowanie w roli wewnętrznego konsultanta, doradzającego jak poprawić funkcjonowanie corporate governance, zarządzanie ryzykiem i środowisko kontroli.

Warunkiem powyższego jest całkowita niezależność audytu.

Trzy podstawowe systemy omawiane w przewodniku: kontroli wewnętrznej, zarządzania ryzykiem oraz audytu wewnętrznego stanowią tzw. „trzy linie obrony” i fundamenty corporate governance.

W sferze szczegółowych zaleceń przewodnika interesujące są następujące tezy:

  • sens wymaganego przez 8 dyrektywę monitorowania efektywności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem polega na uzyskaniu dogłębnej wiedzy, jak zagrożenia i szanse wpłyną na model biznesowy i zdolność generowania wartości przez firmę
  • właścicielstwo ryzyka jest częścią zasady delegowania obowiązków w firmie, a jakość jego sprawowania wpływa na zasady wynagradzania
  • przedmiotem raportowania ryzyk powinien być nie tyle ich stan, co zmiana
  • ważne i często niedoceniane komponenty systemu kontroli wewnętrznej to kultura i „code of conduct” organizacji (w tym ochrona tzw. whistleblowers), polityka HR oraz system motywacyjny
  • dwa podstawowe warunki skutecznej kontroli wewnetrznej to niezależność i profesjonalizm audytorów.

Przewodnik podsumowuje, że monitorowanie efektywności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem wymaga sporego zaangażowania czasowego członków rady nadzorczej (komitetu audytu), wykraczającego poza kilka spotkań.

Zredagowanie takiego dokumentu to kolejna dobra inicjatywa FERMA, zasługująca na lokalne naśladownictwo. Dla nas, risk managerów, to spora szansa rozwoju profesji – mówi jego współautor, Paul Tylor. Przewodnik jest dostępny do pobrania na witrynie FERMA.

 

Poniżej pobieżne porównanie 8 Dyrektywy oraz SOX:

Kurs Polrisk – druga runda …

W dniach 6 i 7 września zespół uczestników Certyfikowanego Kursu Zarządzania Ryzykiem POLRISK spotkał się znowu, aby odbyć drugi moduł kursu. Moduł był łatwiejszy dla grupy – była już oswojona ze sobą, a trudniejszy dla trenera – czyli dla mnie, ze względu na wzrastające wymagania i apetyt uczestników. Uczestnicy reprezentowali sektory i spółki o niebagatelnym doświadczeniu we wdrażaniu ERM – między innymi sektory paliwowy, energetyczny i budowlany. Na wymagania wobec trenera nakładały się wymagania wobec modułu – poświęconemu w całości korporacyjnemu zarządzaniu ryzykiem. Tak wymagająca grupa stanowiła nie lada wyzwanie ale była źródłem satysfakcji – kurs toczył się własnym tempem, jakie nadawali mu sami uczestnicy.

Wyjaśniliśmy sobie, dlaczego tak trudno wtłoczyć różne ryzyka w firmie w ramy jednego systemu: poszczególne grupy czy klasy ryzyk funkcjonują z trzema różnymi prędkościami, z którymi system ERM powinien dać sobie radę: ryzyka operacyjne czyli doraźne i częste incydenty, ryzyka taktyczne związane z powodzeniem projektów, zmieniające się ze średnią prędkością, i w końcu wolno zmieniające się ryzyka strategiczne – niepowodzenia lub sukcesy długofalowych planów rynkowych i produktowych. To trochę jak próba jazdy każdą nogą na innych schodach ruchomych, posuwających się z różnymi prędkościami.

Grupa zmierzyła się z wybraniem właściwego miejsca dla risk managera w firmie, tak aby zmaksymalizować jego wpływ na organizację, szanse dokonania w niej zmian oraz nie narażać go na eskalację konfliktów z pozostałymi działami w firmie. Niektórzy skonkludowali, że najpierw należy … gruntownie zmienić całą strukturę organizacyjną. Doszło do ciekawej wymiany opinii na temat miejsca i roli audytu wewnętrznego wobec systemu ERM, a tych obu w stosunku do corporate governance i priorytetów, jakie wyznacza. To ciągle gorący i jeszcze nie „poukładany” temat.

Dłużej zatrzymaliśmy się na niektórych metodach analizy ryzyka – między innymi rozebraliśmy wydumany przypadek katastrofy kolejowej na czynniki pierwsze z wykorzystaniem metody Bow-Tie.

Sporo pytań wywołało hasło czy i kiedy wdrażać RMIS (system informatyczny wspierający ERM). Okazuje się, że większość firm uczestników jest o krok przed podjęciem decyzji o wyborze dostawcy oprogramowania i firmy zdają sobie sprawę z możliwych do popełnienia i trudnych do skorygowania błędów, choć nie mają jeszcze wyobrażenia, jakiego efektu na całą organizację – poza samym funkcjonowaniem oprogramowania – można się spodziewać.

Zagadnienie zarządzania kryzysem okazało się szczególnie emocjonujące a uczestnicy mieli możliwość wykazania się własnymi doświadczeniami. Kulminacją emocji była symulacja kryzysu w czasie rzeczywistym, przez który wszystkie grupy warsztatowe przeszły dobrze bądź celująco.

Co bankowość ma wspólnego z hodowlą łososia i strażą pożarną ?

Niedawno dotarłem do bardzo ciekawego raportu:”Rethinking Risk Management in Financial Services. Practices from other domains„, jaki powstał po kryzysie finansowym, pod patronatem World Economic Forum. W epoce przedkryzysowej wszyscy z zazdrością patrzyliśmy, jak banki potrafiły doskonale rozpracować swoje ryzyka i opisać je algorytmami i jak – wydawało się – nad nimi panują. Okazało się jednak wkrótce, że to jedynie fasada a pod spodem jest spory bałagan i brak wiedzy o własnych produktach i towarzyszących im ryzykach, nie mówiąc o kontroli nad nimi.

W epoce pokryzysowej, banki stoją pod pręgierzem i z jednej strony często gęsto się tłumaczą a z drugiej zaciskają pasa kredytom (i swoim klientom). Teraz, jak emocje nieco przycichły, wnikliwe badania – jak to na przykład prowadzone przez World Economic Forum pokazują, że role się odwracają – banki powinny się uczuć zarządzania ryzykiem na podstawie osiągnięć w innych dziedzinach. Hodowla ryb, zwalczanie pożarów na wielkich połaciach lasu, farmaceutyka, lotnictwo, telekomunikacja, kontrolowanie chorób zakaźnych czy też przemysł chemiczny i logistyka – tam finansiści powinni szukać przykładów i inspiracji.

raport World Economic Forum

Badania i dyskusje ekspertów wynajętych przez World Economic Forum wyselekcjonowały trzy obszary, w których banki i instytucje finansowe mogą uczyć się od innych sektorów:

  • perspektywa systemowa (kompilacja i zestawienie zależności między ryzykami oddziałującymi pomiędzy instytucjami, w odróżnieniu od wyizolowanych ryzyk dotyczących określonych transakcji czy instytucji)
  • transparentność i obieg informacji (to mechanizmy powodujące, że informacja płynnie krąży nie tylko w obrębie jednej organizacji ale w obrębie całego systemu, to sposób w jaki sygnały alarmujące o zagrożeniach są odbierane, raportowane i wykorzystywane przez decydentów w całym systemie)
  • właścicielstwo i kultura ryzyka (zasady dotyczące własności ryzyka i nadzoru nad nim; pytania dlaczego pewne decyzje są podejmowane, jak, przez kogo i na jakiej podstawie).

W zakreślonych obszarach skupiono się tylko na doświadczeniach, jakie w pewnym stopniu da się przenieść z innych dziedzin do sektora finansowego oraz zaakceptowano fakt, że żadna z analizowanych dziedzin nie opanowała zarządzania ryzykiem do perfekcji. Jakie inspiracje były dla mniej najciekawsze ?

Światowa Organizacja Zdrowia (WHO) pomaga tworzyć krajowe plany kryzysowe, które miałyby być uruchamiane przez globalne alerty dotyczące na przykład pandemii a następnie wymagają, aby krajowe organizacje przeprowadzały realistyczne testy i symulacje sytuacji kryzysowych. Podobnie, banki powinny tworzyć plany kryzysowe, które odpowiadałyby na duże zagrożenia systemowe, pochodzące spoza samej organizacji. Takie plany powinny być intensywnie testowane – szczególnie pod kątem długofalowych, strategicznych konsekwencji.

W dziedzinie immunologii uważa się, że najniebezpieczniejsze wirusy to te, które potrafią zmutować zanim nastąpi odpowiedź systemu odpornościowego, gdyż w ten sposób zdolność organizmu do obrony zawsze pozostaje w tyle za atakiem wirusa. Przez analogię, instytucje i regulatorzy finansowi powinni czujnie obserwować „mutujące” instrumenty, charakteryzujące się szybkim wzrostem i dużą zmiennością i wykorzystać wszystkie dostępne narzędzia kontrolowania ryzyka w przypadku powstania nowych mutacji.

Strażacy i specjaliści od zwalczania „dzikich pożarów” lasu (wildfires) twierdzą, że w niektórych okolicznościach – kiedy nie ma wysokiego zagrożenia życia ludzkiego – lepiej jest pozwolić się wypalić pożarowi i dać mu pochłonąć pewien obszar, aby w ten sposób odizolować i ochronić cały regionalny ekosystem. Jak to się przekłada na system finansowy ? Należy pozwolić słabym instytucjom na zbankrutowanie (vide finansowe wsparcie z budżetów państw) oraz utworzyć „przegrody ogniowe” – które spowodują, że pożar systemu finansowego obejmie jedynie jego słabą część, a większość tego systemu pozostanie odizolowana.

W farmaceutyce, nowe leki podlegają dogłębnym testom i badaniom – między innymi skutków ubocznych i interakcji z innymi lekami. Podobnie, sektor usług finansowych powinien rutynowo przeprowadzać szczegółowe analizy nowych produktów i strategii inwestowania na cały rynek (system). Takie analizy powinny spoglądać znacznie dalej, niż tylko bezpośrednie skutki wprowadzenia nowych produktów i strategii. Regulatorzy powinni mieć możliwość ograniczania wolumenu produktu na rynku, jeśli jego dalszy wzrost mógłby być potencjalnie niebezpieczny dla systemu.

W roku 2007, miliony hodowlanych łososi chilijskich padło ofiarą wirusa – podobnie, jak system bankowy padł ofiarą własnych toksycznych produktów. Okazało się, że tym razem wielka skala była słabością: duża gęstość hodowli, stosowanie identycznych środków zapobiegawczych i antybiotyków w stosunku do każdego osobnika, wyeksponowały całą hodowlę na jedno wspólne zagrożenie biologiczne. Raport sugeruje, że finansowi regulatorzy powinni zachęcać banki do rozwijania niejednorodnych środków zarządzania ryzykiem – w zależności od profilu banku – oraz wprowadzać wyższe wymogi kapitałowe w stosunku do powtarzalnych produktów (instrumentów), które się rozwijają na rynku na wielką skalę i charakteryzują się wysoką zmiennością i wysokim wzrostem.

W lotnictwie cywilnym przyjęło się, że pilot i drugi pilot oraz mechanicy mogą zarządzić opóźnienie lub odwołanie startu, jeśli nie ma pewności co do pełnej sprawności samolotu. Podobnie, strażacy znajdujący się bezpośrednio na linii ognia mają prawo podejmować decyzje taktyczne. Jeśli banki miałyby brać z nich przykład, musiałoby to oznaczać odwrócenie dotychczasowej polityki: kierownicy operacyjni powinni zacząć bezpośrednio reagować na ryzyko i podejmować decyzje prewencyjne; każdy pracownik powinien mieć możliwość podnieść alarm bez strachu o reperkusje (patrz casus banku HBOS w Londynie), a zarządy tych banków powinny nagradzać nie tylko wyniki sprzedażowe, ale i proaktywny stosunek do podejmowanego ryzyka.

Po lekturze tego ciekawego raportu sądzę – i w zasadzie tylko dlatego umieściłem ten wpis na blogu – że każdy szanujący się risk manager powinien czerpać z tego raportu inspiracje i przykład, jak wykorzystywać swoją wyobraźnię i czyjeś doświadczenie aby przełamywać kolejne progi i bariery w zarządzaniu ryzykiem. To fakt, nie ma szans, żebyśmy z góry znali wszystkie ryzyka i odpowiedzi na pytania jakie nam się nasuwają, ale w dużej mierze podpowiedzi i inspiracje są w zasięgu ręki – wydawałoby się w odległych nam lub obcych dziedzinach.

Raport jest dostępny na stronie World Economic Forum.