… ma kluczową rolę w całym systemie zarządzania ryzykiem korporacyjnym w firmie. To od niego zależy sukces tego systemu, co najmniej w takim samym stopniu jak od menedżera ryzyka (którym de facto menedżer ryzyka nie jest …). Termin „właściciel ryzyka” pojawia się w każdej książce i prawie każdej prezentacji na temat ERM i wydawałoby się, że nie ma sprawy prostszej. Okazuje się jednak, że tak nie jest – na drugiej edycji Certyfikowanego Kursu Zarządzania Ryzykiem Polrisk padło pytanie dotyczące właścicielstwa ryzyka, na które nie byłem w stanie odpowiedzieć „od ręki” … ale zacznijmy od początku.

Zadaniem właściciela jest „gospodarowanie ryzykiem”, lub lepiej – zarządzanie nim. Począwszy od momentu, kiedy ryzyko zostanie zidentyfikowane oraz kiedy stanie się jego właścicielem, do momentu kiedy sprowadzi to ryzyko do poziomu jaki jest akceptowalny dla firmy – tj zgodny z tzw „apetytem na ryzyko” lub poziomem tolerancji na ryzyko, jaki wyznaczył lub zatwierdził zarząd.

Pierwszym ruchem jaki powinien wykonać właściciel ryzyka powinno być upewnienie się, że ryzyko jakie otrzymał zostało poprawnie zmierzone (chyba, ze zidentyfikował i zmierzył je sam lub tę czynność nadzorował). Tutaj kłania się zasada proporcjonalności: na oszacowanie i rozpoznanie ryzyka powinno się poświęcić ilość czasu, energii i ewentualnych nakładów finansowych (konsultanci) proporcjonalną do jego wielkości. Innymi słowy ryzyka, które mają potencjał „przewrócić” całą firmę zasługują na cenny czas managementu, spotkania wewnętrznych specjalistów czy też kosztownych konsultantów, gdyż to co zainwestowano w ich rozpoznanie najprawdopodobniej zwróci się stukrotnie podczas podejmowania trafnych decyzji o ograniczaniu ryzyka. Podejmowanie decyzji to druga rzecz, jaką robi właściciel ryzyka, i nie powinien zwlekać z nimi zbyt długo. Trzecia rzecz, to przełożenie swoich decyzji na konkretne zadania i projekty oraz delegowanie wykonania zadań konkretnym osobom, według zasady SMART. Czwarta rzecz, to regularne kontrolowanie:

• jak postępuje realizacja zadań i projektów
• jakie są koszty ich wykonania w porównaniu do założonych budżetów
• jak „sprawują się” wdrożone środki kontroli ryzyka (tj czy są skuteczne)
• jak zmienia się ryzyko, którego jest właścicielem.

Widać już jasno, jaka jest relacja właściciela ryzyka do menedżera ryzyka – ten pierwszy zarządza konkretnymi ryzykami, ten drugi odpowiada „jedynie” za zaprojektowanie i wdrożenie zasad i metod (systemu), według których będa postępować wszyscy właściciele ryzyka w firmie. Widać również, dlaczego menedżer ryzyka nie jest „menedżerem” ryzyka – poprostu nim nie zarządza.

Kto powinien być właścicielem ryzyka ?

Od moich starszych doświadczeniem angielskich kolegów po fachu nauczyłem się, że właścicielem ryzyka powinna być osoba, która łącznie spełnia trzy warunki:

• ma kompetencje merytoryczne aby decydować w sprawach danego ryzyka (zarządzać nim)
• ma władzę menedżerską, aby podejmować decyzje, jakich najprawdopodobniej będzie wymagało ograniczanie określonego ryzyka (nakłady finansowe, zwalnianie i zatrudnianie ludzi, zmiany w sposobie funkcjonowania i procesach)
• ma budżet, z którego może realizować swoją władzę menedżerską i decyzje podjęte w kontekście ryzyka.

Podejmując decyzję, kto powinien być właścicielem ryzyka w firmie, należy mieć na uwadze, że jeden poziom zarządczy (jedna osoba, funkcja) nie powinna zarządzać jednocześnie więcej niż 5-6 ryzykami, w przeciwnym razie to zarządzanie nie będzie skuteczne lub kompletnie stanie. Tak mówią badania i brytyjska praktyka z ostatnich kilkudziesięciu lat. Należy pohamować naturalny pęd do wypychania ryzyk „do góry” (tym bardziej do zarządu) lecz starać się je umiejscowić na najniższym szczeblu zarządczym, który spełnia trzy wymienione warunki.

Odciążenie wyższych szczebli zarządczych ma jednak swoje konsekwencje praktyczne: zdarzają się sytuacje, w których właściciel ryzyka ma wystarczające kompetencje do zaplanowania właściwych działań zaradczych, lecz nie ma na nie budżetu bądź nie może sam podjąć wszystkich koniecznych decyzji. Wtedy wymagane jest zatwierdzenie decyzji z wyższym szczeblem zarządczym bądź poproszenie o pomoc np. w przydzieleniu środków finansowych. Tego typu zjawiska praktyczne zostały przewidziane w powszechnie uznanych dobrych praktykach zarządzania ryzykiem biznesowym, chociażby w ISO 31000, które proponują następujący model raportowania o ryzykach:

Model ten wymaga od kierowników danego szczebla (właścicieli ryzyk), aby raportowali o swoich istotnych ryzykach do wyższego szczebla zarządczego (a to również właściciele ryzyk, z tym, że większych i trudniejszych). Szczególnie powinni informować o ryzykach dla nich trudnych, z którymi z różnych względów nie radzą sobie. Daje to wyższy stopień pewności, że działania zaradcze dotyczące trudnych ryzyk nie utkną w martwym punkcie. Te „różne względy” to zwykle problemy ze środkami lub należytym wsparciem, a jedno i drugie jest w zasięgu możliwości przełożonych.

Innym aspektem wyznaczania właściciela ryzyka jest interes w ryzyku. Trudno wyznaczyć na właściciela ryzyka osobę, która nie ma żadnego interesu i motywacji do tego, aby ryzyko uległo zmniejszeniu. Przykładowo: dział IT sklasyfikował system służący do łączenia się z bankiem i wykonywania przelewów jako mało istotny zasób, gdyż przechodzi przez niego stosunkowo niewiele operacji dziennie, w porównaniu z systemem transakcyjnym  obsługującym tysiące transakcji dziennie. Stąd ryzyko awarii tego systemu nawet na 24 godziny jest na szarym końcu ich listy priorytetów. Natomiast dział księgowości oszacował to ryzyko u siebie jako bardzo wysokie, gdyż może skutkować niezapłaceniem w terminie wadium, wynagrodzeń, opłat sądowych, co może dalej skutkować ogromnymi stratami następczymi. IT nie widzi pełnego spektrum zagrożeń i nie jest zmotywowane żeby cokolwiek z ryzykiem zrobić, zatem właścicielem powinna być księgowość.

I pytanie, które padło na Kursie Polrisk: kto powinien być menedżerem ryzyka, jeśli jedna osoba (funkcja) dzierży kompetencje merytoryczne i ma interes w zarządzaniu ryzykiem, a druga ma budżet i podejmuje decyzje ? Taki przykład, dotyczący zagrożenia dużymi karami nakładanymi na firmę w związku z awarią starej linii produkcyjnej skutkującą zanieczyszczeniem środowiska. Decyzja dotycząca ewentualnych zmian technologicznych oraz przestoju linii produkcyjnej, a także budżet leżą po stronie szefa produkcji, który nie jest zainteresowany zatrzymaniem produkcji i nakładami na zmiany technologiczne. Kompetencje  związane z ograniczeniem skutków awarii poprzez zmiany technologiczne leżą po stronie szefa ds techniki i rozwoju, natomiast interes w zmniejszeniu ryzyka ma szef działu prawnego. W  praktyce takie sytuacje jak przykładowa będą sporadyczne, jednak mają prawo się zdarzać, szczególnie w przedsiębiorstwach zarządzanych „komitetowo”, przez konsultacje, a nie jednoosobowo.

Osoby mające interes w zmniejszeniu danego ryzyka nie mają innego wyjścia jak szukać sojuszników spośród funkcji w firmie, mających kompetencje do zmierzenia się z  problematycznym ryzykiem i osób, które mają budżet i decyzje w tym obszarze. Jeśli zawiązanie sojuszu okaże się trudne, wtedy nieuniknione będzie odwołanie się – zespołu, lub osób najbardziej w nim aktywnych – do zarządu. Rola tego ostatniego jest tutaj niebagatelna, co zostało również podkreślone w przewodniku FERMA i ECIIA do 8 Dyrektywy EU: zarząd „odpowiada za zaistnienie w spółce właściwej kultury i środowiska sprzyjających ERM”. Ostatecznie, wszyscy dyrektorzy (ci posiadający kompetencje, ci posiadający budżet i ci, którzy mają władzę) powinni postrzegać na pierwszym miejscu wspólny interes firmy i zgodnie wyważyc korzyści z organiczenia ryzyka z kosztami działań ograniczających je, a także ewentualne konsekwencje niezmniejszenia ryzyka. Niezależnie od „komitetowego” (grupowego) charakteru takiego właścicielstwa ryzyka, w takim komitecie powinna być jedna osoba (funkcja), która ma największy interes w ograniczeniu ryzyka a tym samym odpowiada za skuteczne doprowadzenie do oceny ryzyka, podjęcia decyzji i jej zrealizowania, a także motywuje pozostałych do aktywnego współdziałania.

Wasz w ryzyku,

R.