Miesiąc: Maj 2011

Apetyt na ryzyko – wyższa szkoła jazdy

Półtorej roku temu mogłem sobie pozwolić na zaproponowanie mojej własnej koncepcji apetytu na ryzyko, gdyż nie było consensusu czym jest apetyt na ryzyko i jak go liczyć. Consensusu nie ma nadal – o czym pisze każde z trzech niezależnych opracowań, jakie ostatnio zgłębiałem. Panuje natomiast ogólna zgoda, że zaimplementowany apetyt na ryzyko z pewnością sprowadzi zarządzanie ryzykiem znacznie bliżej biznesu, operacji i pozwoli lepiej zrozumieć menedżerom czego chce od nich zarząd i co w praktyce ERM znaczy dla ich części operacji, odpowiedzialności, zakresu kompetencji i podejmowanych na co dzień decyzji.

W tym miesiącu IRM otworzył puszkę pandory i rozpoczął publiczną debatę nt apetytu na ryzyko, publikując dokument „Risk Appetite and Risk Tolerance”  proponujący zarys dobrych praktyk. Jest to spory dokument (45 stron), pierwszy który wnosi coś nowego i konstruktywnego do dyskusji nt apetytu na ryzyko – i do zarządzania ryzykiem w ogóle, dlatego warto poświęcić mu trochę czasu.

Jak punkt wyjścia warto sobie przypomnieć, co na temat apetytu na ryzyko mają do powiedzenia istniejące standardy oraz niektóre z globalnych firm konsultingowych.

  • COSO: „ilość ryzyka, na dużym poziomie ogólności, jakie organizacja jest chętna ponieść podczas tworzenia wartości dla interesariuszy”, czyli definicja z rodzaju „koń jaki jest każdy widzi”.
  • ISO 31000 nie wspomina o apetycie na ryzyko jako takim, lecz mówi o konieczności ustanowienia kryteriów oceny ryzyk (risk criteria) i dokonania oceny ryzyk pod kątem tych kryteriów (risk evaluation); czy autorzy ISO 31000 w ten sposób uczciwie przyznali, że nie ma dobrego pomysłu na opisanie apetytu na ryzyko ?
  • z kolei ISO Guide 73 (nawiasem mówiąc dość nieszczęśliwie i miejscami błędnie przetłumaczone na język polski) operuje znacznie większą ilością terminów: postawa wobec ryzyka (risk attitude), poziom ryzyka (level of risk) i w końcu apetyt na ryzyko, rozumiany jako ilość i rodzaj ryzyka, jakie organizacja jest skłonna ponieść lub utrzymać oraz tolerancja na ryzyko, rozumiana jako gotowość organizacji do poniesienia określonego poziomu ryzyka pozostałego po zastosowaniu środków kontroli
  • Ernst & Young przyjmują metodologię dość podobną do opisanej wcześniej metodyki Paula Hopkina, bazującej na pojęciach: pojemność na ryzyko (risk capacity) – czyli sumaryczna ilość ryzyka, jaką firma jest w stanie obiektywnie utrzymać, apetyt na ryzyko – czyli sumaryczna ilość ryzyka, jakie firma chce podejmować, tolerancja na ryzyko – to jest maksymalna dopuszczalna wartość danego ryzyka, limit ryzyka – liczbowy punkt odniesienia np. dla śledzonych KRI.

Z kolei KPMG zastrzega, że jest olbrzymia przepaść pomiędzy teoretycznymi modelami wyznaczania apetytu na ryzyko a ich praktycznym zastosowaniem. Wartościowe i trafne jest zalecenie, aby apetyt na ryzyko był określany w ścisłej relacji do umiejętności, zasobów i technologii jakie są potrzebne do skutecznego panowania nad ryzykiem. KPMG również dotyka ciągle wstydliwego przedmiotu mierzenia i kwantyfikowania apetytu na ryzyko. Wstydliwego, bo ciągle nie ma dobrego pomysłu i zgody jak to robić. KMPG proponuje to robić tak:

apetyt na ryzyko KPMG

Ja osobiście wartości znajdujące się w lewej kolumnie przełożyłbym na kryteria, jakie wcześniej posłużyły do oszacowania skutku ryzyka, na przykład:

  1. przychody lub zysk
  2. odsetek wypadków przy pracy
  3. ilość niedostarczonych megawatów, godzin zatrzymanej produkcji, odsetek zwróconych towarów
  4. reputacja mierzona niepochlebnymi informacjami medialnymi lub spadkiem akcji
  5. szkody środowiskowe mierzone ich rozległością i czasem przywrócenia do stanu wyjściowego.

KPMG podaje swój przepis na apetyt na ryzyko, lecz brakuje w nim konkretów i „warstwy wykonawczej”:

  1. dokonać pomiaru zagregowanej wielkości ryzyk, jakie firma podejmuje (pytanie: jak ? Czy wszystko sprowadzać do złotówek ? Czy do subiektywnych, teoretycznych punktów ?)
  2. przeanalizować i określić faktyczną, obiektywna zdolność finansową firmy do poniesienia ryzyk (zdolność podejmowania ryzyka – risk taking capacity)
  3. wyliczyć wielkość bufora finansowego (rezerw kapitałowych) pomiędzy ryzykiem podejmowanym a zdolnością podejmowania ryzyka
  4. apetyt firmy na ryzyko określa, jak duży bufor powinien być utrzymany – innymi słowy jest wyrażony jedną kwotą w pieniądzu
  5. zdefiniować tolerancję na ryzyko – akceptowalne poziomy dla każdego z istotnych ryzyk, pozostające w ścisłym związku z ogólnym apetytem na ryzyko (wymaganym buforem kapitałowym)
  6. monitorować odstępstwa wielkości ryzyk od poziomów tolerancji i reagować, to znaczy modyfikować decyzje biznesowe na wszystkich poziomach zarządczych.

KPMG szczególnie podkreśla ostatni akt, gdyż on nadaje sens istnieniu apetytu na ryzyko i całej „zabawy” z jego wyznaczeniem. Mechanizm monitorowania wielkości ryzyk w odniesieniu do poziomów tolerancji na ryzyko powinno być sprzężone z mechanizmami mierzenia performance w firmie oraz kształtowaniem kultury ryzyka. 

 

Wstęp pokazujący w skrócie dotychczasowe przemyślenia mamy za sobą – czas otworzyć puszkę pandory przygotowaną przez IRM.

Zespół pracujący pod okiem Richarda Andersona jest dość kategoryczny na temat kilku kluczowych kwestii:

  • pojęcie apetytu na ryzyko opiera się na równowadze skłonności do podejmowania ryzyka (propensity to take risk) oraz skłonności do kontrolowania ryzyka (propensity to exercise control); nie można tych dwóch zjawisk rozpatrywać w oderwaniu od siebie
  • apetyt na ryzyko musi być mierzalny, a różne miary będą przykładane na poziomie strategicznym, taktycznym i operacyjnym
  • nie ma jednego zagregowanego apetytu na ryzyko dla firmy – są różne apetyty na ryzyko dla różnych (grup) ryzyk
  • apetyt na ryzyko zmienia się w czasie, musi być więc co jakiś czas wyznaczany od nowa (aktualizowany)
  • wyjątkowo w przypadku apetytu na ryzyko prostota może prowadzić donikąd
  • apetyt na ryzyko nie jest dla początkujących: wymaga określonej dojrzałości systemu zarządzania ryzykiem w organizacji. 

Dokument zasadniczo skupił się na pojęciu apetytu na ryzyko przyjmując, że tolerancja na ryzyko jest wtórnym i znacznie mniej kłopotliwym pojęciem oraz jest znacznie łatwiejsza do zdefiniowania i wyznaczenia. Zespół IRM zgadza się zasadniczo z moją propozycją sprzed kilkunstu miesięcy, że apetyt na ryzyko określa chęć przemyślanego podejmowania ryzyka „w pogoni” za zyskiem czy wartością, natomiast tolerancja na ryzyko określa poziom (niechcianego) ryzyka, jakie jesteśmy przygotowani ponieść.

IRM studzi nadmierny zapał do przedwczesnej „zabawy” w apetyt na ryzyko: posługiwanie się tym narzędziem przez organizację, która jest niedojrzała i nie potrafi jeszcze w pełni kontrolować swoich ryzyk i ich poziomu, zupełnie niczego nie wnosi. To trochę tak, jakbyśmy planowali wycieczkę rowerową nie potrafiąc jeszcze samodzielnie jeździć i skręcać rowerem. IRM proponuje oceniać dojrzałość zarządczą firmy na czterech płaszczyznach:

  1. kontekst biznesowy (sektor, złożoność łańcucha dostaw, otoczenie konkurencyjne, rozproszenie geograficzne …)
  2. kultura zarządzania ryzykiem (postawy wobec ERM, czy wiedza / informacja na temat ryzyk w firmie realnie wpływa na sposób podejmowania decyzji, czy porażki w zarządzaniu ryzykiem czegokolwiek uczą firmę)
  3. proces zarządzania ryzykiem (integracja ze strategią i planowaniem, integracja z systemem zarządczym i raportowaniem, procedury delegowania)
  4. systemy IT wspierające zarządzanie ryzykiem. 

Z kolei poziom kultury zarządzania ryzykiem może być mierzony – tutaj IRM wzoruje się na opracowaniach Alexa Hindsona, IRM Chairman, którego miałem przyjemność poznać kilka lat temu w AIRMIC. Jako punkt odniesienia Alex proponuje badać między innymi następujące cechy czy zachowania firmy:

  1. przywództwo zarządzania ryzykiem
  2. sposób reagowania na złe wieści
  3. transparentność ryzyka w firmie
  4. zasoby i kompetencje oddane do dyspozycji funkcji zarządzania ryzykiem
  5. decyzje związane z ryzykiem
  6. nagradzanie właściwego podejmowania ryzyka.

kultura ryzyka

Zespół Andersona stwierdza, że nie da się sformułować apetytu na ryzyko w firmie jedną liczbą, czy też jednym czarno-białym określeniem. Proponuje natomiast myśleć o wielu apetytach na ryzyko, innych dla różnych grup (klas) ryzyk oraz dla różnych poziomów zarządczych w firmie. Myślę, że ta teza jest trzonem raportu IRM i przełomem w myśleniu o apetycie. Ilustracją nowego myślenia na temat apetytu na ryzyko jest poniższy schemat:

apetyt na ryzyko IRM

Równowaga pomiędzy skłonnością do podejmowania ryzyka (propensity to take risk) oraz skłonnością do jego kontrolowania (propensity to exercise control) na każdym poziomie zarządczym znajduje się gdzieś indziej:

  • na poziomie strategicznym apetyt na ryzyko dotyczy ryzyk, które stanowią o przewadze konkurencyjnej, albo wobec których firma dysponuje unikalną kompetencją (wiedzą); tutaj równowaga jest zdecydowanie przesunięta w kierunku podejmowania ryzyk (np. outsourcingu, rozwoju nowych produktów, nowych źródeł finansowania, wejść na nowe rynki)
  • na poziomie taktycznym następuje zbilansowanie stopnia podejmowania ryzyka i jego kontrolowania; utrzymywanie założonego apetytu na ryzyko dotyczy zwykle ryzyk wiążących się z realizacją już ustalonej strategii firmy – tam gdzie zakłada ona podejmowanie większego ryzyka, na poziomie operacyjnym powinno nastąpić odpowiednie  wzmocnienie (dopasowanie) środków kontroli
  • apetyt na ryzyko na poziomie operacyjnym ma być wskazówką dla kierowników, jak mają postępować i decydować w obliczu określonych zagrożeń bez konieczności konsultowania wszystkiego z poziomem dyrektorów czy zarządu; tak pojęty apetyt na ryzyko wzmacnia ich kompetencje i uprawnienia.

Ustalanie apetytu na ryzyko powinno rozpocząć się od ustalenia, dlaczego ogóle firma podejmuje określone ryzyko lub chce się nim zajmować. W tym celu zespół IRM, idąc w ślad za Richardem Andersonem, posiłkuje się zupełnie nową taksonomią ryzyk:

taksonomia ryzyka Anderson

Zgodnie z tą taksonomią, punktem wyjścia do zdefiniowania apetytu na ryzyka we wszystkich obszarach w firmie byłaby następująca postawa:

  1. podejmujemy tylko ryzyka dla nas wyraźnie widoczne (directly discernible)
  2. warunkowo – tj kiedy dysponujemy wiedzą i zasobami – eksponujemy się na ryzyka widoczne za pomocą nauki (visible through science)
  3. nigdy nie podejmuje my ryzyk dla nas abstrakcyjnych, gdzie nie mamy żadnego know-how (virtual).

Rzecz w tym, że to samo portfolio ryzyk zostałoby w zupełnie inny sposób podzielone na trzy wymienione grupy w firmach z różnych sektorów czy też z różnymi doświadczeniami.

Cierpliwości – dochodzimy do sedna (czy pisałem już, że dokument ma 45 stron ?)

Trochę odmiennie niż na poprzednim obrazku, Richard Anderson (szef zespołu roboczego AIRMIC) sam jest zwolennikiem postrzegania apetytu na ryzyko zgodnie z poniższą ilustracją:

apetyt na ryzyko Anderson

Tutaj również jest równowaga pomiędzy skłonnością do podejmowania ryzyka i skłonnością do jego kontrolowania, ale widziana z perspektywy:

  1. rodzaju ryzyka (jak wyżej)
  2. charakteru naszej interakcji z ryzykiem
  3. risk clockspeed
  4. środków kontroli.

Na trzech wymienionych poziomach zarządczych IRM proponuje inaczej wyznaczać  mierzyć apetyt na ryzyko. Na poziomie strategicznym punktem odniesienia ma by wartość dla udziałowców, mierzona w następujący sposób:

shareholder value

Uogólniając, jest ona wypadkową cash flow, zdyskontowaną o koszt kapitału i pomniejszoną o wartość zadłużenia. Powyższy ideogram jest przykładem – IRM zaprasza do własnych wariacji na temat i jako alternatywę podaje np. EVA (Economic Value Added). Ja osobiście zastanowiłbym się, co stanowi tzw „value drivers” dla firmy i postarał się wyrazić apetyt na ryzyko właśnie tą wartością. Na poziomie taktycznym zespół Andersona proponuje stare i „sprawdzone” KRI (Key Risk Indicators) a na poziomie operacyjnym – KCI (Key Control Indicators).

W tym miejscu staje się jasne, że wyznaczenie apetytu na ryzyko (i monitorowanie wielkości ryzyk w stosunku do apetytu lub poziomu tolerancji) nie obędzie się bez twardych danych. Samo ciśnie się pytanie: jak zgrać opomiarowanie ryzyk z opomiarowaniem (wyznaczeniem) apetytu na ryzyko ? Obie grupy danych muszą się przecież opierać na tych samych kryteriach – po raz pierwszy w sposób twardy apetyt na ryzyko będzie przywoływany już na etapie szacowania i mapowania ryzyk.

Sama metodologia wyznaczania apetytu na ryzyko proponowana przez IRM opiera się na kilku etapach, między innymi na określeniu aktualnej, ogólnej ekspozycji firmy na ryzyko, określeniu „pojemności” firmy na ryzyko (risk bearing capacity) oraz maksymalnej ekspozycji, jaką zarząd będzie jeszcze tolerował w podziale na klasę ryzyk. Pachnie to bardzo mocno metodologią Paula Hopkina równoważenia pojemności i ekspozycji na ryzyko, jaką opisywałem wcześniej.

Dokument zespołu IRM do końca odziera nas ze złudzeń zakładając, że za pierwszym razem opracowanie algorytmu wyznaczania apetytu na ryzyko nie będzie satysfakcjonujące i będzie wymagać prawdopodobnie wielokrotnych poprawek. Ponadto, dobrą praktyką powinno być dokonanie corocznych przeglądów apetytu na ryzyko, gdyż ten będzie zmienny.

Apetyt na ryzyko wymaga żelaznej konsekwencji: po tym jak już zostanie wyznaczony dla poszczególnych grup (klas) ryzyk i skaskadowany w dół w postaci tolerancji na określone ryzyka, zarząd powinien wymagać, aby dyrektorzy i kierownicy decydowali i funkcjonowali w granicach w ten sposób wyznaczonych. Powinno się określić zasady postępowania w sytuacjach, gdy ryzyko zbliża się lub przekracza wyznaczone poziomy krytyczne oraz zasady „eskalowania” decyzji w górę. Zarząd również powinien wiedzieć, jak będzie sobie radził z sytuacjami, kiedy „gorset” wynikający z apetytu na ryzyko będzie wywoływał spięcia i napięcia w firmie.

Zapowiada się, że apetyt na ryzyko to początek bardzo długiej podróży … 

 

IRM wierzy, że rozwój i implementacja apetytu na ryzyko będzie miało diametralny wpływ na sposób, w jaki firmy są zarządzane. Instytut mówi o swoim dokumencie „consultation paper” i zachęca wszystkich – a więc również i Ciebie, drogi czytelniku – do zgłaszania swoich uwag i pomysłów, oraz kształtowania ostatecznej formy tego dokumentu, na adres mailowy Carolyn Williams, the Head of Thought Leadership w IRM: Carolyn.Williams@theirm.org

Przyczynkiem do dalszej dyskusji jest seria pytań kierowanych do Ciebie i zarządu Twojej firmy, na przykład:

  1. jakie istotne ryzyka chce zarząd podejmować, a których nie chce podejmować ?
  2. czy firma jest w stanie jednoznacznie ocenić dojrzałość swojego zarządzania ryzykiem ? Czy ta ocena jest zbieżna na wszystkich poziomach zarządczych ?
  3. ile rocznie firma wydaje na zarządzanie ryzykiem ? Czy to kwota optymalna, czy też za dużo lub za mało ?
  4. jakie są wewnętrzne i zewnętrzne czynniki, determinujące wagę i relacje skłonności do podejmowania ryzyka przez firmę i jej skłonności do kontrolowania ryzyka ?
  5. czy firma ma pełną świadomość swojej interakcji z różnymi ryzykami ?
  6. czy firma jest gotowa radzić sobie z wewnętrznymi napięciami i tarciami, jakie będzie wywoływać przestrzeganie wyznaczonego apetytu (tolerancji) na ryzyko ?

Cyklu „tępimy szarlatanów ERM” ciąg dalszy …

W ostatnich dniach otrzmałem od kogoś link do organizacji, która – o zgrozo ! – próbuje sprzedawać usługi certyfikowania ISO 31000.

Gwoli przypomnienia – po co i w jakiej trudnej atmosferze powstawało ISO 31000 – już wcześniej o tym pisałem

A teraz do rzeczy:

  • standard de facto nazywa się „Risk management — Principles and guidelines”, nie stanowi więc wiążącej metodologii czy systemu
  • sam standard ISO 31000 w punkcie 1 „Scope” (zakres) wyraźnie mówi, że „This International Standard is not intended for the purpose of certification.”

I właściwie mógłbym na tym wpis zakończyć, ale nie mogę nie podkreślić, że:

  • zarządzanie ryzykiem ma służyć poprawie decyzyjności w firmie, zharmonizowaniu wykonania strategii firmy z jej zdolnością i chęcią do świadomego podejmowania ryzyka – a tym samym rozwojowi proaktywnej kultury zarządczej
  • nie ma natomiast służyć rozwojowi biurokarcji i myślenia „compliance”
  • a już na pewno nie ma służyć nabijaniu kiesy przez firmy certyfikacyjne, które albo nie mają kompletnego pojęcia o czym piszą, albo nie mają poszanowania dla nas, risk managerów.

Risk clockspeed – ryzyko przyspiesza …

„Częstotliwość taktowania ryzyka”, „prędkość ryzyka” – kolejny termin, który tłumaczony na język polski brzmi fatalnie. Niemniej termin ważny, bo nazywa po imieniu obawy jakie instynktownie czuje wiele firm wdrażających ERM – czy wobec nowych, coraz mniej przewidywalnych a bardziej gwałtownych ryzyk, nasz system zarządzania ryzykiem nie stanie się beznadziejnie wolną maszyna biurokratyczną, spowalniającą nasz czas reakcji, zmniejszającą naszą elastyczność na rynku i konkurencyjność ?

Termin pierwszy raz padł z ust Keitha Smitha w zeszłym roku i dzięki temu, że trafił w dziesiątkę na gorącej tarczy risk managementu – zrobił błyskawiczna karierę. Keith dał terminowi solidną podbudowę teoretyczną z pogranicza biznesu i psychologii (nawiasem – wspominał o niej również Nassim Taleb w swojej książce), mówiąc o kognitywnym i heurystycznym sposobie podejmowania decyzji. Myśl została podjęta przez Richarda Andersona (IRM Deputy Chairman and European GRC Regional Practice Leader) a dzisiaj ten termin zapożyczył szacowny Institute of Risk Management i wykorzystał w swoich dobrych praktykach, pisząc na temat roli środowiska kontroli w kształtowaniu apetytu na ryzyko (o czym będę meldował wkrótce).

W czym rzecz ?

Otóż klasycznie pojmowane systemy, mechanizmy kontroli i procesy zarządzania ryzykiem dobrze nadają się do zarządzania klasycznymi ryzykami – low clockspeed risks (po polsku najsensowniej: ryzyka o małej/wolnej zmienności). Natomiast tzw fast clockspeed risks (ryzyka o wysokiej „częstoliwości” – tj zmieniające się szybko) wymagają reakcji szybszej, niż ta, na jaką pozwala naturalna prędkość z jaką przepływają informacje i decyzje w systemie zarządzania ryzykiem (czy systemie zarządczym firmy wogóle). 

fast clockspeed risk

Niezwykle ważna staje się tym samym prostota i niezawodność systemu zarządzania ryzykiem (o czy pisałem kilka postów wcześniej). Mogą to być również nowo pojawiające się ryzyka, które realizują się wkrótce po ich ujawnieniu (short time from identification to impact). Dobrym przykładem takich ryzyk był islandzki wulkan lub problem z opcjami.

„Szybkie ryzyka” muszą w znacznie większym stopniu być zarządzane mechanizmami kulturowymi organizacji i przy wykorzystaniu wyuczonego instynktu menedżerskiego, niż wymuszonymi, formalnymi procesami. Z definicji niewiele informacji będzie dostępnych na temat takich ryzyk, a możliwość ich wstępnej analizy będzie bardzo ograniczona. Przygotowanie się do fast clockspeed risks polega na poznaniu wyuczonego sposobu reagowania menedżerów (heurystyki decydowania), kultury zarządczej i dokonaniu jej zmiany lub wzmocnieniu za pomocą treningów, tak aby przygotować management do szybkiej, instynktownej odpowiedzi na takie ryzyka. 

Richard Anderson te dwa podejścia porównał graficznie:

R. Anderson - fast / slow clockspeed risk

(07.04.2012)

Z opóźnieniem, ale jednak – podaję link, pod którym można poczytać jak sam Keith Smith, autor pojęcia Fast Clockspeed Risk, pisze o tym zjawisku.

Dlaczego COSO ERM Framework jest passé

Prawie rok temu, relacjonując dyskusję z Kevinem Knight nt nowo publikowanego ISO 31000, pisałem (co prawda nie wprost) równiez o słabych stronach COSO II. 

Ostatnio trafiłem na inny głos – poza głosem Kevina – na temat wybitnych słabości COSO II.

Wywód Normana Marksa jest tak zrozumiały i przyjazny, że nie tłumaczę go – proszę przeczytać w oryginale.

Wasz w ryzyku,

R.

 

Jak głęboko rada nadzorcza może pchać nos w kaszę zarządu ?

Między innymi takie pytanie postawiła sobie firma Korn/Ferry prowadząc „konsultowaną ankietę” wśród członków zarządu i rad nadzorczych największych europejskich firm.

Polsce jest to ciągle pytanie na wyrost, bo tutaj zarządy zaledwie zaczynają się uczyć risk managementu a rady nadzorcze są w tej kwestii co najwyżej w wieku niemowlęcym. Jednak pierwsze zapowiedzi takich wątpliwości mamy już dzisiaj, podczas ostrych niekiedy dyskusji na ile aktywna i sprawcza powinna być rola audytu wewnetrznego w obszarze zarządzania ryzykiem.

Ankieta Korn/Ferry została przeprowadzona podczas wywiadów – kontaktu z żywymi respondentami, dlatego byc może sięga głębiej, bliżej źródła problemu. A co najważniejsze, pozwala na wyciągnięcie kilku zasadniczych wniosków (lekcji):

  • rola rady w zarządzaniu ryzykiem
    – czy ma polegać na zapoznaniu sie z decyzjami czy na aktywnym uczestniczeniu w ich wypracowaniu (risk-engaged boards) ?
    – koncepcja rady nadzorczej jako źródła inspiracji, konsultanta, dodającego odwagi a nie policjanta stojącego ze wzniesioną pałką
    – zagrożenie mikrozarządzaniem – rady nadzorcze duplikujące część decyzji czy kompetencji zarządu
     
  • komitet ds ryzyka – brak consensusu
    – komitet ryzyka jest niezbędny w dużych instytucjach, może stanowić pomost pomiędzy radą nadzorczą (board of directors) i zarządem (executive board)
    – komitet ds ryzyka nie prawa bytu: odpowiedzialna rada nadzorcza nie może delegować w dół spraw ryzyka, bo są one zbyt ważne dla akcjonariuszy
     
  • jakośc raportowania nt ryzyka
    – kiepskie raporty ograniczają praktyczne możliwości rady włączenia się w konsultowanie spraw ryzyk w firmie; rada nie może wnieść wartości w proces decydowania o ryzyku, bo nie ma właściwych danych
    – dane są zbytnio zagregowane i uogólnione oraz wstępnie zinterpretowane, a także przychodzą zbyt późno w cyklu decyzyjnym
    – dane nie wyprzedzają bieżącej (lub historycznej) sytuacji – brakuje tzw lead indicators („wyprzedzających” Key Performance Indicators)
     
  • rola rady nadzorczej w kształtowaniu kultury firmy
    – firma nie poprawi się po dodaniu kolejnych środków kontroli, powinno się zwracać uwagę na wartości
    – rada powinna pojawiać się na korytarzach i węszyć atmosferę w firmie
    – są obiektywne wskaźniki pozwalające mierzyć jakość kultury firmy: rotacja personelu, ilość kandydatów na miejsce, ilość wypadków
    – rola „digital listening”: co o firmie pisze się na blogach, twitterze, forach, chat roomach
    – budiowanie właściwej kultury powinno zacząć się od zapewnienia właściwego składu rady nadzorczej, następnie właściwego składu zarządu
     
  • skład i odmładzanie rady nadzorczej
    – rada nadzorcza, jak każdy zespół, ma swoją żywotność
    – wymiana członków rady ponownie ładuje baterie wyobraźni biznesowej
    – najbardziej pożądane cechy członka rady nadzorczej: doświadczenie w sprawach ryzyka, kompetencje psa węszącego, instynkt biznesowy i strategiczna perspektywa.

Raport jest do wzięcia tutaj:

Wasz w ryzyku,

R.

Edukacja risk managerów

Strategic Risk opublikował ściągę z brytyjskimi ośrodkami edukacyjnymi silnymi w zarządzaniu ryzykiem, które prowadzą miedzy innymi fakultety zdalne (on-line). W czołówce – nie od dzisiaj – są:

A w Kraju niebawem rusza czwarta edycja Certyfikowanego Kursu Zarządzania Ryzykiem organizowanego przez Polrisk.
„Kurs jest przeznaczony dla obecnych i przyszłych menedżerów ryzyka, którzy pragną poszerzyć swoje kompetencje. Dedykowany jest również dla kadry kierowniczej i specjalistów z organizacji ubezpieczeniowych i brokerskich oraz z działów audytu wewnętrznego, finansów i controllingu przedsiębiorstw. Podstawą programu Kursu jest przede wszystkim Enterprise Risk Management zaprezentowany na kilku płaszczyznach, wzbogacony o aspekty interpersonalne, ubezpieczeniowe oraz silny moduł Business Continuity Management. Kurs zapewni uczestnikom możliwość wymiany doświadczeń z praktykami oraz wskaże różnorodność rozwiązań stosowanych w zarządzaniu ryzykiem gospodarczym.”