Paweł i Gaweł w jednym stali domu. Paweł żyje dalej, Gamoń utonął …

Taką oto fraszką można by dokonać porównania sposobów zarządzania ryzykiem jakie przyjęły dwa giganty z Wielkiej Brytanii: Tesco i Royal Bank of Scotland, a także efektów funkcjonowania obu modeli zarządzania ryzykiem.

Niedawno Chartered Institute of Management Accountants wspólnie z – a jakżeby inaczej, AIRMIC – dokonał przeglądu praktyk zarządzania ryzykiem „od kuchni”, na kilku dobrowolnych królikach doświadczalnych. Dwa chyba najbardziej u nas znane to Tesco i RBS. Raport daje po części odpowiedź na pytanie, jakie końcowe efekty kulinarne daje określony przepis na zarządzanie ryzykiem.

Okazuje się, że najsmaczniejsze potrawy otrzymuje się, kiedy:

zarządzanie ryzykiem jest w sposób bezpośredni połączony z wydajnością operacyjną (operational performance)
management rozumie i akceptuje zasadę, że częścią „good performance” jest „good risk management”
biurokratyczne procesy i systemy mog podminować jakość zarządzania ryzykiem.

Na potrzeby badania, eksperci stworzyli swoją własną definicję zarządzania ryzykiem: „proces rozumienia i kierowania ryzykami, na jakie przedsiębiorstwo jest w sposób nieuchronny wyeksponowane, w dążeniu do osiągnięciu swoich celów biznesowych” (the process of understanding and managing the risks that the entity is inevitably subject to in attempting to achieve its corporate objectives). Definicja podkreśla, że ryzyk nie powinno się „usuwać”, lecz zrozumieć i „osiodłać” aby osiągnąć lepsze długofalowe wyniki.

Z jakich przepisów na ERM skorzystały obie badane firmy i jakie potrawy otrzymali ?

Royal Bank of Scotland:

Banki mają do dyspozycji mnóstwo regulacji: Bazylea II, Sarbanes Oxley, the Combined Code/Turnbull a także dość rozległe działy zarządzania ryzykiem. Mimo tego w czasie kryzysu sektora finansowego (pod)upadły – w tym RBS. Dlaczego tak się stało ? Kluczowe funkcje ryzyka (Komitety ds Ryzyka) są ulokowane poniżej managementu wykonawczego i nie mają na niego wpływu. Agresywna kultura „sprzedażowa” powoduje, że executivi są głusi na wołania risk managerów (patrz case Paula Moore i HBOS). Ryzyka są rozpatrywane w silosach – co oznacza brak szansy na wychwycenie momentu i zareagowanie, kiedy zaczynają się one agregować i działać łącznie. Zbytnie hołdowanie matematyce i miarom ilościowym ryzyka, z jednoczesnym operowaniem mega skomplikowanymi instrumentami i ich pochodnymi a także modelami.

Od kuchni:

regulacje zewnętrzne zachęcają do tzw „box-ticking”
zbiurokratyzowana kontrola wewnętrzna prowadzi do fałszywego poczucia bezpieczeństwa
modelowanie ryzyk finansowych mimo że wgląda atrakcyjnie, nie obędzie się bez osądu i decyzji człowieka
w tak skomplikowanymn środowisku biznesowym, prawdziwym zagrożeniem sa ryzyka zagregowane
efektywne oddziaływanie funkcji zarządzania ryzykiem na biznes jest ograniczone, jeśli funkcja ta jest ulokowana poniżej zarządu w hierarchii corporate governance.

Tesco:

Kultura firmy powoduje, że zarządzanie ryzykiem jest traktowane jako część usług świadczonych klientom, część precyzyjnie zdefiniowanych celów biznesowych a nie jest systemem kontroli wewnętrznej. Mimo, że Tesco to prawie pół miliona pracowników, funkcjonuje tylko pięć poziomów kierowniczych a tym samym odpowiedzialność za ryzyka jest przydzielana w sposób klarowny. Zadania związane z ograniczaniem ryzyka są szybko kaskadowane w dół, do osób będących najbliżej ryzyka (najniżej w hierarchii kierownictwa). Biurokracja ograniczona do minimum.

Od kuchni:

jako podkład bazowy zastosowano prostą wersję Balanced Scorecard i wskaźników KPI: pracownicy rozumieją, za co są rozliczani i czy są wydajni
risk management jest częścią codziennych obowiązków i operacji (chociaż nie jest nazywany takim terminem)
zarząd określa apetyt na ryzyko
konkretne ryzyka są zarządzane przez konkretnych managerów.

Badanie kolegów z Wielkiej Brytanii jedynie utwierdzają mnie w przekonaniu, że skończył się czas arcyskomplikowanych supersystemów zintegrowanego zarządzania ryzykami korporacyjnymi, a zaczyna się czas „wysmukłego zarządzanie ryzykiem” – proste jest piękne, sprawne i szybkie.

Kariera risk managera

Niedawno, brytyjski Strategic Risk – organ AIRMIC – we współpracy z tym ostatnim wydał raport „Career horizons” na temat przebiegu kariery risk managera – od stażysty do Chief Risk Officera (CRO), jaki powoli można już odczytywać z setek życiorysów zawodowych w Wielkiej Brytanii.

Strategic Risk

Udało sie wyodrębnić kilka etapów rozwoju takiej kariery (profesji) z jej typowymi problemami i wyzwaniami, o czym niżej. Udało się również zdefiniować kilka prawd uniwersalnych na każdym etapie i dla każdego risk managera:

specjalistyczne szkolenia z zarządzania ryzykiem (tego nowoczesnego) są nie zawsze trafione i wszechstronne, więc budowanie własnego doświadczenia na praktyce zawodowej jest nieodzwone
headhunterzy i firmy rekrutacyjne nie rozumieją świata korporacyjnego zarządzania ryzykiem, szczególnie że w każdym sektorze i każdej kulturze organizacyjnej może ono oznaczać inne potrzeby pod kątem profilu risk managera
firmom bardzo trudno w sposób rzetelny ocenić kandydatów na risk managera, mają do dyspozycji jedynie informacje o formalnym wykształceniu (które nie zawsze odzwierciedlają kompetencje w zarządzaniu ryzykiem) oraz przebieg kariery zawodowej, który zwykle w sposób wybitny nie wyodrębnia zadań risk managera
zmiana sektorów nie powinna być problemem dla risk managera, gdyż cele i proces zarządzania ryzykiem jest zasadniczo wspólny dla wszystkich sektorów, co więcej – zmiana może pobudzić transfer know-how i rozwiązań pomiędzy sektorami (patrz wpis na temat cech wspólnych banków i hodowli łososia …)
mentoring jest kluczowy dla rozwoju kompetencji risk managera i utrzymania wysokiej motywacji – menedżerowie ryzyka, szukajcie swoich mentorów !
świat zarządzania ryzykiem jest bardzo mały – nie pal mostów za sobą, bądź fair, buduj i utrzymuj relacje
migracja i przenikanie się risk managerów ze swiatem ubezpieczeń (a w Polsce coraz bardziej ze światem audytorów wewnętrznych) nie jest grzechem, lecz naturalnym biegiem rzeczy – dziś jesteś ubezpieczeniowcem, jutro menedżerem ryzyka, pojutrze audytorem; w ten sposób budujesz swoje wszechstronne kompetencje i przygotowujesz się do kolejnego awansu
bądź odważny i nie obawiaj się głośno zadawać niepopularne pytania – taka jest rola risk managera, zostaniesz doceniony za nonkonformizm i niezależność
osiągnięcie szczytu kariery – członka zarządu od spraw ryzyka – nie jest łatwe, musisz przejść po wiszącej linie rozpostartej pomiędzy oczekiwaniami top managementu (zysk, przychód, wzrosty !) a realiami i zagrożeniami codziennego biznesu, musisz umieć porozumieć się zarówno z pracownikiem magazynowym jak i członkiem zarządu tej samej firmy.

Z moich obserwacji wynika, że kariery brytyjczyków są inne niż ścieżki pojawiające się w Polsce, ale to zrozumiałe – my do pewnych spraw dochodzimy na skróty i niekoniecznie tą samą drogą. Przykładowo – tak jak naturalnym sojusznikiem i bratem syjamskim pojęcia „zarządzanie ryzykiem” jest w Anglii pojęcie „zarządzanie ubezpieczeniami”, u nas staje się nim pojęcie „audyt i kontrola wewnętrzna”.

Na 20 stronach opracowania Strategic Risk bardzo ciekawie opisuje poszczególne etapy rozwojowe kariery. Poniżej umieszczam jedynie telegraficzny skrót, pomijając arcyciekawe aspekty „career moves„, „performance” czy „skills and experience” charakterystyczne dla każdego z etapów rozwojowych. Bardzo uporczywi mogą dotrzeć do pełnej wersji raportu i się w nią wgryźć.

Stażysta (GRADUATE TRAINEE)
wynagrodzenie: 18-25 tys funtów rocznie
głównie zadania: administracyjne i techniczne
kluczowy: mentoring
Specjalista ds ryzyka i ubezpieczeń (RISK AND INSURANCE OFFICER)
wynagrodzenie: do 40 tys funtów rocznie plus bonusy
głównie zadania: odpowiada za obszar lub pod-proces ERM (szkody, BCM, bezpieczenstwo pracy)
kluczowe: dokształcanie (kursy) zawodowe, decyzja co do dalszego kierunku kariery
Kierownik ds ryzyka i ubezpieczeń (RISK AND INSURANCE MANAGER)
wynagrodzenie: do 60 tys funtów rocznie plus bonusy
głównie zadania: odpowiada za rozwój jednego z obszarów ERM (zarządzanie rejestrem ryzyk, przegląd procedur BCM, implementacja oprogramowania wspierającego zarządzanie ryzykiem)
kluczowa: umiejętność balansowania pomiędzy szczeblem dyrektorskim (do którego raportuje) a swoim zespołem, którym zarządza
(Młodszy) Dyrektor ds ryzyka i ubezpieczeń (HEAD OF RISK AND INSURANCE)
wynagrodzenie: 80 do 90 tys funtów rocznie plus bonusy
głównie zadania: nadzoruje programy związane z zarządzaniem ryzykiem i ubezpieczeniami w przedsiębiorstwie, nadzoruje pracę zespołu profesjonalistów
kluczowe: umiejętności komunikowania i wpływania, osiagnięcie najwyższego poziomu kwalifikacji profesjonalnych, kontakty i relacje na najszyższym szczeblu
Dyrektor ds ryzyka i ubezpieczeń (DIRECTOR OF RISK AND INSURANCE)
wynagrodzenie: ponad 100 tys funtów rocznie plus bonusy
głównie zadania: ogarnia całokształt wizji i strategicznych projektów związanych z zarządzaniem ryzykiem, na przykład kombinacja corporate governance, compliance, kontroli wewnętrznej, business continuity, finansowania ryzyka
kluczowe: dogłębna znajomość wszystkich aspektów operacyjnych w firmie
Członek zarządu ds ryzyka (CHIEF RISK OFFICER)
wynagrodzenie: ponad 100 tys funtów rocznie plus bonusy
głównie zadania: uczestniczy w kształtowaniu strategii, którą przekłada na charakter i cele systemu ERM, wyznacza apetyt firmy na ryzyko i jej ogólną politykę postępowania wobec ryzyka, osobiście zarządza największymi ryzykami firmy
kluczowe: zdolności wizjonerskie, kompetencje finansowe, wejście w rolę decydenta biorącego osobistą odpowiedzialność a nie wewnętrznego doradcy.

Nawiązując do nieco sarkastycznego wpisu na tym blogu poświęconemu między innymi funkcji CRO wypada mi sprowadzić Cię czytelniku z podniebnych wyżyn na ziemię – bez bardzo solidnej i wszechstronnej edukacji w zarządzaniu ryzykiem nawet dobrze nie wystartujesz, nie mówiąc już o funkcji dyrektorskiej w zarządzaniu ryzykiem. A nauka na własnych błędach – poza tym, że niezwykle bolesna – trwa dłużej niż jedno życie. Ale w końcu do odważnych świat należy – mamy Institute of Risk Management, Nottingham University Business School, Glasgow Caledonian Universityczy Cass Business School …

Prezesie, Dyrektorze – czy chcesz zobaczyć się z dziećmi za 16 lat ?

Zwykle wśród przyczyn wzięcia sobie do serca zarządzania ryzykiem przez zarządy wymienia się naciski klientów i partnerów biznesowych, historyczne wpadki, presja giełdy i firm ratingowych czy naciski rad nadzorczych. Od tego roku na tę listę zarządy muszą wprowadzić bardziej osobistą pozycję: więzenie.

W roku 2007 w zakładach Thyssen Krupp w Turynie doszło do pożaru, w którym zginęło 7 osób. Parę miesięcy temu sprawa znalazła swój finał: prezes – prawie siedemnaście lat odsiatki, trzech lokalnych menedżerów – prawie 14 lat odsiatki, piąty kierownik – 10 lat odsiatki. Niezależnie od dotkliwych kar finansowych i moralnych nałożonych na firmę.

Prezesie, Dyrektorze – czy chciałbyś zobaczyć się ze swoimi dziećmi dopiero za 16 lat ?

Przyczyną takiego wyroku nie był śmiertelny skutek zdarzenia – lub nie wyłącznie – lecz przyjęcie określonego apetytu na ryzyko, poziomu tolerancji (akceptacji) ryzyka przez kierownictwo.

Rzeczona fabryka była już przeznaczona do zamknięcia i właśnie czekano na opóźniające się otwarcie nowej fabryki. W tej starej, pracownicy byli zmuszani do pracy w nadgodzinach aby nadgonić plan a jednocześnie zaniechano dalszych inwestycji – między innymi w środki ograniczające ryzyko pożaru. W noc pożaru, kiedy doszło do rozerwania przewodu instalacji i rozprysku płonącego oleju, trzy z pięciu gaśnic okazały się niesprawne. O ich niesprawności i innych niedoskonałościach systemu bezpieczeństwa przeciwpożarowego kierownictwo doskonale wiedziało, lecz zdecydowało o nieinwestowaniu.

Znamienna jest treść wyroku, która wprost odnosi się do praktyk zarządzania ryzykiem – odwołuje się do świadomego zaniechania inwestycji w bezpieczeństwo przeciwpożarowe a tym samym do zaakceptowania ryzyka pożaru. Czyżby sędzia ukończył kurs zarządzania ryzykiem ?

Może warto wrócić do wcześniejszego tekstu nt apetytu na ryzyko ?

Pozdrowienia z Rotterdamu,
R