Już przywykłem, że do tej pory nie było w Polsce nawet dostatecznie przyzwoitych książek nt zarządzania ryzykiem gospodarczym – było sporo merytorycznie bardzo dobrych książek poświęconych ryzykom w organizacjach finansowych lub kilka beznadziejnych merytorycznie książek nt zarządzania ryzykiem w przemyśle czy gospodarce w ogóle, albo kilka nadużyć nie poświęconych ERM, mimo iż „zarządzanie ryzykiem” pojawiało się w ich tytule. Toteż zawsze, gdy aspirujący na risk managera kierownik pytał mnie o literaturę, odsyłałem go do literatury angielskojęzycznej odradzając serdecznie marnowanie czasu na wypociny polskich pseudospecjalistów i spekulujących naukowców.

Czy po przeczytaniu „Zarządzania zintegrowanym ryzykiem przedsiębiorstwa w Polsce” pod redakcją Stanisława Kasiewicza to się zmieni ? Ano zobaczmy …

Ogólnie rzecz biorąc pozycja jest wartościowa – chociażby dlatego, że powołuje się na wiele polskich źródeł i opracowań naukowych z ostatnich 10 lat, do których dotąd sam nie potrafiłem dotrzeć – autorzy zawstydzili mnie swoją ich znajomością. Niestety widać, że książka nie jest spójnym monolitem, który wyszedł spod jednego pióra lecz składanką kilku zagadnień spisanych przez kilku autorów. Stanowi jakby zlepek kilku wykonanych wcześniej badań i opracowań autorów. Nie wychodzi to książce na dobre – każdy rozdział od nowa zaczyna się swoim wstępem, powtarzającym po raz kolejny myśli poprzednich autorów.

Jak poszczególne rozdziały widzę okiem risk managera ?

• Rola informacji w ZR
  (Krzysztof Markowski)
  Mimo, iż potencjalnie mógłby to być bardzo wartościowy rozdział, szansa została zmarnowana – opisywanie, jak banki wykorzystują informacje o kontrahentach, aby zarządzać ryzykiem kredytowym jest mało użyteczna dla przedsiębiorstw, gdyż dotyczy niezwykle wąskiego spektrum ryzyk i informacji na temat ryzyk, jakie krążą zwykle w firmie.
   
• Zmienność, złożoność, niepewność i ryzyko (…)
  (Marcin Wojtysiak-Kotlarski)
  Bardzo sensowny i przydatny rozdział jako wprowadzenie w zarządzanie ryzykiem biznesowym. Jego część dotyczy jednak typologii ryzyka i tak jak we wszystkich poprzednich – znanych mi – próbach dotyczących typologii ryzyka, autor nie zdołał wprowadzić porządku ani wnieść nic nowego.
   
• Analiza upadłości przedsiębiorstw a jakość ZR
  (Zofia Fengler)
  Problem upadłości nie wnosi nic szczególnego do naszej wiedzy na temat ZR, rozdział zbyt długi jak na książkę a wybranej tematyce.
   
• Charakterystyka kluczowych koncepcji ZR w przedsiębiorstwie
  (Urszula Malinowska)
  Zaczyna się robić naprawdę interesująco. Jestem skłonny przyjąć za Panią Malinowską termin „sterowanie ryzykiem” jako opisujący etap następujący po analizie ryzyka. Z drugiej strony autorka nie ustrzegła się błędów – np cytując proponowany przez Bizon-Górecką opis roli CRO, lub opisując kolejność poszczególnych działań w procesie ZR i ich stopień trudności. To drugie wygląda bardziej na rozważania teoretyka niż doświadczenia praktyka.
   
• Standardy ZR w przedsiębiorstwie
  (Waldemar Rogowski, Jolanta Turek)
  Rozdział uwypukla ważne relacje pomiędzy ERM a VBM (Value Based Management) oraz EVA (Economic Value Added). O tym drugim wpominałem na blogu w kontekście definiowania apetytu na ryzyko na poziomie strategicznym. Niestety, autorzy trochę zapętlili się przedstawiając rolę risk managera / CRO – jest to obszar ryzykowny i wciąż niejasny. Pojawiają się również nieścisłości w opisach przytaczanych standardów (przykładowo, nie ma „standardu FERMA” – jest za to standard stworzony przez brytyjską trójcę AIRMIC/IRM/ALARM). Przydatne jest porównanie trzech standardów (choć w całości zapożyczone z AIRMIC) – podobne do tego, jakie udostępniam na swojej witrynie.
   
• Ewolucja koncepcji ERM
  (Robert Sasin)
  Niestety, poplątanie z pomieszaniem i błędy merytoryczne: BCM to nie koncepcja zarządzania ryzykiem, a wynik, podzbiór i rozwinięcie ERM. MoR to brytyjski synonim ERM, a nie inna koncepcja zarządzania ryzykiem. BCP i BIA to części składowe BCM a nie odrębne od nich koncepcje, natomiast SixSigma i Kaizen to już kompletny „odjazd” od zarządzania ryzykiem … Wiekszość risk managerów nie zgodzi się z dość „odważną” tezą autora, że Komitet Audytu przy Radzie Nadzorczej jest odpowiedzialny za zarządzanie ryzykiem. Autor posługuje się terminem „ryzyko operacyjne”, które jako typowe dla instytucji finansowych zarządzających tylko (głównie) ryzykiem finansowym, nie ma prawa bytu w dojrzałej terminologii ERM w przedsiębiorstwach przemysłowych. Już trzy lata temu skrytykowałem ten termin. 
   
• Pomiar ryzyka
  (Ewa Lorek)
  Tytuł prosty i minimalistyczny, lecz kryje w sobie zagadnienie – morze, niemalże graala risk managerów. Potencjalny czytelnik będzie z tym rozdziałem wiązał ogromne nadzieje, bo mało jest wiarygodnych i sprawdzonych metod pomiaru ryzyk niefinansowych, z jakimi głównie mają do czynienia przedsiębiorstwa. Niestety, autorka zaczyna od gafy – pomylenia kategorii „skutek” i „ryzyko”. Proponowane przeniesienie metodologii BSC (Balanced Scorecard) na grunt ZR jest interesujące i myślę, że może mieć perspektywę rozwojową. Jednak bez dopracowania szczegółów może być wykorzystana do jedynie powierzchownej oceny ryzyk w firmie. Natomiast wymieniona metoda VAR jest mało przydatna do pomiaru (przeważających w firmach) ryzyk niefinansowych, a finansisci stracili do niej zaufanie po kryzysie finansowym 2008-2009. Reasumując – rozdział nie spełnił moich nadziei, brak w nim konkretnych – a szczególnie nowych – metod. 
   
• Rola IT w zarządzaniu zintegrowanym ryzykiem
  (Daniel Sosiński)
  Z przyjemnością czytałem sugestie, żeby zaczynać skromnie od Excela, zanim podejmie się decyzję o wdrożeniu jakiegoś „kombajna” informatycznego. Również niezwykle celne spostrzeżenie, że rózne oprogramowanie będzie służyć ZR na poziomie strategicznym lub operacyjnym. To co tutaj rozczarowuje, to posługiwanie się przykładami oprogramowania dla organizacji zasadniczo finansowych i inwestycyjnych, nie dla przemysłu – tablica 8.3 na stronie 145. Ponadto, ceny podawane przy oprogramowaniu niektórych dostawców dostępnym w Polsce są nieprawdziwe, gdyż górny pułap został mocno zaniżony. Przykładowo ceny oprogramowania SAP lub SAS wspierającego zarządzanie ryzykiem dla 50ciu licencji w rzeczywistości zawierają się w zakresie odpowiednio od 2 mln PLN do 4 mln PLN. Podrozdział „Praktyczne zasady wdrażania systemu ZR …” jest chyba najbardziej wartościowym fragmentem całego rozdziału – dotyczy aktualnych i praktycznych problemów każdego przedsiębiorstwa.
   
• Ocena stanu ZR w polskich firmach (…)
  (Stanisław Kasiewicz)
  Rozdział jest stosunkowo ryzykownym przedsięwzięciem, bo zestawia ze sobą badania różnych firm, wykonywane w różnych celach przez różne instytucje w latach 2005 – 2009, a więc w czasie kiedy oblicze i dojrzałość polskiego ERM zmieniało się z miesiąca na miesiąc. Mimo porównywania śliwek z gruszkami, autorowi udało się wysnuć istotny wniosek: dysonans pomiędzy aspiracjami zarządzających i konkurencyjnością polskich firm a stanem i jakością zarządzania ryzykiem.
   
• Jakość ZR w przedsiębiorstwach działających w Polsce
  (Zbigniew Krysiak)
  Wydawałoby się, że to kontynuacja poprzedniego rozdziału, jednak tytuł jest mylący i właściwie niezgodny z treścią rozdziału, w której autor przekonuje, że ERM sprowadza się do kapitału ekonomicznego. Nie zgadzam się z tezą, że wielkość kapitału ekonomicznego jest parametrem wyznaczającym poziom całkowitego ryzyka firmy – moim zdaniem wyznacza on jedynie bezwzględną zdolność firmy do retencji (samofinansowania) ryzyka. Filozofia odpowiadania na ryzyko zwiększaniem kapitału ekonomicznego – swoisty wyścig zbrojeń – jest siermiężna, nie opiera się na elastyczności i „inteligentnym” zarządzaniu ryzykiem. Tylko zawodnik sumo może sobie pozwolić na hodowanie sadła, które uchroni go przed uderzeniem – dżudoka musi rozwijać zwinność i zrywność, a karateka szybkość i celność uderzenia.
   
• ZR w czasie kryzysu finansowego (…)
  (Lech Kurkliński)
  Właściwie to rozdział ciekawostka, bardziej przydatny dla zarządów i rad nadzorczych niż risk managerów, chociaż może stanowić logiczne zamknięcie rozdziału Marcina Wojtysiaka-Kotlarskiegfo „Zmienność, złożoność, niepewność i ryzyko (…)”.

Mimo, iż to bardziej pozycja refleksyjna niż edukacyjna czy „narzędziowa” – gdyż nie da się na jej podstawie wdrożyć ERM w firmie – bez wątpienia dotyczy korporacyjnego zarządzania ryzykiem i ma swoją wartość. Z drugiej strony, sporo jej jeszcze brakuje do literatury angielskojęzycznej, której autorami są praktycy – menedżerowie ryzyka kuci na cztery nogi. Miło było zaobserwować, że autorzy wielokrotnie korzystali z moich własnych opracowań lub z pierwszorzędnych materiałów obcych, na jakie pomogłem im natrafić, wskazując je na swoim blogu lub na witrynie.

Rekomendacja: kupuj, lecz nie spodziewaj się szybkiego wzrostu akcji …

Wasz w ryzyku,

R.

Podczas powstawania i dyskutowania ISO 31000 toczyła się ostra dyskusja, czy standard powinien wogóle powstać i czy nie przyniesie więcej złego niż dobrego. To zło, jakiego obawiało się w dużej mierze środowisko europejskie reprezentowane przez FERMA, miało polegać na zaszufladkowaniu ERM jako jednej z kolejnych mód, obowiązków regulacyjnych i mogło prowadzić do wręcz wrogiego podejścia firm do zarządzania ryzykiem. ERM mogło zostać potraktowane jako nieuprawniona próba wtargnięcia regulatorów w sfery życia gospodarczego, które powinny rządzić się wyłącznie zasadami wolnego rynku, gdzie firmy mają prawo według własnego uznania podejmować ryzyko, ponosić straty i bankrutować.

Wiosną tego roku w Brukseli opublikowano tzw. GREEN PAPER pt „The EU corporate governance framework„. Nieadwno zakończyła się publiczna debata – w której uczestniczyła również FERMA – nad pytaniami tam postawionymi. Znamienne jest pytanie nr 2: czy europejskie firmy nie notowane na żadnej giełdzie powinny również być regulacyjnie zmuszone do spełniania dobrych praktyk corporate governance, w tym zarządzania ryzykiem.

Dalej uściślając pięć podstawowych obszarów corporate governance, w punkcie 1.5 dokument odnosi się do zarządzania ryzykiem. Autorzy dokumentu zwracają tam uwagę na ryzyka publiczne (społeczne): ryzyka oddziałujące na zmiany klimatu i na środowisko, na zdrowie i życie ludzkie, a także na firmy będące operatorami krytycznej infrastruktury, której zniszczenie miałoby konsekwencje transgraniczne. Większość wymienionych tu aspektów ryzyka jest uregulowana w szczegółowych przepisach, jednak te różnią się między krajami oraz nie zobowiązują firm w sposób dostateczny do transparentnego publikowania informacji, co tak realnie firmy robią aby uchronić nie tylko siebie ale i społeczeństwo przed ryzykami publicznymi.

Wystarczy tylko przytoczyć dwa przypadki aby zrozumieć sens i imnplikacje pojęcia „ryzyko publiczne”. W opisywanym wcześniej przypadku Thyssen Krupp to nie zarząd, lecz ostatecznie sąd wyznaczył apetyt firmy na ryzyko – bo chodziło o ryzyko publiczne. O drugim przypadku nie pisałem na blogu, lecz jest powszechnie znany – chodzi o wyciek miliona metrów sześciennych „czerwonego szlamu” ze zbiornika zakładu aluminiowego w Ajka na Węgrzech (szlam zalał okoliczne miasteczko i kilka wsi, uśmiercił ok 10 osób i poranił ponad 120, zniszczył rzekę Marcal oraz dotarł do Dunaju).

Nie zmieniając swojego poglądu, iż zarządzanie ryzykiem powinno być elementem dobrowolnie budowanej przez firmy przewagi konkurencyjnej a nie wymogiem regulacyjnym uważam, że pewne przedsiębiorstwa sprawujące pieczę nad dużymi zagrożeniami publicznymi powinny być zmuszone do efektywnego zarządzania ryzykiem i informowania społeczeństwa (za pośrednictwem regulatorów) jaki mają realny stopień kontroli nad kluczowymi ryzykami publicznymi.

I tutaj nasuwają mi się dość pesymistyczne refleksje – spośród naszych największych firm chemicznych tylko jedna zaczyna się realnie przymierzać do zarządzania ryzykiem. Pozostałe – prawdopodobnie ze względu na bardzo intensywne ruchy typu M&A – odsuwają to zgadnienie na później. Jeszcze inne ograniczają swoje „zarządzanie ryzykiem” do zagadnień czysto finansowych lub wręcz nie rozpoznają pojęcia ERM wogóle. Polskie firmy paliwowe już dawno zaczęły wdrażać ERM, firmy z rynku energetycznego i telekomy swoją przygodę ze zintegrowanym zarządzaniem ryzykiem rozpoczęły jeszcze parę lat temu, w zeszłym roku swój skok na głęboką wodę risk managementu wykonały polskie kopalnie. Chemia ciągle śpi – mimo, że powinna być w czołówce, w końcu nikt nie zyczy sobie powtórek z Bophalu. Myślę, że dla tych i podobnych firm wspomniany Green Paper oznacza czas pobudki – zdecydowanie lepiej i taniej jest wprowadzać zarządzanie ryzykiem spokojnie i po swojemu, niż pod przymusem i w pośpiechu.

04.08.2011

O wilku mowa – właśnie FERMA opublikowała swój komentarz do Green Paper: