Miesiąc: Grudzień 2011

Rudnicki też się myli …

Od dłuższego czasu podświadomie czułem, że pewien aspekt metody szacowania ryzyka jakiej mnie nauczono już kilka lat temu jest niewłaściwy, prowadzi do błędnych wyborów i wniosków. Nie było jednak lepszych a równie prostych i przyjaznych alternatyw. Kilka tygodni temu przedstawiłem swoją wątpliwość na Linkedin, w grupie „Enterprise Risk Management Association”.

Ci z czytelników, którzy posłuchali mojego wezwania do współtworzenia historii współczesnego zarządzania ryzykiem i założyli sobie konto na Linkedin, mogą wczytać się w dyskusję. Dyskusja jest dostępna tutaj.

Okazuje się, że po dwóch miesiącach jest to najbardziej popularny temat dyskusji w tej grupie – wielu menedżerów ryzyka nurtuje ten sam problem.

linkedin

 

A problem najczęściej jest widoczny w sposób najbardziej ostry podczas prowadzenia warsztatów identyfikacji i szacowania ryzyk z managementem różnych firm. Mimo, iż często w roli uczestników biorą w nich udział osoby ze stosunkowo małym doświadczeniem i wiedzą o zarządzaniu ryzykiem, zwykle są to osoby trzeźwo myślące, doświadczone w biznesie i krytyczne. Najczęściej przedmiotem ich krytyki jest założenie, jakie każę im zrobić, że dla danego ryzyka „prawdopodobieństwo jest niezależne od skutku”, to znaczy, że ocenę (szacowanie, pomiar) obu wartości należy prowadzić według zasady:

  • skutek – najgorszy rozsądnie przewidywalny przypadek (scenariusz)
  • prawdopodobieństwo – dla każdego możliwego zdarzenia, jakie może prowadzić do scenariusza jak zdefiniowano powyżej
  • obie wartości uwzględniają istniejące środki kontroli (stan „with existing controls” wg AS/NZS 4360)
  • prawdopodobieństwo jest oceniane niezależne od skutku (tj maksima dla obu wartości).

Dla każdego ryzyka (zjawiska, zdarzenia, scenariusza, zagrożenia) można przywołać cały zakres możliwych prawdopodobieństw i skutków. Przykładowo: małych pożarów zdarza się 1’000 w roku ale pożarów kończących się dużymi stratami majątkowymi już tylko 100, a kończących się przy tym śmiercią osób jest 10 w roku. W ten sposób pojmowane „ryzyko pożaru” na mapie ryzyka stanowi nie jeden punkt (jedną parę wartości skutek – prawdopodobieństwo) co chmurę punktów. 

impact vs likelihood

Krytyka – moim zdaniem w pełni słuszna i uzasadniona – dotyczy zasady „prawdopodobieństwo jest niezależne od skutku” i tego co z niej wynika: ocena ryzyka jest w ten sposób zawsze zawyżana co do swojej wartości. Jest tak, bowiem zestawia się ze sobą skrajnie wysoki (choć jeszcze możliwy) skutek i skrajnie wysokie (choć jeszcze możliwe) prawdopodobieństwo. Zdawałem sobie z tego sprawę od lat, ale jedyne co miałem na obronę takich założeń i metody, to fakt, że wszystkie ryzyka na mapie zostają podczas oceny przesunięte w kierunku rogu matrycy ryzyka w takim samym stopniu, a więc nadal zachowują właściwą relację między sobą.

Mogłoby się wydawać, że to wątpliwość akademicka, ale tak nie jest. Skoro bezpośrednim efektem przeglądu mapy ryzyka mają być decyzje menedżerskie dotyczące akceptowania ryzyk lub nie, przedsięwzięcie dodatkowych działań ograniczających ryzyka, podjęcie wydatków kapitałowych, spożytkowanie czasu managementu i pracowników czy dokonanie zmian w operacjach i procesach – po to aby ryzyko obniżyć, to pomiar ryzyka i jego przedstawienie na mapie ryzyka powinna być bardzo mocno urealnione i diablo wiarygodne. Chodzi bowiem nie tylko o wiarygodność oceny tego jednego ryzyka, ale wiarygodność i przydatność zarządzania ryzykiem dla managementu w ogóle.

Na Linkedin otrzymałem olbrzymi tzw feedback a wiele osób zaglądało tam nie aby wziąć udział w dyskusji lecz żeby się czegoś dowiedzieć i nauczyć. Po tej dość żywej dyskusji z praktykami risk managementu utwierdziłem się w swoim wczesniejszym przeczuciu, które w tej chwili jest już przekonaniem, że zasada „prawdopodobieństwo jest niezależne od skutku” jest bardzo szkodliwa i należy ją odłożyć na półkę archiwalną.

Od dziś będę przekonywał, że niestety należy sobie – innym uczestnikom procesu zarządzania ryzykiem – trochę skomplikować życie przyjmując następujące założenia i algorytm oceny (szacowania, pomiaru) ryzyka:

  • założenie, że jedno ryzyko (jako zdefiniowane zdarzenie, zjawisko) może być przedstawione w kilku wariantach, jako kilka punktów na mapie ryzyka
  • ocenę skutku i prawdopodobieństwa dokonuje się zawsze wziąwszy pod uwagę istniejące środki kontroli (ograniczania) ryzyka
  • skutek i prawdopodobieństwo dla określonego scenariusza ryzyka są od siebie zależne
  • zakres „minimum” oceny ryzyka powinien brać pod uwagę skutek jako „worst credible scenario” i odpowiadające temu scenariuszowi prawdopodobieństwo
  • zakres „optimum” oceny ryzyka powinien ponadto uwzględniać skutek jako „most probable inmpact/scenario” i odpowiadające mu prawdopodobieństwo.

W ten sposób, na mapie ryzyka otrzymuje się dwa najbardziej charakterystyczne – i najbardziej interesujące z perspektywy zarządzania ryzykiem – punkty w „chmurze punktów”, dla danego ryzyka. Taka para daje obraz kierownictwu jakiego zakresu zdarzeń i scenariuszy należy się realnie spodziewać, a tym samym jakie są najbardziej racjonalne środki zaradcze.

impact vs likelihood
Wasz w ryzyku,

R

Super Risk Manager

Ponad dwa lata temu umieściłem ogłoszenie o pracy dla risk managera informujące, jakie są oczekiwania w stosunku do kandydata. Oczywiście, to była tylko moja subiektywna opinia, pewne przypuszczenia jakim typem powinien być idealny risk manager, bo dotąd nikt tego naukowo nie zbadał. Kilka miesięcy temu pisalem o opublikowanym przez AIRMIC raporcie na temat ścieżki kariery risk managera na Wyspach Brytyjskich, z którego wypływał interesujący wniosek: ani przedsiębiorstwa szukające risk managerów ani firmy headhunterskie nie wiedzą jak się za to zabrać i kogo (z psychologicznego punktu widzenia) tak naprawde szukają. 

Active Risk

Nie po raz pierwszy anglosasi są pionierami nowych pomysłów – brytyjska firma Active Risk (kiedyś Strategic Thought) rozpoczęła kilka miesięcy temu badania które mają odpowiedzieć na pytania:

  • jaki jest profil psychologiczny typowego risk managera ?
  • czy ten profil się zmienia, albo czy powinien się zmieniać ?
  • jak budować zespoły w departamentach risk managementu ?
  • jak zarząd powinien podejść do rekrutacji kandydatów na to stanowisko ?

Managerowie ryzyka przyszli do naszej branży z wielu różnych dziedzin i specjalizacji, począwszy od ubezpieczeń, prawa i audytu poprzez zarządzanie procesami, produkcję i technlogię, na IT oraz finansach skończywszy. Nie wiemy, która ścieżka prowadząca do stanowiska risk managera jest najlepsza ani jaki profil psychologiczny jest najbardziej pożądany.

Specjaliści Active Risk wraz z psychologami przeprowadzili anonimowe, psychometryczne badanie ankietowe pośród kilkuset risk managerów z całego świata i niedawno opublikowali wyniki pierwszego etapu tego badania. Przy prezentacji wyników posłużyli się matrycą DISC, która pomaga wyrysować profil psychologiczny osoby rozciągnięty pomiędzy cechami: introwertyk – ekstrawertyk oraz proaktywny – reaktywny. 

DISC

Diagnoza ?

Okazuje się, że niezależnie od strefy geograficznej, 60% risk managerów to „tradycyjni” risk managerowie: Reaktywni Introwertycy. Eksperci z silnymi umiejętnościami i skłonnościami analitycznymi, posługujący się logiką i ostrożnością podczas radzenia sobie ze skomplikowanymi zagrożeniami, stawiający na precyzyjność i dokładność. Pytanie, czy dzisiejsze korporacje własnie takich risk managerów potrzebują ? 

Tutaj właśnie pies jest pogrzebany – zarządy oczekują od nich, że będą liderami zmiany w firmach – w kulturze zarządczej, w sposobie myślenia managementu, w stosunku do odpowiedzialności społecznej, w przewartościowaniu priorytetów, w stosunku do podejmowania ryzyka. Tworzy się pole dla pozostałych 40% – nowej generacji menedżerów ryzyka: Proaktywnych Ekstrawertyków (30%) i Introwertyków (10%). Ci pierwsi to „ewangeliści” nowych koncepcji, wizjonerzy, doskonali komunikatorzy o wysokoch zdolnościach społecznych, skuteczni w przekonywaniu innych i niekoniecznie uwielbiający łamigłówki analityczne. Ci drudzy to niezmordowane konie pociągowe dążące za wszelką cenę do celu, niekiedy chodzący na skróty, rozwiązujący problemy na szybko i „w locie” oraz łamiący reguły, jeśli cel tego wymaga. 

Zgadzam się z opinią Active Risk, że nadszedł czas nowej generacji menedżerów ryzyka, gdyż ona jest w stanie zmieniać przedsiębiorstwa. Tradycyjne umiejętności przypisywane risk managerom to już za mało, szczególnie, jeśli z pozycji specjalisty ślęczącego we własnym gabinecie mają przeskoczyć na pozycję lidera obecnego „wszędzie” i wskazującego zarządowi nowe rozwiązania i kierunki.

Raport z pierwszych wyników zawiera również konkluzje, że zespoły działów zarządzania ryzykiem powinny stawać się coraz bardziej różnorodne (przynajmniej w porównaniu z typowym działem księgowości, IT czy sprzedaży), aby właściwie odpowiadać na coraz mniej przewidywalne oczekiwania i różnorodne potrzeby biznesu w dziedzinie zarządzania ryzykiem. Okazuje się ponadto, że typowy risk manager jest poddany dużemu stresowi w pracy, co wydaje się być potwierdzeniem zwiększającej się koncentracji zarządów na zagadnieniach ryzyka. Jeśli zarządy nie chcą stracić wartościowych risk managerów na skutek ich przemęczenia, powinni zapewnić im silne, osobiste wsparcie i narzędzia informatyczne, które ich odciążą od rutynowych zadań.

Każdy risk manager może jeszcze wziąć udział w drugim etapie badania i uzyskać w sposób anonimowy swój własny, osobisty profil psychologiczny na matrycy DISC. Ja taki test przeszedłem – wynik był dla mnie w pewnym stopniu zaskoczeniem. Badanie dostępne na tej witrynie.

Niezwykle interesujące byłoby zderzenie wyników pogrupowanych na kraje (nacje) z badaniami prowadzonymi przez Geerta Hofstede m.in. na temat skłonności do podejmowania ryzyka. Podsunąłem pomysł badaczom z Active Risk – zobaczymy, czy go podchwycą …

Wasz w ryzyku,

R