Natknąłem się na dokument pt: „The High Cost of ERM Herd Mentality” wyprodukowany przez kanadyjczytka, Tima J. Leech. Dokument stanowi frontalną krytykę niektórych, dotąd uznawanych za fundamentalne, zasad zarządzania ryzykiem korporacyjnym. Co gorsza, w wielu miejscach nie sposób nie zgodzić się z konkluzjami.

Tysiące przedsiębiorstw zaimplementowało lub zaczęło implementować różne formuły ERM, zwykle opierając się na którymś ze standardów promowanych przez silnie lobbujące organizacje; ASNZS 4360, ISO 31000, COSO 1992 i COSO 2004, the Combined Code, IRM/AIRMIC Standard. Regulatorzy w Europie i Ameryce Północnej przykręcają śrubę i żądają od publicznych firm wyczerpujących informacji jak zarządzają swoim ryzykiem. Liczba firm przyjmujących ERM będzie nadal wzrastać i to w postępie geometrycznym. 

Niestety, wiele z tych firm wykorzystuje nieoptymalne lub wręcz błędne, wadliwe podejście do zarządzania ryzykiem proponowane w wymienionych dokumentach. Większośc organizacji, które spowodowały wejście gospodarki w kryzys finansowy w roku 2008, poprawnie stosowało zalecenia COSO I co zostało pozytywnie zweryfikowane przez zewnętrznych audytorów. Dalsze stosowanie takich wybrakowanych systemów ramowych kontroli wewnętrznej i zarządzania ryzykiem, metod i technik promowanych w wymienionych wyżej standardach jest zdaniem Leech’a złą drogą. Autorzy bardzo krytycznie odnoszą sie do skuteczności COSO I (1992), którego głównym autorem był Coopers & Lybrand (poprzednik PWC) a także Sarbanes-Oxley Act (2002), i równie sceptycznie odnoszą się do jakości zaktualizowanej przez PWC w zeszłym roku wersji COSO 2012. Nie pozostawiają również suchej nitki na najnowszym ISO 31000.
Tim Leecz skrupulatnie wyłuskał zauważone błędy i nazwał je „Błędnymi zakrętami stadnej mentalności ERM” (“ERM HERD MENTALITY WRONG TURNS”). Jego zdaniem, ta mentalność była podstawową przyczyną kryzysu finansowego 2008.

• ISO 31000 sugeruje dokonywanie oceny pojedynczych ryzyk, lub nawet ich portfela na mapie ryzyka, jednak nie wymaga, aby dokonywać zagregowanego pomiaru wszystkich ryzyk oddziałujących na dany cel biznesowy, w efekcie ryzyka są rozpatrywane ze względu na ich wielkość bezwzględną a nie wielkość / wagę celu, jakiemu zagrażają. Muszę przyznać, że rzeczywiście w wielu firmach brakuje mi elementu agregowania ryzyk (o czym pisałem już prawie trzy lata temu temu, podkreślając wartość agregowania ryzyk „po celu biznesowym”).
• Zarówno COSO 1992 jak i zrewidowane COSO 2012 ustanawiają pięć elementów ramowego systemu kontroli (Control Environment, Risk Assessment, Control Activities, Information and Communication, & Monitoring Activities), ale wyłączają z nich ustalanie celów biznesowych, mimo, że później stwierdzają, że ich ustalenie jest warunkiem poprawnie funkcjonującej kontroli wewnętrznej. Osobiście nie widziałbym w tym zasadniczego problemu, tak długo jak cele biznesowe w ogóle zostaną sprecyzowane w procesie planowania biznesowego.
• Skupianie się większości metod, procesów i systemów ramowych ERM na ocenie wyizolowanych ryzyk a nie na ich kombinowanym wpływie na cele biznesowe, z uwzględnieniem wielkości tego celu i niepewności jego osiągnięcia. Konsekwencja tego jest widoczna w rejestrach ryzyka, którekładą nacisk na identyfikację, szacowanie i raportowanie Top 10 lub top 20 ryzyk. Natomiast w większości nie hierarhizują celów biznesowych pod kątem niepewności ich osiągnięcia i potencjalnego wpływu porażki na biznes. To samo dzieje się na mapach ryzyka („Heat Maps„) – widać na nich poszczególne, największe ryzyka ale nie widać które cele biznesowe są najbardziej zagrożone. 
• Ignorowanie „Czarnych Łabędzi” (”Black Swans”). Po kryzysie finansowym 2008 wzrosło zainteresowanie metodami oceny ryzyk w rogu „niskie prawdopodobieństwo / wielki skutek”. Tradycyjne systemy ratingowe i mapy ryzyka skupiające się na prawym górnym rogu pozostawiają Czarne Łabędzie na boku, wyłączając je z działań priorytetowych. Rzeczywiście, zwykle lewy górny róg jeśli nie mógł być ubezpieczony, był kandydatem do działań Business Continuity, które niestety wcale nie są w firmach priorytetem.
• Skupianie się na „kontrolach” (Controls). Duży odsetek szkół zarządzania ryzykiem skupia się na identyfikowaniu „kontroli” (środków kontroli) w relacji do określonych ryzyk zamiast identyfikować wszystkie sensowne formy i mechanizmy ograniczania ryzyka – jak np. transfer. Z zadowoleniem muszę zauważyć, że głoszona przeze mnie „szkoła” zdecydowanie wykracza poza wąski zakres środka kontroli w rozumieniu np COSO czy Turnbulla.

Spośród kilku wad i słabych miejsc istniejących systemów ERM w przedsiębiorstwach, autorzy podkreślają zbyt słabe zaangażowanie zarządów w codzienne praktykowanie i egzekwowanie zasad ERM, oraz nie zarządzanie ryzykiem nieskutecznego ERM, a szczególnie:

• sytuacjami, gdy środki ograniczania ryzyka nie działają
• kiedy zarząd nie ma sprecyzowanych oczekiwań, jakie korzyści ERM ma przynieść firmie
• gdy zarząd nie wie (nie mierzy) jakie w rzeczywistości spółka otrzymuje korzyści z funkcjonującego ERM w porównaniu do zamierzonych
• kiedy zarząd i dyrektorzy nie są chętni aby używać formalnych zasad i technik pomiaru ryzyka w wypadku ważnych, strategicznych projektów jak akwizycje lub inwestycje
• gdy zarządy nie chcą korzystać z ERM jako głównego elementu planowania strategicznego i budżetowania, bo nie wierzą w jego użyteczność.

Tim Leech pozostawia sugestie do przemyślenia dla trzech najbardziej wpływowych organizacji: ISO, COSO oraz IIA. Najbardziej interesujące dla mnie były zalecenia dokonania zmian w ISO 31000, które zapewnią, że:

• użytkownicy zrozumieją potrzebę jasnego zdefiniowania celów biznesowych podczas dokonywania oceny ryzyka, oraz utrzymania tej bezpośredniej relacji pomiędzy celami biznesowymi a oceną ryzyka
• koncentrację oceny ryzyka na zagregowanym wpływie grupy ryzyk na określone cele biznesowe – na ich wielkość i niepewność osiągnięcia; zarządy zamiast rejestrów ryzyka powinny otrzymać rejestry celów biznesowych pokazujące stopień niepewności ich osiągnięcia oraz skutki dla firmy
• częścią procesu przeglądu ryzyk (rezydualnych) i ich akceptowalności, powinna być ocena skonsolidowanego wpływu tych ryzyk na nieosiągnięcie celu biznesowego.

Dokument można załadować tutaj.

Wasz w ryzyku,

R