Miesiąc: Kwiecień 2012

Co ma CSR do zarządzania ryzykiem ?

Dwóch znanych mi osobiścię dżentelmenów ze środowiska risk managementu popełniło ostatnio taką książkę, broszurę – „Zarządzanie ryzykiem w procesie zrównoważonego rozwoju biznesu„. 

Tomek Gasiński                      Sławek Pijanowski

Osobiście uważam, że jeszcze u nas trochę za wcześnie i za biednie na „prawdziwe” CSR, ale skoro pokazał mi tę pozycje jeden z moich klientów – cóż, należy przeczytać. Tytuł, żeby to ująć delikatnie – nie wprost mówi o co chodzi, a nawet po lekturze tej broszury nie jestem przekonany czy szcześliwe jest zestawianie zarządzania ryzykiem i CSR jako coś tak bardzo nierozłącznego.

Nie będę tutaj oceniał części poświęconej CSR – może poza pojedynczymi refleksjami – lecz tą dotyczącą zarządzania ryzykiem. Ciekawa jest lista szans i zagrożeń związanych z podjęciem działań CSR. Ciekawa dlatego, że plasuje CSR w grupie tzw. „opportunity risks” – ryzyk (przedsięwzięć), jakie świadomie biznes podejmuje wierząc, że służą zbudowaniu wartości, zysków, wzrostu. Z ciekawszych ryzyk negatywnych (tj. „co by było, gdyby CSR poszło nie tak jak chcemy”) należy wymienić następujące:

  • niska siła nabywcza konsumentów (interesuje nas niska cena a nie przyjazny społeczeństwu i środowisku sposób ich wytworzenia)
  • wyższa niż przeciętna wrażliwość firmy praktykującej CSR na utratę reputacji (paradoks, prawda ?)
  • zwiększone nakłady i niższy zwrot a także dłuższy czas wytworzenia i dystrybucji produktów powstających w otoczeniu CSR.

To bardzo ciężkie argumenty „przeciw”. Jednak duet Tomek i Sławek przeciwstawiają im co najmniej dwa twarde argumenty „za”:

  • rząd RP (a raczej dedykowany zespół) przygotował rekomendacje dla spółek Skarbu Państwa zobowiązujące je do wprowadzenia zasad zarządzania „rozszerzonymi” ryzykami – właśnie z obszaru CSR i governance
  • GPW od ponad dwóch lat prowadzi dla notowanych spółek „wskaźnik etyki biznesowej” (Respect Index).

I jedna polemiczna uwaga dotycząca grafiki na stronie 21, gdzie mowa o „pozornie rozbieżnych celach” właścicieli i zarządzających spółką oraz jej dostawców i podwykonawców. To przecież klasyka, model otoczenia konkurencyjnego Portera – od zawsze i na zawsze kupujący i sprzedający będą mieli rozbieżne cele i będą swoimi konkurentami, walcząc ze sobą ceną (o cenę). Świat gospodarczy się kręci, bo ciągle można „kupić taniej i sprzedać drożej”, jak skończy się model Portera, skończy się kapitalizm.

Za co mogę być wdzięczny Tomkowi i Sławkowi a o co mogę mieć do nich pretensję, jeśli chodzi o treści dotyczące zarządzania ryzykiem ?

Podstawową moim zdaniem wadą publikacji jest to, że na ograniczonej ilości stron próbuje bardzo ambitnie przedstawić bogactwo i różnorodność świata zarządzania ryzykiem i dość swobodnie żongluje zasadami i pomysłami z różnych „szkół zarządzania ryzykiem”. To wprowadza trochę poczucia chaosu, niewprawny czytelnik ma prawo się w nim zagubić. Zawiedziony jestem ponadto:

  • dysproporcją uwagi poświęconej ustaleniu kryteriów hierarchizacji ryzyka (za mało !) i zasadom dekompozycji (kaskadowania) celów biznesowych organizacji (za dużo !)
  • nieprecyzyjnym (nieprawdziwym) przedstawieniem zasad konstruowania diagramu Bow-Tie, na stronie 61; ta metoda nie pozwala na pokazanie w jednym diagramie pra-przyczyn i skutków następczych, a jedynie bezpośrednie przyczyny i bezpośrednie skutki tzw. „top event” (zdarzenia krytycznego); efekt rozbudowania łańcucha przyczynowo-skutkowego można jedynie osiągnąć łącząc diagramy ze sobą w ten sposób, że skutek jednego diagramu stanowi zagrożenie (przyczynę) dla kolejnego diagramu; wcześniej pisałem już o metodzie Bow-Tie

DNV

Przy okazji – ilustracja na stronie 27 pokazuje jak nie należy postępować z karabinkami – karabinków nie łączy się bezpośednio ze sobą (gdyż mogą powstać dźwignie – momenty obrotowe), lecz za pomocą taśmy. Ponadto wełniane rękawice przy pracy z taki sprzętem są diabelnie ryzykowne – mogą zostać przytrzaśnięte przez przesuwającą się linę. No, ale biorąc pod uwagę odległość Gdańska od Tatr, taki drobiazg można wybaczyć 🙂

Jestem wdzięczny za kilka bardzo ważnych praktycznych prawd, które zwykle są pokazywane jedynie sporadycznie, natomiast w omawianej publikacji zostały wyeksponowane w sposób należyty:

  • „dobrą strategię można streścić w kilku zwięzłych zdaniach” (przypomina mi się ostatnio widziana strategia, wyrażona zestawem wskaźników mieszczącym się na siedmiu stronach !)
  • zarządzanie ryzykiem potrzebuje prostego, zrozumiałego intuicyjnie słownictwa – potrzebują go kierownicy i pracownicy firmy
  • nadmierne sformalizowanie procesu zarządzania ryzykiem znacząco ogranicza jego skuteczność, gdyż rodzi opór i brak zaangażowania managementu (najboleśniej widać to we wszystkich chybionych wdrożeniach ERM)
  • szczególnie ważny jest zrozumiały i jednoznaczny opis ryzyka; autorzy zwracają uwagę na wymóg zrozumiałości definicji ryzyka dla decydentów (a najczęściej to nie te same osoby, które zdefiniowały, opisały i zmierzyły ryzyko)
  • za rozszerzenie – od strony praktycznej – pojęcia apetytu na ryzyko, jakie pojawiło się w załączniku.

Miło mi było zaobserwować, że na stronie 49 autorzy posłużyli się elementami mojego wykładu przedstawionego na kursie Polrisk (cechy efektywnych systemów zarządzania ryzykiem), bazującymi na opisanym na tym blogu badaniu AIRMIC.

13.04.2012 – Sprostowanie: Sławek poinformował, że wraz z Tomkiem korzystali z materiałów oryginalnych tj. opracowania DNV w Anglii przygotowanego dla AIRMIC. Wyrazy uznania za dociekliwość i docieranie do źródeł.

Również, oglądając przykładowy rejestr ryzyka przedstawiony na stronie 68 miałem nieodparte wrażenie, że widziałem identyczny w jednej z polskich firm. Unikalną wręcz kolumną – biorąc pod uwagę to, co widzi się w książkach i poradnikach – w proponowanym rejestrze ryzyka jest „opis sposobu kalkulacji skutków”, który ma krytyczne znaczenie dla powodzenia dalszego monitorowania ryzyka i decydowania o nim.

Konkluzja – trochę wybuchowa mieszanka, trochę za mało obszerna jak na tak szeroki zakres zagadnień – ale kawał dobrej roboty. Gratuluję !

Wasz w ryzyku,

R

Zakurzona pomarańczowa perełka

Przechodząc przez kolejne pozycje wymagane przez program International Certificate in Risk Management w końcu dotarłem do Orange Book, którą przestudiowałem z uwagą i zaskoczeniem. Nigdy tego dokumentu nie darzyłem szczególna atencją, jednak teraz muszę zmienić zdanie – mimo, że dziś, w czasach ISO 31000, ma wartość historyczną – znajduję w nim wiele bardzo cennych, praktycznych obserwacji i wskazówek, których próżno by szukać w pozostałych bardzo znanych dokumentach opublikowanych w tym samym roku (AS/NZS 4360, COSO II, AIRMIC/IRM/ALARM Standard). Wydaje się również, że Orange Book jest protoplastą praktycznych zasad i pojęć, jakie były rozwijane później i jakie są kluczowe dla zarządzania ryzykiem również dzisiaj.

Orange Book

  • Zacznę od jedynej chyba ale bardzo istotnej kontrowersji – w Orange Book (OB) znajdujemy stwierdzenie, że odpowiedź (reakcja) organizacji na ryzyko to „kontrola wewnętrzna” – i żeby nie było wątpliwości, że mowa o reakcji na ryzyko w dzisiejszym rozumieniu, przytacza się tam zasadę 4T. Jest to filozofia zgodna z tą w COSO II i osobiście się z nią zdecydowanie nie zgadzam, ale to już zagadnienie na kolejny wpis, który ukaże się w maju.
  • Orange Book objawia nam coś, co praktycy odkrywają dopiero po dłuższym czasie: zarządzanie ryzykiem nie jest procesem liniowym, gdzie etap następuje po etapie, ale zespołem (siecią) przeplatających się i współzależnych elementów składających się tylko formalnie w ciąg liniowy. Dlatego w OB proces zarządzania ryzykiem jest przedstawiony jako wykres kołowy, w którym każdy element sąsiaduje z innym.
  • Jako jedyna znana mi spisana dobra praktyka, OB rozróżnia pomiędzy pierwszą, inicjującą, identyfikacją ryzyk jaką przeprowadza się w organizacji (lub w departamencie czy dla danego projektu) od kolejnych, które są już częścią ciągłego procesu. Rzeczywiście, różnica między nimi jest tak wielka, że należy je rozpatrywać jako dwa zupełnie różne zadania do wykonania.
  • Dokument ten – w odróżnieniu od innych – koncentruje się na wielkim znaczeniu poprawnej definicji ryzyka (risk statement), na jego bezpośredniej relacji do celów, oraz na tym, że definicja zawierać okreslenie przyczyn i skutków zrealizowanego ryzyka. Dobra definicja powinna być skonstruowana na takim poziomie szczegółowości, aby określać konkretny skutek oraz pomagać nazwać konkretne działania zaradcze.
  • OB kładzie nacisk na osobiste i aktywne zaangazowanie właścicieli ryzyk w ich identyfikację i przekonuje, że jedynie wtedy właścicielstwo ryzyk jest silniejsze i bardziej naturalne.
  • Bardzo trafne i niezwykle istotne jest stwierdzenie, że nie absolutna wielkość ryzyka powinna determinować nasilenie i skalę działań zaradczych (kontrolnych), ale różnica pomiędzy wielkością tego ryzyka a apetytem organizacji na ryzyko. To fundamentalne stwierdzenie do którego praktycy musieli na własną rekę niekiedy dochodzić latami.
  • W OB pojawia się protoplasta zasady mówiącej, że decydując o reakcji na ryzyko należy przeprowadzić analizę kosztów i korzyści. Mowa tam bowiem, że rozważając możliwe środki zaradcze należy określić antycypowane ryzyko rezydualne (po zadziałaniu środków kontroli) oraz inherentne (na wypadek, gdyby one nie zadziałały) i porównać je z kosztami uruchomienia planowanego środka zaradczego. Ponadto, że taka anliza może pomóc wykryć obszary nadmiernej kontroli (over-control) i przeznaczyć część zasobów na bardziej istotne ryzyka.
  • Pojawia się tam pierwsza – ale bardzo racjonalna, choć uproszczona – definicja apetytu na ryzyko oraz wykładnia, jak go rozumieć i aplikować w praktyce. Zwraca również uwagę, że apetyt na ryzyko musi być wyrażony w takich samych wartościach (jednostkach) w jakich mierzy się ryzyko, oraz że powinno się go ustalać odrębnie dla różnych grup ryzyk. Do bardzo podobnych wniosków doszli twórcy dokumentu (o którym piszę tutaj), opublikowanego siedem lat później przez IRM.
  • OB wprowadza pojęcie „procesu eskalowania” – tj. przekazywania wyżej na szczeblach zarządczych ryzyk wykraczających ponad poziom tolerancji przewidziany dla danego szczebla menedżerskiego i ilustruje to mapami ryzyka dla danych poziomów decyzyjnych, nakładającymi się na siebie rogami. Na identyczne rozwiązanie wpadłem sam kilka miesięcy po opublikowaniu tego przewodnika, co przekonuje mnie, że został napisany przez praktyków, polecających rozwiązania intuicyjne i naturalne dla managerów.
  • Jednoznacznie lokuje też miejsce i rolę audytu wewnętrznego w firmie: może on pełnić rolę doradcy podczas tworzenia zasad zarządzania ryzykiem, lecz nie może być substytutem risk managera; podobnie komitet audytu nie może samodzielnie zarządzać ryzykami (podejmować decyzji na ich temat), gdyż rola ta jest przewidziana dla funkcji i struktur wykonawczych.
  • Bardzo podoba mi się, że OB podkreśla nie tylko formalny (raportowanie) ale i kulturowy aspekt monitorowania i komunikowania o ryzyku: konieczność wewnętrznego transferu wiedzy na tematy zidentyfikowanych ryzyk a przede wszystkim wypracowanych w firmie i sprawdzonych reakcji na ryzyka.

Okazuje się, że niekiedy warto wrócić do starych prawd i je odkurzyć, odkryć na nowo.

Wasz w ryzyku,

R

Kontrowersji wokół płci pięknej ciąg dalszy

Nie tak dawno na tym blogu została poruszona kwestia płci w naszej grupie zawodowej, a już szykuje się dość mocno komentowany w prasie zagranicznej skandalik. Australijski magazyn risk managerów Risk Magazine uniżenie donosi, że wyniki ostatnich niemieckich badań dostarczają wniosków zaprzeczających poprzednim badaniom, jeśli chodzi o wpływ „zawartości” płci pięknej w zarządach firm na ich skłonność do podejmowania ryzyka i wyniki finansowe.

Raport wprost konkluduje, że kobiety w zarządach są mniej doświadczone, bardziej agresywne i bardziej skłonne do podejmowania ryzyka niż mężczyźni. Ponadto, zdaniem akademików i specjalistów z Bundesbank, mieszane składy zarządów wywołują wewnętrzne konflikty i tzw „power struggle” (walkę o władzę). Wnioski wysnuto na podstawie analizy zmienności wyników finansowych banków w ciągu 16 lat i ich skorelowania ze zmianami w składzie zarządów.

Wszystkich zorientowanych – szczególnie Australijczyków i Amerykanów, którzy mają własne badania – dziwią takie wyniki. Bowiem badania z tych dwóch odległych od Europy kontynentów bez najmniejszych wątpliwości wskazują na dobroczynny wpływ mieszanych składów zarządów na wyniki finansowe przedsiębiorstw. DCA (Diversity Council of Australia) porównuje wartości wskaźników finansowych dla dwóch skrajnych grup firm: tych, w których jest największy udział kobiet w zarządach i tych, gdzie ten udział jest najmniejszy. Zarządy zdominowane przez kobiety wypracowują lepsze wyniki: ROE (Return on Equity) o 53%, ROS (return on Sales) o 42% i ROI (Return on Investment o 66%.

Być może wyniki tłumaczy skład ekipy niemieckich badaczy: w pełni męski zespół.

AIRMIC na wiosnę

W zeszłym roku AIRMIC oraz Cranfield University opublikowały rozchwytywany już dzisiaj raport Roads To Ruin, studium przyczyn i mechanizmów prowadzących do najwiekszych porażek korporacyjnych ostatniej dekady. Wszystkie porażki można wytłumaczyć niesprawną funkcją zarządzania ryzykiem.

Roads to Ruin

Pierwsze dwadzieścia parę stron to podsumowania i konkluzje, kolejne sto sześćdziesiąt to analiza case study następujących przypadków (alfabetycznie): AIG and AIG Financial Products, Arthur Andersen, BP Texas City Refinery, Buncefield, Cadbury Schweppes, Coca-Cola Dasani, EADS Airbus, Enron, Firestone, HSBC / Nationwide, Independent Insurance, Land of Leather, Maclaren Pushchairs, Northern Rock, Rail disasters: Great Heck, Hatfield, Potters Ba, Shell (Oil & Gas reserves), Société Générale, UK Passport Agency.

Raport do zakupienia (lub dla członków AIRMIC do pobrania za darmo) tutaj.

W przygotowaniu – przez ten sam tandem Airmic + Cranfield University – jest drugi raport, tym razem raport chwały omawiający największe sukcesy oraz historie świadczące o tym, że zarządzanie ryzykiem pozwoliło przeprowadzić firmy przez kryzysy.

Przy okazji tej wycieczki na Wyspy Brytyjskie – czerwcowa konferencja AIRMIC, tym razem w Liverpool, znów zapowiada się na rekordową pod względem liczby uczestników i wielkości towarzyszących jej targów komercyjnych. Dla ewentualnych zainteresowanych więcej informacji tutaj.

A zmotywowanym przypominam mój wpis w którym wyjaśniam, jak stając się członkiem Airmic można wybrać się na tę najlepszą w Europie konferencję risk managerów – za darmo.

Wasz w ryzyku,

R