Ostatnio zetknąłem się z kilkoma próbami wdrożenia w polskich spółkach zarządzania ryzykiem w oparciu o koncepcje kontroli wewnętrznej, gdzie ZR miało być traktowane jako rozszerzenie czy funkcja wsparcia dla KW. To moim zdaniem zabójcza dla ZR tendencja wynikająca z jednej strony z wygodnictwa dużych firm konsultingowych uczestniczących we wdrożenia a z drugiej z małej wiedzy i doświadczenia osób, którym w przedsiębiorstwach powierza się zadanie zbudowania systemu ZR, a zwykle są to osoby naturalnie związane ze służbami kontroli wewnętrznej.
Zarządzanie ryzykiem – to wciąż raczkujący organizm w warunkach polskiej gospodarki wolnorynkowej, która istnieje od zaledwie 20 lat. Tym bardziej dużo wolniej postępuje wdrażanie owego „zjawiska” – jakim nazywany bywa proces zarządzania ryzykiem – w sektorze finansów publicznych, gdzie pojęcie to zostało wprowadzone formalnie w 2009 roku (nowelizacja ustawy o finansach publicznych). Traktowanie ZR jako rozszerzenia kontroli wewnętrznej czy ZR jako funkcja KW, wynika więc z naturalnej kolejności dochodzenia do sprawności przedsiębiorstwa (lub jednostki finansów publicznych) w obszarze ZR. Nie widzę więc błędu w takim podejściu, zakładając, że przedsiębiorstwo z czasem zdecydowanie rozdzieli zadania kontroli wewnętrznej od zadań zarządzania ryzykiem.
Jestem zdania, że to stawianie sprawy na głowie – środowisko kontrolne i podejście urzędnicze, jakie przyjmuje się jedynie w bardzo sformalizowanych korporacjach, nie sprzyja świadomemu zarządzaniu ryzykiem oraz podejmowaniu inicjatywy i odpowiedzialności przez kadrę kierowniczą.
Posługując sie swego rodzaju synonimem, w moim przekonaniu – to właśnie stawianie sprawy na nogach, a dokładniej na podstawie – podstawie piramidy potrzeb Maslowa. Zarządzanie ryzykiem dla wielu polskich przedsiębiorstw stanowi szczyt tej piramidy. Podstawą, punktem wyjścia, od dawna znaną sprawnością, a przede wszystkim powszechnie stosowaną praktyką jest więc funkcja kontroli wewnętrznej. Naturalnym stanem wydaje się dojrzewanie zarządzania ryzykiem w środowisku kontroli wewnętrznej. Kontroli wewnętrznej, która w swych założeniach, ma za zadanie sprawdzić jak jest – z tym jak powinno być. Można założyć, że decyzja o powierzeniu zadania budowania systemu ZR kontrolerom, w naturalny sposób wynika z prostej logiki: jest źle, ma być dobrze. W takim momencie myśli kierujących przedsiębiorstwem biegną właśnie w stronę kontroli wewnętrznej która, przynajmniej w założeniach, ma poprawiać rzeczywistość. Podejście urzędnicze ma swoje dobre strony, które mogą stanowić o sile sprawnego i świadomego zarzadzania ryzykiem. Moim zdaniem, urzędnicze podejście to nie tylko negatywnie odbierane niewychylanie się ze sztywnych ram. To też taka umiejętność formalnego podejścia, które na etapie raportowania i monitorowania staje się kluczową wartością.
W projektowanych systemach ZR opartych o KW, którym miałem możliwość się przyjrzeć, najczęściej brakuje następujących, istotnych elementów lub ich wystarczającego rozwinięcia:
- przede wszystkim etapu/elementu menedżerskiego decydowania o ryzykach – tym samym zmieniania firmy i brania odpowiedzialności za decyzje (rozliczania za nie)
- dopracowanej koncepcji, w jaki sposób będzie mierzona skuteczność właścicieli ryzyk w ZR
- często również konkretnych (nazwanych) i przemyślanych metod, technik i narzędzi jakich będzie się używać podczas analizowania, kwantyfikowania i reagowania na ryzyko.
Taki najbardziej charakterystyczny przypadek z jednej ze znanych polskich firm, cechował się następującymi słabościami:
- próba opomiarowania ryzyk do granicy absurdu – mimo, że ryzyka nie zmieniają się na tyle szybko aby wszystkie mierzyć „real-time”
- struktura zarządcza skonstruowana tak, że wszystkie decyzje dotyczące istotnych ryzyk ogniskują się na poziomie zarządu (bardzo łatwo doprowadzić wtedy do sytuacji, w której Zarząd staje się wąskim gardłem SZR i zamiast wpływać na jego sprawność, spowalnia jego działanie)
- w procedurach (procesie) ZR brakuje decyzji o nominowaniu konkretnego właściciela ryzyka za nie odpowiedzialnego – zarówno na etapie oceny ryzyk, jak i na dalszych etapach (reakcja na ryzyko)
- dyrektorzy nie mają przez to inicjatywy, nie podejmą działań bez wcześniej przeprowadzonej kontroli lub audytu i otrzymania wniosków pokontrolnych; są tym samym zwolnieni z obowiązku zarządzania ryzykiem
- ZR jest traktowane jako funkcja służebna w stosunku do KW – a powinno być odwrotnie
- w procesie ZR (wzorowanym na COSO II) nie został zaakcentowany etap reagowania na ryzyko (risk response) a pojawia się od razu etap kontrolowania (control activities). Etap odpowiedzi na ryzyko (świadomej decyzji menedżerskiej) jest bezwzględnie konieczny i musi być mocno wzaakcentowany jako funkcja/odpowiedzialność menedżerska
- środki kontroli ryzyka funkcjonują jako procedury oderwane od ryzyk, ewentualnie są analizowane jedynie jako część planu kontroli wewnętrznej
- inicjatywy związane z reagowaniem na ryzyko są ograniczane do „działań kontrolnych” w rozumieniu np. COSO a nie do pełnego spektrum reakcji menedżerskich na ryzyko (tak jakby istniały tylko tzw „control risks”)
- Komitetowi ds Ryzyka nadaje się kompetencje merytoryczne Właścicieli ryzyk, których Komitet nie ma.
Nawiasem mówiąc, jeśli do obowiązków Komitetu miałoby należeć na przykład formułowanie propozycji dotyczących sposobu postępowania z ryzykiem korporacyjnym oraz zatwierdzanie opracowanych odpowiedzi na ryzyko, to Komitet powinien dysponować większymi kompetencjami merytorycznymi w obszarze poszczególnych ryzyk niż ich właściciele – a tak nigdy nie będzie. W jego skład wchodzą bowiem zwykle te same osoby, które są właścicielami ryzyk a ponadto kierownictwo z obszarów wsparcia (finanse, administracja, audyt, inwestycje, sprzedaż), które nie mają niezbędnej wiedzy merytorycznej.
Dlaczego słychać tu bardzo wyraźny zgrzyt – piasku po szkle ? ZR z założenia zajmuje się obszarem niepewności a KW obszarem już rozpoznanych (wystandaryzowanych) zjawisk i zdarzeń. KW z założenia jest pasywna – ma za zadanie weryfikować (kontrolować) zgodność postępowania i rozwiązań z pewnymi wzorcami, procedurami a ZR z założenia jest aktywne – służy zmienianiu lub tworzeniu nowych rozwiązań, procedur lub wzorców postępowania. Są to zadania i cele rozłączne.
Podejście kontrolne do zarządzania ryzykiem – bazujące na procedurach, monitorowaniu, czynnościach kontrolnych – osłabia właściwą kulturę organizacyjną, sprzyjającą ZR. Podejście menedżerskie – bazujące na obowiązku podejmowania czytelnej postawy wobec ryzyk, decyzji i brania za nie odpowiedzialności – buduje ją. Monitorowanie i kontrolowanie to działanie reaktywne, bierne a nie proaktywne, jakie są pożądane przy zarządzaniu ryzykiem.
Podejście kontrolne do zarządzania ryzykiem – bazujące na procedurach, monitorowaniu, czynnościach kontrolnych – daje faktyczną, realną podstawę do menadżerskiego podejścia. Dostateczna ilość a przede wszystkim jakość i rzetelność informacji, daje podstawę do podejmowania właściwych decyzji. Takie podejście, daje pozytywne efekty w początkach wdrażania zarządzania ryzykiem w jednostkach sektora finansów publicznych, gdzie kultura organizacji jest mocno sformalizowana, sztywna i z trudem przyjmująca zmiany. Opisanie nowych zadań związanych z procesem zarządzania ryzykiem nie tylko w formie ustawy, ale też standardów, wytycznych, komunikatów a w kolejności skrupulatną kontrolę realizacji tych zapisów – daje wyraźny sygnał o ważności zjawiska.
Zarządzanie ryzykiem bazuje na decyzjach i odpowiedzialności menedżerów a nie na funkcjach kontrolnych lub wsparcia. Aby tak się stało, należy zbudować bezpośrednią relację pomiędzy jakością ryzyk określonego właściciela, efektywnością środków kontroli za które odpowiada, oceną „performance” tego menedżera i jego systemem motywacyjnym. Już „wiekowy” Turnbull Guidance o tym wspomina. Innymi słowy – konieczne jest przejście od fazy „conform” do „perform”.
Zgodnie z z COSO II, kontrola wewnętrzna jest integralną częścią (służebną w stosunku do) zarządzania ryzykiem – do tego momentu jestem zwolennikiem COSO II. Jednak dokument ten ma zasadniczo kontrolny i urzędniczy charakter – kładąc nieproporcjonalnie duży akcent na kontrolę wewnętrzną. Powszechna krytyka COSO II wskazuje, że jedną ze słabości tego dokumentu – oprócz nierozróżniania pomiędzy „procesem” a „strukturą” ZR, jest wprowadzenie zamieszania interpretacyjnego jeśli chodzi o czynności „risk response”, „control activities” oraz „monitoring”.
Docelowa relacja obu funkcji (ZR i KW) powinna uwzględniać następujący uproszczony proces:
- analiza strategiczna (kontekst dla ZR)
- identyfikacja i analiza ryzyk (wyznaczenie właścicieli ryzyk – dyrektorzy i kierownicy)
- decyzja i implementacja pełnej reakcji na ryzyko (działanie menedżerskie właścicieli ryzyk, nie kontrolne)
- dopiero na tym etapie wkracza funkcja kontroli wewnętrznej, żeby kontrolować i raportować, czy plany zaradcze (środki kontrolne) są właściwie wdrażane i wykonywane (rola służebna kontroli wewnętrznej w stosunku do ZR)
- niezależnie od powyższych, funkcja audytu wewnętrznego powinna monitorować funkcjonowanie samego systemu ZR (nie tylko ryzyka).
Monitorowanie ryzyk przez audyt wewnętrzny można odbierać na dwóch płaszczyznach. Stwierdzenie powyższe, sugeruje pojmowanie funkcji audyt wewnętrznego jako tej części przedsiębiorstwa, która jest najlepiej zorientowana w obszarze wszelkich ryzyk. Nie należy jednak mylić ryzyka identyfikowanego, analizowanego i monitorowanego przez audyt wewnętrzny w odniesieniu do badanych procesów z mnogością ryzyk występujących w jednostce i będących w obszarze zainteresowania ZR. Ryzyko w audycie wewnętrznym jest silnie powiązane z przyjętym planem audytu, odnosi się do celów poddanych badaniu audytowemu. Audyt wewnętrzny powinien zatem monitorować (i najczęściej monitoruje) funkcjonowanie procesu zarządzania ryzykiem – procesu będącego jedynie narzędziem do osiągnięcia celów do których dąży przedsiębiorstwo.
głos pierwszy: wasz w Ryzyku – R
oraz głos drugi: Agnieszka Mrozik
ryzyko jest piękne 