Miesiąc: Styczeń 2013

Practical ERM Duckerta – rozczarowanie …

Jakiś czas temu z entuzjazmem zapowiadałem książkę „Practical Enterprise Risk Management” Gregorego Duckerta i obiecałem, że podzielę się refleksjami po jej przeczytaniu. Ten wpis ukazuje się wiele tygodni później niż chciałem, gdyż wraz z czytaniem „grzęzłem” w tekście. Książka zapowiadała się znakomicie, jednak w trakcie jej czytania coraz bardziej czułem rozczarowanie.

Duckert
Zastanawiam się, czy bardziej mówi ona o zarządzaniu ryzykiem, rzemiośle rzetelnego zarządzania firmą, czy o utopijnej koncepcji opomiarowania wszystkiego terabajtami wskaźników o jakiej wspominał kiedyś Pan Jerzy na jednej z konferencji Polrisk. Poniżej kilka spostrzeżeń, na temat dość charakterystycznych dla Duckerta koncepcji.

Duckert uważa, że jednym z przedsięwzięć, które najbardziej zaszkodziło ERM jest wprowadzenie SOX (Sorbannes Oxley Act), z czym się całym sercem zgadzam. Problemy ryzyka bowiem ani nie rodzą się ani nie kończą w obszarze finansów, lecz poza nim. Lakarstwem na tę chorobę miało być COSO II, któremu autor poświęca sporo miejsca. Podkreśla różnice pomiędzy COSO I i COSO II, np. pojawienie się strategii jako bazy nowego procesu oraz wskazuje na absurdy COSO I, które np. najpierw mówi o działaniach kontrolnych (pozbawionych kontekstu ryzyka) a dopiero później o oszacowaniu ryzyka. 

Duckert obnaża próby porównywania ERM do kontroli finansowej argmentując, że w sprawozdaniach finansowych widać jedynie to co już się stało faktem, a nie ryzyka – które należą do przyszłości, obszaru niepewności – i nie można na ich podstawie kontrolować ryzyka. Ale podobnie nie oszczędza pewnych powszechnych w ERM praktyk – na przykład stosowanie miar skutku lub ryzyka: „mały”, „średni”, „duży” – bez żadnego umocowania do twardych wartości. Równie bezlitośnie obszedł się z tzw. Wielkim Konsultingiem zauważając, że ich przekonanie o generowaniu wartości dodanej przez wdrażane skomplikowane systemy zarządczej de facto dotyczy jedynie wartości (pieniężnej) generowanej przez projekty wzdrożeniowe dla samych doradców …  

Wg Duckerta ryzyko to łańcuch zdarzeń, a zdarzenie inicjujące (prekursor) zwykle pociąga za sobą wiele ryzyk następczych potęgujących intensywność ekspozycji. Ryzyko pierwotne (trigger) ujawnia się w postaci ryzyk następczych w innych, niekiedy odległych funkcjach czy obszarach firmy. Stąd ryzykiem należy zarządzać – mitygować je – u źródła. Na potrzeby tego stosunkowo prostego stwierdzenia Duckert tworzy dwa nowe pojęcia: TREC (The Risk Evolution Chain) i MORE (Multiple Organizational Risk Effect). To jeden z problemów tej książki i autora – dziesiątki skrótów tworzonych na potrzeby tekstu zajmującego kilka stron. Jak można w sposób bardziej skomplikowany nazwać koncepcję właścicielstwa ryzyka ? Na przykład DRAM (Distributed Risk Assesment and Management). 

Autor proponuje zupełnie nowe znaczenie terminu ekspozycja (exposure), z którym się zupełnie nie zgadzam – próbuje jego znaczenie przyrównywać do terminu „skutek” – oba wg Duckerta są następstwem wystąpienia ryzyka jako zdarzenia. Być może tak jest w Stanach Zjednoczonych, ale w Europie nie mamy wątpliwości, że
złożenie ekspozycji i hazardu daje ryzyko, które ma swoje następstwa (skutki)

Również trudno się zgodzić z tezą, że ryzyko to odwrotność rezultatu, efektu procesu (jeśli np. rezultatem procesu ma być minimalizacja kosztów wydobycia jednej tony to ryzykiem byłaby maksymalizacja kosztów wydobycie …)

Myślą przewodnią, mantrą całej książki jest zarządzanie ryzykiem oparte na danych (data driven risk management). Duckert wyobraża sobie zarządzanie ryzykiem jako bibliotekę wskaźników opisujących wszystkie procesy i każdy jego element, za pomocą których – dzięki wszechogarniającego firmę systemu informatycznego – zarządzający mają wyprzedzającą informację o zagrożeniach dostępną w czasie rzeczywistym i w czasie rzeczywistym zapobiegają ryzykom w sposób najbardziej optymalny. Jeśli już cokolwiek realnego to przypomina – to po prostu zarządzanie procesem, nie ryzykiem. Trzeba autorowi przyznać, że rzeczywiście przyłożył się do skatalogowania pokaźnej listy przykładowych KRI dla różnych dziedzin i funkcji typowej firmy, chociażby:

  • finanse, skarb, podatki, prawo
  • HR, IT, zakupy, marketing
  • planowanie biznesowe, planowanie produkcji, 
  • logistyka, kontrola stanów magazynowych
  • zapewnienie jakości.

Jednak wspomniana lista KRI zajmująca kilkanaście stron wydaje się potwierdzać, że Duckert nie pisze o zarządzaniu ryzykami lecz o optymalizacji biznesu, procesów i funkcji.

Czym głębiej w las, tym więcej muchomorów – kolejne strony poświęcone jakoby metodom analizy ryzyka opisują mniej czy badziej znane metody analizy statystycznej ogólnie: analiza trendu, punkt kluczowej zmiany (Pivotal Point of Change), analiza średniej dyspersji, analiza porównawcza okresów … Niestety wszystkie dotyczą analizy historii, żadne nie pomaga zrozumieć ryzyka rozumianego jako niepewność przyszłości.

Na koniec – bardzo zabawna jest maniakalna poprawność polityczna autora: wszędzie gdzie normalnie napisano by „on, jemu” itp Duckert pisze „ona, jej„, np. „taki właśnie model raportowania powinna budować każda CRO w jej organizacji”.

stąd – Wasza w ryzyku,
R

50 lat minęło … AIRMIC

Zamach na Kennedy’ego – w tym samym roku 1963 w londyńskim hotelu Bonnington zebrała się grupa brytyjskich dżentelmenów i założyła AIMIC (Association of Insurance Managers in Industry and Commerce). Literka R (od Risk) pojawiła się kilka lat później.

AIRMIC
AIRMIC zaczynał podobnie do Polrisku –  w ciągu półtorej roku miał 150 członków. W trzy lata od założenia zatrudniał pierwszego pracownika na pół etatu, pracującego z domu. Po kolejnych czterech latach zatrudniał pracownika na pełen etat, ale dopiero po 15 latach prowadził swoje fizyczne biuro w Londynie. Możesz o tym przeczytać na stronie AIRMIC.

inicjatywy AIRMIC
Nasze tempo rozwoju – podobnie jak tempo biznesu w jakim dzisiaj funkcjonujemy – jest znacznie większe, ale chyba ciągle możemy się uczyć od tej bardziej doświadczonej i silniejszej organizacji, szczególnie że od lat jest nastawiona do nas bardzo przyjaźnie i nas (Polrisk) wspiera.

Dzisiaj  AIRMIC jest inicjatorem wielu mądrych inicjatyw podejmowanych na dużą skalę. Na szczególna uwagę zasługują inicjatywy badawczo rozwojowe (przez Anglików nazywane – nie wiadomo dlaczego – „technicznymi”). Jedną z ostatnich był raport pt „Roads to Ruins” o którym pisałem na blogu. Teraz wszyscy z zapartym tchem czekają na zrealizowanie „planu technicznego” na 2013, którego głównym punktem ma być raport „Roads to Resilience” (droga od odporności biznesowej”).

Miło być członkiem organizacji tworzącej historię europejskiego risk managementu.

————– 23.02.2013 —————————–

AIRMIC właśnie opublikowała dedykowaną witrynę http://www.airmic50.com/ na której pokazuje historię AIRMIC na osi czasu, zestawioną z historią polityczną i gospodarczą świata. 
Oprócz daty zamachu na Kennedy’ego, jest tam skazanie Nelsona Mandeli, śmierć Churchilla, wojna wietnamska i izraelsko-palestyńska, lądowanie na księżycu, rozpad Beatlesów, założenie Microsoftu, śmierć Presleya, wojna afgańska, Falklandy, śmierć Lennona, Czernobyl, upadek muru berlinskiego, wieżowce WTC … i Nelson Mandela wraca jako prezydent, i dalej, dalej … robi wrażenie.

Was w ryzyku,

R

Tym razem wyprzedziła nas Turcja …


Pod koniec zeszłego roku, środowisko tureckich risk managerów świętowało konferencję, która była uwieńczeniem intensywnej akcji promującej ISO 31000. Akcja wykorzystała wprowadzenie zmian w tureckim kodeksie spółek handlowych, zobowiązujących zarządy (spółki) do tworzenia komitetów eksperckich, mających być mechanizmem „wczesnego ostrzegania” i reagowania na ryzyka. Zapis art 378 Code of Commerce mówi:

„In companies whose common stocks are traded, the board of directors is supposed to establish an expert committee, run and improve the system in order to implement solutions necessary for early recognition of reasons endangering the existence, development and continuance of the company, and for management of the risks. In other companies, this committee will be established when required and notified to the board of directors in written form by the auditor and it will publish its first report at the end of the month after its establishment. (2) Committee will evaluate the situation in the bimonthly reports given to the board of directors and it will show risks if there are any along with the solutions.”

Spółki giełdowe zatem nie mają wyjścia i musza zarządzać ryzykiem (stworzyć komitet raportujący do zarządu nt ryzyk co dwa miesiące), pozostałe spółki powinny nim zarządzać jeśli taka będzie rekomendacja audytorów. 

Turecji risk manager Sekerbanku, Alpaslan Menevşe, udzielił wywiadu w tureckiej telewizji CNBC-E w którym powiązał art 378 z zaleceniami ISO 31000, cementując w ten sposób w świadomości tureckiego biznesu zarządzanie ryzykiem z zarządzaniem strategicznym. Silna pozycja ISO 31000 i zarządzania ryzykiem wśród tureckich przedsiębiorstw została ostatecznie utrwalona podczas wspomnianej konferencji Oprisk Turkey Conference 2012. 

I pomyśleć, że jeszcze parę lat temu, tuż przed moim odejściem z zarządu FERMA, trwała burzliwa dyskusja czy Turcja powinna zostać dopuszczona do członkostwa w tej federacji, jako kraj nie w pełni europejski. (Tak, wstyd przyznać, że byłem w gronie tych, którzy ostrzegali, że po przyjęciu Turcji do FERMA, również będzie trzeba przyjąć Maroko lub Syrię, jeśli zaaplikują …)

Tak szybki sukces nie zostałby zapewne osiągnięty bez wsparcie Alexa Dali, Prezydenta organizacji G31000 (organizatora majowej konferencji poświęconej w całości ISO 31000).

Wasz w ryzyku,

R