Celem zarządzania ryzykiem korporacyjnym nie jest budowanie awersji do ryzyka. Organizacje rozumiejące i wykorzystujące ryzyko, mogą bezpiecznie przełknąć go więcej, niż pozostałe firmy z branży
Niedawno Strategic Risk opublikował kolejny obrazek z cyklu infographic – tym razem ilustrujący korelacje ryzyk globalnych między sobą.
Jak bliżej się tej pajęczynie przyjrzeć, to robi się z tego kostka Rubika. Jak ktoś ma ochotę przyjrzeć się z bliska i połamać sobie głowę – proszę bardzo, obrazek w lepszej jakości jest tutaj.
Niedawno redakcja nowego czasopisma Strategie przesłała do sekretariatu Polrisk propozycję przeprowadzenia wywiadu z wybranymi członkami Stowarzyszenia a wraz z nim kilka pytań z prośbą o proste, krótkie odpowiedzi. Jako, że w tym okresie dość intensywnie podróżowałem do moich Szanownych Klientów, zaniedbałem sprawę wywiadu i nie zdążyłem udzielić odpowiedzi na łamach Strategii. Nic straconego, można to nadrobić w potężnym medium jakim jest World Wide Web.
Jak to zwykle bywa z redaktorami początkujących czasopism, chcą wiedzieć wszystko i szybko a nie zawsze jest to możliwe – przesłane pytania wymagałyby wielogodzinnej dyskusji. Ale wybrałem te ciekawsze, które myślę że zasługują na rozwinięcie.
Fantazja – ułańska czy też fantazja księgowego – nie ma tutaj nic do rzeczy, gdyż każdy system zarządzania ryzykiem powinien być osadzony w kontekście danej firmy, a bardzo ważną część tego kontekstu stanowi tzw apetyt firmy na ryzyko, wyznaczany generalnie przez zarząd. Jeśli zarząd ma ułańską fantazję i wie jak tę fantazje chce wykorzystać w swojej grze rynkowej, przekłada się to na odpowiedni stopień „niewrażliwości” miar ryzyka i narzędzi zarządzania nim w tej firmie.
Mam już za sobą wiele rozmów z członkami zarządów wielu firm rozważających wdrożenie u siebie zarządzanie ryzykiem korporacyjnym i miałem możliwość obserwować różne scenariusze, mniej czy bardziej szczęśliwe, jak ERM (Enterprise Risk Management) się rozpoczyna w wielu firmach. Bogatszy tymi doświadczeniami dzisiaj nie przekonywałbym do ERM żadnego zarządu czy właściciela, gdyż musi on zdobyć takie przekonanie sam, w swoim rytmie i czasie. Pomóc mu w tym mogą bardzo duże i bolesne porażki, silni klienci lub partnerzy biznesowi, regulatorzy bądź akcjonariusze. Dopiero zarządy “doświadczone” presją zewnętrzną są gotowe na wdrożenie zarządzania ryzykiem.
Kiedy zaczynałem wprowadzać zarządzanie ryzykiem korporacyjnym w logistycznej grupie kapitałowej (kapitał holenderski, jednak zarząd i siedziba w Polsce) – był koniec roku 2003. Byłem wtedy na polskim rynku sam jak palec, mogę więc o sobie mówić że jestem pionierem ERM w Polsce. Moje pierwsze kontakty z zachodnią, dojrzałą szkołą zarządzania ryzykiem, uczestnictwo w pierwszych szkoleniach i konferencjach w Anglii – to był rok 2004. Od roku 2005 zaczynałem zauważać kolejne pojedyncze osoby w Polsce również nieśmiało oglądające się na zagadnienie ERM, wtedy też nastąpiły pierwsze nieformalne spotkania współtwórców dzisiejszego Polrisk, zresztą z udziałem członków zarządu FERMA. Polrisk założono w 2006 roku i można ten rok przyjąć jako początek sformalizowanego, zinstytucjonalizowanego nurtu zarządzania ryzykiem biznesowym w Polsce. Zdecydowane przyspieszenie polskich firm i „umasowienie” tej dyscypliny zarządczej w Polsce to ostatnie 2, może 3 lata. Dochodzę również do wniosku, że nasze rodzime – odpowiednio duże – firmy mają większe szanse samodzielnego stworzenia nowoczesnych systemów ERM niż ich konkurenci będący spółkami-córkami firm zagranicznych, gdyż tym ostatnim po prostu narzuca się rozwiązania spółek-matek, nie zawsze spełniające najnowsze osiągnięcia zarządzania ryzykiem.
Dzisiaj zasadniczo można mówić o czterech a właściwie o dwóch dobrych praktykach:
Z tej czwórki głosuję zdecydowanie za ISO 31000.
Po pierwsze, świat finansów nie potrafi uprawiać zarządzania ryzykiem a jedynie markuje, że to robi. Pokazał to dobitnie w 2008 roku dołując swoim nieudolnym postępowaniem z ryzykiem całą gospodarkę światową. Gdyby brać pod uwagę gospodarkę europejską, oraz Amerykę Północną a także Australię i Nową Zelandię – można mówić o ok 30-50% dużych firm (powyżej pół miliarda EUR obrotów), które są na rożnych etapach wdrażania lub funkcjonowania ERM. Rynek polski jest pod tym względem znacznie młodszy: z giełdowej top 50-ki myślę, że jest to około 10%, z giełdowej top 200-ki, około 5%. I to są moim zdaniem absolutne maxima.
Jeśli mowa o sektorach pozafinansowych, to niewielu, praktycznie wcale. ERM to nie jest zadanie, które wypełni „cały etat” członka zarządu. Używanie (czy w ogóle stworzenie) nazwy CRO to szkodliwy dla naszego środowiska zawodowego przerost formy nad treścią, wręcz bufonada.
Na podstawie dyskusji z innymi europejskimi menedżerami ryzyka – chociażby podczas ostatniego Forum FERMA oceniam, że funkcja czy tytuł CRO – przynajmniej na świecie – przestała już nas emocjonować i umarła zanim na dobre znalazła swoje miejsce i znaczenie. To pusta nazwa, gdyż w praktyce osoby na funkcji managera ryzyka (a właśnie o nich mowa) nie dochodzą do poziomu składu zarządu (C-Suit), chyba, ze członek zarządu przyjmuje na siebie dodatkową rolę risk managera (i wtedy mowa o CFO, CEO lub COO, który przy okazji jest Risk Officerem), ale to ma miejsce sporadycznie.
W Polsce nazwy CRO dla tej funkcji używa się bodajże tylko w niektórych bankach, stąd to zawsze bankowcy, analitycy finansowi. Poza bankami używa się nazwy risk manager (menedżer ryzyka), i są to ludzie z korzeniami w ubezpieczeniach, audycie wewnętrznym lub po prostu wszechstronni kierownicy/dyrektorzy, bo takimi musza się stać risk managerowie.
Jeśli ktoś nie popełni tego błędu i nie stara zrobić z siebie mosiężnego posągu pod nazwą CRO, natomiast poprzestanie na tytule i roli managera ryzyka, to staje się:
Jeśli mowa o risk managerach – to nie ma typowego dnia. Ten dzień jest zupełnie inny w ciągu pierwszego, drugiego, czwartego kwartału, zmienia się po roku i po dwóch latach od wdrożenia ERM. Nie ma rutyny, nie ma dwóch takich samych risk managerów, nie ma dwóch firm tak samo zarządzających ryzykiem.
Rzeczywiście, risk manager o słabej konstrukcji psychicznej jest risk managerem jednego sezonu, nawet nie jednego projektu wdrożeniowego. Musi być w stanie wyobrazić sobie cos na kształt swojej konfrontacji z CEO i nie przestraszyć się tej perspektywy. Niekoniecznie musi do niej dojść, jednak konfrontacje z managerami liniowymi, dyrektorami to pewnik, na który risk manager musi być gotowy. Jest kilka złotych reguł, które pomagają menedżerom ryzyka zdobyć autorytet i być cenioną osobą w firmie – ale to już temat na kolejny wpis.
Przy okazji – myślę, że CRO to na tyle ciekawe zagadnienie, że zasługuje na bardziej publiczne przedyskutowanie w większym gronie. Może Strategie zorganizowałyby taką dyskusję przy jednym stole korzystając z kwietniowej konferencji Polrisk – wtedy w jednym miejscu będą wszystkie “mądre głowy”. Podobne spotkania organizuje Strategic Risk (chodzi o tzw round table, czyli tematyczne spotkania ekspertów z danej dziedziny przy jednym stole, moderowane przez dziennikarza). W kilku uczestniczyłem – sprawdzają się doskonale.
* CRO – Chief Risk Officer, termin używany najczęściej w instytucjach finansowych, opisujący członka zarządu zajmującego się ekspozycją banku na ryzyko oraz funkcjami kontroli wewnętrznej, które to ryzyko miały kontrolować. W latach 2009-2010 próbowano – szczególnie w Stanach Zjednoczonych – ochrzcić tym mianem Risk Managerów spoza sektora finansowego, mając nadzieję na podniesienie w ten sposób ich statusu, jednak ostatecznie ta próba została bardzo sceptycznie przyjęta przez Risk Managerów na ostatnim Forum FERMA w Londynie. Na status trzeba sobie zapracować przydatnością w firmie, a nie “sztukować” go tytułem.
… ma kluczową rolę w całym systemie zarządzania ryzykiem korporacyjnym w firmie. To od niego zależy sukces tego systemu, co najmniej w takim samym stopniu jak od menedżera ryzyka (którym de facto menedżer ryzyka nie jest …). Termin „właściciel ryzyka” pojawia się w każdej książce i prawie każdej prezentacji na temat ERM i wydawałoby się, że nie ma sprawy prostszej. Okazuje się jednak, że tak nie jest – na drugiej edycji Certyfikowanego Kursu Zarządzania Ryzykiem Polrisk padło pytanie dotyczące właścicielstwa ryzyka, na które nie byłem w stanie odpowiedzieć „od ręki” … ale zacznijmy od początku.
Zadaniem właściciela jest „gospodarowanie ryzykiem”, lub lepiej – zarządzanie nim. Począwszy od momentu, kiedy ryzyko zostanie zidentyfikowane oraz kiedy stanie się jego właścicielem, do momentu kiedy sprowadzi to ryzyko do poziomu jaki jest akceptowalny dla firmy – tj zgodny z tzw „apetytem na ryzyko” lub poziomem tolerancji na ryzyko, jaki wyznaczył lub zatwierdził zarząd.
Pierwszym ruchem jaki powinien wykonać właściciel ryzyka powinno być upewnienie się, że ryzyko jakie otrzymał zostało poprawnie zmierzone (chyba, ze zidentyfikował i zmierzył je sam lub tę czynność nadzorował). Tutaj kłania się zasada proporcjonalności: na oszacowanie i rozpoznanie ryzyka powinno się poświęcić ilość czasu, energii i ewentualnych nakładów finansowych (konsultanci) proporcjonalną do jego wielkości. Innymi słowy ryzyka, które mają potencjał „przewrócić” całą firmę zasługują na cenny czas managementu, spotkania wewnętrznych specjalistów czy też kosztownych konsultantów, gdyż to co zainwestowano w ich rozpoznanie najprawdopodobniej zwróci się stukrotnie podczas podejmowania trafnych decyzji o ograniczaniu ryzyka. Podejmowanie decyzji to druga rzecz, jaką robi właściciel ryzyka, i nie powinien zwlekać z nimi zbyt długo. Trzecia rzecz, to przełożenie swoich decyzji na konkretne zadania i projekty oraz delegowanie wykonania zadań konkretnym osobom, według zasady SMART. Czwarta rzecz, to regularne kontrolowanie:
Widać już jasno, jaka jest relacja właściciela ryzyka do menedżera ryzyka – ten pierwszy zarządza konkretnymi ryzykami, ten drugi odpowiada „jedynie” za zaprojektowanie i wdrożenie zasad i metod (systemu), według których będa postępować wszyscy właściciele ryzyka w firmie. Widać również, dlaczego menedżer ryzyka nie jest „menedżerem” ryzyka – poprostu nim nie zarządza.
Kto powinien być właścicielem ryzyka ?
Od moich starszych doświadczeniem angielskich kolegów po fachu nauczyłem się, że właścicielem ryzyka powinna być osoba, która łącznie spełnia trzy warunki:
Podejmując decyzję, kto powinien być właścicielem ryzyka w firmie, należy mieć na uwadze, że jeden poziom zarządczy (jedna osoba, funkcja) nie powinna zarządzać jednocześnie więcej niż 5-6 ryzykami, w przeciwnym razie to zarządzanie nie będzie skuteczne lub kompletnie stanie. Tak mówią badania i brytyjska praktyka z ostatnich kilkudziesięciu lat. Należy pohamować naturalny pęd do wypychania ryzyk „do góry” (tym bardziej do zarządu) lecz starać się je umiejscowić na najniższym szczeblu zarządczym, który spełnia trzy wymienione warunki.
Odciążenie wyższych szczebli zarządczych ma jednak swoje konsekwencje praktyczne: zdarzają się sytuacje, w których właściciel ryzyka ma wystarczające kompetencje do zaplanowania właściwych działań zaradczych, lecz nie ma na nie budżetu bądź nie może sam podjąć wszystkich koniecznych decyzji. Wtedy wymagane jest zatwierdzenie decyzji z wyższym szczeblem zarządczym bądź poproszenie o pomoc np. w przydzieleniu środków finansowych. Tego typu zjawiska praktyczne zostały przewidziane w powszechnie uznanych dobrych praktykach zarządzania ryzykiem biznesowym, chociażby w ISO 31000, które proponują następujący model raportowania o ryzykach:
Model ten wymaga od kierowników danego szczebla (właścicieli ryzyk), aby raportowali o swoich istotnych ryzykach do wyższego szczebla zarządczego (a to również właściciele ryzyk, z tym, że większych i trudniejszych). Szczególnie powinni informować o ryzykach dla nich trudnych, z którymi z różnych względów nie radzą sobie. Daje to wyższy stopień pewności, że działania zaradcze dotyczące trudnych ryzyk nie utkną w martwym punkcie. Te „różne względy” to zwykle problemy ze środkami lub należytym wsparciem, a jedno i drugie jest w zasięgu możliwości przełożonych.
Innym aspektem wyznaczania właściciela ryzyka jest interes w ryzyku. Trudno wyznaczyć na właściciela ryzyka osobę, która nie ma żadnego interesu i motywacji do tego, aby ryzyko uległo zmniejszeniu. Przykładowo: dział IT sklasyfikował system służący do łączenia się z bankiem i wykonywania przelewów jako mało istotny zasób, gdyż przechodzi przez niego stosunkowo niewiele operacji dziennie, w porównaniu z systemem transakcyjnym obsługującym tysiące transakcji dziennie. Stąd ryzyko awarii tego systemu nawet na 24 godziny jest na szarym końcu ich listy priorytetów. Natomiast dział księgowości oszacował to ryzyko u siebie jako bardzo wysokie, gdyż może skutkować niezapłaceniem w terminie wadium, wynagrodzeń, opłat sądowych, co może dalej skutkować ogromnymi stratami następczymi. IT nie widzi pełnego spektrum zagrożeń i nie jest zmotywowane żeby cokolwiek z ryzykiem zrobić, zatem właścicielem powinna być księgowość.
I pytanie, które padło na Kursie Polrisk: kto powinien być menedżerem ryzyka, jeśli jedna osoba (funkcja) dzierży kompetencje merytoryczne i ma interes w zarządzaniu ryzykiem, a druga ma budżet i podejmuje decyzje ? Taki przykład, dotyczący zagrożenia dużymi karami nakładanymi na firmę w związku z awarią starej linii produkcyjnej skutkującą zanieczyszczeniem środowiska. Decyzja dotycząca ewentualnych zmian technologicznych oraz przestoju linii produkcyjnej, a także budżet leżą po stronie szefa produkcji, który nie jest zainteresowany zatrzymaniem produkcji i nakładami na zmiany technologiczne. Kompetencje związane z ograniczeniem skutków awarii poprzez zmiany technologiczne leżą po stronie szefa ds techniki i rozwoju, natomiast interes w zmniejszeniu ryzyka ma szef działu prawnego. W praktyce takie sytuacje jak przykładowa będą sporadyczne, jednak mają prawo się zdarzać, szczególnie w przedsiębiorstwach zarządzanych „komitetowo”, przez konsultacje, a nie jednoosobowo.
Osoby mające interes w zmniejszeniu danego ryzyka nie mają innego wyjścia jak szukać sojuszników spośród funkcji w firmie, mających kompetencje do zmierzenia się z problematycznym ryzykiem i osób, które mają budżet i decyzje w tym obszarze. Jeśli zawiązanie sojuszu okaże się trudne, wtedy nieuniknione będzie odwołanie się – zespołu, lub osób najbardziej w nim aktywnych – do zarządu. Rola tego ostatniego jest tutaj niebagatelna, co zostało również podkreślone w przewodniku FERMA i ECIIA do 8 Dyrektywy EU: zarząd „odpowiada za zaistnienie w spółce właściwej kultury i środowiska sprzyjających ERM”. Ostatecznie, wszyscy dyrektorzy (ci posiadający kompetencje, ci posiadający budżet i ci, którzy mają władzę) powinni postrzegać na pierwszym miejscu wspólny interes firmy i zgodnie wyważyc korzyści z organiczenia ryzyka z kosztami działań ograniczających je, a także ewentualne konsekwencje niezmniejszenia ryzyka. Niezależnie od „komitetowego” (grupowego) charakteru takiego właścicielstwa ryzyka, w takim komitecie powinna być jedna osoba (funkcja), która ma największy interes w ograniczeniu ryzyka a tym samym odpowiada za skuteczne doprowadzenie do oceny ryzyka, podjęcia decyzji i jej zrealizowania, a także motywuje pozostałych do aktywnego współdziałania.
Wasz w ryzyku,
R.
Około 5-6 lat temu, jak Polrisk było w powijakach, zainicjowałem wraz z kilkoma osobami sporządzenie i opublikowanie na witrynie Polrisk słownika, czy właściwie leksykonu zarządzania ryzykiem. Minęło kilka lat, słownik się zakurzył, w międzyczasie AS/NZS 4360:2004 przestał być już krzykiem mody, natomiast opublikowano ISO 31000.
Ten ostatni dokument opiera się – w zakresie terminologii – na ISO Guide 73:2009. Jeśli nie chcemy być zatem w tyle za całym światem, należałoby ten dokument najpierw spolszczyć a potem przyswoić.
I tu dobre wieści – jakiś czas temu, zdaje się podczas wizyty Kevina Knight, „ojca chrzestnego” ISO 31000 w Polsce, wykluła się koncepcja współpracy Polrisk z Polskim Komitetem Normalizacyjnym. I współpraca ta już ruszyła, właśnie otrzymaliśmy pierwsze drafty tłumaczeń Guide 73 oraz ISO 31000 do weryfikacji i opiniowania.
Jeśli ktoś z Państwa czuje się mocny w języku angielskim i maczał już palce w praktyce ERM – najlepiej w naszym Kraju – serdecznie zapraszam do debaty jaka własnie zaczyna się za pośrednictwem Polrisk. Chętni są proszeni o zgłaszanie się przez witrynę Polrisk (choć jeszcze nic tam na ten temat nie zawisło …) lub poprzez moją skromną osobę.
Po pierwszej edycji organizatorzy i trenerzy wyciągnęli sporo wniosków i poczynili sporo poprawek programowych, które zaczynają już być widoczne podczas drugiej edycji. Zmiany głębsze, wynikające z uwag i sugestii uczestników dotyczących programu, nastąpią w własnie kompletowanej, trzeciej edycji. Kurs będzie w jeszcze większym stopniu warsztatowy i interaktywny, program będzie jeszcze bardziej nastawiony na aspekty praktyczne i tzw case studies.
Za zgodą organizatorów pozwalam sobie przytoczyć ich zaproszenie:
„Szanowni Państwo,
Serdecznie zapraszamy do wzięcia udziału w Trzeciej Edycji Certyfikowanego Kursu Zarządzania Ryzykiem POLRISK.
Kurs jest przeznaczony dla obecnych i przyszłych menedżerów ryzyka, którzy pragną poszerzyć swoje kompetencje. Kurs dedykowany jest również dla pragnących rozwoju w tej dziedzinie menedżerów i specjalistów między innymi z organizacji ubezpieczeniowych i brokerskich oraz z działów audytu wewnętrznego, finansów i controllingu przedsiębiorstw.
Kurs składa się z sześciu dwudniowych modułów. Podstawą programu Kursu są dwa filary: ubezpieczeniowy i Enterprise Risk Management. Kurs zapewni również Państwu możliwość wymiany doświadczeń z praktykami oraz wskaże różnorodność rozwiązań stosowanych w zarządzaniu ryzykiem gospodarczym.
Początek Trzeciej Edycji Kursu: 10 lutego 2011 w Warszawie
Szczegóły na stronie Polrisk.
W razie pytań zapraszamy do kontaktu:
Joanna Rose Dzieduszycka
Koordynator projektu POLRISK Kurs
tel. 0 501 78 00 01
kurs@polrisk.pl
Czytelnicy mojego bloga zapewne pamiętają, jak dość szczegółowo analizowałem konkluzje raportu jaki DNV sporządził dla AIRMIC, z którego wynikały między innymi cechy firmy idealnie podatnej na wdrożenie ERM. Z raportu wyłania się obraz, że pewna grupa firm o określonych cechach organizacyjnych oraz z określonym przywództwem będzie miała większe szanse na sukces we wdrażaniu ERM niż firmy o innej kulturze. I na pierwszy rzut oka jest to bardzo logiczne i ma sens.
Ale czy to jedyna droga ? Po zapoznaniu się z ciekawym opracowaniem firmy DuPont zaczynam mieć wątpliwości. DuPont, oprócz produkcji chemicznej prowadzonej w kilkudziesięciu krajach, zajmuje się również doradzaniem firmom produkcyjnym jak uodpornić ich procesy produkcyjne na ryzyka związane z produkcją i bezpieczeństwem ludzi – tzw Process Safety Management i Operations Risk Management. Brzmi bardzo swojsko a najciekawsze jest to, że DuPont już od wielu lat z sukcesem to praktykuje w wielu różnych branżach i krajach. Skoro w wielu różnych krajach, to w wielu różnych kulturach organizacyjnych – i w każdej się udaje, co przeczyłoby tezie wspomnianego raportu DNV.
DuPont, zdając sobie sprawę z faktu, że element kulturowy może być tzw „show killer”, w swojej metodologii poświęca mu wiele uwagi. W aspekcie kulturowym metoda oparta jest na wzorcu oceny kultury wprowadzonym przez Geerta Hofstede, opisanym za pomocą pięciu parametrów danej społeczności (np. narodu):
Poniżej porównanie profilu Polaków i kilku innych nacji:
Jaki można z tej wiedzy zrobić użytek ?
DuPont wdrażając swoje systemy zarządzania ryzykiem produkcyjnym stara się opierać na poziomych strukturach sieciowych tworzonych między pracownikami, niezależnie od formalnej struktury zarządczej. Niski Indeks Dystansu Władzy i wysoki dla Indywidualizmu W Stanach Zjednoczony ułatwia takie podejście – jest ono naturalne. Natomiast nie wypali taka taktyka w krajach Arabskich, Chinach lub Indiach gdzie wartośc indeksów jest odwrócona. Wiedząć to, można z góry przewidzieć jakie cechy powinien mieć wdrażany system.
Z kolei trzeci indeks – Unikania Niepewności – jest wysoki w tych krajach, co świadczy o chętnym akceptowaniu zasad, a w połączeniu z wysokim Indeksem Dystansu Władzy daje sporą pewność, że wprowadzane standardowe procedury będa respektowane. Inaczej jest w Stanach Zjednoczonych – niski Indeks Unikania Niepewności w połączeniu z niskim Indeksem Dystansu Władzy powoduje, że sztywne i wymuszane procedury zostaną odrzucone – należy organizacjom pozostawić swobodę w decydowaniu „jak”, narzucając jedynie „co” ma funkcjonować.
Myślę, że podobny profil indeksów można skonstruować dla każdej firmy i w ten sposób poszczególne przedsiębiorstwa (ich kulturę organizacyjną) różnicować, a stąd tylko jeden krok do zdiagnozowania, jakie cechy powinien mieć system zarządzania ryzykiem najbardziej pasujący do firmy.
Ostatnio Strategic Risk opublikował poglądową mapkę pokazującą, jak kraje europejskie nawzajem się u siebie pozadłużały. Obraz nie jest pokrzepiający:
Żeby odpowiedzieć na ewentualne pytania – tutaj jest poglądowy filmik, przypominający jak się to wszystko zaczęło …
Od ostatniego Seminarium FERMA przymierzałem się do przeanalizowania ostatniego badania europejskich trendów w zarządzaniu ryzykiem, jakie co dwa lata FERMA przeprowadza (FERMA European Risk Management Benchmarking Survey 2010). W końcu udało się …
W tym roku odpowiedziało 782 firmy (podczas gdy na pierwsze tego typu badanie w roku 2002 odpowiedziało zaledwie 49 firm …). Nie będę oczywiście streszczał całego badania – aby je otrzymać, wystarczy stać się członkiem FERMA, a jest nim automatycznie każdy członek Polrisk/link/, który jest risk managerem. Jedynie poruszę najbardziej frapujące mnie wątki.
Trzynaście pytań, dotyczących obszarów:
– risk governance
– risk practices & tools
– risk communication
miało dać w sumie odpowiedź na pytanie, jak zmienia się dojrzałość systemów ERM.
Niestety, w mojej opinii obraz jaki się wyłania jest bardzo niejednoznaczny. Z tych ciekawszych odpowiedzi przytoczę następujące:
Na koniec dwie bardzo ciekawe, chociaż kontrowersyjne obserwacje Ernst&Young, który analizował wyniki:
* złożonośc firm była tutaj mierzona jako funkcja obrotów, liczby pracowników, ilości krajów w jakich firma funkcjonuje oraz przedmiotu działalności – na przykład założono, że „automotive” to forma prosta, „telecomy” to forma średnio złożona a banki i firmy farmaceutyczne mają formę wysoko złożoną; można oczywiście z takim podziałem sektorów na proste i skomplikowane dyskutować …
… i było mi z tego powodu wstyd, szczególnie, że raz za razem musiałem odpowiadać na pytania kolegów z AIRMIC i FERMA: „No other delegate from Poland ? What is wrong ? What has happended ?” i tłumaczyć się za Was, polscy menedżerowie ryzyka. Nie rozumiem bojkotu tego typu wydarzeń, szczególnie, że Polrisk deklarował pokrycie znacznej części kosztów wyjazdu. Jak mają dalej potoczyć się losy polskich risk managerów w ich firmach, i losy profesji w ogóle, jeśli z ponad stu „zainteresowanych” członków Polrisk nikt poza mną nie był zainteresowany aktywnym uczestnictwem w tym wydarzeniu ?
Nie mam innego wyjścia, jak wejść w rolę reportera i zdać wam relację z londyńskiego spotkania.
Nicola Harvey, AIRMIC: risk manager musi sobie zapracować na miejsce przy stole zarządu i podatne ucho zarządu. Musi umieć rozwiązywać realne problemy firmy i być pomocnym dla warstwy operacyjnej biznesu.
Jak co dwa lata, pretekstem do zorganizowania Seminarium jest ogłoszenie wyników FERMA Survey prowadzonego wspólnie z E&Y oraz AXA. W 2010 odpowiedziało prawie 800 firm z ponad dwudziestu europejskich krajów – to rekord, którego nie pobiją nawet największe firmy konsultingowe. Wyniki zostały przedstawione, wspólnie przeanalizowane i przedyskutowane. Jakie refleksje ?
Zaskoczyło wszystkich dosyć dziwne (nieracjonalne) podejście do wyznaczania apetytu na ryzyko: firmy wiążą go z rodzajem ryzyka, a nie jego oszacowaną wielkością. Dyskusja, jaka później się toczyła wykazała, że zarządzanie ryzykiem wprowadzane z powodu wymagań stakeholders jest generalnie dojrzalsze, niż wprowadzane z pobudek compliance:
Uczestnicy spotkania prezesów narodowych stowarzyszeń, w którym miałem przyjemność w zastępstwie uczestniczyć, otrzymali pełen tekst ostatecznej wersji protokołu „BIPAR Position Paper”, który ma być dobrą praktyką dla relacji broker-ubezpieczony. Do dokument jeszcze nie w pełni upubliczniony, więc mogę ograniczyć się jedynie do ogólnego podsumowania, iż skupia sie na transparentności brokerów i ich aktywnym zarządzaniu ewentualnym konfliktem interesów. Dokument nie wprowadza zakazu contingency commission ani też obowiązku „automatic disclosure”.
Commercial Risk Europe już donosi w sprawie projektu „Zurich Project Prague” (propozycja stworzenia jednolitej dla sektora ubezpieczeniowego platformy do zbierania i interpretowania informacji zapewniającej zgodność prawną i podatkową międzynarodowych programów ubezpieczeniowych), więc mogę to skomentować: podczas drugiego dnia to pytanie padło na sali wprost do Axa, Allianz, ACE, Chartis, Marsh i Aon – wszystkie odpowiedziały jednoznacznie „nie” na propozycję, dla nich to krytyczny element przewagi konkurencyjnej z którego nie zrezygnują i nie zgodzą się na dzielenie się tym know-how, mimo że każda z tych firm wydaje na jego utrzymanie ok 2-3 mln euro rocznie.
Drugi dzień Seminarium stał pod znakiem Solvency II oraz dyskusji na temat konsekwencji wprowadzenia 8 Dyrektywy, roli audytu wewnętrznego, kontroli wewnętrznej oraz zarządzania ryzykiem i ich wzajemnych relacji.
Solvency II i sytuacja rynku ubezpieczeniowego jest i będzie maglowana przez media do upadłego, nie będę więc poświęcał jej wiele uwagi. Ważne, że sprowadza się nie tylko do wymogu kapitałowego (risk based economy – kapitał powinien podążać za ryzykiem), ale jest również drugi wymóg – miękki (jakościowy) – ubezpieczyciel musi gromadzić i przedstawiać informacje dokumentujące, że zarządza ryzykiem jakie bierze na siebie. Chodzi tu o bardzo podobny zakres informacji, jakie są wykorzystywane w przedsiębiorstwach dla celów ERM. Zdaniem panelistów (AXA, ACE, Allianz, Chartis, Marsh i Aon) Solvency II na pewno spowoduje wzrost cen, zmniejszenie pojemności rynku i konsolidację na rynku ubezpieczeniowym.
Sprawę Dyrektywy, przedstawiciel E&Y zaczął od kąśliwej dygresji: właśnie wraca z konferencji dotyczącej risk managementu w Indiach – tam uczestnikami byli głównie CEO, CFO i członkowie zarządów. Zarządzanie ryzykiem jest tam traktowanie znacznie poważniej niż w Europie. Postawił tezę (którą E&Y również sprzedaje w ich ostatniej publikacji), że firmy za mało zastanawiają się nad tym jaki jest zwrot z inwestycji w RM i nad ogólnymi kosztami i inwestycjami w RM, stąd nie potrafią obronić zarządzania ryzykiem w swoich firmach.
Co ciekawsze złote myśli z drugiego dnia dyskusji:
Zastanawiano się również, jak uwiarygodnić risk managera w firmie ? Przede wszystkim:
Z dyskusji kuluarowych podczas Seminarium – reprezentant banku centralnego Francji: „Większość firm nie zdaje sobie sprawy, że w czasie kryzysu 2008/2009 europejski system bankowy był dosłownie o włos od całkowitego załamania; sytuację uratowały banki centralne za pomocą olbrzymich zastrzyków kapitałowych dla banków komercyjnych, liczonych w dziesiątkach miliardów euro”
Jakiś czas temu „ścinałem się” z jednym z czytelników mojego bloga na temat użycia liczby mnogiej terminu „ryzyko”. Jako uczeń anglosaskich szkół zarządzania ryzykiem oczywiście nagminnie używałem liczby mnogiej, bo tak się robi w Anglii, Stanach, Australii i RPA.
Jednak słusznej uwadze przypiętej do jednego z moich tekstów nie mogłem przeciwstawić żadnego argumentu merytorycznego, poza praktyczną potrzebą użycia liczby mnogiej.
Teraz jednak – na wezwanie zarządu Polrisk – z pomocą przyszedł mi Pan prof Miodek: „To, że we wszystkich słownikach przy haśle ryzyko jest wskazanie niewystępowania tego rzeczownika w liczbie mnogiej, jest tylko kwestią zwyczaju językowego. A on się w ostatnich latach zmienia. Widzę przecież coraz częstsze użycia pluralne – ryzyka, ryzyk, ryzykom, o ryzykach – i nie mam przeciwko nim żadnych przeciwwskazań. One są formalnie najpoprawniejsze w świecie.”
To stwierdzenie to miód dla moich uszu.
ryzyko jest piękne 