8 Dyrektywa

Dobre praktyki dla spółek notowanych na GPW stanowią w sekcji III pkt 1, że rada nadzorcza powinna raz w roku sporządzać i przedstawiać zwyczajnemu walnemu zgromadzeniu zwięzłą ocenę sytuacji spółki, z uwzględnieniem oceny systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki. Taki zapis w Dobrych Praktykach obowiązuje już od co najmniej trzech lat, jednak spółki robią z tym zapisem „dziwne rzeczy” – albo go nie rozumieją i interpretują jako zapis o charakterze SOX, albo udają że nie rozumieją – gdyż boją się zarządzania ryzykiem i nie wiedzą co z nim począć.

Pierwszy z brzegu przykład oświadczenia spólki giełdowej o stosowaniu Dobrych Praktyk:
„3. Opis głównych cech stosowanych w spółce systemów kontroli wewnętrznej i zarządzania ryzykiem w odniesieniu do procesu sporządzania sprawozdań finansowych i skonsolidowanych sprawozdań finansowych”. Proszę zwrócić uwagę, jak zgrabnie spółka sprowadziła bardzo ambitne zadanie „zarządzania ryzykiem istotnym dla spółki” do czynności czysto księgowej – „żebyśmy tylko nie pomylili się w papierach dotyczących sprawozdania finansowego”. W tym miejscu każdego risk managera aż korci, żeby rzucić jakimś bardzo ciężkim słowem.

Z drugiej strony, to idealna sytuacja, w której powinno uaktywnić się Stowarzyszenie Polrisk i wydać przewodnik, manual, zalecenia – cokolwiek, co ten krótki zapis z Dobrych Praktyk zamieni w jednoznaczy opis ról, obowiązków, zadań i ich rezultatów, adresowany do zarządów i rad nadzorczych spółek notowanych na GPW. Jestem przekonany, że jeśli będzie to rzetelnie przygotowany dokument, znajdzie poparcie wśród środowisk giełdowych.

Do tej pory spółki mogły postępować jeszcze bardziej przewrotnie – mogły w swoich oświadczeniach zwyczajnie informować, że w spółce nie ma systemu zarządzania ryzykiem i/lub kontroli wewnętrznej a zatem rada nadzorcza zwalnia się z obowiązku kontrolowania tegoż i meldowania akcjonariuszom. To trochę tak, jakby specjalista ppoż w przedsiebiorstwie produkcyjnym informował, że „u nas nie stosuje się gaśnic ani hydrantów, w związku z tym specjalista ppoż nie widzi potrzeby aby raportować zarządowi nt stanu systemu ppoż w przedsiębiorstwie”.

Jednak należy pamiętać, że od paru lat mamy Dyrektywę UE nr 8, która (w najnowszej wersji) w artykule 41 sekcji 2b jednoznacznie stwierdza, że:
„komited audytu (tj organ rady nadzorczej) powinien monitorować efektywność systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem”
Interesujące nas zapisy z Dobrych Praktyk GPW stają się zatem obowiązującym prawem. Przez niektórych, 8 dyrektywa jest zwana „europejskim Sarbanes Oxley Act” lub Euro-SOX, choć moim zdaniem to nazwa krzywdząca i spłycająca sens dyrektywy (niezależnie od faktu, że 8 dyrektywa pozostawia spółkom znacznie wiecej swobody niż SOX w obszarze „JAK ?”). Tak jak na poziomie narodowym w naszym Kraju zabrakło szybkiej reakcji społeczności menedżerów ryzyka na pojawienie się Dobrych Praktyk, tak na rynku europejskim społeczność w końcu zareagowała i to właściwie. FERMA (Federation of European Risk Management Associations) wraz z ECIIA (European Confederation of Institutes of Internal Auditing) wspólnie zredagowały i opublikowały przewodnik dla rad nadzorczych, zarządów, audytorów wewnętrznych i komitetów audytów, oraz osób odpowiedzialnych za zarządzanie ryzykiem i kontrolę wewnętrznę w spółkach.

Przewodnik stanowi wykładnię, jak 8 dyrektywa (art 41 sekcja 2b) powinna być należycie rozumiana. Nawiasem, przewodnik jednoznacznie stwierdza, że mechanizmy kontroli wewnętrznej stanowią jedynie element składowy systemu zarządzania ryzykiem.

Co ciekawego znalazłem w przewodniku ? Przede wszystkim jasny podział ról i obowiązków podstawowych szczebli zarządczych spółki:

Rada nadzorcza
1. ustanawia apetyt na ryzyko
2. jest informowana o najwazniejszych ryzykach spółki
3. upewnia się, że zarząd własciwie reaguje na nie
CEO i zarząd
1. odpowiada za zaistnienie w spółce właściwej kultury i środowiska sprzyjających ERM
2. stanowi siłę przewodnią dla dyrektorów operacyjnych w kontekście zarządzania ryzykiem
3. reaguje w sytuacji braku harmonii pomiędzy apetytem na ryzyko a podejmowanym ryzykiem
4. członkowie zarządu osobiście zarządzaja istotnymi ryzykami w ich obszarach funkcjonalnych lub kompetencyjnych
Dyrektorzy operacyjni
1. są właścicielami ryzyk w obszarze konkretnych funkcji, procesów i departamentów
2. odpowiadają za codzienne czynności i procedury systemu zarządzania ryzykiem.

Obie organizacje, które stworzyły przewodnik, jednoznacznie popierają utworzenie centralnej funkcji risk managera, który powinien raportować bezpośrednio do CEO lub członka zarządu. Przywołują nawet górnolotny tytuł Chief Risk Officer, sugerujący zasiadanie w zarządzie.

Obowiązki risk managera bądź jego działu to:
1. ustanawianie celu dla ERM (choc zdaniem autora poprzeczka odpowiedzialności jest postawiona zbyt wysoko, to jest bowiem rola zarządu)
2. ustanowienie ram, procesów i funkcji systemu zarządzania ryzykiem
3. promowanie kompetencji potrzebnych w zarządzaniu ryzykiem (wspólny język i kryteria oceny, zasady raportowania).
W końcu zdefiniowana zostaje rola audytu wewnętrznego:
1. gwarantowanie, że ryzyka w spółce są rozumiane i właściwie oraz aktywnie zarządzane
2. funkcjonowanie w roli wewnętrznego konsultanta, doradzającego jak poprawić funkcjonowanie corporate governance, zarządzanie ryzykiem i środowisko kontroli.

Warunkiem powyższego jest całkowita niezależność audytu.

Trzy podstawowe systemy omawiane w przewodniku: kontroli wewnętrznej, zarządzania ryzykiem oraz audytu wewnętrznego stanowią tzw. „trzy linie obrony” i fundamenty corporate governance.

W sferze szczegółowych zaleceń przewodnika interesujące są następujące tezy:

sens wymaganego przez 8 dyrektywę monitorowania efektywności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem polega na uzyskaniu dogłębnej wiedzy, jak zagrożenia i szanse wpłyną na model biznesowy i zdolność generowania wartości przez firmę
właścicielstwo ryzyka jest częścią zasady delegowania obowiązków w firmie, a jakość jego sprawowania wpływa na zasady wynagradzania
przedmiotem raportowania ryzyk powinien być nie tyle ich stan, co zmiana
ważne i często niedoceniane komponenty systemu kontroli wewnętrznej to kultura i „code of conduct” organizacji (w tym ochrona tzw. whistleblowers), polityka HR oraz system motywacyjny
dwa podstawowe warunki skutecznej kontroli wewnetrznej to niezależność i profesjonalizm audytorów.

Przewodnik podsumowuje, że monitorowanie efektywności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem wymaga sporego zaangażowania czasowego członków rady nadzorczej (komitetu audytu), wykraczającego poza kilka spotkań.

Zredagowanie takiego dokumentu to kolejna dobra inicjatywa FERMA, zasługująca na lokalne naśladownictwo. Dla nas, risk managerów, to spora szansa rozwoju profesji – mówi jego współautor, Paul Tylor. Przewodnik jest dostępny do pobrania na witrynie FERMA.

Poniżej pobieżne porównanie 8 Dyrektywy oraz SOX:

Kurs Polrisk – druga runda …

W dniach 6 i 7 września zespół uczestników Certyfikowanego Kursu Zarządzania Ryzykiem POLRISK spotkał się znowu, aby odbyć drugi moduł kursu. Moduł był łatwiejszy dla grupy – była już oswojona ze sobą, a trudniejszy dla trenera – czyli dla mnie, ze względu na wzrastające wymagania i apetyt uczestników. Uczestnicy reprezentowali sektory i spółki o niebagatelnym doświadczeniu we wdrażaniu ERM – między innymi sektory paliwowy, energetyczny i budowlany. Na wymagania wobec trenera nakładały się wymagania wobec modułu – poświęconemu w całości korporacyjnemu zarządzaniu ryzykiem. Tak wymagająca grupa stanowiła nie lada wyzwanie ale była źródłem satysfakcji – kurs toczył się własnym tempem, jakie nadawali mu sami uczestnicy.

Wyjaśniliśmy sobie, dlaczego tak trudno wtłoczyć różne ryzyka w firmie w ramy jednego systemu: poszczególne grupy czy klasy ryzyk funkcjonują z trzema różnymi prędkościami, z którymi system ERM powinien dać sobie radę: ryzyka operacyjne czyli doraźne i częste incydenty, ryzyka taktyczne związane z powodzeniem projektów, zmieniające się ze średnią prędkością, i w końcu wolno zmieniające się ryzyka strategiczne – niepowodzenia lub sukcesy długofalowych planów rynkowych i produktowych. To trochę jak próba jazdy każdą nogą na innych schodach ruchomych, posuwających się z różnymi prędkościami.

Grupa zmierzyła się z wybraniem właściwego miejsca dla risk managera w firmie, tak aby zmaksymalizować jego wpływ na organizację, szanse dokonania w niej zmian oraz nie narażać go na eskalację konfliktów z pozostałymi działami w firmie. Niektórzy skonkludowali, że najpierw należy … gruntownie zmienić całą strukturę organizacyjną. Doszło do ciekawej wymiany opinii na temat miejsca i roli audytu wewnętrznego wobec systemu ERM, a tych obu w stosunku do corporate governance i priorytetów, jakie wyznacza. To ciągle gorący i jeszcze nie „poukładany” temat.

Dłużej zatrzymaliśmy się na niektórych metodach analizy ryzyka – między innymi rozebraliśmy wydumany przypadek katastrofy kolejowej na czynniki pierwsze z wykorzystaniem metody Bow-Tie.

Sporo pytań wywołało hasło czy i kiedy wdrażać RMIS (system informatyczny wspierający ERM). Okazuje się, że większość firm uczestników jest o krok przed podjęciem decyzji o wyborze dostawcy oprogramowania i firmy zdają sobie sprawę z możliwych do popełnienia i trudnych do skorygowania błędów, choć nie mają jeszcze wyobrażenia, jakiego efektu na całą organizację – poza samym funkcjonowaniem oprogramowania – można się spodziewać.

Zagadnienie zarządzania kryzysem okazało się szczególnie emocjonujące a uczestnicy mieli możliwość wykazania się własnymi doświadczeniami. Kulminacją emocji była symulacja kryzysu w czasie rzeczywistym, przez który wszystkie grupy warsztatowe przeszły dobrze bądź celująco.

Co bankowość ma wspólnego z hodowlą łososia i strażą pożarną ?

Niedawno dotarłem do bardzo ciekawego raportu:”Rethinking Risk Management in Financial Services. Practices from other domains„, jaki powstał po kryzysie finansowym, pod patronatem World Economic Forum. W epoce przedkryzysowej wszyscy z zazdrością patrzyliśmy, jak banki potrafiły doskonale rozpracować swoje ryzyka i opisać je algorytmami i jak – wydawało się – nad nimi panują. Okazało się jednak wkrótce, że to jedynie fasada a pod spodem jest spory bałagan i brak wiedzy o własnych produktach i towarzyszących im ryzykach, nie mówiąc o kontroli nad nimi.

W epoce pokryzysowej, banki stoją pod pręgierzem i z jednej strony często gęsto się tłumaczą a z drugiej zaciskają pasa kredytom (i swoim klientom). Teraz, jak emocje nieco przycichły, wnikliwe badania – jak to na przykład prowadzone przez World Economic Forum pokazują, że role się odwracają – banki powinny się uczuć zarządzania ryzykiem na podstawie osiągnięć w innych dziedzinach. Hodowla ryb, zwalczanie pożarów na wielkich połaciach lasu, farmaceutyka, lotnictwo, telekomunikacja, kontrolowanie chorób zakaźnych czy też przemysł chemiczny i logistyka – tam finansiści powinni szukać przykładów i inspiracji.

raport World Economic Forum

Badania i dyskusje ekspertów wynajętych przez World Economic Forum wyselekcjonowały trzy obszary, w których banki i instytucje finansowe mogą uczyć się od innych sektorów:

perspektywa systemowa (kompilacja i zestawienie zależności między ryzykami oddziałującymi pomiędzy instytucjami, w odróżnieniu od wyizolowanych ryzyk dotyczących określonych transakcji czy instytucji)
transparentność i obieg informacji (to mechanizmy powodujące, że informacja płynnie krąży nie tylko w obrębie jednej organizacji ale w obrębie całego systemu, to sposób w jaki sygnały alarmujące o zagrożeniach są odbierane, raportowane i wykorzystywane przez decydentów w całym systemie)
właścicielstwo i kultura ryzyka (zasady dotyczące własności ryzyka i nadzoru nad nim; pytania dlaczego pewne decyzje są podejmowane, jak, przez kogo i na jakiej podstawie).

W zakreślonych obszarach skupiono się tylko na doświadczeniach, jakie w pewnym stopniu da się przenieść z innych dziedzin do sektora finansowego oraz zaakceptowano fakt, że żadna z analizowanych dziedzin nie opanowała zarządzania ryzykiem do perfekcji. Jakie inspiracje były dla mniej najciekawsze ?

Światowa Organizacja Zdrowia (WHO) pomaga tworzyć krajowe plany kryzysowe, które miałyby być uruchamiane przez globalne alerty dotyczące na przykład pandemii a następnie wymagają, aby krajowe organizacje przeprowadzały realistyczne testy i symulacje sytuacji kryzysowych. Podobnie, banki powinny tworzyć plany kryzysowe, które odpowiadałyby na duże zagrożenia systemowe, pochodzące spoza samej organizacji. Takie plany powinny być intensywnie testowane – szczególnie pod kątem długofalowych, strategicznych konsekwencji.

W dziedzinie immunologii uważa się, że najniebezpieczniejsze wirusy to te, które potrafią zmutować zanim nastąpi odpowiedź systemu odpornościowego, gdyż w ten sposób zdolność organizmu do obrony zawsze pozostaje w tyle za atakiem wirusa. Przez analogię, instytucje i regulatorzy finansowi powinni czujnie obserwować „mutujące” instrumenty, charakteryzujące się szybkim wzrostem i dużą zmiennością i wykorzystać wszystkie dostępne narzędzia kontrolowania ryzyka w przypadku powstania nowych mutacji.

Strażacy i specjaliści od zwalczania „dzikich pożarów” lasu (wildfires) twierdzą, że w niektórych okolicznościach – kiedy nie ma wysokiego zagrożenia życia ludzkiego – lepiej jest pozwolić się wypalić pożarowi i dać mu pochłonąć pewien obszar, aby w ten sposób odizolować i ochronić cały regionalny ekosystem. Jak to się przekłada na system finansowy ? Należy pozwolić słabym instytucjom na zbankrutowanie (vide finansowe wsparcie z budżetów państw) oraz utworzyć „przegrody ogniowe” – które spowodują, że pożar systemu finansowego obejmie jedynie jego słabą część, a większość tego systemu pozostanie odizolowana.

W farmaceutyce, nowe leki podlegają dogłębnym testom i badaniom – między innymi skutków ubocznych i interakcji z innymi lekami. Podobnie, sektor usług finansowych powinien rutynowo przeprowadzać szczegółowe analizy nowych produktów i strategii inwestowania na cały rynek (system). Takie analizy powinny spoglądać znacznie dalej, niż tylko bezpośrednie skutki wprowadzenia nowych produktów i strategii. Regulatorzy powinni mieć możliwość ograniczania wolumenu produktu na rynku, jeśli jego dalszy wzrost mógłby być potencjalnie niebezpieczny dla systemu.

W roku 2007, miliony hodowlanych łososi chilijskich padło ofiarą wirusa – podobnie, jak system bankowy padł ofiarą własnych toksycznych produktów. Okazało się, że tym razem wielka skala była słabością: duża gęstość hodowli, stosowanie identycznych środków zapobiegawczych i antybiotyków w stosunku do każdego osobnika, wyeksponowały całą hodowlę na jedno wspólne zagrożenie biologiczne. Raport sugeruje, że finansowi regulatorzy powinni zachęcać banki do rozwijania niejednorodnych środków zarządzania ryzykiem – w zależności od profilu banku – oraz wprowadzać wyższe wymogi kapitałowe w stosunku do powtarzalnych produktów (instrumentów), które się rozwijają na rynku na wielką skalę i charakteryzują się wysoką zmiennością i wysokim wzrostem.

W lotnictwie cywilnym przyjęło się, że pilot i drugi pilot oraz mechanicy mogą zarządzić opóźnienie lub odwołanie startu, jeśli nie ma pewności co do pełnej sprawności samolotu. Podobnie, strażacy znajdujący się bezpośrednio na linii ognia mają prawo podejmować decyzje taktyczne. Jeśli banki miałyby brać z nich przykład, musiałoby to oznaczać odwrócenie dotychczasowej polityki: kierownicy operacyjni powinni zacząć bezpośrednio reagować na ryzyko i podejmować decyzje prewencyjne; każdy pracownik powinien mieć możliwość podnieść alarm bez strachu o reperkusje (patrz casus banku HBOS w Londynie), a zarządy tych banków powinny nagradzać nie tylko wyniki sprzedażowe, ale i proaktywny stosunek do podejmowanego ryzyka.

Po lekturze tego ciekawego raportu sądzę – i w zasadzie tylko dlatego umieściłem ten wpis na blogu – że każdy szanujący się risk manager powinien czerpać z tego raportu inspiracje i przykład, jak wykorzystywać swoją wyobraźnię i czyjeś doświadczenie aby przełamywać kolejne progi i bariery w zarządzaniu ryzykiem. To fakt, nie ma szans, żebyśmy z góry znali wszystkie ryzyka i odpowiedzi na pytania jakie nam się nasuwają, ale w dużej mierze podpowiedzi i inspiracje są w zasięgu ręki – wydawałoby się w odległych nam lub obcych dziedzinach.

Raport jest dostępny na stronie World Economic Forum.

W Afryce menedżer ryzyka jest już zawodem …

… a u nas jeszcze nie.

Południowoafrykański magazyn Enterprise Risk ogłosił niedawno, że tamtejszy urząd ds klasyfikacji zawodów (Organising Framework for Occupations) właśnie przyjął formalnie nowy zawód – menedżer ryzyka w organizacjach.

IRMSA (lokalne, prężnie działające stowarzyszenie risk managerów) odpowiedziało natychmiast – zapowiedziało stworzenie katalogu kwalifikacji i wymogów w tym zawodzie. Katalog kwalifikacji bedzie pomyślany jako uniwersalny, odpowiadający „wszechkorporacyjnemu” modelowi zarządzania ryzykiem, który bedzie można wykorzystać w większości gałęzi przemysłu i biznesu.

Znaleźli się już sponsorzy tego przedsięwzięcia – insytucje bankowe i szkoleniowe. W planach jest ustalenie formalnej ścieżki kwalifikowania kandydatów do zawodu na podstawie kwalifikacji, osiągnięć i dotychczasowej ścieżki kariery.

Konferencja Airmic – Manchester 2010

Już drugi raz Airmic wybrał Manchester na miejsce konferencji – mniej rozrywkowo i wakacyjnie (jak np Bournmouth parę lat temu) ale za to bardziej merytorycznie.

Airmic wyprodukował bardzo sympatyczny, krótki filmik reklamowy po konferencji – w konwencji teledysku. Może Polrisk też powinien pomyśleć o czymś takim ?

To było dla oka, a teraz dla intelektu – na stronie konferencji można – po wpisaniu się do księgi gości – nieodpłatnie załadować prezentacje. Szczególnie polecam prezentację Paula Moore – sławnego już risk managera z niesławnego już banku HBOS.

Ryzyko to nie Yin-yang

Jeszcze kilka lat temu oswajaliśmy się z pojęciem ryzyka i obłaskawialiśmy je, zastanawiając się, jak je opisać jako coś wymiernego, namacalnego i zrozumiałego dla menedżerów operacyjnych. Wtedy była mowa o elementarzu: „skutek razy prawdopodobieństwo” i zawsze były skojarzenia negatywnego skutku. Tylko wtajemniczeni potrafili sobie wyobrazić ryzyko jako wartość księgową, którą można amortyzować rok po roku. Szczytem awangardy było przyjęcie do wiadomości istnienie tzw ryzyk pozytywnych (upside risk) w odróżnieniu od negatywnych. Pojawiały się pierwsze dwubiegunowe mapy ryzyka uwzględniające jego ciemną ale i jasna stronę, jak ta poniżej.

Jednak czas już trochę skomplikować ten prosty, czarno-biały świat złego i dobrego ryzyka. Ryzyko ma więcej form pośrednich – jakby półcieni, i postanowiłem pokazać je z takiej perspektywy podczas prowadzonego przez siebie modułu Kursu Polrisk, o jakim już pisałem.

W krajach anglosaskich na poziomie korporacji mówi się o kilku typach i formach ryzyka, z których tutaj przytoczę kanon promowany przez Paula Hopkina – między innymi w jego najnowszej książce.

Ryzyka hazardowe (ogień, powódź, kradzież, utrata klienta) mogą być wyłącznie negatywne (akademicy nazwaliby je ryzykami czystymi). Pojęcie tego ryzyka pojawiło się już dawno – jeszcze przed latami 80-tymi. Menedżer ryzyka będzie się starał zmniejszyć możliwą do wystąpienia stratę.
Jest jeszcze „ryzyko kontroli” lub po prostu ryzyko niepewności czy też ryzyko spekulacyjne – to pojęcie pojawiło się w latach 90-tych. Podobnie jak w ryzykach hazardowych możemy mieć do czynienia jedynie z bilansem ujemnym, ale ma on nieco inne podłoże. Ryzyko kontroli dotyczy zjawisk które z natury obarczone są niepewnością, a do wyników których chcemy mieć jak najwyższą pewność (np wynik prowadzonych projektów). Bilans ujemny to niekoniecznie wynik działania samego ryzyka, ale nakłady jakie jesteśmy skłonni ponieść na kontrolowanie tego typu ryzyk – sprowadzenie wszystkich możliwych scenariuszy i wyników do jak najwęższego zakresu; to jest zwykle zadanie risk managera.
„Ryzyka korzyści” (opportunity risks) wiążą się z akcją podejmowania ryzyka przez firmy (inwestycja, nowy rynek, nowy produkt czy też ulubione rok temu przez polskich przedsiębiorców opcje walutowe) w pogoni za nowymi przychodami i zyskami. Jak wszystko pójdzie dobrze – ryzyko będzie miało wynik pozytywny, jak firma będzie miała pecha i dodatkowo wszystko zchrzani – ryzyko będzie miało wynik negatywny. Wszystkie trzy grupy ryzyk stanowią pewnego rodzaju continuum.

I żeby spointować – po co aż tak sobie utrudniać życie ? Bowiem zsumowanie maksymalnej ujemnej wartości ryzyka hazardowego, jakie firma jest w stanie przetrwać (czyli po ludzku – największej szkody), z maksymalną ujemną wartością ryzyka korzyści (czyli ilością kapitału, jaki firma jest w stanie zaryzykować w kontekście np nowego produktu) oraz maksymalnymi nakładami jakie firma godzi się ponieść na zjawiska niepewności – daje w sumie tzw pojemność na ryzyko.

Z zasady, pojemność na ryzyko powinna być nieco większa niż apetyt na ryzyko lub zbliżona do niego – wtedy firma jest zbilansowana w sposób neutralny (optymalny). Jeśli firma ma apetyt znacznie przekraczający jej pojemność na ryzyko – mówimy o tzw risk takers lub firmach agresywnie podejmujących ryzyko (jak na poniższym obrazku). Jeśli apetyt na ryzyko jest znacznie niższy niż pojemność na ryzyko – mamy do czynienia z firmą przejawiającą awersję do ryzyka.

Commercial Insurance Europe

Ostatnio, będąc w gabinecie risk managera jednej z firm energetycznych zauważyłem u niego na biurku jakieś „dziwne” czasopismo – dziwne, bo mi nieznane, ale jednocześnie było w nim wizualnie coś znajomego. Topowe tematy, znajomo brzmiące tytuły, znajome twarze na zdjęciach i … bardzo znajomy redaktor naczelny.

Jeszcze rok temu opłakiwałem odwrót Business Insurance (Europe) z Europy, a już Adrian Ladbury założył swój magazyn, dostępny jak się okazuje nie tylko w wersji webowej (subskrypcja darmowa), ale i papierowej. Z Adrianem już umówiłem się na pogawędkę w Londynie, podczas seminarium FERMA.

Adrian – szczerze życzę sukcesu w Europie.

Nie musisz zarządzać ryzykiem – przetrwanie nie jest obowiązkowe …

Z półtoramiesięcznym opóźnieniem spowodowanym przez Wielką Chmurę zjawił się w Polsce Kevin Knight, współautor AS/NZS 4360 oraz współtwórca ISO 31000, o którym już pisałem.

Poczytuję to za źródło mojej osobistej satysfakcji, gdyż wypalił pomysł „sprzedania” Stowarzyszeniu Polrisk mojego wieloletniego – choć dotąd niezbyt pielęgnowanego – kontaktu z Kevinem, jaki nawiązałem jeszcze na Forum FERMA w Lizbonie. Kevin spędził w Polsce trzy dni, z czego cały dzień 07 czerwca i cały dzień 09 czerwca rozmawiał z nami na temat praktycznych aspektów wdrażania ISO 31000 w firmie. Niby dla mnie już „stary” temat, ale jednak było warto przyjechać – wynotowałem kilka nowych spostrzeżeń.

Kevin Knight

Dlaczego to menedżerowie operacyjni (a nie tylko menedżer ryzyka) powinni czuć się odpowiedzialni za zarządzanie ryzykiem ? „The risk makers and the risk takers should be the risk managers„.

W kontekście znanej zasady, że identyfikacja ryzyk powinna być osadzona w strukturze celów biznesowych, zapytałem co Kevin sądzi o tezie wyprowadzonej przez Paula Hopkina w jego nowej książce. W skrócie teza mówi, że wyprowadzanie ryzyk z (ich identyfikacja na podstawie) wyłącznie celów biznesowych nie jest wystarczająco dobra. Paul argumentuje, że należy rozpocząć od celów biznesowych oraz interesów stakeholders, z których wynikają procesy biznesowe przebiegające w firmie, bazujące na zależnościach (np ze światem zewnętrznym). Stąd ryzyk należy również szukać w zależnościach i procesach. Kevin zgodził się z tą tezą, podkreślając, że identyfikując ryzyka nie należy patrzeć tylko do wewnątrz firmy (jak to np dzieje się w COSO) lecz również na zewnątrz – np przez wspomniane zalezności. Opowiadając o ISO 31000 Kevin podkreślał wagę nie tylko informowania ale i konsultowania wszystkich działań i aspektów ryzyka podczas wdrażania struktur ramowych ERM. Ten „duplexowy” aspekt komunikowania spełnia wielką rolę wyczucia interesów stakeholders oraz percepcji ryzyka przez kluczowych graczy w firmie.

Padło z sali ciekawe pytanie jak się ma w Australii wprowadzanie ISO 31000 do małych i średnich firm bez rozbudowanych struktur corporate governance. Kevin przyznał, że w gospodarkach o korzeniach anglosaskich (np USA, Anglia, Australia czy RPA) zasady corporate governance – w tym wymóg zarządzania ryzykiem – są wymuszone przez otoczenie prawne i regulatorów, a tym samym egzekwowanie ERM – nawet wśród małych firm – jest tam znacznie łatwiejsze.

Niby banał, ale ciekawa refleksja: wśród tzw „residual risks” (do dziś nie znalazłem dobrego polskiego odpowiednika), są również ryzyka dotąd niezbadane (tzw „emerging risks„) lub nawet nieuświadomione (tzw „unknown unknowns„) – stąd ta pozostałość może się w kluczowym momencie okazać znacznie większa i bardziej zabójcza, niż wyobraża sobie zarząd firmy …

Bezpośrednio po opublikowaniu ISO 31000 (a konkretnie w listopadzie zeszłego roku) opublikowano uzupełniający dokument ISO 31010 – „Risk Assessment Techniques”. Jak mówił mi Kevin, dokument jest praktycznym przewodnikiem po gąszczu metod i narzędzi, wsród których dotąd łatwo było się zgubić początkującym menedżerom ryzyka. Mimo, że w pogoni za terminem publikacji (miał on być jak najbliższy publikacji normy 31000) utracono część wartości merytorycznej jaką dokument mógł nieść, wypełnia on lukę jakiej nie wypełniała porządnie żadna z dotychczasowych praktyk ERM. Kevin zapowiedział, że podczas najbliższego przeglądu standardu 31010 (w roku 2012) nastąpi jego uzupełnienie i rozwinięcie jego pełnego potencjału.

Kolejną dla mnie nowością była informacja, że prawdziwe ERM zaczęło się w Australii nie od wielkich międzynarodowych korporacji, ale od instytucji państwowych, gdyż nie było im wolno kupować ubezpieczenia – musiały więc sobie radzić inaczej. Z kolei głos Ani Słodczyk uzupełnił tę informację o spostrzeżenie, że ISO 31000 idealnie wpisuje się w wymogi stawiane przed jednostkami finansów publicznych przez nową regulację dotyczącą kontroli zarządczej (Komunikat 23).

Znając awersję Kevina do COSO II – ERM Framework i pasję, z jaką krytykuje ten dokument, z zaciekawieniem czekałem na wielki finał (gdyby do niego nie doszło miałem sam zamiar wyciagnąć trupa z szafy i zadać pytanie nt COSO). I rozczarowałem się – Kevin wypowiedział się w niebywale polityczny sposób, że COSO nie sprawdziło się w wiekszości sektórów, gdzie zarządzanie finansami nie było krytyczne. Podczas dyskusji na Forum FERMA w Pradze atak na COSO był frontalny, miażdżący i bezkompromisowy …

W materiałach, jakie przekazał autor można znaleźć mnóstwo intersujących źródeł i „ściąg”:
– źródła ryzyk i wskazówki gdzie ich szukać
– przykład wielowymiarowego definiowania skali skutku
– checklista możliwych interesariuszy
– kilkustronnicowa lista książek i witryn internetowych z materiałami do ściagnięcia.

BP topi się we własnej ropie

378 milionów galonów ropy i ponad 300 miliardów dolarów – taki może być bilans największego w historii wycieku ropu naftowej.

Rating BP wydany przez Fitch, Moody’s oraz Standard & Poor’s został obniżony.

Zobacz wyczerpującą grafikę przedstawioną przez Strategic Risk.

Powrót Carringtona ?

Wulkan Eyjafjallajökull przestaje nam ostatnio dokuczać, wydaje się również, że najgorsze co mogła przynieść powódź w Polsce mamy już za sobą – ale nie znaczy to, że natura nam odpuściła. Zurich Services Corporation przypomina o zagrożeniu, jakie szykuje nam nasz odwieczny towarzysz i sprzymierzeniec: Słońce. Dotychczas ewentualne negatywne oddziaływanie słońca kojarzyło się mniej czy bardziej bezpośrednio ze zjawiskiem zmiany klimatu, lecz okazuje się, że naturalna aktywność słońca może w sposób znaczny wpływać na funkcjonowanie naszej najnowszej technologii. Chodzi o zdarzające się dość regularnie tzw „wyrzuty koronalne” (wybuchy na powierzchni słońca), które powodują nasilone promieniowanie i aktywność elektromagnetyczną naszej gwiazdy.

coronal mass

Są one jednak zwykle:

tłumione przez pole magnetyczne ziemi, a jeśli już są silne, to
są stosunkowo sporadyczne.

Nie jesteśmy świadomi skali możliwych skutków oddziaływania słońca na urządzenia elektryczne, gdyż nie kojarzymy takich incydentów na wielką skalę – zwyczajnie nie było ich za naszego życia. Ponad 150 lat temu (w 1859 roku) z nowinek technicznych mieliśmy jedynie telegraf. Drugiego września tegoż roku, niezwykle silny wybuch powierzchni słońca wysłał w kierunku Ziemi wiązkę magnetycznie naładowanej plazmy o niezwykle wysokiej energii. W ciągu 17 godzin promieniowało dotarło do Ziemi i spowodowało odkształcenie (i penetrację) naturalnego pola magnetycznego naszej planety a w efekcie burze elektromagnetyczne i wyładowania pola elektrycznego. Operatorzy telegrafów próbowali uchronić swoją infrastrukturę od zniszczenia i odłączyli urządzenia od prądu. Okazało się jednak, że po odłączeniu od zewnętrznego źródła prądu telegraf pracował nadal, a burze elektromagnetyczne spowodowały miejscami taką koncentrację energii elektrycznej, że powodowała ona zapalenie się urządzeń i budynków telegrafu. Tę „superburzę” nazwano Zjawiskiem Carringtona.

carrington event

Dlaczego miałoby nas to dzisiaj obchodzić ? Otóż przewiduje się nasilenie wybuchów na słońcu – do skali podobnej do tej sprzed 150 lat – już za kilkanaście miesięcy. Co więcej, tym razem mamy znacznie więcej do stracenia niż tylko telegraf: prawie tysiąc satelit o różnym przeznaczeniu, sieci telekomunikacyjne – w tym komórkowe, a przede wszystkim bardzo zaawansowane technologicznie sieci energetyczne, od których zależne jest funkcjonowanie praktycznie całego przemysłu, handlu i globalnego systemu finansowego. W końcu linie lotnicze – zakłócenia w komunikacji samolotu z ziemią spowodowane burzami elektromagnetycznymi powodują zmiany tras przelotu, co przekłada się na setki tysięcy litrów dodatkowego paliwa, nie mówiac o opóźnieniach. I nie jest to fantazjowanie: kilkanaście lat temu, stosunkowo nieduży wybuch na powierzchni słońca znokautował całą sieć energetyczną Quebeck na 9 godzin, co odczuło około 6 milionów Kanadyjczyków i kosztowało ich kraj ponad 10 miliardów dolarów.

Tegoroczny raport opublikowany przez The Academmy of Natural Sciences w Filadelfii szacuje, że skutki ekonomiczne burzy elektromagnetycznej o skali zjawiska Carringtona spowodują straty w wysokości od biliona (milion milionów) do dwóch bilionów dolarów – tylko w samych Stanach Zjednoczonych. W tym 30 miliardów dziennie traciłyby sieci energetyczne, a 70 miliardów dziennie operatorzy sieci komórkowych. Nic dziwnego, że utworzono rządowy Space Weather Prediction Center, a zagrożeniem interesuje się nawet NASA, która kontroluje kilka satelitów dedykowanych obserwacji aktywności słońca. Istniejący system bezpieczeństwa daje nam wyprzedzenie rzędu 15 do maksymalnie 60 minut – tyle czasu mamy, aby uchronić najbardziej eksponowane części sieci enegrgetycznych przed przeładowaniem i zniszczeniem. System sprawdził się już 12 lat temu, kiedy alarm wysłany przez NASA z 40 minutowym wyprzedzeniem, uratował amerykańska sieć energetyczną.

Co prawda Polska będzie mniej narażona na skutki wzmożonej aktywności elektromagnetycznej słońca niż Kanada czy chociażby kraje Skandynawskie, jednak zagrożenie jest realne. Zarządy firm już powinny się zastanawiać, co zmieniłaby w ich firmach nagła utrata energii elektrycznej ze wszystkich możliwych źródeł i jej długotrwały brak u wszystkich dostawców i dystrybutorów. Wygaszenie pieca hutniczego zajmuje znacznie więcej niż 60 minut, fabryka chemiczna bazująca na reakcjach egzotermicznych potrzebuje niezawodnego zasilania w energię elektryczną, chłodnie nie mogące liczyć na backup z drugiego lub trzeciego podłączenia do sieci energetycznej są skazane na kleskę … No cóż, jednak bez dokładnej analizy tak złożonego ryzyka, bez poznania mechanizmów nim rządzących nie sposób przedsiębrać sensowne kroki zaradcze. Najwyższy czas, aby nasze krajowe firmy energetyczne rozpoczęły rzetelną kampanię informacyjną, w której przedstawią jak wyglądają realne zagrożenia i możliwe konsekwencje Zjawiska Carringtona na naszych szerokościach geograficznych i w jakim stopniu operatorzy są w stanie uchronić przed nimi naszą krajową sieć energetyczną.

(12.11.2010) Niedawno ukazał się solidny raport na ten temat, opublikowany przez Lloyd’s of London

* Informacje liczbowe na podstawie Strategic Risk
Zdjęcia: NASA oraz SOHO (sohowww.nascom.nasa.gov)