Jedną z sesji na ostatniej Konferencji Polrisk, która stanowiła odskocznię od całej poważnej reszty, była sesja prowadzona przez Pana Jerzego Ziębę, chodzącego z etykietą firmy SMG/KRC HR. Z CV Pana Jerzego wynikało, że uczył się zarządzania ryzykiem w Australii – której pragmatyczne i prostolinijne podejscie do zarządzania ryzykiem cenię. Postanowiłem, że posłucham co ma do powiedzenia.
Zaczęło się efektownie – listą firm, które mają pokaźny dorobek jeśli chodzi o zarządzanie ryzykiem. Pan Jerzy przygotował nas na wstępie na olśnienie – pokaże jak to się robi „na zachodzie”, w nowoczesnych firmach, już od ponad dziesięciu lat. Drugi slajd (i ostatni, bo tylko na tym slajdzie opierała się większość prezentacji) z każdą minutą się komplikował, obrazując mnogość procedur, dokumentów, procesów, systemów i gąszcz strukturalny firmy a także zależnosci między nimi – w końcu odlecieliśmy w kosmos …
Pan Jerzy wielokrotnie powtarzał, że przecież mówimy o dużych, skomplikowanych mega-korporacjach. Ja się jednak nie zgadzam – mówimy o polskich firmach, funkcjonujacych tu i teraz – być może dużych zakładach przemysłowych, być może wielooddziałowych firmach dystrybucyjnych – lecz z całą pewnościa to nie skala Lockheed czy Rolls-Royce, znacznie mniejsze doswiadczenie w gospodarce wolnorynkowej, inne potrzeby mierzone ilością i stopniem skomplikowania systemów biznesowych i informatycznych.
Pan Jerzy również postawił tezę, że to „wymagania” są siła napędową wszystkich ryzyk (risk drivers). Słyszeliśmy np. o otoczeniu zewnętrznym i procesach biznesowych w firmie jako źródłach ryzyka, ale o wymaganiach … ? To bardzo mocno pachnie podejściem compliance, już odchodzącym do lamusa i niezbyt chwalonym w kontekscie ERM – wstyd sprzedawać to jako podejście nowoczesne.
Czekałem na konkrety, metody, wynalazki cały czas zapowiadane przez Pana Ziębę – ale nie nadchodziły. Natomiast „sprzedawany” nam świat, w którym firmy bazują wyłącznie na systemach informatycznych zarzadzających wymaganiami, dokumentacją, systemami, procesami i porozumiewających się między sobą niemalże bez udziału człowieka – to zwyczajna utopia. W wizji Pana Jerzego nie ma komitetów ryzyka, rejestrów ryzyka, ryzyka zmieniają się przez 24/7/365, systemy same je śledzą, „rozmawiają ze sobą” i prawie, że za nas decydują. Zdecentralizowane i dynamiczne zarządzanie ryzykiem – jak najbardziej tak, ale ERM to sposób podejmowania decyzji a nie sposób na uciekanie od decyzji.
Panu Jerzemu również nie podobało się polskie tłumaczenie COSO II (prawdopodobnie chodzi o wydanie PBSG). Panie Jerzy – z zapartym tchem czekamy na Pańskie, lepsze tłumaczenie. Nie żebym był jakimś specjalnym zwolennikiem COSO II (wręcz przeciwnie), czy firmy PBSG (ledwo raz się z nimi zetknąłem), ale moim zdaniem nie należy się tak przyczepiać do braku przymiotnika „ciągły” przy słowie „proces” w definicji ryzyka. W końcu proces może być tylko ciągły, inaczej nie byłby procesem …
Zastanowiła mnie również koncepcja ustalania prawdopodobieństwa każdego ryzyka w ten sposób, że „zbieramy ekspertów zewnętrznych, sadzamy ich do jednego stołu i każemy im wyliczyć”. Panie Jerzy, czy kiedyś wogóle próbował Pan to w ten sposób zrobić ? Kogo stać na tak luksusowy sposób ustalania podstawowych danych ? Być może Rolls-Royce …
Zastanowiła mnie – i powiem szczerze, zniecierpliwiła – otwarta krytyka autorskiego podejścia do ERM przedstawiana podczas konferencji np. przez zespół SGH czy przez członka Polrisk, a dotycząca modelu ERM tworzonego w Telekomunikacji Polskiej. „Zrobiliście panowie kawał dobrej roboty, ale nikomu niepotrzebnej. Tak się tego nie robi”.
Ale niestety, do końca prezentacji nie dowiedziałem się od Pana Zięby jak to się robi.
Zajrzałem jeszcze raz do CV udostępnionego w materiałach konferencyjnych:
– w Australii Pan Zięba zajmował się zarządzaniem ryzykiem korporacyjnym
– brał udział w tworzeniu „pierwszych na świecie standardów ERM” – tj. AS/NZS:2004 (to nie jest prawda, były inne wcześniej)
– prowadził firmy, zajmujące się wprowadzaniem pierwszych na świecie systemów ERM opartych na technologiach internetowych.
Zapytałem Kevina Knighta – guru z australijskim RMIA, twórcy AS/NZS 4360 oraz później ISO 31000 – czy kojarzy Pana Ziębę w kontekście zarządzania ryzykiem, RMIA lub zarządzania wogóle. Kevin stwierdził, że „z pewnością nie pamiętam, żeby mi to nazwisko kiedyś nawet wspominano w jakimkolwiek kontekście, również nie znalazłem żadnego odniesienia do niego w moich różnorakich notatkach”.
Z kolei moi znajomi dostawcy jednego z systemów informatycznych wspierających ERM i sprzedawanych w Australii, znali Pana Jerzego. Keith poinformował, że Pan Zięba przez niecałe dwa lata (2001-2003) zajmował się sprzedażą oprogramowania brytyjskiej firmy Strategic Thought, która jednak po jakimś czasie wycofała się z rynku, kiedy Pan Jerzy nie mógł wykonać zamierzonych planów sprzedaży.
To by wyjaśniało „ślizganie się” po powierzchni ERM i uciekanie do skomplikowanych systemów informatycznych… Panie Jerzy, może należaloby zacząć od własnoręcznego zaprojektowania i wdrożenia choćby jednego systemu ERM – niekoniecznie w wielkiej korporacji, ale chociażby w małym zakładzie. To znacznie pomaga nabrać nie tylko doświadczenia, ale i dystansu do swoich kwalifikacji i pokory w stosunku do trudnej sztuki ERM.
ryzyko jest piękne 