Po gorących debatach i sporach, dotyczących jego celowości i zawartości, wygląda na to, że w końcu standard zarządzania ryzykiem korporacyjnym ISO 31000 ujrzy światło dzienne – już w przyszłym roku, za kilka miesięcy.
Czego dotyczyły spory ?
Mamy już standardy (amerykański COSO II – ERM Framework), dobre praktyki (brytyjski Risk Management Standard, opublikowany przez AIRMIC/IRM/ALARM i wspierany przez FERMA) oraz normy (australijsko-nowozelandzki AS/NZS 4360), po co nam więc kolejny dokument, skoro ciągle nie potrafimy zasad powtórzonych we wszystkich trzech źródłach skutecznie zaimplementować w przedsiębiorstwach ? Otóż to było pierwsza wątpliwość. Zwolennicy ISO 31000 odpowiadali, że każdy z wymienionych dokumentó (podobnie jak inne: kanadyjski COCO, południowoafrykański King II, itd) był standardem regionalnym, uwzględniającym lokalne uwarunkowania i opierającym się na już istniejących podwalinach (COSO na Sorbannes-Oxley Act, standard AIRMIC na Turnbull/Combined code), a brakowało w pełni uniwersalnego, międzynarodowego i nowoczesnego dokumentu.
Zdecydowany sprzeciw FERMA przeciwko wprowadzeniu ISO 31000 okazuje się mało skuteczny. Nawiasem mówiąc oficjalne stanowisko FERMA, na początku jednoznacznie negatywne, nie zostało skonsultowane ze wszystkimi jej członkami. Jedną z podstawowych wątpliwości FERMA było przekonanie, że jednym standardem nie da się opisać wspólnego systemu dla spółek z wielu sektorów, różnej wielkości i działających na różnych rynkach. Twórcy nowego ISO – będzie o nich mowa dalej – przekonują, że nowy standard jest elastyczny i daje dużą swobodę w kształtowaniu szczegółów systemu ERM w firmach. Przyszłość i riska managerowie zapewne to ocenią.
Druga obawa FERMA, którą w pełni podzielam, wiąże się z zagrożeniem, że wprowadzenie ERM w firmach na prawach standardu ISO, spowoduje podejście do zarządzania ryzykiem wogóle na zasadach "compliance" – czyli spełnienia minimum jakiego wymaga norma i to wyłącznie na papierze. To z kolei oznaczałoby w praktyce śmierć nowoczesnego i świadomego ERM i byłoby wilczą przysługą oddaną tej jeszcze tworzącej się dziedzinie zarządzania. Jak opłakane skutki mogłoby to mieć na zdolność firm do radzenia sobie z ryzykiem pokazuje przykład instytucji finansowych, które mimo uregulowania przez Bazyleę II (a może właśnie dlatego – ograniczone myślenie "compliance") okazały się niezdolne do uchwycenia potężnego ryzyka i zareagowania na nie, dlatego że istniejące modele takiego ryzyka nie przewidywały.
Kevin Knight wymienia jeszcze dwa nowe zagadnienia, wokół których było sporo dyskusji:
- nacisk na komunikację i konsultację percepcji ryzyka (determinującej w końcu apetyt na ryzyko) z interesariuszami (m.in. udziałowcami, klientami, pracownikami); nie jest to nic nowego – pojawia się już w As/NZS 4360
- wymóg nominowania osób, które będą właścicielami ryzyk, tj będą odpowiadały za zarządzanie nimi oraz będą rozliczane z efektów tego zarządzania.
Skoro wspomniałem już nazwisko Kevina Knighta warto przybliżyć tę postać. Pan Knight, były prezes RMIA (australijskie stowarzyszenie risk managerów), jest przewodniczącym grupy roboczej ISO 31000 oraz jako współtwórca standardu AS/NZS 4360 osobą bardzo zasłużoną dla australijskiego i światowego risk managementu. Można się więc słusznie domyślać, że ISO 31000 jest w dużej mierze oparte na tymże właśnie standardzie australijsko-nowozelandzkim (co mnie szczególnie cieszy, gdyż moim zdania jest najlepszy z dotychczas stworzonych standardów). Spotkałem Kevina jesienią 2005 roku podczas konferencji FERMA w Lisbonie. Bardzo otwarty, ciepły człowiek, typ myśliciela. Nieodparcie kojarzy mi się z pierwszymi białymi osadnikami na tym surowym lądzie – wyglądem przypomina pustynną wersję Św. Mikołaja.
Business Insurance Europe utrwaliło wywiad, jakiego Kevin udzielił komentując powstanie ISO 31 000.
Jakie jest ISO 31000 ?
Standard został wypracowany przez interdyscyplinarną grupę ludzi reprezentujących różne profesje: risk management, audyt, ubezpieczenia, IT, inżynierów i naukowców. Jego publikacja wymagała przegłosowania przez co najmniej 75% członków.
No cóż, podstawowy proces i jego etapy przedstawione w standardzie nie różnią się właściwie niczym od tych przestawionych w ASNZS. Nowością jest spięcie pojęciowe zasad zarządzania ryzykiem, z ramami systemu ERM oraz z procesami systemu ERM. Pojawienie się takiej ilustracji wynika zapewne z napotykanych przez firmy trudności praktycznych w uruchomieniu i "ożywieniu" systemów ERM, budowanych na podstawie dotychczasowych modeli i dokumentów.
W odróżnieniu od ASNZS, nowe ISO opiera się na słownictwie z ISO/IEC Guide 73 "Risk management". Zdecydowanie eksponuje zasady, które dotychczas były jedynie miękko wspominane, m.in:
- RM jest integralną częścią procesów w organizacji
- RM jest narzędziem wspomagającym podejmowanie decyzji
- RM jest "przykrojony" do potrzeb organizacji
- RM jest dynamiczny i reaguje na zmiany
- RM wymaga silnego i trwałego wsparcia ("commitment") zarządu.
Po raz pierwszy pojawia się również schemat pokazujący nie tylko etapy samego procesu zarządzania ryzykiem (identyfikacja, szacowanie, ocena, reagowanie i monitorowanie), ale etapy tworzenia struktury zarządzania ryzykiem w firmie. Ponownie, jest to odpowiedź na największe trudności, na jakie do tej pory natrafiały przedsiębiorstwa we wprowadzaniu zintegrowanego systemu ERM.
Kolejne bardzo mądre nowości pojawiające się w ISO 31000, to np:
- pomiar performance
- powiązanie wyników w zarządzaniu ryzykiem z systemem motywacji.
Jeden drobny szczegół, ale moim zdaniem znamienny: w ISO 31000 pojawia się element, który do tej pory był unikalny jedynie dla ASNZS (tj nie było go w standardzie AIRMIC/IRM ani też w COSO II): w szacowaniu prawdopodobieństwa i skutku należy uwzględnić istniejące w organizacji środki kontroli.
Nowe ISO nieśmiało co prawda, lecz zahacza o bardziej zaawansowane metody analityczne uwzględniające stopień pewności/niepewności w ocenie prawdopodobieństwa i skutku oraz analizę wrażliwości. Wielka szkoda, że twórcy nowego standardu nie odważyli się w tym miejscu udzielić bardziej szczegółowych wyjaśnień lub stworzyć osobnego przewodnika (jaki towarzyszył COSO II czy ASNZS).
Akcentem zamykającym ISO 31 000 jest wylistowanie cech dojrzałego (doskonałego) systemu ERM. Mowa tam między innymi o nacisku na ciągłe jego ulepszanie i o mierzeniu wyników w zarządzaniu ryzykiem, o w pełni zdefiniowanej i zaakceptowanej odpowiedzialności za ryzyka i ich kontrolowanie oraz o podejmowaniu wszystkich istotnych decyzji z perspektywy podejmowanego ryzyka.
Dokument ISO 31000 oceniam bardzo pozytywnie, jest wyraźnie nowocześniejszy niż wszystkie poprzednie (włącznie z moim faworytem: standardem australijsko-nowozelandzkim) lecz brakuje mu jednego: bardziej "technicznego" i szczegółowego przewodnika z technikami, przykładami itp. – czegoś takiego, w co wyposażono ASNZS oraz COSO II.
Dla osób, które chciałyby się zdecydować na któryś ze standardów lub porównać je z nowym ISO 31000 polecam artykuł jaki ukazał się w AIRMIC News w sierpniu 2005 i jaki został udostępniony na mojej witrynie za zgodą autora.
ryzyko jest piękne 