Autor: Rafal Rudnicki

Menedżerowie ryzyka – speak up !

Ktoś z kim się bardzo liczę wczoraj wytknął mi, że mój blog usypia. A że dzieje się wiele i to ważnych dla nas spraw – jest o czym pisać.

Trwają przygotowania przewodnika dotyczącego zastosowań i implementacji ISO 31000 (ISO 31004: Risk management – Guidance for the implementation of ISO 31000) – coś czego bardzo dotąd brakowało i o czym pisałem wcześniej.

Jak donosi Commercial Risk Europe, członkowie około 70 organizacji zawodowych risk managerów (w tym zrzeszonych w FERMA) zostaną niebawem zaproszeni do dyskusji i konsultacji na ten temat.

Jeśli jesteś członkiem Polrisk to możesz również czuć się zaproszony. Jako medium wybrano LinkedIn – jesli nie masz tam swojego profilu, założ go, bo zostaniesz odcięty od dyskusji która ma trwać w dniach 17-30 października.

Planuje się oparcie dyskusji na około 10-15 pytaniach otwierających a jej wynik będzie uwzględniony podczas prac nad ISO 31004, które mają się zakończyć w roku 2013. Pracom nad tym dokumentem będzie przewodził naturalnie znany nam brodacz Kevin Knight.

Świat czeka na Wasze głosy, stańcie się cząstką historii risk managementu.

Wasz w ryzyku,

Konferencja Stowarzyszenia Audytorów Wewnętrznych w Polsce

Jako świeżo upieczony członek IIA – Stowarzyszenia Audytorów Wewnętrznych w Polsce, pojechałem na konferencję szkoleniową w Zakopanem przyjrzeć się organizacji od wewnątrz. 

konferencja IIA

Pomysł z ulokowanie konferencji w Zakopanem był ryzykowny (frekwencja mogła nie dopisać) ale okazuje się, że to był raczej motywator a nie demotywator – można mówić o setce uczestników.

Okazuje się, że organizacja jest dla członka bardzo atrakcyjna. Przy niewygórowanej cenie za dwu i pół dniową konferencję otrzymuje kilkanaście sesji wykładów prowadzonych przez współczłonków – zarówno z sektora prywatnego jak i budżetowego, super kuchnię – smaczną i obfitująca w ilość, dostęp do zaplecza SPA i niepowtarzalne, towarzyskie atrakcje wieczorową porą. Z zawstydzeniem muszę powiedzieć, że audytorzy potrafią się bawić lepiej niż managerowie ryzyka …

Tego ostatniego szczególnie brakuje mi w Polrisk – od kilku lat nasze konferencje stały się … hmm, sztywniackie – brakuje tego co jest w FERMA, AIRMIC i naszym Polskim IIA – networkingu, czasu spędzonego towarzysko.

Bardzo pozytywnie zaskoczyły mnie prezentacje miast – np miasta Krakowa na temat zaprojektowanego i wdrażanego tam systemu zarządzania ryzykiem. Mimo, że był tworzony samodzielnie, pewnie na zasadzie prób i błędów – efekt jest stosunkowo dojrzały, pragmatyczny i przede wszystkim zaczyna działać. Biznes mógłby brać przykład z zaprezentowanych przez Kraków rozwiązań.

Na tym kończę, bo właśnie udaję sie na ciekawie zapowiadający sie wykład plenerowy – negocjacje w stylu Aikido …

Wasz w ryzyku,

R

Pierwsza polska książka o zarządzaniu ryzykiem ?

Już przywykłem, że do tej pory nie było w Polsce nawet dostatecznie przyzwoitych książek nt zarządzania ryzykiem gospodarczym – było sporo merytorycznie bardzo dobrych książek poświęconych ryzykom w organizacjach finansowych lub kilka beznadziejnych merytorycznie książek nt zarządzania ryzykiem w przemyśle czy gospodarce w ogóle, albo kilka nadużyć nie poświęconych ERM, mimo iż „zarządzanie ryzykiem” pojawiało się w ich tytule. Toteż zawsze, gdy aspirujący na risk managera kierownik pytał mnie o literaturę, odsyłałem go do literatury angielskojęzycznej odradzając serdecznie marnowanie czasu na wypociny polskich pseudospecjalistów i spekulujących naukowców.

Czy po przeczytaniu „Zarządzania zintegrowanym ryzykiem przedsiębiorstwa w Polsce” pod redakcją Stanisława Kasiewicza to się zmieni ? Ano zobaczmy …

zarządzanie ryzykiem Kasiewicz

Ogólnie rzecz biorąc pozycja jest wartościowa – chociażby dlatego, że powołuje się na wiele polskich źródeł i opracowań naukowych z ostatnich 10 lat, do których dotąd sam nie potrafiłem dotrzeć – autorzy zawstydzili mnie swoją ich znajomością. Niestety widać, że książka nie jest spójnym monolitem, który wyszedł spod jednego pióra lecz składanką kilku zagadnień spisanych przez kilku autorów. Stanowi jakby zlepek kilku wykonanych wcześniej badań i opracowań autorów. Nie wychodzi to książce na dobre – każdy rozdział od nowa zaczyna się swoim wstępem, powtarzającym po raz kolejny myśli poprzednich autorów.

Jak poszczególne rozdziały widzę okiem risk managera ?

  • Rola informacji w ZR
    (Krzysztof Markowski)
    Mimo, iż potencjalnie mógłby to być bardzo wartościowy rozdział, szansa została zmarnowana – opisywanie, jak banki wykorzystują informacje o kontrahentach, aby zarządzać ryzykiem kredytowym jest mało użyteczna dla przedsiębiorstw, gdyż dotyczy niezwykle wąskiego spektrum ryzyk i informacji na temat ryzyk, jakie krążą zwykle w firmie.
     
  • Zmienność, złożoność, niepewność i ryzyko (…)
    (Marcin Wojtysiak-Kotlarski)
    Bardzo sensowny i przydatny rozdział jako wprowadzenie w zarządzanie ryzykiem biznesowym. Jego część dotyczy jednak typologii ryzyka i tak jak we wszystkich poprzednich – znanych mi – próbach dotyczących typologii ryzyka, autor nie zdołał wprowadzić porządku ani wnieść nic nowego.
     
  • Analiza upadłości przedsiębiorstw a jakość ZR
    (Zofia Fengler)
    Problem upadłości nie wnosi nic szczególnego do naszej wiedzy na temat ZR, rozdział zbyt długi jak na książkę a wybranej tematyce.
     
  • Charakterystyka kluczowych koncepcji ZR w przedsiębiorstwie
    (Urszula Malinowska)
    Zaczyna się robić naprawdę interesująco. Jestem skłonny przyjąć za Panią Malinowską termin „sterowanie ryzykiem” jako opisujący etap następujący po analizie ryzyka. Z drugiej strony autorka nie ustrzegła się błędów – np cytując proponowany przez Bizon-Górecką opis roli CRO, lub opisując kolejność poszczególnych działań w procesie ZR i ich stopień trudności. To drugie wygląda bardziej na rozważania teoretyka niż doświadczenia praktyka.
     
  • Standardy ZR w przedsiębiorstwie
    (Waldemar Rogowski, Jolanta Turek)
    Rozdział uwypukla ważne relacje pomiędzy ERM a VBM (Value Based Management) oraz EVA (Economic Value Added). O tym drugim wpominałem na blogu w kontekście definiowania apetytu na ryzyko na poziomie strategicznym. Niestety, autorzy trochę zapętlili się przedstawiając rolę risk managera / CRO – jest to obszar ryzykowny i wciąż niejasny. Pojawiają się również nieścisłości w opisach przytaczanych standardów (przykładowo, nie ma „standardu FERMA” – jest za to standard stworzony przez brytyjską trójcę AIRMIC/IRM/ALARM). Przydatne jest porównanie trzech standardów (choć w całości zapożyczone z AIRMIC) – podobne do tego, jakie udostępniam na swojej witrynie.
     
  • Ewolucja koncepcji ERM
    (Robert Sasin)
    Niestety, poplątanie z pomieszaniem i błędy merytoryczne: BCM to nie koncepcja zarządzania ryzykiem, a wynik, podzbiór i rozwinięcie ERM. MoR to brytyjski synonim ERM, a nie inna koncepcja zarządzania ryzykiem. BCP i BIA to części składowe BCM a nie odrębne od nich koncepcje, natomiast SixSigma i Kaizen to już kompletny „odjazd” od zarządzania ryzykiem … Wiekszość risk managerów nie zgodzi się z dość „odważną” tezą autora, że Komitet Audytu przy Radzie Nadzorczej jest odpowiedzialny za zarządzanie ryzykiem. Autor posługuje się terminem „ryzyko operacyjne”, które jako typowe dla instytucji finansowych zarządzających tylko (głównie) ryzykiem finansowym, nie ma prawa bytu w dojrzałej terminologii ERM w przedsiębiorstwach przemysłowych. Już trzy lata temu skrytykowałem ten termin
     
  • Pomiar ryzyka
    (Ewa Lorek)
    Tytuł prosty i minimalistyczny, lecz kryje w sobie zagadnienie – morze, niemalże graala risk managerów. Potencjalny czytelnik będzie z tym rozdziałem wiązał ogromne nadzieje, bo mało jest wiarygodnych i sprawdzonych metod pomiaru ryzyk niefinansowych, z jakimi głównie mają do czynienia przedsiębiorstwa. Niestety, autorka zaczyna od gafy – pomylenia kategorii „skutek” i „ryzyko”. Proponowane przeniesienie metodologii BSC (Balanced Scorecard) na grunt ZR jest interesujące i myślę, że może mieć perspektywę rozwojową. Jednak bez dopracowania szczegółów może być wykorzystana do jedynie powierzchownej oceny ryzyk w firmie. Natomiast wymieniona metoda VAR jest mało przydatna do pomiaru (przeważających w firmach) ryzyk niefinansowych, a finansisci stracili do niej zaufanie po kryzysie finansowym 2008-2009. Reasumując – rozdział nie spełnił moich nadziei, brak w nim konkretnych – a szczególnie nowych – metod. 
     
  • Rola IT w zarządzaniu zintegrowanym ryzykiem
    (Daniel Sosiński)
    Z przyjemnością czytałem sugestie, żeby zaczynać skromnie od Excela, zanim podejmie się decyzję o wdrożeniu jakiegoś „kombajna” informatycznego. Również niezwykle celne spostrzeżenie, że rózne oprogramowanie będzie służyć ZR na poziomie strategicznym lub operacyjnym. To co tutaj rozczarowuje, to posługiwanie się przykładami oprogramowania dla organizacji zasadniczo finansowych i inwestycyjnych, nie dla przemysłu – tablica 8.3 na stronie 145. Ponadto, ceny podawane przy oprogramowaniu niektórych dostawców dostępnym w Polsce są nieprawdziwe, gdyż górny pułap został mocno zaniżony. Przykładowo ceny oprogramowania SAP lub SAS wspierającego zarządzanie ryzykiem dla 50ciu licencji w rzeczywistości zawierają się w zakresie odpowiednio od 2 mln PLN do 4 mln PLN. Podrozdział „Praktyczne zasady wdrażania systemu ZR …” jest chyba najbardziej wartościowym fragmentem całego rozdziału – dotyczy aktualnych i praktycznych problemów każdego przedsiębiorstwa.
     
  • Ocena stanu ZR w polskich firmach (…)
    (Stanisław Kasiewicz)
    Rozdział jest stosunkowo ryzykownym przedsięwzięciem, bo zestawia ze sobą badania różnych firm, wykonywane w różnych celach przez różne instytucje w latach 2005 – 2009, a więc w czasie kiedy oblicze i dojrzałość polskiego ERM zmieniało się z miesiąca na miesiąc. Mimo porównywania śliwek z gruszkami, autorowi udało się wysnuć istotny wniosek: dysonans pomiędzy aspiracjami zarządzających i konkurencyjnością polskich firm a stanem i jakością zarządzania ryzykiem.
     
  • Jakość ZR w przedsiębiorstwach działających w Polsce
    (Zbigniew Krysiak)
    Wydawałoby się, że to kontynuacja poprzedniego rozdziału, jednak tytuł jest mylący i właściwie niezgodny z treścią rozdziału, w której autor przekonuje, że ERM sprowadza się do kapitału ekonomicznego. Nie zgadzam się z tezą, że wielkość kapitału ekonomicznego jest parametrem wyznaczającym poziom całkowitego ryzyka firmy – moim zdaniem wyznacza on jedynie bezwzględną zdolność firmy do retencji (samofinansowania) ryzyka. Filozofia odpowiadania na ryzyko zwiększaniem kapitału ekonomicznego – swoisty wyścig zbrojeń – jest siermiężna, nie opiera się na elastyczności i „inteligentnym” zarządzaniu ryzykiem. Tylko zawodnik sumo może sobie pozwolić na hodowanie sadła, które uchroni go przed uderzeniem – dżudoka musi rozwijać zwinność i zrywność, a karateka szybkość i celność uderzenia.
     
  • ZR w czasie kryzysu finansowego (…)
    (Lech Kurkliński)
    Właściwie to rozdział ciekawostka, bardziej przydatny dla zarządów i rad nadzorczych niż risk managerów, chociaż może stanowić logiczne zamknięcie rozdziału Marcina Wojtysiaka-Kotlarskiegfo „Zmienność, złożoność, niepewność i ryzyko (…)”.

Mimo, iż to bardziej pozycja refleksyjna niż edukacyjna czy „narzędziowa” – gdyż nie da się na jej podstawie wdrożyć ERM w firmie – bez wątpienia dotyczy korporacyjnego zarządzania ryzykiem i ma swoją wartość. Z drugiej strony, sporo jej jeszcze brakuje do literatury angielskojęzycznej, której autorami są praktycy – menedżerowie ryzyka kuci na cztery nogi. Miło było zaobserwować, że autorzy wielokrotnie korzystali z moich własnych opracowań lub z pierwszorzędnych materiałów obcych, na jakie pomogłem im natrafić, wskazując je na swoim blogu lub na witrynie.

Rekomendacja: kupuj, lecz nie spodziewaj się szybkiego wzrostu akcji …

Wasz w ryzyku,

R.

Ocieplenie klimatu

Prawie trzy lata temu pisałem na temat zagrożeń jakie dzisiejszym postępowaniem generujemy dla następnych pokoleń.

Wygląda na to, że dzisiaj naukowcy nie mają już wątpliwości, że to my sami podcinamy klimatyczną gałąź na której siedzimy. W temacie gubią się jedynie „gadające głowy” – dziennikarze.

Więcej w Strategic Risk – kliknięciem pobierzesz grafikę w formacie:
 

Global Warming - the debate

Zarządzanie ryzykiem w Europie obowiązkowe ?

Podczas powstawania i dyskutowania ISO 31000 toczyła się ostra dyskusja, czy standard powinien wogóle powstać i czy nie przyniesie więcej złego niż dobrego. To zło, jakiego obawiało się w dużej mierze środowisko europejskie reprezentowane przez FERMA, miało polegać na zaszufladkowaniu ERM jako jednej z kolejnych mód, obowiązków regulacyjnych i mogło prowadzić do wręcz wrogiego podejścia firm do zarządzania ryzykiem. ERM mogło zostać potraktowane jako nieuprawniona próba wtargnięcia regulatorów w sfery życia gospodarczego, które powinny rządzić się wyłącznie zasadami wolnego rynku, gdzie firmy mają prawo według własnego uznania podejmować ryzyko, ponosić straty i bankrutować.

Wiosną tego roku w Brukseli opublikowano tzw. GREEN PAPER pt „The EU corporate governance framework„. Nieadwno zakończyła się publiczna debata – w której uczestniczyła również FERMA – nad pytaniami tam postawionymi. Znamienne jest pytanie nr 2: czy europejskie firmy nie notowane na żadnej giełdzie powinny również być regulacyjnie zmuszone do spełniania dobrych praktyk corporate governance, w tym zarządzania ryzykiem.

Dalej uściślając pięć podstawowych obszarów corporate governance, w punkcie 1.5 dokument odnosi się do zarządzania ryzykiem. Autorzy dokumentu zwracają tam uwagę na ryzyka publiczne (społeczne): ryzyka oddziałujące na zmiany klimatu i na środowisko, na zdrowie i życie ludzkie, a także na firmy będące operatorami krytycznej infrastruktury, której zniszczenie miałoby konsekwencje transgraniczne. Większość wymienionych tu aspektów ryzyka jest uregulowana w szczegółowych przepisach, jednak te różnią się między krajami oraz nie zobowiązują firm w sposób dostateczny do transparentnego publikowania informacji, co tak realnie firmy robią aby uchronić nie tylko siebie ale i społeczeństwo przed ryzykami publicznymi.

Wystarczy tylko przytoczyć dwa przypadki aby zrozumieć sens i imnplikacje pojęcia „ryzyko publiczne”. W opisywanym wcześniej przypadku Thyssen Krupp to nie zarząd, lecz ostatecznie sąd wyznaczył apetyt firmy na ryzyko – bo chodziło o ryzyko publiczne. O drugim przypadku nie pisałem na blogu, lecz jest powszechnie znany – chodzi o wyciek miliona metrów sześciennych „czerwonego szlamu” ze zbiornika zakładu aluminiowego w Ajka na Węgrzech (szlam zalał okoliczne miasteczko i kilka wsi, uśmiercił ok 10 osób i poranił ponad 120, zniszczył rzekę Marcal oraz dotarł do Dunaju).

Nie zmieniając swojego poglądu, iż zarządzanie ryzykiem powinno być elementem dobrowolnie budowanej przez firmy przewagi konkurencyjnej a nie wymogiem regulacyjnym uważam, że pewne przedsiębiorstwa sprawujące pieczę nad dużymi zagrożeniami publicznymi powinny być zmuszone do efektywnego zarządzania ryzykiem i informowania społeczeństwa (za pośrednictwem regulatorów) jaki mają realny stopień kontroli nad kluczowymi ryzykami publicznymi.

chemical plant disaster

I tutaj nasuwają mi się dość pesymistyczne refleksje – spośród naszych największych firm chemicznych tylko jedna zaczyna się realnie przymierzać do zarządzania ryzykiem. Pozostałe – prawdopodobnie ze względu na bardzo intensywne ruchy typu M&A – odsuwają to zgadnienie na później. Jeszcze inne ograniczają swoje „zarządzanie ryzykiem” do zagadnień czysto finansowych lub wręcz nie rozpoznają pojęcia ERM wogóle. Polskie firmy paliwowe już dawno zaczęły wdrażać ERM, firmy z rynku energetycznego i telekomy swoją przygodę ze zintegrowanym zarządzaniem ryzykiem rozpoczęły jeszcze parę lat temu, w zeszłym roku swój skok na głęboką wodę risk managementu wykonały polskie kopalnie. Chemia ciągle śpi – mimo, że powinna być w czołówce, w końcu nikt nie zyczy sobie powtórek z Bophalu. Myślę, że dla tych i podobnych firm wspomniany Green Paper oznacza czas pobudki – zdecydowanie lepiej i taniej jest wprowadzać zarządzanie ryzykiem spokojnie i po swojemu, niż pod przymusem i w pośpiechu.

04.08.2011

O wilku mowa – właśnie FERMA opublikowała swój komentarz do Green Paper: 

Ferma’s response to the consultation document green paper on corporate governance

View more presentations from FERMA Forum

Paweł i Gaweł w jednym stali domu. Paweł żyje dalej, Gamoń utonął …

Taką oto fraszką można by dokonać porównania sposobów zarządzania ryzykiem jakie przyjęły dwa giganty z Wielkiej Brytanii: Tesco i Royal Bank of Scotland, a także efektów funkcjonowania obu modeli zarządzania ryzykiem.

Niedawno Chartered Institute of Management Accountants wspólnie z – a jakżeby inaczej, AIRMIC – dokonał przeglądu praktyk zarządzania ryzykiem „od kuchni”, na kilku dobrowolnych królikach doświadczalnych. Dwa chyba najbardziej u nas znane to Tesco i RBS. Raport daje po części odpowiedź na pytanie, jakie końcowe efekty kulinarne daje określony przepis na zarządzanie ryzykiem.

Okazuje się, że najsmaczniejsze potrawy otrzymuje się, kiedy:

  • zarządzanie ryzykiem jest w sposób bezpośredni połączony z wydajnością operacyjną (operational performance)
  • management rozumie i akceptuje zasadę, że częścią „good performance” jest „good risk management”
  • biurokratyczne procesy i systemy mog podminować jakość zarządzania ryzykiem.

Na potrzeby badania, eksperci stworzyli swoją własną definicję zarządzania ryzykiem: „proces rozumienia i kierowania ryzykami, na jakie przedsiębiorstwo jest w sposób nieuchronny wyeksponowane, w dążeniu do osiągnięciu swoich celów biznesowych” (the process of understanding and managing the risks that the entity is inevitably subject to in attempting to achieve its corporate objectives). Definicja podkreśla, że ryzyk nie powinno się „usuwać”, lecz zrozumieć i „osiodłać” aby osiągnąć lepsze długofalowe wyniki.

Z jakich przepisów na ERM skorzystały obie badane firmy i jakie potrawy otrzymali ?

Royal Bank of Scotland:

Banki mają do dyspozycji mnóstwo regulacji: Bazylea II, Sarbanes Oxley, the Combined Code/Turnbull a także dość rozległe działy zarządzania ryzykiem. Mimo tego w czasie kryzysu sektora finansowego (pod)upadły – w tym RBS. Dlaczego tak się stało ? Kluczowe funkcje ryzyka (Komitety ds Ryzyka) są ulokowane poniżej managementu wykonawczego i nie mają na niego wpływu. Agresywna kultura „sprzedażowa” powoduje, że executivi są głusi na wołania risk managerów (patrz case Paula Moore i HBOS). Ryzyka są rozpatrywane w silosach – co oznacza brak szansy na wychwycenie momentu i zareagowanie, kiedy zaczynają się one  agregować i działać łącznie. Zbytnie hołdowanie matematyce i miarom ilościowym ryzyka, z jednoczesnym operowaniem mega skomplikowanymi instrumentami i ich  pochodnymi a także modelami.

Od kuchni:

  • regulacje zewnętrzne zachęcają do tzw „box-ticking”
  • zbiurokratyzowana kontrola wewnętrzna prowadzi do fałszywego poczucia bezpieczeństwa
  • modelowanie ryzyk finansowych mimo że wgląda atrakcyjnie, nie obędzie się bez osądu i decyzji człowieka
  • w tak skomplikowanymn środowisku biznesowym, prawdziwym zagrożeniem sa ryzyka zagregowane
  • efektywne oddziaływanie funkcji zarządzania ryzykiem na biznes jest ograniczone, jeśli funkcja ta jest ulokowana poniżej zarządu w hierarchii corporate governance.

Tesco:

Kultura firmy powoduje, że zarządzanie ryzykiem jest traktowane jako część usług świadczonych klientom, część precyzyjnie zdefiniowanych celów biznesowych a nie jest systemem kontroli wewnętrznej. Mimo, że Tesco to prawie pół miliona pracowników, funkcjonuje tylko pięć poziomów kierowniczych a tym samym odpowiedzialność za ryzyka jest przydzielana w sposób klarowny. Zadania związane z ograniczaniem ryzyka są szybko kaskadowane w dół, do osób będących najbliżej ryzyka (najniżej w hierarchii kierownictwa). Biurokracja ograniczona do minimum.

Od kuchni:

  • jako podkład bazowy zastosowano prostą wersję Balanced Scorecard i wskaźników KPI: pracownicy rozumieją, za co są rozliczani i czy są wydajni
  • risk management jest częścią codziennych obowiązków i operacji (chociaż nie jest nazywany takim terminem)
  • zarząd określa apetyt na ryzyko
  • konkretne ryzyka są zarządzane przez konkretnych managerów.

Badanie kolegów z Wielkiej Brytanii jedynie utwierdzają mnie w przekonaniu, że skończył się czas arcyskomplikowanych supersystemów zintegrowanego zarządzania ryzykami korporacyjnymi, a zaczyna się czas „wysmukłego zarządzanie ryzykiem” – proste jest piękne, sprawne i szybkie.

Kariera risk managera

Niedawno, brytyjski Strategic Risk – organ AIRMIC – we współpracy z tym ostatnim wydał raport „Career horizons” na temat przebiegu kariery risk managera – od stażysty do Chief Risk Officera (CRO), jaki powoli można już odczytywać z setek życiorysów zawodowych w Wielkiej Brytanii.

Strategic Risk

Udało sie wyodrębnić kilka etapów rozwoju takiej kariery (profesji) z jej typowymi problemami i wyzwaniami, o czym niżej. Udało się również zdefiniować kilka prawd uniwersalnych na każdym etapie i dla każdego risk managera:

  • specjalistyczne szkolenia z zarządzania ryzykiem (tego nowoczesnego) są nie zawsze trafione i wszechstronne, więc budowanie własnego doświadczenia na praktyce zawodowej jest nieodzwone
  • headhunterzy i firmy rekrutacyjne nie rozumieją świata korporacyjnego zarządzania ryzykiem, szczególnie że w każdym sektorze i każdej kulturze organizacyjnej może ono oznaczać inne potrzeby pod kątem profilu risk managera
  • firmom bardzo trudno w sposób rzetelny ocenić kandydatów na risk managera, mają do dyspozycji jedynie informacje o formalnym wykształceniu (które nie zawsze odzwierciedlają kompetencje w zarządzaniu ryzykiem) oraz przebieg kariery zawodowej, który zwykle w sposób wybitny nie wyodrębnia zadań risk managera
  • zmiana sektorów nie powinna być problemem dla risk managera, gdyż cele i proces zarządzania ryzykiem jest zasadniczo wspólny dla wszystkich sektorów, co więcej – zmiana może pobudzić transfer know-how i rozwiązań pomiędzy sektorami (patrz wpis na temat cech wspólnych banków i hodowli łososia …)
  • mentoring jest kluczowy dla rozwoju kompetencji risk managera i utrzymania wysokiej motywacji – menedżerowie ryzyka, szukajcie swoich mentorów !
  • świat zarządzania ryzykiem jest bardzo mały – nie pal mostów za sobą, bądź fair, buduj i utrzymuj relacje
  • migracja i przenikanie się risk managerów ze swiatem ubezpieczeń (a w Polsce coraz bardziej ze światem audytorów wewnętrznych) nie jest grzechem, lecz naturalnym biegiem rzeczy – dziś jesteś ubezpieczeniowcem, jutro menedżerem ryzyka, pojutrze audytorem; w ten sposób budujesz swoje wszechstronne kompetencje i przygotowujesz się do kolejnego awansu
  • bądź odważny i nie obawiaj się głośno zadawać niepopularne pytania – taka jest rola risk managera, zostaniesz doceniony za nonkonformizm i niezależność
  • osiągnięcie szczytu kariery – członka zarządu od spraw ryzyka – nie jest łatwe, musisz przejść po wiszącej linie rozpostartej pomiędzy oczekiwaniami top managementu (zysk, przychód, wzrosty !) a realiami i zagrożeniami codziennego biznesu, musisz umieć porozumieć się zarówno z pracownikiem magazynowym jak i członkiem zarządu tej samej firmy.

Z moich obserwacji wynika, że kariery brytyjczyków są inne niż ścieżki pojawiające się w Polsce, ale to zrozumiałe – my do pewnych spraw dochodzimy na skróty i niekoniecznie tą samą drogą. Przykładowo – tak jak naturalnym sojusznikiem i bratem syjamskim pojęcia „zarządzanie ryzykiem” jest w Anglii pojęcie „zarządzanie ubezpieczeniami”, u nas staje się nim pojęcie „audyt i kontrola wewnętrzna”.

Na 20 stronach opracowania Strategic Risk bardzo ciekawie opisuje poszczególne etapy rozwojowe kariery. Poniżej umieszczam jedynie telegraficzny skrót, pomijając arcyciekawe aspekty „career moves„, „performance” czy „skills and experience” charakterystyczne dla każdego z etapów rozwojowych. Bardzo uporczywi mogą dotrzeć do pełnej wersji raportu i się w nią wgryźć.

  • Stażysta (GRADUATE TRAINEE)
    wynagrodzenie: 18-25 tys funtów rocznie
    głównie zadania: administracyjne i techniczne
    kluczowy: mentoring
     
  • Specjalista ds ryzyka i ubezpieczeń (RISK AND INSURANCE OFFICER)
    wynagrodzenie: do 40 tys funtów rocznie plus bonusy
    głównie zadania: odpowiada za obszar lub pod-proces ERM (szkody, BCM, bezpieczenstwo pracy)
    kluczowe: dokształcanie (kursy) zawodowe, decyzja co do dalszego kierunku kariery
     
  • Kierownik ds ryzyka i ubezpieczeń (RISK AND INSURANCE MANAGER)
    wynagrodzenie: do 60 tys funtów rocznie plus bonusy
    głównie zadania: odpowiada za rozwój jednego z obszarów ERM (zarządzanie rejestrem ryzyk, przegląd procedur BCM, implementacja oprogramowania wspierającego zarządzanie ryzykiem)
    kluczowa: umiejętność balansowania pomiędzy szczeblem dyrektorskim (do którego raportuje) a swoim zespołem, którym zarządza
     
  • (Młodszy) Dyrektor ds ryzyka i ubezpieczeń (HEAD OF RISK AND INSURANCE)
    wynagrodzenie: 80 do 90 tys funtów rocznie plus bonusy
    głównie zadania: nadzoruje programy związane z zarządzaniem ryzykiem i ubezpieczeniami w przedsiębiorstwie, nadzoruje pracę zespołu profesjonalistów
    kluczowe: umiejętności komunikowania i wpływania, osiagnięcie najwyższego poziomu kwalifikacji profesjonalnych, kontakty i relacje na najszyższym szczeblu
     
  • Dyrektor ds ryzyka i ubezpieczeń (DIRECTOR OF RISK AND INSURANCE)
    wynagrodzenie: ponad 100 tys funtów rocznie plus bonusy
    głównie zadania: ogarnia całokształt wizji i strategicznych projektów związanych z zarządzaniem ryzykiem, na przykład kombinacja corporate governance, compliance, kontroli wewnętrznej, business continuity, finansowania ryzyka
    kluczowe: dogłębna znajomość wszystkich aspektów operacyjnych w firmie
     
  • Członek zarządu ds ryzyka (CHIEF RISK OFFICER)
    wynagrodzenie: ponad 100 tys funtów rocznie plus bonusy
    głównie zadania: uczestniczy w kształtowaniu strategii, którą przekłada na charakter i cele systemu ERM, wyznacza apetyt firmy na ryzyko i jej ogólną politykę postępowania wobec ryzyka, osobiście zarządza największymi ryzykami firmy
    kluczowe: zdolności wizjonerskie, kompetencje finansowe, wejście w rolę decydenta biorącego osobistą odpowiedzialność a nie wewnętrznego doradcy.

Nawiązując do nieco sarkastycznego wpisu na tym blogu poświęconemu między innymi funkcji CRO wypada mi sprowadzić Cię czytelniku z podniebnych wyżyn na ziemię – bez bardzo solidnej i wszechstronnej edukacji w zarządzaniu ryzykiem nawet dobrze nie wystartujesz, nie mówiąc już o funkcji dyrektorskiej w zarządzaniu ryzykiem. A nauka na własnych błędach – poza tym, że niezwykle bolesna – trwa dłużej niż jedno życie. Ale w końcu do odważnych świat należy – mamy Institute of Risk Management, Nottingham University Business School, Glasgow Caledonian Universityczy Cass Business School …

Prezesie, Dyrektorze – czy chcesz zobaczyć się z dziećmi za 16 lat ?

Zwykle wśród przyczyn wzięcia sobie do serca zarządzania ryzykiem przez zarządy wymienia się naciski klientów i partnerów biznesowych, historyczne wpadki, presja giełdy i firm ratingowych czy naciski rad nadzorczych. Od tego roku na tę listę zarządy muszą wprowadzić bardziej osobistą pozycję: więzenie.

W roku 2007 w zakładach Thyssen Krupp w Turynie doszło do pożaru, w którym zginęło 7 osób. Parę  miesięcy temu sprawa znalazła swój finał: prezes – prawie siedemnaście lat odsiatki, trzech lokalnych menedżerów – prawie 14 lat odsiatki, piąty kierownik – 10 lat odsiatki. Niezależnie od dotkliwych kar finansowych i moralnych nałożonych na firmę.

Prezesie, Dyrektorze – czy chciałbyś zobaczyć się ze swoimi dziećmi dopiero za 16 lat ?

Przyczyną takiego wyroku nie był śmiertelny skutek zdarzenia – lub nie wyłącznie – lecz przyjęcie określonego apetytu na ryzyko, poziomu tolerancji (akceptacji) ryzyka przez kierownictwo.

Rzeczona fabryka była już przeznaczona do zamknięcia i właśnie czekano na opóźniające się otwarcie nowej fabryki. W tej starej, pracownicy byli zmuszani do pracy w nadgodzinach aby nadgonić plan a jednocześnie zaniechano dalszych inwestycji – między innymi w środki ograniczające ryzyko pożaru. W noc pożaru, kiedy doszło do rozerwania przewodu instalacji i rozprysku płonącego oleju, trzy z pięciu gaśnic okazały się niesprawne. O ich niesprawności i innych niedoskonałościach systemu bezpieczeństwa przeciwpożarowego kierownictwo doskonale wiedziało, lecz zdecydowało o nieinwestowaniu.

Znamienna jest treść wyroku, która wprost odnosi się do praktyk zarządzania ryzykiem – odwołuje się do świadomego zaniechania inwestycji w bezpieczeństwo przeciwpożarowe a tym samym do zaakceptowania ryzyka pożaru. Czyżby sędzia ukończył kurs zarządzania ryzykiem ?

Może warto wrócić do wcześniejszego tekstu nt apetytu na ryzyko ?

Pozdrowienia z Rotterdamu,
R

Jeden na stu

FERMA (Fedederacja Europejskich Stowarzyszeń Zarządzania Ryzykiem) ze swojego pomysłu sprzed kilku lat uczyniła już miły zwyczaj. Otóż mega event ze świata europejskiego risk managementu jakim jest Forum FERMA, odbywające się co dwa lata, będzie gościć jednego studenta z każdego kraju członkowskiego. Innymi słowy, FERMA pokrywa wybranym studentom koszty udziału w samej konferencji (wraz z opłatami za przedkonferencyjne kursy edukacyjne, posiłki oraz imprezy towarzyszące – turystyczne i towarzyskie), oraz koszty hotelu i biletu lotniczego. Wystarczy więc, że student zabierze ze sobą drobne na lody …

W tym roku FERMA Risk Management Forum obędzie się w dniach 2-5 października w Sztokholmie, a jej hasło przewodnie brzmi “Risk Managers shaping up for tomorrow at the European Market Place”. Podczas Forum studenci będą mieli przydzielonego swojego mentora, przedstawiciela zarządu FERMA.

Co zrobić, żeby tam pojechać ? Trzeba zostać wytypowanym przez Stowarzyszenie Polrisk spośród wszystkich zgłaszających się w Polsce studentów. To Stowarzyszenie weryfikuje, czy kandydat spełnia kryteria oraz wybiera tego szczęśliwca. Kryteria wejścia do puli kandydatów są następujące:

  • ukończony kierunek, fakultet, program lub przedmiot związany z zarządzaniem ryzykiem
  • dyplom uzyskany po roku 2009
  • dobra znajomość języka angielskiego
  • pisemna rekomendacja Dziekana wydziału, na którym student się dyplomował.

Po uczestnictwie w Forum, wybrany student jest zobowiązany przedstawić FERMIE raport na około 8 stron, w języku angielskim, obejmujący wrażenia z konferencji ale w głównej mierze merytoryczne wnioski i przemyślenia na temat zarządzania ryzykiem. FERMA wykorzysta raporty studentów z poszczególnych krajów aby zorientować się, na jakim poziomie jest edukacja i ogólnie koncept zarządzania ryzykiem w poszczególnych krajach. Najlepsze raporty mogą zostać opublikowane na witrynie FERMA lub w specjalistycznej prasie europejskiej.

Stowarzyszenie powinno poinformować FERMA o wbranym przez siebie kandydacie do końca czerwca – czasu jest więc niewiele !

Apetyt na ryzyko – wyższa szkoła jazdy

Półtorej roku temu mogłem sobie pozwolić na zaproponowanie mojej własnej koncepcji apetytu na ryzyko, gdyż nie było consensusu czym jest apetyt na ryzyko i jak go liczyć. Consensusu nie ma nadal – o czym pisze każde z trzech niezależnych opracowań, jakie ostatnio zgłębiałem. Panuje natomiast ogólna zgoda, że zaimplementowany apetyt na ryzyko z pewnością sprowadzi zarządzanie ryzykiem znacznie bliżej biznesu, operacji i pozwoli lepiej zrozumieć menedżerom czego chce od nich zarząd i co w praktyce ERM znaczy dla ich części operacji, odpowiedzialności, zakresu kompetencji i podejmowanych na co dzień decyzji.

W tym miesiącu IRM otworzył puszkę pandory i rozpoczął publiczną debatę nt apetytu na ryzyko, publikując dokument „Risk Appetite and Risk Tolerance”  proponujący zarys dobrych praktyk. Jest to spory dokument (45 stron), pierwszy który wnosi coś nowego i konstruktywnego do dyskusji nt apetytu na ryzyko – i do zarządzania ryzykiem w ogóle, dlatego warto poświęcić mu trochę czasu.

Jak punkt wyjścia warto sobie przypomnieć, co na temat apetytu na ryzyko mają do powiedzenia istniejące standardy oraz niektóre z globalnych firm konsultingowych.

  • COSO: „ilość ryzyka, na dużym poziomie ogólności, jakie organizacja jest chętna ponieść podczas tworzenia wartości dla interesariuszy”, czyli definicja z rodzaju „koń jaki jest każdy widzi”.
  • ISO 31000 nie wspomina o apetycie na ryzyko jako takim, lecz mówi o konieczności ustanowienia kryteriów oceny ryzyk (risk criteria) i dokonania oceny ryzyk pod kątem tych kryteriów (risk evaluation); czy autorzy ISO 31000 w ten sposób uczciwie przyznali, że nie ma dobrego pomysłu na opisanie apetytu na ryzyko ?
  • z kolei ISO Guide 73 (nawiasem mówiąc dość nieszczęśliwie i miejscami błędnie przetłumaczone na język polski) operuje znacznie większą ilością terminów: postawa wobec ryzyka (risk attitude), poziom ryzyka (level of risk) i w końcu apetyt na ryzyko, rozumiany jako ilość i rodzaj ryzyka, jakie organizacja jest skłonna ponieść lub utrzymać oraz tolerancja na ryzyko, rozumiana jako gotowość organizacji do poniesienia określonego poziomu ryzyka pozostałego po zastosowaniu środków kontroli
  • Ernst & Young przyjmują metodologię dość podobną do opisanej wcześniej metodyki Paula Hopkina, bazującej na pojęciach: pojemność na ryzyko (risk capacity) – czyli sumaryczna ilość ryzyka, jaką firma jest w stanie obiektywnie utrzymać, apetyt na ryzyko – czyli sumaryczna ilość ryzyka, jakie firma chce podejmować, tolerancja na ryzyko – to jest maksymalna dopuszczalna wartość danego ryzyka, limit ryzyka – liczbowy punkt odniesienia np. dla śledzonych KRI.

Z kolei KPMG zastrzega, że jest olbrzymia przepaść pomiędzy teoretycznymi modelami wyznaczania apetytu na ryzyko a ich praktycznym zastosowaniem. Wartościowe i trafne jest zalecenie, aby apetyt na ryzyko był określany w ścisłej relacji do umiejętności, zasobów i technologii jakie są potrzebne do skutecznego panowania nad ryzykiem. KPMG również dotyka ciągle wstydliwego przedmiotu mierzenia i kwantyfikowania apetytu na ryzyko. Wstydliwego, bo ciągle nie ma dobrego pomysłu i zgody jak to robić. KMPG proponuje to robić tak:

apetyt na ryzyko KPMG

Ja osobiście wartości znajdujące się w lewej kolumnie przełożyłbym na kryteria, jakie wcześniej posłużyły do oszacowania skutku ryzyka, na przykład:

  1. przychody lub zysk
  2. odsetek wypadków przy pracy
  3. ilość niedostarczonych megawatów, godzin zatrzymanej produkcji, odsetek zwróconych towarów
  4. reputacja mierzona niepochlebnymi informacjami medialnymi lub spadkiem akcji
  5. szkody środowiskowe mierzone ich rozległością i czasem przywrócenia do stanu wyjściowego.

KPMG podaje swój przepis na apetyt na ryzyko, lecz brakuje w nim konkretów i „warstwy wykonawczej”:

  1. dokonać pomiaru zagregowanej wielkości ryzyk, jakie firma podejmuje (pytanie: jak ? Czy wszystko sprowadzać do złotówek ? Czy do subiektywnych, teoretycznych punktów ?)
  2. przeanalizować i określić faktyczną, obiektywna zdolność finansową firmy do poniesienia ryzyk (zdolność podejmowania ryzyka – risk taking capacity)
  3. wyliczyć wielkość bufora finansowego (rezerw kapitałowych) pomiędzy ryzykiem podejmowanym a zdolnością podejmowania ryzyka
  4. apetyt firmy na ryzyko określa, jak duży bufor powinien być utrzymany – innymi słowy jest wyrażony jedną kwotą w pieniądzu
  5. zdefiniować tolerancję na ryzyko – akceptowalne poziomy dla każdego z istotnych ryzyk, pozostające w ścisłym związku z ogólnym apetytem na ryzyko (wymaganym buforem kapitałowym)
  6. monitorować odstępstwa wielkości ryzyk od poziomów tolerancji i reagować, to znaczy modyfikować decyzje biznesowe na wszystkich poziomach zarządczych.

KPMG szczególnie podkreśla ostatni akt, gdyż on nadaje sens istnieniu apetytu na ryzyko i całej „zabawy” z jego wyznaczeniem. Mechanizm monitorowania wielkości ryzyk w odniesieniu do poziomów tolerancji na ryzyko powinno być sprzężone z mechanizmami mierzenia performance w firmie oraz kształtowaniem kultury ryzyka. 

 

Wstęp pokazujący w skrócie dotychczasowe przemyślenia mamy za sobą – czas otworzyć puszkę pandory przygotowaną przez IRM.

Zespół pracujący pod okiem Richarda Andersona jest dość kategoryczny na temat kilku kluczowych kwestii:

  • pojęcie apetytu na ryzyko opiera się na równowadze skłonności do podejmowania ryzyka (propensity to take risk) oraz skłonności do kontrolowania ryzyka (propensity to exercise control); nie można tych dwóch zjawisk rozpatrywać w oderwaniu od siebie
  • apetyt na ryzyko musi być mierzalny, a różne miary będą przykładane na poziomie strategicznym, taktycznym i operacyjnym
  • nie ma jednego zagregowanego apetytu na ryzyko dla firmy – są różne apetyty na ryzyko dla różnych (grup) ryzyk
  • apetyt na ryzyko zmienia się w czasie, musi być więc co jakiś czas wyznaczany od nowa (aktualizowany)
  • wyjątkowo w przypadku apetytu na ryzyko prostota może prowadzić donikąd
  • apetyt na ryzyko nie jest dla początkujących: wymaga określonej dojrzałości systemu zarządzania ryzykiem w organizacji. 

Dokument zasadniczo skupił się na pojęciu apetytu na ryzyko przyjmując, że tolerancja na ryzyko jest wtórnym i znacznie mniej kłopotliwym pojęciem oraz jest znacznie łatwiejsza do zdefiniowania i wyznaczenia. Zespół IRM zgadza się zasadniczo z moją propozycją sprzed kilkunstu miesięcy, że apetyt na ryzyko określa chęć przemyślanego podejmowania ryzyka „w pogoni” za zyskiem czy wartością, natomiast tolerancja na ryzyko określa poziom (niechcianego) ryzyka, jakie jesteśmy przygotowani ponieść.

IRM studzi nadmierny zapał do przedwczesnej „zabawy” w apetyt na ryzyko: posługiwanie się tym narzędziem przez organizację, która jest niedojrzała i nie potrafi jeszcze w pełni kontrolować swoich ryzyk i ich poziomu, zupełnie niczego nie wnosi. To trochę tak, jakbyśmy planowali wycieczkę rowerową nie potrafiąc jeszcze samodzielnie jeździć i skręcać rowerem. IRM proponuje oceniać dojrzałość zarządczą firmy na czterech płaszczyznach:

  1. kontekst biznesowy (sektor, złożoność łańcucha dostaw, otoczenie konkurencyjne, rozproszenie geograficzne …)
  2. kultura zarządzania ryzykiem (postawy wobec ERM, czy wiedza / informacja na temat ryzyk w firmie realnie wpływa na sposób podejmowania decyzji, czy porażki w zarządzaniu ryzykiem czegokolwiek uczą firmę)
  3. proces zarządzania ryzykiem (integracja ze strategią i planowaniem, integracja z systemem zarządczym i raportowaniem, procedury delegowania)
  4. systemy IT wspierające zarządzanie ryzykiem. 

Z kolei poziom kultury zarządzania ryzykiem może być mierzony – tutaj IRM wzoruje się na opracowaniach Alexa Hindsona, IRM Chairman, którego miałem przyjemność poznać kilka lat temu w AIRMIC. Jako punkt odniesienia Alex proponuje badać między innymi następujące cechy czy zachowania firmy:

  1. przywództwo zarządzania ryzykiem
  2. sposób reagowania na złe wieści
  3. transparentność ryzyka w firmie
  4. zasoby i kompetencje oddane do dyspozycji funkcji zarządzania ryzykiem
  5. decyzje związane z ryzykiem
  6. nagradzanie właściwego podejmowania ryzyka.

kultura ryzyka

Zespół Andersona stwierdza, że nie da się sformułować apetytu na ryzyko w firmie jedną liczbą, czy też jednym czarno-białym określeniem. Proponuje natomiast myśleć o wielu apetytach na ryzyko, innych dla różnych grup (klas) ryzyk oraz dla różnych poziomów zarządczych w firmie. Myślę, że ta teza jest trzonem raportu IRM i przełomem w myśleniu o apetycie. Ilustracją nowego myślenia na temat apetytu na ryzyko jest poniższy schemat:

apetyt na ryzyko IRM

Równowaga pomiędzy skłonnością do podejmowania ryzyka (propensity to take risk) oraz skłonnością do jego kontrolowania (propensity to exercise control) na każdym poziomie zarządczym znajduje się gdzieś indziej:

  • na poziomie strategicznym apetyt na ryzyko dotyczy ryzyk, które stanowią o przewadze konkurencyjnej, albo wobec których firma dysponuje unikalną kompetencją (wiedzą); tutaj równowaga jest zdecydowanie przesunięta w kierunku podejmowania ryzyk (np. outsourcingu, rozwoju nowych produktów, nowych źródeł finansowania, wejść na nowe rynki)
  • na poziomie taktycznym następuje zbilansowanie stopnia podejmowania ryzyka i jego kontrolowania; utrzymywanie założonego apetytu na ryzyko dotyczy zwykle ryzyk wiążących się z realizacją już ustalonej strategii firmy – tam gdzie zakłada ona podejmowanie większego ryzyka, na poziomie operacyjnym powinno nastąpić odpowiednie  wzmocnienie (dopasowanie) środków kontroli
  • apetyt na ryzyko na poziomie operacyjnym ma być wskazówką dla kierowników, jak mają postępować i decydować w obliczu określonych zagrożeń bez konieczności konsultowania wszystkiego z poziomem dyrektorów czy zarządu; tak pojęty apetyt na ryzyko wzmacnia ich kompetencje i uprawnienia.

Ustalanie apetytu na ryzyko powinno rozpocząć się od ustalenia, dlaczego ogóle firma podejmuje określone ryzyko lub chce się nim zajmować. W tym celu zespół IRM, idąc w ślad za Richardem Andersonem, posiłkuje się zupełnie nową taksonomią ryzyk:

taksonomia ryzyka Anderson

Zgodnie z tą taksonomią, punktem wyjścia do zdefiniowania apetytu na ryzyka we wszystkich obszarach w firmie byłaby następująca postawa:

  1. podejmujemy tylko ryzyka dla nas wyraźnie widoczne (directly discernible)
  2. warunkowo – tj kiedy dysponujemy wiedzą i zasobami – eksponujemy się na ryzyka widoczne za pomocą nauki (visible through science)
  3. nigdy nie podejmuje my ryzyk dla nas abstrakcyjnych, gdzie nie mamy żadnego know-how (virtual).

Rzecz w tym, że to samo portfolio ryzyk zostałoby w zupełnie inny sposób podzielone na trzy wymienione grupy w firmach z różnych sektorów czy też z różnymi doświadczeniami.

Cierpliwości – dochodzimy do sedna (czy pisałem już, że dokument ma 45 stron ?)

Trochę odmiennie niż na poprzednim obrazku, Richard Anderson (szef zespołu roboczego AIRMIC) sam jest zwolennikiem postrzegania apetytu na ryzyko zgodnie z poniższą ilustracją:

apetyt na ryzyko Anderson

Tutaj również jest równowaga pomiędzy skłonnością do podejmowania ryzyka i skłonnością do jego kontrolowania, ale widziana z perspektywy:

  1. rodzaju ryzyka (jak wyżej)
  2. charakteru naszej interakcji z ryzykiem
  3. risk clockspeed
  4. środków kontroli.

Na trzech wymienionych poziomach zarządczych IRM proponuje inaczej wyznaczać  mierzyć apetyt na ryzyko. Na poziomie strategicznym punktem odniesienia ma by wartość dla udziałowców, mierzona w następujący sposób:

shareholder value

Uogólniając, jest ona wypadkową cash flow, zdyskontowaną o koszt kapitału i pomniejszoną o wartość zadłużenia. Powyższy ideogram jest przykładem – IRM zaprasza do własnych wariacji na temat i jako alternatywę podaje np. EVA (Economic Value Added). Ja osobiście zastanowiłbym się, co stanowi tzw „value drivers” dla firmy i postarał się wyrazić apetyt na ryzyko właśnie tą wartością. Na poziomie taktycznym zespół Andersona proponuje stare i „sprawdzone” KRI (Key Risk Indicators) a na poziomie operacyjnym – KCI (Key Control Indicators).

W tym miejscu staje się jasne, że wyznaczenie apetytu na ryzyko (i monitorowanie wielkości ryzyk w stosunku do apetytu lub poziomu tolerancji) nie obędzie się bez twardych danych. Samo ciśnie się pytanie: jak zgrać opomiarowanie ryzyk z opomiarowaniem (wyznaczeniem) apetytu na ryzyko ? Obie grupy danych muszą się przecież opierać na tych samych kryteriach – po raz pierwszy w sposób twardy apetyt na ryzyko będzie przywoływany już na etapie szacowania i mapowania ryzyk.

Sama metodologia wyznaczania apetytu na ryzyko proponowana przez IRM opiera się na kilku etapach, między innymi na określeniu aktualnej, ogólnej ekspozycji firmy na ryzyko, określeniu „pojemności” firmy na ryzyko (risk bearing capacity) oraz maksymalnej ekspozycji, jaką zarząd będzie jeszcze tolerował w podziale na klasę ryzyk. Pachnie to bardzo mocno metodologią Paula Hopkina równoważenia pojemności i ekspozycji na ryzyko, jaką opisywałem wcześniej.

Dokument zespołu IRM do końca odziera nas ze złudzeń zakładając, że za pierwszym razem opracowanie algorytmu wyznaczania apetytu na ryzyko nie będzie satysfakcjonujące i będzie wymagać prawdopodobnie wielokrotnych poprawek. Ponadto, dobrą praktyką powinno być dokonanie corocznych przeglądów apetytu na ryzyko, gdyż ten będzie zmienny.

Apetyt na ryzyko wymaga żelaznej konsekwencji: po tym jak już zostanie wyznaczony dla poszczególnych grup (klas) ryzyk i skaskadowany w dół w postaci tolerancji na określone ryzyka, zarząd powinien wymagać, aby dyrektorzy i kierownicy decydowali i funkcjonowali w granicach w ten sposób wyznaczonych. Powinno się określić zasady postępowania w sytuacjach, gdy ryzyko zbliża się lub przekracza wyznaczone poziomy krytyczne oraz zasady „eskalowania” decyzji w górę. Zarząd również powinien wiedzieć, jak będzie sobie radził z sytuacjami, kiedy „gorset” wynikający z apetytu na ryzyko będzie wywoływał spięcia i napięcia w firmie.

Zapowiada się, że apetyt na ryzyko to początek bardzo długiej podróży … 

 

IRM wierzy, że rozwój i implementacja apetytu na ryzyko będzie miało diametralny wpływ na sposób, w jaki firmy są zarządzane. Instytut mówi o swoim dokumencie „consultation paper” i zachęca wszystkich – a więc również i Ciebie, drogi czytelniku – do zgłaszania swoich uwag i pomysłów, oraz kształtowania ostatecznej formy tego dokumentu, na adres mailowy Carolyn Williams, the Head of Thought Leadership w IRM: Carolyn.Williams@theirm.org

Przyczynkiem do dalszej dyskusji jest seria pytań kierowanych do Ciebie i zarządu Twojej firmy, na przykład:

  1. jakie istotne ryzyka chce zarząd podejmować, a których nie chce podejmować ?
  2. czy firma jest w stanie jednoznacznie ocenić dojrzałość swojego zarządzania ryzykiem ? Czy ta ocena jest zbieżna na wszystkich poziomach zarządczych ?
  3. ile rocznie firma wydaje na zarządzanie ryzykiem ? Czy to kwota optymalna, czy też za dużo lub za mało ?
  4. jakie są wewnętrzne i zewnętrzne czynniki, determinujące wagę i relacje skłonności do podejmowania ryzyka przez firmę i jej skłonności do kontrolowania ryzyka ?
  5. czy firma ma pełną świadomość swojej interakcji z różnymi ryzykami ?
  6. czy firma jest gotowa radzić sobie z wewnętrznymi napięciami i tarciami, jakie będzie wywoływać przestrzeganie wyznaczonego apetytu (tolerancji) na ryzyko ?