Dwóch znanych mi osobiścię dżentelmenów ze środowiska risk managementu popełniło ostatnio taką książkę, broszurę – „Zarządzanie ryzykiem w procesie zrównoważonego rozwoju biznesu„. 

                      

Osobiście uważam, że jeszcze u nas trochę za wcześnie i za biednie na „prawdziwe” CSR, ale skoro pokazał mi tę pozycje jeden z moich klientów – cóż, należy przeczytać. Tytuł, żeby to ująć delikatnie – nie wprost mówi o co chodzi, a nawet po lekturze tej broszury nie jestem przekonany czy szcześliwe jest zestawianie zarządzania ryzykiem i CSR jako coś tak bardzo nierozłącznego.

Nie będę tutaj oceniał części poświęconej CSR – może poza pojedynczymi refleksjami – lecz tą dotyczącą zarządzania ryzykiem. Ciekawa jest lista szans i zagrożeń związanych z podjęciem działań CSR. Ciekawa dlatego, że plasuje CSR w grupie tzw. „opportunity risks” – ryzyk (przedsięwzięć), jakie świadomie biznes podejmuje wierząc, że służą zbudowaniu wartości, zysków, wzrostu. Z ciekawszych ryzyk negatywnych (tj. „co by było, gdyby CSR poszło nie tak jak chcemy”) należy wymienić następujące:

• niska siła nabywcza konsumentów (interesuje nas niska cena a nie przyjazny społeczeństwu i środowisku sposób ich wytworzenia)
• wyższa niż przeciętna wrażliwość firmy praktykującej CSR na utratę reputacji (paradoks, prawda ?)
• zwiększone nakłady i niższy zwrot a także dłuższy czas wytworzenia i dystrybucji produktów powstających w otoczeniu CSR.

To bardzo ciężkie argumenty „przeciw”. Jednak duet Tomek i Sławek przeciwstawiają im co najmniej dwa twarde argumenty „za”:

• rząd RP (a raczej dedykowany zespół) przygotował rekomendacje dla spółek Skarbu Państwa zobowiązujące je do wprowadzenia zasad zarządzania „rozszerzonymi” ryzykami – właśnie z obszaru CSR i governance
• GPW od ponad dwóch lat prowadzi dla notowanych spółek „wskaźnik etyki biznesowej” (Respect Index).

I jedna polemiczna uwaga dotycząca grafiki na stronie 21, gdzie mowa o „pozornie rozbieżnych celach” właścicieli i zarządzających spółką oraz jej dostawców i podwykonawców. To przecież klasyka, model otoczenia konkurencyjnego Portera – od zawsze i na zawsze kupujący i sprzedający będą mieli rozbieżne cele i będą swoimi konkurentami, walcząc ze sobą ceną (o cenę). Świat gospodarczy się kręci, bo ciągle można „kupić taniej i sprzedać drożej”, jak skończy się model Portera, skończy się kapitalizm.

Za co mogę być wdzięczny Tomkowi i Sławkowi a o co mogę mieć do nich pretensję, jeśli chodzi o treści dotyczące zarządzania ryzykiem ?

Podstawową moim zdaniem wadą publikacji jest to, że na ograniczonej ilości stron próbuje bardzo ambitnie przedstawić bogactwo i różnorodność świata zarządzania ryzykiem i dość swobodnie żongluje zasadami i pomysłami z różnych „szkół zarządzania ryzykiem”. To wprowadza trochę poczucia chaosu, niewprawny czytelnik ma prawo się w nim zagubić. Zawiedziony jestem ponadto:

• dysproporcją uwagi poświęconej ustaleniu kryteriów hierarchizacji ryzyka (za mało !) i zasadom dekompozycji (kaskadowania) celów biznesowych organizacji (za dużo !)
• nieprecyzyjnym (nieprawdziwym) przedstawieniem zasad konstruowania diagramu Bow-Tie, na stronie 61; ta metoda nie pozwala na pokazanie w jednym diagramie pra-przyczyn i skutków następczych, a jedynie bezpośrednie przyczyny i bezpośrednie skutki tzw. „top event” (zdarzenia krytycznego); efekt rozbudowania łańcucha przyczynowo-skutkowego można jedynie osiągnąć łącząc diagramy ze sobą w ten sposób, że skutek jednego diagramu stanowi zagrożenie (przyczynę) dla kolejnego diagramu; wcześniej pisałem już o metodzie Bow-Tie

Przy okazji – ilustracja na stronie 27 pokazuje jak nie należy postępować z karabinkami – karabinków nie łączy się bezpośednio ze sobą (gdyż mogą powstać dźwignie – momenty obrotowe), lecz za pomocą taśmy. Ponadto wełniane rękawice przy pracy z taki sprzętem są diabelnie ryzykowne – mogą zostać przytrzaśnięte przez przesuwającą się linę. No, ale biorąc pod uwagę odległość Gdańska od Tatr, taki drobiazg można wybaczyć 🙂

Jestem wdzięczny za kilka bardzo ważnych praktycznych prawd, które zwykle są pokazywane jedynie sporadycznie, natomiast w omawianej publikacji zostały wyeksponowane w sposób należyty:

• „dobrą strategię można streścić w kilku zwięzłych zdaniach” (przypomina mi się ostatnio widziana strategia, wyrażona zestawem wskaźników mieszczącym się na siedmiu stronach !)
• zarządzanie ryzykiem potrzebuje prostego, zrozumiałego intuicyjnie słownictwa – potrzebują go kierownicy i pracownicy firmy
• nadmierne sformalizowanie procesu zarządzania ryzykiem znacząco ogranicza jego skuteczność, gdyż rodzi opór i brak zaangażowania managementu (najboleśniej widać to we wszystkich chybionych wdrożeniach ERM)
• szczególnie ważny jest zrozumiały i jednoznaczny opis ryzyka; autorzy zwracają uwagę na wymóg zrozumiałości definicji ryzyka dla decydentów (a najczęściej to nie te same osoby, które zdefiniowały, opisały i zmierzyły ryzyko)
• za rozszerzenie – od strony praktycznej – pojęcia apetytu na ryzyko, jakie pojawiło się w załączniku.

Miło mi było zaobserwować, że na stronie 49 autorzy posłużyli się elementami mojego wykładu przedstawionego na kursie Polrisk (cechy efektywnych systemów zarządzania ryzykiem), bazującymi na opisanym na tym blogu badaniu AIRMIC.

13.04.2012 – Sprostowanie: Sławek poinformował, że wraz z Tomkiem korzystali z materiałów oryginalnych tj. opracowania DNV w Anglii przygotowanego dla AIRMIC. Wyrazy uznania za dociekliwość i docieranie do źródeł.

Również, oglądając przykładowy rejestr ryzyka przedstawiony na stronie 68 miałem nieodparte wrażenie, że widziałem identyczny w jednej z polskich firm. Unikalną wręcz kolumną – biorąc pod uwagę to, co widzi się w książkach i poradnikach – w proponowanym rejestrze ryzyka jest „opis sposobu kalkulacji skutków”, który ma krytyczne znaczenie dla powodzenia dalszego monitorowania ryzyka i decydowania o nim.

Konkluzja – trochę wybuchowa mieszanka, trochę za mało obszerna jak na tak szeroki zakres zagadnień – ale kawał dobrej roboty. Gratuluję !

Wasz w ryzyku,

R

Nie tak dawno na tym blogu została poruszona kwestia płci w naszej grupie zawodowej, a już szykuje się dość mocno komentowany w prasie zagranicznej skandalik. Australijski magazyn risk managerów Risk Magazine uniżenie donosi, że wyniki ostatnich niemieckich badań dostarczają wniosków zaprzeczających poprzednim badaniom, jeśli chodzi o wpływ „zawartości” płci pięknej w zarządach firm na ich skłonność do podejmowania ryzyka i wyniki finansowe.

Raport wprost konkluduje, że kobiety w zarządach są mniej doświadczone, bardziej agresywne i bardziej skłonne do podejmowania ryzyka niż mężczyźni. Ponadto, zdaniem akademików i specjalistów z Bundesbank, mieszane składy zarządów wywołują wewnętrzne konflikty i tzw „power struggle” (walkę o władzę). Wnioski wysnuto na podstawie analizy zmienności wyników finansowych banków w ciągu 16 lat i ich skorelowania ze zmianami w składzie zarządów.

Wszystkich zorientowanych – szczególnie Australijczyków i Amerykanów, którzy mają własne badania – dziwią takie wyniki. Bowiem badania z tych dwóch odległych od Europy kontynentów bez najmniejszych wątpliwości wskazują na dobroczynny wpływ mieszanych składów zarządów na wyniki finansowe przedsiębiorstw. DCA (Diversity Council of Australia) porównuje wartości wskaźników finansowych dla dwóch skrajnych grup firm: tych, w których jest największy udział kobiet w zarządach i tych, gdzie ten udział jest najmniejszy. Zarządy zdominowane przez kobiety wypracowują lepsze wyniki: ROE (Return on Equity) o 53%, ROS (return on Sales) o 42% i ROI (Return on Investment o 66%.

Być może wyniki tłumaczy skład ekipy niemieckich badaczy: w pełni męski zespół.

Pierwszą trudnością, z jaką mają do czynienia firmy wdrażające ERM jest wstępna faza przygotowania kontekstu do zarządzania ryzykiem, wyznaczenie wynikającego z niego apetytu na ryzyko, kryteriów i miar ryzyka – czyli całego warsztatu analitycznego. 

Jednak przyglądając się kolejnym wdrożeniom ERM dokonywanym przez różne polskie firmy wspomagane przez tzw „doradców instytucjonalnych”, zarówno wdrożeniom chybionym jak i tym wolno, w bólach się przyjmującym, coraz bardziej utwierdzam się w przekonaniu, że brak właściwej kultury zarządzania ryzykiem lub niezdolność jej wytworzenia przez zarząd jest tym prawdziwym „show killer„.

O kulturzed zarządzania ryzykiem pisałem już prawie 3 lata temu ale zagadnienie nadal stanowi bardzo wysoko postawioną dla firm poprzeczkę.

Trochę nie wprost mówi o tym pani risk manager – Marie-Eve Albertelli z firmy Aeroports de Paris na łamach ostatniego wydania Strategic Risk. Marie-Eve zauważa, że risk management nie jest już dyscypliną administracyjno-techniczną a największym wyzwaniem risk managerów jest wytworzenie w firmach „kultury ryzyka”, sprzyjającej transparentnej wymianie wiedzy i know how w firmie. Jedynie to może doprowadzić firmę do stanu, w którym – skutecznie kontrolując poznane ryzyka – może podejmować kolejne wyzwania i szanse. Jej zdaniem kluczem do sukcesu jest komunikacja. Menedżerowie ryzyka nie powinni być już tylko inżynierami, administratorami ale doskonałymi liderami i moderatorami dialogu pomiędzy departamentami w przedsiębiorstwie. 

Zresztą to nie jest nic bardzo odkrywczego – stanowi jedynie potwierdzenie badań, o jakich pisałem kilka miesięcy temu. Zarządy firm poszukują nowej generacji proaktywnych menedżerów ryzyka: wizjonerów, doskonałych komunikatorów o wysokoch zdolnościach społecznych, skutecznych w przekonywaniu innych a niekoniecznie uwielbiających łamigłówki analityczne.

Wasz w ryzyku,

R

Natknąłem się na dokument pt: „The High Cost of ERM Herd Mentality” wyprodukowany przez kanadyjczytka, Tima J. Leech. Dokument stanowi frontalną krytykę niektórych, dotąd uznawanych za fundamentalne, zasad zarządzania ryzykiem korporacyjnym. Co gorsza, w wielu miejscach nie sposób nie zgodzić się z konkluzjami.

Tysiące przedsiębiorstw zaimplementowało lub zaczęło implementować różne formuły ERM, zwykle opierając się na którymś ze standardów promowanych przez silnie lobbujące organizacje; ASNZS 4360, ISO 31000, COSO 1992 i COSO 2004, the Combined Code, IRM/AIRMIC Standard. Regulatorzy w Europie i Ameryce Północnej przykręcają śrubę i żądają od publicznych firm wyczerpujących informacji jak zarządzają swoim ryzykiem. Liczba firm przyjmujących ERM będzie nadal wzrastać i to w postępie geometrycznym. 

Niestety, wiele z tych firm wykorzystuje nieoptymalne lub wręcz błędne, wadliwe podejście do zarządzania ryzykiem proponowane w wymienionych dokumentach. Większośc organizacji, które spowodowały wejście gospodarki w kryzys finansowy w roku 2008, poprawnie stosowało zalecenia COSO I co zostało pozytywnie zweryfikowane przez zewnętrznych audytorów. Dalsze stosowanie takich wybrakowanych systemów ramowych kontroli wewnętrznej i zarządzania ryzykiem, metod i technik promowanych w wymienionych wyżej standardach jest zdaniem Leech’a złą drogą. Autorzy bardzo krytycznie odnoszą sie do skuteczności COSO I (1992), którego głównym autorem był Coopers & Lybrand (poprzednik PWC) a także Sarbanes-Oxley Act (2002), i równie sceptycznie odnoszą się do jakości zaktualizowanej przez PWC w zeszłym roku wersji COSO 2012. Nie pozostawiają również suchej nitki na najnowszym ISO 31000.
Tim Leecz skrupulatnie wyłuskał zauważone błędy i nazwał je „Błędnymi zakrętami stadnej mentalności ERM” (“ERM HERD MENTALITY WRONG TURNS”). Jego zdaniem, ta mentalność była podstawową przyczyną kryzysu finansowego 2008.

• ISO 31000 sugeruje dokonywanie oceny pojedynczych ryzyk, lub nawet ich portfela na mapie ryzyka, jednak nie wymaga, aby dokonywać zagregowanego pomiaru wszystkich ryzyk oddziałujących na dany cel biznesowy, w efekcie ryzyka są rozpatrywane ze względu na ich wielkość bezwzględną a nie wielkość / wagę celu, jakiemu zagrażają. Muszę przyznać, że rzeczywiście w wielu firmach brakuje mi elementu agregowania ryzyk (o czym pisałem już prawie trzy lata temu temu, podkreślając wartość agregowania ryzyk „po celu biznesowym”).
• Zarówno COSO 1992 jak i zrewidowane COSO 2012 ustanawiają pięć elementów ramowego systemu kontroli (Control Environment, Risk Assessment, Control Activities, Information and Communication, & Monitoring Activities), ale wyłączają z nich ustalanie celów biznesowych, mimo, że później stwierdzają, że ich ustalenie jest warunkiem poprawnie funkcjonującej kontroli wewnętrznej. Osobiście nie widziałbym w tym zasadniczego problemu, tak długo jak cele biznesowe w ogóle zostaną sprecyzowane w procesie planowania biznesowego.
• Skupianie się większości metod, procesów i systemów ramowych ERM na ocenie wyizolowanych ryzyk a nie na ich kombinowanym wpływie na cele biznesowe, z uwzględnieniem wielkości tego celu i niepewności jego osiągnięcia. Konsekwencja tego jest widoczna w rejestrach ryzyka, którekładą nacisk na identyfikację, szacowanie i raportowanie Top 10 lub top 20 ryzyk. Natomiast w większości nie hierarhizują celów biznesowych pod kątem niepewności ich osiągnięcia i potencjalnego wpływu porażki na biznes. To samo dzieje się na mapach ryzyka („Heat Maps„) – widać na nich poszczególne, największe ryzyka ale nie widać które cele biznesowe są najbardziej zagrożone. 
• Ignorowanie „Czarnych Łabędzi” (”Black Swans”). Po kryzysie finansowym 2008 wzrosło zainteresowanie metodami oceny ryzyk w rogu „niskie prawdopodobieństwo / wielki skutek”. Tradycyjne systemy ratingowe i mapy ryzyka skupiające się na prawym górnym rogu pozostawiają Czarne Łabędzie na boku, wyłączając je z działań priorytetowych. Rzeczywiście, zwykle lewy górny róg jeśli nie mógł być ubezpieczony, był kandydatem do działań Business Continuity, które niestety wcale nie są w firmach priorytetem.
• Skupianie się na „kontrolach” (Controls). Duży odsetek szkół zarządzania ryzykiem skupia się na identyfikowaniu „kontroli” (środków kontroli) w relacji do określonych ryzyk zamiast identyfikować wszystkie sensowne formy i mechanizmy ograniczania ryzyka – jak np. transfer. Z zadowoleniem muszę zauważyć, że głoszona przeze mnie „szkoła” zdecydowanie wykracza poza wąski zakres środka kontroli w rozumieniu np COSO czy Turnbulla.

Spośród kilku wad i słabych miejsc istniejących systemów ERM w przedsiębiorstwach, autorzy podkreślają zbyt słabe zaangażowanie zarządów w codzienne praktykowanie i egzekwowanie zasad ERM, oraz nie zarządzanie ryzykiem nieskutecznego ERM, a szczególnie:

• sytuacjami, gdy środki ograniczania ryzyka nie działają
• kiedy zarząd nie ma sprecyzowanych oczekiwań, jakie korzyści ERM ma przynieść firmie
• gdy zarząd nie wie (nie mierzy) jakie w rzeczywistości spółka otrzymuje korzyści z funkcjonującego ERM w porównaniu do zamierzonych
• kiedy zarząd i dyrektorzy nie są chętni aby używać formalnych zasad i technik pomiaru ryzyka w wypadku ważnych, strategicznych projektów jak akwizycje lub inwestycje
• gdy zarządy nie chcą korzystać z ERM jako głównego elementu planowania strategicznego i budżetowania, bo nie wierzą w jego użyteczność.

Tim Leech pozostawia sugestie do przemyślenia dla trzech najbardziej wpływowych organizacji: ISO, COSO oraz IIA. Najbardziej interesujące dla mnie były zalecenia dokonania zmian w ISO 31000, które zapewnią, że:

• użytkownicy zrozumieją potrzebę jasnego zdefiniowania celów biznesowych podczas dokonywania oceny ryzyka, oraz utrzymania tej bezpośredniej relacji pomiędzy celami biznesowymi a oceną ryzyka
• koncentrację oceny ryzyka na zagregowanym wpływie grupy ryzyk na określone cele biznesowe – na ich wielkość i niepewność osiągnięcia; zarządy zamiast rejestrów ryzyka powinny otrzymać rejestry celów biznesowych pokazujące stopień niepewności ich osiągnięcia oraz skutki dla firmy
• częścią procesu przeglądu ryzyk (rezydualnych) i ich akceptowalności, powinna być ocena skonsolidowanego wpływu tych ryzyk na nieosiągnięcie celu biznesowego.

Dokument można załadować tutaj.

Wasz w ryzyku,

R

Ponad dwa lata temu umieściłem ogłoszenie o pracy dla risk managera informujące, jakie są oczekiwania w stosunku do kandydata. Oczywiście, to była tylko moja subiektywna opinia, pewne przypuszczenia jakim typem powinien być idealny risk manager, bo dotąd nikt tego naukowo nie zbadał. Kilka miesięcy temu pisalem o opublikowanym przez AIRMIC raporcie na temat ścieżki kariery risk managera na Wyspach Brytyjskich, z którego wypływał interesujący wniosek: ani przedsiębiorstwa szukające risk managerów ani firmy headhunterskie nie wiedzą jak się za to zabrać i kogo (z psychologicznego punktu widzenia) tak naprawde szukają. 

Nie po raz pierwszy anglosasi są pionierami nowych pomysłów – brytyjska firma Active Risk (kiedyś Strategic Thought) rozpoczęła kilka miesięcy temu badania które mają odpowiedzieć na pytania:

• jaki jest profil psychologiczny typowego risk managera ?
• czy ten profil się zmienia, albo czy powinien się zmieniać ?
• jak budować zespoły w departamentach risk managementu ?
• jak zarząd powinien podejść do rekrutacji kandydatów na to stanowisko ?

Managerowie ryzyka przyszli do naszej branży z wielu różnych dziedzin i specjalizacji, począwszy od ubezpieczeń, prawa i audytu poprzez zarządzanie procesami, produkcję i technlogię, na IT oraz finansach skończywszy. Nie wiemy, która ścieżka prowadząca do stanowiska risk managera jest najlepsza ani jaki profil psychologiczny jest najbardziej pożądany.

Specjaliści Active Risk wraz z psychologami przeprowadzili anonimowe, psychometryczne badanie ankietowe pośród kilkuset risk managerów z całego świata i niedawno opublikowali wyniki pierwszego etapu tego badania. Przy prezentacji wyników posłużyli się matrycą DISC, która pomaga wyrysować profil psychologiczny osoby rozciągnięty pomiędzy cechami: introwertyk – ekstrawertyk oraz proaktywny – reaktywny. 

Diagnoza ?

Okazuje się, że niezależnie od strefy geograficznej, 60% risk managerów to „tradycyjni” risk managerowie: Reaktywni Introwertycy. Eksperci z silnymi umiejętnościami i skłonnościami analitycznymi, posługujący się logiką i ostrożnością podczas radzenia sobie ze skomplikowanymi zagrożeniami, stawiający na precyzyjność i dokładność. Pytanie, czy dzisiejsze korporacje własnie takich risk managerów potrzebują ? 

Tutaj właśnie pies jest pogrzebany – zarządy oczekują od nich, że będą liderami zmiany w firmach – w kulturze zarządczej, w sposobie myślenia managementu, w stosunku do odpowiedzialności społecznej, w przewartościowaniu priorytetów, w stosunku do podejmowania ryzyka. Tworzy się pole dla pozostałych 40% – nowej generacji menedżerów ryzyka: Proaktywnych Ekstrawertyków (30%) i Introwertyków (10%). Ci pierwsi to „ewangeliści” nowych koncepcji, wizjonerzy, doskonali komunikatorzy o wysokoch zdolnościach społecznych, skuteczni w przekonywaniu innych i niekoniecznie uwielbiający łamigłówki analityczne. Ci drudzy to niezmordowane konie pociągowe dążące za wszelką cenę do celu, niekiedy chodzący na skróty, rozwiązujący problemy na szybko i „w locie” oraz łamiący reguły, jeśli cel tego wymaga. 

Zgadzam się z opinią Active Risk, że nadszedł czas nowej generacji menedżerów ryzyka, gdyż ona jest w stanie zmieniać przedsiębiorstwa. Tradycyjne umiejętności przypisywane risk managerom to już za mało, szczególnie, jeśli z pozycji specjalisty ślęczącego we własnym gabinecie mają przeskoczyć na pozycję lidera obecnego „wszędzie” i wskazującego zarządowi nowe rozwiązania i kierunki.

Raport z pierwszych wyników zawiera również konkluzje, że zespoły działów zarządzania ryzykiem powinny stawać się coraz bardziej różnorodne (przynajmniej w porównaniu z typowym działem księgowości, IT czy sprzedaży), aby właściwie odpowiadać na coraz mniej przewidywalne oczekiwania i różnorodne potrzeby biznesu w dziedzinie zarządzania ryzykiem. Okazuje się ponadto, że typowy risk manager jest poddany dużemu stresowi w pracy, co wydaje się być potwierdzeniem zwiększającej się koncentracji zarządów na zagadnieniach ryzyka. Jeśli zarządy nie chcą stracić wartościowych risk managerów na skutek ich przemęczenia, powinni zapewnić im silne, osobiste wsparcie i narzędzia informatyczne, które ich odciążą od rutynowych zadań.

Każdy risk manager może jeszcze wziąć udział w drugim etapie badania i uzyskać w sposób anonimowy swój własny, osobisty profil psychologiczny na matrycy DISC. Ja taki test przeszedłem – wynik był dla mnie w pewnym stopniu zaskoczeniem. Badanie dostępne na tej witrynie.

Niezwykle interesujące byłoby zderzenie wyników pogrupowanych na kraje (nacje) z badaniami prowadzonymi przez Geerta Hofstede m.in. na temat skłonności do podejmowania ryzyka. Podsunąłem pomysł badaczom z Active Risk – zobaczymy, czy go podchwycą …

Wasz w ryzyku,

R

Pół roku temu pisałem o równowadze sił pomiędzy zarządem i radą nadzorczą spółek. Zagadnienie jest jak najbardziej kluczowe, o czym przypomina mi obserwacja jednej z polskich spółek giełdowych, gdzie walka pomiędzy zarządem i radą nadzorczą o wpływy nad spółką trwa już od pewnego czasu (a zarządzanie ryzykiem zostało tam potraktowane jako ring) i zdecydowanie nie wychodzi to na dobre ani spółce ani zarządzaniu ryzykiem. W zasadzie nie kryję mojej zadeklarowanej sympatii do zarządów, jeśli chodzi o prawa do kontroli nad systemem zarządzania ryzykiem. Jednak ciągle spółki nie wykorzystują wszystkich dostępnych narzędzi i środków, żeby rzeczywiście umożliwić zarządom zarządzanie ryzykiem.

Jesienne wydanie Strategic Risk porusza kwestie pokrewną: jak rozwiązać komunikację z zarządem na temat risk managementu, aby zarząd był faktycznym, aktywnym uczestnikiem „zabawy w ryzyko”.

Seamus Gillen proponuje pięć zasad, jak zaangażować zarząd w ERM:

• używaj raportów (informacji) sformułowanych w sposób przyjazny dla zarządu (ja bym dodał: zawartość raportów powinna być możliwie najmniej objętościowa i dedykowana, tj. w 100% być odpowiedzią na potrzeby i oczekiwania zarządu)
• każdy duży projekt (nowy produkt, inwestycja, akwizycja) prezentowany zarządowi powinien obowiązkowo posiadać element analizy ryzyka, którego obecność w materiałach projektowych powinna być bezwarunkowym wymogiem
• uzyskaj (menedżerze ryzyka) bezpośredni dostęp do zarządu; funkcja managera ryzyka powinna mieć tę samą rangę co funkcja szefa audytu i kontroli wewnętrznej a zarząd powinien mieć bezpośredni dostęp do spraw dotyczących ryzyka
• upewnij się (menedżerze ryzyka), że zarząd ma pełne informacje na temat wszystkich ryzyk, nie dopuszczaj do powstania obszarów tabu, staraj się zbliżyć zarząd do zrozumienia problemów operacyjnych – przełamuj tzw „glass ceiling” (który jest tu rozumiany inaczej niż mainstreamowe pojęcie), to znaczy ujawniaj ryzyka jakie są generowane na poziomie zarządu i najwyższych menedżerów wykonawczych; pierwszym który to zrobił w sposób bardzo spektakularny (ostatecznie zarząd przegrał batalię), był Paul Moore
• zapewnij, że zarząd wie jak komitet ds ryzyka dochodzi do swoich konkluzji a nie tylko, że otrzymuje same konkluzje.

Praca z polskimi spółkami stopniowo doprowadza mnie do przekonania, że „małe” i średnie, stosunkowo niesklomplikowane spółki – a nie polskie giganty – mają większe szanse aby ich zarządy stały się aktywnymi graczami zarządzania ryzykiem. Mniej polityki, krótsze ścieżki raportowania, większa trwałość struktury zarządczej.

Wasz w ryzyku,

R

Perfekcyjne lądowanie awaryjne, perfekcyjna współpraca lotnictwa cywilnego i wojskowego, perfekcyjne przygotowanie służb naziemnych, perfekcyjna ewakuacja pasażerów. Brzmi jak „bułka z masłem”, zapominamy jednak o najważniejszym: kpt Wrona musiał sam podjąć ryzyko, również w imieniu ponad 200 osób znajdujących się na pokładzie „jego” samolotu.

Jako chyba jedyny piszę w tym kontekście nie o doskonałych procedurach wypracowanych przez Boeinga – lidera w zarządzaniu ryzykiem, nie o doskonałej organizacji i koordynacji, nie o ogromnym doświadczeniu pilota i jego dokonaniach szybowcowych, ale o tym, że musiał podjąć ryzyko i sam uporać się z konsekwencjami swojej decyzji.

Zrobiono wszystko, żeby nie doszło do tragedii: pilot przed lądowaniem pozbył się prawie całego paliwa, pas startowy pokryto pianą przeciwpożarową, załoga samolotu przygotowała pasażerów na awaryjne przyziemienie – ale nikt nigdy nie gwarantował, że nie dojdzie do pęknięcia konstrukcji kadłuba lub – co bardziej prawdopodobne – do pożaru.

Pilot musiał wykonać lądowanie eksperymentalne, którego nigdy nie testował ani się nie uczył – musiał działać w warunkach bardzo dużej niepewności. Kąt natarcia samolotu podczas podchodzenia do lądowania musiał być inny niż w wypadku lądowania z podwoziem, a więc jego zachowanie również było inne. W momencie przyziemienia i kontaktu z płytą lotniska, pilot stracił większość kontroli nad kierunkiem ślizgu samolotu i jego kątem w stosunku do osi pasa – pionowy statecznik ogonowy w żadnym razie nie mógł zastąpić skrętnych kół czy ciągu silników. Musiał więc na sekundę przed opuszczeniem ogona na płytę lotniska ustawić samolot idealnie w osi lotniska – nieprzewidywalny podmuch wiatru mógł to zniweczyć. Podczas lądowania w ślizgu, kabina pilotów jest znacznie niżej niż podczas normalego lądowania – pole widzenia a tym samym ilość informacji docierającej do pilota są bardzo ograniczone.
Jednak pilot z całą świadomością niepewności, zagrożeń i możliwych konsekwencji podjął ryzyko, w imieniu swoim i pasażerów.

Piszę o tym dlatego, że obserwuję, jak zarządy dużych firm próbują niekiedy traktować całą „machinę” zarządzania ryzykiem jako wymówkę, aby nie podejmować ryzyka i trudnych decyzji. Długaśne i „wodolejne” polityki zarządzania ryzykiem, procedury uzbrojone w narzędzia, sprawozdania i ścieżki raportowania. Wskaźniki KPI, KRI, KCI, stały monitoring, działania kontrolne, audytowanie. Komitety, debaty. Wszystko, żeby mieć się czym zasłonić, usprawiedliwić i nie podejmować ryzyka.

Wróćmy do korzeni – zarządzanie ryzykiem jest sztuką podejmowania ryzyka. Ma uwolnić potencjał rynkowy firmy, jej „wojowniczość”, a nie ją skrępować. Panowie prezesi – uczcie się sztuki podejmowania ryzyka od Kapitana Wrony.

Mnie dzisiaj ktoś nauczył, jak je podejmować w życiu prywatnym
Wasz w ryzyku,

R

(07.11.2011)

Zdjęcie brzucha Boeinga po lądowaniu:

I dla porównania, zdjęcia samolotu B1 po podobnym lądowaniu – w wyraźnie gorszym stanie:

 

Już przywykłem, że do tej pory nie było w Polsce nawet dostatecznie przyzwoitych książek nt zarządzania ryzykiem gospodarczym – było sporo merytorycznie bardzo dobrych książek poświęconych ryzykom w organizacjach finansowych lub kilka beznadziejnych merytorycznie książek nt zarządzania ryzykiem w przemyśle czy gospodarce w ogóle, albo kilka nadużyć nie poświęconych ERM, mimo iż „zarządzanie ryzykiem” pojawiało się w ich tytule. Toteż zawsze, gdy aspirujący na risk managera kierownik pytał mnie o literaturę, odsyłałem go do literatury angielskojęzycznej odradzając serdecznie marnowanie czasu na wypociny polskich pseudospecjalistów i spekulujących naukowców.

Czy po przeczytaniu „Zarządzania zintegrowanym ryzykiem przedsiębiorstwa w Polsce” pod redakcją Stanisława Kasiewicza to się zmieni ? Ano zobaczmy …

Ogólnie rzecz biorąc pozycja jest wartościowa – chociażby dlatego, że powołuje się na wiele polskich źródeł i opracowań naukowych z ostatnich 10 lat, do których dotąd sam nie potrafiłem dotrzeć – autorzy zawstydzili mnie swoją ich znajomością. Niestety widać, że książka nie jest spójnym monolitem, który wyszedł spod jednego pióra lecz składanką kilku zagadnień spisanych przez kilku autorów. Stanowi jakby zlepek kilku wykonanych wcześniej badań i opracowań autorów. Nie wychodzi to książce na dobre – każdy rozdział od nowa zaczyna się swoim wstępem, powtarzającym po raz kolejny myśli poprzednich autorów.

Jak poszczególne rozdziały widzę okiem risk managera ?

• Rola informacji w ZR
  (Krzysztof Markowski)
  Mimo, iż potencjalnie mógłby to być bardzo wartościowy rozdział, szansa została zmarnowana – opisywanie, jak banki wykorzystują informacje o kontrahentach, aby zarządzać ryzykiem kredytowym jest mało użyteczna dla przedsiębiorstw, gdyż dotyczy niezwykle wąskiego spektrum ryzyk i informacji na temat ryzyk, jakie krążą zwykle w firmie.
   
• Zmienność, złożoność, niepewność i ryzyko (…)
  (Marcin Wojtysiak-Kotlarski)
  Bardzo sensowny i przydatny rozdział jako wprowadzenie w zarządzanie ryzykiem biznesowym. Jego część dotyczy jednak typologii ryzyka i tak jak we wszystkich poprzednich – znanych mi – próbach dotyczących typologii ryzyka, autor nie zdołał wprowadzić porządku ani wnieść nic nowego.
   
• Analiza upadłości przedsiębiorstw a jakość ZR
  (Zofia Fengler)
  Problem upadłości nie wnosi nic szczególnego do naszej wiedzy na temat ZR, rozdział zbyt długi jak na książkę a wybranej tematyce.
   
• Charakterystyka kluczowych koncepcji ZR w przedsiębiorstwie
  (Urszula Malinowska)
  Zaczyna się robić naprawdę interesująco. Jestem skłonny przyjąć za Panią Malinowską termin „sterowanie ryzykiem” jako opisujący etap następujący po analizie ryzyka. Z drugiej strony autorka nie ustrzegła się błędów – np cytując proponowany przez Bizon-Górecką opis roli CRO, lub opisując kolejność poszczególnych działań w procesie ZR i ich stopień trudności. To drugie wygląda bardziej na rozważania teoretyka niż doświadczenia praktyka.
   
• Standardy ZR w przedsiębiorstwie
  (Waldemar Rogowski, Jolanta Turek)
  Rozdział uwypukla ważne relacje pomiędzy ERM a VBM (Value Based Management) oraz EVA (Economic Value Added). O tym drugim wpominałem na blogu w kontekście definiowania apetytu na ryzyko na poziomie strategicznym. Niestety, autorzy trochę zapętlili się przedstawiając rolę risk managera / CRO – jest to obszar ryzykowny i wciąż niejasny. Pojawiają się również nieścisłości w opisach przytaczanych standardów (przykładowo, nie ma „standardu FERMA” – jest za to standard stworzony przez brytyjską trójcę AIRMIC/IRM/ALARM). Przydatne jest porównanie trzech standardów (choć w całości zapożyczone z AIRMIC) – podobne do tego, jakie udostępniam na swojej witrynie.
   
• Ewolucja koncepcji ERM
  (Robert Sasin)
  Niestety, poplątanie z pomieszaniem i błędy merytoryczne: BCM to nie koncepcja zarządzania ryzykiem, a wynik, podzbiór i rozwinięcie ERM. MoR to brytyjski synonim ERM, a nie inna koncepcja zarządzania ryzykiem. BCP i BIA to części składowe BCM a nie odrębne od nich koncepcje, natomiast SixSigma i Kaizen to już kompletny „odjazd” od zarządzania ryzykiem … Wiekszość risk managerów nie zgodzi się z dość „odważną” tezą autora, że Komitet Audytu przy Radzie Nadzorczej jest odpowiedzialny za zarządzanie ryzykiem. Autor posługuje się terminem „ryzyko operacyjne”, które jako typowe dla instytucji finansowych zarządzających tylko (głównie) ryzykiem finansowym, nie ma prawa bytu w dojrzałej terminologii ERM w przedsiębiorstwach przemysłowych. Już trzy lata temu skrytykowałem ten termin. 
   
• Pomiar ryzyka
  (Ewa Lorek)
  Tytuł prosty i minimalistyczny, lecz kryje w sobie zagadnienie – morze, niemalże graala risk managerów. Potencjalny czytelnik będzie z tym rozdziałem wiązał ogromne nadzieje, bo mało jest wiarygodnych i sprawdzonych metod pomiaru ryzyk niefinansowych, z jakimi głównie mają do czynienia przedsiębiorstwa. Niestety, autorka zaczyna od gafy – pomylenia kategorii „skutek” i „ryzyko”. Proponowane przeniesienie metodologii BSC (Balanced Scorecard) na grunt ZR jest interesujące i myślę, że może mieć perspektywę rozwojową. Jednak bez dopracowania szczegółów może być wykorzystana do jedynie powierzchownej oceny ryzyk w firmie. Natomiast wymieniona metoda VAR jest mało przydatna do pomiaru (przeważających w firmach) ryzyk niefinansowych, a finansisci stracili do niej zaufanie po kryzysie finansowym 2008-2009. Reasumując – rozdział nie spełnił moich nadziei, brak w nim konkretnych – a szczególnie nowych – metod. 
   
• Rola IT w zarządzaniu zintegrowanym ryzykiem
  (Daniel Sosiński)
  Z przyjemnością czytałem sugestie, żeby zaczynać skromnie od Excela, zanim podejmie się decyzję o wdrożeniu jakiegoś „kombajna” informatycznego. Również niezwykle celne spostrzeżenie, że rózne oprogramowanie będzie służyć ZR na poziomie strategicznym lub operacyjnym. To co tutaj rozczarowuje, to posługiwanie się przykładami oprogramowania dla organizacji zasadniczo finansowych i inwestycyjnych, nie dla przemysłu – tablica 8.3 na stronie 145. Ponadto, ceny podawane przy oprogramowaniu niektórych dostawców dostępnym w Polsce są nieprawdziwe, gdyż górny pułap został mocno zaniżony. Przykładowo ceny oprogramowania SAP lub SAS wspierającego zarządzanie ryzykiem dla 50ciu licencji w rzeczywistości zawierają się w zakresie odpowiednio od 2 mln PLN do 4 mln PLN. Podrozdział „Praktyczne zasady wdrażania systemu ZR …” jest chyba najbardziej wartościowym fragmentem całego rozdziału – dotyczy aktualnych i praktycznych problemów każdego przedsiębiorstwa.
   
• Ocena stanu ZR w polskich firmach (…)
  (Stanisław Kasiewicz)
  Rozdział jest stosunkowo ryzykownym przedsięwzięciem, bo zestawia ze sobą badania różnych firm, wykonywane w różnych celach przez różne instytucje w latach 2005 – 2009, a więc w czasie kiedy oblicze i dojrzałość polskiego ERM zmieniało się z miesiąca na miesiąc. Mimo porównywania śliwek z gruszkami, autorowi udało się wysnuć istotny wniosek: dysonans pomiędzy aspiracjami zarządzających i konkurencyjnością polskich firm a stanem i jakością zarządzania ryzykiem.
   
• Jakość ZR w przedsiębiorstwach działających w Polsce
  (Zbigniew Krysiak)
  Wydawałoby się, że to kontynuacja poprzedniego rozdziału, jednak tytuł jest mylący i właściwie niezgodny z treścią rozdziału, w której autor przekonuje, że ERM sprowadza się do kapitału ekonomicznego. Nie zgadzam się z tezą, że wielkość kapitału ekonomicznego jest parametrem wyznaczającym poziom całkowitego ryzyka firmy – moim zdaniem wyznacza on jedynie bezwzględną zdolność firmy do retencji (samofinansowania) ryzyka. Filozofia odpowiadania na ryzyko zwiększaniem kapitału ekonomicznego – swoisty wyścig zbrojeń – jest siermiężna, nie opiera się na elastyczności i „inteligentnym” zarządzaniu ryzykiem. Tylko zawodnik sumo może sobie pozwolić na hodowanie sadła, które uchroni go przed uderzeniem – dżudoka musi rozwijać zwinność i zrywność, a karateka szybkość i celność uderzenia.
   
• ZR w czasie kryzysu finansowego (…)
  (Lech Kurkliński)
  Właściwie to rozdział ciekawostka, bardziej przydatny dla zarządów i rad nadzorczych niż risk managerów, chociaż może stanowić logiczne zamknięcie rozdziału Marcina Wojtysiaka-Kotlarskiegfo „Zmienność, złożoność, niepewność i ryzyko (…)”.

Mimo, iż to bardziej pozycja refleksyjna niż edukacyjna czy „narzędziowa” – gdyż nie da się na jej podstawie wdrożyć ERM w firmie – bez wątpienia dotyczy korporacyjnego zarządzania ryzykiem i ma swoją wartość. Z drugiej strony, sporo jej jeszcze brakuje do literatury angielskojęzycznej, której autorami są praktycy – menedżerowie ryzyka kuci na cztery nogi. Miło było zaobserwować, że autorzy wielokrotnie korzystali z moich własnych opracowań lub z pierwszorzędnych materiałów obcych, na jakie pomogłem im natrafić, wskazując je na swoim blogu lub na witrynie.

Rekomendacja: kupuj, lecz nie spodziewaj się szybkiego wzrostu akcji …

Wasz w ryzyku,

R.

Podczas powstawania i dyskutowania ISO 31000 toczyła się ostra dyskusja, czy standard powinien wogóle powstać i czy nie przyniesie więcej złego niż dobrego. To zło, jakiego obawiało się w dużej mierze środowisko europejskie reprezentowane przez FERMA, miało polegać na zaszufladkowaniu ERM jako jednej z kolejnych mód, obowiązków regulacyjnych i mogło prowadzić do wręcz wrogiego podejścia firm do zarządzania ryzykiem. ERM mogło zostać potraktowane jako nieuprawniona próba wtargnięcia regulatorów w sfery życia gospodarczego, które powinny rządzić się wyłącznie zasadami wolnego rynku, gdzie firmy mają prawo według własnego uznania podejmować ryzyko, ponosić straty i bankrutować.

Wiosną tego roku w Brukseli opublikowano tzw. GREEN PAPER pt „The EU corporate governance framework„. Nieadwno zakończyła się publiczna debata – w której uczestniczyła również FERMA – nad pytaniami tam postawionymi. Znamienne jest pytanie nr 2: czy europejskie firmy nie notowane na żadnej giełdzie powinny również być regulacyjnie zmuszone do spełniania dobrych praktyk corporate governance, w tym zarządzania ryzykiem.

Dalej uściślając pięć podstawowych obszarów corporate governance, w punkcie 1.5 dokument odnosi się do zarządzania ryzykiem. Autorzy dokumentu zwracają tam uwagę na ryzyka publiczne (społeczne): ryzyka oddziałujące na zmiany klimatu i na środowisko, na zdrowie i życie ludzkie, a także na firmy będące operatorami krytycznej infrastruktury, której zniszczenie miałoby konsekwencje transgraniczne. Większość wymienionych tu aspektów ryzyka jest uregulowana w szczegółowych przepisach, jednak te różnią się między krajami oraz nie zobowiązują firm w sposób dostateczny do transparentnego publikowania informacji, co tak realnie firmy robią aby uchronić nie tylko siebie ale i społeczeństwo przed ryzykami publicznymi.

Wystarczy tylko przytoczyć dwa przypadki aby zrozumieć sens i imnplikacje pojęcia „ryzyko publiczne”. W opisywanym wcześniej przypadku Thyssen Krupp to nie zarząd, lecz ostatecznie sąd wyznaczył apetyt firmy na ryzyko – bo chodziło o ryzyko publiczne. O drugim przypadku nie pisałem na blogu, lecz jest powszechnie znany – chodzi o wyciek miliona metrów sześciennych „czerwonego szlamu” ze zbiornika zakładu aluminiowego w Ajka na Węgrzech (szlam zalał okoliczne miasteczko i kilka wsi, uśmiercił ok 10 osób i poranił ponad 120, zniszczył rzekę Marcal oraz dotarł do Dunaju).

Nie zmieniając swojego poglądu, iż zarządzanie ryzykiem powinno być elementem dobrowolnie budowanej przez firmy przewagi konkurencyjnej a nie wymogiem regulacyjnym uważam, że pewne przedsiębiorstwa sprawujące pieczę nad dużymi zagrożeniami publicznymi powinny być zmuszone do efektywnego zarządzania ryzykiem i informowania społeczeństwa (za pośrednictwem regulatorów) jaki mają realny stopień kontroli nad kluczowymi ryzykami publicznymi.

I tutaj nasuwają mi się dość pesymistyczne refleksje – spośród naszych największych firm chemicznych tylko jedna zaczyna się realnie przymierzać do zarządzania ryzykiem. Pozostałe – prawdopodobnie ze względu na bardzo intensywne ruchy typu M&A – odsuwają to zgadnienie na później. Jeszcze inne ograniczają swoje „zarządzanie ryzykiem” do zagadnień czysto finansowych lub wręcz nie rozpoznają pojęcia ERM wogóle. Polskie firmy paliwowe już dawno zaczęły wdrażać ERM, firmy z rynku energetycznego i telekomy swoją przygodę ze zintegrowanym zarządzaniem ryzykiem rozpoczęły jeszcze parę lat temu, w zeszłym roku swój skok na głęboką wodę risk managementu wykonały polskie kopalnie. Chemia ciągle śpi – mimo, że powinna być w czołówce, w końcu nikt nie zyczy sobie powtórek z Bophalu. Myślę, że dla tych i podobnych firm wspomniany Green Paper oznacza czas pobudki – zdecydowanie lepiej i taniej jest wprowadzać zarządzanie ryzykiem spokojnie i po swojemu, niż pod przymusem i w pośpiechu.

04.08.2011

O wilku mowa – właśnie FERMA opublikowała swój komentarz do Green Paper: 

Taką oto fraszką można by dokonać porównania sposobów zarządzania ryzykiem jakie przyjęły dwa giganty z Wielkiej Brytanii: Tesco i Royal Bank of Scotland, a także efektów funkcjonowania obu modeli zarządzania ryzykiem.

Niedawno Chartered Institute of Management Accountants wspólnie z – a jakżeby inaczej, AIRMIC – dokonał przeglądu praktyk zarządzania ryzykiem „od kuchni”, na kilku dobrowolnych królikach doświadczalnych. Dwa chyba najbardziej u nas znane to Tesco i RBS. Raport daje po części odpowiedź na pytanie, jakie końcowe efekty kulinarne daje określony przepis na zarządzanie ryzykiem.

Okazuje się, że najsmaczniejsze potrawy otrzymuje się, kiedy:

• zarządzanie ryzykiem jest w sposób bezpośredni połączony z wydajnością operacyjną (operational performance)
• management rozumie i akceptuje zasadę, że częścią „good performance” jest „good risk management”
• biurokratyczne procesy i systemy mog podminować jakość zarządzania ryzykiem.

Na potrzeby badania, eksperci stworzyli swoją własną definicję zarządzania ryzykiem: „proces rozumienia i kierowania ryzykami, na jakie przedsiębiorstwo jest w sposób nieuchronny wyeksponowane, w dążeniu do osiągnięciu swoich celów biznesowych” (the process of understanding and managing the risks that the entity is inevitably subject to in attempting to achieve its corporate objectives). Definicja podkreśla, że ryzyk nie powinno się „usuwać”, lecz zrozumieć i „osiodłać” aby osiągnąć lepsze długofalowe wyniki.

Z jakich przepisów na ERM skorzystały obie badane firmy i jakie potrawy otrzymali ?

Royal Bank of Scotland:

Banki mają do dyspozycji mnóstwo regulacji: Bazylea II, Sarbanes Oxley, the Combined Code/Turnbull a także dość rozległe działy zarządzania ryzykiem. Mimo tego w czasie kryzysu sektora finansowego (pod)upadły – w tym RBS. Dlaczego tak się stało ? Kluczowe funkcje ryzyka (Komitety ds Ryzyka) są ulokowane poniżej managementu wykonawczego i nie mają na niego wpływu. Agresywna kultura „sprzedażowa” powoduje, że executivi są głusi na wołania risk managerów (patrz case Paula Moore i HBOS). Ryzyka są rozpatrywane w silosach – co oznacza brak szansy na wychwycenie momentu i zareagowanie, kiedy zaczynają się one  agregować i działać łącznie. Zbytnie hołdowanie matematyce i miarom ilościowym ryzyka, z jednoczesnym operowaniem mega skomplikowanymi instrumentami i ich  pochodnymi a także modelami.

Od kuchni:

• regulacje zewnętrzne zachęcają do tzw „box-ticking”
• zbiurokratyzowana kontrola wewnętrzna prowadzi do fałszywego poczucia bezpieczeństwa
• modelowanie ryzyk finansowych mimo że wgląda atrakcyjnie, nie obędzie się bez osądu i decyzji człowieka
• w tak skomplikowanymn środowisku biznesowym, prawdziwym zagrożeniem sa ryzyka zagregowane
• efektywne oddziaływanie funkcji zarządzania ryzykiem na biznes jest ograniczone, jeśli funkcja ta jest ulokowana poniżej zarządu w hierarchii corporate governance.

Tesco:

Kultura firmy powoduje, że zarządzanie ryzykiem jest traktowane jako część usług świadczonych klientom, część precyzyjnie zdefiniowanych celów biznesowych a nie jest systemem kontroli wewnętrznej. Mimo, że Tesco to prawie pół miliona pracowników, funkcjonuje tylko pięć poziomów kierowniczych a tym samym odpowiedzialność za ryzyka jest przydzielana w sposób klarowny. Zadania związane z ograniczaniem ryzyka są szybko kaskadowane w dół, do osób będących najbliżej ryzyka (najniżej w hierarchii kierownictwa). Biurokracja ograniczona do minimum.

Od kuchni:

• jako podkład bazowy zastosowano prostą wersję Balanced Scorecard i wskaźników KPI: pracownicy rozumieją, za co są rozliczani i czy są wydajni
• risk management jest częścią codziennych obowiązków i operacji (chociaż nie jest nazywany takim terminem)
• zarząd określa apetyt na ryzyko
• konkretne ryzyka są zarządzane przez konkretnych managerów.

Badanie kolegów z Wielkiej Brytanii jedynie utwierdzają mnie w przekonaniu, że skończył się czas arcyskomplikowanych supersystemów zintegrowanego zarządzania ryzykami korporacyjnymi, a zaczyna się czas „wysmukłego zarządzanie ryzykiem” – proste jest piękne, sprawne i szybkie.