Niedawno redakcja nowego czasopisma Strategie przesłała do sekretariatu Polrisk propozycję przeprowadzenia wywiadu z wybranymi członkami Stowarzyszenia a wraz z nim kilka pytań z prośbą o proste, krótkie odpowiedzi. Jako, że w tym okresie dość intensywnie podróżowałem do moich Szanownych Klientów, zaniedbałem sprawę wywiadu i nie zdążyłem udzielić odpowiedzi na łamach Strategii. Nic straconego, można to nadrobić w potężnym medium jakim jest World Wide Web.
Jak to zwykle bywa z redaktorami początkujących czasopism, chcą wiedzieć wszystko i szybko a nie zawsze jest to możliwe – przesłane pytania wymagałyby wielogodzinnej dyskusji. Ale wybrałem te ciekawsze, które myślę że zasługują na rozwinięcie.
- Zarządzanie ryzykiem a polska ułańska fantazja: Polacy uważani są za naród, który nad chłodne kalkulacje ryzyka przedkłada ułańską fantazję, szaleńcze zrywy (powstania, etc) i nierzadko brak refleksji nad konsekwencjami poczynań/snucia alternatywnych scenariuszy rozwoju wydarzeń (a po nas choćby potop).
Fantazja – ułańska czy też fantazja księgowego – nie ma tutaj nic do rzeczy, gdyż każdy system zarządzania ryzykiem powinien być osadzony w kontekście danej firmy, a bardzo ważną część tego kontekstu stanowi tzw apetyt firmy na ryzyko, wyznaczany generalnie przez zarząd. Jeśli zarząd ma ułańską fantazję i wie jak tę fantazje chce wykorzystać w swojej grze rynkowej, przekłada się to na odpowiedni stopień „niewrażliwości” miar ryzyka i narzędzi zarządzania nim w tej firmie.
- Czy w takich okolicznościach łatwo przekonywać właścicieli firm, że CRO* jest im absolutnie niezbędny ? Jakich argumentów użyłby Pan w rozmowie z firmą, której właściciel/szef mówi, że nie potrzebuje takiego stanowiska, bo przecież ryzyko jest immanentną cechą biznesu, bez ryzyka nie ma zysku? Słowem, dlaczego RM jest tak ważny ?
Mam już za sobą wiele rozmów z członkami zarządów wielu firm rozważających wdrożenie u siebie zarządzanie ryzykiem korporacyjnym i miałem możliwość obserwować różne scenariusze, mniej czy bardziej szczęśliwe, jak ERM (Enterprise Risk Management) się rozpoczyna w wielu firmach. Bogatszy tymi doświadczeniami dzisiaj nie przekonywałbym do ERM żadnego zarządu czy właściciela, gdyż musi on zdobyć takie przekonanie sam, w swoim rytmie i czasie. Pomóc mu w tym mogą bardzo duże i bolesne porażki, silni klienci lub partnerzy biznesowi, regulatorzy bądź akcjonariusze. Dopiero zarządy “doświadczone” presją zewnętrzną są gotowe na wdrożenie zarządzania ryzykiem.
- O branży: kiedy w Polsce zaczęto poważnie myśleć o „okiełznaniu” biznesowego ryzyka? Kto był pionierem na tym polu? (wiadomo, że firmy zagraniczne, a jakie było kolejne ogniwo w tym łańcuszku krzewienia dobrych praktyk?) Jak wypadamy na tle świata?
Kiedy zaczynałem wprowadzać zarządzanie ryzykiem korporacyjnym w logistycznej grupie kapitałowej (kapitał holenderski, jednak zarząd i siedziba w Polsce) – był koniec roku 2003. Byłem wtedy na polskim rynku sam jak palec, mogę więc o sobie mówić że jestem pionierem ERM w Polsce. Moje pierwsze kontakty z zachodnią, dojrzałą szkołą zarządzania ryzykiem, uczestnictwo w pierwszych szkoleniach i konferencjach w Anglii – to był rok 2004. Od roku 2005 zaczynałem zauważać kolejne pojedyncze osoby w Polsce również nieśmiało oglądające się na zagadnienie ERM, wtedy też nastąpiły pierwsze nieformalne spotkania współtwórców dzisiejszego Polrisk, zresztą z udziałem członków zarządu FERMA. Polrisk założono w 2006 roku i można ten rok przyjąć jako początek sformalizowanego, zinstytucjonalizowanego nurtu zarządzania ryzykiem biznesowym w Polsce. Zdecydowane przyspieszenie polskich firm i „umasowienie” tej dyscypliny zarządczej w Polsce to ostatnie 2, może 3 lata. Dochodzę również do wniosku, że nasze rodzime – odpowiednio duże – firmy mają większe szanse samodzielnego stworzenia nowoczesnych systemów ERM niż ich konkurenci będący spółkami-córkami firm zagranicznych, gdyż tym ostatnim po prostu narzuca się rozwiązania spółek-matek, nie zawsze spełniające najnowsze osiągnięcia zarządzania ryzykiem.
- Które z obowiązujących praktyk/sposobów myślenia o RM z rynków na których podmioty mają świadomość wagi profesjonalnego RM przeniósłby Pan do Polski?
Dzisiaj zasadniczo można mówić o czterech a właściwie o dwóch dobrych praktykach:
- ISO 31000 z 2010 r – zdecydowanie najbardziej nowoczesne i uniwersalne dobre praktyki
- powyższe jest w dużej mierze są oparte na australijsko-nowozelandzkim AS/NZS 4360 z 2004 r, stąd australijczycy dobrowolnie odłożyli tę normę do szuflady i sugerują skorzystanie z ISO
- COSO ERM Framework – które wyrasta z potrzeb kontroli wewnętrznej (dlatego więcej tam mowy o procesach i kontroli niż o biznesowym podejściu do zarządzana ryzykiem); jest to dokument już wyraźnie przestarzały
- AIRMIC/IRM/ALARM Risk Management Standard, przyjęty również przez FERMA (Federacja Europejskich Stowarzyszeń Zarządzania Ryzykiem), dokument już bardzo niedoskonały, sam usunął się w cień.
Z tej czwórki głosuję zdecydowanie za ISO 31000.
- Jak dużo firm – zwłaszcza spoza świata finansów, gdzie ocena ryzyka jest niejako wpisana w core business – ma świadomość RM i umie profesjonalnie je „uprawiać”?
Po pierwsze, świat finansów nie potrafi uprawiać zarządzania ryzykiem a jedynie markuje, że to robi. Pokazał to dobitnie w 2008 roku dołując swoim nieudolnym postępowaniem z ryzykiem całą gospodarkę światową. Gdyby brać pod uwagę gospodarkę europejską, oraz Amerykę Północną a także Australię i Nową Zelandię – można mówić o ok 30-50% dużych firm (powyżej pół miliarda EUR obrotów), które są na rożnych etapach wdrażania lub funkcjonowania ERM. Rynek polski jest pod tym względem znacznie młodszy: z giełdowej top 50-ki myślę, że jest to około 10%, z giełdowej top 200-ki, około 5%. I to są moim zdaniem absolutne maxima.
- Jak wiele jest CRO*, odpowiedzialnych całościowo/na poziomie zarządu za wszystkie czynniki ryzyka?
Jeśli mowa o sektorach pozafinansowych, to niewielu, praktycznie wcale. ERM to nie jest zadanie, które wypełni „cały etat” członka zarządu. Używanie (czy w ogóle stworzenie) nazwy CRO to szkodliwy dla naszego środowiska zawodowego przerost formy nad treścią, wręcz bufonada.
- Jak ewoluuje rola CRO w organizacjach ?
Na podstawie dyskusji z innymi europejskimi menedżerami ryzyka – chociażby podczas ostatniego Forum FERMA oceniam, że funkcja czy tytuł CRO – przynajmniej na świecie – przestała już nas emocjonować i umarła zanim na dobre znalazła swoje miejsce i znaczenie. To pusta nazwa, gdyż w praktyce osoby na funkcji managera ryzyka (a właśnie o nich mowa) nie dochodzą do poziomu składu zarządu (C-Suit), chyba, ze członek zarządu przyjmuje na siebie dodatkową rolę risk managera (i wtedy mowa o CFO, CEO lub COO, który przy okazji jest Risk Officerem), ale to ma miejsce sporadycznie.
- Jaki profil zawodowy (wykształcenie, wiek, wcześniejsze doświadczenie zawodowe) ma przeciętny CRO w Polsce ?
W Polsce nazwy CRO dla tej funkcji używa się bodajże tylko w niektórych bankach, stąd to zawsze bankowcy, analitycy finansowi. Poza bankami używa się nazwy risk manager (menedżer ryzyka), i są to ludzie z korzeniami w ubezpieczeniach, audycie wewnętrznym lub po prostu wszechstronni kierownicy/dyrektorzy, bo takimi musza się stać risk managerowie.
- Jak wygląda późniejsza kariera CRO – do jakich pozycji to jest przepustka ?
Jeśli ktoś nie popełni tego błędu i nie stara zrobić z siebie mosiężnego posągu pod nazwą CRO, natomiast poprzestanie na tytule i roli managera ryzyka, to staje się:
- albo coraz bardziej kompetentnym administratorem bardzo ważnego wycinka biznesu, po czym wchłania obszary pokrewne – np ubezpieczenia, zarządzania procesami, zarządzanie kryzysowe itp, a z czasem staje się członkiem ważnych ciał doradczych – komitetu ds ryzyka, ds strategii;
- albo też przeskakuje na obszary pokrewne – audyt wewnętrzny, dział M&A w firmie, dział finansow;
- lub przeskakuje na tej samej funkcji do kolejnych firm – coraz większych, bardziej złożonych i jadących coraz bardziej „na ostrzu noża”.
- Na czym polega typowy dzień CRO ? Czemu poświęca najwięcej czasu ? Co sprawia największą przyjemność/co jest największą bolączką?
Jeśli mowa o risk managerach – to nie ma typowego dnia. Ten dzień jest zupełnie inny w ciągu pierwszego, drugiego, czwartego kwartału, zmienia się po roku i po dwóch latach od wdrożenia ERM. Nie ma rutyny, nie ma dwóch takich samych risk managerów, nie ma dwóch firm tak samo zarządzających ryzykiem.
- Proszę o potwierdzenie moich przypuszczeń – wydaje się, że bycie strażnikiem bezpieczeństwa firmy wymaga specjalnych cech (asertywność, odwaga w bronieniu własnych racji, umiejętność wpływania na innych i przekonywania do racji), ale także odpowiednio wysoko umieszczenia w firmowej – formalnej i nieformalnej – hierarchii, tak by ewentualny alarm podniesiony przez CRO spotkał się z należytym odzewem ?
Rzeczywiście, risk manager o słabej konstrukcji psychicznej jest risk managerem jednego sezonu, nawet nie jednego projektu wdrożeniowego. Musi być w stanie wyobrazić sobie cos na kształt swojej konfrontacji z CEO i nie przestraszyć się tej perspektywy. Niekoniecznie musi do niej dojść, jednak konfrontacje z managerami liniowymi, dyrektorami to pewnik, na który risk manager musi być gotowy. Jest kilka złotych reguł, które pomagają menedżerom ryzyka zdobyć autorytet i być cenioną osobą w firmie – ale to już temat na kolejny wpis.
Przy okazji – myślę, że CRO to na tyle ciekawe zagadnienie, że zasługuje na bardziej publiczne przedyskutowanie w większym gronie. Może Strategie zorganizowałyby taką dyskusję przy jednym stole korzystając z kwietniowej konferencji Polrisk – wtedy w jednym miejscu będą wszystkie “mądre głowy”. Podobne spotkania organizuje Strategic Risk (chodzi o tzw round table, czyli tematyczne spotkania ekspertów z danej dziedziny przy jednym stole, moderowane przez dziennikarza). W kilku uczestniczyłem – sprawdzają się doskonale.
* CRO – Chief Risk Officer, termin używany najczęściej w instytucjach finansowych, opisujący członka zarządu zajmującego się ekspozycją banku na ryzyko oraz funkcjami kontroli wewnętrznej, które to ryzyko miały kontrolować. W latach 2009-2010 próbowano – szczególnie w Stanach Zjednoczonych – ochrzcić tym mianem Risk Managerów spoza sektora finansowego, mając nadzieję na podniesienie w ten sposób ich statusu, jednak ostatecznie ta próba została bardzo sceptycznie przyjęta przez Risk Managerów na ostatnim Forum FERMA w Londynie. Na status trzeba sobie zapracować przydatnością w firmie, a nie “sztukować” go tytułem.
ryzyko jest piękne 