Zgodnie z zapowiedzią, listopad zaczynam od recenzji bardzo obiecującego tytułu: „Enterprise Risk Management” autorstwa Johna Frasera i Betty Simkins. Do książki podchodziłem z dużym zaciekawieniem, gdyż Panią Simkins mamy gościć na dniu warsztatowym towarzyszącym konferencji Polrisk (choć szkoda, że nie na samej konferencji), już za parę tygodni.
Nie przeczytałem całej pozycji „od dechy do dechy” – to ponad 500 stron tekstu, gdzie tematyka części rozdziałów nakłada się na siebie – bywa tak zwykle, kiedy każdy rozdział stanowi zamkniętą część przedstawianą przez innego autora. Zacznę od tego co mnie rozczarowało, potem już będa same pozytywy: otóż nazwisko Betty Simkins odpowiada za najmniej interesujące rozdziały: wstęp, badania pt „Co czytają risk managerowie”, badania akademickie dot ERM oraz moderowanie panelu dyskusyjnego nt praktyki ERM. Niezaprzeczalną jednak zasługą obu autorów-redaktorów jest to, że potrafili dotrzeć do praktyków zarządzania ryzykiem.
Szczególnie zainteresowały mnie poniższe rozdziały i podzielę się swoimi refleksjami na ich temat:
- Identifying and Communicating Key Risk Indicators
- How to Create and Use Corporate Risk Tolerance
- How to Prepare a Risk Profile
- How to Allocate Resources Based on Risk
- Quantitative Risk Assessment in ERM
- Operational Risk Management
- Enterprise Risk Management: Lessons from the Field
Każdy rozdział to inne nazwisko, dlatego każdy z nich wywołuje inny odbiór, emocje i refleksje.
Identifying and Communicating Key Risk Indicators
Susan Hwang, Deloitte
Nie doznałem objawienia typu „teraz wiem jak wyznaczać KRI” bo takiej informacji / instrukcji tam nie ma. Jednak jest kilka ciekawych spostrzeżeń, które mają sens. Autorka widzi jako jedną logiczną strukturę takie obszary jak cele strategiczne, performance, ryzyko i jego przyczyny, skutki ryzyka i ich oddziaływanie na performance – a to wszystko połączone za pomocą współpracujących ze sobą wskaźników KPI (Key Performance Indicators) oraz KRI. Susan zauważa, że zwykle KPI są modelowane podczas budowania strategii, a KRI – w oderwaniu od nich – podczas budowania systemu ERM, co jest jej zdaniem błędem, gdyż powinien to być proces powiązany i równoległy. Okazuje się, że zaprojektowanie KRI musi zostać poprzedzoną głęboką analizą czynników determinujących ryzyko (risk drivers), która – niezależnie od zaprojektowania KRI – stanowi metodę walidacji przyjętej strategii i celów. Kształtując KRI powinno się jednocześnie przyjąć jego wartości krytyczne odpowiadające tolerancji (apetytowi) na określone ryzyko a także tzw „escalation values” – czyli wartości KRI, przy której „kierownik” stwierdza, że nie panuje nad sytuacją i musi o niej powiadomić przełożonego – dyrektora.
Kompletnie nie zgadzam sie z tezą stawianą przez Suzan, że można za pomocą KRI identyfikować ryzyko. Logicznie rzecz biorąc, najpierw należy wiedzieć o ryzyku, potem poznać mechanizmy jaki nim rządzą, a na końcu zaprojektować KRI odzwierciedlające te mechanizmy. Z kolei KRI zaprojektowane żeby informować np. o ryzykach pogodowych nie powiedzą nam nic o nadchodzących ryzykach politycznych czy walutowych …
Ważny test, czy zaprojektowane KRI są czegoś warte to odpowiedź na pytanie: jakie decyzje musi podejmować zarząd i inni użytkownicy systemu ERM w firmie ? Czy nasze KRI pomogą im w podjęciu decyzji ? Nie wszystkie KRI są równie mocno skorelowane z mierzonym ryzykiem, dlatego należy im przypisać wagi i rozróżniać pomiędzy bardziej i mniej „wiernymi” KRI. Raporty nie powinny zwierać wszystkich KRI i ich wartości, a jedynie te, które odchylają się od oczekiwań (są niepokojące – za duże albo za małe), w innym razie raporty stają się nieczytelne jak pulpity sterownicze Boeinga.
Bardzo apetyczny rozdział Susan kończy jednym rozczarowującym poddytułem, w którym stwierdza, że KRI w zasadzie dają się wykorzystać w dużych instytucjach finansowych, szczególnie tych, które muszą spełnić regulacyjne wymagania kapitałowe (Bazylea II czyli banki a później, być może, Solvency II czyli towarzystwa ubezpieczeniowe).
How to Create and Use Corporate Risk Tolerance
Ken Mylrea, Canada Deposit Insurance
Joshua Lattimore, Canada Deposit Insurance
Właściwie to nie jest gotowy przepis na zdefiniowanie, wyliczenie tolerancji na ryzyko a jedynie przywołanie tego, co powinno się wziąć pod uwagę określając ten próg. Postawa organizacji wobec ryzyka, cele organizacji, koszty i korzyści środków zaradczych, potencjał (finansowy) do przejmowania skutków zrealizowanego ryzyka i – niezwykle trafne spostrzeżenie – zdolność firmy do zarządzania ryzykiem. Jak wykorzystać koncepcję apetytu (tolerancji) na ryzyko ? Ken i Joshua nie są specjalnie odkrywczy – każą uzależnić rodzaj i poziom decyzji podejmownaych na danym szczeblu zarządczym od poziomów (limitów) tolerancji na ryzyko przypisanych do tychże poziomów.
How to Prepare a Risk Profile
John Fraser, Hydro One Networks
John dość mocno odwołuje się do wymogów regulacyjnych i podejścia compliancde, próbując pokazać różnice pomiędzy tym podejściem a duchem ERM. Wskazuje na spore nieporozumienia co do praktycznego znaczenia terminu „risk profile” w różnych środowiskach i dyscyplinach. Sam przekonuje do holistycznego zastosowania „profili ryzyka” w każdej organizacji i pokazuje w rozdziale kilka prostych i znanych konwencji, jak:
- ranking „top ten”
- mapa ryzyka na osiach skutek / prawdopodobieństwo
- tzw „heat map” pokazująca nasilenie ryzyk w podziale na kategorie (grupy) w różnych obszarach organizacji.
Jednak bardzo rażą archaiczne metody proponowane przez Johna, chociażby ustalanie wartości ryzyka za pomoca „głosowania” podczas warsztatów. Moje doświadczenia wskazują, że to najbardziej karygodne marnowanie potencjału intelektualnego i czasu menedżerów zaangażowanych w warsztaty a także przepis na mało wiarygodną ocenę ryzyka.
To, co może okazać się wartościowe dla praktyków, to dokładny opis wykorzystywanej przez Johna metody, ścieżki gromadzenia danych o ryzykach i mapowania ryzyk, krok po kroku. Sama metoda nie jest szczególnie innowacyjna lub skuteczna, ale dobrze opisana. To co napawa mnie nieufnością to sposób w jaki John proponuje identyfikować ryzyka: risk manager powinien na podstawie informacji rynkowych, branżowych i prasowych sporządzić listę możliwych ryzyk a następnie przedstawić ją managerom do przedyskutowania i wybrania. Mimo, że bardzo mocnym filarem metody Johna jest szerokie konsultowanie i dyskutowanie oceny ryzyka z managementerm, to jest też słaby punkt: oparcie oceny ryka na całkowitym subiektywizmie, ratingu na „very high, high, medium, low”.
How to Allocate Resources Based on Risk
Joseph Toneguzzo, Ontario Power Authority
Ten rozdział powinien się nazywać: „o co tak naprawdę chodzi w zarządzaniu ryzykiem”. Joseph zahacza o tak wiele istotnych zagadnień, że nie sposób ich wszystkich opisać. Wymienię zatem kilka kluczowych.
Bez zrozumienia ścisłego związku pomiędzy celami strategicznymi i ryzykami nie ma co zabierać się za planowanie strategiczne – podobnie jak bezużyteczna jest próba identyfikacji ryzyk bez poprzedniego zrozumienia celów firmy. Joseph uważa, że cele biznesowe powinny natychmiast zostać „ubrane” w KPI, a te powiązane z ryzykami im zagrażającymi dla których powinno wyznaczyć się progi tolerancji (KRI powiązane z KPI – podobnie jak to widzi Sue, wcześniejszy rozdział). Dalej, w ten sposób owskaźnikowane cele, ryzyka i progi tolerancji powinny zostać zintegrowane w jeden model opisujący ekspozycję firmy na ryzyko. Hmm, bardzo mocno pachnie mi teoretyzowaniem … chociaż Joseph podaje sporo konkretnych przykładów dla dobrze sformułowanych „Business Objectives”, „Key success factors” oraz KPI i odpowiadającym im definicjom i progom tolerancji na ryzyko (KRI). Ciekawa refleksja dotycząca ustalania prawdopodobieństwa – Joseph proponuje przyjąć horyzont czasowy (typowo 5 lat, na jakie planuje się w wymiarze strategicznym), a następnie wyznaczać prawdopodobieństwo zrealizowania się zdarzenia / zagrożenia w tym horyzoncie. I znów wątpliwość – Joseph posługuje się procentami w ustalaniu prawdopodobieństwa, co wróży mnóstwo subiektywizmu i nieporozumierń na poziomie managementu.
Efekt pracy nad ryzykami, Joseph nakłada na dobrze znaną nam mapę ryzyka. Sporo uwagi zostaje poświęcone rozbudowanemu wyjaśnieniu, czemu służy analiza cost-benefit oraz jak można w sposób zorganizowany i wariantowy ogarnąć za jej pomocą cały portfel ryzyk i możliwych decyzji o postępowaniu z ryzykiem. A to przecież clue ERM … Całość rozważań na ten temat zostaje zamknięta ładnym wykresem pokazującym relacje pomiędzy kosztem środka ograniczającego ryzyko i korzyścią z jego zastosowania:
Quantitative Risk Assessment in ERM
John Hargreaves, Hargreaves Risk & Strategy
Autor widzi związek pomiędzy filozofią zarządzania ryzykiem w firmie i sposobem, w jaki ryzyka się mierzy i ocenia. Wyróżnia zatem cztery podstawowe formy czy szkoły szacowania ryzyka:
- active management of largest risks (wiemy intuicyjnie które są nasze największe ryzyka i na nich koncentrujemy uwagę i zasoby – zasada Pareto 80/20)
- high / medium / low classification (firma ocenia ryzyka subiektywnie, stosując 2-wymiarową mapę ryzyka)
- refined risk classification (wysubimowana ocena ryzyka)
Refined risk classification dość dobrze odzwiertciedla moje własne podejście do szacowania ryzyka i zakłada stworzenie skal (zakresów) dla prawdopodobieństwa ryzyka oraz jego skutku. Ocena tego ostatniego odbywa się wariantowo według kilku kryteriów odzwierciedlających cele biznesowe / business drivers itp (John podaje przykład skutków oddziałujących na finanse, realizację projektów strategicznych, klientów i pracowników, prawo i regulatorów).
- statistical analysis (mająca zastosowania generalnie wobec ryzyk, mogących mieć ogromne skutki).
John wspomina również o agregowaniu wystąpienia łącznie kilku ryzyk / scenariuszy, opartym o tzw. składane prawdopodobieństwo ich wystąpienia (combined loss probability). Ale tutaj znów zaczynają sie moje wątpliwości – żeby móc zacząć „żonglować” procentowym prawdopodobieństwem, musimy mieć wysoki poziom ufności, pewności, że nasze liczby nie kłamią. Jeśli jednak prawdopodobieństwo jest wyznaczane intuicyjnie, subiektywnie, w przybliżeniu – to może równie dobrze wynosić 35% jak i 60% dla tego samego zdarzenia.
Operational Risk Management
Diana Del Bel Belluz, Risk Wise
Właściwie na początku odsuwałem się od książki na samą myśl o tym rozdziale, jak od czegoś śmierdzącego. Moje poglądy na temat użycia terminu „ryzyko operacyjne” oraz jego korzeni już przedstawiałem ponad 4 lata temu – są one bardzo krytyczne i radykalne. Jednak przemogłm się – i całe szczęście, gdyż Diana odczarowała dla mnie ten termin. Rozdział jest poświęcony poprostu rzetelnemu rzemiosłu zarządzania ryzykiem biznesowym i nie stanowi uzasadnienia mojego krytycznego podejścia dla terminu „ryzyko operacyjne”.
Diana zwraca uwagę na konieczność przeniesienia osi uwagi managementu i możliwych rozwiązań w zależności od typu ryzyk, z jakimi ma do czynienia: odpowiedź na ryzyka przewidywalne (częste) powinna polegać na prewencji i kontroli wewnętrznej, podczas gdy ryzyka mało przewidywalne lub niepoddające się kontroli wymagają budowania odporności (resilience) i gotowości (BCM). W odróżnieniu od większości konsultantów BCM, skupiających się na warstwie analitycznej (procesy, zasoby, impact analysis, recovery time itp) Diana – poza wymienionymi technikaliami – kładzie duży nacisk na dwa obszary miękkie: świadomość ekspozycji na ryzyka i monitorowanie jej przy wykorzystaniu kierowników, budowanie relacji z zewnętrznymi interesariuszami.
Zasady, kroki dobrej identyfikacji ryzyk operacyjnych przedstawiane przez Dianę są tak samo prawdziwe dla każdego innego ryzyka korporacyjnego:
- zdefiniuj cele
- określ, od czego zależy ich realizacja (performance drivers)
- określ czynniki, które determinują ryzyko dla celów (risk drivers)
- ustal konkretne ryzyka (Diana nazywa je „factors likely do impact objectives„)
- ustal wielkość możliwego wpływu, skutku
- wybierz te kilka najważniejszych
- jeszcze raz przeanalizuj wszystkie założenia, jakie poczyniłeś podczas oceny ryzyka.
Ostatecznym „dowodem”, że Diana pisze o ryzyku biznesowym a nie operacyjnym, jest sposób w jaki pisze o ustalaniu poziomów tolerancji na ryzyko. Jednocześnie podaje trzy najczęstsze powody, dla których organizacje (zarządzający) nie potrafią ustalić wysokości apetytu na ryzyko:
- obawiają się, że wyartykułowanie poziomu tolerancji na ryzyko będzie przyzwoleniem do jego nadmiernego podejmowania w organizacji
- po drugie, nie wiedzą jak to zrobić
- po trzecie, nie zawsze wiedzą jak dostosować wyznaczony poziom tolerancji na ryzyko do celów biznesowych na różnych poziomach zarządczych.
Diana proponuje przebrnąć przez ten etap najpierw definiując jaki poziom ryzyka przedsiębiorstwo w rzeczywistości, obecnie podejmuje. Stanowi on bowiem intuicyjnie, nieproceduralnie, wyznaczony poziom ryzyka jaki zarząd akceptuje i chce podejmowć i artykuuje w podejmowanych decyzjach i wyciąganych konsekwencjach. Diana pięknie demonstruje zastosowanie metody BowTie w zarządzaniu ryzykiem operacyjnym, które tym samym okazuje się być ryzykiem biznesowym, tylko po raz kolejny nazwanym w dość specyficzny sposób.
Ostatnie strony Diana poświęca wadze kultury zarządzania ryzykiem i wskazuje, jak ją budować:
- sam postępuj modelowo, jeśli chodzi o zasady zarządzania ryzykiem (lider daje przykład)
- dawaj jasny przekaz, jakich postaw oczekujesz od podwładnych w kontekście zarządzania ryzykiem
- dawaj jasny przekaz, jakie są konsekwencje – zarówno pozytywne jak i negatywne – ich zachowania i postawy oraz
- bądź konsekwentny w ich stosowaniu.
ERM: Current Initiatives and Issues
moderuje Betty Simkins
Moderowana dyskusja porusza kilka typowych dla współczesnych amerykańskich risk managerów problemów: jak definiują ERM, jaki jest stopień zaawansowania amerykańskich firm w ERM, jak można poprawic edukację w obszarze ERM pod kątem potrzeb przedsiębiorstw, czy i w jaki sposób ERM dodaje wartości spółkom, co jest kluczowe – jeśli chodzi o strukturę i procesy zarządzania ryzykiem – dla sukcesu w jego wdrożeniu, oraz co jest konieczne aby system ERM pozostawał dynamiczny.
Zwraca uwagę przede wszystkim taki sam problem z terminologią u naszych amerykańskich kolegów, jaki mamy my, europejczycy. Tam chyba jest jeszcze o tyle gorzej, ze ciążą bardzo mocno compliansowe korzenie SOXu i zakorzenienie pierwszych praktyk zarządzania ryzykiem w instytucjach finansowych, co teraz odbija się czkawką wszystkim risk managerom. Taki skrajny przykład – to brak konsensusu jak definiować „ryzyko operacyjne” i pogarszające sprawę pojawiające się potworki pojęciowe, typu rozróżnianie pomiędzy ryzykiem operacyjnym (operational) a operatywnym (operative) – brr makabra …
Reasumując – książka nie jest może wybitna, ale pokazuje obszerny kawałek amarykańskiej praktyki zarządzania ryzykiem i warto ją potraktować jako wartościową lekturę uzuopełniającą, nie spodziewając się jednak znaleźć tam gotowych rozwiązań i odpowiedzi na wszystkie pytania.
Wasz w ryzyku,
R
RRP ustanowiono aby w sposób formalny rejestrować osoby czynne zawodowo w obszarze zarządzania ryzykiem korporacyjnym, które spełniają określone kryteria profesjonalne. O wpisanie do rejestru mogą się ubiegać osoby (niezależnie od narodowości), które legitymują się łącznie:
ryzyko jest piękne 