ZARZĄDZANIE RYZYKIEM DLA CZŁONKÓW ZARZĄDU Mała
Transkrypt
ZARZĄDZANIE RYZYKIEM DLA CZŁONKÓW ZARZĄDU Mała
ZARZĄDZANIE RYZYKIEM DLA CZŁONKÓW ZARZĄDU Mała Apokalipsa Jan Zabłocki prowadził dobrze prosperującą fabrykę metalowych elementów konstrukcyjnych dla przemysłu motoryzacyjnego. Rynek, choć wymagający - był chłonny, zamówienia napływały regularnie a firma osiągała wysoką rentowność, zarząd myślał o jej wprowadzeniu na giełdę. Jedynym zmartwieniem Zabłockiego były niego napięte stosunki z pracownikami linii produkcyjnej i zdarzające się próby sił między nimi a wiceprezesem, dyrektorem produkcji. Firma właśnie realizowała bardzo duże zamówienie elementów aluminiowych dla swojego największego klienta – giganta samochodowego pracującego w systemie just in time. Kolejne wypadki, które ostatecznie przekreśliły sukces firmy, wydawały się trudne do przewidzenia. Nastąpiła złożona awaria prasy mechanicznej z wykrojnikiem, od której zależała cała produkcja. Czas wytworzenia na zamówienie, sprowadzenia i wymiany uszkodzonego tłocznika wielotaktowego wynosił minimum sześć tygodni, a taki okres bez produkcji oznaczał potężne straty i z pewnością uniemożliwiłby firmie wywiązanie się z zamówienia. Firma była dobrze ubezpieczona (wykupiła również ubezpieczenie utraty zysku) i mogła błyskawicznie wszcząć postępowanie odszkodowawcze w stosunku do ubezpieczyciela. Po kilku dniach, w trakcie analizowania przypadku przez ekspertów firmy ubezpieczeniowej, okazało się, iż przyczyną uszkodzenia mechanizmów wykrojnika było użycie przy produkcji elementów aluminiowych, smaru odpowiedniego wyłącznie do elementów stalowych, co spowodowało bardzo poważne uszkodzenia tłocznika wielotaktowego i zatarcie jego elementów roboczych. Ubezpieczyciel, powołując się na jedno z wyłączeń w umowie ubezpieczenia, odmówił wypłaty odszkodowania a Jan Zabłocki skierował sprawę przeciwko niemu na drogę sądową i jednocześnie rozpoczął negocjacje z klientem. Dyrektor produkcji doszedł w tym czasie do wniosku, że tak znaczne odstępstwo od reżimów produkcji nie mogło być zwykłą pomyłką, lecz musiało być wynikiem sabotażu dokonanego przez kogoś z załogi. Nie ustalono kto spowodował usterkę ale w konsekwencji zwolniono kierownika zmiany i brygadzistów, którzy nie potrafili – bądź też nie chcieli - wskazać winnego. Pozostali pracownicy produkcyjni solidarnie zaczęli składać kolejno wypowiedzenia i w efekcie firma pozostała bez najbardziej doświadczonych pracowników i bez funkcjonującej linii produkcyjnej. Postępowanie sądowe przeciwko ubezpieczycielowi ciągnęło się nadal, bardzo opornie następowała rekrutacja nowego personelu produkcyjnego. Po kilku tygodniach od awarii, klient wystąpił ze spodziewanym roszczeniem o zwrot kosztów uruchomienia bardzo drogiej, zastępczej produkcji aluminiowych podzespołów oraz poinformował, że ponadto pozywa firmę o zwrot kosztów zatrzymania głównej linii montażowej samochodów. Wysokość pozwu przekraczała środki, jakimi dysponowała firma Zabłockiego, a jej bank - wobec nagle niepewnej sytuacji finansowej firmy - odmówił udzielenia kredytu i wszystko zapowiadało konieczność sprzedaży dużej części majątku. W krótkim czasie drugi i trzeci co do wielkości klienci wyrazili swoje poważne zaniepokojenie sytuacją w zakładzie produkcyjnym oraz poinformowali, że w związku z tym właśnie finalizują negocjacje z największym konkurentem firmy Zabłockiego. Wnioski: w firmie Jana Zabłockiego zabrakło zarządzania ryzykiem. W dzisiejszym dynamicznym i wymagającym otoczeniu biznesowym każdy menedżer musi ponosić ryzyko decyzji podejmowanych wobec niepełnych informacji. Nagrodą za podjęcie ryzyka gospodarczego jest wypracowanie zysku i wzrost wartości firmy. Nadrzędnym celem zarządzania ryzykiem jest ochrona i maksymalizacja wartości firmy: jej majątku, cash flow, zdolności operacyjnej (zdolności do generowania zysku), a także reputacji i udziału w rynku. Z pewnością celem nie jest zniechęcanie menedżerów do podejmowanie ryzyka – raczej zachęcanie do podejmowania ryzyka biznesowego w sposób świadomy. Risk Management Consulting Rafał Rudnicki skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected] CZYNNIKI ZEWNĘTRZNE RYZYKA FINANSOWE RYZYKA STRATEGICZNE STOPY PROCENTOWE KONKURENCJA ZMIANY WŚRÓD KLIENTÓW KURSY WYMIANY WALUT ZMIANY W BRANŻY DOSTĘPNOŚĆ KREDYTU POPYT INTEGRACJA PRZEJĘTYCH I POŁĄCZONYCH SPÓŁEK PŁYNNOŚĆ ORAZ PRZEPŁYWY PIENIĘŻNE BADANIA I ROZWÓJ KAPITAŁ INTELEKTUALNY CZYNNIKI WEWNĘTRZNE KSIĘGOWOŚĆ SYSTEMY INFORMATYCZNE ŁAŃCUCH ZAOPATRZENIOWY DOSTĘP PRACOWNICY REKRUTACJA MAJĄTEK PRODUKTY I USŁUGI USTAWODAWSTWO KULTURA UMOWY DOSTAWCY ZDARZENIA NATURALNE SKŁAD ZARZĄDU OTOCZENIE RYZYKA OPERACYJNE NIEBEZPIECZEŃSTWA CZYNNIKI ZEWNĘTRZNE Istnienie i jakość zarządzania ryzykiem jest miarą dojrzałości i kultury korporacji, jest przeciwieństwem lekkomyślności w biznesie. Cele strategiczne przedsiębiorstwa Ocena ryzyka Analiza ryzyka Identyfikacja ryzyka Opis ryzyka Pomiar ryzyka Zmiany Zainteresowanie risk menedżera powinno obejmować wszelkie obszary i funkcje związane działalnością jego firmy a tym samym wszelkie możliwe zagrożenia (które po skwantyfikowaniu wielkością skutku i prawdopodobieństwa zaczyna być już konkretnym ryzykiem). Przywoływany wcześniej Risk Management Standard proponuje widoczny na rysunku powyżej podział obszarów, w jakich należy szukać ryzyk. Inne powszechnie uznawane standardy – np. „Turnbull Combined Code” mogą również służyć jako dobry punkt odniesienia. Naturalnie, zarządzanie ryzykiem nie spowoduje zniknięcia zagrożeń. Natomiast dobrze poprowadzone spowoduje, że: - zaistnieją wspólne, przejrzyste kryteria oceny, porównywania i postępowania wobec ryzyk dotyczących skrajnie odmiennych obszarów i funkcji firmy (np. ryzyko utraty klienta i ryzyko awarii sieci IT) - zostaną zdefiniowane proste zależności pomiędzy skutecznością zarządzania ryzykiem a osiąganiem celów biznesowych - zarząd będzie w pełni przygotowany na faktyczne wystąpienie (tzw realizację) zagrożeń, gdyż zrobiono wszystko, aby po pierwsze zminimalizować prawdopodobieństwo wystąpienia zagrożenia a po drugie skutki jego wystąpienia - firma będzie miała zdecydowanie większą zdolność do „podniesienia” się po katastrofie i do stosunkowo szybkiego przywrócenia zasobów operacyjnych i zdolności do generowania zysku - firma zwiększy przewagę konkurencyjną. Ewaluacja ryzyka Informowanie o ryzyku Zagrożenia i szanse Decyzja Postępowanie wobec ryzyka Uściślenia wymaga samo pojęcie „ryzyka”: są to wymierne skutki zrealizowania się negatywnego zdarzenia rozpatrywane łącznie z prawdopodobieństwem zrealizowania się takiego zdarzenia. Ujmując rzecz z Residual Risk Reporting Monitorowanie Risk Management Consulting Rafał Rudnicki skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected] Formalny audyt matematyczną prostotą: ryzyko = skutek * prawdopodobieństwo. Co jest niezmiernie ważne: skutek i prawdopodobieństwo to dwie całkowicie od siebie niezależne wielkości, w żaden sposób na siebie nie wpływające, tym samym wymagające odrębnej analizy. Przedstawiony tekst jest skrótem pokazującym podstawowe elementy i mechanizmy procesu zarządzania ryzykiem, akcentując raczej „co” i „dlaczego” należy zrobić, a nie „jak” to zrobić. Osnową, na jakiej oparto opisywaną metodologię, jest Risk Management Standard stworzony jesienią 2002 przez ekspertów z trzech brytyjskich organizacji: AIRMIC (Association of Insurance and Risk Managers), IRM (Institute of Risk Management) oraz ALARM (National Forum for Risk Management in Public Sector). Dziedzina zarządzania ryzykiem przenika się funkcjonalnie z nurtem Business Continuity Management oraz ideą ładu korporacyjnego (Corporate Governance), jednak ze względu na skromną objętość tego tekstu te ostatnie zagadnienia nie zostaną poruszone. Przegląd procesu Zarządzanie ryzykiem gospodarczym nie jest jednorazowym aktem, czy zbiorem kilku decyzji lecz procesem zamykającym się w pętlę logiczną. Model na rysunku na poprzedniej stronie obrazuje zależności pomiędzy etapami całego procesu zarządzania ryzykiem, tak jak to widzą menedżerowie ryzyka z Wielkiej Brytanii, a w poniżej zamieszczono opisowe rozwinięcie tego modelu. Charakterystyczne etapy i elementy procesu zarządzania ryzykiem Analiza ryzyka Identyfikacja ryzyka – czyli ujawnienie pełnej „ekspozycji” przedsiębiorstwa na zjawiska niepewności. Zbagatelizowanie lub niedostrzeżenie któregoś z zagrożeń obala sens dalszego zarządzania ryzykiem, bowiem obejmowałoby ono jedynie fragment rzeczywistości. Opisanie i pomiar ryzyka – to określenie (wyliczenie) dwóch zasadniczych cech definiujących ryzyko: maksymalnych realnych skutków finansowych oraz prawdopodobieństwa. Opisanie ryzyka zawsze przekłada się na znacznie głębsze, lepsze poznanie swojej własnej firmy w zupełnie nowym, dotąd nie analizowanym aspekcie. Oszacowanie ryzyka – wykonane w sposób jakościowy lub ilościowy, najczęściej przybiera formę wykresu lub tabeli. Różne środowiska używają tutaj różnego nazewnictwa: mapa ryzyka, matryca ryzyka, model ryzyka, profil ryzyka – lecz tak naprawdę chodzi o jedno - o sprowadzenie wszystkich ryzyk do wspólnego mianownika, i porównanie ryzyk, które na pierwszy rzut oka wydają się być nieporównywalne. Drugi etap jest momentem zwrotnym, i wiąże się z - ustosunkowaniem się do ryzyka, to znaczy ze zdecydowaniem jakiej rangi jest to ryzyko, a zatem jaki szczebel zarządczy będzie za nie odpowiadał. Poszczególnym ryzykom nadaje się również priorytety na skali ważności i pilności. - reakcją na ryzyko, czyli świadomym modyfikowaniem tego ryzyka poprzez: unikanie, kontrolowanie, czyli prewencję (oddziaływanie na prawdopodobieństwo - przyczyny) bądź redukcję (oddziaływanie na wielkość skutku), czy też transfer lub ostatecznie tzw retencję ryzyka. Na administrowanie ryzykiem, składają się: Monitorowanie i przegląd procesu zarządzania ryzykiem. Przedsiębiorstwa – jako organizacje – są zmienne, podobnie ich otoczenie konkurencyjne jest dynamiczne. To sprawia, że żadne decyzje powzięte na podstawie przeprowadzonej analizy ryzyka nie są wiecznie poprawne. Raportowanie i komunikowanie ryzyka, poprzedzone skonstruowaniem sieci informacyjnej (tzw rejestrów ryzyka) oplatającej wszystkie funkcje i procesy firmy i informującej o stanie tzw wskaźników ryzyka (risk indicators) parametrów pozwalających stwierdzić, na ile blisko jesteśmy pewnych stanów krytycznych, których firma nie chce przekraczać. Uzupełnieniem i logicznym domknięciem procesu są dwa przedsięwzięcia: Budowa polityki zarządzania ryzykiem - statycznego lecz pojemnego pojęciowo szkieletu, w jakim funkcjonuje cały dynamiczny model zarządzania ryzykiem. Wypracowanie planów awaryjnych (disaster recovery plan) - powinny pozwolić szybko odzyskać choćby minimum potencjału operacyjnego firmy, a także w możliwie najkrótszym czasie uzyskać pełną zdolność do generowania przychodów i zysku. Risk Management Consulting Rafał Rudnicki skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected] Bliższe spojrzenie na niektóre etapy pokaże, że zarządzanie ryzykiem nie jest czarna magią, a menedżerskim rzemiosłem, które żyje kontaktem z rzeczywistością i jest w gruncie rzeczy proste. Identyfikacja zagrożeń Ryzykiem dla konkretnej firmy działającej w konkretnej branży jest jedynie takie zjawisko, które może firmie przeszkodzić w osiągnięciu jej celów biznesowych. Stąd warunkiem rozpoczęcia identyfikacji ryzyk jest zapoznanie się ze strukturą celów biznesowych (lub jej stworzenie), dla poziomu zarządu, dyrektorów działów (oddziałów) oraz dla poziomu kierownictwa operacyjnego. Cele biznesowe stanowią kontekst, w jakim szuka się zagrożeń i rozważa ich kaliber. Identyfikacja ryzyka polega na metodycznym przeglądzie wszystkich bez wyjątków aspektów funkcjonowania firmy i jej otoczenia biznesowego. Mamy do dyspozycji wiele narzędzi znanych większości menedżerów, na przykład: - stakeholders analysis (analiza pod kątem oczekiwań głównych grup interesu) - analiza SWOT - analiza PEST. Pomocne może być wykonanie gruntownego przeglądu przepływów i koncentracji zasobów firmy w sensie geograficznym i logicznym (operacyjnym, funkcjonalnym). Nieocenione są rozmowy i warsztaty przeprowadzane z menedżerami i kierownikami niższych szczebli operacyjnych – gdyż ci znacznie lepiej zdają sobie sprawę z ryzyk, jakie zagrażają firmie, niż sam zarząd. Lista rozmówców jest otwarta, risk manager powinien przejawiać mnóstwo inicjatywy w jej rozszerzaniu, aby uniknąć wybiórczego analizowania organizacji (z angielskiego tzw. „silo thinking”). Złożone obszary i funkcje w obrębie firmy mogą wymagać bardziej specjalistycznych narzędzi analitycznych: - mapowanie procesów; - flow charts - analiza ilości i rodzaju przepływających przez infrastrukturę firmy materiałów pod kątem wzajemnego wpływu na wynik (sprawność) produkcji i wąskich gardeł; - metody HAZOP (Hazard and Operability Studies), HAZID, Fault Tree Analysis, Root Cause Analysis, metoda Bowtie, analiza ALARP. Zidentyfikowane ryzyka wymagają prostego i jasnego opisu trzema składnikami: co jest ryzykiem, jaka jest jego przyczyna oraz jego potencjalne skutki. Posiadana wiedza każe przypuszczać, że w przeciętnej, dużej firmie istnieje około 100 grup ryzyk do wstępnego rozważenia. Niektóre firmy konsultingowe i instytucje (m.in. Deloitte & Touche, Ernst & Young, AON Risk Consulting oraz FERMA) cyklicznie publikują swoje badania dotyczące ryzyk, postrzeganych przez europejskie przedsiębiorstwa jako kluczowe. Kwantyfikacja i kalibracja ryzyk Dysponując listą ryzyk specyficznych dla określonej branży i konkretnego przedsiębiorstwa można podjąć decyzję, które ryzyka są pierwszoplanowe. Pomoże nam w tym scharakteryzowanie tych ryzyk dwoma parametrami: - maksymalny skutek realizacji zagrożenia - prawdopodobieństwo realizacji zagrożenia. Biorąc pod uwagę skrajnie odmienne typy ryzyk (np. awaria linii produkcyjnej, śmierć CEO), najrozsądniej zacząć od uzgodnienia wspólnych kryteriów kwantyfikowania tych parametrów. Do tej pory przyjęto generalnie dwie konwencje: prostsza konwencja operująca punktacją (najczęściej skala od 1 do 5 Risk Management Consulting Rafał Rudnicki skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected] dla obu parametrów), oraz trudniejsza, próbująca określić przybliżoną wartość prawdopodobieństwa (w procentach lub jako ułamek jedności) oraz skutku - przedstawionego jako kwota (rząd wielkości). Skutek powinien przedstawiać konsekwencje najgorszego z realnie możliwych scenariuszy. Przyjęty poziom skutku nie może być efektem zgadywania i wymiany opinii - powinien bezpośrednio wynikać z „twardych” danych źródłowych, które będą się poddawać weryfikacji. Punktem odniesienia może być analiza zaistniałych historycznie incydentów w firmie, wśród partnerów i konkurentów, w podobnych branżach. Najtrudniejszą częścią tego zadania jest przełożenie strat niewyrażalnych w pieniądzu na wartości wymierne. Ile istnień ludzkich przekłada się na miliony ? Ile złotówek jest warta nasza reputacja ? Iloletni zysk jest równoważny dziesięciu procentom udziału w rynku ? Jak bardzo strata CEO zaważy na wyniku finansowym firmy ? Tutaj należy przywołać wspomniane wspólne kryteria uwzględniające cele strategiczne firmy, tzw corporate values czy wreszcie powszechne zasady etyczne. Prawdopodobieństwo – niezależnie czy ustalane w punktach czy jako procent - zależy nie tylko od charakteru samego zagrożenia jako zjawiska (np. powódź, defraudacja), ale i otoczenia w jakim funkcjonuje przedsiębiorstwo, definiowanego przez np. kulturę zarządzania, wielkość i stopień złożoności firmy, czynnik ludzki, warunki makroekonomiczne i polityczne, istniejące środki kontroli ryzyka - jest to merytorycznie najtrudniejsza część procesu. Mapa ryzyka i apetyt na ryzyko Warunkiem prawidłowego wyskalowania modelu (profilu) ryzyka jest ustalenie kilku wartości progowych, definiujących kiedy kończy się „mały” skutek a zaczyna „średni”, oraz wartości progowe dla skutku „dużego” i „katastroficznego”. Ramka poniżej przedstawia sposób definiowania tych wartości bazowych oraz tzw apetytu firmy na ryzyko, który łącznie z celami biznesowymi przedsiębiorstwa tworzą zasadniczy punkt odniesienia jakichkolwiek decyzji wynikających z zarządzaniem ryzykiem. Dla przeciętnej, zdrowej finansowo firmy zwykle będą to następujące rzędy wielkości: 0,1% obrotów, 1% obrotów i 10% obrotów. Równie istotne jest określenie pułapów Definiowanie progowych wartości skutku (w wartościach pieniężnych) oraz tzw poziomu tolerancji (lub apetytu) na prawdopodobieństwa, które oznaczają dla firmy ryzyko. Większość znanych metod bazuje na koszyku zdarzenie „prawie niemożliwe”, mało wskaźników finansowych przedsiębiorstwa – prawdopodobne, prawdopodobne i wysoce przykładowy koszyk (wg. R.J. Hansman) analizuje prawdopodobne. Oprócz podejścia najprostszego, poniższe parametry i przykłada do nich pokazane wagi: uznaniowego (np. odpowiednio 5%, 10%, 25%, 50%) istnieje szereg metod statystycznych parametr waga kapitał pracujący 3,00% pozwalających dopasować progi, prawie że idealnie środki pieniężne 25,00% do profilu i celów firmy oraz jej apetytu na ryzyko. wartość netto majątek (środki trwałe) Stworzenie mapy ryzyka polega na naniesieniu sprzedaż poszczególnych ryzyk ma wykres XY, gdzie planowane zyski współrzędnym X odpowiadają wartości historyczne zyski (3 lata) prawdopodobieństwa, a współrzędne Y to wartości tolerancja na ryzyko = 2,00% 2,00% 1,00% 5,00% 5,00% średnia arytmetyczna wyrażające skutek. Po naniesieniu wspomnianych wartości progowych dla skutku (linie poziome) i prawdopodobieństwa (linie pionowe) mapa ryzyka jest gotowa. Ramka na kolejnej stronie, prezentująca przykładową mapę ryzyka, została zaopatrzona w komentarz jak interpretować taki wykres. Risk Management Consulting Rafał Rudnicki skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected] Mapa Ryzyka ilustruje rozkład (profil) ryzyk dla przedsiębiorstwa, wynikający z dokładnej analizy poszczególnych ryzyk. Ryzyka położone wyżej na wykresie są bardziej dotkliwe w sensie skutków, strat finansowych, a położone bliżej prawej strony są bardziej prawdopodobne. Zważywszy te dwie prawidłowości stosunkowo łatwo wskazać ryzyka krytyczne dla przedsiębiorstwa – te blisko prawego górnego rogu (np. ryzyko 1 oraz 2), ryzyka stosunkowo mało prawdopodobne ale niezwykle dotkliwe (np. ryzyka 3 i 4) a także ryzyka „nagminne” lecz stosunkowo drobne (np. ryzyka 6, 7 i 8). Zademonstrowaną analizę ułatwia nałożenie kolorów sygnalizacji świetlnej na tak powstałą mapę, podobnie jak na ilustracji poniżej. Nie należy ulegać złudzeniu, że jednorazowe stworzenie mapy ryzyka wystarczy, gdyż jest ona obrazem dynamicznym – podobnie jak całe przedsiębiorstwo – a naniesione na niej ryzyka przemieszczają się. Na tym polega istota cyklu zarządzania ryzykiem, który wymaga powtarzalności. Reagowanie na ryzyko Zarządzanie ryzykiem jest sztuką funkcjonowania w warunkach niepewności, lecz nie gwarantuje stuprocentowej nieomylności. Całe dotychczasowe analizy prowadziły do przygotowania właściwego gruntu pod możliwie najtrafniejsze decyzje strategiczne i operacyjne, których celem ma być „pozbycie” się zbyt wysokiego obciążenia ryzykiem. Ryzyka plasujące się bliżej każdego z rogów matrycy wymagają odrębnych strategii reagowania (ang. risk treatment): - ryzyka przy prawym górnym rogu wymagają bezzwłocznego i aktywnego działania, zmierzającego do jednoczesnego zmniejszenia możliwych skutków oraz prawdopodobieństwa zdarzenia, również rozważa się zaniechanie działalności firmy, która łączy się z takimi ryzykami - ryzyka w lewym górnym rogu, jako że mało prawdopodobne, są mniej pilne niż te poprzednie i wymagają zabiegów zmierzających do zmniejszenia możliwych skutków oraz budowania planów awaryjnych (nawiązanie do zarządzania kryzysowego) - ryzyka w prawym dolnym rogu to „siły tarcia” występujące w każdym przedsiębiorstwie: niedoskonałości procesów, organizacji, kultury zarządzania wymagające długofalowego, systemowego podejścia porządkującego codzienną pracę firmy. Pominięte w komentarzu ryzyka (lewy dolny róg) to te, które możemy tolerować. Jeśli chodzi o zasadnicze ryzyka – np. te bliżej prawej i górnej części mapy ryzyka, mamy do dyspozycji bogate (przynajmniej teoretycznie) oprzyrządowanie pomagające we właściwym reagowaniu na nie: Risk Management Consulting Rafał Rudnicki skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected] - unikanie ryzyka (zaniechanie działań generujących ryzyko) - kontrolowanie lub transfer ryzyka, omówione niżej, oraz - retencja ryzyka, czyli jego świadome zatrzymanie w firmie (samofinansowanie, samoubezpieczenie). Kolejność nie jest przypadkowa - jest podyktowana pogarszającym się wskaźnikiem nakładów czasu, wysiłku i pieniądza w stosunku do uzyskanych efektów kolejnych rozwiązań. Kiedy unikanie ryzyka jest niemożliwe, należy podjąć próbę jego kontrolowania, które może odbywać się: - poprzez prewencję, czyli oddziaływanie na prawdopodobieństwo (przyczyny, mechanizmy prowadzące do realizacji ryzyka, najczęściej efektywne przy ryzykach położonych w prawym dolnym rogu) - oraz redukcję, czyli oddziaływanie na skutek realizacji ryzyka (zmniejszanie jego maksymalnej wielkości, najczęściej skuteczne przy ryzykach położonych w lewym górnym rogu). Transfer ryzyka polega na odpłatnym przeniesieniu całej ryzykownej działalności, lub samego ryzyka jakie się z nią wiąże, do partnera, który jest lepiej przygotowany do kontrolowania i finansowania takiego ryzyka. Przypadek szczególny (i nie zawsze najbardziej ekonomiczny) transferu ryzyka to jego ubezpieczenie, które jest niczym innym jak tylko odpłatną zamianą sytuacji niepewności finansowej na z góry pewny (ustalony) poziom kosztów. Przed zrealizowaniem działań wynikających z wymienionych narzędzi – szczególnie chodzi o kontrolowanie i transfer ryzyka – niezbędne jest przeprowadzenie analizy kosztów i rentowności takiego projektu. Zważywszy konieczność podejmowania decyzji dotyczących „miękkich” ryzyk (utrata reputacji i podobne), analiza kosztów i korzyści powinna oprócz elementów czysto finansowych uwzględniać wspomniane już wartości niefinansowe: corporate values oraz zasady etyczne. Struktura i administrowanie systemem zarządzania ryzykiem Motorem całej struktury zarządzania ryzykiem w firmie jest risk manager. Skuteczność funkcjonowania systemu zarządzania ryzykiem zależy w istotnej mierze od kompetencji i umocowania risk managera – ideałem jest sytuacja, w której odpowiada on bezpośrednio przed CEO, dość powszechne jest również umocowanie bezpośrednio przy CFO. Po tragedii WCT 11/09 risk managerowie na świecie zaczęli gwałtownie „awansować”, przemieszczając się w hierarchii korporacyjnej znacznie bliżej zarządów. Kaliber ryzyka jest odnoszony do wspomnianej wcześniej tolerancji firmy na ryzyko i decyduje, na jakim poziomie kierowniczym zostanie umieszczona funkcja zarządzania określonym ryzykiem – inaczej, kto będzie jego „właścicielem” (ang. risk owner). Kluczowe jest wprowadzenie zasady rozliczania risk ownera ze skuteczności zarządzania ryzykiem, w odróżnieniu od nie zawsze jasnego pojęcia „odpowiadania” za ryzyko. Rozliczanie odbywa się na zasadzie stawiania celów spełniających tzw. warunek SMART (Specific – precyzyjne, Measurable – mierzalne, Achievable – osiągalne, Realistic – realistyczne, oraz Time bound – określone terminem). Wprowadzenie reguły „własności” pojedynczych ryzyk nie powinno przesłaniać obrazu wszystkich ryzyk (omawianej matrycy ryzyka) - z punktu widzenia całej firmy istotne jest zarządzanie portfelem ryzyk, a nie wyizolowanymi ryzykami. Monitorowanie i raportowanie ryzyk, mimo iż wydawałoby się, że jest mało istotną czynnością administracyjną, w rzeczywistości spełnia rolę układu nerwowego całego przedsiębiorstwa. Jego sens polega na: - analizowaniu, czy przedsięwzięte środki kontrolowania ryzyk są realizowane, czy są skuteczne i czy są zgodne z przewidywanymi kalkulacjami kosztowymi, - badaniu jak się ryzyka zmieniają (jedynym pewnym elementem w tej dziedzinie dotyczącej niepewności jest to, że ryzyka nieustannie się zmieniają), - zdolności wczesnego wykrycia nowych ryzyk wynikających ze zmieniającej się organizacji bądź Risk Management Consulting Rafał Rudnicki skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected] środowiska biznesowego, w jakim funkcjonuje. Również ryzyka zatrzymane i te już podlegające kontroli powinny bezwzględnie znaleźć się w rejestrze ryzyk i być monitorowane – istnieją przypadki pokazujące, że ryzyka pozornie ujarzmione mogą się wymknąć spod kontroli i zagrozić przedsiębiorstwu. Oprogramowanie Na rynkach najbardziej dojrzałych pod względem kultury i technologii zarządzania ryzykiem, oferta oprogramowania wspomagającego najróżniejsze etapy i systemy zarządzania ryzykiem jest niezwykle szeroka. Osobiście zidentyfikowałem 21 firm – głównie z Nowej Zelandii, Anglii i Australii oferujących 27 różnych aplikacji. Wiadomo mi również, że w trakcie podejmowania decyzji o wyborze oprogramowania dla brytyjskiego ministerstwa obrony rozpatrywano ponad 200 pozycji. Często są to aplikacje oparte na serwerze MySQL i stacjach roboczych mających dostęp do serwera przez sieć internetową i zwykłą przeglądarkę. Opcje dostępne w tych aplikacjach stanowią przekrój przez wszystkie funkcje zarządzania ryzykiem, poprzez wstępna analizę ryzyk, ich mierzenie, tworzenie rejestru i funkcje wspomagające śledzenie tych ryzyk i skoordynowaną wymianę informacji na ich temat, aż po automatyczne generowanie przypomnień czy alarmów dla właścicieli ryzyk w sytuacji przekroczenia terminu czy też poziomu ryzyka. Zrzuty z ekranu przykładowych programów znajdują się w ramkach obok. Pułapki ... Godziny rozmów przeprowadzonych z wieloma risk managerami aktywnymi w Europie nauczają, że nawet najbardziej rzetelnie przygotowane i ambitne plany dotyczące zarządzania ryzykiem w korporacjach mogą ugrzęznąć na etapie ich wprowadzania, wprowadzone mogą stać się kolejnym, martwym garbem biurokratycznym bądź też są realizowane wycinkowo, bez wizji. Pułapki, w jakie najczęściej wpadają firmy w początkowym etapie procesu to: - nadmierne komplikowanie analizy, struktury i systemu zarządzania ryzykiem prowadzące do przeświadczenia u menedżerów operacyjnych, że zarządzanie ryzykiem to „czarna magia” i zadanie karkołomne, niewykonalne; - zbyt ambitne zamiary jeśli chodzi o ilość ryzyk, które próbuje się jednocześnie analizować lub kontrolować – może to prowadzić do szybkiego wypalenia się zarządu; według zapewnień Bernie Catterall′a, Human Applications, firmy akredytowanej przez brytyjski Institute of Risk Management, badania naukowe przeprowadzone w Anglii dowodzą, że obciążenie zarządu większą liczbą ryzyk niż Risk Management Consulting Rafał Rudnicki skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected] sześć spowoduje, iż żadne z nich nie będzie zarządzane właściwie, a wręcz wszystkie mogą zostać „odłożone na półkę”. Brak wyobraźni lub próby rozwiązywania problemów „na skróty” prowadzą do: - nie wiązania skutków zdarzeń dotykających jedne jednostki biznesowe z dodatkowymi stratami powstającymi w konsekwencji w jednostkach lub spółkach powiązanych, lub też niedostrzeganie związków przyczynowo-skutkowych pomiędzy ryzykami zależnymi (np. złapanie grupy pracowników na defraudacji skutkuje ich wyrzuceniem z firmy, co może generować okresowe problemy kadrowe i tym samym problemy np. z jakością czy zdolnościami produkcyjnymi); - rezygnacji z wypracowania indywidualnych, specyficznych dla firmy modeli i rozwiązań (automatyczne przenoszenie gotowych wzorców z innych przedsiębiorstw) - ścieżka postępowania powinna być dla każdego przedsiębiorstwa budowana od zera, ściśle wokół unikalnych procesów przebiegających w firmie; - braku elastycznych struktur, rozwiązań i systemów, które nie wytrzymują próby czasu i rozpadają się bądź dezaktualizują pod wpływem dynamiki zmian w firmie i w jej otoczeniu - zamkniętego myślenia (ang. silo thinking) - na etapie identyfikacji, analizowania i monitorowania ryzyka nieodzowne jest tworzenie i aktywne funkcjonowanie interdyscyplinarnych grup, których członkowie zostali zwerbowani z najróżniejszych działów (funkcji) organizacji i są doświadczonymi specjalistami lub menedżerami. Wokoło osoby risk managera również może tworzyć się atmosfera niesprzyjająca realizacji jego celów. Najczęstsze problemy są następujące: - zbyt „niskie” umocowanie risk managera a przez to uzależnienie go od interesów wyższych menedżerów operacyjnych (brak niezależnej oceny i postępowania), jest to rozwiązanie na tyle wadliwe że praktycznie dyskwalifikuje takiego risk managera, który nie może skutecznie sprawować swojej zasadniczej roli, tzn nie może reprezentować (chronić) interesów udziałowców; - niezależność risk managera przeradza się w jego alienację w firmie (to ten, który „węszy i kwestionuje”), może się on bronić przed takim procesem otaczając się najlepszymi kierownikami i specjalistami w firmie, niekoniecznie wysokiego szczebla, ale osobami darzonymi szacunkiem i oddanymi koncepcji zarządzania ryzykiem; - rozterki i niepewność, komu funkcja powinna zostać powierzona - pracownikowi, który może być uwikłany w grę interesów poszczególnych menedżerów a tym samym pozbawiony nieodzownej na tym stanowisku niezależności i obiektywizmu, również może powielać przyzwyczajenia i stereotypy myślowe pozostałych menedżerów, czy też – zewnętrznemu konsultantowi, który choć pozbawiony wymienionych słabych stron będzie potrzebował sporej ilości czasu aby poznać firmę, zanim zacznie cokolwiek do niej wnosić; wątpliwe jest również, czy po zakończeniu kontraktu pozostawi w niej trwale jakąkolwiek wartość dodaną. Rafał Rudnicki stworzył model risk managementu w międzynarodowej grupie logistycznej Raben i zarządza w Grupie Raben ryzykiem. Jest członkiem AIRMIC, FERMA i współzałożycielem Polskiego Stowarzyszenia Zarządzania Ryzykiem. Prowadzi własną stronę internetową poświęconą zarządzaniu ryzykiem: www.rudnicki.com.pl Risk Management Consulting Rafał Rudnicki skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected]