Współautorami było kilku członków Polrisk

Współautorami było kilku członków Polrisk

PARTNER RAPORTU
RAPORT SPECJALNY
ZARZĄDZANIE
RYZYKIEM
SPONSORZY RAPORTU:
Podejmijmy ryzyko!
Z
espół menedżerów ryzyka, członków Polskiego
Stowarzyszenia Zarządzania Ryzykiem (POLRISK), podjął
ryzyko, którym było sporządzenie raportu poruszającego
jednocześnie wiele zagadnień, z pełną świadomością, że nie są
to wszystkie kwestie i nie zostały wyłożone w sposób kompletny.
Odzwierciedla to poniekąd wyzwanie, jakie stoi przed Stowarzyszeniem na naszym rynku: opanować i zrealizować jednocześnie
kilka powiązanych ze sobą i niecierpiących zwłoki celów:
• podniesienie świadomości polskiego biznesu – czym jest
zarządzanie ryzykiem;
• podniesienie profesjonalizmu polskich risk managerów;
• wyprostowanie nieporozumień językowych wokół
zarządzania ryzykiem;
• doprowadzenie do uruchomienia dostępnego publicznie
kursu zarządzania ryzykiem na wysokim poziomie merytorycznym.
Oddajemy w Państwa ręce ten raport, mając świadomość,
że znajdą w nim Państwo więcej pytań niż odpowiedzi. Stwierdziwszy najpierw, że zarząd powinien umieć zademonstrować
akcjonariuszom, że panuje nad całą firmą i jej bezpośrednim otoczeniem biznesowym – coraz bardziej zmiennym i nieprzyjaznym
– pytamy: czy kultura zarządcza w polskich firmach zachęca czy
też zniechęca menedżerów do podejmowania wyzwań i ryzyka?
Znani mi risk managerowie z Wielkiej Brytanii są przekonani, że
polskie zarządy są skłonne do podejmowania większego ryzyka
niż zarządy brytyjskie. Czy jednak podejmowane są właściwe
rodzaje ryzyka? Przedstawiamy naszą krytyczną ocenę stanu
zaawansowania zintegrowanego zarządzania ryzykiem (ERM)
w Polsce, gdzie firmy często próbują bezkrytycznie naśladować
banki – rządzące się przecież odrębnymi prawami własnego rynku
i Bazylei II – i uświadamiają sobie jedynie niezmiernie wąski,
wcale nie najważniejszy wycinek zagadnienia ryzyka.
W propagowaniu rozwiniętej, dojrzalej formy ERM przeszkadzają w Polsce nieporozumienia co do znaczenia używanych
terminów. W kontekście ERM próbuje się powszechnie używać
terminologii właściwej tylko dla banków i instytucji finansowych.
Sztandarowe „ryzyko operacyjne”, które w bankowości ma swoje
znaczenie (notabene obnażające – banki wrzucając wszystko,
co niefinansowe „do jednego worka”, dalekie są jeszcze od
prawdziwego ERM), w zintegrowanym zarządzaniu ryzykiem
jest nic nieznaczącym szwargotem lub w najlepszym wypadku
niedopuszczalnym ogólnikiem. Z bankowości zapożyczono takżę
ciągle pokutujące „zabezpieczanie ryzyka” – i to nawet w prasie
fachowej, np. w Harvard Business Review Polska. Zabezpieczyć
można pistolet lub dom przed włamaniem, ale nie ryzyko. Jak
dowiemy się z opracowania POLRISK, ryzyko można za to na
przykład minimalizować, redukując jego skutek lub zmniejszając
prawdopodobieństwo jego wystąpienia (tzw. prewencja). Ale
POLRISK już pomyślał o wyprostowaniu tego problemu językowego: powstał nasz słownik angielsko-polski, zawierający sto
najczęściej używanych terminów, niebawem będzie on dostępny
na naszej witrynie internetowej.
W raporcie pokazujemy, że zarządzanie ryzykiem nie jest
dyscypliną wyizolowaną: przenika się z corporate governance,
wewnętrznej kontroli oraz business continuity management i zarządzaniem kryzysowym. Tłumaczymy, dlaczego nie ma jednego
sposobu zarządzania ryzykiem, jakie są najpowszechniej stosowane
standardy i dobre praktyki oraz dlaczego tak trudno dobrać ten
jeden, najwłaściwszy dla przedsiębiorstwa system.
W tym miejscu nie mogę nie uczynić ważnej dygresji: niedawno Federacja Europejskich Stowarzyszeń Zarządzania Ryzykiem (FERMA),
której POLRISK jest członkiem, zajęła krytyczne stanowisko wobec
próby przyjęcia standardu ISO dotyczącego zarządzania ryzykiem
i obowiązku certyfikowania, jak to ma miejsce w przypadku ISO
9001 lub ISO 14000. Argumenty przytaczane przez FERMA są
w całej rozciągłości akceptowane przez piszącego te słowa:
– najlepszy nawet standard nie mógłby właściwie pomieścić tak
szerokiej i różnorodnej dyscypliny jak zarządzanie ryzykiem; firmy
stosowały i nadal będą stosować różne metodologie, zasady i priorytety w zarządzaniu ryzykiem, choćby dlatego, że funkcjonują na
różnych rynkach czy w różnych branżach;
– firma będzie musiała przeznaczyć istotne zasoby na wprowa-
Rafał Rudnicki
– menedżer ryzyka i ubezpieczeń w logistycznej
Grupie Raben
– współzałożyciel i prezes Zarządu Stowarzyszenia
POLRISK
– członek AIRMIC (brytyjskie stowarzyszenie risk
managerów)
– członek Zarządu FERMA (Federacja Europejskich
Stowarzyszeń Zarządzania Ryzykiem)
– niezależny konsultant, wykładowca i autor
artykułów nt. zarządzania ryzykiem, m.in.
w Strategic Risk, Business Insurance Europe,
Miesięczniku Ubezpieczeniowym, Harvard Busines
Review Polska, Asekuracja & R e, Gazecie Prawnej
dzenie i utrzymanie certyfikacji ISO w zarządzaniu ryzykiem, obniżając tym samym swoją konkurencyjność (co byłoby sprzeczne
z celami ERM – np. z poprawą konkurencyjności)
– zgodność ze standardem ISO może dawać zarządowi, udziałowcom, klientom i regulatorowi złudne przekonanie o bezpieczeństwie i panowaniu nad sytuacją.
Zdaniem piszącego, należy dorzucić jeszcze jeden niebagatelny
argument przeciw: wprowadzenie standardu ISO i wymogu
certyfikacji sprowadziłoby rolę risk managementu do zagadnienia
zgodności (compliance), osiąganej najmniejszym kosztem, i to
wyłącznie na papierze. Tym samym uśmierciłoby ideę zarządzania
ryzykiem, które powinno być motorem zmieniającym na wskroś
kulturę korporacyjną i dyscyplinę zarządczą.
Zapoznając się z najnowszym raportem firmy Marsh na temat
stanu zarządzania ryzykiem w polskich firmach, nie mogłem się
oprzeć refleksji, że percepcja ryzyka jest rzeczywiście subiektywna. Badania Marsh wskazują, że polskie przedsiębiorstwa za swoje
najgroźniejsze ryzyko uważają m.in. ryzyko kursowe i kredytów
handlowych. Jest to o tyle zastanawiające, że podobnie jak inne
rodzaje ryzyka czysto finansowego zostały już one dawno poznane, rozpracowane i w wielu wypadkach również uregulowane,
jeśli chodzi o sposoby i narzędzia ich minimalizowania. Dlatego
też są to obiektywnie, relatywnie niskie rodzaje ryzyka. Nie wspomina się natomiast o zatrważającym wprost i obecnym na skalę
już narodową ryzyku ucieczki know how i młodej, przedsiębiorczej, wykwalifikowanej siły roboczej z kraju, w tym przyszłej kadry
menedżerskiej. Dzisiejszy brak zdecydowanych działań mających
na celu zarządzanie ryzykiem zapewne odbije się w przyszłości
koniecznością zarządzania kryzysem.
Skoro już redakcja CFO podjęła ryzyko dopuszczenia mnie do pióra,
pozwolę sobie postawić kolejne wywrotowe tezy:
– zarządzanie ryzykiem to nie ubezpieczanie, jak niestety ciągle
uważa większość polskich przedsiębiorców,
– ubezpieczanie to nie transfer ryzyka lub forma zarządzania nim,
jak próbuje przekonywać większość ubezpieczycieli i brokerów,
a tylko forma finansowania (często dość lichego), niektórych jego
skutków.
Mam świadomość, że z ostatnią tezą większość ubezpieczycieli
gotowa byłaby zacięcie się nie zgadzać. Ale między innymi
posiadanie własnej opinii powinno dowodzić niezależności menedżerów ryzyka od rynku ubezpieczeniowego. Niezależności, jaką
polska społeczność risk managerów, mam nadzieję, niebawem
wypracuje.
Czy menedżer ryzyka do końca jest partnerem brokera
i ubezpieczyciela? Tzw. „transparency”, problem jawności
i sposobu konstruowania wynagrodzenia brokerów, ciągle
natrafia w Europie na opór i niechęć tych ostatnich, co odbija się
niezadowoleniem społeczności risk managerów z takiego stanu
rzeczy i przymiarkami regulatora europejskiego do dyscyplinowania rynku ubezpieczeniowego. Z kolei badanie AIRMIC pod hasłem
„Willingness to pay”, ma na celu ujawnienie, w jakim stopniu
poszczególni ubezpieczyciele w Wielkiej Brytanii są skłonni szybko
i w pełni wypłacić należne roszczenia ubezpieczeniowe. Badaniepowstało w związku z niezadowoleniem risk managerów z postawy części ubezpieczycieli, utrudniających lub odwlekających
wypłatę należnych odszkodowań. Z zainteresowaniem będziemy
w Polsce śledzić to przedsięwzięcie na Wyspach i przymierzać
się do podobnego u nas. Oba zjawiska stanowią świadectwa
przełamywania dotychczasowych tabu i barier przez europejską
społeczność menedżerów ryzyka oraz monopolu przedstawicieli
rynku ubezpieczeniowego na wizję zarządzania ryzykiem. Czas,
aby świadome firmy i ich menedżerowie ryzyka zaczęli sami
przejmować inicjatywę i brać ryzyko w swoje ręce.
Zamykając ten wątek: nie chowajmy się przed ryzykiem,
lecz podejmujmy go jak najwięcej – w końcu na tym polega
nowoczesne ERM.
W drugiej części raportu znajdą Państwo rozważania poświęcone
wielowątkowości i różnorodności zarządzania ryzykiem. Krytykę
złej praktyki staramy się zbilansować małym poradnikiem dla
początkującej w tajnikach ERM firmy. Na koniec przybliżamy
osobę (funkcję) typowego menedżera ryzyka i społeczność risk
managerów. Życzę Państwu pouczającej lektury i wyrażam
nadzieję, iż w przyszłości znów zaistniejemy na łamach sprzyjającego nam CFO.
Rafał Rudnicki
Prezes Zarządu Stowarzyszenia POLRISK
W naszych tekstach wykorzystaliśmy badania FERMA, a także
prace finansowane lub przeprowadzane przez członków bądź
partnerów POLRISK, ACE, Aon, E&Y, Marsh oraz przez Deloitte.
Zintegrowane zarządzanie ryzykiem
– LUKSUS CZY KONIECZNOŚĆ
Rafał Rudnicki, risk & insurance manager, Raben Group
Janusz Słobosz, risk consulting manager, Aon Polska
Z
umieć zademonstrować im, że panuje nad całą firmą
i jej bezpośrednim otoczeniem biznesowym i że będzie
tak również w przyszłości. ERM jest doskonałym sposobem, aby to zrobić.
Po drugie, ERM dostarcza mechanizmu pozwalającego menedżerom niższego szczebla podejmować
większe ryzyko w sposób kontrolowany i zgodny z celami firmy, a tym samym zwiększać jej konkurencyjność.
I w końcu, ERM jest systemem zarządczym, który rodzi
się „na górze” i kaskaduje od najwyższych do najniższych poziomów zarządczych; ponadto wymusza na
menedżerach każdego szczebla myślenie perspektywiczne, długofalowe. W ten sposób menedżerowie niższych szczebli stają się lepszymi partnerami dla zarządów, którym łatwiej jest znaleźć z nimi wspólny język.
Dlaczego zarządzanie ryzykiem jest
tak istotne właśnie teraz?
Polscy przedsiębiorcy podejmując decyzje, muszą
uwzględnić coraz więcej zmiennych, które im dostarcza szybko zmieniające się otoczenie biznesowe. Istotne rodzaje ryzyka określone kilka lat temu przechodzą
na dalszy plan ze względu na ich lepsze rozpoznanie
oraz wypracowanie skutecznych lub nowych metod
postępowania z nimi. Nie oznacza to, że zniknęły, ale
zostają przyćmione nowymi zagrożeniami. Ta dynamiczna sytuacja wymaga od zarządzających innego
podejścia i narzędzi pozwalających skutecznie sprostać
nowym wyzwaniom.
Tradycyjnie kierownictwo wyższego szczebla zajmowało się obszarami ryzyka operacyjnego i finanso-
wego. Obecnie muszą zmagać się ze zróżnicowanymi,
złożonymi i egzotycznymi kwestiami, takimi jak:
kryzysy reputacji, niepokoje pracownicze, pandemia
i wpływ nowych regulacji na prowadzoną działalność.
Ta sytuacja odzwierciedlona jest w ostatnim badaniu
Aon Global Risk Management Survey i we wskazaniach głównych rodzajów ryzyka wytypowanych przez
respondentów (tabela 1).
Tabela 1. Główne rodzaje ryzyka
wg wskazań respondentów
Częstotliwość
Opis ryzyka
1
– Utrata reputacji
2
– Przerwa dzałalności
3
– Odpowiedzialność cywilna
Źródło: Aon Global Risk Management Survey 2007
Z raportu wynika również, że rodzaje ryzyka, które najbardziej martwią zarządzających, są najsłabiej
zarządzane ze względu na ich złożoność, trudności
w postępowaniu z nimi, małą przewidywalność i obejmują swym zasięgiem całą organizację (tabela 2).
Ilustracja: Getty Images/FPM
dolność postrzegania ryzyka ze zrozumieniem
jest fundamentalnym czynnikiem umożliwiającym działanie w dzisiejszym otoczeniu biznesowym. Bez właściwego rozpoznania i zrozumienia
ryzyka trudno jest inwestować i podejmować właściwe
inicjatywy biznesowe. W takim ujęciu ryzyko ma smak
zarówno słodki, jak i gorzki.
Aby członkowie wyższego kierownictwa mogli sobie
uzmysłowić, dlaczego zintegrowane zarządzanie ryzykiem (Enterprise Risk Management – ERM) jest dziś
ważne dla coraz większej liczby polskich firm – również
dla ich firmy – wystarczy, że zadadzą sobie kilka fundamentalnych pytań:
• Czy Ty i Twój zarząd rozumiecie główne rodzaje ryzyka wpływające na firmę jako całość?
• Jaki dokładnie jest Wasz stopień narażenia na ryzyko? Na ile jesteście pewni swojej oceny?
• Na ile skutecznie w Twojej firmie porównuje się i zestawia rodzaje ryzyka pochodzące z różnych obszarów działań (np. porównywanie ryzyka finansowego
z ryzykiem politycznym lub ryzykiem w obszarze
zasobów ludzkich)?
• Jakie kompetencje mają poszczególni menedżerowie, którzy, naszym zdaniem, umieją prawidłowo
zarządzać ryzykiem? Czy są one wystarczające?
Jakich umiejętności im potrzeba?
• Czy jesteś teraz pewny, czytając ten tekst, że Twoja
firma podjęła właściwe decyzje i kroki, dzięki którym może poradzić sobie z głównymi rodzajami
ryzyka wpływającymi na firmę?
• Jakie zasoby będą musiały być poświęcone postępowaniu z ryzykiem i jego monitorowaniu w ciągu
najbliższych 12 miesięcy?
• Jak możemy się zorientować, czy nasze wysiłki poświęcone zarządzaniu ryzykiem przynoszą oczekiwane rezultaty?
I w końcu, być może, najważniejsze pytania:
• Czy kultura zarządcza w Twojej firmie zachęca lub
zniechęca menedżerów do podejmowania wyzwań
i ryzyka oraz czy są to wyzwania o właściwym poziomie ryzyka?
Prawdopodobnie nikt z Państwa nie odpowie twierdząco na wszystkie pytania. Z punktu widzenia praktyka i członka zarządu, co najmniej trzy cechy dobrego
zarządzania ryzykiem pozwalają pogłębić refleksję nad
tymi pytaniami i ukazać je we właściwym kontekście.
Po pierwsze, zarząd zwykle nie działa dla siebie,
lecz dla właścicieli (akcjonariuszy), dlatego powinien
Wymagają one innowacyjnych rozwiązań, których
trudno szukać w dotychczasowych doświadczeniach i wachlarzu opracowanych metod zarządzania ryzykiem.
Tabela 2. Gotowość do zarządzania
ryzykiem
Opis ryzyka
Respondenci
nieprzygotowani na to ryzyko
– Utrata reputacji
52%
– Przerwa dzałalności
30%
– Odpowiedzialność
cywilna
25%
Źródło: Aon Global Risk Management Survey 2007
W tym kontekście takie kwestie, jak: identyfikacja,
kwantyfikacja i analiza ryzyka, staną się priorytetowe
w nadchodzących latach. Zarządzanie ryzykiem na
bazie całego przedsiębiorstwa (ERM) będzie jednym
z najważniejszych zadań w organizacjach, zastępując
obecną koncentrację wysiłków w kierunku zgodności
działania z przepisami/regulacjami i raportowaniem
z wykonania tych obowiązków. Tak przynajmniej jest
w dużych organizacjach i wybranych sektorach.
Integralnym elementem ERM jest pozycja risk managera lub jego nowsze określenie i również szerszy
zakres odpowiedzialności niż tradycyjnie – chief risk
officer (CRO). Rola CRO jest najbardziej widoczna
w sektorach regulowanych, takich jak bankowość
czy ubezpieczenia, jednakże również inne branże powoli akceptują jego obecność, gdyż może się okazać
krytyczna w zmieniającym się globalnie środowisku
ryzyka.
Z CRO czy bez niego następuje również wzrost
znaczenia komitetów ds. ryzyka w celu zapewnienia
bardziej zintegrowanego i systematycznego podejścia do ryzyka w całej organizacji. W przypadku dużej
organizacji utworzenie stanowiska odpowiedzialnego za koordynację działań w zakresie zarządzania
ryzykiem na pewno będzie z korzyścią dla firmy,
aczkolwiek wiele zależy od kultury organizacyjnej
samej firmy oraz właściwego umocowania.
Należy pamiętać, że zarządzanie ryzykiem na bazie
całego przedsiębiorstwa nie powinno być traktowane
jako podejście dla wybranych. Nie powinno się patrzeć
na ERM w pierwszej kolejności przez pryzmat struktury, procedur, formularzy, formalnego procesu. Zaleca
się, aby pierwszym krokiem była budowa świadomości ryzyka, a do tego nie zawsze trzeba zatrudniania
risk managera czy opracowywania wielkiej księgi
procedur. Bez zwiększonej świadomości i zrozumienia,
czym jest zintegrowane spojrzenie na ryzyko i jakie
wartości niesie, ERM będzie wyłącznie kolejnym odhaczeniem na liście do zrobienia w celu zaraportowania
zgodności działania ze stosownymi regulacjami.
Oczywiście, jedną z głównych przyczyn wzrostu
rangi zarządzania ryzykiem oraz wypracowania nowego podejścia były skandale korporacyjne (Enron,
Wordcom) i pojawiające się regulacje wymuszające
na zarządzających lepszą kontrolę organizacji i wiarygodność przekazywanych informacji. Można tu wymienić amerykańską regulację Sarbanes-Oxley Act.
Ta sytuacja i nacisk na lepszy nadzór czy ład korporacyjny (corporate governance) wpłynęły na renesans
zarządzania ryzykiem.
Zarządzanie ryzykiem jest częścią skutecznego
ładu korporacyjnego, który stanowi zbiór zasad postępowania, całość działań oraz regulacji odnoszących się do szeroko rozumianego zarządzania organizacją. W tym zakresie powstaje wiele „twardych” czy
„miękkich” regulacji, które mają na celu wymuszanie
i promowanie właściwego zachowania i praktyk.
Zagadnienia ładu korporacyjnego można odnaleźć
w wielu przepisach prawna krajowego oraz w dyrektywach europejskich. W skali międzynarodowej
pierwszą inicjatywą sformułowania podstawowych
elementów systemu nadzoru korporacyjnego był dokument OECD – Principles of Corporate Governance
– jego ostatnią wersję państwa członkowskie przyjęły w 2004 r. W Polsce regulacje ładu korporacyjnego „Dobre praktyki w spółkach publicznych w 2005”
zostały przyjęte przez Giełdę Papierów Wartościowych w Warszawie. Pomimo nacisku na ochronę akcjonariuszy mniejszościowych wskazują one również
pośrednio lub bezpośrednio na kwestie zarządzania
ryzykiem.
Zarządzanie ryzykiem nie jest tylko dla dużych organizacji, ale dla nawet najmniejszego przedsiębiorcy.
Zarówno duża korporacja, jak i mały przedsiębiorca
boryka się z tym samym problemem w dzisiejszym
zmieniającym się świecie – czy mam wystarczające
informacje do analizy, podjęcia właściwych decyzji
oraz umiejętności kontrolowania i realizowania zadań. Duża korporacja powinna opracować i wdrożyć
cały system wspomagający zarządzanie organizacją,
obudowany procedurami oraz wieloma wysiłkami, aby
właściwie funkcjonował. Małemu przedsiębiorcy może
wystarczyć zaadaptowanie podstawowych elementów
metodologii oraz zrozumienie podstaw jej działania.
Do tej pory opracowano już wiele wytycznych reprezentujących najlepsze, rozpoznawalne na rynku,
praktyki zarządzania ryzykiem, do których można
zaliczyć:
• amerykańskie Enterprise Risk Management – Integrated Framework COSO II 2004;
• brytyjskie RM Standard AIRMIC/ ALARM/ IRM
2002;
• australijsko-nowozelandzkie AS/NZS 4360:2004;
• południowoafrykańskie King II.
Niektóre z nich zostały scharakteryzowane w skrócie w kolejnych częściach raportu.
W odróżnieniu od powyższych dobrych praktyk o charakterze „miękkim” lub dobrowolnym,
należy wspomnieć o „twardych” uregulowaniach
występujących na finansowych rynkach, również
europejskich: Bazylea II dla bankowości (Basel
Committee on Banking Supervision – International
Convergence of Capital Measurement and Capital
Standards; A Revised Framework) lub Solvency II
dla ubezpieczeń.
Od kilku lat trwa międzynarodowa debata, nabierająca ostatnio tempa i temperatury, na temat
stworzenia standardu ISO dotyczącego reguł korporacyjnego zarządzania ryzykiem. Latem tego roku
FERMA wydało w tej sprawie oświadczenie na temat
stanowiska risk managerów – praktyków, którzy są
zdania, że stworzenie takiego „sztywnego” standardu
przysporzy więcej szkód rozwojowi dyscypliny zarządzania ryzykiem niż pożytku oraz ujemnie odbije się
na jakości risk managementu w przedsiębiorstwie.
Tego samego zdania są autorzy artykułu i prawdopodobnie większość polskich risk managerów, członków
POLRISK.
Każde z prezentowanych podejść zarządzania
ryzykiem obejmuje identyfikację ryzyka, jego ocenę, postępowanie oraz monitoring i raportowanie.
Elementy te nie zmieniły się i stanowią trwałe filary
procesu. Jednakże koncepcja ERM jest nakierowana
na lepsze powiązanie działań w kontekście ryzyka z celami biznesowymi organizacji i eliminacje
ograniczeń wynikających z tradycyjnego podejścia.
ERM ma umożliwić spójność działań w zakresie zarządzania ryzykiem, zapewniać akcjonariuszy, że ich
środki są właściwie rozporządzane i wspierać sukces
organizacji.
To wszystko łączy ERM z takimi zagadnieniami, jak
audyt wewnętrzny czy zarządzanie ciągłością działalności. Koncepcje te przenikają się nawzajem lub
się uzupełniają, ale ERM wydaje się spinać wszystkie
elementy.
Audyt wewnętrzny ma zagwarantować zarządowi, że wytyczone przez niego reguły gry są przestrzegane przez kierownictwo i wszystkich pracowników
– a w praktyce ma pokazać, gdzie i przez kogo nie
są przestrzegane. Działania audytu weryfikują zatem
skuteczność wdrożonych systemów kontroli i zapewniają ich obiektywną ocenę i prawidłowe działanie.
Zarządzanie ryzykiem, pokazujące dynamicznie
zmieniającą się mapę różnych rodzajów ryzyka firmy
i jej otoczenia, oraz wnioski z niego płynące są właśnie takim ukierunkowaniem działań funkcji audytu
wewnętrznego.
Po przeprowadzonej analizie ryzyka, skwantyfikowaniu oraz wyłonieniu grupy rodzajów ryzyka
krytycznego, które mogą zagrozić ciągłości biznesu
(przetrwaniu firmy), jednym z kolejnych kroków
czy podejmowanych środków zaradczych jest próba
zarządzania ciągłością działalności firmy w kontekście wcześniej zdiagnozowanych rodzajów ryzyka
krytycznego. W tym sensie Business Continuity
Management (BCM) jest jakby gałęzią odrębnych
działań, wynikającą jednak bezpośrednio z mechanizmów zarządzania ryzykiem (i oczywiście
wniosków z niego płynących). Wśród zwolenników
i sympatyków BCM jest wielu takich, którzy twierdzą, że to zarządzanie ryzykiem jest elementem
BCM, ale to już zapewne materia na osobny, bardzo
długi artykuł.
Co jeszcze przemawia
za zintegrowanym
zarządzaniem ryzykiem?
Najczęściej próbuje się przekonywać kierownictwo
wyższego szczebla do zarządzania ryzykiem, rysując
obraz zgliszczy firmy po katastrofie, wizję utraconych
miejsc pracy i rynków zbytu czy ciągnących się spraw
sądowych. Na całe szczęście nie jest to konieczne,
gdyż ERM ma przesłanie pozytywne, niosące dla firm
korzyści w krótkim i długim horyzoncie czasowym,
w wielu obszarach swojej aktywności.
System ERM jest źródłem uporządkowanych
i zwięzłych komunikatów biegnących z warstwy
operacyjnej przedsiębiorstwa. Zapewnia odpowiedni monitoring głównych rodzajów ryzyka, na które
firma została wystawiona, oraz stan i skuteczność
działań kontrolujących ryzyko. W ten sposób pomaga
zarządowi wykonywać obowiązki związane z nadzorem korporacyjnym.
Mechanizm ERM gwarantuje skupienie uwagi na
rodzajach ryzyka posiadających największy wpływ
na wartość firmy i jej cele strategiczne. Efektywnie
rozlokowuje kapitał i zasoby zarządzania ryzykiem
do obszarów o wysokim ryzyku oraz przyjmuje najlepsze praktyki konsekwentnie we wszystkich jednostkach biznesowych. Ukazuje powiązania pomiędzy poszczególnymi rodzajami ryzyka – dzięki czemu
możliwe są bardziej wnikliwe analizy „ekspozycji”
przedsiębiorstwa na ryzyka.
ERM, właściwie wprowadzone i konsekwentnie
wspierane przez zarząd, pozytywnie przeobraża kulturę zarządczą firmy.
Wszyscy menedżerowie są zapracowani i mają mało
czasu, dlatego zarządzanie ryzykiem musi być prowadzone systemowo. Zwarty system ERM zapewnia proste rozwiązania – jedna formuła oceny ryzyka w całej
organizacji. Nie można sobie pozwolić, żeby niektóre
części firmy prowadziły zarządzanie ryzykiem, a inne
nie, podobnie jak nie można sobie pozwolić, aby poszczególne części firmy oceniały ryzyko i zarządzały
nim na różne sposoby i według różnych kryteriów.
Sprawnie funkcjonujący system pozwala mene
dżerom nie dać się wyprzedzić przez rzeczywistość:
skłania do przewidywania ryzyka, dostrzeżenia
właściwego ryzyka we właściwym czasie, a później
do skutecznemu zarządzania nim. Nieprzewidziane
i niepożądane wydarzenia będą występować rzadziej, a ich skutki staną się mniej dotkliwe. To z kolei
jest gwarancją, że mniej czasu będzie się w firmie
poświęcać na „gaszenie pożarów”, natomiast wszelkie inicjatywy zmian z większym prawdopodobieństwem będą się kończyć sukcesem.
Rzetelne informacje gromadzone i krytycznie analizowane podczas oceny ryzyka i wnioski wyciągane
podczas decydowania o sposobie postępowania z ryzykiem przekładają się na solidną bazę dla ustalenia
strategii, pozwalającą wykorzystać szanse biznesowe
i uniknąć zagrożeń.
Jednym z najczęstszych argumentów przeciw
wprowadzeniu ERM jest stwierdzenie: przecież my
już zarządzamy ryzykiem w dziale... I tutaj najczęściej
są wymieniane działy: ubezpieczeń, finansów, audytu, zakupów... Zintegrowane zarządzanie ryzykiem
pomaga ustrzec się najczęstszych błędów, charakterystycznych dla tak właśnie zarządzanych firm:
• podejścia fragmentarycznego – w ramach komórek organizacyjnych, obszarów funkcjonalnych
– ocena istotności ryzyka odbywa się jedynie na
poziomie oddziału lub działu;
• braku skoordynowania decyzji w skali całej firmy
– na postępowanie z ryzykiem przeznacza się zasoby firmy – kapitał i czas menedżerów;
• pozostawiania ryzyka bez „właścicieli” – osób
bezpośrednio za nie odpowiedzialnych, ale też
posiadających władzę menedżerską, pozwalającą nim realnie zarządzać;
• braku wspólnego języka analizy ryzyka w całej
firmie i komunikacji pomiędzy funkcjami lub obszarami zarządzającymi ryzykiem;
• wąskiego rozumienia metod zarządzania
ryzykiem, tj. najczęściej jako unikanie ryzyka lub
jego ubezpieczanie.
Jakie mogą być konkretne motywacje
wdrożenia zintegrowanego zarządzania ryzykiem?
Ciekawym zagadnieniem są źródła motywacji
przedsiębiorstw lub branży do wprowadzenia
ERM. Wspomniane badania FERMA, opublikowane około pół roku temu, pokazują, że głównymi
zewnętrznymi czynnikami wymuszającymi na
firmach wprowadzenie ERM są regulatorzy i wymagania prawne (67%) oraz historyczne zdarzenia
katastroficzne (62%). Co ciekawe, w porównaniu
z rokiem 2004 spada znaczenie wymogów czy
woli udziałowców (spadek z 57% do 35%) lub
kosztów ubezpieczenia (spadek z 51% do 33%).
Na tym tle interesująco wypada przykład Grupy
Raben, międzynarodowej grupy logistycznej z cen-
tralą w Polsce, której udziałowcami są członkowie
holenderskiej rodziny Raben. W roku 2004, kiedy
rozpoczęto wprowadzanie zarządzania ryzykiem
w spółkach Raben, żadne przepisy naszego lokalnego czy unijnego prawa nie wymagały wprowadzenia ERM w spółkach nienotowanych na giełdzie
– więc to nie tzw. „compliance” było motorem
napędowym. Przeciętny klient Grupy był mniej
świadomy wagi zintegrowanego zarządzania ryzykiem niż sam operator logistyczny – dopiero od
kilku, a raczej kilkunastu miesięcy zaczyna się to
powoli zmieniać. Tym samym trudno powiedzieć,
żeby to rynek wymusił wprowadzenie zasad zintegrowanego zarządzania ryzykiem. Wydaje się,
że elementem krytycznym było uzyskanie pewnej
granicznej skali działalności i jej stopnia skomplikowania na poziomie zarówno operacyjnym, jak
i strategicznym oraz zawrotne tempo dalszego
wzrostu – nie tylko organicznego, ale i bazującego
na akwizycjach w kilku krajach europejskich. Firma
była niejednorodna (patrz przejęcia innych spółek)
i bardzo szybko się rozwijała na dość ruchliwych
i trudnych rynkach, dlatego była idealnym „kandydatem” do dużej, niekontrolowanej katastrofy
biznesowej. Decyzja o wprowadzeniu ERM w całej
Grupie była podjęta przez zarząd i akcjonariuszy
w sposób naturalny, bez nacisków z zewnątrz,
gdyż po prostu wydawała się naturalnym etapem
rozwoju przedsiębiorstwa.
Polscy przedsiębiorcy stoją przed tymi samymi
problemami co wiele międzynarodowych koncernów.
Wszyscy już działamy na rynku europejskim, a wielu
z nas współpracuje lub zamierza współpracować
z dostawcami i odbiorcami na całym świecie. Ogarnięcie całego otoczenia jest coraz trudniejsze, a aktywne zarządzanie ryzykiem staje się niezbędnym
czynnikiem do uzyskania przewagi konkurencyjnej
na polskim i globalnym rynku. Koncepcja enterprise
risk management daje nam możliwość osiągnięcia tej
przewagi.
co to jest erm?
Termin „zintegrowane zarządzanie ryzykiem” ma wiele
synonimów, używanych naprzemiennie. Mowa również
o zarządzaniu ryzykiem gospodarczym, zarządzaniu
ryzykiem biznesowym, holistycznym, kompleksowym
zarządzaniu ryzykiem, czy też po angielsku: enterprise
risk management, holistic risk management lub
business risk management. Pewne środowiska risk
managerów zdecydowały się na używanie wyłącznie
jednego lub dwóch z tych terminów.
POLRISK definiuje zintegrowane zarządzanie ryzykiem
jako „element proaktywnego zarządzania organizacją,
obejmujący kulturę zarządczą, procesy i struktury,
polegający na metodycznym podejściu do kwestii
związanych z ryzykiem, w celu zwiększenia szans
osiągnięcia korzyści i zmniejszenia ryzyka porażek”.
ERM w praktyce polskiej
W
Polsce zarządzanie ryzykiem kojarzy się
przede wszystkim z branżą finansową
– z ubezpieczeniami, kredytami, ryzykiem walutowym czy inwestycjami giełdowymi. Menedżerowie firm innych branż często nie zdają sobie
sprawy z faktu, że tak naprawdę cały czas prowadzą
proces zarządzania ryzykiem w swoich firmach, tylko w sposób nieświadomy, a przez to niekompletny
i niesystematyczny
Doświadczenie zawodowe niewielkiej grupy menedżerów ryzyka z naszego kraju (z wyłączeniem osób
pracujących w działach zarządzania ryzykiem banków
i zakładów ubezpieczeń – grupa liczna, ale skoncentrowana na branży finansowej) skłania autorów niniejszego artykułu, zaliczających się do ww. grupy, aby wyrazić kilka opinii bazujących wprost na własnej praktyce
związanej z pracą w zakresie zarządzania ryzykiem.
Nasuwa się nam wiele spostrzeżeń dotyczących
niewłaściwego lub niepełnego zrozumienia pojęcia
zarządzania ryzykiem i kojarzenia go z… No właśnie,
z czym?
W Polsce zarządzanie ryzykiem kojarzy się przede
wszystkim z branżą finansową, a ściślej z ubezpieczeniami, kredytami, ryzykiem walutowym czy inwestycjami giełdowymi. Zdarzają się menedżerowie firm innych
branż, którzy słyszeli o pojęciu „zarządzanie ryzykiem”
i nawet znają jego definicję i elementy całego procesu,
ale tylko teoretycznie. Kojarzą to pojęcie zwykle z bezpieczeństwem. Często nie zdają sobie sprawy z faktu,
że tak naprawdę cały czas prowadzą proces zarządzania
ryzykiem w swoich firmach, tylko w sposób nieświadomy, a przez to niekompletny i niesystematyczny.
Patrz ramka nr 1.
Patrz ramka nr 2.
Należy jednak zwrócić uwagę na fakt, że menedżerowie ryzyka z branży bankowej i ubezpieczeniowej
w Polsce są często świetnymi fachowcami, z wiedzą
z zakresu zarządzania ryzykiem dostosowaną do
branży, w której pracują, i oni właśnie w większości
przypadków stają się pionierami wprowadzenia zarządzania ryzykiem w wielu obszarach gospodarczych
naszego kraju.
Klasycznym przykładem tej sytuacji jest jedna z osób,
autorów niniejszego artykułu, wywodząca się z branży
ubezpieczeniowej, a obecnie pracująca głównie na rzecz
firm produkcyjnych i usługowych z branż pozafinansowych. Taka zmiana branży wymaga jednak od menedżera ryzyka dużej interdyscyplinarności, doświadczenia
zawodowego i elastyczności w zmianach metodologii
stosowanej dotychczas dla branży finansowej.
Są także menedżerowie ryzyka, którzy zarządzanie
ryzykiem stosowali „od zawsze”, choć pracowali na zupełnie innych stanowiskach w firmach różnych branż.
W związku z tym, że większość produktów dostępnych
w Polsce ma swój początek w pracach konstrukcyjno-laboratoryjnych, dobrze wdrożony i utrzymywany system zarządzania w laboratoriach uwzględnia elementy
RAMKA 1
Fabryka w Polsce jest jednym z ogniw produkcji
światowej firmy o znanej marce. Okazuje się, że zakład
w Polsce jest jedynym, w którym wykonuje się konkretny element produkowanego towaru. Firma zagraniczna
zgłosiła termin przeprowadzenia kontroli u polskiego
producenta ważnego podzespołu, a w ramach
planu kontroli ujęła procedury zarządzania ryzykiem.
Wykonany telefon do menedżera ryzyka wiązał się
z pytaniem, ile czasu zajmie napisanie procedury, czy
będzie to jedna strona formatu A4, czy też kilka stron?
Wnioski na temat świadomości polskiej firmy dotyczącej zarządzania ryzykiem pozostawiamy Czytelnikowi.
A dlaczego zarządzanie ryzykiem jest w tym przypadku
takie ważne? Jeżeli zostanie przerwana ciągłość działania polskiej firmy, która jest jedynym producentem
konkretnego podzespołu, to automatycznie zostanie
przerwana ciągłość produkcji w firmie światowej
renomy, która nie może sobie na to pozwolić.
A tak na marginesie, to ta światowa firma też chyba nie
do końca dobrze zarządza ryzykiem, jeżeli nie ma alternatywy w postaci innej firmy. A może to tylko socjotechnika
w kontaktach z polską firmą?
FOTO: Getty Images/FPM
Anna Słodczyk, risk manager, konsultant ds. zarządzania
ryzykiem, ASA
Piotr Mąkosa, ekspert z zakresu metodologii szacowania
i zarządzania ryzykiem, PCC sp. z o. o.
Elżbieta Pluska, dyrektor rozwoju biznesu, Atmoterm SA
Marek Rosiński, pełnomocnik ds. badań i rozwoju,
Atmoterm SA
analizy ryzyka związanej z działalnością laboratoriów.
Choć zwykle menedżerowie kierujący laboratoriami nie
nazywają tych działań w taki właśnie sposób, to wprowadzili oni, często nieświadomie, elementy zarządzania ryzykiem i techniki analizy ryzyka.
Patrz ramka nr 3.
A jak postrzegane jest pojęcie zarządzania ryzykiem
w Polsce na tle badań międzynarodowych?
W roku 2006 federacja FERMA (Federation of European Risk Management Associations) przeprowadziła
wszechstronne badanie praktyk zarządzania ryzykiem
w Europie, zestawiając jego wyniki z wcześniejszymi
danymi z roku 2004. W badaniu wzięło udział 460 firm,
głównie z Europy Zachodniej, których przedstawiciele
odpowiadali na 29 pytań. Wśród badanych obszarów
znalazła się m.in. hierarchia ważności poszczególnych
rodzajów ryzyka. Respondenci wskazywali na ryzyko
operacyjne, handlowe i prawne jako najważniejsze
w bieżącej działalności. Natomiast w prognozie na
następne lata daje się zaobserwować wyraźny wzrost
istotności takich obszarów ryzyka, jak zasoby ludzkie
i ochrona środowiska.
W zakresie praktyki zarządzania ryzykiem wykazywane jest stopniowe przechodzenie od organizacji procesu zarządzania ryzykiem i identyfikacji ryzyka (u ponad połowy respondentów zadania już zrealizowane)
do tworzenia systemów wewnętrznego raportowania,
audytu i zarządzania danymi.
Badania firmy Marsh, przeprowadzone również
w roku 2006, dotyczyły 12 krajów Europy Środkowo-Wschodniej. Analizy dokonano na podstawie
informacji uzyskanych od ponad tysiąca menedżerów, głównie z sektora produkcyjnego oraz handlu
hurtowego i detalicznego. Dane uzyskane od respondentów wykazały, że główne obszary ryzyka to: rosnąca konkurencja, nieterminowe płatności, zmiany
popytu i cen towarów oraz zmniejszona wydajność
związana z absencją i fluktuacją pracowników. Jednocześnie stosunkowo niski procent respondentów
(26 – 50%) deklaruje stosowanie skutecznych procedur ograniczania tych elementów ryzyka. Firmy,
które skutecznie zarządzają ryzykiem, mają szanse na
uzyskanie przewagi konkurencyjnej. Jednak w wielu
RAMKA 2
W badanej spółce stwierdzono następujący stan:
• brak jest wiedzy na temat zmieniającego się unijnego i krajowego
prawa ochrony oraz związanych z tym zagrożeń;
• nie zarządza się ryzykiem środowiskowym w firmie – nie ma
procedur wewnętrznych;
przedsiębiorstwach nadal nie ma formalnego rejestru ryzyka oraz wdrożonych metod ich identyfikacji
i oceny, a także innych elementów tzw. klasycznego
zarządzania ryzykiem.
Podane wyżej informacje, dotyczące wyników badań firmy Marsh, wykazują, że opisane na początku
niniejszego artykułu doświadczenia menedżerów ryzyka są zgodne z wynikami badań. W Polsce brakuje
systematycznego podejścia do problemów zarządzania
ryzykiem, a przez to świadomi menedżerowie firm robią coś, co należałoby uporządkować i dostosować do
znanych w świecie metodologii.
Nasuwa się kolejne pytanie: dlaczego właśnie teraz
zaczynamy się nad tym zastanawiać?
Już trzeci rok jesteśmy w Unii Europejskiej, a to
wymaga od nas dostosowania się do dyrektyw
Unii Europejskiej i standardów w niej obowiązujących, które zostały zaimplementowane w postaci ustaw lub rozporządzeń do prawa polskiego.
Przykładem takich aktów prawnych jest Ustawa
o ochronie danych osobowych czy Kodeks pracy.
W obydwu dokumentach wymagane jest od firmy
przeprowadzenie analizy ryzyka w przedmiotowej
sprawie. Po przeprowadzeniu tejże analizy często
RAMKA 3
Laboratorium badawcze branży spożywczej przeprowadza analizy artykułów spożywczych w celu dopuszczenia ich
do obrotu na rynku. Prowadzi badania dla producenta jogurtu. Produktem laboratorium jest sprawozdanie z badań
zawierające wyniki analiz i badań, na których podstawie producent jogurtu wprowadzi towar na rynek. Jakikolwiek wynik
badań niezgodny z wymaganiami stawianymi producentowi daje laboratorium sygnał do wdrożenia działań zgodnie
z procedurami dotyczącymi wyrobu niezgodnego. Procedury muszą zawierać tryb postępowania w takim przypadku,
zidentyfikowane zagrożenia oraz hipotetycznie wielkość skutków zagrożeń, jakie może spowodować nieprawidłowy wynik badań i analiz przekazanych do producenta. Laboratorium stwierdza, że jego działania są prawidłowe, a wyniki badań
jak najbardziej zgodne z założoną specyfikacją i metodami badawczymi. Sprawozdanie zostaje przekazane producentowi
jogurtu. Producent jest zaskoczony, ponieważ okazuje się, że ma wdrożony system HACCP, którego integralną częścią jest
analiza ryzyka metodą HAZOP. Producent na podstawie sprawozdania z badań laboratorium przeprowadza proces analizy
ryzyka, zaczynając od technik identyfikacji ryzyka, zadając sobie pytanie, jak to się mogło stać. Kto miał rację i kto zapłaci
za błąd – laboratorium czy producent?
• nie ma osoby odpowiedzialnej za identyfikację ryzyka – o wszystkim kierownictwo dowiaduje się ze źródeł zewnętrznych;
•występuje niebezpieczeństwo ponoszenia niepotrzebnych dodatkowych kosztów związanych z ochroną środowiska.
okazuje się, że wymuszona przez przepisy prawa
analiza ryzyka uratowała firmę przed dużymi problemami, z których nie zdawałaby sobie sprawy.
Patrz ramka nr 4.
Proces zarządzania ryzykiem jest także standardem
w zagranicznych firmach, niezależnie tego, czy wymagają tego przepisy prawa czy też tylko zagraniczni
kontrahenci, w celu wypełnienia każdego swojego
ogniwa biznesowego procedurami gwarantującymi
nieprzerwanie ciągłości działania firmy. Nowe standardy zarządzania w firmach, ich wprowadzanie i certyfikacja nie zawsze przytaczają wprost wymóg dotyczący
RAMKA 4
Firma w wyniku szkolenia uzyskuje informacje o wymogu prawnym dotyczącym wprowadzenia procedur
zarządzania ryzykiem związanym z ochroną danych
osobowych. Kompleksowa analiza ryzyka wskazuje na
szereg nieprawidłowości w zabezpieczeniu dostępu do
pomieszczeń firmy z danymi osobowymi. Nieprawidłowości zostają przekazane pisemnie zarządowi
firmy, ze wskazaniem na konieczność realizacji zadań
priorytetowych, czyli postępowania z ryzykiem
nieakceptowanym. Zarząd odkłada procedury ochrony
danych osobowych na półkę i cieszy się z wywiązania
się z obowiązujących przepisów prawa (wprowadzenie
wymaganych dokumentów w firmie i przeszkolenie
pracowników). Po kilku miesiącach w miejscu wskazanym w analizie ryzyka jako zadanie priorytetowe
następuje włamanie w sposób dokładnie wskazany
przez menedżera ryzyka w dokumencie poufnym
dostarczonym do rąk własnych członka zarządu.
Wynikiem włamania jest kradzież komputerów. W tym
momencie zarząd powraca do przedstawionej analizy
ryzyka i konsekwentnie realizuje wszystkie zalecenia
związane z postępowaniem z ryzykiem.
Cóż można powiedzieć na zakończenie? Mądry Polak
po szkodzie! A można było nie myśleć tylko o samej
Ustawie i jej aktach wykonawczych, tylko opierając się
na analizie ryzyka, pomyśleć kompleksowo o firmie.
RAMKA 7
Zakład produkcji sprzętu medycznego produkujący
strzykawki kupuje materiał u podwykonawcy. Nigdy
nie przeprowadził audytu u poddostawcy. Rocznie
wprowadza kilkaset tysięcy strzykawek do szpitali. Po
kilku incydentach medycznych w szpitalu A, szpital
zlecił badania bakteriologiczne rzeczonych strzykawek.
Okazało się, że końcówki silikonowe tłoków strzykawek
zawierają bakterie salmonelli. Po inspekcji u producenta okazało się, że ma on przeprowadzoną prawidłowo
analizę ryzyka produkowanego wyrobu pod kątem
technicznym, jednak inspektor zwrócił uwagę na fakt,
że brakuje w niej elementów związanych z zagrożeniem
biologicznym. Producent nie zwracał uwagi na zagrożenia biologiczne, ale na zagrożenia konstrukcyjne.
W efekcie zostało zarażonych kilkadziesiąt osób, a partia kilkudziesięciu strzykawek wycofana z magazynów
szpitali oraz producenta. Jak zwykle powstaje pytanie:
czy bardziej opłacało się przeprowadzić badania
półproduktów od poddostawcy, czy zapłacić odszkodowanie osobom poszkodowanym oraz wycofać feralny
silikon z produkcji? Odpowiedź zostawmy producentowi
po skalkulowaniu poniesionych kosztów.
wprowadzenia procedur zarządzania ryzykiem czy
analizy ryzyka. Jednakże zawsze wprowadzają szereg
sformułowań nomenklaturowych (np. walidacja), które
stają się niejako namiastką obszaru zarządzania ryzykiem. Przykładem jasnego i konkretnego wprowadzenia
wymogu analizy ryzyka jest system zarządzania bezpieczeństwem informacji, zgodnie z normą ISO/IEC 27001.
Patrz ramka nr 1 – ponowne odwołanie.
Patrz ramka nr 3 – ponowne odwołanie.
Zwróćmy uwagę na finalny efekt powołanego
wcześniej raportu FERMA, wg którego w prognozie na
następne lata daje się zaobserwować wyraźny wzrost
istotności takich obszarów ryzyka, jak zasoby ludzkie
i ochrona środowiska. Przedsiębiorstwa powinny na
bieżąco monitorować pojawiające się nowe wymagania dotyczące ochrony środowiska oraz pilnować
terminów realizacji obowiązków zapisanych w prawie.
Doświadczenia i obserwacje wskazują jednak na częste zaniedbania w identyfikacji tego rodzaju ryzyka.
Raport Marsha dotyczący odpowiedzialności z tytułu
zanieczyszczeń środowiska bardzo trafnie oddaje stan
świadomości polskich i środkowoeuropejskich przedsiębiorstw w tym zakresie. Rekomendowane działania
wskazują na potrzebę stosowania systemowych rozwiązań w obszarze ryzyka środowiskowego.
Patrz ramka nr 5.
Wracając do dyrektyw Unii Europejskiej, prawie wszystkie dyrektywy tzw. „nowego podejścia” znalazły odzwierciedlenie w polskim
prawie. Fakt ten spowodował, że producenci
działający w obszarze nowego prawa stanęli przed widmem spełnienia nowych wymagań
dotyczących produkcji i zarządzania, zawartych
w odpowiednich aktach prawnych w Polsce. Do takich spektakularnych dyrektyw należy Dyrektywa
Medyczna czy Dyrektywa Maszynowa. Ze względu
na specyfikę wymagań odnośnie przedmiotów będących podmiotem ich zakresu, obie dyrektywy przywołują analizę ryzyka, będącą, jak wiemy, podstawową częścią składową szeroko pojętego zarządzania
ryzykiem. Rzeczone dyrektywy wręcz precyzują
odpowiednie standardy zawierające techniki i metody analizy ryzyka, którymi producent powinien się
posługiwać.
Patrz ramka nr 6.
Patrz ramka nr 7.
Na zakończenie należałoby zadać pytania: Co powstrzymuje polskie firmy przed stosowaniem procedur
zarządzania ryzykiem? Na jakie bariery napotykają?
Według aktywnie pracujących i promujących jednocześnie zarządzanie ryzykiem menedżerów powody są
następujące:
• bariery merytoryczne (brak specjalistycznej wiedzy
o ryzyku i zarządzaniu ryzykiem w firmach);
• bariery związane z mentalnością (np. problem współpracy z menedżerem ryzyka
i wskazanie na problemy firmy, bo być może spowoduje to wyrzucenie z pracy osoby, która wskazała
problem);
• bariery finansowe, gdyż:
− kadra menedżerska ze specjalizacją z zarządzania
ryzykiem powinna być dobrze opłacana i niezależna,
bo tylko wtedy jest obiektywna,
− często duże koszty niesie ze sobą proces postępowania z ryzykiem,
− zła decyzja kierownictwa firmy dotycząca akceptacji ryzyka może pociągnąć za sobą duże konsekwencje
finansowe dla firmy,
− inne;
• brak dostatecznej znajomości nomenklatury związanej z tym obszarem w języku angielskim i jednocześnie brak tłumaczeń literatury fachowej;
RAMKA 6
Producent działający w obszarze Dyrektywy Maszynowej powinien przed wprowadzeniem wyrobu do obrotu przeprowadzić analizę ryzyka związanego z zagrożeniami niesionymi przez eksploatacje takiego urządzenia (maszyny). Producent
produkuje kosiarki spalinowe. Przed wprowadzeniem wyrobu przeprowadza badania typu w odpowiedniej jednostce
notyfikowanej w tym zakresie. Okazuje się, że pomimo zastosowanych osłon dla operatora producent nie przewidział
incydentu związanego ze złą jakością noży tnących, które po kilkugodzinnej eksploatacji ulegały pęknięciu i rozerwaniu,
narażając operatora i niszcząc kosiarkę. Potencjalne straty finansowe związane z ww. incydentem dotyczą nie tylko zmiany noży tnących, ale również wypłaty odszkodowania osobom poszkodowanym. Powstaje pytanie: co bardziej się opłaca?
Odpowiedż pozostawiamy producentowi po przeprowadzeniu rzetelnej analizy ryzyka.
10
RAMKA 5
Według Ustawy o zapobieganiu i naprawie szkód
w środowisku, która weszła w życie z dniem 30 kwietnia 2007 r., do działalności stwarzającej ryzyko szkody
w środowisku zalicza się m.in. eksploatację instalacji
wymagającej pozwolenia zintegrowanego (IPPC – Integrated Pollution Prevention and Control).
Ustawa przewiduje, że w pozwoleniu zintegrowanym
będzie mogło być ustanowione zabezpieczenie roszczeń z tytułu wystąpienia szkód w środowisku.
Ustawa ta nie będzie działała wstecz, ale inspekcje
związane ze zintegrowanymi pozwoleniami mogą
wykryć zanieczyszczenia i przedsiębiorstwo zmuszone
zostanie do podjęcia stosownych działań.
Według ustawy Prawo ochrony środowiska, w dniu 30
kwietnia 2007 r. minął ostatni już późniejszy termin
do uzyskania pozwolenia zintegrowanego i dotyczy
to niektórych instalacji w hutnictwie i przemyśle
metalurgicznym (których użytkowanie rozpoczęto
przed 31.10.2000 r.), w przemyśle mineralnym (piece
koksownicze) i w gospodarce odpadami.
Dla instalacji IPPC bez wymaganego pozwolenia
zintegrowanego lub eksploatowanej z naruszeniem
warunków pozwolenia zintegrowanego przez okres
przekraczający 6 miesięcy grozi wstrzymanie jej użytkowania. Jedynie dla instalacji, których użytkowanie
rozpoczęto do 30 października 2000 r., prowadzący
instalację może wnioskować o ustalenie terminu usunięcia naruszenia, ale termin usunięcia naruszenia nie
może upływać później niż 30 października 2007 r.
• nie ma szkół, szkoleń z zakresu zarządzania ryzykiem,
brakuje specjalistycznych przedmiotów na studiach
z zakresu zarządzania w tym obszarze; niewielka
liczba szkoleniowców;
• zbyt małe nagłośnienie medialne tematyki zarządzania ryzykiem w czasopismach specjalistycznych dla
menedżerów i w innych środkach przekazu;
• stosowanie przez firmy zasady „mądry Polak po
szkodzie”, czyli wprowadzenie procedur dopiero po
ocenie skutków już zrealizowanego ryzyka.
Patrz ramka nr 4 – ponowne odwołanie.
Czy więc mamy szansę coś zmienić w Polsce w przedmiotowym zakresie?
Oczywiście, że tak, bo:
• medialnie zarządzanie ryzykiem zaczęło się często
pojawiać na różnych konferencjach branżowych dla
menedżerów;
• istnieje możliwość wykorzystania środków Unii
Europejskiej na szkolenia i na wprowadzanie procedur
zarządzania ryzykiem w firmach;
• następuje widoczny wzrost zainteresowania problemem zarządzania ryzykiem wśród firm szkoleniowych
oraz wśród firm wdrażających systemy zarządzania;
• właściciele firm coraz częściej cedują decyzje i funkcje
kierownicze na osoby młode, dobrze wykształcone,
kreatywne i szukające nowych technologii, które
zwykle znają języki obce zapewniające dostęp do
literatury i szkoleń zagranicznych.
Nie ma jednego sposobu
zarządzania ryzykiem
dr inż. Wojciech Machowiak,
kierownik Działu Badań i Współpracy,
Wyższa Szkoła Logistyki
dr inż. Iwona Staniec, prodziekan ds. dydaktyki,
Politechnika Łódzka
FOTO: Getty Images/FPM
I
stotnym czynnikiem w rozważaniach dotyczących przyszłości zarządzania ryzykiem
jest kierunek, w jakim rozwiną się strategie zarządzania. Nieuniknione wydaje się, że
zarządzanie ryzykiem już niedługo również
będzie musiało podjąć wyzwania związane
z zarządzaniem łańcuchami dostaw, a menedżerowie ryzyka w przedsiębiorstwach przyszłości w swoich kompetencjach i schematach
działania będą zmuszeni uwzględnić zarówno
zwiększoną, wychodzącą daleko poza przedsiębiorstwo skalę działalności, jak i nowe, nieznane dotąd kategorie ryzyka.
Jeden z najbardziej znanych i najczęściej cytowanych przykładów negatywnego zrealizowania się ryzyka – zwany przypadkiem Nokia-Ericsson, od nazw firm, których dotyczył, lub
przypadkiem Albuquerque, od nazwy miasta
w USA, gdzie ta historia miała swój początek
– pokazuje możliwe scenariusze rozwoju sytuacji w zależności od tego, jak firma jest przygotowana do nieprzewidzianego wydarzenia.
W przedsiębiorstwie mającym wdrożone prawidłowe i konsekwentnie realizowane procedury zarządzania ryzykiem (w tym przypadku
Nokia) błyskawicznie opanowano sytuację
i w ostatecznym rozrachunku firma wygrała
na kryzysie, zwiększając swój udział w rynku.
Ericsson, znajdując się w identycznej sytuacji
jak Nokia, ale działając nieumiejętnie i chaotycznie, wypadł z rynku, ponosząc olbrzymie
straty. Na marginesie warto wspomnieć, że
epilog dopisany do tej historii przez dalsze wydarzenia jest optymistyczny. Ericsson, któremu
po wypłacie odszkodowania (200 mln USD)
firmy ubezpieczeniowe odmawiały przez kilka lat polisy, wypracował i wdrożył całkowicie
nowe zasady zarządzania ryzykiem, obecnie
uznane przez tych samych ubezpieczycieli za
wzorcowe i stawiane jako przykład dla innych
przedsiębiorstw.
W znakomitej książce Yossi Sheffi “The Resilient Enterprise: Overcoming Vulnerability for
Competitive Advantage”¹, w której – między
innymi – opisany jest powyższy przypadek,
hasło „zarządzanie ryzykiem” nie pada ani razu,
na próżno szukać go także w indeksie. A jednak
cała publikacja w sposób ewidentny poświęcona jest problemom związanym z zarządzaniem
ryzykiem i powinna stanowić lekturę obowiązkową nie tylko dla menedżerów ryzyka, ale
także (a może przede wszystkim) dla kadry
zarządzającej przedsiębiorstwami. Sytuacja ta
doskonale odzwierciedla problem, z jakim często mamy do czynienia przy próbie głębszego
zainteresowania się zagadnieniami zarządzania
ryzykiem w działalności gospodarczej. Firmy
podejmują określone działania zmierzające do
ograniczenia zagrożeń, niekoniecznie nazywając je zarządzaniem ryzykiem, lub też realizują
procedury, którym w literaturze bądź w ofertach firm konsultingowych często przypisuje się
zupełnie inną nazwę. Z kolei tam, gdzie explicite mówimy o zarządzaniu ryzykiem, pojęcie
to w różnych przypadkach nierzadko oznacza
całkiem odmienne praktyki – zarówno w sferze
strategii, jak i bieżących procedur.
Już samo pojęcie „zarządzania ryzykiem”
przysparza wielu kłopotów i różni się – niekiedy dosyć istotnie – w zależności od autora
i reprezentowanej przez niego „szkoły”, ale
również w zależności od sposobu postrzegania
miejsca tej problematyki w strategii i organizacji przedsiębiorstwa. W najprostszym – bardzo
uproszczonym, ale ciągle popularnym ujęciu
– utożsamiane jest z ubezpieczeniami. Nie jest
to całkowicie bezzasadne, biorąc pod uwagę, że
ubezpieczenia są dla wielu firm do dzisiaj jedyną praktycznie stosowaną techniką radzenia sobie z różnorakimi zagrożeniami. Takie podejście
utrwalane jest przez same firmy ubezpieczeniowe, które nieustannie rozszerzają swoje oferty,
obejmując nimi zdarzenia i ryzyko dotychczas
uważane za klasycznie „nieubezpieczalne”. Nawet na rynku polskim można już ubezpieczyć
się od ryzyka spadku zysku w wyniku niekorzystnych warunków pogodowych (przykład:
przedsiębiorstwa dostarczające energię cieplną
na wypadek zbyt wysokich temperatur w sezonie grzewczym – tzw. derywaty pogodowe).
Dla innych zarządzanie ryzykiem to przede
11
STUDIUM PRZYPADKU: Nokia-Ericsson
Wieczorem 17 marca 2000 wskutek uderzenia pioruna w sieć energetyczną doszło do pożaru w niewielkim pomieszczeniu fabryki półprzewodnikowych podzespołów elektronicznych w Albuquerque, należącej do Philips Electronics N.V.
Przedsiębiorstwo to było wówczas głównym dostawcą chipów do telefonów komórkowych dla czołowych producentów
europejskich, w tym Ericssona (jedynym!) oraz Nokii.
Pożar nie był zbyt poważny, ugaszono go w 10 minut własnymi siłami, szkody bezpośrednie były również niewielkie (spłonęło osiem pojemników zawierających łącznie kilka tysięcy płytek). Nieco później okazało się, że znacznie
poważniejsze straty spowodowały w sąsiednich pomieszczeniach dym i woda ze spryskiwaczy – „zatruły” znajdujące się
tam miliony elementów. Uszkodzeniu uległa również część urządzeń produkcyjnych. Produkcja została wznowiona po
ok. 3 tygodniach, jednak jeszcze po 6 miesiącach osiągała zaledwie niecałe 50% poziomu sprzed pożaru – odtworzenie
pełnych mocy miało zająć lata.
Logistycy Nokii nie tylko zauważyli i właściwie ocenili problem, zanim jeszcze zgłosił go dostawca (a to dzięki aktywnemu, bieżącemu monitorowaniu dostaw) – już 20 marca wiedziano o pożarze. Nie do końca polegając na informacji
pozyskanej od Philipsa, natychmiast podjęto decyzję o wysłaniu do Albuquerque swoich inżynierów w celu wypracowania
własnej oceny stanu rzeczy. Na miejscu nie przyjęto ich z otwartymi ramionami, ale wizyta wystarczyła, żeby docenić
powagę sytuacji i zorientować się, że problem ma perspektywę wielu miesięcy, a nie tygodnia czy dwóch. Niezwłocznie
podjęto działania. Po pierwsze, zintensyfikowano monitoring dostaw – w miejsce tygodniowych analiz wprowadzono
codzienne. Po drugie, na najwyższym szczeblu zarządzania podjęto naciski na Philipsa, zmierzające do zapewnienia
sobie absolutnego priorytetu w dostawach z Albuquerque, wspartego zapewnieniem o oddaniu na rzecz produkcji dla
Nokii wszelkich rezerw produkcyjnych we wszystkich innych zakładach Philipsa. Po trzecie, wysłano przedstawicieli do
innych dostawców Nokii w USA i Japonii (Nokia unikała zasady „single sourcing”), aby skłonić ich do możliwie najszybszego zwiększenia produkcji i również tam zapewnić priorytety dla swoich potrzeb. Wreszcie po czwarte, podjęto prace
konstrukcyjne mające umożliwić zastosowanie w telefonach Nokii nieco odmiennych chipów z innych źródeł.
Ericsson znacznie łagodniej kontrolował dostawy, o wypadku dowiedział się poprzez spóźnioną i uspokajającą informację
producenta (przewidującą zakłócenia w produkcji przez ok. tygodnia, co nie powinno spowodować większych problemów). Nie sprawdzając i nie analizując tej informacji, nie podjął praktycznie żadnych działań aż do początku kwietnia.
Wtedy już wszystkie rezerwy dostępne na światowym rynku producentów podzespołów elektronicznych były zagospodarowane przez bardziej operatywnego konkurenta.
wszystkim zespół działań na rzecz zmniejszenia
skutków realizacji ryzyka. Definicja ta również
pozostawia niedosyt ze względu na wyeksponowanie akcji zmierzających do przeciwdziałania skutkom ryzyka, przy niedocenieniu najbardziej efektywnych i najmniej dotkliwych
działań prewencyjnych.
Przykładem zaawansowanych, chociaż też
nie do końca precyzyjnych, prób określenia,
czym jest zarządzanie ryzykiem, może być de-
finicja zawarta w standardzie zarządzania ryzykiem FERMA. Wg niej zarządzanie ryzykiem jest
to proces, w którego ramach organizacja w sposób metodyczny rozwiązuje problemy wynikające z ryzyka, które towarzyszy jej działalności,
w taki sposób, aby ta działalność – zarówno
w poszczególnych dziedzinach, jak i traktowana jako całość – przynosiła trwałe korzyści.
Jeżeli występują tak duże trudności ze zdefiniowaniem zarządzania ryzykiem, trudno się
dziwić, że dotychczas nie wypracowano jeszcze
jednej metodyki podejścia do tych zagadnień
– spójnej, konsekwentnej oraz powszechnie
aprobowanej. Liczba koncepcji ujęcia tematu
proponowanych w literaturze przedmiotu jest
imponująca, jednak niemal każda z nich traktuje problem w sposób indywidualny, „wyalienowany”, oderwany od innych. W efekcie mamy
(oprócz bogatego dorobku tradycji finansowo-ubezpieczeniowej) wiele pomysłów na elementy strategii – takie jak: enterprise risk management, business continuity management,
business continuity planning, obok nich jeszcze
nowsze, np.: koncepcje resilient enterprise,
agile supply chain, triple a supply chain oraz
szereg innych – z których trudno jest wyłowić
konkretne, aplikowalne narzędzie.
Znaczny wpływ na współczesne postrzeganie zarządzania ryzykiem wywierają również
radykalne zmiany w warunkach prowadzenia
działalności gospodarczej, z jakimi mają do
czynienia w ostatnich latach przedsiębiorstwa
niezależnie od miejsca na kuli ziemskiej, w którym prowadzą tę działalność. Co jest bowiem
istotne, zmiany te w znaczącym stopniu wiążą
się z podwyższeniem poziomu różnych zagrożeń, a także z jakościowymi zmianami w charakterze ryzyka, z jakim muszą dawać sobie
radę zarządy firm. Do zmian wpływających na
warunki procesów gospodarczych należą m.in.:
zauważalny wzrost zagrożeń zewnętrznych,
zarówno naturalnych, jak i wywołanych przez
ludzi, skutki globalizacji oraz nowe koncepcje
w strategiach działania przedsiębiorstw.
Firmy stające wobec nowych wyzwań nie są
w stanie im sprostać, dysponując wyłącznie
tradycyjnymi, finansowo-ubezpieczeniowymi
instrumentami. Nowe kategorie ryzyka wymagają zmiany podejścia, zmiany w zakresie
wiedzy i umiejętności kadry wysokiego i średniego szczebla, ale przede wszystkim potraktowania (zintegrowanego) zarządzania ryzykiem
jako elementu strategii przedsiębiorstwa, za
którą musi pójść przesunięcie kompetencyj-
ryzyko spekukulatywne i czyste
W przedsiębiorstwie ryzyko może być związane
zarówno ze stratą, jak i korzyścią (w literaturze jest
ono określane jako ryzyko spekulatywne). Zarządzanie nim polega na podejmowaniu realnych działań
i przeciwdziałaniu przyczynom, które są poza kontrolą
przedsiębiorstwa oraz znajdujących się w jego gestii.
Natomiast w świecie ubezpieczeń ryzyko oznacza
jedynie prawdopodobieństwo wystąpienia straty (tzw.
ryzyko czyste). Zarządzanie ryzykiem czystym polega
na wykupywaniu polis ubezpieczeniowych.
12
ne – zarządzanie ryzykiem z domeny pionów
finansowych powinno stać się przedmiotem
bezpośredniego zainteresowania zarządów
przedsiębiorstw.
Niestety, zarządzanie ryzykiem nie jest
wprost ujmowane w ramach różnych ideologii
zarządzania, standardów i regulacji prawnych.
Oto obszary z uregulowanym stanem prawnym
odnośnie zarządzania ryzykiem:
­– finansowy – Bazylea II, Nowa Umowa Kapitałowa;
­– ubezpieczeniowy – Solvency II;
– medyczny – BRC/IFS,
– spożywczy – HACCP ISO 22000, BRC/IOP.
Przykładowe dobrowolne uregulowania:
– COSO II funkcjonuje w obszarze ładu organizacyjnego;
– S arbanes-Oxley Act 2002 w ramach regulacji
dla spółek giełdowych notowanych w USA;
– standard ISO 27001 dla zarządzania bezpieczeństwem informacji;
Standardy zwracają uwagę, że wdrażając
system zarządzania ryzykiem w organizacji,
należy zadbać o odpowiednie metody zbierania informacji oraz mechanizmy reakcji na
zagrożenia.
Kluczem do sukcesu jest zintegrowane podejście do zarządzania ryzykiem oraz:
­– opracowanie i wdrożenie skutecznego mechanizmu umożliwiającego na bieżąco kadrze kierowniczej ocenę ryzyka i dostarczające informacje do podejmowania decyzji;
­– ukształtowanie świadomości co do wagi
zarządzania ryzykiem oraz korzyści z tego
płynących;
­– integracja zarządzania ryzykiem z istniejącymi w organizacji procesami;
­– ocena przyjętej strategii zarządzania organizacją w kontekście przygotowania jej na
przyszłe zdarzenia biznesowe;
­– dostarczanie dokładnych danych analitycznych (ze wszystkich poziomów organizacji).
– AS/NZS 4360 – australijsko-nowozelandzki
standard zarządzania ryzykiem;
­– BS 7799-3 – zarządzanie ryzykiem bezpieczeństwa informacji;
– ­corporate governance – kodeks „Dobre
praktyki spółek notowanych na GPW”.
Wymienione standardy i dobre praktyki
mimo różnych źródeł powstania i celów łączy
jedno – badanie i zarządzanie ryzykiem.
Pojawiające się lub stosowane na świecie praktyki w zakresie zarządzania ryzykiem nie narzucają konkretnych (jednych właściwych) sposobów
wdrożenia. Natomiast dostarczają wskazówek do
zorganizowania niezbędnych mechanizmów, przy
zachowaniu właściwej i sprawdzonej koncepcji.
Każdy standard nie wymusza konkretnego sposobu, pozostawia elastyczność we wprowadzaniu
w życie organizacji procesu zarządzania ryzykiem.
Podkreśla, że proces ten zależy od organizacji i zakresu jej działalności i jest procesem ciągłym, osadzonym w istniejących procesach biznesowych
porównanie podejść do zarządzania ryzykiem w poszczególnych standardach
Risk Managment Standard (AIRMIC, IRM&ALARM, 2002)
Australian Standard®for Risk Management
(Standards Australia, 2004)-AS/NZS 4360: 2004
Enterprise Risk Management – Integrated Framework
–COSO II
14 stron + dodatek z terminologią
30 stron +109 stron wytycznych
125 stron + 7-stronicowe streszczenie dla kierownictwa +
uzupełnienie technik zastosowania
Standard definiujący proces zarządzania ryzykiem niezależnie od wielkości i branży organizacji.
Standard definiujący zarządzanie ryzykiem z wykorzystaniem mechanizmu kontroli wewnętrznej. Określa własną
terminologię. Definiuje proces i jego etapy w odniesieniu
do charakterystycznego postrzegania funkcjonowania organizacji.
Ujemna i dodatnia strona ryzyka – ze wskazaniem na potencjalne zyski i straty.
Rozpoznaje dodatnie i ujemne strony ryzyka. Zwraca uwagę
na niepewność i okazje przyciągające ryzyko.
Proces niezależny od branży i sektora działalności przedsiębiorstwa. Wskazanie kolejnych kroków zarządzania ryzykiem.
Proces oparty na pojęciach ryzyka biznesowego, kreowaniu
wartości i kontroli wewnętrznej. Wskazanie komponentów
zarządzania ryzykiem w postaci sześciennej kostki odnoszącej cele organizacji do rodzajów ryzyka występujących
przy wykonywaniu procesów biznesowych.
Identyfikacja, analiza ryzyka, ocena ryzyka, akceptowalność
ryzyka, postępowanie z ryzykiem, komunikowanie i konsultacje.
Ustalenie celów, identyfikacja zagrożeń, ocena ryzyka,
reakcja na ryzyko, działania kontrolne, informowanie
i komunikowanie oraz monitorowanie.
Łatwy do wdrożenia, w szczególności dla firm nowo powstałych.
Ma zachwianą równowagę na rzecz struktury biznesowej,
po macoszemu traktuje analizę ryzyka.
Standard definiujący model badania i zarządzania ryzykiem
z wykorzystaniem terminologii ISO. Odnosi się do wszystkich rodzajów ryzyka związanych z działaniem organizacji.
Ryzyko
Ma aspekt zagrożenia i aspekt szansy, i to zarówno dla samego podmiotu, jak i dla jego partnerów. Jest określone
jako kombinacja prawdopodobieństwa zdarzenia i jego
skutków. Ujemnych i dodatnich – na polu bezpieczeństwa
bierze się pod uwagę jedynie szkody.
Zarządzanie ryzykiem
Proces, który organizacji służy do zajęcia się rodzajami ryzyka związanymi z jej działaniami w celu osiągnięcia nieprzerwanych korzyści w ramach każdego z tych działań
oraz w całym kompleksie portfela działań. Jest częścią kultury całej organizacji i elementem odpowiedzialności każdego pracownika.
Etapy procesu zarządzania ryzykiem
Analiza (począwszy od utożsamienia i opisu ryzyka), ocena
ryzyka, akceptowalność ryzyka, raportowanie wewnętrzne
i komunikacja, raportowanie zewnętrzne. Metody identyfikacji ryzyka zaczynają się od burzy mózgów.
Uwagi
Środki wymagane do wdrażania polityki zarządzania ryzykiem w organizacji powinny być jednoznacznie ustalone na każdym szczeblu zarządzania w każdej komórce biznesowej.
Źródło: Opracowanie własne autorów na podstawie „An overview comparison of the AIRMIC/ALARM/IRM Risk Management Standard with: the Australia/New Zeland Standard AS/NZS 4360: 2004 and the COSO Enterprise
Risk Management – Integrated Framework, AIRMIC 2005”; Marcin Masny, „Zaczyna się od burzy mózgów”, Dziennik Ubezpieczeniowy 7.08.2003
13
W ostatnich latach coraz częściej przeprowadza się badania dotyczące zarządzania ryzykiem. Z publikowanych wyników badań i raportów wynika, że:
− zarządzanie ryzykiem w przedsiębiorstwie
staje się integralną częścią procesów biznesowych firm ubezpieczeniowych na
całym świecie, co jest częściowo spowodowane zwiększonym zapotrzebowaniem ze
strony agencji rządowych i ratingowych²;
− 60% firm ubezpieczeniowych na świecie
świadomie bierze pod uwagę zarządzanie
ryzykiem w procesie decyzyjnym³;
− zewnętrzne naciski, tj. nowe regulacje
prawne czy kodeksy dobrych praktyk
zwiększają poprzeczkę dla zarządzania ryzykiem na świecie;
Na podstawie różnych badań i sądów można
stwierdzić, że zarządzanie ryzykiem nabiera
znaczenia, gdyż:
− stanowisko menedżera ryzyka w ostatnich
latach pojawia się coraz częściej w strukturach organizacyjnych firm⁴;
− firmy ubezpieczeniowe nie tylko w większym stopniu badają ryzyko, ale także coraz częściej obarczają kadrę kierowniczą
odpowiedzialnością za wyniki finansowe⁵;
− w firmach ubezpieczeniowych raportowanie o ryzyku przez pracowników niższych
szczebli do wyższej kadry zarządzającej
stało się wszechobecną praktyką – 39%
respondentów składa raporty miesięczne,
a 35% kwartalne⁶;
− w ymagania zewnętrzne w postaci aktów
prawnych, takich jak: Solvency II, Turnbull,
King II, CI 49 itp., wpływają na powstawanie innowacyjnych metod zarządzania
ryzykiem i określają struktury zasobów
finansowych, np. większość banków dostrzega znaczne korzyści wynikające
z przepisów Nowej Umowy Bazylejskiej,
szczególnie dzięki możliwościom lepszej
alokacji kapitału oraz ulepszeniu wyceny
produktów związanych z ryzykiem⁷;
− ponad 70% ankietowanych banków planuje przyjęcie zaawansowanego podejścia
opisanego w Nowej Umowie Bazylejskiej
w odniesieniu do ryzyka kredytowego oraz
ryzyka operacyjnego⁸;
− około 30% firm z regionu CEE prowadzi formalny rejestr ocenianego ryzyka, rejestry
ryzyka są najpopularniejsze na Węgrzech
(posiada je około 40%);
− 20% firm w regionie CEE doświadczyło poważnych strat finansowych w ciągu ubiegłych trzech lat i już 75% z nich stworzyło
plany zarządzania kryzysowego, aby zminimalizować negatywny wpływ przyszłych
wydarzeń⁹.
Z badań wynika również, że zarządzanie ryzykiem nie jest doskonałe i niektóre obszary ERM
wymagają poprawy; możemy do nich zaliczyć:
− sposoby pomiaru ryzyka i metody jego
obliczania, szczególnie niezadowoleni są
menedżerowie w Wielkiej Brytanii (97%)
oraz w Japonii (95%)¹⁰;
− umiejętność obliczania ryzyka operacyjnego i jego odzwierciedlenia we wskaźnikach
finansowych¹¹.
Z dużym prawdopodobieństwem można
przewidzieć, że zintegrowane zarządzanie ryzykiem w najbliższych latach będzie zdobywało
sobie prawo obywatelstwa w polskich przedsiębiorstwach – zarówno w wymiarze strate-
różnice między tradycyjnym a zintegrowanym podejściem
do zarządzania ryzykiem
Podejście tradycyjne
Ograniczony wpływ na strategię
Niechęć do podejmowania ryzyka
Podejście zintegrowane
Efektywne poparcie planów biznesowych strategicznych
firmy
Proaktywne zarządzanie poprzez unikanie ryzyka i eksploatację ryzyka
Potęgowanie barier
Zintegrowane podejście
Niespójny system informujący
Zwięzłe i skonsolidowane informowanie
Sporadyczna ocena ryzyka
Ciągła ocena ryzyka, rewaluacja i zarządzanie nim
Nieokreślona odpowiedzialność za poszczególne rodzaje ryzyka
Odpowiedzialność za posiadanie ryzyka przypisana do procesów biznesowych i uwzględniana w okresowych ocenach
Zamknięta komunikacja
Otwarta komunikacja
Brak jasno zdefiniowanych ról i odpowiedzialności
Role i zakresy odpowiedzialności jasno zdefiniowane
i zakomunikowane
Źródło: Opracowanie własne autorów na podstawie „Enterprise-Wide-Risk Management: A Holistic Approach”, William Spinard, Marsh Risk Consulting
14
gicznym, jak i operacyjnym. Takie są tendencje
w skali światowej i już przy obecnym poziomie
międzynarodowych powiązań polskiej gospodarki nie sposób przyjąć, że w naszych warunkach proces ten będzie przebiegał inaczej. Takie
są również potrzeby przedsiębiorstw, działających w coraz trudniejszych warunkach i obciążonych zwiększonym spektrum ryzyka. Znacznie trudniej jest określić, która z wymienionych
koncepcji zarządzania ryzykiem ma szansę
zdominować pozostałe – nie można również
wykluczyć, że następstwem przedstawionej
tendencji do wprowadzania „miękkich”, ewentualnie także „twardych” uregulowań prawnych
będzie wypracowanie nowego, powszechnie
akceptowanego standardu zarządzania ryzykiem. Na podstawie takiego standardu można
będzie budować spójny, międzynarodowy system certyfikacji menedżerów ryzyka.
¹ Yossi Sheffi, Yosef: „The Resilient Enterprise: Overcoming Vulnerability for Competitive
Advantage”, MIT Press (October 1, 2005),
Cambridge, MA 02139.
² Raport podaje wyniki internetowego
badania przeprowadzonego latem 2006 r.,
którym objęci byli dyrektorzy ds. ryzyka,
dyrektorzy finansowi, aktuariusze i inni członkowie wyższej kadry kierowniczej z ponad 200
firm ubezpieczeniowych i reasekuracyjnych
na całym świecie. 80% uczestników badania
stanowili prawie po równo członkowie kadry
z Ameryki Północnej i Europy, 16% reprezentowało region Azji i Pacyfiku, a 4% Amerykę
Środkową. Raport dostępny jest na stronie
http://www.towersperrin.com/tillinghast.
³ http://www.towersperrin.com/tillinghast.
⁴ Wypowiedź Prakash Shimpi, Practice
Leader odpowiedzialnego za ERM na świecie.
⁵ http://www.towersperrin.com/tillinghast.
⁶ http://www.towersperrin.com/tillinghast.
⁷ Badanie przeprowadzone przez Accenture, Mercer Oliver Wyman i SAP dotyczące
przygotowań do zgodności z Nową Umową
Bazylejską.
⁸ Badanie przeprowadzone przez Accenture, Mercer Oliver Wyman i SAP dotyczące
przygotowań do zgodności z Nową Umową
Bazylejską.
⁹ „Zarządzanie ryzykiem: możliwość
uzyskania przewagi konkurencyjnej w Europie
Środkowej i Wschodniej”, MARSH, raport
z analizy ryzyka 2006.
¹⁰ http://www.towersperrin.com/tillinghast.
¹ ¹ http://www.towersperrin.com/tillinghast.
Czego potrzeba, aby wprowadzić
w firmie zarządzanie ryzykiem
Jacek Folga – specjalista ds. ryzyka kredytowego,
Carlsberg Polska
Tomasz Redliński – Manager, PBSG
Janusz Słobosz – Risk Consulting Manager,
Aon Polska
R
FOTO: Getty Images/FPM
yzyko jest nieodłącznym elementem otoczenia,
w którym funkcjonuje każde przedsiębiorstwo.
Istota problemu zarządzania z wykorzystaniem
wiedzy o ryzyku zawarta jest w samej świadomości istnienia ryzyka.
Rozpoznane ryzyko determinuje automatyczny proces
zarządzania nim. Richard Boulton, Barry Libert i Steve Samek, stawiają tezę, że obecnie nie ma firmy, która byłaby
„wolna od ryzyka”. Firmy, które zmieniają swój model biznesowy w reakcji na nową gospodarkę, także podejmują
ryzyko. Ryzykują również te organizacje, które postanawiają pozostać przy starych sprawdzonych metodach.
Różnica polega na tym, że przedsiębiorstwa reagujące
na nowe otoczenie gospodarcze prawdopodobnie lepiej
rozumieją podejmowane ryzyko niż te, które nie robią nic,
sądząc błędnie, iż w ten sposób ryzyka unikają¹².
Warto uświadomić sobie, że każda firma zarządza
ryzykiem mniej czy bardziej formalnie, gdyż ryzyko
towarzyszy każdej decyzji, a w proces decyzyjny jest
naturalnie wkomponowana analiza ryzyka. Dlatego też
o wprowadzeniu zarządzania ryzykiem w firmie można
mówić w kontekście jego sformalizowania, usystematyzowania, ujednolicenia, aktywnego podejścia, stosowanych najlepszych praktyk czy zaawansowanych narzędzi.
Podstawowe pytanie brzmi: co każda organizacja chce
osiągnąć przez opisanie tego procesu? Odniesieniem
niech będzie dzisiejsze rozumienie zarządzania ryzykiem,
tj. enterprise risk management (ERM), o których wspomniano we wcześniejszych artykułach.
W dzisiejszych czasach, przy wielu znanych pomysłowych metodach zarządzania organizacją, ograniczanie
się do zarządzania tylko wybranymi rodzajami ryzyka jest
niewystarczające. Przedsiębiorstwa powinny patrzeć na
ryzyko jak na powiązane ze sobą ogniwa łańcucha wartości. Brak kontroli nad jednym z nich może doprowadzić
do utraty wartości na kolejnych etapach. Identyfikując
rodzaje ryzyka, trzeba pamiętać o ich wzajemnym przenikaniu się. Prezentuje to rysunek obok. Jeśli dział R&D
zainicjuje nowy produkt, dział marketingu opracuje doskonałą kampanię reklamową, natomiast wydział produkcyjny nie będzie w stanie oddać gotowego produktu
zgodnie z terminem, wówczas nie będzie możliwa sprzedaż, a w konsekwencji wykreowanie wartości. Nawet
Źródło: Aon Polska sp. z o.o.
jeśli wszystkie etapy przebiegną bezkolizyjnie i produkt
zostanie dostarczony do klienta, a dział finansowy nie podejmie czynności ograniczających wpływ ryzyka kredytowego, wówczas istnieje wysokie prawdopodobieństwo
deprecjacji lub całkowitej utraty wartości firmy.
To, czym jest ERM oraz co powinniśmy lub czego nie
powinniśmy robić w trakcie jego wdrażania, ciągle się
kształtuje. Dzieje się tak, ponieważ koncepcje zarządcze
bardziej są sztuką niż formalną ścisłą dziedziną nauki.
Kiedy zaczniemy rozumieć, co stanowi o sukcesie ERM,
to w tym samym czasie w równej mierze zaczniemy rozumieć, co stanowi o jego porażce. Czego zatem powinniśmy unikać, wdrażając ERM?
NIE OCZEKUJ NATYCHMIASTOWYCH EFEKTÓW. ERM
jest procesem, nie produktem. Wymaga czasu i może
upłynąć wiele lat, zanim zacznie działać efektywnie. Budowa zdolności i dojrzałości organizacji w zakresie ERM
wymaga czasu, tak jak czasu wymagała budowa Rzymu,
a szybkość osiągnięcia odpowiedniego poziomu zależy
od wielu czynników. Poziomy dojrzałości organizacji
w zarządzaniu ryzykiem można zdefiniować jako: specjalizacja ryzyka, świadomość ryzyka przedsiębiorstwa,
integracja zarządzania ryzykiem, tworzenie wartości/
optymalizacja ryzyka (wykres 1).
Wzrost wartości firmy to główny parametr, przez który
właściciele oceniają jakość zarządzania powierzonymi
kapitałami. Tylko szerokie spojrzenie na ryzyko pozwala ocenić wpływ systemów zarządzania ryzykiem na
wartość. W perspektywie ryzyka trzeba zaobserwować
trzy determinanty wartości. Po pierwsze, zarządzanie ryzykiem umożliwia ograniczenie strat. Po drugie,
świadoma i dobrze zarządzana ekspozycja na ryzyko
pozwala na osiągnięcie ponadprzeciętnych zysków. I po
trzecie, zintegrowane zarządzanie ryzykiem umożliwia
zapewnienie poprawności przebiegu procesów w całym
15
łańcuchu tworzenia wartości. Można przytoczyć przykład
zarządzania ryzykiem kredytowym. System zarządzania
tym ryzykiem w większości przypadków ogranicza się
do minimalizowania strat. Natomiast niewiele przedsiębiorstw dostrzega korzyści, jakie można osiągnąć ze
świadomego wystawiania się na ryzyko kredytowe. Korzyści te to przede wszystkim wzrost wielkości sprzedaży
i wyższa marża.
NIE ZACZYNAJ WSZYSTKIEGO NARAZ. ERM, zgodnie,
z definicją, jest procesem ciągłym. Rozpocznij od bitwy,
którą możesz wygrać. Zajmij się ryzykiem, które zmieni
sytuację, zmieni zachowanie i przyciągnie uwagę. Rozpocznij. Wygrana na tym polu pozwoli zyskać zwolenników i przyśpieszy proces budowy ERM. Dobierz dokładność analizy do możliwości, zbyt powierzchowna analiza
nie dostarczy niezbędnych informacji decyzyjnych, zbyt
szczegółowa będzie trwać lata i zanim się skończy, już
będzie nieaktualna. Częstym błędem jest nieodpowiedni przydział zasobów. Przywiązywanie jednakowej wagi
do wszystkich kategorii ryzyka nie gwarantuje sukcesu.
Błędem jest również pomijanie w zarządzaniu punktów
o mniejszym ryzyku. Sprawia to, że przy sztywnych procedurach zarządzający zapomina o nich i nie monitoruje
przyrostu ich istotności. Bardzo dobrym rozwiązaniem
jest podział ryzyka na grupy posiadające wspólną cechę
(miejsce składowania zapasów, obszar sprzedaży produktów i usług, zakład produkcyjny wchodzący w skład
grupy itp.). Wyodrębnienie jednolitych grup zapobiega
niepożądanemu pomijaniu rodzajów ryzyka, które w skali globalnej są niedostrzegane, ale ich lokalny charakter
może zachwiać wartością firmy.
NIE ZATRZYMUJ SIĘ. Istotną kwestią jest zrozumienie,
że mapa ryzyka prezentowana kierownictwu wyższego
szczebla jest tylko środkiem do osiągnięcia celu, a nie
rezultatem końcowym. Prezentowana mapa przyciągnie
uwagę, ale nie zmieni zachowań ani sama nie oszczędzi
pieniędzy. Dążmy do szerzenia kultury zarządzania ryzykiem na szczeblach kierowniczych, uczmy menedżerów
podejmowania racjonalnego ryzyka w oparciu o minimalny wdrożony model oceny ryzyka. Wadą współczesnych przedsiębiorstw jest to, że zazwyczaj ograniczają się
one tylko do identyfikacji i pomiaru ryzyka, zapominając
o zarządzaniu. Zarządzanie jest natomiast dopełnieniem
zagrożeń naniesionych na mapę ryzyka.
NIE PRZECENIAJ WARTOŚCI, JAKIE NIOSĄ ROZWIAZANIA IT. Dostawcy oprogramowania szybko reagują na
potrzeby w tym obszarze. Jeśli pracujesz w dużej organizacji, prowadzącej złożoną działalność, posiadanie natychmiastowego dostępu do pełnej informacji o ryzyku
daje cenną przewagę. Technologia pozwala uzyskać przewagę, ale nie jest magiczną różdżką. Dobierając rozwiązanie IT, należy rozważyć, w czym ono może pomóc – czy
przyśpieszy zbieranie informacji o rodzajach ryzyka, czy
zautomatyzuje proces oceny, czy jedynie zastąpi arkusz
kalkulacyjny? Oceniając rozwiązania IT wykorzystywane
w zarządzaniu ryzykiem, zawsze trzeba to robić przez
pryzmat ludzi. Nawet najbardziej zaawansowany system
16
informatyczny jest tylko narzędziem wspierającym pracę
osób odpowiedzialnych za kontrolę ryzyka. Wdrażając lub
rozwijając system IT, należy odpowiedzieć sobie na pytanie, jaką wartość wniesie on do pracy ludzi. Oczywiście,
analitycy, kontrolerzy i menedżerowie nie mogą pracować bez dostępu do aktualnej informacji przetwarzanej
przez różne systemy i aplikacje. Jednak trzeba zawsze pamiętać, że są one jednym z wielu narzędzi, jakimi należy
się posługiwać, zarządzając ryzykiem.
NIE POMNIEJSZAJ WAGI RYZYKA MIĘKKIEGO. Bezustannie trwają prace w celu opracowania sposobów pomiaru
ryzyka, które zanim się zmaterializowało, nie było rozpoznawalne jako ryzyko. Brak planu sukcesji dla strategicznych osób w firmie jest również ryzykiem. Istnieje coraz
więcej przykładów, danych czy nowych sposobów pomiaru,
które mogą zostać wykorzystane do oceny takich sytuacji.
NIE BĄDŹ BOHATEREM. Nie uda się zarządzać ryzykiem
odgórnie, bez pomocy ze strony wyższego kierownictwa.
Jeśli mamy zarządzać ryzykiem kompleksowo, to brak
sponsora w postaci menedżera najwyższego szczebla
oznacza brak sukcesu. Zaangażowanie i entuzjazm na
odpowiednim szczeblu przekładają się na całą organizacje i wpływają na efektywność oraz skuteczność działań.
Jednocześnie nie uda się zarządzać ryzykiem odgórnie,
bez pomocy pracowników liniowych. Ta prawda dotyczy
zarówno zarządu, jak i kierowników działów czy dyrektora fabryki. Sukcesy na froncie ERM są wynikiem wewnętrznych koalicji.
NIE POSŁUGUJ SIĘ DIALEKTEM. Ryzyko i związane z nim
elementy nie są tabliczką mnożenia, z dawno już zdefiniowanym i doskonale znanym słownictwem. Postaraj się
zbudować jeden wspólny język, dopiero wówczas będzie
można znaleźć zrozumienie i konstruktywnie tworzyć rozwiązania. Ryzyko inaczej jest rozumiane przez specjalistę
na linii produkcyjnej, a inaczej przez finansistę.
NIE PORYWAJ SIĘ Z MOTYKĄ NA SŁOŃCE. Na rynku są
specjaliści w tej dziedzinie, którzy mogą zaimportować
strukturę oraz ją wdrożyć. Specjaliści mogą dostarczyć lub
uzupełnić wewnętrzne zasoby organizacji, monitorować
nasze działania, wspomagając zgodność działania, przechowywać i analizować dane, ułatwiać międzywydziałowe alianse, ekstrapolować lokalne sukcesy na całą sieć or-
ganizacji. Mogą również pomóc przekonać kierownictwo
wyższego szczebla, że wysoka fluktuacja kadr jest tak
samo niebezpieczna jak awaria systemu komputerowego
lub na przykład wysoko sprężone gazy w instalacji.
NIE TWÓRZ SZTUKI DLA SZTUKI. ERM ma dostarczać
informacji zarządczej. To nie kolejna zabawka dla kolejnej
komórki organizacyjnej. Zbadaj potrzeby zarządu dotyczące racjonalizacji zasobów i dopasuj metody badania
ryzyka do ich potrzeb. Zarząd nie oczekuje ERM, a jedynie
optymalizacji działania organizacji, dlatego też ERM jest
tylko narzędziem do spełnienia ich potrzeb.
NIE BĄDŹ ODLUDKIEM. W każdej firmie funkcjonuje
system zarządzania, często zgodny z wizjami właściciela czy też wymaganiami prawnymi lub standardami.
O wiele większe korzyści można odnieść, integrując podejścia i stosowane systemy, niż tworząc własny świat.
Jeśli w firmie funkcjonuje system zarządzania jakością
czy strategiczna karta wyników, wykorzystaj to i włącz
ideę ERM w już istniejące podejścia. Integracja systemów,
a tym samym osiągnięcie jednego modelu zarządczego,
przyczynia się do osiągnięcia sukcesu.
Czego zatem potrzeba? Przede wszystkim zrozumienia
wartości, jakie niesie aktywne podejście. Pierwszym i najważniejszym czynnikiem sukcesu jest wzrost świadomości istnienia ryzyka i wykazanie indywidualnych korzyści
dla osób, które mogą stać się promotorami koncepcji.
Jeśli nie będziemy przekonywać do zarządzania ryzykiem
tylko poprzez pryzmat spełnienia określonych wymagań
i przepisów, mamy szansę odnieść sukces. Obudowanie
zarządzania ryzykiem procedurami jest ważne, ale nie
tak istotne jak ludzie, którzy tworzą organizacje. Czasem
krótki uporządkowany warsztat identyfikacji i oceny ryzyka dla zarządzających może wnieść o wiele więcej, nawet
w przypadku dużej organizacji, niż rozbudowany system,
z wieloma procedurami i zaawansowanymi narzędziami.
ERM jest kolejnym systemem zarządczym, zatem znaczącym błędem byłoby niezintegrowanie go z już funkcjonującymi systemami, a tym samym z kulturą organizacji.
¹² Richard E.S. Boulton, Barry D. Libert, Steve M. Samek, „Odczytując kod wartości. Jak firmy tworzą wartość
w nowej gospodarce”. WIG Press, Warszawa 2001, s. 133.
wykres 1. model dojrzałości organizacji w zakresie ERM
Źródło: Aon Polska sp. z o.o.
Risk Manager i jego funkcja
Tomasz Miazek, dyrektor Departamentu Ubezpieczeń
i Zarządzania Ryzykiem Korporacyjnym Grupy TP,
Telekomunikacja Polska
Rafał Rudnicki, Risk & Insurance Manager,
Raben Group
S
tanowisko risk managera i jego role w firmie
mogą być bardzo różnorodne. W zależności od
rodzaju i wielkości organizacji, mogą to być specjaliści w jednym z kluczowych obszarów obejmujących
szczególne zagrożenia dla działania firmy (np. ryzyko
kredytowe, ryzyko IT, bezpieczeństwo obiektów, technologia i funkcjonowanie linii produkcyjnej) lub są oni
bezpośrednio właścicielami ryzyka, którym zarządzają.
Pierwsza funkcja jest dość naturalna: firma zidentyfikowała duże ryzyko i wyznaczyła osobę odpowiedzialną za jego zarządzanie. Najczęściej jednak w dużych firmach w Europie obserwujemy sytuację, w której
istnieje rozdział pomiędzy właścicielami ryzyka a risk
managerem na poziomie korporacyjnym. Wówczas
mamy do czynienia z nowoczesnym, zaawansowanym
pojęciem risk managera (corporate risk officer, group
risk manager). Wprowadzenie risk managera – stratega
i koordynatora – wymaga większej promocji wewnątrz
firmy. Taki model promuje między innymi polskie stowarzyszenie POLRISK, jako zgodny z ideą enterprise risk
management.
Tak jak w przypadku risk managerów, ekspertów,
intuicyjnie można ocenić, że potrzebują oni wiedzy
z zakresu swojej działalności (IT, finanse, bezpieczeństwo, inżynieria itp.), w przypadku korporacyjnego menedżera ryzyka sprawa jest bardziej złożona. Z naszego
doświadczenia wynika, że w przypadku sprawowania
funkcji risk managera niezbędna jest wiedza – choćby
w podstawowym zakresie – z różnych obszarów: finanse, w tym rachunkowość zarządcza, oraz ubezpieczenia
i relacje inwestorskie to podstawa. Nie mniej ważna
wydaje się znajomość formy biznesu, którym zarządzamy, a pogłębiona znajomość branży, firmy i „kuchni”
gwarantuje sukces w tworzeniu i realizacji strategii.
FOTO: Getty Images/FPM
Miejsce risk managera w strukturze firmy
Risk manager powinien być zaufaną osobą zarówno
dla zarządu, jak i dla innych menedżerów. Jako „strażnik interesu udziałowców”, niejednokrotnie pełni rolę
koordynatora wielu cząstkowych działań i projektów
w różnych obszarach lub funkcjach firmy, spiętych
razem systemem zarządzania ryzykiem. Im większa
organizacja, tym większa potrzeba koordynacji, zatem
powołanie takiej osoby wydaje się nieuniknione.
Zwykle bezpośrednim przełożonym risk managera
jest w europejskich firmach CFO lub rzadziej CEO.
Niekiedy – nawet coraz częściej – zdarza się, że CRO
jest członkiem zarządu. Jednoznacznie wskazuje to
na coraz bardziej strategiczną rolę risk managementu
w firmach.
W polskiej rzeczywistości nie wyklarowała się jasna
odpowiedź na pytanie: czy RM jest specjalistą czy
dyrektorem? Odpowiedź na nie, jakiej udzieli zarząd,
ma niebywałe znaczenie. Będzie od tego zależeć, kogo
chcemy zatrudnić na stanowisko risk managera i co
możemy mu zaoferować. Jest to niewątpliwie bardzo
ważne stanowisko. Należy pamiętać, że RM efektywnie
wykorzystując budżet, dodatkowo organizuje pracę
innych.
Myliłby się jednak ktoś, kto sądzi, że menedżer ryzyka ma olbrzymi sztab ludzi dla niego pracujących. Podstawowym wyzwaniem RM w średnich i nawet dużych
firmach jest brak własnych struktur. Departament RM
to zazwyczaj 2 – 5 pracowników, rzadkością są departamenty RM zatrudniające ponad 20 czy nawet ponad 50
osób (np. firma Rolls-Royce). Z kolei w dużych firmach
panuje niekiedy przekonanie, że ważny jest ten, kto ma
pod sobą duże struktury. Pojedyncza osoba bez przyporządkowanego kwadracika na schemacie organizacyjnym postrzegana jest jako działania doraźne, którym
nie należy poświęcać zbyt dużo czasu. Tymczasem, jeśli
się przyjrzeć temu bliżej, brak rozbudowanych struktur
ma głęboki sens – menedżer ryzyka, jako pomysłodawca, twórca rozwiązań, konsekwentnie je wprowadzający koordynator, nie musi wszędzie mieć swoich ludzi.
Skutkiem ubocznym takiej roli menedżera ryzyka jest
niejednokrotne ich ciągłe podróżowanie po całym świecie – od spółki do spółki, od oddziału do oddziału...
Menedżer ryzyka to audytor, wizjoner, doradca czy biznesmen?
Zagrożeniem dla menedżera ryzyka jest traktowanie
go jako kontrolera, a zarządzania ryzykiem jako
obowiązku sprawozdawczego (podejście compliance).
Menedżer ryzyka coraz mniej jest audytorem czy
kontrolerem – zarysował się już rozdział odpowiedzialności pomiędzy RM a audytem wewnętrznym,
17
wynikający choćby z COSO ERM Framework. Group
risk manager to przede wszystkim wizjoner, architekt
rozwiązań biznesowych gwarantujących, że zgodnie
z wymogami corporate governance rada nadzorcza
i zarząd mają możliwie pełną kontrolę nad firmą
– włącznie z tym, co się dzieje „pod spodem”. Jest
również doradcą i wewnętrznym konsultantem dla
menedżerów liniowych i zarządu, w chwilach rozgryzania najtrudniejszych kategorii ryzyka i szukania dla
nich najefektywniejszych biznesowo rozwiązań. Jest
też biznesmenem, gdyż promuje świadome podejmowanie ryzyka gospodarczego jako klucz do sukcesu
firmy i uzmysławia, że zarządzanie ryzykiem nie jest
celem samym w sobie – musi mieć efekty w postaci
trafniejszych decyzjach biznesowych.
Dość typowe jest myślenie, że menedżer ryzyka to osoba,
która powinna znaleźć rozwiązanie na wszelkie rodzaje ryzyka,
z którymi spotyka się firma. Jest to zwykle podejście z gruntu
mylne – w praktyce bardziej realne i skuteczne na długą metę
jest odpowiednie motywowanie wszystkich menedżerów
w firmie tak, żeby zarządzali różnymi kategoriami ryzyka
w swoim obszarach. Zatem menedżerowie – jako właściciele
ryzyka – sami nim zarządzają, a risk manager jest koordynatorem i „architektem”, który dba o to, żeby obowiązywały pewne
zasady działania i standardy, np. aby akceptowalne poziomy
ryzyka były ustalone na wysokim szczeblu. W klasycznym
przypadku wprowadzania ERM chief risk officer nie jest
jednocześnie właścicielem ryzyka, tylko koordynatorem
– kontaktuje się z zarządem, radą nadzorczą oraz z innymi menedżerami. Taka osoba może odgrywać ważną rolę w procesie
opracowywania strategii i budżetu.
Czy są jakieś szczególne kwalifikacje,
które musi posiadać RM?
Z pewnością niezbędne są ogólna wiedza menedżerska oraz
dobra znajomość swojej firmy. Doświadczenia nasze i wielu
innych menedżerów ryzyka pokazują, że RM zaczyna pracę
w nowej w firmie od jej dogłębnego poznania z własnej
perspektywy i zaglądania tam, gdzie jeszcze nikt nie zaglądał,
zadawania pytań, których jeszcze nikt w firmie jeszcze nie
zadawał. Trwa to niekiedy kilka czy kilkanaście miesięcy
i trzeba mieć do tego predyspozycje, aby umieć sobie poradzić
z kosmiczną nieraz ilością informacji, jakie należy przetworzyć
i wykorzystać przy tworzeniu biznesowego kontekstu do późniejszej identyfikacji i oceny ryzyka. Inną cenną umiejętnością
jest tworzenie dobrych relacji międzyludzkich, umiejętne
i dobitne komunikowanie oraz radzenie sobie z dynamicznie
pojawiającymi się nowymi obawami kierownictwa. Doświadczenie zarówno nasze, jak i wielu menedżerów ryzyka
z Anglii oraz innych krajów europejskich wskazuje, że najistotniejsze jest zbudowanie dobrych relacji z kadrą kierowniczą
firmy różnych szczebli. Dopiero na kolejnym miejscu należy
postawić sprawny warsztat metodologiczny i umiejętność
budowania rozwiązań systemowych. Funkcja risk managera
to z jednej strony wciąż raczkujące dopiero w Polsce stanowisko (przeciętny polski menedżer jeszcze niewiele wie na
ten temat), należy zatem komunikować się z kierownictwem
18
w sposób klarowny i prosty. Z drugiej strony, pierwsze typowe
zadanie menedżera ryzyka to zakomunikować wszystkim, że
„teraz będziemy to robić zupełnie inaczej”.
Praca RM ma charakter wybitnie menedżerski – konsekwencja we wprowadzaniu i egzekwowaniu zmian w firmie
jest drugą po zdolnościach komunikacyjnych niezbędną
cechą charakteru. Zarządzania ryzykiem nie można nauczyć
się z książek – typowa ścieżka kariery czy korzenie to ogólne
doświadczenie biznesowe połączone z wiedzą ekspercką
w jednym z typowych obszarów biznesu, w których zarządza
się ryzykiem, oraz dużo praktyki związanej z każdym z etapów
wdrażania ERM w firmie. Wiedza specjalistyczna na pewno
pozwala zbudować wiarygodność – z tego względu warto
zainwestować czas i pieniądze w niejeden kurs czy szkolenie
zarządzania ryzykiem, których w Europie oferowanych jest
sporo. Wydaje się to szczególnie potrzebne, gdy mamy objąć
stanowisko np w spółce giełdowej, którą oceniają zewnętrzni
inwestorzy oraz specjaliści z funduszy inwestycyjnych i agencji
ratingowych.
Dlaczego funkcja RM nie przysparza
wielu przyjaciół?
Zarządzanie ryzykiem demaskuje braki w kompetencjach
zarządzających i błędy decyzyjne – przecież wygodniej jest
zrzucić winę za niepowodzenia na zdarzenia, których rzekomo
nie dało się przewidzieć. RM wymaga rozmowy o przyszłych
zdarzeniach, rozważania nie zawsze najlepszych scenariuszy.
Może się zdarzyć, że w wyniku takiej oceny wiele nowych
pomysłów trafi do kosza, a niektóre błędy czy złe decyzje menedżerskie zostaną bezlitośnie obnażone. Oczywiście nikt nie lubi
zabijać swoich pomysłów już na etapie początkowym czy być
poddawany próbie lub osądom. Niejednokrotnie zarządzanie
ryzykiem oznacza porażkę dla niefortunnych pomysłodawców
bądź nieskutecznych menedżerów, lub chwilowe zachwianie
ich kariery. W efekcie risk manager może być postrzegany
w strukturze firmy jako osoba blokująca nowe (złe) inicjatywy
lub wymiatająca„śmieci spod dywanu”. To z kolei w najgorszym
scenariuszu może zablokować chęć komunikowania przez
kierownictwo istniejących problemów. Dlatego ważne jest zrozumienie sensu ZR przez najwyższą kadrę, która jest rozliczana
z niego w długiej perspektywie czasowej. Prawdziwą sztuką
jest uzyskanie informacji o faktycznych rodzajach ryzyka, przed
którymi stoi firma, oraz doprowadzenie do tego, żeby system
alokacji zasobów pozwalał na realizację planów zaradczych.
Bywa, że zarządzanie ryzykiem (wizja na kolejne miesiące)
przegrywa walkę o czas menedżerów liniowych z zadaniami
operacyjnymi„na dziś”,„na za tydzień”. Zagrożenie czyhające
na RM, jeśli nie potrafi zademonstrować kierownictwu
bezpośrednio dla nich wynikającej wartości dodanej z zarządzania ryzykiem, to przede wszystkim utrata wiarygodności
i zepchnięcie w czeluści biurokracji.
Co to znaczy dobry risk manager
– czy można to ocenić?
Dobry menedżer ryzyka to taki, który potrafił zaprojektować
model zarządczy idealnie pasujący do specyfiki firmy oraz
pojemny – zdolny do akomodowania nieustannej dynamiki
firmy i jej rynku. To osoba, która z żelazną konsekwencją ten
model wprowadziła i zdołała trwale wpłynąć na praktykę i styl
zarządczy w firmie.
Ocena dokonań RM sprowadza się między innymi do weryfikacji, czy udało mu się doprowadzić do rozwiązania kwestii
ważnych rodzajów ryzyka. Dobry RM musi niewątpliwie pokazać trend rozwoju zarządzania ryzykiem nie tylko w kierunku
uciekania od zagrożeń, ale i wykorzystywania szans – kluczem
do sukcesu firmy powinna być promocja świadomego podejmowania ryzyka biznesowego.
Gdzie znaleźć dobrych risk managerów?
Najczęstszą w Polsce praktyką jest poszukiwanie kandydatów
na to stanowisko wśród brokerów lub ubezpieczeniowców. Do
pewnego stopnia jest to powszechne również w całej Europie
– wystarczy spojrzeć na nazwy stowarzyszeń, które w znakomitej większości łączą nawet w nazwie te dwie funkcje. Inne
typowe funkcje, z których rodzą się menedżerowie ryzyka, to
prawnicy, inżynierowie, specjaliści i audytorzy bezpieczeństwa
pracy, kontrolerzy bądź audytorzy finansowi. Samo stanowisko
i jego charakter są nadal niezwykle różnorodne, stąd nie ma
jedynego właściwego wzorca.
Podglądając, co dzieje się w największych europejskich organizacjach zarządzających ryzykiem (w brytyjskim AIRMIC
czy w europejskim FERMA), już na pierwszy rzut oka widać
tę różnorodność podejścia i koncepcji risk managementu,
znajdującą swoje odzwierciedlenie w wielu zróżnicowanych
zagadnieniach poruszanych na ich konferencjach. Okazuje
się, że nie przeszkadza nam ona, jesteśmy pod tym względem wobec siebie niezwykle tolerancyjni – w różnorodności
siła. Gwarantuje nam ona wymianę bogatych doświadczeń,
wiedzy eksperckiej oraz wzajemne uczenie się na raz
popełnionych przez innych błędach. Taką rolę pełni między
innymi zawiązane zeszłego roku Stowarzyszenie Zarządzania
Ryzykiem POLRISK.
badania ferma – koniec 2006
– risk management is directly sponsored by the board/supervisory committee (44%) or the CEO (34%)
– vast majority of risk managers report to the CFO (46%) or CEO (27%).
– the risk management representative widely deals with the board or supervisory committee at least on an annual basis (63%).
– the risk management function is currently mostly together with the insurance managementfunction (60%) and separated from the internal audit department (73%).
– Among companies having an internal audit activity (89%), half of them (51%) have set up relationship between risk
management and internal audit,
– Among companies dealing with internal control regulations (70%), risk management indirectly contributesto the work
performed (56%).