Sposoby i narzędzia identyfikacji oraz szacowania ryzyka

Transkrypt

Wpisany przez Rafał Rudnicki
Elementarz Risk Managera.
Stosowanie i jakość zarządzania ryzykiem to miara dojrzałości i kultury korporacji, jest to
bowiem przeciwieństwo lekkomyślności w biznesie. Jeśli ktoś chciałby, aby przeciętni
menedżerowie mieli ponadprzeciętną świadomość interesów i celów firmy - osiągnie to
przez wprowadzenie zintegrowanego (holistycznego) zarządzania ryzykiem.
Formułą, na której bazują rozważania zawarte w tym artykule, jest Risk Management Standard
stworzony jesienią 2002 roku przez ekspertów z trzech brytyjskich organizacji: AIRMIC (
Association of Insurance and Risk Managers
), IRM (
Institute of Risk Management
) oraz ALARM (
National Forum fo
r Risk Management in Public Sector
). Formuła ta zasadniczo podobna jest do modelu zarysowanego w nieco wcześniejszym,
australijsko-nowozelandzkim standardzie AS/NZS 4360:2004. Ten drugi, mimo że bardziej
rozbudowany (a może właśnie dlatego), jest bardziej przyjazny dla początkującego risk
managera, a ponadto zawiera dwa znamienne elementy, których brak w standardzie brytyjskim
(o czym później).
Zarządzanie ryzykiem gospodarczym nie jest jednorazowym aktem czy zbiorem kilku
decyzji, lecz procesem zamykającym się w pętlę logiczną (...). Pierwszym ruchem, bez
którego nie ma nawet mowy o dobrym systemie zarządzania ryzykiem (niestety nie mówi o nim
zbyt wiele standard brytyjski) jest uświadomienie sobie tzw „kontekstu": celów biznesowych
firmy oraz celów (oczekiwań) jej interesariuszy (...)
1/9
Trzeci z najpowszechniej wykorzystywanych modeli - amerykański COSO Enterprise Risk
Management Framework
kładzie - oprócz tych dwóch wątków - znaczny nacisk na procesy biznesowe. Zgodnie z tym
modelem, powinny one być doskonale opisane przez menedżerów przed przystąpieniem do
właściwych działań wiążących się z zarządzaniem ryzykiem. Jeśli więc którykolwiek z
menedżerów mówi: „zarządzam ryzykiem w moim oddziale (departamencie)", to jakby mówił:
„doskonale znam cele biznesowe mojego departamentu oraz firmy, a także oczekiwania
naszych interesariuszy oraz rozumiem najważniejsze procesy w naszej firmie, nie tylko te
przebiegające w moim departamencie".
Trzeba być odkrywczym i przewidującym...
Identyfikacja ryzyka polega na metodycznym przeglądzie wszystkich bez wyjątku aspektów
funkcjonowania firmy i jej otoczenia biznesowego. Przy czym - rzecz niezwykle istotna - ryzykie
m dla konkretnej firmy działającej w konkretnej branży jest wyłącznie takie zjawisko,
które może firmie przeszkodzić w osiągnięciu jej celów biznesowych, zakłócić
podstawowe procesy lub zagrozić oczekiwaniom interesariuszy
.
W celu zidentyfikowania ryzyka do dyspozycji jest wiele narzędzi, znanych większości
menedżerów, w tym np.:
- stakeholders analysis (analiza pod kątem oczekiwań głównych grup interesu);
- analiza SWOT;
- analiza PEST.
2/9
Pomocne może być wykonanie gruntownego przeglądu przepływów i koncentracji zasobów
firmy w aspekcie geograficznym i logicznym (operacyjnym, funkcjonalnym). Nieocenione są
rozmowy i warsztaty przeprowadzane z menedżerami i kierownikami niższych szczebli
operacyjnych - gdyż niejednokrotnie to oni znacznie lepiej niż zarząd zdają sobie sprawę z
ryzyk, jakie zagrażają firmie. Lista rozmówców jest otwarta, risk manager powinien przejawiać
mnóstwo inicjatywy w jej rozszerzaniu, aby uniknąć wybiórczego analizowania obszarów
organizacji (tzw. silo thinking).
Złożone obszary i funkcje w obrębie firmy mogą wymagać bardziej specjalistycznych narzędzi
analitycznych, takich jak: mapowanie procesów, flow charts (analiza ilości i rodzaju
przepływających przez infrastrukturę firmy materiałów pod kątem wzajemnego wpływu na
wynik), metody HAZOP (
Hazard
and Operability Studies
), HAZID (
Hazard Indentification Study
),
Fault Tree Analysis, Root Cause Analysis,
metody Bowtie.
Identyfikacja ryzyka to pierwsza pułapka, w którą łatwo się złapać - sensem tego etapu jest
bowiem bycie odkrywczym, przewidującym i innowacyjnym. Identyfikacja ryzyk odbywa się
dość regularnie, w sposób powtarzalny (cykliczny) i powinien wykonywać ją
podświadomie praktycznie każdy pracownik i kierownik.
Zwykle przybiera to jednak postać zorganizowaną i mniej czy bardziej sformalizowaną: tzw.
checklisty to najprostszy, ale też najmniej wartościowy sposób identyfikacji ryzyk - nie pozwala
bowiem wyjść poza dotychczasowe przekonania, utrudnia pracę grupową i nie pozwala na
swobodne „odkrywanie" nowych zagrożeń.
Opis musi być jasny i klarowny
3/9
Lepszym narzędziem jest burza mózgów, choć obecność na takich warsztatach mocnej
osobowości (szczególnie na wysokim szczeblu menedżerskim) nie równoważona przez co
najmniej równie silną i niezależną osobowość prowadzącego burzę (zwykle risk manager),
może zniweczyć potencjał, jaki można by czerpać z doświadczenia pozostałych uczestników.
Proszę mi wierzyć - takie sesje bywają niezwykle ożywczym doświadczeniem dla uczestników,
którzy niejednokrotnie odkrywają własną firmę na nowo, czy też zażarcie kłócą się między sobą
o realne i nierealne zagrożenia...
Metodą pozwalającą uczestnikom uwolnić się od wpływu silnych jednostek jest m.in. metoda
delficka, która bazuje na anonimowym formułowaniu indywidualnych opinii, a następnie
wypracowaniu wspólnej opinii na podstawie wypowiedzi eksperckich i wielokrotnych iteracji.
Ostatnim krokiem w identyfikacji ryzyka powinno być jego właściwe opisanie - właściwe,
czyli takie, które zagwarantuje, że jakikolwiek menedżer firmy czy zewnętrzny konsultant
złapie w lot, o jakie ryzyko chodzi - na podstawie samego opisu, bez konieczności jego
tłumaczenia i objaśniania przez autora. Okazuje się, że dla większości menedżerów to bardzo
trudne wyzwanie.
Do sporządzania takiego opisu może służyć trójelementowa tzw. „metoda X-Y-Z": ryzyko X,
spowodowane Y, skutkujące Z. Na przykład: (X) ryzyko przyśnięcia, (Y) spowodowane obfitym
posiłkiem, (Z) skutkujące opadnięciem głowy na biurko i zbiciem okularów. Dlaczego opis jest
tak istotny? Gdyż determinuje natychmiast wartości prawdopodobieństwa i skutku, jakie
przypiszemy temu ryzyku, oraz sposób reakcji na to ryzyko. Proszę porównać z nim kolejne,
wydawałoby się podobne ryzyko: (X) ryzyko przyśnięcia, (Y) spowodowane obfitym posiłkiem,
(Z) skutkujące zjechaniem na przeciwny pas drogi. Lub inny wariant: (X) ryzyko przyśnięcia, (Y)
spowodowane poważnym przedawkowaniem środków uspokajających, (Z) skutkujące
4/9
opadnięciem głowy na biurko i zbiciem okularów. W każdym z tych przypadków co najmniej
jedna cecha ryzyka (skutek lub prawdopodobieństwo) zostaną ocenione inaczej, a w każdym z
nich inaczej próbowalibyśmy radzić sobie z takim ryzykiem.
Miary apetytu na ryzyko
Po tym, jak menedżerowie ustalą, jakich jest np. 50 niepokojących ich ryzyk, przystępują do ich
tzw. oszacowania, czy „kwantyfikacji" - jak sam lubię tę czynność nazywać. Pomoże im w tym
scharakteryzowanie tych ryzyk przy użyciu dwóch parametrów: maksymalnego realnego skutku
realizacji zagrożenia oraz prawdopodobieństwa realizacji zagrożenia. Biorąc pod uwagę
skrajnie odmienne typy ryzyk (np. awaria linii produkcyjnej, śmierć CEO), najrozsądniej zacząć
od uzgodnienia wspólnych kryteriów kwantyfikowania tych parametrów. Dlatego zanim zacznie
się mierzyć materię tak ulotną i niemierzalną jak ryzyko, powinno się skonstruować miary ryzyk.
W tym miejscu wypada uchylić nakrycie głowy przed każdym risk managerem, który z
powodzeniem zaprojektował miary ryzyk sprawdzające się w jego firmie. Jest to zadanie
wymagające niezwykle głębokiej znajomości firmy (wspomnianych celów biznesowych,
oczekiwań interesariuszy i zasadniczych procesów biznesowych); bardzo jasnej świadomości
celu, jaki menedżer ryzyka chce osiągnąć w ciągu 2-5 lat; gruntownej wiedzy menedżerskiej
oraz - po prostu - inteligencji i błyskotliwości. Niestety wytrych w postaci zaangażowania do
wykonania tego zadania zewnętrznych konsultantów nie jest wcale gwarancją wysokiej jakości i
adekwatności miar.
5/9
Wypracowanie miar (skal skutku i prawdopodobieństwa) jest związane ściśle z
ustaleniem poziomu tzw. apetytu firmy na ryzyko - a może być on zróżnicowany w
poszczególnych obszarach działalności firmy. Starając się w tym miejscu mocno
powstrzymać pióro (na ten temat każdy risk manager mógłby non-stop mówić kilka godzin,
pozostawiając i tak uczucie niedosytu i niedopowiedzenia) należy jedynie stwierdzić, że:
- nie ma jednego uniwersalnego sposobu mierzenia ryzyk;
- każda firma może, czy wręcz powinna, robić to inaczej - po swojemu;
- skutek można mierzyć w odniesieniu do wielu bardzo odległych od siebie kryteriów i
kategorii, można miary łączyć czy stosować je równolegle.
Aby zarządzanie ryzykiem nie było postrzegane jako czarnoksięstwo, posłużę się dwoma
wyrywkowymi przykładami liczbowymi. Pierwszy dotyczy ustalenia apetytu (tolerancji) na
ryzyko, który jest tożsamy ze zdefinowaniem najwyższego dopuszczalnego jeszcze progu na
skali skutku - powyżej tej kwoty mówimy o skutku „katastrofalnym" lub o zniszczeniu, anihilacji
firmy. Większość znanych metod „naukowo-finansowych" bazuje na koszyku wskaźników
finansowych przedsiębiorstwa - przykładowy koszyk (wg R.J. Hansmana) analizuje
najważniejsze parametry i przykłada do nich wagi. Oczywiście w zależności od struktury
majątku i cash flow firmy (tj. jej branży i profilu) metoda będzie mniej lub bardziej trafna. (...)
Osobiście polecam sposób bardziej „na nosa", niezależny od charakteru firmy: proszę zadać
pytanie dyrektorowi finansowemu, jaką największą kwotę jednorazowej straty jest firma w stanie
samodzielnie sfinansować nie znikając z rynku? Można przedstawić następujący scenariusz:
spalenie fabryki wraz z linią produkcyjną; ubezpieczyciel dopatruje się niedociągnięć i na tej
podstawie odmawia wypłaty jakiegokolwiek odszkodowania; wszystkie współpracujące z firmą
banki ze względu na niepewną przyszłość firmy odmawiają udzielenia nawet
krótkoterminowego kredytu. Firma przestaje mieć przyjaciół, natomiast ma coraz więcej wrogów
- jest zdana sama na siebie. Ile wytrzyma?
6/9
Drugi przykład, to skala skutku wykorzystywana przez jedną z firm w Australii: proszę
zauważyć, że oprócz wartości w pieniądzu pojawia się wartość niematerialna: czas,
jakość, reputacja, zdrowie i bezpieczeństwo
. Nie są to przypadki odosobnione
- nawet w bardzo komercyjnych i „technicznych" korporacjach. Lockheed np. mierzy skutek
głównie w odniesieniu do zdrowia publicznego, zagrożenia środowiska naturalnego,
bezpieczeństwa pracowników, na ostatnim miejscu stawiając tzw. „efektywność kosztową".
Zgodnie z wolą „sponsorów"
Sama kwantyfikacja jest już czynnością prostszą - zdroworozsądkową. Powinna być poparta
twardymi danymi i faktami - nie zaś przeczuciami czy wyobrażeniami menedżerów. Skutek
powinien przedstawiać konsekwencje najgorszego z realnie możliwych scenariuszy.
Punktem odniesienia może być analiza historycznych incydentów w firmie, wśród partnerów i
konkurentów, w podobnych branżach. Najtrudniejszą częścią tego zadania jest przełożenie strat
niewyrażalnych w pieniądzu na wartości wymierne. Ile istnień ludzkich przekłada się na miliony?
Ile złotych jest warta nasza reputacja? Iloletni zysk jest równoważny dziesięciu procentom
udziału w rynku? Jak bardzo utrata CEO zaważy na wyniku finansowym firmy?
Należy przywołać wypracowane wcześniej miary ryzyka, których jakość będzie determinowała
jakość i wartość zarządczą całego procesu (modelu) zarządzania ryzykiem.
Prawdopodobieństwo - niezależnie czy ustalane w punktach czy jako procent - zależy nie tylko
od charakteru samego zagrożenia jako zjawiska (np. powódź, defraudacja) ale i otoczenia, w
jakim funkcjonuje przedsiębiorstwo, definiowanego przez np. kulturę zarządzania, wielkość i
stopień złożoności firmy, czynnik ludzki, warunki makroekonomiczne i polityczne. I drugi
element odróżniający standard australijski od brytyjskiego (w którym tego elementu brak) ocenę skutku należy uzależnić od istniejących środków kontroli ryzyka - tj. od ich obecności i
7/9
skuteczności.
Również i na tym etapie nieocenione są warsztaty, burze mózgów czy metoda delficka. Oszaco
wanie (zmierzenie) oraz uzasadnienie powinny być utrwalone, zarejestrowane - aby
podlegać ocenie i późniejszym audytom, a także ułatwiać wracanie do oceny tego ryzyka
po dłuższym czasie.
Taki wymóg wywołuje niekiedy skrajne reakcje wśród zarządzających: podczas jednej z sesji
dyrektor zarządzający spółki, w której odbywał się pierwszy taki warsztat, poczuł iż jego
autorytet jest zagrożony (po 25 latach zarządzania przez niego firmą ktoś po raz pierwszy żądał
od niego uzasadnienia jego oceny - to prawie jakby podawał ją w wątpliwość!).
Po około 2-3 godzinach przysłuchiwania się, jak pod przewodnictwem konsultanta niżsi rangą
menedżerowie „poza nim" dokonują oceny spraw istotnych dla spółki, puściły mu nerwy - nagle
wstał i wybuchnął, podnosząc głos na konsultanta, kwestionując sens wprowadzania systemu
zarządzania ryzykiem w ogóle. W takich właśnie chwilach konfrontacji konsultant (lub risk
manager) powinien móc ze spokojem i mocą powiedzieć: „osobistym życzeniem właściciela
(rady nadzorczej) firmy, którą pan prowadzi, jest aby zarządzanie ryzykiem odbywało się
właśnie w ten sposób". Pozostaje wtedy tylko zgrzytanie zębami - i o to właśnie chodzi we
właściwym umocowaniu i „sponsorowaniu" zarządzania ryzykiem przez rady nadzorcze i
zarządy.
Wspominanie o konieczności opierania się na twardych danych i faktach może niepokoić - lecz
niepotrzebnie, gdyż nie jest tu wymagana duża dokładność - oszacowanie ma ograniczyć się do
wpisania danego zdarzenia lub zjawiska w „widełki", a przedziały wartości mogą być bardzo
duże. Przykładowo: przedziały dla skutku są zwykle odcinane kolejnymi wartościami na skali
pseudo-logarytmicznej (np. 100 tys., 1 mln, 10 mln ...).
8/9
Pełna wersja artykułu w nr 1/2008 „Przeglądu Corporate Governance"
9/9

Sposoby i narzędzia identyfikacji oraz szacowania ryzyka

Transkrypt

Podobne dokumenty

Artykuł ukazał się w Miesięczniku Ubezpieczeniowym.

pobrać w formacie - RMC Rudnicki

Artykuł ukazał się w Miesięczniku

RISK FORUM

Artykuł ukazał się w Miesięczniku Ubezpieczeniowym.

Różne oblicza zarządzania ryzykiem | Pol-Int

Artykuł ukazał się w Miesięczniku Ubezpieczeniowym.

Metodyka oceny ryzyka na potrzeby systemu zarządzania

STANDARDOWY PROGRAM WARSZTATÓW RMC Rudnicki Tel