Wczoraj przez ponad 100 minut rozmawiałem z Keithem Warburtonem, programistą z firmy Risk Wizard. Keith prezentował mi Reliance - najnowszy produkt Risk Wizard i był ciekaw moich krytycznych uwag i porad. Mimo ze dzieliło nas 10 godzin różnicy w czasie (Melbourn, Australia), dzięki Skype oraz Gotomeeting rozmawiało nam się doskonale.



Zespół Keitha, mimo że biedacy chodzą do góry nogami (Australia ...), zdołał w ich nowym  programie wspierającym procesy ERM osiągnąć zadanie niebywale trudne: skomplikowaną, dojrzałą i wysublimowaną strukturę informacyjną upakować w bardzo prosty i przyjazdy interfejs. Ale nie dlatego piszę ten tekst - uderzyło mnie, że zdołali skonstruować narzędzie, potrafiące agregować ryzyka wg różnych kluczy i założeń. Wszystkie ryzyka danego departamentu, wszystkie nowe ryzyka, wszystkie ryzyka uderzające w majątek, wszystkie ryzyka związane z otoczeniem konkurencyjnym, lub ryzyka oddziałujące na spółkę ... Powiedziałm Keithowi, że to narzędzie to jakościowy przełom.



Proszę zwrócić uwagę, że zwykle w procesie zarządzania ryzykiem poszczególne ryzyka są osamotnione - podczas identyfikacji, szacowania, mitygacji i monitorowania. Jest tylko jeden punkt i moment, w którym się zbiegają - mapa ryzyka. Ale niestety pozwala nam ona jedynie przekonać się o priorytetach ryzyk względem siebie, wybrać te najważniejsze, lecz nie pozwala ich zagregować i zbadać ich wspólnego oddziaływania na firmę lub jej dział. To może powodować, że mamy kontrolę nad pojedynczymi ryzykami (zgoda, najważniejszymi, ale jednak pojedynczymi) natomiast nie mamy obrazu całościowego zagrożenia czy ekspozycji całej spółki. Dobry Risk Manager lub zaangażowany CFO czują i agregują to intuicyjnie, ale jak wiadomo intuicja nie jest najlepszą maszyną liczącą.

Paul Hopkin (w tej chwili Dyrektor Techniczny AIRMIC), proponuje własną metodologię agregowania ryzyk na poziomie strategicznym. W dużym skrócie, klasyfikuje on ryzyka w grupy Hazard Risks (klasyczne ryzyka negatywne/czyste), Control Risk, Opportunity Risk (inaczej szanse). Równolegle firma wyznacza swoje Risk Bearing Capacity, jako suma granicznych wartości dla poszczególnych klas ryzyk (hazard tolerance + control costs + opportunity appetite). Sytuacja idealna to taka, w której Risk Exposure (suma Hazard Risks + Control Risk + Opportunity Risk) jest zbliżona do lub niższa od Risk Bearing Capacity. Jeśli firma chce z kolei podjąć kolejne wyzwanie zwiększające jej ekspozycję na ryzyko (Opportunity Risk), musi w jednym z dwóch pozostałych obszarów (Hazard Risks, Control Risk) odpowiednio zmniejszyć swoją ekspozycję, aby zachować bilans zerowy. Paul operuje cały czas zagregowanym ryzykiem i w takim ujęciu ERM jest narzędziem strategicznym. Dla zainteresowanych, książka nazywa się "Holistic Risk Management in Practice" i jest dostępna w wydawnictwie Witherbys.

Niewielu z nas o tym myśli, ale warto już na początku swojej przygody z ERM zdawać sobie sprawę z tego, że ryzyka się dodają, a każda - nawet największa - firma ma ograniczoną pojemność na nie.