Celem zarządzania ryzykiem korporacyjnym nie jest krępowanie kompetencji i decyzji menedżerów. Organizacje zarządzające w oparciu o kulturę świadomości ryzyka, mogą bezpiecznie podjąć wyższe ryzyko, niż pozostałe firmy z branży.
Blog > Komentarze do wpisu
Po co komuś podział ryzyk na kategorie, klasy lub grupy ?
Kilka lat temu, podczas jednego z pierwszych roboczych spotkań członków Polrisk, jeden z członków (z którym nie zawsze się zgadzam w sprawach ERM ale którego zawsze szanuję), wtedy przedstawiciel renomowanej firmy konsultingowej, dość długo dowodził jak ważne jest ustalenie, jakimi kategoriami ryzyk będziemy jako Polrisk się zajmować, i żeby wogóle te ryzyka skategoryzować.

Podobnie, w większości opracowań na temat ERM nieuchronnie pojawia się obowiązkowy punkt: kategorie ryzyk i pojawia się na przykład schemat jak ten poniżej, przedstawiony przez firmę AEA Technology:



Odpowiadam zatem na tytułowe pytanie: kategoryzacja ryzyk nie jest potrzebna nikomu, nie przydaje się do niczego, jest prawie bezwartościowa. Dlaczego ?

Otóż nie ma znaczenia do jakiej kategorii zostanie ryzyko sklasyfikowane, ponieważ nie stanie się przez to mniejsze, mniej prawdopodobne, nie stanie się lepiej kontrolowane ani kategoryzacja nie pomoże nam w znalezieniu najlepszego rozwiązania. Dajmy na to ryzyko wypadku pracownika przy linii produkcyjnej. Czy to ryzyko z rodzaju HR ? Tak. Czy to ryzyko reputacyjne ? Tak. Czy to ryzyko prawne (roszczenie odszkodowawcze) ? Tak. Czy to ryzyko produkcyjne (zatrzymanie linii produkcyjnej) ? Tak. No to do której kategorii należy je zaliczyć ? I czy coś z takiego przydziału wyniknie dla sposobu zarządzania tym ryzykiem ? Oczywiście nie.

W takim ujęciu, podział ryzyk ma charakter wyłącznie akademicki, pomocniczy, trzecio planowy. Pomaga nam uporządkować zbiór informacji, tak jak to robi np MOL:


W takim sensie podział ryzyk jest neutralny, na całe szczęście nieszkodliwy. Może jednak okazać się niezwykle szkodliwy, jeśli zaczyna służyć jako "check lista" - lista ryzyk, pod kątem których należy firmę sprawdzić, czy czasem gdzieś nie siedzą pod dywanem. Słynna "Orange Book" - biblia ERM dla brytyjskich organów administracji publicznej - mimo iż to ogólnie szanowana szanowana pozycja, w tym obszarze może służyć za antywzór:



Posługiwanie się taką zamkniętą listą kategorii nieuchronnie prowadzi to do traktowania jej jako wyczerpującego katalogu wszystkich możliwych ryzyk, uśmierca twórcze i odkrywcze myślenie o nowych ryzykach zanim ono się jeszcze pojawi w firmie.

Można się zastanawiać, czy na przykład banki, które próbowały zamknąć całe spektrum swoich ryzyk w mocno poszufladkowane i skwantyfikowane środowisko narzędzi ich oceny (np. VAR) i mitygacji (np. hedging), nie ułatwiają sobie życia za pomocą kategoryzowania ryzyk, na przykład tak jak to robi południowoafrykański Nedbank, jedna z najbardziej zaawansowanych instytucji w tajnikach ERM:

Wiedząc do jakiej kategorii ryzyko należy, łatwiej dobrać im zestaw narzędzi do "obsługi" takiego ryzyka. Jednak ostatnie wypadki (opisane tutaj) i niechlubna rola banków w ich wywołaniu stawia pod znakiem zapytania wartość "zarządzania ryzykiem" w bankach wogóle. Nawiasem ciekaw jestem, czy Nedbank mocno umoczył w kryzysie finansowym ...

Zabierając się już do kategoryzacji ryzyk natychmiast trafiamy na problem merytoryczny: według jakich kryteriów je kategoryzować ? Poniższy rysunek, wyjęty z materiałów szkoleniowych duńskiego EIRM, pokazuje na czym polega problem:


Możemy ryzyka kategoryzować według ich źródeł (environment), według obszarów/wartości firmy w które mogą uderzyć (assets), możemy do tego dodać czas ich oddziaływania, stopień kontroli jaką mamy nad mechanizmami kierującymi ryzykiem i wiele innych kryteriów. Idealny podział na kategorie musiałby być 4-5 wymiarowy, czyli nieosiągalny dla ludzi nie zajmujących się ryzykiem naukowo.

Na właściwy trop naprowadza nas kolejna ilustracja, zaczerpnięta z prezentacji Reginalda Hamana, prezesa IRMSA (południowoafrykańskiego stowarzyszenia risk managementu):

Sprowadza ona rozważania do podstaw, korzeni i dogmatów ERM: ryzyka powinny być rozważane w kontekście celów biznesowych, jakim zagrażają. Chcemy wiedzieć, który z celów biznesowych jest najbardziej zagrożony i jakimi ryzykami. Aby się tego dowiedzieć, należy skategoryzować (pogrupować) ryzyka wokół celów biznesowych. Właściwszy będzie tutaj termin "agregować" - czyli nie tylko wpisywać grupę ryzyk na wspólnę listę, żeby je widzieć obok siebie, ale krok dalej: dodawać ich oddziaływanie na firmę i skutki tych ryzyk. To zaczyna stanowić wartość dodaną dla firmy, która agregując potrafi wartościować (mierzyć) wpływ ryzyk na kluczowe jej obszary i ocenić, czy i jak zintensyfikować działania zaradcze przeciw konkretnym ryzykom.

Konkluzja ? Kategoryzować - nie, agregować - tak.

piątek, 10 kwietnia 2009, rudnicki.com.pl

TrackBack
TrackBack w tym blogu jest moderowany. TrackBack URL do wpisu:
Komentarze
2009/04/11 22:24:30
fajne:) niewiele rozumiem, ale wiem, że zawsze więcej można się dowiedzieć od ludzi zadając pytania otwarte niż zamknięte (skategoryzowane), czym się jednak nie przejmują dziennikarze...
pozdrawiam na święta
-
Gość: Adam, 213.199.233.5*
2009/04/18 13:19:04
Witam,

Dobry tekst. Co do zasady (jak zwykle) się z Tobą zgadzam. Kategoryzowanie ryzyk często stwarza więcej problemów niż korzyści. Często z konieczności trzeba wybierać "dominującą kategorię". U mnie funkcjonują kategorie 3-stopniowe ale tylko jako charakterystyka pomocnicza dla managerów.
Creative Commons License
Rudnicki

View Rafał Rudnicki's profile on LinkedIn
Zobacz mnie na GoldenLine