Niedawno redakcja nowego czasopisma Strategie przesłała do sekretariatu Polrisk propozycję przeprowadzenia wywiadu z wybranymi członkami Stowarzyszenia a wraz z nim kilka pytań z prośbą o proste, krótkie odpowiedzi. Jako, że w tym okresie dość intensywnie podróżowałem do moich Szanownych Klientów, zaniedbałem sprawę wywiadu i nie zdążyłem udzielić odpowiedzi na łamach Strategii. Nic straconego, można to nadrobić w potężnym medium jakim jest World Wide Web.

Jak to zwykle bywa z redaktorami początkujących czasopism, chcą wiedzieć wszystko i szybko a nie zawsze jest to możliwe - przesłane pytania wymagałyby wielogodzinnej dyskusji. Ale wybrałem te ciekawsze, które myślę że zasługują na rozwinięcie.

• Zarządzanie ryzykiem a polska ułańska fantazja: Polacy uważani są za naród, który nad chłodne kalkulacje ryzyka przedkłada ułańską fantazję, szaleńcze zrywy (powstania, etc) i nierzadko brak refleksji nad konsekwencjami poczynań/snucia alternatywnych scenariuszy rozwoju wydarzeń (a po nas choćby potop).

Fantazja - ułańska czy też fantazja księgowego - nie ma tutaj nic do rzeczy, gdyż każdy system zarządzania ryzykiem powinien być osadzony w kontekście danej firmy, a bardzo ważną część tego kontekstu stanowi tzw apetyt firmy na ryzyko, wyznaczany generalnie przez zarząd. Jeśli zarząd ma ułańską fantazję i wie jak tę fantazje chce wykorzystać w swojej grze rynkowej, przekłada się to na odpowiedni stopień "niewrażliwości" miar ryzyka i narzędzi zarządzania nim w tej firmie.

• Czy w takich okolicznościach łatwo przekonywać właścicieli firm, że CRO* jest im absolutnie niezbędny ? Jakich argumentów użyłby Pan w rozmowie z firmą, której właściciel/szef mówi, że nie potrzebuje takiego stanowiska, bo przecież ryzyko jest immanentną cechą biznesu, bez ryzyka nie ma zysku? Słowem, dlaczego RM jest tak ważny ?

Mam już za sobą wiele rozmów z członkami zarządów wielu firm rozważających wdrożenie u siebie zarządzanie ryzykiem korporacyjnym i miałem możliwość obserwować różne scenariusze, mniej czy bardziej szczęśliwe, jak ERM (Enterprise Risk Management) się rozpoczyna w wielu firmach. Bogatszy tymi doświadczeniami dzisiaj nie przekonywałbym do ERM żadnego zarządu czy właściciela, gdyż musi on zdobyć takie przekonanie sam, w swoim rytmie i czasie. Pomóc mu w tym mogą bardzo duże i bolesne porażki, silni klienci lub partnerzy biznesowi, regulatorzy bądź akcjonariusze. Dopiero zarządy “doświadczone” presją zewnętrzną są gotowe na wdrożenie zarządzania ryzykiem.

• O branży: kiedy w Polsce zaczęto poważnie myśleć o "okiełznaniu" biznesowego ryzyka? Kto był pionierem na tym polu? (wiadomo, że firmy zagraniczne, a jakie było kolejne ogniwo w tym łańcuszku krzewienia dobrych praktyk?) Jak wypadamy na tle świata?

Kiedy zaczynałem wprowadzać zarządzanie ryzykiem korporacyjnym w logistycznej grupie kapitałowej (kapitał holenderski, jednak zarząd i siedziba w Polsce) - był koniec roku 2003. Byłem wtedy na polskim rynku sam jak palec, mogę więc o sobie mówić że jestem pionierem ERM w Polsce. Moje pierwsze kontakty z zachodnią, dojrzałą szkołą zarządzania ryzykiem, uczestnictwo w pierwszych szkoleniach i konferencjach w Anglii - to był rok 2004. Od roku 2005 zaczynałem zauważać kolejne pojedyncze osoby w Polsce również nieśmiało oglądające się na zagadnienie ERM, wtedy też nastąpiły pierwsze nieformalne spotkania współtwórców dzisiejszego Polrisk, zresztą z udziałem członków zarządu FERMA. Polrisk założono w 2006 roku i można ten rok przyjąć jako początek sformalizowanego, zinstytucjonalizowanego nurtu zarządzania ryzykiem biznesowym w Polsce. Zdecydowane przyspieszenie polskich firm i "umasowienie" tej dyscypliny zarządczej w Polsce to ostatnie 2, może 3 lata. Dochodzę również do wniosku, że nasze rodzime - odpowiednio duże - firmy mają większe szanse samodzielnego stworzenia nowoczesnych systemów ERM niż ich konkurenci będący spółkami-córkami firm zagranicznych, gdyż tym ostatnim po prostu narzuca się rozwiązania spółek-matek, nie zawsze spełniające najnowsze osiągnięcia zarządzania ryzykiem.

• Które z obowiązujących praktyk/sposobów myślenia o RM z rynków na których podmioty mają świadomość wagi profesjonalnego RM przeniósłby Pan do Polski?

Dzisiaj zasadniczo można mówić o czterech a właściwie o dwóch dobrych praktykach:

1. ISO 31000 z 2010 r - zdecydowanie najbardziej nowoczesne i uniwersalne dobre praktyki
2. powyższe jest w dużej mierze są oparte na australijsko-nowozelandzkim AS/NZS 4360 z 2004 r, stąd australijczycy dobrowolnie odłożyli tę normę do szuflady i sugerują skorzystanie z ISO
3. COSO ERM Framework - które wyrasta z potrzeb kontroli wewnętrznej (dlatego więcej tam mowy o procesach i kontroli niż o biznesowym podejściu do zarządzana ryzykiem); jest to dokument już wyraźnie przestarzały
4. AIRMIC/IRM/ALARM Risk Management Standard, przyjęty również przez FERMA (Federacja Europejskich Stowarzyszeń Zarządzania Ryzykiem), dokument już bardzo niedoskonały, sam usunął się w cień.

Z tej czwórki głosuję zdecydowanie za ISO 31000.

• Jak dużo firm - zwłaszcza spoza świata finansów, gdzie ocena ryzyka jest niejako wpisana w core business - ma świadomość RM i umie profesjonalnie je "uprawiać"?

Po pierwsze, świat finansów nie potrafi uprawiać zarządzania ryzykiem a jedynie markuje, że to robi. Pokazał to dobitnie w 2008 roku dołując swoim nieudolnym postępowaniem z ryzykiem całą gospodarkę światową. Gdyby brać pod uwagę gospodarkę europejską, oraz Amerykę Północną a także Australię i Nową Zelandię - można mówić o ok 30-50% dużych firm (powyżej pół miliarda EUR obrotów), które są na rożnych etapach wdrażania lub funkcjonowania ERM. Rynek polski jest pod tym względem znacznie młodszy: z giełdowej top 50-ki myślę, że jest to około 10%, z giełdowej top 200-ki, około 5%. I to są moim zdaniem absolutne maxima.

• Jak wiele jest CRO*, odpowiedzialnych całościowo/na poziomie zarządu za wszystkie czynniki ryzyka?

Jeśli mowa o sektorach pozafinansowych, to niewielu, praktycznie wcale. ERM to nie jest zadanie, które wypełni "cały etat" członka zarządu. Używanie (czy w ogóle stworzenie) nazwy CRO to szkodliwy dla naszego środowiska zawodowego przerost formy nad treścią, wręcz bufonada.

• Jak ewoluuje rola CRO w organizacjach ?

Na podstawie dyskusji z innymi europejskimi menedżerami ryzyka – chociażby podczas ostatniego Forum FERMA oceniam, że funkcja czy tytuł CRO - przynajmniej na świecie - przestała już nas emocjonować i umarła zanim na dobre znalazła swoje miejsce i znaczenie. To pusta nazwa, gdyż w praktyce osoby na funkcji managera ryzyka (a właśnie o nich mowa) nie dochodzą do poziomu składu zarządu (C-Suit), chyba, ze członek zarządu przyjmuje na siebie dodatkową rolę risk managera (i wtedy mowa o CFO, CEO lub COO, który przy okazji jest Risk Officerem), ale to ma miejsce sporadycznie.

• Jaki profil zawodowy (wykształcenie, wiek, wcześniejsze doświadczenie zawodowe) ma przeciętny CRO w Polsce ?

W Polsce nazwy CRO dla tej funkcji używa się bodajże tylko w niektórych bankach, stąd to zawsze bankowcy, analitycy finansowi. Poza bankami używa się nazwy risk manager (menedżer ryzyka), i są to ludzie z korzeniami w ubezpieczeniach, audycie wewnętrznym lub po prostu wszechstronni kierownicy/dyrektorzy, bo takimi musza się stać risk managerowie.

• Jak wygląda późniejsza kariera CRO - do jakich pozycji to jest przepustka ?

Jeśli ktoś nie popełni tego błędu i nie stara zrobić z siebie mosiężnego posągu pod nazwą CRO, natomiast poprzestanie na tytule i roli managera ryzyka, to staje się:

1. albo coraz bardziej kompetentnym administratorem bardzo ważnego wycinka biznesu, po czym wchłania obszary pokrewne - np ubezpieczenia, zarządzania procesami, zarządzanie kryzysowe itp, a z czasem staje się członkiem ważnych ciał doradczych - komitetu ds ryzyka, ds strategii;
2. albo też przeskakuje na obszary pokrewne - audyt wewnętrzny, dział M&A w firmie, dział finansow;
3. lub przeskakuje na tej samej funkcji do kolejnych firm - coraz większych, bardziej złożonych i jadących coraz bardziej "na ostrzu noża".

• Na czym polega typowy dzień CRO ? Czemu poświęca najwięcej czasu ? Co sprawia największą przyjemność/co jest największą bolączką?

Jeśli mowa o risk managerach – to nie ma typowego dnia. Ten dzień jest zupełnie inny w ciągu pierwszego, drugiego, czwartego kwartału, zmienia się po roku i po dwóch latach od wdrożenia ERM. Nie ma rutyny, nie ma dwóch takich samych risk managerów, nie ma dwóch firm tak samo zarządzających ryzykiem.

• Proszę o potwierdzenie moich przypuszczeń - wydaje się, że bycie strażnikiem bezpieczeństwa firmy wymaga specjalnych cech (asertywność, odwaga w bronieniu własnych racji, umiejętność wpływania na innych i przekonywania do racji), ale także odpowiednio wysoko umieszczenia w firmowej - formalnej i nieformalnej - hierarchii, tak by ewentualny alarm podniesiony przez CRO spotkał się z należytym odzewem ?

Rzeczywiście, risk manager o słabej konstrukcji psychicznej jest risk managerem jednego sezonu, nawet nie jednego projektu wdrożeniowego. Musi być w stanie wyobrazić sobie cos na kształt swojej konfrontacji z CEO i nie przestraszyć się tej perspektywy. Niekoniecznie musi do niej dojść, jednak konfrontacje z managerami liniowymi, dyrektorami to pewnik, na który risk manager musi być gotowy. Jest kilka złotych reguł, które pomagają menedżerom ryzyka zdobyć autorytet i być cenioną osobą w firmie – ale to już temat na kolejny wpis.

Przy okazji – myślę, że CRO to na tyle ciekawe zagadnienie, że zasługuje na bardziej publiczne przedyskutowanie w większym gronie. Może Strategie zorganizowałyby taką dyskusję przy jednym stole korzystając z kwietniowej konferencji Polrisk – wtedy w jednym miejscu będą wszystkie “mądre głowy”. Podobne spotkania organizuje Strategic Risk (chodzi o tzw round table, czyli tematyczne spotkania ekspertów z danej dziedziny przy jednym stole, moderowane przez dziennikarza). W kilku uczestniczyłem - sprawdzają się doskonale.

* CRO – Chief Risk Officer, termin używany najczęściej w instytucjach finansowych, opisujący członka zarządu zajmującego się ekspozycją banku na ryzyko oraz funkcjami kontroli wewnętrznej, które to ryzyko miały kontrolować. W latach 2009-2010 próbowano – szczególnie w Stanach Zjednoczonych – ochrzcić tym mianem Risk Managerów spoza sektora finansowego, mając nadzieję na podniesienie w ten sposób ich statusu, jednak ostatecznie ta próba została bardzo sceptycznie przyjęta przez Risk Managerów na ostatnim Forum FERMA w Londynie. Na status trzeba sobie zapracować przydatnością w firmie, a nie “sztukować” go tytułem.