Natknąłem się na dokument pt: "The High Cost of ERM Herd Mentality” wyprodukowany przez kanadyjczytka, Tima J. Leech. Dokument stanowi frontalną krytykę niektórych, dotąd uznawanych za fundamentalne, zasad zarządzania ryzykiem korporacyjnym. Co gorsza, w wielu miejscach nie sposób nie zgodzić się z konkluzjami.

Tysiące przedsiębiorstw zaimplementowało lub zaczęło implementować różne formuły ERM, zwykle opierając się na którymś ze standardów promowanych przez silnie lobbujące organizacje; ASNZS 4360, ISO 31000, COSO 1992 i COSO 2004, the Combined Code, IRM/AIRMIC Standard. Regulatorzy w Europie i Ameryce Północnej przykręcają śrubę i żądają od publicznych firm wyczerpujących informacji jak zarządzają swoim ryzykiem. Liczba firm przyjmujących ERM będzie nadal wzrastać i to w postępie geometrycznym. 

Niestety, wiele z tych firm wykorzystuje nieoptymalne lub wręcz błędne, wadliwe podejście do zarządzania ryzykiem proponowane w wymienionych dokumentach. Większośc organizacji, które spowodowały wejście gospodarki w kryzys finansowy w roku 2008, poprawnie stosowało zalecenia COSO I co zostało pozytywnie zweryfikowane przez zewnętrznych audytorów. Dalsze stosowanie takich wybrakowanych systemów ramowych kontroli wewnętrznej i zarządzania ryzykiem, metod i technik promowanych w wymienionych wyżej standardach jest zdaniem Leech'a złą drogą. Autorzy bardzo krytycznie odnoszą sie do skuteczności COSO I (1992), którego głównym autorem był Coopers & Lybrand (poprzednik PWC) a także Sarbanes-Oxley Act (2002), i równie sceptycznie odnoszą się do jakości zaktualizowanej przez PWC w zeszłym roku wersji COSO 2012. Nie pozostawiają również suchej nitki na najnowszym ISO 31000.
Tim Leecz skrupulatnie wyłuskał zauważone błędy i nazwał je "Błędnymi zakrętami stadnej mentalności ERM" (“ERM HERD MENTALITY WRONG TURNS"). Jego zdaniem, ta mentalność była podstawową przyczyną kryzysu finansowego 2008.

• ISO 31000 sugeruje dokonywanie oceny pojedynczych ryzyk, lub nawet ich portfela na mapie ryzyka, jednak nie wymaga, aby dokonywać zagregowanego pomiaru wszystkich ryzyk oddziałujących na dany cel biznesowy, w efekcie ryzyka są rozpatrywane ze względu na ich wielkość bezwzględną a nie wielkość / wagę celu, jakiemu zagrażają. Muszę przyznać, że rzeczywiście w wielu firmach brakuje mi elementu agregowania ryzyk (o czym pisałem już prawie trzy lata temu temu, podkreślając wartość agregowania ryzyk "po celu biznesowym").
• Zarówno COSO 1992 jak i zrewidowane COSO 2012 ustanawiają pięć elementów ramowego systemu kontroli (Control Environment, Risk Assessment, Control Activities, Information and Communication, & Monitoring Activities), ale wyłączają z nich ustalanie celów biznesowych, mimo, że później stwierdzają, że ich ustalenie jest warunkiem poprawnie funkcjonującej kontroli wewnętrznej. Osobiście nie widziałbym w tym zasadniczego problemu, tak długo jak cele biznesowe w ogóle zostaną sprecyzowane w procesie planowania biznesowego.
• Skupianie się większości metod, procesów i systemów ramowych ERM na ocenie wyizolowanych ryzyk a nie na ich kombinowanym wpływie na cele biznesowe, z uwzględnieniem wielkości tego celu i niepewności jego osiągnięcia. Konsekwencja tego jest widoczna w rejestrach ryzyka, którekładą nacisk na identyfikację, szacowanie i raportowanie Top 10 lub top 20 ryzyk. Natomiast w większości nie hierarhizują celów biznesowych pod kątem niepewności ich osiągnięcia i potencjalnego wpływu porażki na biznes. To samo dzieje się na mapach ryzyka ("Heat Maps") - widać na nich poszczególne, największe ryzyka ale nie widać które cele biznesowe są najbardziej zagrożone. 
• Ignorowanie "Czarnych Łabędzi" (”Black Swans”). Po kryzysie finansowym 2008 wzrosło zainteresowanie metodami oceny ryzyk w rogu "niskie prawdopodobieństwo / wielki skutek". Tradycyjne systemy ratingowe i mapy ryzyka skupiające się na prawym górnym rogu pozostawiają Czarne Łabędzie na boku, wyłączając je z działań priorytetowych. Rzeczywiście, zwykle lewy górny róg jeśli nie mógł być ubezpieczony, był kandydatem do działań Business Continuity, które niestety wcale nie są w firmach priorytetem.
• Skupianie się na "kontrolach" (Controls). Duży odsetek szkół zarządzania ryzykiem skupia się na identyfikowaniu "kontroli" (środków kontroli) w relacji do określonych ryzyk zamiast identyfikować wszystkie sensowne formy i mechanizmy ograniczania ryzyka - jak np. transfer. Z zadowoleniem muszę zauważyć, że głoszona przeze mnie "szkoła" zdecydowanie wykracza poza wąski zakres środka kontroli w rozumieniu np COSO czy Turnbulla.

Spośród kilku wad i słabych miejsc istniejących systemów ERM w przedsiębiorstwach, autorzy podkreślają zbyt słabe zaangażowanie zarządów w codzienne praktykowanie i egzekwowanie zasad ERM, oraz nie zarządzanie ryzykiem nieskutecznego ERM, a szczególnie:

• sytuacjami, gdy środki ograniczania ryzyka nie działają
• kiedy zarząd nie ma sprecyzowanych oczekiwań, jakie korzyści ERM ma przynieść firmie
• gdy zarząd nie wie (nie mierzy) jakie w rzeczywistości spółka otrzymuje korzyści z funkcjonującego ERM w porównaniu do zamierzonych
• kiedy zarząd i dyrektorzy nie są chętni aby używać formalnych zasad i technik pomiaru ryzyka w wypadku ważnych, strategicznych projektów jak akwizycje lub inwestycje
• gdy zarządy nie chcą korzystać z ERM jako głównego elementu planowania strategicznego i budżetowania, bo nie wierzą w jego użyteczność.

Tim Leech pozostawia sugestie do przemyślenia dla trzech najbardziej wpływowych organizacji: ISO, COSO oraz IIA. Najbardziej interesujące dla mnie były zalecenia dokonania zmian w ISO 31000, które zapewnią, że:

• użytkownicy zrozumieją potrzebę jasnego zdefiniowania celów biznesowych podczas dokonywania oceny ryzyka, oraz utrzymania tej bezpośredniej relacji pomiędzy celami biznesowymi a oceną ryzyka
• koncentrację oceny ryzyka na zagregowanym wpływie grupy ryzyk na określone cele biznesowe - na ich wielkość i niepewność osiągnięcia; zarządy zamiast rejestrów ryzyka powinny otrzymać rejestry celów biznesowych pokazujące stopień niepewności ich osiągnięcia oraz skutki dla firmy
• częścią procesu przeglądu ryzyk (rezydualnych) i ich akceptowalności, powinna być ocena skonsolidowanego wpływu tych ryzyk na nieosiągnięcie celu biznesowego.

Dokument można załadować tutaj.

Wasz w ryzyku,

R

Ponad dwa lata temu umieściłem ogłoszenie o pracy dla risk managera informujące, jakie są oczekiwania w stosunku do kandydata. Oczywiście, to była tylko moja subiektywna opinia, pewne przypuszczenia jakim typem powinien być idealny risk manager, bo dotąd nikt tego naukowo nie zbadał. Kilka miesięcy temu pisalem o opublikowanym przez AIRMIC raporcie na temat ścieżki kariery risk managera na Wyspach Brytyjskich, z którego wypływał interesujący wniosek: ani przedsiębiorstwa szukające risk managerów ani firmy headhunterskie nie wiedzą jak się za to zabrać i kogo (z psychologicznego punktu widzenia) tak naprawde szukają. 

Nie po raz pierwszy anglosasi są pionierami nowych pomysłów - brytyjska firma Active Risk (kiedyś Strategic Thought) rozpoczęła kilka miesięcy temu badania które mają odpowiedzieć na pytania:

• jaki jest profil psychologiczny typowego risk managera ?
• czy ten profil się zmienia, albo czy powinien się zmieniać ?
• jak budować zespoły w departamentach risk managementu ?
• jak zarząd powinien podejść do rekrutacji kandydatów na to stanowisko ?

Managerowie ryzyka przyszli do naszej branży z wielu różnych dziedzin i specjalizacji, począwszy od ubezpieczeń, prawa i audytu poprzez zarządzanie procesami, produkcję i technlogię, na IT oraz finansach skończywszy. Nie wiemy, która ścieżka prowadząca do stanowiska risk managera jest najlepsza ani jaki profil psychologiczny jest najbardziej pożądany.

Specjaliści Active Risk wraz z psychologami przeprowadzili anonimowe, psychometryczne badanie ankietowe pośród kilkuset risk managerów z całego świata i niedawno opublikowali wyniki pierwszego etapu tego badania. Przy prezentacji wyników posłużyli się matrycą DISC, która pomaga wyrysować profil psychologiczny osoby rozciągnięty pomiędzy cechami: introwertyk - ekstrawertyk oraz proaktywny - reaktywny. 

Diagnoza ?

Okazuje się, że niezależnie od strefy geograficznej, 60% risk managerów to "tradycyjni" risk managerowie: Reaktywni Introwertycy. Eksperci z silnymi umiejętnościami i skłonnościami analitycznymi, posługujący się logiką i ostrożnością podczas radzenia sobie ze skomplikowanymi zagrożeniami, stawiający na precyzyjność i dokładność. Pytanie, czy dzisiejsze korporacje własnie takich risk managerów potrzebują ? 

Tutaj właśnie pies jest pogrzebany - zarządy oczekują od nich, że będą liderami zmiany w firmach - w kulturze zarządczej, w sposobie myślenia managementu, w stosunku do odpowiedzialności społecznej, w przewartościowaniu priorytetów, w stosunku do podejmowania ryzyka. Tworzy się pole dla pozostałych 40% - nowej generacji menedżerów ryzyka: Proaktywnych Ekstrawertyków (30%) i Introwertyków (10%). Ci pierwsi to "ewangeliści" nowych koncepcji, wizjonerzy, doskonali komunikatorzy o wysokoch zdolnościach społecznych, skuteczni w przekonywaniu innych i niekoniecznie uwielbiający łamigłówki analityczne. Ci drudzy to niezmordowane konie pociągowe dążące za wszelką cenę do celu, niekiedy chodzący na skróty, rozwiązujący problemy na szybko i "w locie" oraz łamiący reguły, jeśli cel tego wymaga. 

Zgadzam się z opinią Active Risk, że nadszedł czas nowej generacji menedżerów ryzyka, gdyż ona jest w stanie zmieniać przedsiębiorstwa. Tradycyjne umiejętności przypisywane risk managerom to już za mało, szczególnie, jeśli z pozycji specjalisty ślęczącego we własnym gabinecie mają przeskoczyć na pozycję lidera obecnego "wszędzie" i wskazującego zarządowi nowe rozwiązania i kierunki.

Raport z pierwszych wyników zawiera również konkluzje, że zespoły działów zarządzania ryzykiem powinny stawać się coraz bardziej różnorodne (przynajmniej w porównaniu z typowym działem księgowości, IT czy sprzedaży), aby właściwie odpowiadać na coraz mniej przewidywalne oczekiwania i różnorodne potrzeby biznesu w dziedzinie zarządzania ryzykiem. Okazuje się ponadto, że typowy risk manager jest poddany dużemu stresowi w pracy, co wydaje się być potwierdzeniem zwiększającej się koncentracji zarządów na zagadnieniach ryzyka. Jeśli zarządy nie chcą stracić wartościowych risk managerów na skutek ich przemęczenia, powinni zapewnić im silne, osobiste wsparcie i narzędzia informatyczne, które ich odciążą od rutynowych zadań.

Każdy risk manager może jeszcze wziąć udział w drugim etapie badania i uzyskać w sposób anonimowy swój własny, osobisty profil psychologiczny na matrycy DISC. Ja taki test przeszedłem - wynik był dla mnie w pewnym stopniu zaskoczeniem. Badanie dostępne na tej witrynie.

Niezwykle interesujące byłoby zderzenie wyników pogrupowanych na kraje (nacje) z badaniami prowadzonymi przez Geerta Hofstede m.in. na temat skłonności do podejmowania ryzyka. Podsunąłem pomysł badaczom z Active Risk - zobaczymy, czy go podchwycą ...

Wasz w ryzyku,

R

Pół roku temu pisałem o równowadze sił pomiędzy zarządem i radą nadzorczą spółek. Zagadnienie jest jak najbardziej kluczowe, o czym przypomina mi obserwacja jednej z polskich spółek giełdowych, gdzie walka pomiędzy zarządem i radą nadzorczą o wpływy nad spółką trwa już od pewnego czasu (a zarządzanie ryzykiem zostało tam potraktowane jako ring) i zdecydowanie nie wychodzi to na dobre ani spółce ani zarządzaniu ryzykiem. W zasadzie nie kryję mojej zadeklarowanej sympatii do zarządów, jeśli chodzi o prawa do kontroli nad systemem zarządzania ryzykiem. Jednak ciągle spółki nie wykorzystują wszystkich dostępnych narzędzi i środków, żeby rzeczywiście umożliwić zarządom zarządzanie ryzykiem.

Jesienne wydanie Strategic Risk porusza kwestie pokrewną: jak rozwiązać komunikację z zarządem na temat risk managementu, aby zarząd był faktycznym, aktywnym uczestnikiem "zabawy w ryzyko".

Seamus Gillen proponuje pięć zasad, jak zaangażować zarząd w ERM:

• używaj raportów (informacji) sformułowanych w sposób przyjazny dla zarządu (ja bym dodał: zawartość raportów powinna być możliwie najmniej objętościowa i dedykowana, tj. w 100% być odpowiedzią na potrzeby i oczekiwania zarządu)
• każdy duży projekt (nowy produkt, inwestycja, akwizycja) prezentowany zarządowi powinien obowiązkowo posiadać element analizy ryzyka, którego obecność w materiałach projektowych powinna być bezwarunkowym wymogiem
• uzyskaj (menedżerze ryzyka) bezpośredni dostęp do zarządu; funkcja managera ryzyka powinna mieć tę samą rangę co funkcja szefa audytu i kontroli wewnętrznej a zarząd powinien mieć bezpośredni dostęp do spraw dotyczących ryzyka
• upewnij się (menedżerze ryzyka), że zarząd ma pełne informacje na temat wszystkich ryzyk, nie dopuszczaj do powstania obszarów tabu, staraj się zbliżyć zarząd do zrozumienia problemów operacyjnych - przełamuj tzw "glass ceiling" (który jest tu rozumiany inaczej niż mainstreamowe pojęcie), to znaczy ujawniaj ryzyka jakie są generowane na poziomie zarządu i najwyższych menedżerów wykonawczych; pierwszym który to zrobił w sposób bardzo spektakularny (ostatecznie zarząd przegrał batalię), był Paul Moore
• zapewnij, że zarząd wie jak komitet ds ryzyka dochodzi do swoich konkluzji a nie tylko, że otrzymuje same konkluzje.

Praca z polskimi spółkami stopniowo doprowadza mnie do przekonania, że "małe" i średnie, stosunkowo niesklomplikowane spółki - a nie polskie giganty - mają większe szanse aby ich zarządy stały się aktywnymi graczami zarządzania ryzykiem. Mniej polityki, krótsze ścieżki raportowania, większa trwałość struktury zarządczej.

Wasz w ryzyku,

R