Parę mięsięcy temu przedstawiłem swoją własną opinię na gorąco, dotyczącą nowego standardu zarządzania ryzykiem. Podczas ostatniego Forum FERMA w Pradze miałem możliwość znów spotkać Kevina Knighta (ojca chrzestnego ISO 31000) i porozmawiać z nim, a także posłuchać opinii innych guru ERM na temat nowego standardu.

Ci ostatni już w zasadzie przesądzili, że skomplikowany i nieprzyjazny amerykański COSO II oraz nadmiernie uproszczony standard brytyjski promowany przez FERMA chowają się, jeśli chodzi o jakość i nowoczesność koncepcji i modelu ERM, jakie przedstawiają. Z kolei Australijczycy dobrowolnie wycofują z użycia swój doskonały AS/NZS:4360 aby go zastąpić międzynarodowym, lepszym dokumentem ISO. Teraz mówi się nie "czy", ale "jak" zastąpić dotychczasowe modele w firmach tym proponowanym w ISO 31000.

W środowisku widać troskę o to, aby właściwie zrozumiano sens nowego standardu:

• mimo, że jest normą ISO, jest jedynie przewodnikiem (a nie obowiązkowym zbiorem przepisów czy wymagań)
• powinien być stosowany dobrowolnie i może być przez firmy modyfikowany
• nie podlega ceryfikacji !

Druga troska, czy obawa dotyczy możliwości popełnienia błędu jaki towarzyszył wprowadzeniu SOX (Sorbannes-Oxley Act) czy COSO II: mnóstwo pracy, kosztów i papierkowej roboty, a bardzo ograniczone korzyści.

We wrześniowym StrategicRisk praktycy radzą:

• wykorzystaj możliwości, jakie daje ISO31000 do zaprowadzenia prostego systemu ERM; nie ma obowiązku budowania własnego modelu ERM będącego pełnym odzwierciedleniem wszystkich elementów zawartych w ISO, jak najbardziej dopuszcza (wręcz sugeruje) się jego dalsze uproszczenie
• nie traktuj ERM jako systemu zarządzania równoległego do istniejących systemów zarządczych; musi on bowiem zostać wpleciony w istniejące systemy, procedury, procesy i ścieżki raportowania
• wprowadzając model proponowany w tym standardzie, nie przekreślaj istniejących praktyk, mechanizmów, narzędzi, lecz staraj się je wykorzystać, uporządkować i zintegrować ze sobą
• postaraj się wykorzystać wprowadzany model ERM do podniesienia zdolności firmy do uzyskania wyższego ratingu (chodzi o sygnalizowaną już praktykę Standard & Poors polegającą na ujmowaniu oceny skuteczności ERM w ogólnym ratingu nadawanym firmie)
• duży nacisk na komunikację z interesariuszami na każdym etapie projektowania i funkcjonowania modelu ERM może dla niektórych firm być tzw. "overkill"; należy do tej zasady stosować się z wyczuciem charakteru danej firmy
• uważaj na sprzedawców wielkich, skomplikowanych systemów IT ("kombajnów") wciskających Ci kit, że są niezbędne do zaimplementowania ISO31000; nic bardziej mylnego: na początek starczy arkusz kalkulacyjny a na dalszym etapie prosty i niedrogi system zarządzania informacją z dostępem przez Firefoxa (np taki jak ten, o którym pisałem).

Jesteśmy w okresie, w którym sporo polskich firm zaczyna na poważnie przymierzać się do ERM i podejmują one pierwsze wybory, m.in. na jakiej dobrej praktyce oprzeć własny system ERM. ISO najlepiej nadaje się dla początkujących, gdyż nie tylko pokazuje jak powinien wyglądać ukończony, funkcjonujący system ERM, ale pokazuje jaką drogą osiągnąć taki stan i jakie warunki należy spełnić, aby projekt wdrożenia ERM się powiódł.

Peter - nowy Prezes FERMA - nie jest nadzwyczajnym mówcą, ale ma sporo energii, której brakowało Marie-Gemma. Na ostatnim FORUM w Pradze zarysował swój program na najbliższe dwa lata. Program stoi na trzech filarach.

Pierwszy problem risk managerów, jaki musi być rozwiązany w tempie przyspieszonym - bo środowisko risk managerów a szczególnie brokerów grzebie się z tym już od kilku lat - to kwestia wynagrodzenia brokerów. Peter jest zgorszony faktem, ze jeszcze 6 lat po aferze Spitzera musimy o tym mówić. Nie chce, żeby ten problem istniał dłużej niż do następnego Forum Ferma w Sztokholmie - innymi słowy w roku 2011 tematu ma już nie być. FERMA rozpoczęła już rozmowy w tej sprawie z BIPAR (europejska instytucja reprezentująca interesy brokerów).

Drugi filar polityki Petera to ISO 31000. Nikt w FERMA nie ma wątpliwości, że ISO zastąpi wszystkie dotychczasowe dobre praktyki, szczególnie krytykowane COSO II, rzecz w tym, jak zmaksymalizować korzyści dla firm i środowiska risk managerów płynące z tej zmiany.

Trzecia zasadnicza to Solvency II. Wydawałoby się, że problem dotyczy jedynie ubezpieczycieli, ale słychać już głosy, że wprowadzenie wymogów kapitałowych dla rynku ubezpieczeniowego będzie odczuwalne również dla kupujących ubezpieczenia - niekoniecznie wyłącznie pozytywnie. Solwency może istotnie wpłynąć na cenę, poziom bezpieczeństwa i osiągalność produktów ubezpieczeniowych.

And last but not least - szykują się już nowi członkowie FERMA: Norwegia, Austria i Słowenia.

Przy okazji: kiedy byłem jeszcze w zarządzie FERMA jasno stawiałem problem zdefiniowania kryteriów członka FERMA, również geograficznych. W tym bowiem czasie o członkostwo ubiegała się Turcja, która ma w Europie jedynie kilka procent swojej powierzchni, a tym samym jednoznacznie nie jest krajem europejskim. Argumentowałem wtedy, że jeśli bez zastanowienia przyjmiemy Turcję nie ustalając kryteriów członkostwa zanim ta zostanie przyjęta, w przyszłości będziemy musieli zaakceptować również podanie członkowskie z Maroka lub Kazachstanu. I stało się - zarząd FERMA wsadził łeb w piasek, przyjął Turcję nie definiując członkostwa i mamy bigos. Czekamy na nowych członków z Uzbekistanu i Jemenu ...

... pod tytułem "Metody i techniki identyfikacji ryzyk w biznesie". Panel odbędzie się w Warszawie, 25.11.2009 w godzinach 14:00 - 17:00. Więcej o panelu na witrynie Polrisk.

Wtajemniczonym wiadomo, że choć się szanujemy, nie zawsze z Jackiem podzielamy poglądy na zarządzanie ryzykiem - zapowiada się więc interesująco.

Wstępne tezy Jacka:
1. Cel identyfikacji to znalezienie maksymalnej liczby ryzyk, czyli dominacja metod ekstensywnych np. burze mózgów nad intensywnymi np. eksperckimi.
2. Identyfikację ułatwia opisanie zdarzenia ryzyka jako związku przyczynowo skutkowego z wyraźnym podziałem na przyczyny i skutki.
3. Dobrą praktyką jest kodyfikacja skutków ryzyka, bowiem sa to elementy stałe/powtarzane, a dzięki czemu można identyfikację skoncentrować na poszukiwaniu przyczyn.
4. Dla sprawnej identyfikacji warto przyczyny ryzyka podzielić na obszary poszukiwań. Dziki temu nie tylko nie pominiemy żadnego z nich ale również każdy zostanie przeszukany.

Oraz moje antytezy:
1. kodyfikowanie ryzyk jako element/sposób identyfikacji nie pomaga, a wręcz może przeszkadzać
2. opisanie związku przyczynowo-skutkowego - tak, ale czy tylko jednego ? Z wielu przypakow z życia widać, że należy poznać całą strukturę/drzewo związków przyczynowo skutkowych i wybrać jedno krytyczne ogniwo
3. ewentualna dominacja metod miękkich nad eksperckimi na etapie identyfikacji ryzyk, nawet jesli występuje, jest bez znaczenia; natomiast szkodliwy może być brak ich zbilansowania z metodami eksperckimi/inżynieryjnymi na etapie szacowania i mierzenia ryzyk
4. czy celem identyfikacji jest znalezienie jak największej ilości ryzyk ? Niekoniecznie - celem jest uświadomienie sobie (odkrycie) ryzyk dotąd nieznanych ...

Zapraszam zainteresowanych do osobistego uczestnictwa a skłonnych do dyskusji - na forum Goldenline.