Celem zarządzania ryzykiem korporacyjnym nie jest budowanie awersji do ryzyka. Organizacje rozumiejące i wykorzystujące ryzyko, mogą bezpiecznie przełknąć go więcej, niż pozostałe firmy z branży.
Kategorie: Wszystkie | Koncepcje | Polemika | Rynek
RSS
środa, 01 lutego 2012
ERM uprawiane po omacku i mentalność stada

Natknąłem się na dokument pt: "The High Cost of ERM Herd Mentality” wyprodukowany przez kanadyjczytka, Tima J. Leech. Dokument stanowi frontalną krytykę niektórych, dotąd uznawanych za fundamentalne, zasad zarządzania ryzykiem korporacyjnym. Co gorsza, w wielu miejscach nie sposób nie zgodzić się z konkluzjami.

Tysiące przedsiębiorstw zaimplementowało lub zaczęło implementować różne formuły ERM, zwykle opierając się na którymś ze standardów promowanych przez silnie lobbujące organizacje; ASNZS 4360, ISO 31000, COSO 1992 i COSO 2004, the Combined Code, IRM/AIRMIC Standard. Regulatorzy w Europie i Ameryce Północnej przykręcają śrubę i żądają od publicznych firm wyczerpujących informacji jak zarządzają swoim ryzykiem. Liczba firm przyjmujących ERM będzie nadal wzrastać i to w postępie geometrycznym. 

Niestety, wiele z tych firm wykorzystuje nieoptymalne lub wręcz błędne, wadliwe podejście do zarządzania ryzykiem proponowane w wymienionych dokumentach. Większośc organizacji, które spowodowały wejście gospodarki w kryzys finansowy w roku 2008, poprawnie stosowało zalecenia COSO I co zostało pozytywnie zweryfikowane przez zewnętrznych audytorów. Dalsze stosowanie takich wybrakowanych systemów ramowych kontroli wewnętrznej i zarządzania ryzykiem, metod i technik promowanych w wymienionych wyżej standardach jest zdaniem Leech'a złą drogą. Autorzy bardzo krytycznie odnoszą sie do skuteczności COSO I (1992), którego głównym autorem był Coopers & Lybrand (poprzednik PWC) a także Sarbanes-Oxley Act (2002), i równie sceptycznie odnoszą się do jakości zaktualizowanej przez PWC w zeszłym roku wersji COSO 2012. Nie pozostawiają również suchej nitki na najnowszym ISO 31000.
Tim Leecz skrupulatnie wyłuskał zauważone błędy i nazwał je "Błędnymi zakrętami stadnej mentalności ERM" (“ERM HERD MENTALITY WRONG TURNS"). Jego zdaniem, ta mentalność była podstawową przyczyną kryzysu finansowego 2008.

her mentality

  • ISO 31000 sugeruje dokonywanie oceny pojedynczych ryzyk, lub nawet ich portfela na mapie ryzyka, jednak nie wymaga, aby dokonywać zagregowanego pomiaru wszystkich ryzyk oddziałujących na dany cel biznesowy, w efekcie ryzyka są rozpatrywane ze względu na ich wielkość bezwzględną a nie wielkość / wagę celu, jakiemu zagrażają. Muszę przyznać, że rzeczywiście w wielu firmach brakuje mi elementu agregowania ryzyk (o czym pisałem już prawie trzy lata temu temu, podkreślając wartość agregowania ryzyk "po celu biznesowym").
  • Zarówno COSO 1992 jak i zrewidowane COSO 2012 ustanawiają pięć elementów ramowego systemu kontroli (Control Environment, Risk Assessment, Control Activities, Information and Communication, & Monitoring Activities), ale wyłączają z nich ustalanie celów biznesowych, mimo, że później stwierdzają, że ich ustalenie jest warunkiem poprawnie funkcjonującej kontroli wewnętrznej. Osobiście nie widziałbym w tym zasadniczego problemu, tak długo jak cele biznesowe w ogóle zostaną sprecyzowane w procesie planowania biznesowego.
  • Skupianie się większości metod, procesów i systemów ramowych ERM na ocenie wyizolowanych ryzyk a nie na ich kombinowanym wpływie na cele biznesowe, z uwzględnieniem wielkości tego celu i niepewności jego osiągnięcia. Konsekwencja tego jest widoczna w rejestrach ryzyka, którekładą nacisk na identyfikację, szacowanie i raportowanie Top 10 lub top 20 ryzyk. Natomiast w większości nie hierarhizują celów biznesowych pod kątem niepewności ich osiągnięcia i potencjalnego wpływu porażki na biznes. To samo dzieje się na mapach ryzyka ("Heat Maps") - widać na nich poszczególne, największe ryzyka ale nie widać które cele biznesowe są najbardziej zagrożone. 
  • Ignorowanie "Czarnych Łabędzi" (”Black Swans”). Po kryzysie finansowym 2008 wzrosło zainteresowanie metodami oceny ryzyk w rogu "niskie prawdopodobieństwo / wielki skutek". Tradycyjne systemy ratingowe i mapy ryzyka skupiające się na prawym górnym rogu pozostawiają Czarne Łabędzie na boku, wyłączając je z działań priorytetowych. Rzeczywiście, zwykle lewy górny róg jeśli nie mógł być ubezpieczony, był kandydatem do działań Business Continuity, które niestety wcale nie są w firmach priorytetem.
  • Skupianie się na "kontrolach" (Controls). Duży odsetek szkół zarządzania ryzykiem skupia się na identyfikowaniu "kontroli" (środków kontroli) w relacji do określonych ryzyk zamiast identyfikować wszystkie sensowne formy i mechanizmy ograniczania ryzyka - jak np. transfer. Z zadowoleniem muszę zauważyć, że głoszona przeze mnie "szkoła" zdecydowanie wykracza poza wąski zakres środka kontroli w rozumieniu np COSO czy Turnbulla.

Spośród kilku wad i słabych miejsc istniejących systemów ERM w przedsiębiorstwach, autorzy podkreślają zbyt słabe zaangażowanie zarządów w codzienne praktykowanie i egzekwowanie zasad ERM, oraz nie zarządzanie ryzykiem nieskutecznego ERM, a szczególnie:

  • sytuacjami, gdy środki ograniczania ryzyka nie działają
  • kiedy zarząd nie ma sprecyzowanych oczekiwań, jakie korzyści ERM ma przynieść firmie
  • gdy zarząd nie wie (nie mierzy) jakie w rzeczywistości spółka otrzymuje korzyści z funkcjonującego ERM w porównaniu do zamierzonych
  • kiedy zarząd i dyrektorzy nie są chętni aby używać formalnych zasad i technik pomiaru ryzyka w wypadku ważnych, strategicznych projektów jak akwizycje lub inwestycje
  • gdy zarządy nie chcą korzystać z ERM jako głównego elementu planowania strategicznego i budżetowania, bo nie wierzą w jego użyteczność.

Tim Leech pozostawia sugestie do przemyślenia dla trzech najbardziej wpływowych organizacji: ISO, COSO oraz IIA. Najbardziej interesujące dla mnie były zalecenia dokonania zmian w ISO 31000, które zapewnią, że:

  • użytkownicy zrozumieją potrzebę jasnego zdefiniowania celów biznesowych podczas dokonywania oceny ryzyka, oraz utrzymania tej bezpośredniej relacji pomiędzy celami biznesowymi a oceną ryzyka
  • koncentrację oceny ryzyka na zagregowanym wpływie grupy ryzyk na określone cele biznesowe - na ich wielkość i niepewność osiągnięcia; zarządy zamiast rejestrów ryzyka powinny otrzymać rejestry celów biznesowych pokazujące stopień niepewności ich osiągnięcia oraz skutki dla firmy
  • częścią procesu przeglądu ryzyk (rezydualnych) i ich akceptowalności, powinna być ocena skonsolidowanego wpływu tych ryzyk na nieosiągnięcie celu biznesowego.


Dokument można załadować tutaj.

Wasz w ryzyku,

R

00:35, rudnicki.com.pl , Polemika
Link Dodaj komentarz »
Creative Commons License
Rudnicki

View Rafał Rudnicki's profile on LinkedIn