Celem zarządzania ryzykiem korporacyjnym nie jest budowanie awersji do ryzyka. Organizacje rozumiejące i wykorzystujące ryzyko, mogą bezpiecznie przełknąć go więcej, niż pozostałe firmy z branży.
Kategorie: Wszystkie | Koncepcje | Polemika | Rynek
RSS
środa, 30 maja 2012
Czy audyt wewnętrzny pożre zarządzanie ryzykiem ?

Dzisiaj wróciłem z jubileuszowej konferencji IIA obchodzącego 10-cio lecie. Czego szukałem wśród audytorów ? Otóż rynek polski różni się od brytyjskiego tym, że w Anglii zarządzanie ryzykiem wyrosło z ubezpieczeń, a w Polsce wygląda na to, że najsilniejszym środowiskiem w przedsiębiorstwach, orędującym na rzecz zarządzania ryzykiem - są właśnie działy audytu wewnętrznego, które jako jedyne mają przynajmniej pojęcie na temat ERM oraz czują, że potrzebują zarządzania ryzykiem aby sprawnie funkcjonować. Dlatego bądźmy im wdzięczni, menedżerowie ryzyka ...

Pozazdrościć można rozmachu, wodotrysków, ilości członków i wartości merytorycznej konferencji. Jednak mimo, że organizacja jest doświadczona, ciągle jest przesiąknięta duchem spontaniczności, który czasem powoduje, że outsider może czuć się zagubiony - np. brak harmonogramu wykładów, początkowo nieoznakowane sale wykładowe, dość swobodne przesunięcia czasowe paneli i półanonimowy charakter uczestnictwa, do którego nie potrafiłem się przyzwyczaić (delegaci otrzymali jedynie plakietki z nazwiskiem ale już bez nazwy swojej firmy bądź instytucji).

Zostałem zaproszony do udziału w jednym z paneli dyskusyjnych, który okazał się dość ciekawy i bardzo znamienny dla nas, risk managerów. Podczas panelu miałem przyjemność nie zgodzić się z Konradem Krajewskim, Dyrektorem Biura Audytu i Zarządzania Ryzykiem Korporacyjnym PKN Orlen. Okazuje się, że dział audytu wewnętrznego w Orlen "wchłonął" funkcję zarządzania ryzykiem i zrobił to z przekonaniem, że czyniąc to jest w awangardzie najnowszych dobrych praktyk. Ja z kolei przedstawiłem pogląd, że jest to krok wstecz, oraz że zarządzanie ryzykiem jest formułą, zbiorem reguł służących podejmowaniu decyzji biznesowych w przedsiębiorstwie podczas gdy audyt wewnętrzny powinien trzymać swoje ręce jak najdalej od podejmowania decyzji.

rozdzial ZR i IA

Trochę rozszerzę ten wątek ponad to, co powiedziałem podczas panelu. Ryzykiem zasadniczo nie zarządza menedżer ryzyka (który sprawuje funkcję koordynatora) lecz management liniowy, operacyjny, o czym juz pisałem. W tym sensie zgadzadzałem się z Panią Dorotą z TVN (niestety nie przytoczę nazwiska, gdyż prowadzący panel nie przedstawił żadnego z panelistów, stad rozmawialiśmy ze sobą trochę incognito). Skoro struktura ramowa i jej uczestnicy mają podejmować ryzyko, podejmować decyzje na temat ryzyka to struktura ta musi od samego dołu do góry składać się z funkcji wykonawczych (kierownicy, dyrektorzy, ew komitet ds ryzyk a na końcu zarząd). Przeciwwagę stanowi cała infrastruktura audytu wewnętrznego, począwszy od komórki audytu wewnętrznego aż po komitet ds audytu (będący organem, funkcją rady nadzorczej). Ilustruje to powyższy diagram.

Pan Konrad następnie nieco złagodził wymowę swojej wypowiedzi i powołując się na wszystkim dobrze znany "wachlarz" promowany przez IIA Global, uściślił, że audyt wewnętrzny przejął w Orlen jedynie jego środkową część, która warunkowo może być koordynowana przez audyt wewnętrzny.

wachlarz IA ZR

Proszę zwrócić uwagę, że środkowa część wachlarza mówi o typowych funkcjach risk managera, w tym o stworzeniu Strategii ZR. O co jeśli strategia okaże się wpadką ? Czy audyt wewnętrzny sam się po roku krytycznie oceni i zaproponuje zwolnienie autorów strategii ZR ? A jak ma powstać strategia bez zarysowania procesu ZR i wyznaczenia apetytu na ryzyko (a to już prawa część wachlarza, teoretycznie niedozwolona dla audytorów) ?

Na panelu byłem gotowy przyjąć kompromis, który zresztą zakomunikowałem, że w organizacjach dojrzałych, gdzie nie ma problemu projektowania systemu ZR, wyznaczania i decydowania na temat jego elementów, audyt wewnętrzny od biedy może przejąć funkcje "facilitatora" jak to był uprzejmy nazwać Pan Konrad. Jednak w organizacjach młodych w aspekcie ZR, to moim zdaniem dla działu audytu wewnętrznego strzał we własne kolano. A miałem już możliwośc oglądać takie rany postrzałowe - wyglądają niedobrze i bolą paskudnie.

Wasz w ryzyku,

R

23:24, rudnicki.com.pl , Polemika
Link Komentarze (5) »
poniedziałek, 21 maja 2012
Dwugłos: kontrolne czy menedżerskie podejście do zarządzania ryzykiem ?

Ostatnio zetknąłem się z kilkoma próbami wdrożenia w polskich spółkach zarządzania ryzykiem w oparciu o koncepcje kontroli wewnętrznej, gdzie ZR miało być traktowane jako rozszerzenie czy funkcja wsparcia dla KW. To moim zdaniem zabójcza dla ZR tendencja wynikająca z jednej strony z wygodnictwa dużych firm konsultingowych uczestniczących we wdrożenia a z drugiej z małej wiedzy i doświadczenia osób, którym w przedsiębiorstwach powierza się zadanie zbudowania systemu ZR, a zwykle są to osoby naturalnie związane ze służbami kontroli wewnętrznej.

Zarządzanie ryzykiem – to wciąż raczkujący organizm w warunkach polskiej gospodarki wolnorynkowej, która istnieje od zaledwie 20 lat. Tym bardziej dużo wolniej postępuje wdrażanie owego „zjawiska” - jakim nazywany bywa proces zarządzania ryzykiem - w sektorze finansów publicznych, gdzie pojęcie to zostało wprowadzone formalnie w 2009 roku (nowelizacja ustawy o finansach publicznych). Traktowanie ZR jako rozszerzenia kontroli wewnętrznej czy ZR jako funkcja KW, wynika więc z naturalnej kolejności dochodzenia do sprawności przedsiębiorstwa (lub jednostki finansów publicznych) w obszarze ZR. Nie widzę więc błędu w takim podejściu, zakładając, że przedsiębiorstwo z czasem zdecydowanie rozdzieli zadania kontroli wewnętrznej od zadań zarządzania ryzykiem. 

Jestem zdania, że to stawianie sprawy na głowie - środowisko kontrolne i podejście urzędnicze, jakie przyjmuje się jedynie w bardzo sformalizowanych korporacjach, nie sprzyja świadomemu zarządzaniu ryzykiem oraz podejmowaniu inicjatywy i odpowiedzialności przez kadrę kierowniczą.

Posługując sie swego rodzaju synonimem, w moim przekonaniu – to właśnie stawianie sprawy na nogach, a dokładniej na podstawie – podstawie piramidy potrzeb Maslowa. Zarządzanie ryzykiem dla wielu polskich przedsiębiorstw stanowi szczyt tej piramidy. Podstawą, punktem wyjścia, od dawna znaną sprawnością, a przede wszystkim powszechnie stosowaną praktyką jest więc funkcja kontroli wewnętrznej. Naturalnym stanem wydaje się dojrzewanie zarządzania ryzykiem w środowisku kontroli wewnętrznej. Kontroli wewnętrznej, która w swych założeniach, ma za zadanie sprawdzić jak jest - z tym jak powinno być. Można założyć, że decyzja o powierzeniu zadania budowania systemu ZR kontrolerom, w naturalny sposób wynika z prostej logiki:  jest źle, ma być dobrze. W takim momencie myśli kierujących przedsiębiorstwem biegną właśnie w stronę kontroli wewnętrznej która, przynajmniej w założeniach, ma poprawiać rzeczywistość. Podejście urzędnicze ma swoje dobre strony, które mogą stanowić o sile sprawnego i świadomego zarzadzania ryzykiem. Moim zdaniem, urzędnicze podejście to nie tylko negatywnie odbierane niewychylanie się ze sztywnych ram. To też taka umiejętność formalnego podejścia, które na etapie raportowania i monitorowania staje się kluczową wartością. 

W projektowanych systemach ZR opartych o KW, którym miałem możliwość się przyjrzeć, najczęściej brakuje następujących, istotnych elementów lub ich wystarczającego rozwinięcia:

  • przede wszystkim etapu/elementu menedżerskiego decydowania o ryzykach – tym samym zmieniania firmy i brania odpowiedzialności za decyzje (rozliczania za nie)
  • dopracowanej koncepcji, w jaki sposób będzie mierzona skuteczność właścicieli ryzyk w ZR
  • często również konkretnych (nazwanych) i przemyślanych metod, technik i narzędzi jakich będzie się używać podczas analizowania, kwantyfikowania i reagowania na ryzyko.

Taki najbardziej charakterystyczny przypadek z jednej ze znanych polskich firm, cechował się następującymi słabościami:

  • próba opomiarowania ryzyk do granicy absurdu – mimo, że ryzyka nie zmieniają się na tyle szybko aby wszystkie mierzyć „real-time”
  • struktura zarządcza skonstruowana tak, że wszystkie decyzje dotyczące istotnych ryzyk ogniskują się na poziomie zarządu (bardzo łatwo doprowadzić wtedy do  sytuacji, w której Zarząd staje się wąskim gardłem SZR i zamiast wpływać na jego  sprawność, spowalnia jego działanie)
  • w procedurach (procesie) ZR brakuje decyzji o nominowaniu konkretnego właściciela ryzyka za nie odpowiedzialnego – zarówno na etapie oceny ryzyk, jak i na dalszych etapach (reakcja na ryzyko)
  • dyrektorzy nie mają przez to inicjatywy, nie podejmą działań bez wcześniej przeprowadzonej kontroli lub audytu i otrzymania wniosków pokontrolnych; są tym samym zwolnieni z obowiązku zarządzania ryzykiem
  • ZR jest traktowane jako funkcja służebna w stosunku do KW - a powinno być odwrotnie
  • w procesie ZR (wzorowanym na COSO II) nie został zaakcentowany etap reagowania na ryzyko (risk response) a pojawia się od razu etap kontrolowania (control activities). Etap odpowiedzi na ryzyko (świadomej decyzji menedżerskiej) jest bezwzględnie konieczny i musi być mocno wzaakcentowany jako funkcja/odpowiedzialność menedżerska
  • środki kontroli ryzyka funkcjonują jako procedury oderwane od ryzyk, ewentualnie są analizowane jedynie jako część planu kontroli wewnętrznej
  • inicjatywy związane z reagowaniem na ryzyko są ograniczane do „działań kontrolnych” w rozumieniu np. COSO a nie do pełnego spektrum reakcji menedżerskich na ryzyko (tak jakby istniały tylko tzw „control risks”)

  • Komitetowi ds Ryzyka nadaje się  kompetencje merytoryczne Właścicieli ryzyk, których Komitet nie ma. 

Nawiasem mówiąc, jeśli do obowiązków Komitetu miałoby należeć na przykład formułowanie propozycji dotyczących sposobu postępowania z ryzykiem korporacyjnym oraz zatwierdzanie opracowanych odpowiedzi na ryzyko, to Komitet powinien dysponować większymi kompetencjami merytorycznymi w obszarze poszczególnych ryzyk niż ich właściciele – a tak nigdy nie będzie. W jego skład wchodzą bowiem zwykle te same osoby, które są właścicielami ryzyk a ponadto kierownictwo z obszarów wsparcia (finanse, administracja, audyt, inwestycje, sprzedaż), które nie mają niezbędnej wiedzy merytorycznej. 

Dlaczego słychać tu bardzo wyraźny zgrzyt - piasku po szkle ? ZR z założenia zajmuje się obszarem niepewności a KW obszarem już rozpoznanych (wystandaryzowanych) zjawisk i zdarzeń. KW z założenia jest pasywna - ma za zadanie weryfikować  (kontrolować) zgodność postępowania i rozwiązań z pewnymi wzorcami, procedurami a ZR z założenia jest aktywne - służy zmienianiu lub tworzeniu nowych rozwiązań, procedur lub wzorców postępowania. Są to zadania i cele rozłączne.

Podejście kontrolne do zarządzania ryzykiem – bazujące na procedurach, monitorowaniu, czynnościach kontrolnych - osłabia właściwą kulturę organizacyjną, sprzyjającą ZR. Podejście menedżerskie – bazujące na obowiązku podejmowania czytelnej postawy wobec ryzyk, decyzji i brania za nie odpowiedzialności -  buduje ją. Monitorowanie i kontrolowanie to działanie reaktywne, bierne a nie proaktywne, jakie są pożądane przy zarządzaniu ryzykiem.

Podejście kontrolne do zarządzania ryzykiem – bazujące na procedurach, monitorowaniu, czynnościach kontrolnych – daje faktyczną, realną podstawę do menadżerskiego podejścia. Dostateczna ilość a przede wszystkim jakość i rzetelność informacji, daje podstawę do podejmowania właściwych decyzji. Takie podejście, daje pozytywne efekty w początkach wdrażania zarządzania ryzykiem w jednostkach sektora finansów publicznych, gdzie kultura organizacji jest mocno sformalizowana, sztywna i z trudem przyjmująca zmiany. Opisanie nowych zadań związanych z procesem zarządzania ryzykiem nie tylko w formie ustawy, ale też standardów, wytycznych, komunikatów a w kolejności skrupulatną kontrolę realizacji tych zapisów – daje wyraźny sygnał o ważności zjawiska. 

Zarządzanie ryzykiem bazuje na decyzjach i odpowiedzialności menedżerów a nie na funkcjach kontrolnych lub wsparcia. Aby tak się stało, należy zbudować bezpośrednią relację pomiędzy jakością ryzyk określonego właściciela, efektywnością środków kontroli za które odpowiada, oceną „performance” tego menedżera i jego systemem motywacyjnym. Już „wiekowy” Turnbull Guidance o tym wspomina. Innymi słowy - konieczne jest przejście od fazy „conform” do „perform”.

Zgodnie z z COSO II, kontrola wewnętrzna jest integralną częścią (służebną w stosunku do) zarządzania ryzykiem – do tego momentu jestem zwolennikiem COSO II. Jednak dokument ten ma zasadniczo kontrolny i urzędniczy charakter - kładąc nieproporcjonalnie duży akcent na kontrolę wewnętrzną. Powszechna krytyka COSO II wskazuje, że jedną ze słabości tego dokumentu – oprócz nierozróżniania pomiędzy „procesem” a „strukturą” ZR, jest wprowadzenie zamieszania interpretacyjnego jeśli chodzi o czynności „risk response”, „control activities” oraz „monitoring”.

Docelowa relacja obu funkcji (ZR i KW) powinna uwzględniać następujący uproszczony proces:

  • analiza strategiczna (kontekst dla ZR)
  • identyfikacja i analiza ryzyk (wyznaczenie właścicieli ryzyk – dyrektorzy i kierownicy)
  • decyzja i implementacja pełnej reakcji na ryzyko (działanie menedżerskie właścicieli ryzyk, nie kontrolne)
  • dopiero na tym etapie wkracza funkcja kontroli wewnętrznej, żeby kontrolować i raportować, czy plany zaradcze (środki kontrolne) są właściwie wdrażane i wykonywane (rola służebna kontroli wewnętrznej w stosunku do ZR)
  • niezależnie od powyższych, funkcja audytu wewnętrznego powinna monitorować funkcjonowanie samego systemu ZR (nie tylko ryzyka).

Monitorowanie ryzyk przez audyt wewnętrzny można odbierać na dwóch płaszczyznach. Stwierdzenie powyższe, sugeruje pojmowanie funkcji audyt wewnętrznego jako tej części przedsiębiorstwa, która jest najlepiej zorientowana w obszarze wszelkich ryzyk. Nie należy jednak mylić ryzyka identyfikowanego, analizowanego i monitorowanego przez audyt wewnętrzny w odniesieniu do badanych procesów z mnogością ryzyk występujących w jednostce i będących w obszarze zainteresowania ZR. Ryzyko w audycie wewnętrznym jest silnie powiązane z przyjętym planem audytu, odnosi się do celów poddanych badaniu audytowemu. Audyt wewnętrzny powinien zatem monitorować (i najczęściej monitoruje) funkcjonowanie procesu zarządzania ryzykiem – procesu będącego jedynie narzędziem do osiągnięcia celów do których dąży przedsiębiorstwo. 

głos pierwszy: wasz w Ryzyku - R

oraz głos drugi: Agnieszka Mrozik

17:35, rudnicki.com.pl , Polemika
Link Dodaj komentarz »
Creative Commons License
Rudnicki

View Rafał Rudnicki's profile on LinkedIn