Celem zarządzania ryzykiem korporacyjnym nie jest budowanie awersji do ryzyka. Organizacje rozumiejące i wykorzystujące ryzyko, mogą bezpiecznie przełknąć go więcej, niż pozostałe firmy z branży.
Kategorie: Wszystkie | Koncepcje | Polemika | Rynek
RSS
wtorek, 02 września 2014
Rasowy system zarzadzania ryzykiem

Po ostatniej konferencji w Dubaju korespondowalem troche z jednym z prelegentow - z Chrisem Mandel z Sedgwick. W efekcie natrafilem na ciekawy dokument opublikowany przez Corporate Treasures Council: "CTC guide to Enterprise Risk Management. Beyond Theory: Practitioner Perspectives on ERM". I w tym ciekawym dokumencie natrafilem na arcyciekawe case study opisujace, jak zarzadzanie ryzykiem funkcjonuje w firmie Johnson Controls. Podziele sie kilkoma spostrzezeniami na temat cech ich systemu zarzadzania ryzykiem powodujacych, ze ten system poprostu dziala.

Zarzadzanie ryzykiem jako funkcja zostalo ulokowane w departamencie planowania strategicznego a sam proces ZR zostal mocno zwiazany z procesem zarzadzania strategicznego. Innymi slowy planowanie i decydowanie strategiczne nie mnoze sie odbyc z pominieciem ryzyka a wszelkie rozwazania na temat ryzyka i srodkow zaradczych odbywaja sie w kontekscie zarzadzania strategicznego. Ma to potrojnie dobroczynny efekt:

  • jest gwarancja wlasciwie ustawionego kontekstu do ZR (wymog ISO 31000 i innych dobrych praktyk)
  • zostaje zagwarantowany ciagly, bezposredni i szeroki udzial w ZR "grubych ryb od strategii"
  • zostaje wymuszone pewne tempo procesu ZR, ktore musi sie dopasowac do tempa (rocznego cyklu) planowania i zarzadzania strategicznego (odzwierciedla to w 100% moje wlasne przekonanie, ktore promowalem na konferencjach, kursach Polrisk i szkoleniach).

harmonogram ZR

Proces zaczyna sie od przegladu "risk universe" z poprzedniego roku (troche ponad 100 ryzyk), jego krytycznej oceny i aktualizacji. Nastepnie kazdy business unit selekcjonuje swoje "top 50". Okazuje sie, ze ze wszystkich wybranych ryzyk jedynie ok 20 jest wspolnych dla wszystkich business unitow, pozostale sa dla nich unikalne / typowe.

W nastepnym kroku zostaje dokonana ocena ryzyka, za pomoca webowego narzedzia informatycznego gwarantujacego szeroki udzial managementu oraz automatyzacje procesu, bez potrzeby organizacji warsztatow. Mimo ze osobiscie nie wierze w sesnsownosc wynikow otrzymywanych w procesie tzw "glosowania" i uwazam, ze wartosci otrzymane podczas ostrej dyskusji warsztatowej sa znacznie bardziej wiarygodne, to po spelnieniu pewnych warunkow i biorac pod uwage ilosc zaangazowanych managerow (po ok 100 z biznes unitu !) takie narzedzie online zdaje sie byc jedynym sensownym rozwiazaniem.

Warunki o jakich mysle to kilkakrotne dokonanie oceny ryzyka podczas warsztatow gromadzacych wielu managerow, we wstepnej fazie wdrazania zasad ZR. Gwarantuje to wyrobienie sobie zblizonego pogladu na znaczenie wartosci, skal i punktow przyjetych w ocenie ryzyka.

I zblizamy sie do jedynego aspektu ktory mi sie w JC "nie podoba" - sposob polaczenia miar ryzyka. Otoz standardowa ocena skutku (skala 1-5) i prawdopodobienstwa (skala 1-5) zostala rozszerzona o efektywnosc srodkow zaradczych (skala 1-5) oraz tzw risk velocity (czas od ujawnienia sie / zadzialania ryzyka do momentu kiedy nastapi manifestacja / uderzenie jego skutkow, efektow w skali od 0 do 0.4). Uwzglednienie skutecznosci kontroli jest godne pochwaly, uwzglednienie "szybkoci ryzyka" jest bardzo nowoczesne.

Na ponizszym obrazku pokazano jak wyskalowano ocene ryzyka:

risk matrix JC

 

Jednak JC uzyskuje ostateczna wartosc danego ryzyka wyciagajac srednia arytmetyczna (!) ze skutku i prawdopodobienstwa, odejmujac od tego efektywnosc kontroli i dodajac szybkosc ryzyka. To troche jakby wyciagac srednia z objetosci wody (w m3) i jej temperatury (w celsjuszach), odejmowac od niej grubosc naczynia (w mm) i dodawac sile wiatru w m/s. Byc moze, metoda prob i bledow managerowie doszli do algorytmu ktore daje zadawalajace wyniki, ale chyba nie zawsze, skoro w swojej metodologii dopuszczaja "reczne" poprawianie (weryfikacje) oceny ryzyka jaka jest efektem wyliczenia dokonanego przez system. To mi troche smierdzi.

Ja dla odmiany zaproponowalbym ocene skutku i prawdopodobienstwa w skali np 1-5, efektownosci kontroli oraz szybkosci ryzyka w skali 1-3, a sam algorytm wygladalby tak:

corrected risk
Kolejnym krokiem - na bazie wyliczonej i zweryfikowanej przez management oceny ryzyka - jest wypracowanie przez management liniowy srodkow / planow zaradczych dla "top 10" ryzyk. Mowa tam o wlascicielach ryzyka, konkretnych dzialaniach i terminach monitorowania wykonania planu. Wprowadzono w raportowaniu jednostronnicowe "dashboardy" pokazujace stan zaawansowania prac nad opanowaniem konkretnego ryzyka. Mozna zatem zaobserwowac to co jest bardzo charakterystyczne dla firm dojrzalych w zarzadzaniu ryzykiem - raportowanie, informacja i decyzje nie skupiaja sie juz tak bardzo na identyfikowaniu i mierzeniu ryzyka, co na jego moderowaniu i na wykonaniu konkretnych planow dzialan przez management.

Zaprowadzono bowiem bardzo przejrzysty, tabelaryczny zapis wlascicieli poszczegolnych ryzyk, przyporzadkowanych do kluczowych funkcji w firmie (CEO, CFO, Exec VP HR, Exec Dir Strategic Planning, zarzdazajacy produkcyjnymi biuznes unitami ...).

Aby mozna bylo mowic o kompletnym systemie ramowym ZR nie moze zabraknac ustalenia i trzymania sie (egzekwowania) apetytu na ryzyko. Rozpracowanie i wdrozenie tego zagadnienia umozliwilo firmie wejscie do pierwszego kwartyla najlepiej zarzadzanych firm z Fortune 500. W wypracowaniu apetytu na ryzyko (okolo 30 stwierdzen, w pewnym stopniu kwantyfikowalnych) firma wspomogla sie metoda wypracowana juz przez Hydro One, polegajaca na zadaniu trzech prostych pytan (jak nizej) i wywolaniu dyskusji wsrod zarzadzajacych:

risk appetite at hydro one
Ostatnim elementem ukladanki jest Komitet ds Ryzyka, ktory w JC poza "standardowym" zakresem zadan ma rowniez nastepujace istotne funkcje:

  • zadecydowac o kalendarzu spotkan i przegladow okreslonych ryzyk na caly rok
  • nadzorowac nie tylko najwieksze ryzyka ale rowniez dzialania ktore maja je ograniczyc
  • zidentyfikowac "wylaniajace sie" ryzyka (emerging risks) - zarowno nowe jak i te bedace zlozeniem sie kilku starych ryzyk.

Widac, ze Risk Committee czuje sie prawdziwym gospodarzem ZR w firmie.

Jak poszukac w sieci, mozna natrafic na znacznie wiecej sladow pokazujacych ze Johnson Controls nie poprzestaje na przecietnosci rowniez w wielu innych dziedzinach zarzadzania i innowacji. To chyba banal, ale wniosek jest taki, ze dobrze zarzadzana firma jest dobra na wszystkich frontach (rowniez w zarzadzaniu ryzykiem) a dziadowska firma jest dziadowska we wszystkich aspektach.

Wasz w ryzyku,
R

PS - korzystalem z materialow firmy udostepnionych w sieci, np
https://www.one-report.com/download.html/2012/shared/library/0136-00006722.docx

12:53, rudnicki.com.pl , Polemika
Link Komentarze (1) »
Creative Commons License
Rudnicki

View Rafał Rudnicki's profile on LinkedIn