Celem zarządzania ryzykiem korporacyjnym nie jest budowanie awersji do ryzyka. Organizacje rozumiejące i wykorzystujące ryzyko, mogą bezpiecznie przełknąć go więcej, niż pozostałe firmy z branży.
Kategorie: Wszystkie | Koncepcje | Polemika | Rynek
RSS
wtorek, 02 września 2014
Rasowy system zarzadzania ryzykiem

Po ostatniej konferencji w Dubaju korespondowalem troche z jednym z prelegentow - z Chrisem Mandel z Sedgwick. W efekcie natrafilem na ciekawy dokument opublikowany przez Corporate Treasures Council: "CTC guide to Enterprise Risk Management. Beyond Theory: Practitioner Perspectives on ERM". I w tym ciekawym dokumencie natrafilem na arcyciekawe case study opisujace, jak zarzadzanie ryzykiem funkcjonuje w firmie Johnson Controls. Podziele sie kilkoma spostrzezeniami na temat cech ich systemu zarzadzania ryzykiem powodujacych, ze ten system poprostu dziala.

Zarzadzanie ryzykiem jako funkcja zostalo ulokowane w departamencie planowania strategicznego a sam proces ZR zostal mocno zwiazany z procesem zarzadzania strategicznego. Innymi slowy planowanie i decydowanie strategiczne nie mnoze sie odbyc z pominieciem ryzyka a wszelkie rozwazania na temat ryzyka i srodkow zaradczych odbywaja sie w kontekscie zarzadzania strategicznego. Ma to potrojnie dobroczynny efekt:

  • jest gwarancja wlasciwie ustawionego kontekstu do ZR (wymog ISO 31000 i innych dobrych praktyk)
  • zostaje zagwarantowany ciagly, bezposredni i szeroki udzial w ZR "grubych ryb od strategii"
  • zostaje wymuszone pewne tempo procesu ZR, ktore musi sie dopasowac do tempa (rocznego cyklu) planowania i zarzadzania strategicznego (odzwierciedla to w 100% moje wlasne przekonanie, ktore promowalem na konferencjach, kursach Polrisk i szkoleniach).

harmonogram ZR

Proces zaczyna sie od przegladu "risk universe" z poprzedniego roku (troche ponad 100 ryzyk), jego krytycznej oceny i aktualizacji. Nastepnie kazdy business unit selekcjonuje swoje "top 50". Okazuje sie, ze ze wszystkich wybranych ryzyk jedynie ok 20 jest wspolnych dla wszystkich business unitow, pozostale sa dla nich unikalne / typowe.

W nastepnym kroku zostaje dokonana ocena ryzyka, za pomoca webowego narzedzia informatycznego gwarantujacego szeroki udzial managementu oraz automatyzacje procesu, bez potrzeby organizacji warsztatow. Mimo ze osobiscie nie wierze w sesnsownosc wynikow otrzymywanych w procesie tzw "glosowania" i uwazam, ze wartosci otrzymane podczas ostrej dyskusji warsztatowej sa znacznie bardziej wiarygodne, to po spelnieniu pewnych warunkow i biorac pod uwage ilosc zaangazowanych managerow (po ok 100 z biznes unitu !) takie narzedzie online zdaje sie byc jedynym sensownym rozwiazaniem.

Warunki o jakich mysle to kilkakrotne dokonanie oceny ryzyka podczas warsztatow gromadzacych wielu managerow, we wstepnej fazie wdrazania zasad ZR. Gwarantuje to wyrobienie sobie zblizonego pogladu na znaczenie wartosci, skal i punktow przyjetych w ocenie ryzyka.

I zblizamy sie do jedynego aspektu ktory mi sie w JC "nie podoba" - sposob polaczenia miar ryzyka. Otoz standardowa ocena skutku (skala 1-5) i prawdopodobienstwa (skala 1-5) zostala rozszerzona o efektywnosc srodkow zaradczych (skala 1-5) oraz tzw risk velocity (czas od ujawnienia sie / zadzialania ryzyka do momentu kiedy nastapi manifestacja / uderzenie jego skutkow, efektow w skali od 0 do 0.4). Uwzglednienie skutecznosci kontroli jest godne pochwaly, uwzglednienie "szybkoci ryzyka" jest bardzo nowoczesne.

Na ponizszym obrazku pokazano jak wyskalowano ocene ryzyka:

risk matrix JC

 

Jednak JC uzyskuje ostateczna wartosc danego ryzyka wyciagajac srednia arytmetyczna (!) ze skutku i prawdopodobienstwa, odejmujac od tego efektywnosc kontroli i dodajac szybkosc ryzyka. To troche jakby wyciagac srednia z objetosci wody (w m3) i jej temperatury (w celsjuszach), odejmowac od niej grubosc naczynia (w mm) i dodawac sile wiatru w m/s. Byc moze, metoda prob i bledow managerowie doszli do algorytmu ktore daje zadawalajace wyniki, ale chyba nie zawsze, skoro w swojej metodologii dopuszczaja "reczne" poprawianie (weryfikacje) oceny ryzyka jaka jest efektem wyliczenia dokonanego przez system. To mi troche smierdzi.

Ja dla odmiany zaproponowalbym ocene skutku i prawdopodobienstwa w skali np 1-5, efektownosci kontroli oraz szybkosci ryzyka w skali 1-3, a sam algorytm wygladalby tak:

corrected risk
Kolejnym krokiem - na bazie wyliczonej i zweryfikowanej przez management oceny ryzyka - jest wypracowanie przez management liniowy srodkow / planow zaradczych dla "top 10" ryzyk. Mowa tam o wlascicielach ryzyka, konkretnych dzialaniach i terminach monitorowania wykonania planu. Wprowadzono w raportowaniu jednostronnicowe "dashboardy" pokazujace stan zaawansowania prac nad opanowaniem konkretnego ryzyka. Mozna zatem zaobserwowac to co jest bardzo charakterystyczne dla firm dojrzalych w zarzadzaniu ryzykiem - raportowanie, informacja i decyzje nie skupiaja sie juz tak bardzo na identyfikowaniu i mierzeniu ryzyka, co na jego moderowaniu i na wykonaniu konkretnych planow dzialan przez management.

Zaprowadzono bowiem bardzo przejrzysty, tabelaryczny zapis wlascicieli poszczegolnych ryzyk, przyporzadkowanych do kluczowych funkcji w firmie (CEO, CFO, Exec VP HR, Exec Dir Strategic Planning, zarzdazajacy produkcyjnymi biuznes unitami ...).

Aby mozna bylo mowic o kompletnym systemie ramowym ZR nie moze zabraknac ustalenia i trzymania sie (egzekwowania) apetytu na ryzyko. Rozpracowanie i wdrozenie tego zagadnienia umozliwilo firmie wejscie do pierwszego kwartyla najlepiej zarzadzanych firm z Fortune 500. W wypracowaniu apetytu na ryzyko (okolo 30 stwierdzen, w pewnym stopniu kwantyfikowalnych) firma wspomogla sie metoda wypracowana juz przez Hydro One, polegajaca na zadaniu trzech prostych pytan (jak nizej) i wywolaniu dyskusji wsrod zarzadzajacych:

risk appetite at hydro one
Ostatnim elementem ukladanki jest Komitet ds Ryzyka, ktory w JC poza "standardowym" zakresem zadan ma rowniez nastepujace istotne funkcje:

  • zadecydowac o kalendarzu spotkan i przegladow okreslonych ryzyk na caly rok
  • nadzorowac nie tylko najwieksze ryzyka ale rowniez dzialania ktore maja je ograniczyc
  • zidentyfikowac "wylaniajace sie" ryzyka (emerging risks) - zarowno nowe jak i te bedace zlozeniem sie kilku starych ryzyk.

Widac, ze Risk Committee czuje sie prawdziwym gospodarzem ZR w firmie.

Jak poszukac w sieci, mozna natrafic na znacznie wiecej sladow pokazujacych ze Johnson Controls nie poprzestaje na przecietnosci rowniez w wielu innych dziedzinach zarzadzania i innowacji. To chyba banal, ale wniosek jest taki, ze dobrze zarzadzana firma jest dobra na wszystkich frontach (rowniez w zarzadzaniu ryzykiem) a dziadowska firma jest dziadowska we wszystkich aspektach.

Wasz w ryzyku,
R

PS - korzystalem z materialow firmy udostepnionych w sieci, np
https://www.one-report.com/download.html/2012/shared/library/0136-00006722.docx

12:53, rudnicki.com.pl , Polemika
Link Komentarze (1) »
środa, 09 kwietnia 2014
Kanibalizm kulturowy

Emiratczycy mają problem, ale jeszcze sobie z niego nie zdają sprawy - czyli stoją przed zagrożeniem, ryzykiem. Sami są źródłem tego zagrożenia, a raczej ich kultura pracy.

Rodowici Emiratczycy to kilkanaście procent społeczeństwa - ci pracujący, pełnią zwykle funkcje w urzędach i instytucjach państwowych, których jest tutaj dużo (urząd emigracyjny, transport miejski, nadzór budowlany, agendy inwestycyjne, zarządzanie parkingami, policja ...) lub pełnią funkcje zarządzających w spółkach, których właścicielem jest rząd.

Praca w urzędach nie stawia ich pod presją czasu, wydajności, sprawności, punktualności. Co gorsze (wydawałoby się, że tylko dla interesantów, ale w długim horyzoncie jest to niekorzystne dla samodyscypliny Emiratczyków) interesantami są przybysze z zagranicy, w większości Hindusi, Pakistańczycy i Filipińczycy, którzy są traktowani w urzędach mówiąc oględnie z wyższością i nonszalancją. W spółkach biznesowych, zarządzający Emiratczycy są wyręczani przez importowaną siłę roboczą - albo dawców know-how z Europy, Australii lub Ameryki Północnej albo "klepaczy klawiatur" z Indii, obsługę z Filipin bądź przez wyrobników z Pakistanu. Emiratczycy nie muszą pracować - wolą sobie tę prace (zarówno umysłową jak i fizyczną) wynająć i za nią zapłacić stosunkowo niewielkie dla nich pieniądze. Sami stali się bardzo wygodnymi bankierami i administratorami.


O ile mi wiadomo, na emeryturę mogą przejść po 15 latach pracy, a więc w wieku około 40 lat. Na emeryturze otrzymują 80% swojego wynagrodzenia. Przy wynagrodzeniach miesięcznych rzędu 50-100 tys Dirhamów lub więcej (40-80 tys złotych), oczywiście bez podatku, właściwie motywacja do pracy spada do zera, co mogę osobiście zaobserwować wśród osób będących u mnie w firmie w wieku "przed emerytalnym". Rozmowy jakie często przeprowadzam z ekspatami zatrudnianymi na odpowiedzialnych stanowiskach praktycznie w każdej firmie, potwierdzają tę prawidłowość i te same zachowania - kawa, prasa, facebook, ewentualnie doglądanie czy Europejczyk dobrze wymyślił, a Hindus lub Pakistańczyk wykonał. Podpis składa i pochwały przyjmuje Emiratczyk. Nie jest dobrze z nimi dyskutować czy zbyt aktywnie podważać ich zdanie, nawet jak nie mają racji - przyjmują to osobiście, jak zaatakowanie ich pozycji w firmie. Jako Emiratczycy uważają się za współwłaścicieli zasobów, jakimi są importowani pracownicy - nawet zatrudnieni w randze managerów, dyrektorów. Bywa, że niektórzy ekspaci są zbulwersowanych takim stanem rzeczy - ale większość podchodzi do tego na zimno - przyjechali tu zarobić kasę i nacieszyć się "łatwym życiem", nie chcą zmieniać tutejszego świata.

Zatrważające jest również podejście do pracy młodych Emiratczyków, darmozjadów. W kraju obowiązuje prawny przymus tzw emiratyzacji - zwiększania procentu Emiratczyków w strukturze zatrudnienia firm i urzędów w Zjednoczonych Emiratach. Firmy więc muszą przyjmować co roku nowych pracowników noszących białe diszdasze. Robia to niechętnie, bo przyjmują gołowąsów zaraz po studiach, którzy mają nikłe doświadczenie i wymagają natychmiastowego zatrudnienia "dublera" z Indii lub co gorsza (bo drożej) z Europy, który będzie odwalał robotę za nich. Emiratczycy, tylko dlatego że są Emiratczykami, za pełnienie określonej funkcji otrzymują wynagrodzenia i benefity znacznie wyższe niż przyjezdni (mogę tylko zgadywać, że wyższe o jakieś 30-50%). Są obejmowani luksusowymi programami edukacji i rozwoju - wyobrażacie sobie zielonych pracowników, niedawno studentów, wysyłanych na kilkudniowe szkolenia do pięciogwiazdkowych hoteli i ośrodków ? Co gorsza nastawienie tych młodych od samego początku jest takie, że oni nie przyszli tu do pracy (bo pracować będą za nich inni), tylko żeby jakoś przepękać te 15 lat i potem korzystać z emerytury.


Te mechanizmy i postawy siedzą w nich bardzo głęboko, do tego stopnia, że nie są uświadomione, nie potrafią na to sami krytycznie spojrzeć. Z ich perspektywy to nie jest cwaniactwo (nikt się z tym nie kryje, to jest zalegalizowany system), to nie jest wyzysk (bo przecież importowana siła robocza sama wciska się do nich drzwiami i oknami) - to jest ich sposób na życie. Bardzo dobrze współgra z innymi elementami kulturowymi - punktualność jest rzeczą względną i z pewnością nie jest poszukiwaną cnotą; ciężka praca, pośpiech, intensywność, wydajność - to kłóci się ze stylem życia jaki wiedli jeszcze 50 lat temu, majestatycznie przemieszczając się na wielbłądach po pustyni od jednego gaju daktylowego do drugiego i mieszkając w budynkach lepionych z gliny. Te 50 lat starczyło, żeby wypompować ropę i zamówić postawienie "pod klucz" oszałamiających miast, ale to za krótko żeby zmienić mentalność. Sposób w jaki się poruszają - wolno, bez pośpiechu, majestatycznie - jest przedłużeniem ich "etosu pracy". Na ich jeden krok ja wykonuj trzy - i to nie jest przenośnia ! Oni nie potrafią, nie nauczą się zapieprzać, robić coś wytrwale, zmęczyć się pracą, wykonywać zadań z zegarkiem w ręku. To obce kulturowo.

I co z tego wynika ?

Był taki krótki okres - kryzys na rynku finansowym i nieruchomości 2008-2010 - kiedy Dubaj na chwilę się załamał ekonomicznie. Ekspaci stąd uciekali, porzucali samochody na lotniskach i na poboczach, pozostawiali niespłacone kredyty, wynajmowane mieszkania wraz z meblami. Po kilkunastu miesiącach wrócili (już nie ci sami, bo taki tryb opuszczenia kraju zamyka im drogę powrotu). 

To była mała zapowiedź armageddonu jaki moim zdaniem wydarzy się za kilkadziesiąt lat, kiedy skończą się pieniądze z ropy. Co prawda dalekowzroczni szejkowie siedmiu Emiratów kładą ogromny nacisk na takie ukierunkowanie rozwoju federacji (szczególnie Dubaju i Abu Dhabi), aby stały się gospodarkami niezależnymi od ropy, ale mentalność chyba pozostanie, bo istniejący system sprzyja jej utrwaleniu. Skończy się rozbudowa infrastruktury, tkanki ekonomicznej, a  gospodarka przestawi się z "rozwój" na "przetrwanie". Ci najlepiej opłacani ekspaci odpowiedzialni za wymyślanie i organizowanie współczesnych Emiratów wyjadą z kraju, miliony Hindusów z Karali pracujących w biurach staną się niepotrzebne, kolejne miliony wyrobników z placów budów wrócą do Pendżabu i Beludżystanu, do swoich glinianych lepianek gdzieś w górach. Emiratczycy zostaną sami z tym co wymyślił, postawił i uruchomił ktoś dla nich (za nich) za ich petrodolary. 


Czy będą w stanie wymyślić jak wyremontować lub przebudować 70-cio piętrowe wieżowce lub 4-poziomowe skrzyżowania ? Obawiam się że nie, bo do tej pory znacznie ciekawsze były wyścigi wielbłądów. Czy będą dynamicznie, z ikrą i talentem organizacyjnym zarządzać firmami, oddziałami, przez 10-12 godzin dziennie jako managerowie operacyjnie ? Nie potrafią tego, bo dotąd kupowali talent i dynamizm w biznesie, a sami poczucie dumy czerpali jedynie "dynamicznej" jazdy wielkimi dżipami po wydmach. Czy przez cały dzień, intensywnie i z zegarkiem w ręku, będą wprowadzać dane do komputerów a potem systematycznie je sprawdzać ? Niestety, tylko Hindus może pokornie robić to samo dzień w dzień i się nie znudzić ani nie zbuntować. Czy chwycą za łopaty i będą pracować w 50-cio stopniowym upale pod otwartym słońcem ? Proszę wybaczyć, ale do takiej pracy żaden Emiratczyk się nie zniży.

Czy za kolejne 50 lat miasta zabierze pustynia, piasek zasypie autostrady, a Emiratczycy znów niespiesznie będą wędrować wielbłądzimi karawanami od jednej oazy do drugiej ?


Wasz w ryzyku,

R

08:23, rudnicki.com.pl , Polemika
Link Komentarze (11) »
wtorek, 29 października 2013
Zarządzanie ryzykiem w emirackich "spółkach skarbu państwa"

W emiracie Abu Dhabi funkcjonuje sporo roznych urzedow w randze ministerstw, ktore u nas w takiej formule bezposrednio nie wystepuja: Critical Infrastructure & Coastal Protection Authority (czesc sil zbrojnych, zarzadza bezpieczenstwem szybow naftowych), Emirates Identity Authority (urzad zarzadzajacy danymi osobowymi i identyfikatorami osobowymi, w tym imigracyjnymi), Special Licence Office (urzad regulujacy zasady spozywania alkoholu i wydajacy pozwolenia na alkohol, na jego witryne moga wejsc jedynie osoby powyzej 21 roku zycia i niebedace muzulmanami) czy Abu Dhabi Accountability Authority. To ostatnie zajmuje sie nadzorem wlascicielskim, rzadowym, nad instytucjami emiratu oraz spolkami, w ktorych udzialy ma rzad (emirat, a posrednio szejk). Jego cele to promowanie transparentnosci, odpowiedzialnosci menedzerskiej,oraz zapewnianie ze ich zasoby sa wykorzystywane efektywnie, ekonomicznie i etycznie. Szczegolnie wnikliwie ADAA obserwuje obszary audytu, governance, performance i szkolen.

Dwa lata temu tenze urzad opublikowal dokument mowiacy jak ma funkcjonowac audyt wewnetrzny w tych spolkach i insytucjach oraz jak ma sie tam zarzadzac ryzykiem.
Zdecydowalem, ze ten wpis nie bedzie jego streszczeniem lub pelnym, wiernym przedstawieniem (bo wtedy pewnie nigdy by nie powstal) lecz luzna refleksja na temat niektorych zawartych w nich ciekawostek.

Pierwsza rzecz, ktora mi sie nie spodobala, to stwierdzenie ze za ocene ryzyka jest odpowiedzialny audyt wewnetrzny. Moim zdaniem mozna to uznac za kalekie rozwiazanie tymczasowe, ale nie jako docelowe i zgodne z dobrymi praktykami. Podoba mi sie natomiast stwierdzenie, ze audyt moze doradzac na temat wyboru srodkow zaradzczych, jednak ostateczna decyzja i zastosowanie naleza do kompetencji managementu.


Troche dziwacznie zaoprezentowano wspolzaleznosci elementow strategii, celow biznesowych, ryzyka i procesow.

Sensowniej byloby chyba przyjac, ze ze strategii wynikaja cele biznesowe, z nich procesy (a nie ryzyka), z kolei zarowno z celow biznesowych jak i z procersow wynikaja ryzyka, nie na odwrot ... Tak przedstawia to IRM w ich programach edukacyjnych, ktore mialem przyjemnosc prowadzic.

Warstwa praktyczna prezentuje sie niezle. Na etapie ustalania kontekstu zadbano nie tylko o kontekst wewnetrzny (podejscie COSO) ale i zewnetrzny. Bardzo ladnie pokazano, ze ryzyka nalezy definiowac (opisywac) pokazujac lancuch przyczynowo skutkowy:

Mowa rowniez o wylaczeniu z dalszej analizy ryzyk niewielkich oraz rozpatrywania lacznego dzialania ryzyk zwiazanych ze soba. Szacowanie skutkow ryzyka proponuje sie dokonywac w oparciu o kryteria finansowe, ciaglosci biznesu, prawne i reputacyjne, czynnika ludzkiego.
I od tego momentu zaczynaja sie rozwiazania do ktorych nie jestesmy przyzwyczajeni, niektore kontrowersyjne. W dokumencie przyjmuje sie, ze

  • ryzyko to funkcja (skutkow i prawdopodobienstwa)

i nie ma mowy jaka to funkcja. Dopiero przykladowa matryca ryzyka pokazuje, ze chodzi o dodawanie (sic!)

Moim zdaniem to bardzo powazny blad merytoryczny, dlatego ze nie mozna dodawac do siebie roznych kategorii wartosci (prawdopodobienstwo i skutek), podobnie jak nie mozna dodawac do siebie ilosci wody w garnku do jej temperatury (mozna je przez siebie wymnozyc i ma to jakis sens matematyczno - fizyczny).

Bardziej niz jestesmy przyzwyczajeni, wage przywiazuje sie do szacowania ryzyka rezydualnego. Wynika to z dalszej czesci tutejszej koncepcji mierzenia ryzyka. Bowiem po okresleniu jakosci srodkow zaradczych (kontrolnych) przystepuje sie do sporzadzenia matrycy, porownujacej wielkosc ryzyka inherentnego z jakoscia srodkow zaradczych:

W zaleznosci od obu czynnikow, decyduje sie o zaanagazowaniu srodkow zaradczych w ryzyka - podobnie jak przyzwyczailismy sie to robic w Europie.

Mozna by spytac, czy poza kuriozalnym dodawaniem skutku i prawdopodobienstwa pozostale roznice maja znaczenie, skoro dochodzi sie do podobnego finalu ? Mysle, ze tak. Niby bierze sie pod uwage te same wielkosci (inherentny skutek i prawdopdobienstwo, jakosc srodkow kontroli) to jednak taka metoda analizowania i przedstawiania ryzyka powoduje, ze waznosc srodkow zaradczych jest bardziej wyeksponowana niz ma to miejsce w tradycyjnej metodzie, gdzie pozostaja one "ukryta" za ryzykiem rezydualnym.


Gdyby ktos byl zainteresowany, pelen dokument mozna pobrac bezposrednio z witryny ADAA.

Wasz w ryzyku,

20:43, rudnicki.com.pl , Polemika
Link Komentarze (2) »
1 , 2 , 3 , 4 , 5 ... 23
Creative Commons License
Rudnicki

View Rafał Rudnicki's profile on LinkedIn